يجب على المنظمات تطوير وتنفيذ والحفاظ على برنامج فعًال لأمن المعلومات، يحتوي على كل الضمانات الإدارية والتقنية والمادية للبيانات والمعلومات الشخصية الحساسة التي تستخدمها المنظمة أو تحتفظ بها أو تجمعها أو تنقلها. ولابد أن يتم تدعيم تلك الحوكمة الأمنية بالقوانين واللوائح والمعايير وغيرها من آليات التحكم التي تخلق الهيكل التنظيمي لأمن المعلومات وتضع المتطلبات التي من خلالها يمكن لبرنامج الأمن من العمل. وتنطوي حوكمة المؤسسات والشركات على علاقة بين جميع عناصر المؤسسة، سواء مجلس الإدارة، أو المساهمين، وأصحاب المصلحة، وأي شخص يكون ذا مصلحة خاصة في كيفية إدارة المنظمة.
وتتخلل معظم مجالات الممارسة العديد من المصطلحات الرئيسية، والتي من أهمها "العناية الواجبة" وهذا ما تستوجبه مهام الإدارة؛ حيث إنهم مكلفون بحماية أصول المنظمة. إن قوانين عدة مثل القانون الأمريكي لممارسات الفساد الأجنبية(FCPA) وكذلك قانون Sarbanes-Oxley (SOX) وهو قانون أمريكي يوجب على الشركات أن تضمن أمن المعلومات من خلال أنظمة الرقابة الداخلية. هذه القوانين تطلب من الإدارة إثبات أن لديهم الضوابط الداخلية الخاصة بهم وأن الضوابط الداخلية يتم اختبارها وتبين أنها كافية.
وهناك العديد من القوانين واللوائح، والمعايير، والمتطلبات الداخلية التي يجب عليهم الالتزام بها. ويجب أولا تحديد هذه المعايير التي تؤثر على عمل المنظمات، ثم باستخدام معيار مناسب (مثل ISO 17799: 2000) الذي يمكن أن تستخدمه المنظمات؛ نظراً لقياسه مستويات الامتثال لأمن المعلومات. وبمجرد تحديد القوانين واللوائح والمعايير الخارجية وتحديد علاقتها بعمل أو بمهمة المنظمة؛ سيكون من السهل إجراء تحليل الفجوات حين تطرأ أي متطلبات جديدة، ثم يمكن لمديري أمن المعلومات البدء في تأسيس عناصر برنامج أمن المعلومات.
ويعد وجود "سياسة" تعتمدها الإدارة، وتوافر الوسائل العامة لتنفيذها؛ بمثابة حجر الزاوية في أي برنامج داخل المنظمة. وهي ليست مجرد متطلبات فقط، ولكنها القواعد والممارسات التي تحدد مَن المسؤول وما يجب عليه القيام به للوفاء بالتزاماته. وتوجد العديد من المبادئ التي يلزم أن تتوافر وأن يكون لديها حافز لاستباق ومنع المخالفات للسياسة الأمنية. والمطلب الأساسي هنا بالنسبة للإدارة هو إظهار "العناية الواجبة" في انشاء برنامج فعال للامتثال للسياسة الأمنية. ومن العناصر التي يجب على الإدارة أن تتأكد من توافرها في معظم البرامج ما يلي:
- وضع السياسات والمعايير والإجراءات لتوجيه وارشاد العاملين.
- وجود مسئول رفيع المستوى للإشراف على الامتثال للسياسة والمعايير والإجراءات.
- إبلاغ المعايير والإجراءات لجميع الموظفين عن طريق الاتصال الفعال.
- فرض السياسات والمعايير والإجراءات باستمرار من خلال التدابير التأديبية المناسبة.
- وجود إجراءات للتصحيح والتعديلات في حالة الانتهاكات.
وفي النهاية، لا يلزم أن يقوم برنامج الامتثال للسياسة الأمنية بمنع كل سوء سلوك ليصبح فعالاً، ومع ذلك يجب على الإدارة إظهار التزامها بالسعي لمنع السلوك غير المناسب واكتشافه.