A.12 運作安全

• 控制對影響資安的組織、營運過程、資訊設施和系統變更。
• 系統資源應監視與調整，並預留未來需使用的容量。
• 開發、測試、正是環境應區隔。
• 實作惡意軟體的偵測、預防、復原控制。
• 依照備份政策，定期對資訊、軟體、系統進行備份，並進行測試。
• 保留並定期審查 Log，且應防範 Log 遭到竄改或未授權存取。
• 所有資訊系統應採用同一個時間同步來源（即同一個 NTP Server）。
• 取得資訊系統的技術性弱點，評估組織對此弱點的暴露，並採取適當措施因應。
• 管制使用者自行安裝軟體。
• 規劃並議定運作中系統的稽核活動，使營運中斷降到最低。

A.13 通訊安全

• 識別網路服務安全機制、服務等級、管理要求，並納入服務協議。
• 區隔各群組資訊服務、使用者、系統的網路。
• 訂定傳送政策、程序與控制措施。
• 識別、定期審查及文件化關於機密性與保密協議的要求事項。

A.14 系統獲得、開發、維護

• 將資安要求納入系統規格。
• 防範資訊遭到不完整傳輸、錯誤路油、未經授權揭露、複製與修改。
• 建立安全開發規則。
• 利用變更控制程序，對開發生命週期的系統變更進行控制。
• 若運作平台變更，需審查與測試與營運相關的關鍵應用。
• 不鼓勵修改軟體套件，並嚴格控制必要變更。
• 建立並適當保護安全開發環境。
• 監督委外開發。
• 開發中進行安全功能測試，並建立驗收測試計畫。

A.15 供應商關係

• 與供應商議定並文件化，降低供應者存取資產關連風險的資安要求。
• 與供應商議定資安要求事項，也應包含供應練中相關的資安風險。
• 定期監督、審查、稽核供應商的服務交付。
• 管理供應商提供服務的變更，維持改善既有資安政策、程序、控制措施，並考量關鍵性及風險重新評鑑。

A.16 資安事故

• 建立資安通報程序，儘速通報資安事件。
• 要求使用資訊系統和服務的使用者、委外廠商，通報任何可疑的資安弱點。
• 評鑑資安是鑑識否為資安事故，並以文件化程序進行反應。
• 識別、蒐集、取得、保存可當作證據的資訊。

A.17 營運持續

• 決定在緊急情況下，對資安的持續性要求。
• 建立、文件化、實作、維持過程、程序、控制措施，確保在緊急情況下的資安持續等級。
• 定期查證資安持續控制措施，確保在緊急情況下有效。
• 實作多重備援，確保可用性。

A.18 遵循

• 識別、文件化、保持更新相關法規與契約要求，及符合要求的方法。
• 確保遵循智財權及軟體使用的相關要求。
• 依法規、契約、營運要求保護記錄。
• 確保符合個資保護符合法規要求。
• 定期審查資安政策、標準、其他要求，確保其遵循性。