За безопасность информационных систем и сетей отвечают все участвующие стороны
Участвующие стороны должны осознавать необходимость обеспечения безопасности информационных систем и сетей и понимать, что они могут сделать для повышения безопасности
Участвующие стороны должны предпринимать своевременные действия для предотвращения, выявления и реагирования на инциденты, связанные с нарушениями безопасности
Участвующие стороны должны принять комплексный подход к руководству обеспечением безопасности