Er is een kader voor informatierisicobeheer opgesteld en afgestemd op de doelstellingen van de organisatie en het (bedrijfs-)risicobeheerkader.