Varmistaakseen valtuutetun pääsyn ja estääkseen luvattoman pääsyn tietoihin ja muihin niihin liittyviin resursseihin organisaatio on määritellyt ja ottanut käyttöön selkeät säännöt fyysistä ja loogista pääsynvalvontaa varten.

Säännöt otetaan käyttöön ja niitä valvotaan useiden eri tehtävien avulla, mutta ne on myös yhdistetty pääsynvalvontapolitiikaksi selkeää viestintää ja tarkastelua varten.

Kaikki tilit, käyttöoikeudet ja etuoikeudet olisi voitava jäljittää niistä vastaavaan rooliin ja ne hyväksyneeseen henkilöön.

Toimittajasopimuksiin on sisällytettävä suorille toimittajille ja palveluntarjoajille suunnattuja vaatimuksia organisaation valmiuden, fyysisen turvallisuuden ja kyberturvallisuuden varmistamiseksi. Tavoitteena on varmistaa, että toimittajat ryhtyvät asianmukaisiin toimenpiteisiin riskien hallitsemiseksi ja toimitusvarmuuteen sekä yrityksen verkko- ja tietojärjestelmiin vaikuttavien vaaratilanteiden käsittelemiseksi.

Organisaation tulisi sisällyttää toimittajasopimukseen tarpeen mukaan:

• menettelyt, jotka koskevat turvallista etäkäyttöä toimituskriittisiin verkkoihin ja järjestelmiin.
• vaatimukset merkittävien tietoturvaloukkausten hallinnasta ja raportoinnista
• tarvittaessa osallistuminen yrityksen valmiusharjoituksiin.
• merkittävien palvelujen alihankkijoiden hyväksyntä ja valvonta.
• välttämättömien ja luottamuksellisten tietojen omistusoikeuden säilyttäminen yrityksellä.
• toimittajan velvollisuus osoittaa näiden vaatimusten noudattaminen.

Organisaatio ottaa käyttöön tiukat valvontatoimet huoltotyökalujen ja kannettavien tallennuslaitteiden käytölle organisaation OT/ICS-ympäristöissä ja valvoo niiden käyttöä. Esimerkkejä toimista:

• Huoltotyökalujen, kuten diagnostisten testilaitteiden, pakettinuusijoiden ja kannettavien tietokoneiden, hyväksymis- ja valvontaprosessien käyttöönotto.
• Varmistetaan, että kaikki huoltovälineet ja kannettavat laitteet tarkastetaan laitokseen tullessa ja suojataan haittaohjelmien torjuntaratkaisuilla ennen niiden käyttöä kriittisissä järjestelmissä.
• Kriittisiä järjestelmätietoja sisältävät laitteet on suojattava ja niiden luvaton poistaminen on estettävä.

Organisaation on sisällyttänyt toiminnan jatkuvuuden edellyttämät palvelutasovaatimukset osaksi hankintavaatimuksia ja sopimuksia.

Etenkin kriittisten toimintojen kannalta välttämättömistä tietojenkäsittely-ympäristön osista (mm. näitä toimintoja tukevat tietojärjestelmät ja kumppanit) on tärkeää sopia tavalla, jolla taataan palvelujen riittävä saatavuus. Sopimuksiin voidaan sisällyttää vaatimuksia mm. yleisestä palvelutasosta (SLA) sekä ongelmatilanteista palautumisesta (RPO, RTO).

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

• vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
• verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
• verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa