Die Ressourcennutzung ist zu überwachen und an aktuelle sowie prognostizierte Kapazitätsanforderungen anzupassen.

Das Passwort erfordert, dass alle relevanten Systemkomponenten gemäß der Unternehmensrichtlinie konfiguriert werden.

Die Unternehmensnetzwerke sind segmentiert, um den Systemzugriff zu begrenzen und mögliche Sicherheitsvorfälle einzudämmen.

Alle Daten, die über öffentliche Netzwerke übertragen werden, sind mit TLS 1.2 oder höher verschlüsselt.

Sensible Daten werden mit AES-256 oder äquivalenten Standards im Ruhezustand verschlüsselt.

Das Unternehmen verfügt über Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Notfallwiederherstellung, in denen Kommunikationswege definiert sind, um die Kontinuität der Informationssicherheit auch bei Ausfall von Schlüsselpersonen sicherzustellen.

Das Unternehmen verfügt über einen dokumentierten Business‑Continuity‑ und Disaster‑Recovery‑Plan (BC/DR), der jährlich getestet wird.

Die ICT-Readiness muss geplant, implementiert, aufrechterhalten und getestet werden, basierend auf den Zielen der Business Continuity und den Anforderungen an die ICT-Continuity.

Sicherungskopien von Informationen, Software und Systemen müssen gemäß der festgelegten, themenspezifischen Backup‑Richtlinie erstellt, aufbewahrt und in regelmäßigen Abständen auf ihre Wiederherstellbarkeit getestet werden.

Mitarbeitende erhalten regelmäßige Sicherheitsschulungen zur Erkennung und Reaktion auf potenzielle Bedrohungen.

Der Zugang zu Informationen und Systemen folgt dem Prinzip der minimalen Rechte und wird regelmäßig überprüft.

Das Unternehmen pflegt ein dokumentiertes Rahmenwerk zum Umgang mit Informationssicherheitsrisiken.