1. Οι Οργανισμοί κατά την επιλογή των μέτρων ασφαλείας θα πρέπει να λαμβάνουν μέριμνα ώστε αυτά να είναι:
• Αποτελεσματικά, ώστε να αυξάνουν το επίπεδο ετοιμότητας του Οργανισμού έναντι τωρινών και μελλοντικών απειλών ασφάλειας.
• Αποδοτικά, ώστε να επιλέγονται αυτά τα οποία θα έχουν το μεγαλύτερο αντίκτυπο στην ενίσχυση της ασφάλειας ενός Οργανισμού, σε σχέση με τις απαιτήσεις κτήσης και διατήρησής τους.
• Κατάλληλα, ώστε να είναι συμβατά και να διευκολύνουν τη παροχή των βασικών υπηρεσιών του Οργανισμού.
• Αναλογικά, ώστε να επιλέγονται συναρτήσει του εκάστοτε επιπέδου επικινδυνότητας.
• Συγκεκριμένα, ώστε να διασφαλίζεται ότι τα μέτρα θα εφαρμόζονται στην πράξη και θα ενισχύουν ενεργά το επίπεδο ασφάλειας.
• Αξιόπιστα, ώστε να παρέχουν δείκτες και αποδείξεις για την αποτελεσματική και αποδοτική εφαρμογή τους.
• Περιεκτικά, ώστε η εφαρμογή τους να καλύπτει όσες περισσότερες βασικές απαιτήσεις ασφάλειας είναι δυνατό.
2. Προκειμένου να επιλεγούν και να εφαρμοστούν μέτρα που ικανοποιούν τις βασικές απαιτήσεις ασφάλειας, ενθαρρύνεται η χρήση διεθνώς αποδεκτών προτύπων, προδιαγραφών και οδηγών που σχετίζονται με την ασφάλεια των συστημάτων δικτύων και πληροφοριών.