第2级：大型机构

2.1 责任（Responsibility）：企业中的哪些人应该为IT安全负责？他们应多久向CEO做一次详细汇报？在IT安全的监督中，董事会应扮演何种角色？董事会是否需要来自外部的审计？如果需要，审计的频率是多少？由谁审计？

2.2 最佳实践措施（Best Practice）:CEO、董事会和/或审计师应向何处寻求有关的最佳实践措施或标准，以用于IT安全自我评估以及IT安全策略的制定？

2.3 披露（Disclosure）：企业应该向其股东、债权人、审计师、董事会披露哪些IT安全信息？

2.4 企业级IT安全策略（Enterprise Wide IT Security Policy）：企业是否应该应董事会或审计师的要求而定期对IT安全操作规范做出新的政策声明？企业是否应该应董事会或审计师的要求而运行某些软件来推行其安全策略？

2.5 意识（Awareness）：企业是否应当要求其雇员参与定期的IT安全意识培训？为开发这些培训项目，企业应从何处获得援助？

2.6 内部人员威胁（Insider Threats）：怎样才能获得下述平衡：既能防止内部人员由于不正当使用IT系统而对企业造成危害，又能尊重每个雇员合法的隐私权？

2.7 合作者和供应链（Partners and Supply Chain）：企业同其合作者以及供应链之间的关系会给企业带来什么样的风险？这些合作关系如何增强或损害了企业的IT安全？

2.8 事件报告（Event Reporting）：何种IT安全事件应该报告？向谁报告？

2.9 威胁和脆弱性信息（Threat and Vulnerability Information）：企业怎样才能知道如何去对IT安全威胁和脆弱性做出反应？企业应怎样去判断对威胁和脆弱性做出反应的方式和方法？企业应如何评估IT提供商发布的各种各样的软件“补丁”？

2.10 IT提供商（IT Vendors）：企业应将其IT安全工作外包到何种程度？怎样去评估IT安全提供商？企业应如何提高其采购的IT产品和服务的安全性？

2.11 风险管理和保险（Risk Management and Insurance）：对于企业在IT安全方面的花费或IT安全的投资回报，企业该如何去评估其水平？保险在企业的IT安全中扮演着何种角色？