Het bieden van sturing en ondersteuning door het management ten behoeve van informatiebeveiliging.

Het management van de GSD dient een duidelijke richting aan te geven en te demonstreren dat zij het belang van informatiebeveiliging ondersteunt. Hieronder behoort o.a. het uitbrengen en handhaven van een informatiebeveiligingsbeleid voor de hele organisatie.

Het beleidsdocument dient de betrokkenheid van het management te verantwoorden, alsmede de benadering van de GSD ten aanzien van het omgaan met informatiebeveiliging.

• Er dient binnen de GSD een informatiebeveiligingsbeleid beschikbaar te zijn dat voldoet aan de richtlijnen als genoemd in de Code voor Informatiebeveiliging 2000, deel 1 Par. 3.1.1;
• Het informatiebeveiligingsbeleid dient goedgekeurd te zijn door het management van de GSD;
• Het beleidsdocument dient op passende wijze aan alle GSD-medewerkers te worden uitgedragen en toegankelijk te worden gemaakt;
• GSD-medewerkers dienen via een bewustwordingscampagne op de hoogte te worden gebracht van het wettelijke kader in gebruik van persoonsgegevens en het daaraan gerelateerde informatiebeveiligingsbeleid (BXIV 3.1, CBP 4.1);

Handhaving en evaluatie van het informatiebeveiligingsbeleid volgens een duidelijk omlijnd evaluatieproces.

• Binnen de gemeente c.q. de GSD is eenduidig belegd wie de eigenaar van het informatiebeveiligingsbeleid is;
• Op basis van het goedgekeurde beveiligingsbeleid wordt een beveiligingsplan opgesteld en door de verantwoordelijke stuurgroep vastgesteld
  (BXIV 3.1, CBP 4.1);
• Op basis van het vastgestelde beveiligingsplan en het bijbehorende budget wordt een implementatieproject opgestart (BXIV 3.1, CBP 4.1);
• Het informatiebeveiligingsbeleid wordt regelmatig geëvalueerd op basis van de naleving en effectiviteit van het beleid en de kosten en het effect van de maatregelen; de uitkomsten van het evaluatieproces worden gerapporteerd aan de verantwoordelijke stuurgroep (BXIV 3.1, CBP 4.1).