Tietoturva- ja tietosuojatyön resurssointi ja budjetointi
Palvelunomistajien on otettava huomioon tietoturvatyön tarvitsemat resurssit sekä ajallisessa että rahallisessa budjetoinnissa. Ajallisesti tietoturvatyö aiheuttaa jonkin verran työtä esimerkiksi uhkamallinnuksen muodossa. Budjetointimielessä ulkoisilta tahoilta ostetut tietoturvatarkastukset ovat suurimpia yksittäisiä menoeriä. Resursointimielessä palvelunomistaja voi vaikuttaa myös ohjeistamalla tietoturvatyön painopistealueita esimerkiksi tuomalla tietoturvatyötä aikaisempaan kehitystyön vaiheeseen ja vaatimalla tietoturvatyön näkyvyyttä tehtävälistoilla, jolloin kustannusten seuranta on mahdollista.
Palvelun kriittisyysluokittelu ja riskienhallinta
Palvelunomistajien tulee määritellä palvelun kriittisyys ja pitää yllä kuvaa siihen liittyvistä tietoturvariskeistä. Kriittisyysluokan ja riskien tulee olla sidoksissa palvelun toteutuksen (toiminnallisiin tai ei-toiminnallisiin) vaatimuksiin. Näin voidaan parhaassa tapauksessa johtaa suora vaatimuslinja kriittisyysluokasta ja riskeistä toteutustason tehtäviin.
Lakien, hyvän tiedonhallintatavan sekä organisaation politiikkojen ja ohjeiden noudattaminen
Palvelunomistajien tulee olla tietoisia palveluun kohdistuvasta lainsäädännöstä ja muusta regulaatiosta. Kuten myös kriittisyysluokan ja riskien osalta (yllä), lainsäädännön ja politiikojen vaatimusten tulisi olla sidoksissa palvelun (toiminnallisiin tai ei-toiminnallisiin) vaatimuksiin. Näin voidaan parhaassa tapauksessa johtaa suora vaatimuslinja toteutustason tehtäviin.