Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.
Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi: