組態管理(Configuration Management)
1 組態變更控制(Configuration Change Control)：
1.1 組織應隨時維護最新之所有組態設定資料。
1.2 對所有允許變更之組態應明確指出。
1.3 對所有組態之變更需取得正式授權。
1.4 每一次之組態變更，需先備份原先之組態設定。
1.5 所有組態變更前需進行風險評估以及回復(Rollback)之計畫。
1.6 對所有組態之變更需記錄變更前與變更後之內容以及執行之人員、時間以及方式管道（遠端變更、終端機設定、...）。

2 業務所需功能最小化管理(Least Functionality)：
2.1 組織需對資訊系統進行必要之組態管理，僅開啟必要之服務（例如：必要之功能、通訊阜、協定、或其他資訊服務），以防止預期外之風險。
2.2 組織應維護一份業務v.s資訊功能之對應表，以描述每一個職務與職位所能存取之資訊功能與機敏性資料範圍。
2.3 應使用自動化工具定期對前述所提之服務進行自動化之掃瞄，並由專業人員就掃瞄後之報表進行研判，關閉不必要之服務。

參考資料：NIST SP 800-53