| 8.1 | Urządzenia końcowe użytkownika | Informacje przechowywane, przetwarzane lub dostępne na urządzeniach końcowych użytkowników powinny być odpowiednio chronione. |
| 8.2 | Uprawnienia dostępu uprzywilejowanego | Przydzielanie i wykorzystywanie uprawnień dostępu uprzywilejowanego powinno być ograniczone i zarządzane. |
| 8.3 | Ograniczenie dostępu do informacji | Dostęp do informacji oraz innych powiązanych zasobów powinien być ograniczony zgodnie z określoną polityką kontroli dostępu. |
| 8.4 | Dostęp do kodu źródłowego | Dostęp do odczytu i zapisu kodu źródłowego, narzędzi programistycznych oraz bibliotek oprogramowania powinien być odpowiednio zarządzany. |
| 8.5 | Bezpieczne uwierzytelnianie | Technologie i procedury bezpiecznego uwierzytelniania powinny być wdrożone zgodnie z polityką dostępu do informacji oraz ograniczeniami dostępu. |
| 8.6 | Zarządzanie pojemnością | Wykorzystanie zasobów powinno być monitorowane i dostosowywane do bieżących oraz przewidywanych wymagań pojemnościowych. |
| 8.7 | Ochrona przed złośliwym oprogramowaniem | Ochrona przed złośliwym oprogramowaniem powinna być wdrożona i wspierana przez odpowiednie szkolenia użytkowników. |
| 8.8 | Zarządzanie podatnościami technicznymi | Informacje o podatnościach technicznych używanych systemów informatycznych powinny być uzyskiwane, a organizacja powinna oceniać swoją ekspozycję na te podatności i podejmować odpowiednie środki zaradcze. |
| 8.9 | Zarządzanie konfiguracją | Konfiguracje, w tym konfiguracje bezpieczeństwa sprzętu, oprogramowania, usług i sieci, powinny być ustanowione, udokumentowane, wdrożone, monitorowane i przeglądane. |
| 8.10 | Usuwanie informacji | Informacje przechowywane w systemach informatycznych, urządzeniach lub innych nośnikach danych powinny być usuwane, gdy nie są już wymagane. |
| 8.11 | Maskowanie danych | Maskowanie danych powinno być stosowane zgodnie z polityką dostępu organizacji, innymi powiązanymi politykami oraz wymaganiami biznesowymi, uwzględniając obowiązujące przepisy prawne. |
| 8.12 | Zapobieganie wyciekom danych | Środki zapobiegające wyciekom danych powinny być stosowane w systemach, sieciach i innych urządzeniach przetwarzających, przechowujących lub transmitujących wrażliwe informacje. |
| 8.13 | Tworzenie kopii zapasowych informacji | Kopie zapasowe informacji, oprogramowania i systemów powinny być utrzymywane i regularnie testowane zgodnie z polityką tworzenia kopii zapasowych. |
| 8.14 | Redundancja systemów przetwarzania informacji | Systemy przetwarzania informacji powinny posiadać wystarczającą redundancję, aby spełniać wymagania dotyczące dostępności. |
| 8.15 | Rejestrowanie zdarzeń | Powinny być generowane, przechowywane, chronione i analizowane logi rejestrujące działania, wyjątki, błędy oraz inne istotne zdarzenia. |
| 8.16 | Monitorowanie aktywności | Sieci, systemy i aplikacje powinny być monitorowane pod kątem nieprawidłowego działania, a odpowiednie działania powinny być podejmowane w celu oceny potencjalnych incydentów bezpieczeństwa informacji. |
| 8.17 | Synchronizacja czasu | Zegary systemów przetwarzania informacji używanych przez organizację powinny być synchronizowane z zatwierdzonymi źródłami czasu. |
| 8.18 | Użycie uprzywilejowanych programów narzędziowych | Użycie programów narzędziowych, które mogą omijać mechanizmy kontroli systemu i aplikacji, powinno być ograniczone i ściśle kontrolowane. |
| 8.19 | Instalacja oprogramowania w systemach operacyjnych | Powinny zostać wdrożone procedury i środki umożliwiające bezpieczne zarządzanie instalacją oprogramowania w systemach operacyjnych. |
| 8.20 | Bezpieczeństwo sieci | Sieci oraz urządzenia sieciowe powinny być zabezpieczone, zarządzane i kontrolowane w celu ochrony informacji w systemach i aplikacjach. |
| 8.21 | Bezpieczeństwo usług sieciowych | Mechanizmy bezpieczeństwa, poziomy usług oraz wymagania dotyczące bezpieczeństwa usług sieciowych powinny być określone, wdrożone i monitorowane. |
| 8.22 | Segregacja sieci | Grupy usług informacyjnych, użytkowników i systemów informatycznych powinny być oddzielone w sieciach organizacji. |
| 8.23 | Filtrowanie stron internetowych | Dostęp do zewnętrznych stron internetowych powinien być zarządzany w celu ograniczenia ekspozycji na złośliwe treści. |
| 8.24 | Wykorzystanie kryptografii | Należy określić i wdrożyć zasady dotyczące skutecznego stosowania kryptografii, w tym zarządzania kluczami kryptograficznymi. |
| 8.25 | Bezpieczny cykl życia oprogramowania | Powinny być ustanowione i stosowane zasady dotyczące bezpiecznego tworzenia oprogramowania i systemów. |
| 8.26 | Wymagania dotyczące bezpieczeństwa aplikacji | Wymagania dotyczące bezpieczeństwa informacji powinny być identyfikowane, określane i zatwierdzane podczas opracowywania lub nabywania aplikacji. |
| 8.27 | Bezpieczna architektura systemów i zasady inżynierii | Powinny być ustanowione, udokumentowane, utrzymywane i stosowane zasady dotyczące inżynierii bezpiecznych systemów w każdej działalności związanej z rozwojem systemów informacyjnych. |
| 8.28 | Bezpieczne programowanie | Zasady bezpiecznego programowania powinny być stosowane podczas tworzenia oprogramowania. |
| 8.29 | Testowanie bezpieczeństwa w fazie rozwoju i akceptacji | Procesy testowania bezpieczeństwa powinny być określone i wdrożone w cyklu życia rozwoju oprogramowania. |
| 8.30 | Zlecanie rozwoju na zewnątrz | Organizacja powinna nadzorować, monitorować i przeglądać działania związane z rozwojem systemów realizowanym przez podmioty zewnętrzne. |
| 8.31 | Oddzielenie środowisk deweloperskich, testowych i produkcyjnych | Środowiska deweloperskie, testowe i produkcyjne powinny być oddzielone i zabezpieczone. |
| 8.32 | Zarządzanie zmianami | Zmiany w systemach przetwarzania informacji oraz systemach informatycznych powinny podlegać procedurom zarządzania zmianami. |
| 8.33 | Informacje testowe | Informacje wykorzystywane w testach powinny być odpowiednio dobrane, chronione i zarządzane. |
| 8.34 | Ochrona systemów informacyjnych podczas testów audytowych | Testy audytowe oraz inne działania związane z oceną systemów operacyjnych powinny być planowane i uzgadniane między testerem a odpowiednim kierownictwem. |