Som ytterst ansvarig för verksamheten faller det på ledningens lott att se till att säkerheten inom it-området säkerställs. En viktig uppgift för ledningen är att utveckla ett ledningssystem för informationssäkerheten. Detta bör behandla målen med informationssäkerheten, vilken säkerhetsnivå som ska gälla, hur organisationen arbetar med riskhantering samt styrmedel.
Det är också ledningens ansvar att se till att nödvändiga dokument, exempelvis informationssäkerhetspolicy, arbetas fram.