Die "Organisation" bescheinigt durch ihren Leiter, dass die Informationssicherheit für ihren Betrieb bzw. für ihr Überleben von entscheidender Bedeutung ist. Die Verfügbarkeit gewisser Daten oder bestimmter Tools, die Geheimhaltung bestimmter Informationen vor Dritten oder die Unmöglichkeit, gewisse Daten zu verändern, sind für die "Organisation" von entscheidender Bedeutung.
Aus diesem Grund erstellt die Leitung dieses Dokument und legt darin die innerhalb der "Organisation" zu befolgenden Sicherheitsleitlinien fest. Die Leitung verpflichtet sich damit, alle Maßnahmen zu unterstützen, die in diesen Rahmen fallen, und alle für die Umsetzung der Sicherheitsleitlinie erforderlichen Mittel im Rahmen der finanziellen Möglichkeiten zur Verfügung zu stellen.
Außerdem müssen alle Angestellten diese Vorgehensweise unterstützen, indem sie:

• den Inhalt der Sicherheitsleitlinien kennen, die auf ihre Tätigkeiten zutreffen;

• die Sicherheitsleitlinien in ihrem Tätigkeitsbereich anwenden, sich über Entwicklungen, die sie betreffen könnten, auf dem Laufenden halten;

• ihre Kollegen und externen Ansprechpartner über die sie betreffenden Regeln informieren;

• die Angemessenheit der Sicherheitsverfahren im Alltag überprüfen und entsprechende Verbesserungsvorschläge anbringen.

Damit die anwendbaren Sicherheitsleitlinien und -verfahren allen bekannt sind, werden sie in den gemeinschaftlich genutzten Räumen ausgehängt und von der Leitung der "Organisation" an die betreffenden Personen verteilt. Es können bestimmte geografische Orte wie etwa das "Sekretariat" oder die "Empfangshalle" angegeben werden. Ebenso können genauere Angaben zu den Personen gemacht werden.
Wenn dieses Dokument vertrauliche Informationen enthält, empfiehlt es sich, für den öffentlichen Aushang die Erstellung einer vereinfachten Fassung in Betracht zu ziehen, während die vollständige Fassung in den Händen der Organisationsleitung und der jeweils betroffenen Personen (Leiter der EDV-Abteilung und Werte-Verantworliche) verbleibt.

Dieses Dokument (Leitlinien und Verfahren) wird jedes Jahr gemeinsam von der Leitung und den Personen überprüft, die direkt mit den Sicherheitsaspekten befasst sind.
Diese Überprüfung liegt in der Verantwortung der Leitung. Sie hat zum Ziel, zu überprüfen, ob der Inhalt der Leitlinie immer noch mit den Anforderungen der "Organisation" in Bezug auf die Datensicherheit übereinstimmt.
Daher sollten folgende Maßnahmen durchgeführt werden:

• Überprüfen, ob die beschriebenen Verfahren tatsächlich angewandt werden;

• Zusammenfassung der sicherheitsrelevanten Ereignisse, die zuvor stattgefunden haben (Analyse der Audits, Rückverfolgung der sicherheitsrelevanten Ereignisse, Verstöße, Ergreifung von Korrekturmaßnahmen);

• Überprüfen, ob die innerhalb der "Organisation" vorgenommenen Veränderungen - seien sie technischer oder organisatorischer Natur - eine Anpassung der Sicherheitsstrategien erfordern: Ergreifung vorbeugender Maßnahmen;

• Organisation der Durchführung von Änderungen, die als erforderlich betrachtet werden;

• Mitteilung der Ergebnisse der Überprüfung an das Personal.

Die mit der Überprüfung beauftragten Personen können näher benannt werden. Im Idealfall sollte außerdem angegeben werden, wann die jährliche Revision durchgeführt wird und wie die verantwortlichen Personen darüber informiert werden. Es empfiehlt sich, für die Überprüfung ein Datum auszuwählen, das in einer üblicherweise ruhigeren Geschäftsphase liegt, um auf jeden Fall auszuschließen, dass die Überprüfung aus betrieblichen Gründen verschoben oder gestrichen werden muss.