Požadavky a standardy bezpečného provozu. Všechny platné legislativní i smluvní požadavky na zajištění bezpečnosti informací jsou dokumentovány a aktivně využívány při tvorbě interních předpisů, souvisejících s provozem informačního systému a zejména se sdílením a zveřejňováním dat. Všechny řídicí dokumenty v oblasti bezpečnosti provozu ICT jsou podřízeny jednotné formě řízení dokumentace. Řízení dokumentace jednoznačně určuje správce každého dokumentu, platnost dokumentu, strukturu dokumentu, osoby a útvary, podílející se na schválení dokumentu a pravidla pro manipulaci s dokumentem. Řídicí dokumenty v oblasti bezpečnosti provozu ICT jsou v závislosti na oblasti působnosti rozděleny do tří základních úrovní: • řídicí dokumenty, zastřešující celkovou koncepci v oblasti bezpečnosti provozu ICT v závislosti na strategických cílech organizace, související legislativě a přijatých závazcích a standardech, • řídicí dokumenty, zajišťující jednotné prosazení informační bezpečnosti u aktiv informačního systému jako celku a definující základní struktury, standardy a vazby, vytvořené pro zajištění požadované úrovně informační bezpečnosti, • řídící dokumenty, které zajišťují prosazení informační bezpečnosti specificky pro jednotlivá aktiva (služby) informačního systému a jejich konkrétního nasazení, včetně způsobu pořízení a vyhodnocování provozních záznamů. Řídicí dokumenty pokrývají celý životní cyklus aktiva. Provozní záznamy musí mimo jiné obsahovat průkazné a doložitelné záznamy manažerských rozhodnutí, vztahujících se k danému aktivu, a musí být možno přezkoumat jejich soulad s bezpečnostními politikami, zásadami a předpisy.