لتحقيق مستوى النضج 3، يجب على أي من المؤسسات الأعضاء تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها. إضافة إلى ذلك، يجب على المؤسسة مراقبة الامتثال لوثائق الأمن السيبراني.

ويجب أن تشير وثائق الأمن السيبراني بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط الأمن السيبراني. وتتألف وثائق الأمن السيبراني من سياسات الأمن السيبراني ومعايير الأمن السيبراني وإجراءات الأمن السيبراني. 
 

الشكل 3 – الهيكل الهرمي لوثائق الأمن السيبراني

يجب على مجلس إدارة المؤسسة العضو التصديق على سياسة الأمن السيبراني وفرضها مع ذكر "سبب" أهمية الأمن السيبراني للمؤسسة العضو. ويجب أن تركز السياسة على أصول المعلومات التي يجب حمايتها و"ماهية" مبادئ الأمن السيبراني وأهدافه التي يجب تحديدها.

ويجب تطوير معايير الأمن السيبراني استناداً إلى سياسة الأمن السيبراني. وتحدد هذه المعايير "ماهية" ضوابط الأمن السيبراني التي يجب تنفيذها، مثل معلمات الأمن والنظام، والفصل بين المهام، وقواعد كلمة المرور، ومراقبة الأحداث، وقواعد النسخ الاحتياطي والاسترداد. وتدعم هذه المعايير سياسة الأمن السيبراني وتعززها وتعتبر بمثابة مراجع أساسية للأمن السيبراني.

تسرد إجراءات الأمن السيبراني بالتفصيل المهام والأنشطة التي يجب أن يؤديها موظفو المؤسسة العضو، أو أطرافها الخارجية، أو عملائها خطوة بخطوة. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة الأمن السيبراني في بيئة التشغيل ودعم حماية أصول المعلومات الخاصة بالمؤسسة العضو وفقًا لسياسة ومعايير الأمن السيبراني.

يتم تعريف العملية في سياق إطار العمل الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.

وتجب مراقبة التقدم الفعلي في تنفيذ وأداء والامتثال لضوابط الأمن السيبراني وتقييمه بشكل دوري باستخدام مؤشرات الأداء الرئيسية.