第2級：大型機構

2.1 責任（Responsibility）：企業中的哪些人應該為IT安全負責？他們應多久向CEO做一次詳細匯報？在IT安全的監督中，董事會應扮演何種角色？董事會是否需要來自外部的審計？如果需要，審計的頻率是多少？由誰審計？

2.2 最佳實踐措施（Best Practice）:CEO、董事會和/或審計師應向何處尋求有關的最佳實踐措施或標準，以用于IT安全自我評估以及IT安全策略的制定？

2.3 披露（Disclosure）：企業應該向其股東、債權人、審計師、董事會披露哪些IT安全信息？

2.4 企業級IT安全策略（Enterprise Wide IT Security Policy）：企業是否應該應董事會或審計師的要求而定期對IT安全操作規范做出新的政策聲明？企業是否應該應董事會或審計師的要求而運行某些軟件來推行其安全策略？

2.5 意識（Awareness）：企業是否應當要求其雇員參與定期的IT安全意識培訓？為開發這些培訓項目，企業應從何處獲得援助？

2.6 內部人員威脅（Insider Threats）：怎樣才能獲得下述平衡：既能防止內部人員由于不正當使用IT系統而對企業造成危害，又能尊重每個雇員合法的隱私權？

2.7 合作者和供應鏈（Partners and Supply Chain）：企業同其合作者以及供應鏈之間的關系會給企業帶來什么樣的風險？這些合作關系如何增強或損害了企業的IT安全？

2.8 事件報告（Event Reporting）：何種IT安全事件應該報告？向誰報告？

2.9 威脅和脆弱性信息（Threat and Vulnerability Information）：企業怎樣才能知道如何去對IT安全威脅和脆弱性做出反應？企業應怎樣去判斷對威脅和脆弱性做出反應的方式和方法？企業應如何評估IT提供商發布的各種各樣的軟件“補丁”？

2.10 IT提供商（IT Vendors）：企業應將其IT安全工作外包到何種程度？怎樣去評估IT安全提供商？企業應如何提高其采購的IT產品和服務的安全性？

2.11 風險管理和保險（Risk Management and Insurance）：對于企業在IT安全方面的花費或IT安全的投資回報，企業該如何去評估其水平？保險在企業的IT安全中扮演著何種角色？