組織要有規(guī)程指明什么時候與哪個部門（例如，執(zhí)法部門、供電局、消防部門、監(jiān)管部門）聯(lián)系，以及懷疑已識別的信息安全事件可能觸犯了法律時，要如何及時報告。例如，受到來自互聯(lián)網(wǎng)的攻擊時，組織可能需要執(zhí)法部門采取對攻擊源行動；與制定信息安全法律法規(guī)部門的聯(lián)系有助于預(yù)先知道組織必須遵循的法律法規(guī)方面預(yù)期的變化；與其他部門的聯(lián)系包括公共設(shè)施、緊急服務(wù)和健康安全部門，例如供電局（與業(yè)務(wù)連續(xù)性有關(guān)）、消防局（與的業(yè)務(wù)連續(xù)性有關(guān)）、電信服務(wù)提供商（與路由和可用性有關(guān)）、供水部門（與設(shè)備的冷卻設(shè)施有關(guān)）。

組織要和相關(guān)利益方（客戶或供應(yīng)商）、其他安全專家組和專業(yè)協(xié)會保持適當(dāng)?shù)穆?lián)系， 以便：

1)增進(jìn)對最佳實踐和最新相關(guān)安全信息的了解；

2)確保全面了解當(dāng)前的信息安全環(huán)境；

3)盡早收到關(guān)于攻擊和脆弱性的預(yù)警、建議和補(bǔ)?。?/p>

4)獲得信息安全專家的建議；

5)分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱性的信息；

6)提供處理信息安全事件時適當(dāng)?shù)穆?lián)絡(luò)點。

組織應(yīng)將信息安全整合進(jìn)項目管理方法中，以確保信息安全風(fēng)險作為項目風(fēng)險的一部分被識別和解決。這一般要求適用于任何性質(zhì)的項目，如項目核心業(yè)務(wù)流程，IT，設(shè)施管理和其他配套工藝。項目管理方法應(yīng)要求：

1)項目目標(biāo)包含信息安全目標(biāo)；

2)項目的早期階段應(yīng)進(jìn)行信息安全風(fēng)險評估以識別需要的控制措施；

3)應(yīng)用的項目方法的所有階段都應(yīng)將信息安全作為其一部分。

在所有項目中應(yīng)定期解決和審查信息安全問題，應(yīng)按照項目管理方法中的定義將信息安全責(zé)任定義和分派到指定角色。