The organization must operate, maintain, and continuously develop a security management system.
The boundaries and scope, contents, role, cumulative implementation information and other necessary descriptive information related to the management system must be clearly documented.
Tiedonhallintayksikössä on ylläpidettävä sen toimintaympäristön tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia.
Pyydettävät tarpeelliset tiedot tiedonhallintamallista on pyydettäessä toimitettava valvontaa toteuttavalle viranomaiselle.