---

Применительно к закупке систем и сервисов в компании необходимо:
1.	выделить достаточный объем ресурсов для адекватной защиты ИС;
2.	при разработке систем учитывать требования ИБ;
3.	ограничивать использование и установку программного обеспечения;
4.	обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
В области сертификации, аккредитации и оценки безопасности в организации следует проводить:
1.	постоянный	мониторинг	регуляторов	безопасности,	чтобы	иметь	доверие	к	их эффективности;
2.	периодическую	оценку	регуляторов	безопасности,	применяемых	в	ИС,	чтобы контролировать их эффективность;
3.	разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;
4.	авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
В области кадровой безопасности необходимо:
1.	обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;
2.	обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников;
3.	применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.
Организация должна обеспечить информирование и обучение сотрудников:
1.	чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п.;
2.	чтобы персонал имел должную практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.