Kibernetinio saugumo rizikos valdymo politika nustatoma atsižvelgiant į organizacijos kontekstą, kibernetinio saugumo strategiją ir prioritetus, komunikuojama ir įgyvendinama

1. Sukurkite, platinkite ir palaikykite aiškią, naudojimui patogią rizikos valdymo politiką su vadovybės ketinimų, lūkesčių ir nurodymų pareiškimais;
2. Periodiškai peržiūrėkite politiką ir ją palaikančius procesus bei procedūras, kad jie atitiktų rizikos valdymo strategijos tikslus ir prioritetus, taip pat aukšto lygio kibernetinio saugumo politikos kryptį;
3. Reikalaukite, kad politiką patvirtintų vyresnioji vadovybė;
4. Visoje organizacijoje komunikuokite kibernetinio saugumo rizikos valdymo politiką ir ją palaikančius procesus bei procedūras;
5. Reikalaukite, kad personalas patvirtintų susipažinę su politika pirmą kartą įsidarbinus, kasmet ir kiekvieną kartą, kai politika atnaujinama.