На основании этих документов определяется необходимый уровень защищенности персональных данных в каждой информационной системе персональных данных Организации. Для каждой информационной системы персональных данных должен быть составлен список используемых технических средств, а также программного обеспечения участвующего в обработке персональных данных, подлежащих защите.