Podmioty zajmujące się tego rodzaju działalnością będą przetwarzać dane osobowe na dużą skalę. Najwyższe kierownictwo takich organizacji powinno zapewnić, że procedury bezpieczeństwa informacji są zgodne z kierunkiem działania przedsiębiorstwa, a System Zarządzania Bezpieczeństwem Informacji jest zintegrowany z pozostałymi procesami organizacji. Tak, jak zapewnia się proces ciągłego doskonalenia rozwiązań technicznych, tak powinno się ciągle doskonalić rozwiązania pozatechniczne, w tym system bezpieczeństwa informacji.