Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.

Wijzigingen in de organisatie, bedrijfsprocessen en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst.

Het gebruik van middelen behoort te worden gemonitord en afgestemd om vereiste systeemprestaties te waarborgen.

Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden.

Ter bescherming tegen malware behoren beheersmaatregelen voor detectie, preventie en herstel te worden geimplementeerd.

Er behoren regelmatig back-ups van informatie, software en systeemafbeeldingen te worden gemaakt en getest.

Logbestanden van gebeurtenissen behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.

Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.

Activiteiten van de systeembeheerder behoren te worden vastgelegd en de logbestanden behoren te worden beschermd.

De klokken van alle relevante informatieverwerkende systemen behoren te worden gesynchroniseerd met een enkele referentietijdbron.

Er behoren procedures te worden geimplementeerd om het installeren van software op operationele systemen te beheersen.

Informatie over technische kwetsbaarheden behoort tijdig te worden ingewonnen en er behoren passende maatregelen te worden getroffen.

Er behoren regels te worden opgesteld voor het installeren van software door gebruikers.

Auditeisen en -activiteiten behoren zorgvuldig te worden gepland en overeengekomen om verstoringen tot een minimum te beperken.