A Análise/avaliação e gestão de risco, por parte dos diretores da organização, para avaliar os pontos de falha no cumprimento das políticas de segurança da informação e propor melhorias nos processos organizacionais de gestão de incidentes de segurança da informação.
B Comprometimento e apoio visível dos funcionários da organização, engajados na determinação e no cumprimento das políticas de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio.
C Prover mecanismos para alocação emergencial de recursos financeiros para as atividades de combate a incidentes de segurança da informação através da contratação de auditoria especializada.
D Divulgação eficiente da segurança da informação, incluindo a distribuição de diretrizes e normas sobre a política de segurança da informação, para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização.