Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Kartoita työprosessien, käyttäjien, laitteiden ja palvelujen välinen tiedonkulku. Tämä kartoitus auttaa organisaatiota ymmärtämään tiedonkulkua paremmin.

Organisaation on tunnistettava, mitä lakeja ja asetuksia sen on noudatettava. Näiden lakien ja asetusten perusteella organisaatio määrittää strategian ja ohjeet tietojen lokitusta ja analysointia varten.

Strategiassa ja ohjeissa tulisi kuvata seuraavat asiat:

• Kerättyjen tietojen tarkoitus ja käyttö
• Mitä tietoja kerätään
• Miten tiedot tallennetaan
• Kerättyjen tietojen säilytysaika
• Lakien ja asetusten velvoittamien tietoon liittyvien asioiden tiedottaminen asianomaisille sidosryhmille.

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

• luvatun palvelutason tarkkailu
• toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
• riippumattomien auditointien säännöllinen järjestäminen
• auditoinneissa tunnistettujen ongelmien seuranta
• tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
• toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.

Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.

Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.

Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:

• lähtevä ja saapuva verkko- ja tietojärjestelmäliikenne
• pääsy kriittisiin tietojärjestelmiin, palvelimiin, verkkolaitteisiin ja itse valvontajärjestelmään
• kriittiset järjestelmä- ja verkkomääritystiedostot
• lokit suojaustyökaluista (esim. virustorjunta, IDS, IPS, verkkosuodattimet, palomuurit)
• verkon ja tietojärjestelmien käyttöön liittyvät tapahtumalokit
• suoritettavan koodin tarkistukset
• resurssien käyttö (esim. CPU, kiintolevyt, muisti, kaistanleveys) ja niiden suorituskyky

Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.