Instrukcja zarządzania systemem informatycznym to obok polityki bezpieczeństwa podstawowy dokument, jaki każda jednostka przetwarzająca dane osobowe powinna stworzyć. Przepisy podpowiadają, jak to zrobić, jednak nie można ograniczyć się do przepisania zapisów z rozporządzenia.