Os indivíduos com responsabilidades atribuídas à segurança da informação não podem transferir as responsabilidades pelas tarefas de segurança da informação para terceiros.

O setor de Tecnologia da Informação é responsável por estabelecer a política de segurança da informação, atribuir responsabilidades e autoridade para garantir a conformidade do Sistema de Gestão da Segurança da Informação (SGSI) com os requisitos da norma.

Após a avaliação de riscos, a próxima etapa deve ser a identificação de uma ou mais contramedidas que possam reduzir os riscos das ameaças identificadas anteriormente. As contramedidas repressivas visam identificar potenciais causadores de um incidente.

É recomendável manter e monitorar adequadamente trilhas de auditoria eletrônicas ou registros físicos para registrar todos os acessos físicos aos ambientes da organização.

A segurança dos recursos humanos envolve a implementação de controles antes, durante e após o processo de contratação, com a definição dos papéis e responsabilidades dos funcionários em relação à segurança da informação realizada durante a contratação.