Considerando-se a organização para gestão de riscos de segurança da informação, analisar os itens abaixo:

I. Estabelecimento das relações necessárias entre a organização e as partes interessadas, das interfaces com as funções de alto nível de gestão de riscos da organização (por exemplo: a gestão de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes é uma das responsabilidade dessa organização.

II. Convém que a organização e as responsabilidades para o processo de gestão de riscos de segurança da informação sejam estabelecidas e mantidas.