Het aandachtsgebied Governance vormt het fundament van alle zaken die geregeld moeten worden rondom informatiebeveiliging. Hierin is het wat, hoe, wie, wanneer en waarom gedefinieerd. De hier vastgestelde uitgangspunten vormen de basis bij het implementeren van alle statements binnen het NBA.
De visie van een organisatie is richtinggevend en toekomstgericht. Het omvat de lange termijn ambitie van de organisatie. De strategie geeft aan hoe de organisatie de visie gaat realiseren. Het zorgt voor richting, focus en structuur. Vragen die hierbij centraal staan zijn: Wat ga je doen? hoe ga je dat doen? en wat heb je daarvoor nodig? Het thema strategie focust zich op het hebben van een visie en strategie voor informatie- en cybersecurity. Met als doel dat de juiste activiteiten en beslissingen kunnen worden genomen welke aansluiten op de continu veranderde bedrijfsomgeving.
