Terkait dengan bagaimana mengelola risiko keamanan dan privasi didalam Paper dalam bab ini
menjelaskan konsep dasar yang terkait dengan pengelolaan system informasi terkait keamanan dan
risiko privasi dalam organisasi. Konsep-konsep ini termasuk langkah-langkah RMF dan struktur tugas;
keamanan informasi dan program privasi di RMF; informasi sistem, elemen sistem, dan bagaimana
batasan otorisasi ditetapkan; keamanan dan postur privasi; dan praktik manajemen risiko keamanan dan
privasi yang terkait dengan pasokan rantai.
Mengelola risiko keamanan dan privasi terkait sistem informasi adalah tugas kompleks yang
membutuhkan keterlibatan seluruh organisasi—dari pemimpin senior yang menyediakan strategi visi
dan tujuan serta sasaran tingkat atas untuk organisasi, hingga pemimpin tingkat menengah yang
merencanakan, melaksanakan, dan mengelola proyek, hingga individu yang mengembangkan,
mengimplementasikan, mengoperasikan, dan memelihara sistem yang mendukung misi organisasi dan
fungsi bisnis. Mempertaruhkan manajemen adalah aktivitas holistik yang mempengaruhi setiap aspek
organisasi termasuk misi dan kegiatan perencanaan bisnis, arsitektur perusahaan, proses SDLC, dan
aktivitas rekayasa sistem yang merupakan bagian integral dari proses siklus hidup sistem tersebut.