Het gebruik van middelen zal worden gemonitord en aangepast in overeenstemming met de huidige en verwachte capaciteitsvereisten.

Het bedrijf vereist dat wachtwoorden voor systeemcomponenten binnen het toepassingsgebied worden geconfigureerd volgens het beleid van het bedrijf.

De netwerken zijn gesegmenteerd om toegang tussen systemen te beperken en de impact van beveiligingsincidenten te verminderen.

Alle data die via openbare netwerken wordt verzonden, is versleuteld met TLS 1.2 of hoger.

Gevoelige data is in rust versleuteld met AES-256 of equivalente encryptiestandaarden.

Het bedrijf heeft plannen voor bedrijfscontinuïteit en disaster recovery. Deze plannen beschrijven de communicatielijnen om de continuïteit van de informatiebeveiliging te waarborgen, zelfs als sleutelpersoneel niet beschikbaar is.

Het bedrijf heeft een gedocumenteerd business continuity/disaster recovery (BC/DR) plan en test dit jaarlijks.

ICT-klaarheid moet worden gepland, geïmplementeerd, onderhouden en getest op basis van de bedrijfscontinuïteitdoelstellingen en ICT-continuïteitseisen.

Reservekopieën van informatie, software en systemen moeten worden bewaard en regelmatig worden getest in overeenstemming met het afgesproken onderwerp specifieke beleid voor back-up.

Medewerkers krijgen regelmatige security awareness training om beveiligingsrisico's te herkennen en te behandelen.

Toegang tot informatie en systemen wordt verleend op basis van minimale rechten en regelmatig geëvalueerd.

Het bedrijf onderhoudt een risicomanagementkader om beveiligingsrisico's te identificeren, beoordelen en beperken.