Forvaltning av eiendeler
Data, personell, utstyr, systemer og fasiliteter som gjør det mulig for organisasjonen å nå sine forretningsmål, identifiseres og forvaltes i henhold til deres relative betydning for organisasjonens forretningsmål og risikostrategi.

Fysiske enheter og systemer i organisasjonen er kartlagt.
Programvareplattformer og applikasjoner i organisasjonen er kartlagt.
Kommunikasjon og dataflyt i organisasjonen kartlegges.
Eksterne informasjonssystemer katalogiseres
Ressurser (f.eks. maskinvare, enheter, data og programvare) prioriteres i henhold til klassifisering og forretningsverdi.
Cybersikkerhetsroller og -ansvar for alle ansatte og eksterne interessenter (f.eks. leverandører, kunder, partnere) er definert.

Forretningsmiljø
Organisasjonens oppdrag, mål, interessenter og aktiviteter er forstått og prioritert; denne informasjonen brukes til å ta beslutninger om cybersikkerhetsroller, ansvar og risikostyring.

Organisasjonens rolle i forsyningskjeden er identifisert og kommunisert.
Organisasjonens plass i kritisk infrastruktur og næringsliv er identifisert og kommunisert.
Prioriteringene for organisasjonens oppdrag, mål og aktiviteter er identifisert og kommunisert.
Avhengigheter og kritiske funksjoner for levering av kritiske tjenester er identifisert.
Krav til motstandsdyktighet for å støtte leveringen av kritiske tjenester er identifisert.

Styring
Retningslinjer, prosedyrer og prosesser for styring og overvåking av organisasjonens regulatoriske, juridiske, risiko-, miljømessige og operasjonelle krav er forstått og danner grunnlaget for risikostyring av cybersikkerhet.

Organisasjonens retningslinjer for informasjonssikkerhet er på plass.
Informasjonssikkerhetsroller og -ansvar er koordinert og tilpasset interne roller og eksterne partnere.
Juridiske og regulatoriske krav til cybersikkerhet, herunder forpliktelser knyttet til personvern og borgerrettigheter, er forstått og ivaretatt.
Styrings- og risikostyringsprosessene tar hensyn til cybersikkerhetsrisikoer.

Adgangskontroll
Tilgang til eiendeler og tilknyttede fasiliteter er begrenset til autoriserte brukere, prosesser eller enheter, og til autoriserte aktiviteter og transaksjoner.

Identiteter og legitimasjon administreres for autoriserte enheter og brukere.
Fysisk tilgang til eiendeler administreres og beskyttes
Fjerntilgang administreres
Tilgangsrettigheter administreres i samsvar med prinsippene om minste privilegium og arbeidsdeling.
Nettverksintegriteten er beskyttet, inkludert nettverkssegregering der det er hensiktsmessig.

Bevissthet
Organisasjonens ansatte og partnere får opplæring i cybersikkerhet og er tilstrekkelig opplært til å utføre sine informasjonssikkerhetsrelaterte oppgaver og ansvarsområder i samsvar med relevante retningslinjer, prosedyrer og avtaler.

Alle brukere er informert og opplært
Autoriserte brukere forstår roller og ansvar
Eksterne interessenter (f.eks. leverandører, kunder, partnere) forstår roller og ansvar.
Ledere forstår roller og ansvarsområder
Personalet som arbeider med fysisk sikkerhet og informasjonssikkerhet forstår roller og ansvar.

Datasikkerhet
Informasjon og registreringer (data) forvaltes i tråd med organisasjonens risikostrategi for å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet.

Data i hvile er beskyttet
Data i transitt er beskyttet
Eiendeler forvaltes formelt under avhending, overføring og disponering.
Tilstrekkelig kapasitet opprettholdes for å sikre tilgjengelighet
beskyttelsestiltak mot datalekkasje er iverksatt
Integritetskontrollmekanismer brukes for å verifisere integriteten til programvare, fastvare og informasjon.
Utviklings- og testmiljøet(ene) er atskilt fra produksjonsmiljøet.

Prosesser og prosedyrer for informasjonssikkerhet
Prosesser og prosedyrer for informasjonssikkerhet (PR.IP): Sikkerhetspolicyer (som dekker formål, omfang, roller, ansvar, ledelsens engasjement og koordinering mellom organisatoriske enheter), prosesser og prosedyrer opprettholdes og brukes til å styre beskyttelsen av informasjonssystemer og eiendeler.

En grunnleggende konfigurasjon av informasjonsteknologi/industrielle kontrollsystemer etableres og vedlikeholdes.
En systemutviklingssyklus for styring av systemer er implementert.
Det finnes kontrollprosesser for konfigurasjonsendringer.
Sikkerhetskopier av informasjon etableres, vedlikeholdes og testes med jevne mellomrom.
Retningslinjer og forskrifter for organisasjonens fysiske driftsmiljø for eiendeler overholdes.
Data tilintetgjøres i henhold til retningslinjene.
Sikkerhetsprosessene forbedres kontinuerlig
Effektiviteten av beskyttelsesteknologier deles med relevante parter responsplaner (hendelsesrespons og forretningskontinuitet) og gjenopprettingsplaner (hendelsesgjenoppretting og katastrofegjenoppretting) er på plass og forvaltes.
Reaksjons- og gjenopprettingsplaner testes
Cybersikkerhet er inkludert i personalpolitikken (f.eks. personellscreening).
En sårbarhetsstyringsplan er utviklet og implementert

Vedlikehold
Vedlikehold og reparasjoner av industrielle kontroll- og informasjonssystemkomponenter utføres i samsvar med retningslinjer og prosedyrer.

Vedlikehold og reparasjon av organisasjonens eiendeler utføres og registreres i tide ved hjelp av godkjente og kontrollerte verktøy.
Fjernvedlikehold av organisasjonens eiendeler er godkjent, registrert og utført på en måte som forhindrer uautorisert tilgang.

Beskyttende teknologi
Tekniske sikkerhetsløsninger forvaltes for å sikre sikkerheten og robustheten til systemer og eiendeler, i samsvar med tilhørende retningslinjer, prosedyrer og avtaler.

Revisjons-/loggregistreringer fastsettes, dokumenteres, gjennomføres og gjennomgås i samsvar med retningslinjene.
Flyttbare medier beskyttes og bruken av dem begrenses i samsvar med retningslinjene.
Tilgang til systemer og eiendeler kontrolleres i samsvar med prinsippet om minst mulig funksjonalitet.
Kommunikasjons- og kontrollnettverk er beskyttet

Avvik og hendelser
Avvik oppdages i tide, og den potensielle virkningen av hendelser blir forstått.

En grunnlinje for nettverksoperasjoner og forventede datastrømmer for brukere og systemer etableres og forvaltes.
Observerte hendelser analyseres for å forstå angrepsmål og -metoder.
Hendelsesdata aggregeres og korreleres fra flere kilder og sensorer.
Virkningen av hendelser bestemmes, og terskler for hendelsesvarsler fastsettes.

Kontinuerlig overvåking av sikkerheten
Informasjonssystemet og eiendelene overvåkes med jevne mellomrom for å identifisere cybersikkerhetshendelser og verifisere effektiviteten av beskyttelsestiltakene.

Nettverket overvåkes for å oppdage potensielle cybersikkerhetshendelser.
Det fysiske miljøet overvåkes for å oppdage potensielle cybersikkerhetshendelser.
Personalets aktiviteter overvåkes for å oppdage potensielle cybersikkerhetshendelser.
Ondsinnet kode oppdages
Uautorisert mobilkode oppdages
Eksterne tjenesteleverandørers aktivitet overvåkes for å oppdage potensielle cybersikkerhetshendelser.
Det kontrolleres for uautorisert personell, uautoriserte tilkoblinger, uautoriserte enheter og uautorisert programvare.
Skanninger for sårbarheter utføres

Påvisningsprosesser
Deteksjonsprosesser og -prosedyrer opprettholdes og testes for å sikre rettidig og tilstrekkelig bevissthet om unormale hendelser.

Planlegging av tiltak
Reaksjonsprosesser og -prosedyrer implementeres og vedlikeholdes for å sikre rettidig respons på oppdagede cybersikkerhetshendelser.

Beredskapsplanen iverksettes under eller etter en hendelse

Kommunikasjon
Reaksjonsaktivitetene koordineres med interne og eksterne interessenter etter behov, herunder ekstern støtte fra rettshåndhevende myndigheter.

Personalet kjenner sin rolle og operasjonsrekkefølgen når det kreves en respons
Hendelser rapporteres i samsvar med fastsatte kriterier
Informasjon deles i samsvar med innsatsplaner
Koordinering med interessenter skjer i samsvar med responsplaner.
Frivillig informasjonsdeling med eksterne interessenter for å oppnå bredere situasjonsbevissthet om cybersikkerhet.

Analyse
Analyser utføres for å sikre tilstrekkelig respons og støtte gjenopprettingsaktiviteter.

Rapporter fra deteksjonssystemer undersøkes
Virkningen av hendelsen blir forstått
kriminaltekniske undersøkelser gjennomføres
Hendelser kategoriseres i samsvar med responsplaner.

Planlegging av gjenoppretting
Gjenopprettingsprosesser og -prosedyrer iverksettes og vedlikeholdes for å sikre rettidig gjenoppretting av systemer eller eiendeler som er berørt av cybersikkerhetshendelser.

Gjenopprettingsplanen skal iverksettes under eller etter en hendelse.

Forbedringer
Gjenopprettingsplanlegging og -prosesser vil bli forbedret ved å innlemme erfaringene i fremtidige aktiviteter.

Gjenopprettingsplaner inkorporerer erfaringer som er gjort.
Gjenopprettingsstrategiene oppdateres

Kommunikasjon
Gjenopprettingsaktiviteter koordineres med interne og eksterne parter, for eksempel koordineringssentre, internettleverandører, eiere av angripende systemer, ofre, andre CSIRT-er og leverandører.

Public relations håndteres
Omdømmet gjenopprettes etter hendelsen
Gjenopprettingsaktivitetene kommuniseres til interne interessenter og ledergrupper.