Er is binnen de organisatie een door het management bekrachtigd informatiebeveiligingsbeleid aanwezig.

Er is een door het management bekrachtigd continuiteitsplan aanwezig, met daarin aandacht voor alle onderdelen van de infrastructuur die kritieke bedrijfsprocessen ondersteunen.

Er is een netwerkkoppelingenprocedure aanwezig, waarin wordt beschreven aan welke randvoorwaarden een netwerkkoppeling met externe partijen dient te voldoen.

Er is een incidenthandling procedure aanwezig waarin wordt beschreven hoe security incidenten gedetecteerd en afgehandeld worden.

Er is een Internet- en e-mailpolicy binnen de organisatie, welke tenminste bij indiensttreding en na elke wijziging onder de aandacht wordt gebracht van het personeel.

Er is een "clean desk"- en "clear screen" policy binnen de organisatie aanwezig, welke tenminste bij indiensttreding en na elke wijziging onder de aandacht wordt gebracht van het personeel.

Personeel met toegang tot grote hoeveelheden vertrouwelijke gegevens is verplicht om bij indiensttreding een geheimhoudingsverklaring te ondertekenen.

Op het moment dat er personeel wordt aangetrokken voor functies die toegang verschaffen tot grote hoeveelheden vertrouwelijke gegevens, maakt een beveiligingsscreening onderdeel uit van het aannamebeleid.

Het informatiebeveiligingsbeleid heeft een eigenaar en wordt periodiek herzien.