Organisaation tulee pystyä valvomaan, että laitteita, tietojärjestelmiä sekä verkkoja ylläpidetään määriteltyjen konfiguraatioiden (ml. turvallisuusominaisuudet) mukaisina sekä käyttöönottovaiheessa että koko elinkaarensa ajan.

Tätä varten organisaatio on määritellyt vakiomallit laitteiden, tietojärjestelmien sekä verkkojen turvallisille konfiguraatioille. Vakiomalleja määritettäessä huomioidaan:

• julkisesti saatavilla olevia ohjeita (esim. mallit toimittajilta ja riippumattomilta turvallisuusorganisaatioilta)
• eri omaisuudelta tarvittava suojataso
• liittyvien tietoturvavaatiusten täyttäminen
• konfiguraatioiden toteutettavuus ja soveltuvuus organisaation toimintaan

Vakiomallit tulee tarkistaa säännöllisesti ja päivittää, kun merkittäviin uusiin uhkiin tai haavoittuvuuksiin on reagoitava tai uusia ohjelmisto- tai laiteversioita julkaistaan.

Seuraavat seikat tulee ottaa huomioon vakiomalleja määriteltäessä:

• pääkäyttäjätason oikeuksien määrä minimoidaan
• tarpeettomat käyttöoikeudet poistetaan käytöstä
• tarpeettomat toiminnot ja palvelut poistetaan käytöstä
• pääsyä tehokkaisiin apuohjelmiin ja tärkeisiin asetuksiin valvotaan tarkasti
• kellot synkronoidaan
• toimittajan oletussalasanat muutetaan välittömästi ja turvallisuuteen liittyvät asetukset tarkistetaan
• aikakatkaisutoimintoja käytetään tarvittaessa (esim. automaattinen uloskirjautuminen)
• lisenssivaatimuksia noudatetaan

Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

• vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
• verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
• verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa

Organisaation olisi varmistettava, että sen verkossa on riittävästi redundanssia. Seuraavat näkökohdat olisi otettava huomioon:

• Useita Internet-palveluntarjoajia (ISP)
• tarpeettomat verkkoyhteydet
• Redundantit verkkolaitteet (useita kytkimiä, reitittimiä ja muita laitteita sekä verkon kuormituksen tasaajien käyttö).
• Virran katkeamattomuus (UPS)

Kun esimerkiksi tietoliikenneverkon vikasietoisuus on kriittistä, sitä voidaan parantaa entisestään hankkimalla verkon peruspalvelut useampaa reittiä ja useamman palveluntuottajan kautta.