Thông báo chính sách bảo mật và quyền riêng tư

Tổ chức công bố chính sách bảo mật, thông báo quyền riêng tư, cũng như các điều khoản và điều kiện sử dụng sản phẩm của mình, nếu có. Mọi thay đổi cần được thông báo đến tất cả khách hàng một cách nhanh chóng và chính thức.

Xây dựng chính sách quản lý rủi ro

Tổ chức có một chính sách quản lý rủi ro và định nghĩa quy trình quản lý rủi ro - bao gồm xác định, giảm thiểu, giám sát, đánh giá và phê duyệt rủi ro.

Duy trì danh sách phần mềm và nhà cung cấp được chấp thuận

Tổ chức duy trì một danh sách các phần mềm được phép cài đặt và nhà cung cấp được chấp thuận.

Đánh giá rủi ro từ nhà cung cấp

Đánh giá rủi ro công nghệ/bảo mật được thực hiện trước khi tổ chức hợp tác với một nhà cung cấp liên quan đến bất kỳ hình thức trao đổi dữ liệu, tích hợp kỹ thuật hoặc dịch vụ công nghệ