Er wordt een plan voor kwetsbaarheidsbeheer ontwikkeld en geïmplementeerd
Maatregel
De organisatie moet een gedocumenteerd proces opstellen en onderhouden waarmee kwetsbaarheden en strategieën om deze te mitigeren voortdurend kunnen worden beoordeeld.
Richtlijn
Overweeg om bronnen te inventariseren die waarschijnlijk kwetsbaarheden in de geïdentificeerde componenten zullen melden en updates zullen verspreiden (websites van software-uitgevers, CERT-website, ENISA-website).
De organisatie moet identificeren waar de kwetsbaarheden van haar kritieke systeem blootgesteld kunnen worden aan tegenstanders.