L’utilisation des ressources doit être surveillée et ajustée en fonction des besoins actuels et prévus en matière de capacité.

L’entreprise exige que les mots de passe des composants systèmes concernés soient configurés conformément à la politique de l’entreprise.

Les réseaux sont segmentés pour limiter l'accès entre systèmes et réduire l'impact d'incidents de sécurité potentiels.

Toutes les données transmises sur des réseaux publics sont chiffrées avec TLS 1.2 minimum.

Les données sensibles sont chiffrées au repos en AES-256 ou équivalent.

L'entreprise dispose de plans de continuité des activités et de reprise après sinistre. Ces plans définissent les lignes de communication afin de garantir la continuité de la sécurité de l'information même en cas d'indisponibilité du personnel clé.<br>

L’entreprise dispose d’un plan documenté de continuité des activités et de reprise après sinistre (BC/DR) et le teste chaque année.

La préparation ICT doit être planifiée, mise en œuvre, maintenue et testée en fonction des objectifs de continuité des activités et des exigences de continuité ICT.

Des copies de sauvegarde des informations, logiciels et systèmes doivent être conservées et testées régulièrement conformément à la politique de sauvegarde spécifique au sujet convenu.

Les employés reçoivent régulièrement une formation en sécurité pour reconnaître et répondre aux menaces potentielles.

L'accès aux informations et systèmes est accordé selon le principe du moindre privilège et revu régulièrement.

L'entreprise maintient un cadre de gestion des risques documenté pour identifier, évaluer et atténuer les risques de sécurité.