37.-(1) Ο Οργανισμός εφαρμόζει Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών, όπως προνοείται στον Κατ’ εξουσιοδότηση Κανονισμό (ΕΕ) αριθ. 907/2014, στη βάση του προτύπου ISO 27002, το οποίο αποσκοπεί στη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών του Οργανισμού και το οποίο, μαζί με τα αντίστοιχα μέτρα ασφάλειας, προσαρμόζεται στη διοικητική διάρθρωση και στα τεχνολογικά μέσα που διαθέτει ο Οργανισμός, η δε χρηματοοικονομική και τεχνολογική προσπάθεια πρέπει να είναι ανάλογη των πραγματικών κινδύνων που υφίσταται ο Οργανισμός.
(2) Ο Οργανισμός εφαρμόζει τις κατάλληλες διαδικασίες στα συστήματα πληροφορικής του, στο πλαίσιο του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, για να διασφαλίσει μεταξύ άλλων-
(i) τη γενική οργάνωση, τη διαχείριση και τον έλεγχο·
(ii) τη φυσική ασφάλεια·
(iii) τη λογική ασφάλεια·
(iv) την ανάπτυξη των συστημάτων, τον προγραμματισμό και τη συντήρηση·
(v) τις πράξεις ρουτίνας·
(vi) τις τηλεπικοινωνίες·
(vii) το δίκτυο·
(viii) τα συστήματα εξυπηρετητών·
(ix) τους υπολογιστές·
(x) άλλο μηχανογραφικό εξοπλισμό·
(xi) το πρόγραμμα αντιμετώπισης έκτακτων καταστάσεων·
(xii) τους ελέγχους εφαρμογής.