Оценка рисков

Требования и цели безопасности, например, функциональные и нефункциональные системные требования

Системная или сетевая архитектура и инфраструктуры, например, с использованием сетевой карты и плана компонентов, которые показывают, как настроены и взаимосвязаны активы

Сервисы и приложения, включая данные и протоколы, например, приложения с особо конфиденциальными данными

Процессы обработки данных, включая параметры ввода и вывода, такие как бизнес-процессы, рабочие процессы компьютера и рабочие процессы приложений

Зависимости между приложениями и процессами, например, обработка особо конфиденциальных данных

Оценка воздействия, например, определение последствий в случае потери конфиденциальных данных, анализ угроз с помощью модели и т.д.

Технические меры, например, выбор подходящих компонентов безопасности, таких как межсетевые экраны, системы обнаружения вторжений или системы контроля физического и логического доступа

Организационные меры, например, управление непрерывностью бизнеса и управление аварийным восстановлением

Государственные законы и постановления, касающиеся минимальных требований контроля безопасности

Документированная или неофициальная политика, процедуры и руководящие принципы