Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.
Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.
Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.
Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.