Beheer van activa
De gegevens, het personeel, de apparaten, de systemen en de faciliteiten die de organisatie in staat stellen haar bedrijfsdoelstellingen te bereiken, worden geïdentificeerd en beheerd in overeenstemming met hun relatieve belang voor de bedrijfsdoelstellingen en de risicostrategie van de organisatie.

Fysieke apparaten en systemen binnen de organisatie worden geïnventariseerd.
Software platforms en applicaties binnen de organisatie worden geïnventariseerd.
De communicatie- en gegevensstromen binnen de organisatie worden in kaart gebracht.
Externe informatiesystemen worden gecatalogiseerd
Middelen (bv. hardware, apparaten, gegevens en software) worden geprioriteerd op basis van hun classificatie, en bedrijfswaarde.
Cyberbeveiligingsrollen en -verantwoordelijkheden voor het voltallige personeel en externe belanghebbenden (bv. leveranciers, klanten, partners) worden vastgesteld.

Bedrijfsomgeving
De missie, doelstellingen, belanghebbenden en activiteiten van de organisatie worden begrepen en geprioriteerd; deze informatie wordt gebruikt om beslissingen te nemen over rollen, verantwoordelijkheden en risicobeheer op het gebied van cyberbeveiliging.

De rol van de organisatie in de toeleveringsketen wordt geïdentificeerd en gecommuniceerd
De plaats van de organisatie in de kritieke infrastructuur en de bedrijfssector wordt geïdentificeerd en meegedeeld
De prioriteiten voor de missie, doelstellingen en activiteiten van de organisatie worden vastgesteld en meegedeeld.
De afhankelijkheden en kritieke functies voor de levering van kritieke diensten worden vastgesteld
De vereisten inzake veerkracht om de levering van kritieke diensten te ondersteunen, worden vastgesteld

Governance
Het beleid, de procedures en de processen voor het beheer van en het toezicht op de regelgevings-, juridische, risico-, milieu- en operationele vereisten van de organisatie worden begrepen en vormen de basis voor het beheer van cyberbeveiligingsrisico's.

Het informatiebeveiligingsbeleid van de organisatie is vastgesteld.
De rollen en verantwoordelijkheden op het gebied van informatiebeveiliging zijn gecoördineerd en afgestemd op interne rollen en externe partners.
Er is inzicht in en er wordt omgegaan met de wettelijke en regelgevingsvereisten inzake cyberbeveiliging, met inbegrip van de verplichtingen op het gebied van privacy en burgerlijke vrijheden.
Governance- en risicobeheerprocessen zijn gericht op cyberbeveiligingsrisico's.

Toegangscontrole
De toegang tot bedrijfsmiddelen en bijbehorende faciliteiten is beperkt tot geautoriseerde gebruikers, processen of apparaten, en tot geautoriseerde activiteiten en transacties.

Identiteiten en legitimatiebewijzen worden beheerd voor geautoriseerde apparaten en gebruikers
Fysieke toegang tot bedrijfsmiddelen wordt beheerd en beschermd
Toegang op afstand wordt beheerd
De toegangsrechten worden beheerd, met inachtneming van de beginselen van "least privilege" en scheiding van taken
De integriteit van het netwerk wordt beschermd, met inbegrip van netwerksegregatie waar nodig

Bewustwording
Het personeel en de partners van de organisatie krijgen voorlichting over cyberbeveiliging en zijn voldoende opgeleid om hun informatiebeveiliging gerelateerde taken en verantwoordelijkheden uit te voeren in overeenstemming met het desbetreffende beleid, de desbetreffende procedures en de desbetreffende overeenkomsten.

Alle gebruikers zijn geïnformeerd en opgeleid
Bevoegde gebruikers begrijpen rollen en verantwoordelijkheden
Externe belanghebbenden (bijv. leveranciers, klanten, partners) begrijpen taken en verantwoordelijkheden
Hogere leidinggevenden begrijpen rollen en verantwoordelijkheden
Fysieke en informatiebeveiligingsmedewerkers begrijpen taken en verantwoordelijkheden

Gegevensbeveiliging
Informatie en records (gegevens) worden beheerd in overeenstemming met de risicostrategie van de organisatie om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te beschermen.

Gegevens in ruste worden beschermd
Gegevens in doorvoer worden beschermd
Activa worden formeel beheerd tijdens de verwijdering, overdracht en vervreemding
Er wordt voldoende capaciteit gehandhaafd om de beschikbaarheid te waarborgen
Er worden beschermingsmaatregelen tegen het lekken van gegevens geïmplementeerd
Er worden integriteitscontrolemechanismen gebruikt om de integriteit van software, firmware en informatie te verifiëren
De ontwikkelings- en testomgeving(en) zijn gescheiden van de productieomgeving

Proces en procedures voor informatiebeveiliging
Processen en procedures voor informatiebeveiliging (PR.IP): Er worden beveiligingsbeleidsmaatregelen (die betrekking hebben op het doel, het toepassingsgebied, de rollen, de verantwoordelijkheden, de inzet van het management en de coördinatie tussen organisatorische entiteiten), processen en procedures in stand gehouden en gebruikt om de bescherming van informatiesystemen en -middelen te beheren.

Er wordt een basisconfiguratie van informatietechnologie/industriële controlesystemen opgesteld en onderhouden.
Er wordt een systeemontwikkelingscyclus voor het beheer van systemen geïmplementeerd.
Er zijn controle processen voor configuratiewijzigingen.
Er worden back-ups van informatie gemaakt, onderhouden en periodiek getest.
Er wordt voldaan aan het beleid en de voorschriften met betrekking tot de fysieke bedrijfsomgeving voor bedrijfsmiddelen van de organisatie
Gegevens worden vernietigd volgens het beleid
Beveiligingsprocessen worden voortdurend verbeterd
De effectiviteit van beschermingstechnologieën wordt gedeeld met de juiste partijen er responsplannen (Incident Response en Business Continuity) en herstelplannen (Incident Recovery en Disaster Recovery) aanwezig zijn en beheerd worden
Response- en herstelplannen worden getest
Cyberbeveiliging wordt opgenomen in personeelsbeleid (bijv. personeelsscreening)
Er wordt een plan voor kwetsbaarheidsbeheer ontwikkeld en uitgevoerd

Onderhoud
Onderhoud en reparaties van industriële besturings- en informatiesysteemcomponenten worden uitgevoerd in overeenstemming met beleid en procedures.

Onderhoud en reparatie van organisatorische middelen worden tijdig uitgevoerd en geregistreerd, met goedgekeurde en gecontroleerde gereedschappen.
Onderhoud op afstand van organisatorische bedrijfsmiddelen wordt goedgekeurd, geregistreerd en uitgevoerd op een wijze die ongeoorloofde toegang voorkomt

Beschermende technologie
Technische beveiligingsoplossingen worden beheerd om de veiligheid en veerkracht van systemen en bedrijfsmiddelen te waarborgen, in overeenstemming met gerelateerd beleid, procedures en overeenkomsten.

Audit/log records worden bepaald, gedocumenteerd, geïmplementeerd en geëvalueerd in overeenstemming met het beleid
Verwijderbare media worden beschermd en het gebruik ervan wordt beperkt conform het beleid
De toegang tot systemen en bedrijfsmiddelen wordt gecontroleerd, met inachtneming van het beginsel van de minste functionaliteit
Communicatie- en controle netwerken worden beschermd

Anomalieën en gebeurtenissen
Anomalieën worden tijdig gedetecteerd en de potentiële impact van gebeurtenissen wordt begrepen.

Er wordt een basislijn van netwerkoperaties en verwachte gegevensstromen voor gebruikers en systemen opgesteld en beheerd
Geconstateerde gebeurtenissen worden geanalyseerd om inzicht te krijgen in aanvalsdoelen en -methoden
Gebeurtenisgegevens worden samengevoegd en gecorreleerd uit meerdere bronnen en sensoren
De impact van gebeurtenissen wordt bepaald en drempelwaarden voor incidentenwaarschuwingen worden vastgesteld

Doorlopende bewaking van de beveiliging
Het informatiesysteem en de bedrijfsmiddelen worden met discrete tussenpozen gemonitord om cyberbeveiligingsgebeurtenissen te identificeren en de effectiviteit van beschermingsmaatregelen te verifiëren.

Het netwerk wordt gemonitord om potentiële cyberbeveiligingsgebeurtenissen op te sporen
De fysieke omgeving wordt gemonitord om potentiële cyberbeveiligingsgebeurtenissen op te sporen
Personeelsactiviteiten worden gemonitord om potentiële cyberbeveiligingsgebeurtenissen op te sporen
Kwaadaardige code wordt gedetecteerd
Onbevoegde mobiele code wordt gedetecteerd
De activiteit van externe dienstverleners wordt gecontroleerd om potentiële cyberbeveiligingsgebeurtenissen op te sporen
Er wordt gecontroleerd op onbevoegd personeel, onbevoegde verbindingen, onbevoegde apparaten en onbevoegde software
Scans op kwetsbaarheden worden uitgevoerd

Detectieprocessen
Detectieprocessen en -procedures worden onderhouden en getest om tijdige en adequate bewustwording van afwijkende gebeurtenissen te waarborgen.

Reactieplanning
Response processen en procedures worden uitgevoerd en onderhouden, om tijdige respons op gedetecteerde cyberbeveiligingsgebeurtenissen te verzekeren.

Responseplan wordt uitgevoerd tijdens of na een gebeurtenis

Communicatie
Responseactiviteiten worden gecoördineerd met interne en externe belanghebbenden, waar nodig, met inbegrip van externe ondersteuning door rechtshandhavingsinstanties.

Het personeel kent zijn rol en de volgorde van operaties wanneer een respons nodig is
Gebeurtenissen worden gemeld in overeenstemming met de vastgestelde criteria
Informatie wordt gedeeld in overeenstemming met de reactieplannen
De coördinatie met de belanghebbenden geschiedt in overeenstemming met de reactieplannen
Vrijwillige uitwisseling van informatie met externe belanghebbenden om een breder situationeel bewustzijn van cyberbeveiliging te bereiken

Analyse
Er wordt een analyse uitgevoerd om een adequate reactie te waarborgen en herstelactiviteiten te ondersteunen.

Meldingen van detectiesystemen worden onderzocht
De impact van het incident wordt begrepen
Forensisch onderzoek wordt uitgevoerd
Incidenten worden gecategoriseerd in overeenstemming met de reactieplannen

Planning van herstel
Herstelprocessen en -procedures worden uitgevoerd en bijgehouden om een tijdig herstel van door cyberbeveiligingsgebeurtenissen getroffen systemen of activa te waarborgen.

Het herstelplan wordt tijdens of na een gebeurtenis uitgevoerd

Verbeteringen
De herstelplanning en -processen worden verbeterd door de geleerde lessen in toekomstige activiteiten te verwerken.

In de herstelplannen worden de geleerde lessen verwerkt.
Herstelstrategieën worden geactualiseerd

Communicatie
De herstelactiviteiten worden gecoördineerd met interne en externe partijen, zoals coördinatiecentra, Internet Service Providers, eigenaars van aanvallende systemen, slachtoffers, andere CSIRT's en verkopers.

Public relations worden beheerd
De reputatie na een gebeurtenis wordt hersteld
Herstelactiviteiten worden gecommuniceerd naar interne belanghebbenden en directie- en managementteams