забезпечити гарантію того, що права доступу не будуть активовані (наприклад, провайдером послуг) до завершення процедур авторизації

періодичний перегляд прав доступу разом з власниками ІС і сервісів

зміна прав доступу користувачів, у яких змінилася роль або робота, і негайне скасування або блокування прав доступу користувачів після їх звільнення

ведення централізованих записів прав доступу, наданих кодів користувача для доступу до ІС і сервісів

забезпечення спеціальних процедур для запобігання несанкціонованому використанню універсальних адміністративних ідентифікаторів з урахуванням особливостей системної конфігурації

мати захист від шкідливого ПЗ

підтверджувати інформацію початку сеансу тільки по завершенні введення всіх вихідних даних, а в разі помилкового введення не показувати, яка частина даних є правильною або неправильною

забезпечувати резервне копіювання

використовувати веб-сервіси і веб-додатки

використовувати дистанційне виключення, видалення або блокування

необхідно вимагати, щоб всі співробітники, підрядники та представники сторонніх організацій носили ту чи іншу форму видимого ідентифікатора і негайно повідомляли співробітників служби безпеки про помічені без супроводу відвідувачів та осіб, що не носять видимого ідентифікатора

необхідно фізично ізолювати засоби обробки інформації, керовані організацією, від таких же засобів, керованих сторонніми організаціями

повинні бути встановлені фізичні бар'єри для запобігання несанкціонованого фізичного доступу та екологічного забруднення

повинні бути встановлені необхідні системи виявлення вторгнення, що відповідають чинним стандартам, і регулярно тестуватись на предмет охоплення всіх зовнішніх дверей і доступних вікон, неохоплені зони необхідно ставити на цілодобову сигналізацію; охоплені повинні бути також і такі зони, як комп'ютерний кабінет або кімнати зв'язку

всі пожежні виходи в периметрі безпеки повинні бути обладнані аварійною сигналізацією, моніторитись і тестуватись разом зі стінами, щоб створити необхідний рівень стійкості відповідно до діючих стандартів

спроможність надати докази заявленої події або дії та їх джерела

управління технічними уразливими

управління засобами криптографії

захист від шкідливого ПЗ

безпека комунікацій

визначення відповідальності різних ролей з урахуванням специфіки управління ІБ

визначення ІБ, її цілей і принципів для керівництва діями щодо забезпечення ІБ

особистої відповідальність за кожен актив і процес ІБ

можливості отримання консультацій фахівців з питань ІБ особистої відповідальність за кожен актив і процес ІБ

перевірки достовірності документів про освіту і професійну кваліфікацію

контрольовану зону розповсюдження сигналу

особистої відповідальність за кожен мобільний пристрій

існуючу фізичну безпеку місця віддаленої роботи, включаючи фізичну безпеку будівлі і навколишнього середовища

визначення відповідальності різних ролей з урахуванням специфіки управління віддаленим робочим столом

захист від технічних каналів витоку інформації

безпека активів поза територією організації

процедури безпечного входу

безпека обладнання без нагляду

безпечне знищення активів

політика чистого робочого столу і екрану

забезпечення конфіденційності при спільному використанні пароля універсальних адміністративних ідентифікаторів (наприклад, часта зміна паролів, особливо при звільненні або зміні роботи, їх передача за допомогою спеціальних механізмів)

визначення і документування рівнів повноважень щодо системного ПЗ

ідентифікатор користувача з правами привілейованого доступу повинен відрізнятися від ідентифікаторів, що виконують звичайну роботу, і не повинен її виконувати

забезпечення спеціальних процедур для запобігання несанкціонованому використанню універсальних адміністративних ідентифікаторів з урахуванням особливостей системної конфігурації

повноваження користувачів з правами привілейованого доступу повинні регулярно переглядатися на предмет відповідності їх обов'язків

наявність позитивних рекомендацій, зокрема, щодо ділових та особистих якостей претендента

перевірку біографії кандидата (на предмет повноти і точності

перевірка достовірності документів про освіту і професійну кваліфікацію

активи і процеси ІБ повинні бути ідентифіковані та визначено

незалежна перевірка достовірності документів, що засвідчують особу (паспорта або документа, що його замінює)

контроль прав доступу користувачів, наприклад, читання, запис, видалення, зміна

оновлення бібліотек вихідного коду програм і пов'язаних з ним елементів, а також надання вихідного коду програмістам повинні здійснюватися тільки після отримання ними відповідних повноважень

створення пунктів меню управління доступом до прикладних функцій системи

контроль прав доступу інших прикладних програм

контроль, до яких даних може отримати доступ конкретний користувач