Zarządzanie aktywami
Dane, personel, urządzenia, systemy i obiekty, które umożliwiają organizacji osiągnięcie celów biznesowych, są identyfikowane i zarządzane zgodnie z ich względną ważnością dla celów biznesowych organizacji i strategii ryzyka.

Urządzenia i systemy fizyczne w organizacji są inwentaryzowane
Platformy programowe i aplikacje w ramach organizacji są inwentaryzowane
Mapowane są przepływy komunikacji i danych w organizacji
Zewnętrzne systemy informacyjne są katalogowane
Zasoby (np. sprzęt, urządzenia, dane i oprogramowanie) są szeregowane według ich klasyfikacji i wartości biznesowej
Określono role i obowiązki w zakresie bezpieczeństwa cybernetycznego dla wszystkich pracowników i interesariuszy zewnętrznych (np. dostawców, klientów, partnerów).

Otoczenie biznesowe
Misja, cele, interesariusze i działania organizacji są rozumiane i uszeregowane pod względem ważności; informacje te są wykorzystywane do podejmowania decyzji dotyczących ról w zakresie bezpieczeństwa cybernetycznego, odpowiedzialności i zarządzania ryzykiem.

Rola organizacji w łańcuchu dostaw została zidentyfikowana i zakomunikowana
Zidentyfikowano i zakomunikowano miejsce organizacji w infrastrukturze krytycznej i sektorze przedsiębiorstw.
zidentyfikowano i zakomunikowano priorytety misji, celów i działań organizacji
zidentyfikowano zależności i funkcje krytyczne dla dostarczania usług krytycznych
Zidentyfikowano wymagania dotyczące odporności w celu wsparcia świadczenia usług krytycznych.

Zarządzanie
Polityki, procedury i procesy zarządzania i monitorowania wymagań regulacyjnych, prawnych, ryzyka, środowiskowych i operacyjnych organizacji są zrozumiałe i stanowią podstawę zarządzania ryzykiem cyberbezpieczeństwa.

Polityka bezpieczeństwa informacji organizacji jest wdrożona.
Role i obowiązki w zakresie bezpieczeństwa informacji są skoordynowane i dopasowane do ról wewnętrznych i partnerów zewnętrznych.
Prawne i regulacyjne wymogi dotyczące bezpieczeństwa cybernetycznego, w tym obowiązki w zakresie prywatności i swobód obywatelskich, są rozumiane i uwzględniane.
Procesy zarządzania i zarządzania ryzykiem uwzględniają ryzyko związane z bezpieczeństwem cybernetycznym.

Kontrola dostępu
Dostęp do aktywów i powiązanych obiektów jest ograniczony do uprawnionych użytkowników, procesów lub urządzeń oraz do uprawnionych działań i transakcji.

Zarządzanie tożsamością i poświadczeniami dla uprawnionych urządzeń i użytkowników
Fizyczny dostęp do aktywów jest zarządzany i chroniony
zarządza się dostępem zdalnym
Zarządzanie prawami dostępu odbywa się z poszanowaniem zasady najmniejszych uprawnień i podziału obowiązków.
Chroniona jest integralność sieci, w tym w stosownych przypadkach segregacja sieci.

Świadomość
Personel i partnerzy organizacji otrzymują edukację w zakresie cyberbezpieczeństwa i są odpowiednio przeszkoleni do wykonywania obowiązków i odpowiedzialności związanych z bezpieczeństwem informacji zgodnie z odpowiednimi politykami, procedurami i umowami.

Wszyscy użytkownicy są poinformowani i przeszkoleni
Uprawnieni użytkownicy rozumieją role i obowiązki
Interesariusze zewnętrzni (np. dostawcy, klienci, partnerzy) rozumieją role i obowiązki
Kierownictwo wyższego szczebla rozumie role i obowiązki
Pracownicy ochrony fizycznej i bezpieczeństwa informacji rozumieją swoje role i obowiązki

Bezpieczeństwo danych
Informacje i zapisy (dane) są zarządzane zgodnie ze strategią ryzyka organizacji w celu ochrony poufności, integralności i dostępności informacji.

Dane w stanie spoczynku są chronione
Chronione są dane w tranzycie
Aktywa są formalnie zarządzane podczas usuwania, przekazywania i dysponowania nimi
Utrzymywana jest wystarczająca pojemność w celu zapewnienia dostępności
Wdrożone są środki ochrony przed wyciekiem danych
Do weryfikacji integralności oprogramowania, oprogramowania sprzętowego i informacji stosowane są mechanizmy kontroli integralności.
Środowisko(a) rozwojowe i testowe są oddzielone od środowiska produkcyjnego

Proces i procedury bezpieczeństwa informacji
Procesy i procedury bezpieczeństwa informacji (PR.IP): Polityki bezpieczeństwa (obejmujące cel, zakres, role, obowiązki, zaangażowanie kierownictwa i koordynację między jednostkami organizacyjnymi), procesy i procedury są utrzymywane i wykorzystywane do zarządzania ochroną systemów i aktywów informacyjnych.

Ustanowiona i utrzymywana jest podstawowa konfiguracja systemów informatycznych/sterowania przemysłowego.
Wdrożony jest cykl rozwoju systemu dla zarządzania systemami.
Istnieją procesy kontroli zmian konfiguracji.
Kopie zapasowe informacji są ustanowione, utrzymywane i okresowo testowane.
Przestrzegane są polityki i przepisy dotyczące fizycznego środowiska funkcjonowania aktywów organizacji.
Dane są niszczone zgodnie z polityką.
Procesy bezpieczeństwa są stale doskonalone
Skuteczność technologii ochrony jest udostępniana odpowiednim stronom Plany reagowania (reagowanie na incydenty i ciągłość działania) oraz plany odzyskiwania (odzyskiwanie po incydentach i odzyskiwanie po katastrofach) są wdrożone i zarządzane
plany reagowania i odzyskiwania są testowane
cyberbezpieczeństwo jest uwzględnione w polityce kadrowej (np. kontrola personelu)
Opracowano i wdrożono plan zarządzania podatnościami

Konserwacja
Konserwacja i naprawy elementów przemysłowego systemu sterowania i informacji są przeprowadzane zgodnie z polityką i procedurami.

Konserwacja i naprawa aktywów organizacyjnych jest wykonywana i rejestrowana w sposób terminowy, przy użyciu zatwierdzonych i kontrolowanych narzędzi.
Zdalna konserwacja aktywów organizacyjnych jest zatwierdzana, rejestrowana i wykonywana w sposób uniemożliwiający dostęp osób nieupoważnionych.

Technika ochronna
Techniczne rozwiązania w zakresie bezpieczeństwa są zarządzane w celu zapewnienia bezpieczeństwa i odporności systemów i aktywów, zgodnie z odpowiednimi politykami, procedurami i umowami.

Zapisy audytów/logów są określone, udokumentowane, wdrożone i przeglądane zgodnie z polityką
Nośniki wymienne są chronione, a ich użycie ograniczone zgodnie z polityką
Dostęp do systemów i aktywów jest kontrolowany z poszanowaniem zasady najmniejszej funkcjonalności
Sieci komunikacyjne i kontrolne są chronione

Anomalie i zdarzenia
Anomalie są wykrywane w odpowiednim czasie, a potencjalny wpływ zdarzeń jest zrozumiały.

Ustanawia się i zarządza bazą operacji sieciowych i oczekiwanych przepływów danych dla użytkowników i systemów
Obserwowane zdarzenia są analizowane w celu zrozumienia celów i metod ataku
Dane o zdarzeniach są agregowane i korelowane z wielu źródeł i czujników
Określany jest wpływ zdarzeń i ustalane są progi alarmowe dla incydentów

Stałe monitorowanie bezpieczeństwa
System informacyjny i aktywa są monitorowane w dyskretnych odstępach czasu w celu identyfikacji zdarzeń związanych z cyberbezpieczeństwem i weryfikacji skuteczności środków ochrony.

Sieć jest monitorowana w celu wykrycia potencjalnych zdarzeń związanych z bezpieczeństwem cybernetycznym
środowisko fizyczne jest monitorowane w celu wykrycia potencjalnych zdarzeń związanych z bezpieczeństwem cybernetycznym
Działania personelu są monitorowane w celu wykrycia potencjalnych zdarzeń związanych z bezpieczeństwem cybernetycznym
Wykryto złośliwy kod
Wykryto nieautoryzowany kod mobilny
Monitorowana jest aktywność zewnętrznych dostawców usług w celu wykrycia potencjalnych zdarzeń cyberbezpieczeństwa
Sprawdzana jest obecność nieautoryzowanego personelu, nieautoryzowanych połączeń, nieautoryzowanych urządzeń i nieautoryzowanego oprogramowania
Przeprowadzane są skanowania pod kątem podatności

Procesy wykrywania
Procesy i procedury wykrywania są utrzymywane i testowane w celu zapewnienia terminowej i odpowiedniej świadomości zdarzeń anomalnych.

Planowanie reakcji
Procesy i procedury reagowania są wdrażane i utrzymywane, aby zapewnić terminową reakcję na wykryte zdarzenia związane z bezpieczeństwem cybernetycznym.

Plan reagowania jest wdrażany w trakcie lub po wystąpieniu zdarzenia

Komunikacja
Działania w zakresie reagowania są koordynowane odpowiednio z wewnętrznymi i zewnętrznymi zainteresowanymi stronami, w tym z zewnętrznym wsparciem ze strony organów ścigania.

Personel zna swoją rolę i kolejność działań, gdy wymagana jest reakcja
Zdarzenia są zgłaszane zgodnie z ustalonymi kryteriami
Informacje są przekazywane zgodnie z planami reagowania
Koordynacja z zainteresowanymi stronami odbywa się zgodnie z planami reagowania
Dobrowolna wymiana informacji z zewnętrznymi zainteresowanymi stronami w celu uzyskania szerszej świadomości sytuacyjnej w zakresie bezpieczeństwa cybernetycznego

Analiza
Analiza jest przeprowadzana w celu zapewnienia odpowiedniej reakcji i wsparcia działań naprawczych.

Sprawdzane są raporty z systemów wykrywania
Zrozumiały jest wpływ zdarzenia
Prowadzone są badania kryminalistyczne
Incydenty są kategoryzowane zgodnie z planami reagowania

Planowanie odbudowy
Procesy i procedury odzyskiwania są wdrażane i utrzymywane w celu zapewnienia terminowego odzyskiwania systemów lub aktywów dotkniętych zdarzeniami związanymi z bezpieczeństwem cybernetycznym.

Plan naprawczy zostanie wdrożony w trakcie lub po wystąpieniu zdarzenia

Ulepszenia
Planowanie i procesy naprawcze zostaną udoskonalone poprzez uwzględnienie zdobytych doświadczeń w przyszłych działaniach.

Plany odbudowy uwzględniają wyciągnięte wnioski.
Strategie odbudowy są aktualizowane

Komunikacja
Działania naprawcze są koordynowane z podmiotami wewnętrznymi i zewnętrznymi, takimi jak centra koordynacyjne, dostawcy usług internetowych, właściciele atakowanych systemów, ofiary, inne CSIRT i sprzedawcy.

Zarządzanie relacjami publicznymi
Przywrócenie reputacji po zdarzeniu
Działania naprawcze są przekazywane wewnętrznym interesariuszom oraz zespołom wykonawczym i zarządzającym