Het organisatorische cyberbeveiligingsbeleid wordt opgesteld en gecommuniceerd
Maatregel
Er moet een informatieveiligheidsbeleid en cyberbeveiligingsbeleid voor de hele organisatie worden opgesteld, gedocumenteerd, geüpdatet bij wijzigingen, verspreid en goedgekeurd door het senior management.
Richtlijn
Het beleid moet bijvoorbeeld het volgende omvatten
De identificatie en toewijzing van rollen, verantwoordelijkheden, managementbetrokkenheid, coördinatie tussen organisatorische entiteiten, en naleving. Richtlijnen voor rolprofielen samen met hun geïdentificeerde titels, missies, taken, vaardigheden, kennis en competenties zijn beschikbaar in de "European Cybersecurity Skills Framework Role Profiles" van ENISA. (https://www.enisa.europa.eu/publications/european-cybersecurity-skills-framework-role-profiles)
De coördinatie tussen organisatorische entiteiten die verantwoordelijk zijn voor de verschillende aspecten van beveiliging (d.w.z. technisch, fysiek, medewerkers, cyber-fysiek, informatie, toegangscontrole, mediabescherming, kwetsbaarheidsbeheer, onderhoud, gemonitord)
De dekking van de volledige levenscyclus van de ICT/OT-systemen.