Organisaation on ylläpidettävä ajantasaista dokumentaatiota kaikista verkkosegmenteissä käytettävistä viestintäprotokollista, erityisesti niistä, jotka on liitetty toimituskriittisiin järjestelmiin. Tämän dokumentaation tulisi sisältää:

• Luettelo kaikista kussakin verkkosegmentissä käytössä olevista protokollista (esim. TCP, UDP, Modbus, OPC UA, HTTPS, SNMP).
• Kunkin protokollan tarkoitus ja perustelut, mukaan lukien se, onko se toiminnan kannalta välttämätön.
• Kunkin protokollan tietoturvaominaisuudet (esim. salaus, todennus, eheyden suojaus).
• Liityntäpisteet ja rajat, joissa nämä protokollat kommunikoivat muiden segmenttien tai ulkopuolisten osapuolten kanssa.

Protokollia on tarkistettava säännöllisesti sen varmistamiseksi, että käytössä on vain välttämättömiä ja turvallisia protokollia. Kaikki turvattomat tai vanhentuneet protokollat olisi tunnistettava, niiden riskit olisi arvioitava ja ne olisi joko vähennettävä tai poistettava käytöstä.

Protokollien käytön muutosten on läpäistävä organisaation muutoksenhallintaprosessi, ja verkon omistajan tai tietoturvaryhmän on hyväksyttävä ne.

Arkkitehtuurikaavioiden ja verkkojärjestelmädokumentaation laatimiseksi ja ylläpitämiseksi organisaatio ryhtyy esimerkiksi ylläpitämään kattavaa luetteloa tietojärjestelmistä.

Organisaatio nimeää omistajat, jotka ovat vastuussa asiaan liittyvän dokumentaation ja turvatoimien loppuunsaattamisesta, ja varmistaa, että sitä tarkistetaan ja päivitetään säännöllisesti.

Tietojärjestelmien välisten rajapintojen ja yhteyksien dokumentointia ylläpidetään huolellisesti ja tarkistetaan mahdollisten muutosten integroimiseksi.

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

• luottamustason (esim. julkinen, työasemat, palvelin)
• organisaatioyksiköiden (esim. HR, taloushallinto)
• tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

• Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
• Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
• Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
• Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
• Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
• Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
• Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
• Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
• Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
• Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.