Organisaatio suojaa julkisten tai yksityisten verkkojen kautta siirrettyjä tietoja kolmansien osapuolten lukemiselta tai manipuloinnilta:

• tunnistanut ja dokumentoinut tiedonsiirtoon käytettävät verkkopalvelut.
• Määrittänyt verkkopalvelujen käyttöä koskevat käytännöt ja menettelyt luokitusvaatimusten mukaisesti.
• Toteuttanut toimenpiteitä, joilla suojataan tosiasiallisesti siirrettyjä tietoja luvattomalta käytöltä.

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

• vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
• dokumentoidaan häiriön tyyppi ja syy
• dokumentoidaan häiriöön liittyneet riskit
• käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
• määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
• määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
• määritetään tarve häiriön jälkianalyysille

Tietoturvapolitiikkaan ja -menettelyihin on sisällyttävä vaatimustenmukaisuutta koskevat vaatimukset.

Organisaation on dokumentoitava tietoturvan hallintajärjestelmä ja organisaation toimintamalli niiden täyttämiseksi.

Dokumentoinnissa on myös kuvattava organisaation politiikka lakien, asetusten, standardien ja sopimusvelvoitteiden noudattamisen osalta.

Organisaation on luotava turvalliset ja standardoidut kokoonpanot kaikkiin verkkokomponentteihin seuraavasti:

• toteuttamalla peruskonfiguraatio ja suojaustoimenpiteet, jotka ovat linjassa toimittajan ohjeiden, asiaankuuluvien standardien ja alan parhaiden käytäntöjen kanssa.
• Määritellään menettelyt, joilla rajoitetaan, lukitaan tai lopetetaan automaattisesti järjestelmä- ja etäkäyttöistunnot, kun ne ovat olleet tietyn ajan käyttämättä.
• Varmistetaan, että kaikissa verkkopalvelusopimuksissa, riippumatta siitä, ovatko ne konsernin sisäisten ICT-palvelujen tarjoajien vai kolmansien osapuolten toimittajien hoitamia, määritellään selkeästi ICT- ja tietoturvavaatimukset, palvelutasot ja johdon odotukset.

Organisaation tulee pystyä valvomaan, että laitteita, tietojärjestelmiä sekä verkkoja ylläpidetään määriteltyjen konfiguraatioiden (ml. turvallisuusominaisuudet) mukaisina sekä käyttöönottovaiheessa että koko elinkaarensa ajan.

Tätä varten organisaatio on määritellyt vakiomallit laitteiden, tietojärjestelmien sekä verkkojen turvallisille konfiguraatioille. Vakiomalleja määritettäessä huomioidaan:

• julkisesti saatavilla olevia ohjeita (esim. mallit toimittajilta ja riippumattomilta turvallisuusorganisaatioilta)
• eri omaisuudelta tarvittava suojataso
• liittyvien tietoturvavaatiusten täyttäminen
• konfiguraatioiden toteutettavuus ja soveltuvuus organisaation toimintaan

Vakiomallit tulee tarkistaa säännöllisesti ja päivittää, kun merkittäviin uusiin uhkiin tai haavoittuvuuksiin on reagoitava tai uusia ohjelmisto- tai laiteversioita julkaistaan.

Seuraavat seikat tulee ottaa huomioon vakiomalleja määriteltäessä:

• pääkäyttäjätason oikeuksien määrä minimoidaan
• tarpeettomat käyttöoikeudet poistetaan käytöstä
• tarpeettomat toiminnot ja palvelut poistetaan käytöstä
• pääsyä tehokkaisiin apuohjelmiin ja tärkeisiin asetuksiin valvotaan tarkasti
• kellot synkronoidaan
• toimittajan oletussalasanat muutetaan välittömästi ja turvallisuuteen liittyvät asetukset tarkistetaan
• aikakatkaisutoimintoja käytetään tarvittaessa (esim. automaattinen uloskirjautuminen)
• lisenssivaatimuksia noudatetaan

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

• Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
• Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
• Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
• Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
• Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
• Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
• Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
• Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
• Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
• Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.