Kelompok ini harus memastikan bahwa strategi dan program jaminan keamanan siber dan informasi sudah ada dan merupakan tanggung jawab seseorang dalam bisnis yang berada di tingkat pengurus atau setara.
Kerangka kerja harus mencakup
- Pengelolaan semua aktivitas keamanan siber dan informasi.
- Memastikan aktivitas sudah relevan dengan risiko potensial dan umum, dan terjadwal secara efektif.
- Keputusan akan pemilihan investasi yang paling relevan dengan organisasi.
- Kepatuhan pada peraturan dan praktik terbaik yang berlaku dan relevan.
- Menetapkan dan membudayakan keamanan dan keselamatan kepada bawahan.
- Mengukur tujuan.
Kerangka kerja dan strategi harus ditinjau, dan jika perlu, diperbarui secara periodik (dengan interval yang ditentukan dalam kerangka kerja) atau sesuai dengan yang dibutuhkan. Ini dilakukan agar terjadi perubahan dalam model bisnis, pertumbuhan perusahaan, praktik kerja, merger dan akuisisi, pembaruan / peningkatan teknologi, globalisasi dan tentunya, lanskap ancaman yang terus berkembang.