Cilj: Osigurati da sredstva za obradu informacija rade na siguran i ispravan način. Potrebno je utemeljiti odgovornosti i procedure za upravljenje i rad informacijskih sredstava. To uključuje razvoj prikladnih operativnih procedura. Razdvajanje dužnosti se uvodi kad je to prikladno kako bi se reducirao rizik od zanemarivanja ili namjerne zlouporabe sustava.
Kontrola Sve operativne procedure je potrebno dokumentirati i održavati, kako bi uvijek bile dostupne korisnicima koji ih trebaju. Implementacijske smjernice Dokumentirane procedure trebaju biti spremne za sustavske aktivnosti povezane s obradom informacija i komunikacijom. Operativne procedure trebaju specificirati instrukcije za izvođenje poslova koji uključuju: a) obradu i korištenje informacija; b) sigurnosne kopije; c) zakazane aktivnosti koje su ovisne o drugim sustavima, ranije započinjanje posla i kasnije završavanje; d) instrukcije za upravljanje pogreškama i drugim iznimnim uvjetima koji se mogu pojaviti tijekom izvođenja posla; e) podršku za neočekivane operativne ili tehničke poteškoće; f) instrukcije za rukovanje izlaznim podacima i medijima, poput upravljanja povjerljivim podacima ili sigurno odlaganje izlaznih podataka neuspješno obavljenih poslova; g) ponovno pokretanja sustava i procedure za oporavak od sustavskih pogrešaka; h) upravljanje nadzornim informacijama i dnevnicima; Operativne procedure se tretiraju kao formalni dokumenti i bilo kakve promjene autorizira uprava. Gdje je to tehnički ostvarivo, informacijskim sustavim se upravlja dosljedno, tj. koristeći iste procedure i alate.
Kontrola Promjene u sustavima i sredstvima za obradu informacija trebaju biti kontrolirane. Implementacijske smjernice Operativni sustavi i aplikacijski programi trebaju biti pod strogom kontrolom upravljanja. Osobito je potrebno razmotriti sljedeće: a) identifikacija i zapisi bitnih promjena; b) planiranje i testiranje promjena; c) procjena potencijalnih napada, uključujući sigurnosne napade; d) formalna procedura prihvaćanja predloženih promjena; e) komunikacija s relevantnim osobama o detaljima promjene; f) alternativne procedure, uključujući one za odstupanje i oporavak od neuspjelih promjena ili nepredviđenih događaja. Dodatne informacije Neprimjerene kontrole promjena informacijskih sredstava i sustava su često uzrok sustavskih ili sigurnosnih kvarova. Promjene u operativnim sustavima se rade samo ako postoji opravdan poslovni razlog za to, poput povećanog rizika sustava i sl. Nadograđivanje sustava najnovijim operativnim sustavom ili aplikacijama nije uvijek u interesu poslovanja, jer može doći do novih ranjivosti i nestabilnosti u odnosu na prethodnu verziju.
Kontrola Dužnosti i područja odgovornosti se trebaju odvojiti kako bi se reducirale prijetnje od neautorizirane modifikacije ili zlouporabe organizacijskih sredstava. Implementacijske smjernice Odvajanje dužnosti je metoda reduciranja rizika slučajne ili namjerne zlouporabe sustava. Vodi se briga o tome da ni jedna osoba ne može ostvariti pristup, modificirati ili koristiti organizacijska sredstva bez autorizacije. U malim organizacijama je teže postići odvajanje dužnosti, ali to je ipak potrebno napraviti u što većem stupnju. Kad je nemoguće provesti segregaciju, onda se u obzir uzimaju druge kontrole poput nadzora aktivnosti i sl.
Kontrola Razvoj, testiranje i operativna sredstva trebaju biti razdvojeni kako bi se smanjio rizik od neautoriziranog pristupa ili promjena u operativnim sustavima. Implementacijske smjernice Potrebno je identificirati razinu razdvajanja operativnog, testnog i razvojnog okruženja koja je potreban da bi se spriječili operativni problemi. Potrebno je uzeti u obzir sljedeće čimbenike: a) potrebno je definirati i dokumentirati pravila prijenosa programske opreme iz razvojnog u operativni status; b) razvojni i operativni programi se trebaju izvoditi na različitim sustavima ili procesorima i na različitim domenama ili direktorijima; c) prevodioci, editori i drugi razvojni alati ili sustavski programi ne bi smjeli biti dostupni iz operativnih sustava kad to nije nužno; d) testno okruženje bi trebalo emulirati operativno okruženje koliko god je to moguće; e) korisnici bi trebali upotrebljavati različite profile za operativne i testne sustave, a prikladna identifikacijska poruka bi se trebala pojaviti u svakom slučaju, kako bi se reducirao rizik od pogreške; f) osjetljivi podaci ne bi smjeli biti kopirani u testna okruženja. Dodatne informacije Razvojne i testne aktivnosti mogu uzrokovati ozbiljne probleme. Zbog toga je potrebno održavati poznato i stabilno okruženje u kojem se izvodi testiranje i spriječiti neadekvatan razvojni pristup.