Wykorzystanie zasobów będzie na bieżąco monitorowane i dostosowywane do aktualnych oraz przewidywanych potrzeb w zakresie wydajności.

Firma wymaga, aby hasła do komponentów systemowych były konfigurowane zgodnie z obowiązującą polityką bezpieczeństwa.

Sieci firmy są segmentowane w celu ograniczenia dostępu między systemami i zminimalizowania skutków potencjalnych incydentów.

Wszystkie dane przesyłane przez sieci publiczne są szyfrowane przy użyciu TLS 1.2 lub wyżej.

Dane wrażliwe są szyfrowane w spoczynku przy użyciu AES-256 lub równoważnych standardów.

Firma posiada plany ciągłości działania i awaryjne, które określają procedury komunikacji, zapewniając ochronę informacji w przypadku nieobecności kluczowego personelu.

Firma posiada udokumentowany plan ciągłości działania/odzyskiwania po katastrofie (BC/DR) i testuje go corocznie.

Gotowość ICT powinna być planowana, wdrażana, utrzymywana i testowana na podstawie celów ciągłości działania i wymagań ciągłości ICT.

Kopie zapasowe informacji, oprogramowania i systemów będą utrzymywane i regularnie testowane zgodnie z uzgodnioną polityką dotyczącą kopii zapasowych.

Pracownicy regularnie uczestniczą w szkoleniach z bezpieczeństwa, by rozpoznawać zagrożenia i reagować na nie.

Dostęp do informacji i systemów jest przyznawany na zasadzie minimalnych uprawnień i regularnie weryfikowany.

Firma utrzymuje udokumentowany system zarządzania ryzykiem do identyfikacji i ograniczania ryzyk bezpieczeństwa.