En informasjonssikkerhetsstrategi har til hensikt å legge en ramme rundt sikkerhetsarbeidet. Derfor er det viktig at den er forankret hos ledelsen og at den klart viser ambisjonsnivå og retning. Den skal også være utformet på en slik måte at den kan forankres i organisasjonen for øvrig og hos eventuelle samarbeidspartnere.
Det er ledelsen i bedriften som har det endelige ansvaret for at IT-sikkerheten er i orden. En viktig oppgave for ledelsen er å utvikle et ledersystem for IT-sikkerheten. Dette systemet bør behandle mål med IT-sikkerheten, hvilket sikkerhetsnivå man skal ha, hvordan bedriften skal arbeide med risikohåndtering, samt styringsmidler.
Det er også ledelsens ansvar å sørge for nødvendige dokumenter, som informasjonssikkerhetsstrategi, og at instrukser lages.
Tjenesten Nettvett leveres