組織要有規程指明什么時候與哪個部門（例如，執法部門、供電局、消防部門、監管部門）聯系，以及懷疑已識別的信息安全事件可能觸犯了法律時，要如何及時報告。例如，受到來自互聯網的攻擊時，組織可能需要執法部門采取對攻擊源行動；與制定信息安全法律法規部門的聯系有助于預先知道組織必須遵循的法律法規方面預期的變化；與其他部門的聯系包括公共設施、緊急服務和健康安全部門，例如供電局（與業務連續性有關）、消防局（與的業務連續性有關）、電信服務提供商（與路由和可用性有關）、供水部門（與設備的冷卻設施有關）。

組織要和相關利益方（客戶或供應商）、其他安全專家組和專業協會保持適當的聯系， 以便：

1)增進對最佳實踐和最新相關安全信息的了解；

2)確保全面了解當前的信息安全環境；

3)盡早收到關于攻擊和脆弱性的預警、建議和補丁；

4)獲得信息安全專家的建議；

5)分享和交換關于新的技術、產品、威脅或脆弱性的信息；

6)提供處理信息安全事件時適當的聯絡點。

組織應將信息安全整合進項目管理方法中，以確保信息安全風險作為項目風險的一部分被識別和解決。這一般要求適用于任何性質的項目，如項目核心業務流程，IT，設施管理和其他配套工藝。項目管理方法應要求：

1)項目目標包含信息安全目標；

2)項目的早期階段應進行信息安全風險評估以識別需要的控制措施；

3)應用的項目方法的所有階段都應將信息安全作為其一部分。

在所有項目中應定期解決和審查信息安全問題，應按照項目管理方法中的定義將信息安全責任定義和分派到指定角色。