C. Infraštruktúra a riadenie bezpečnostných rizík

Úložisko by malo vykonať vyhodnotenie rizík súvisiacich s hardvérovou a softvérovou infraštruktúrou a prevádzkovými postupmi. Malo by poskytovať účinné mechanizmy, ktoré minimalizujú riziká vyplývajúce zo závislosti na zastaranej infraštruktúre systému a z prevádzkovej poruchy. Úložisko by malo vykonávať pravidelné hodnotenie rizík a udržiavať primerané prostriedky na ochranu bezpečnosti s cieľom poskytnúť služby na potrebnej úrovni podľa najlepšej praxe, napr. norma ISO 27000.
 
C.1 Riadenie rizík technickej infraštruktúry
Úložisko ako subsystém predstavuje riziko technického zastarávania. Je nutné udržiavať aktuálnosť a kompatibilitu technickej infraštruktúry.
 
C.2 Riadenie bezpečnostných rizík
Úložisko ako systém neznamená len IT systémy. Významné sú aj protipožiarne systémy, bezpečnosť, vonkajšie hrozby či strata dát. Je nutné zabezpečiť úložisko v súlade so sériami noriem ISO 27000.