İşlev Kategori

Varlık Yönetimi (ID.AM):Kuruluşun iş amaçlarına

ulaşmasını sağlayan veriler, personel, cihazlar, sistemler ve
tesisler, iş hedeflerine ve kuruluşun risk stratejisine göreli
önemleriyle tutarlı olarak tanımlanır ve yönetilir.

İş Ortamı (ID.BE):Kuruluşun misyonu, amaçları,

paydaşları ve faaliyetleri anlaşılır ve önceliklendirilir; bu
bilgiler siber güvenlik rollerini, sorumluluklarını ve risk
yönetimi kararlarını bildirmek için kullanılır.
 Yönetim (ID.GV):Kuruluşun düzenleyici, yasal, risk,
çevresel ve operasyonel gereksinimlerini yönetmek ve
izlemek için politikalar, prosedürler ve süreçler anlaşılır ve
siber güvenlik riski yönetimini bilgilendirir.

TANIMLAMA
K

Risk Değerlendirmesi (ID.RA):Kuruluş, kurumsal

operasyonlara (misyon, işlevler, imaj veya itibar dahil),
kurumsal varlıklara ve bireylere yönelik siber güvenlik
riskini anlar.

Risk Yönetimi Stratejisi (ID.RM):Kuruluşun

öncelikleri, kısıtlamaları, risk toleransları ve varsayımları
belirlenir ve operasyonel risk kararlarını desteklemek için
kullanılır.
 Risk Yönetimi Stratejisi (ID.RM):Kuruluşun
öncelikleri, kısıtlamaları, risk toleransları ve varsayımları
belirlenir ve operasyonel risk kararlarını desteklemek için
kullanılır.

Tedarik Zinciri Risk Yönetimi (ID.SC):Kuruluşun

öncelikleri, kısıtlamaları, risk toleransları ve varsayımları,
tedarik zinciri riskinin yönetimiyle ilişkili risk kararlarını
desteklemek için belirlenir ve kullanılır. Kuruluş, tedarik
zinciri risklerini belirlemek, değerlendirmek ve yönetmek
için süreçlere sahiptir.

Kimlik Yönetimi ve Erişim Kontrolü (PR.AC):Fiziksel

Kimlik Yönetimi ve Erişim Kontrolü (PR.AC):Fiziksel
ve mantıksal varlıklara ve ilgili tesislere erişim, yetkili
kullanıcılar, süreçler ve cihazlarla sınırlıdır ve
değerlendirilen yetkisiz erişim riski ile tutarlı bir şekilde
yönetilir.

Farkındalık ve Eğitim (PR.AT):Kuruluşun personeline

ve ortaklarına siber güvenlik bilinci eğitimi verilir ve bilgi
güvenliğiyle ilgili görev ve sorumluluklarını ilgili
politikalar, prosedürler ve anlaşmalarla uyumlu olarak
yerine getirmeleri için yeterli şekilde eğitilir.
 Veri Güvenliği (PR.DS):Bilgi ve kayıtlar (veriler),
bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini
korumak için kuruluşun risk stratejisiyle tutarlı bir şekilde
yönetilir.

KORUMA (PR)
 Bilgi Koruma Süreçleri ve Prosedürleri
(PR.IP):Güvenlik politikaları (amaç, kapsam, roller,
sorumluluklar, yönetim taahhüdü ve kurumsal varlıklar
arasındaki koordinasyonu ele alan), süreçler ve prosedürler
sürdürülür ve bilgi sistemleri ve varlıklarının korunmasını
yönetmek için kullanılır.
Bakım (PR.MA): Endüstriyel kontrol ve bilgi sistemi
bileşenlerinin bakım ve onarımları, politika ve
prosedürlere uygun olarak yapılır.

Koruyucu Teknoloji (PR.PT):Teknik güvenlik

çözümleri, ilgili politikalar, prosedürler ve anlaşmalarla
tutarlı olarak sistemlerin ve varlıkların güvenliğini ve
esnekliğini sağlamak için yönetilir.
 Anormallikler ve Olaylar (DE.AE):Anormal aktivite
zamanında tespit edilir ve olayların potansiyel etkisi
anlaşılır.

Güvenlik Sürekli İzleme (DE.CM):Bilgi sistemi ve

varlıklar, siber güvenlik olaylarını belirlemek ve koruyucu
önlemlerin etkinliğini doğrulamak için belirli aralıklarla
izlenir.

ALGILA (DE)
 Algılama İşlemleri (DE.DP): Anormal olaylar hakkında
zamanında ve yeterli farkındalığı sağlamak için algılama
süreçleri ve prosedürleri sürdürülür ve test edilir.

Müdahale Planlaması (RS.RP):Tespit edilen siber

güvenlik olaylarına zamanında müdahale edilmesini
sağlamak için müdahale süreçleri ve prosedürleri
yürütülür ve sürdürülür.

İletişim (RS.CO):Müdahale faaliyetleri, uygun olduğu

şekilde, kolluk kuvvetlerinin dış desteğini içerecek şekilde
iç ve dış paydaşlarla koordine edilir.

YANIT (RS)
 YANIT (RS)

Analiz (RS.AN):Yeterli müdahaleyi sağlamak ve

kurtarma faaliyetlerini desteklemek için analiz yapılır.

Azaltma (RS.MI):Bir olayın yayılmasını önlemek,

etkilerini azaltmak ve olayı ortadan kaldırmak için
faaliyetler gerçekleştirilir.

İyileştirmeler (RS.IM):Organizasyonel müdahale

faaliyetleri, mevcut ve önceki tespit/yanıt faaliyetlerinden
öğrenilen derslerin dahil edilmesiyle geliştirilir.

Kurtarma Planlaması (RC.RP):Siber güvenlik

olaylarından etkilenen sistemlerin veya varlıkların
zamanında geri yüklenmesini sağlamak için kurtarma
süreçleri ve prosedürleri yürütülür ve sürdürülür.

İyileştirmeler (RC.IM):Kurtarma planlaması ve

KURTARMA (RC)süreçleri, öğrenilen derslerin gelecekteki faaliyetlere dahil
edilmesiyle iyileştirilir.

İletişim (RC.CO):Restorasyon faaliyetleri, koordinasyon

merkezleri, İnternet Servis Sağlayıcıları, saldırı
sistemlerinin sahipleri, kurbanlar, diğer CSIRT'ler ve
satıcılar gibi dahili ve harici taraflarla koordine edilir.
 alt kategori

ID.AM-1: Kuruluş içindeki fiziksel cihaz ve sistemlerin

envanterinin çıkarılması

ID.AM-2: Kurum içindeki yazılım platformları ve

uygulamalarının envanteri çıkarılır.

ID.AM-3:Kurumsal iletişim ve veri akışları eşlenir

ID.AM-4: Dış bilgi sistemleri kataloglanır

ID.AM-5: Kaynaklar (ör. donanım, cihazlar, veriler,

zaman ve yazılım) sınıflandırmalarına, kritikliklerine ve
iş değerlerine göre önceliklendirilir

ID.AM-6:Tüm işgücü ve üçüncü taraf paydaşlar

(örneğin tedarikçiler, müşteriler, ortaklar) için siber
güvenlik rolleri ve sorumlulukları belirlenir.

ID.BE-1:Kuruluşun tedarik zincirindeki rolü belirlenir

ve iletilir

Kimlik.BE-2:Kuruluşun kritik altyapı ve sanayi

sektöründeki yeri belirlenir ve iletilir.

ID.BE-3:Organizasyonel misyon, hedefler ve

faaliyetler için öncelikler belirlenir ve iletilir

ID.BE-4: Kritik hizmetlerin sunumu için bağımlılıklar

ve kritik fonksiyonlar kurulur

ID.BE-5: Tüm çalışma durumları için kritik hizmetlerin

sunulmasını desteklemek için esneklik gereksinimleri
belirlenir (örn. baskı/saldırı altında, kurtarma sırasında,
normal işlemler sırasında)
ID.BE-5: Tüm çalışma durumları için kritik hizmetlerin
sunulmasını desteklemek için esneklik gereksinimleri
belirlenir (örn. baskı/saldırı altında, kurtarma sırasında,
normal işlemler sırasında)

Kimlik.GV-1:Kurumsal bilgi güvenliği politikası

oluşturuldu

Kimlik.GV-2:Bilgi güvenliği rolleri ve sorumlulukları,

iç roller ve dış ortaklarla koordine edilir ve hizalanır

Kimlik.GV-3:Gizlilik ve sivil özgürlük

yükümlülükleri dahil olmak üzere siber güvenlikle ilgili
yasal ve düzenleyici gereklilikler anlaşılır ve yönetilir

ID.GV-4: Yönetişim ve risk yönetimi süreçleri siber

güvenlik risklerini ele alır

ID.RA-1:Varlık güvenlik açıkları tanımlanır ve

belgelenir

ID.RA-2:Siber tehdit istihbaratı ve güvenlik açığı

bilgileri, bilgi paylaşım forumlarından ve
kaynaklarından alınır

ID.RA-3:Hem dahili hem de harici tehditler tanımlanır

ve belgelenir

ID.RA-4:Potansiyel iş etkileri ve olasılıkları belirlenir

ID.RA-5: Tehditler, güvenlik açıkları, olasılıklar ve

etkiler, riski belirlemek için kullanılır

ID.RA-6:Risk yanıtları belirlenir ve önceliklendirilir

ID.RM-1:Risk yönetimi süreçleri, kurumsal paydaşlar

tarafından oluşturulur, yönetilir ve kabul edilir.

ID.RM-2:Kurumsal risk toleransı belirlenir ve açıkça

ifade edilir
ID.RM-3Kuruluşun risk toleransı belirlemesi, kritik
altyapı ve sektöre özel risk analizindeki rolü ile
bilgilendirilir.

Kimlik.SC-1:Siber tedarik zinciri risk yönetimi

süreçleri, kurumsal paydaşlar tarafından tanımlanır,
kurulur, değerlendirilir, yönetilir ve kabul edilir.

Kimlik.SC-2:Bir siber tedarik zinciri risk

değerlendirme süreci kullanarak kritik bilgi
sistemlerinin, bileşenlerinin ve hizmetlerin
tedarikçilerini ve ortaklarını belirleyin, önceliklendirin
ve değerlendirin

Kimlik.SC-3:Tedarikçiler ve ortakların, Bilgi

Güvenliği programının veya Siber Tedarik Zinciri Risk
Yönetim Planının hedeflerini karşılamak için
tasarlanmış uygun önlemleri sözleşmeye göre
uygulamaları gerekir.

Kimlik.SC-4:Tedarikçiler ve ortaklar,
yükümlülüklerini gerektiği gibi yerine getirdiklerini
doğrulamak için izlenir. Tedariklerin, test sonuçlarının
özetlerinin veya tedarikçilerin/sağlayıcıların diğer
eşdeğer değerlendirmelerinin gözden geçirilmesi

Kimlik.SC-5:Müdahale ve kurtarma planlaması ve

testleri, kritik tedarikçiler/sağlayıcılar ile gerçekleştirilir

PR.AC-1:Yetkili cihazlar, kullanıcılar ve süreçler için

kimlikler ve kimlik bilgileri verilir, yönetilir, iptal edilir
ve denetlenir

PR.AC-2:Varlıklara fiziksel erişim yönetilir ve

korunur

PR.AC-3:Uzaktan erişim yönetiliyor

PR.AC-3:Uzaktan erişim yönetiliyor

PR.AC-4:Erişim izinleri ve yetkileri, en az ayrıcalık ve

görevler ayrılığı ilkelerini içerecek şekilde yönetilir.

PR.AC-5:Uygun olduğunda ağ ayrımı dahil edilerek

ağ bütünlüğü korunur

PR.AC-6:Kimlikler kanıtlanır ve kimlik bilgilerine

bağlıdır ve uygun olduğunda etkileşimlerde ileri
sürülür

PR.AT-1: Tüm kullanıcılar bilgilendirilir ve eğitilir

PR.AT-2: Ayrıcalıklı kullanıcılar rolleri ve

sorumlulukları anlar

PR.AT-3: Üçüncü taraf paydaşlar (örneğin

tedarikçiler, müşteriler, ortaklar) rolleri ve
sorumlulukları anlar

PR.AT-4: Üst düzey yöneticiler rolleri ve

sorumlulukları anlıyor

PR.AT-5: Fiziksel ve bilgi güvenliği personeli, rolleri

ve sorumlulukları anlar
PR.AT-5: Fiziksel ve bilgi güvenliği personeli, rolleri
ve sorumlulukları anlar

PR.DS-1:Kullanılmayan veriler korunur

PR.DS-2:Aktarılan veriler korunur

PR.DS-3:Varlıklar, kaldırma, transferler ve elden

çıkarma boyunca resmi olarak yönetilir

PR.DS-4:Kullanılabilirliğin korunmasını sağlamak

için yeterli kapasite

PR.DS-5:Veri sızıntılarına karşı korumalar uygulanır

PR.DS-6:Yazılım, bellenim ve bilgi bütünlüğünü

doğrulamak için bütünlük kontrol mekanizmaları
kullanılır.

PR.DS-7:Geliştirme ve test ortam(lar)ı üretim

ortamından ayrıdır

PR.DS-8: Donanım bütünlüğünü doğrulamak için

bütünlük kontrol mekanizmaları kullanılır

PR.IP-1:Uygun güvenlik ilkelerini (örneğin en az

işlevsellik kavramı) içeren bir bilgi
teknolojisi/endüstriyel kontrol sistemlerinin temel
yapılandırması oluşturulur ve sürdürülür.
 PR.IP-1:Uygun güvenlik ilkelerini (örneğin en az
işlevsellik kavramı) içeren bir bilgi
teknolojisi/endüstriyel kontrol sistemlerinin temel
yapılandırması oluşturulur ve sürdürülür.

PR.IP-2:Sistemleri yönetmek için bir Sistem

Geliştirme Yaşam Döngüsü uygulanır

PR.IP-3:Konfigürasyon değişikliği kontrol süreçleri

mevcut

PR.IP-4:Bilgilerin yedekleri periyodik olarak

yürütülür, korunur ve test edilir

PR.IP-5:Kurumsal varlıklar için fiziksel çalışma

ortamına ilişkin politika ve düzenlemeler karşılanır

PR.IP-6:Veriler politikaya göre yok edilir

PR.IP-7:Koruma süreçleri sürekli iyileştirilir

PR.IP-8:Koruma teknolojilerinin etkinliği uygun

taraflarla paylaşılır

PR.IP-9:Müdahale planları (Olay Müdahalesi ve İş

Sürekliliği) ve kurtarma planları (Olay Kurtarma ve
Olağanüstü Durum Kurtarma) yürürlüktedir ve
yönetilmektedir

PR.IP-10:Müdahale ve kurtarma planları test edilir

PR.IP-11:Siber güvenlik, insan kaynakları

uygulamalarına dahil edilir (örneğin, provizyondan
çıkarma, personel taraması)
 PR.IP-11:Siber güvenlik, insan kaynakları
uygulamalarına dahil edilir (örneğin, provizyondan
çıkarma, personel taraması)

PR.IP-12:Agüvenlik açığı yönetim planı geliştirildi ve

uygulandı

PR.MA-1: Organizasyonel varlıkların bakım ve

onarımı, onaylı ve kontrollü araçlarla zamanında yapılır
ve kaydedilir.

PR.MA-2:Kurumsal varlıkların uzaktan bakımı,

yetkisiz erişimi önleyecek şekilde onaylanır, günlüğe
kaydedilir ve gerçekleştirilir.

PR.PT-1:Denetim/kayıt kayıtları politikaya uygun

olarak belirlenir, belgelenir, uygulanır ve gözden
geçirilir

PR.PT-2:Çıkarılabilir medya korunur ve kullanımı

politikaya göre kısıtlanır

PR.PT-3:En az işlevsellik ilkesi, sistemlerin yalnızca

temel yetenekleri sağlayacak şekilde
yapılandırılmasıyla birleştirilir.

PR.PT-4:İletişim ve kontrol ağları korunur

PR.PT-5:Sistemler, kullanılabilirliği sağlamak için

önceden tanımlanmış işlevsel durumlarda çalışır (örn.
baskı altında, saldırı altında, kurtarma sırasında, normal
işlemler).
 DE.AE-1:Kullanıcılar ve sistemler için ağ
operasyonları ve beklenen veri akışlarına ilişkin bir
temel oluşturulur ve yönetilir

DE.AE-2:Tespit edilen olaylar, saldırı hedeflerini ve

yöntemlerini anlamak için analiz edilir

DE.AE-3:Olay verileri, birden fazla kaynak ve

sensörden toplanır ve ilişkilendirilir

DE.AE-4:Olayların etkisi belirlenir

DE.AE-5:Olay uyarı eşikleri oluşturuldu

DE.CM-1:ağpotansiyel siber güvenlik olaylarını tespit

etmek için izlenir

DE.CM-2:Potansiyel siber güvenlik olaylarını tespit

etmek için fiziksel ortam izlenir

DE.CM-3:Potansiyel siber güvenlik olaylarını tespit

etmek için personel faaliyetleri izlenir

DE.CM-4:Kötü amaçlı kod algılandı

DE.CM-5:Yetkisiz mobil kod algılandı

DE.CM-6:Potansiyel siber güvenlik olaylarını tespit

etmek için harici hizmet sağlayıcı etkinliği izlenir

DE.CM-7:Yetkisiz personel, bağlantılar, cihazlar ve

yazılımlar için izleme yapılır

DE.CM-8:Güvenlik açığı taramaları gerçekleştirilir

DE.DP-1:Tespit için roller ve sorumluluklar, hesap
verebilirliği sağlamak için iyi tanımlanmıştır

DE.DP-2:Algılama faaliyetleri geçerli tüm

gerekliliklere uygundur

DE.DP-3:Algılama süreçleri test edilir

DE.DP-4:Olay algılama bilgileri uygun taraflara iletilir

DE.DP-5:Algılama süreçleri sürekli olarak iyileştirilir

RS.RP-1:Müdahale planı, bir olay sırasında veya

sonrasında yürütülür

RS.CO-1:Personel, bir yanıt gerektiğinde rollerini ve

işlem sırasını bilir

RS.CO-2:Olaylar, belirlenen kriterlere uygun olarak

raporlanır

RS.CO-3:Bilgi, müdahale planlarıyla tutarlı olarak

paylaşılır

RS.CO-4:Paydaşlarla koordinasyon, müdahale

planlarıyla tutarlı bir şekilde gerçekleşir
RS.CO-5:Daha geniş siber güvenlik durumsal
farkındalığı elde etmek için dış paydaşlarla gönüllü
bilgi paylaşımı gerçekleşir

RS.AN-1:Algılama sistemlerinden gelen bildirimler

incelenir
 RS.AN-1:Algılama sistemlerinden gelen bildirimler
incelenir

RS.AN-2:Olayın etkisi anlaşıldı

RS.AN-3:Adli tıp yapılır

RS.AN-4:Olaylar, müdahale planlarıyla tutarlı olarak

kategorize edilir

RS.MI-1:Olaylar kontrol altına alındı

RS.MI-2:Olaylar hafifletildi

RS.MI-3:Yeni tanımlanan güvenlik açıkları azaltılır

veya kabul edilen riskler olarak belgelenir

RS.IM-1:Tepkiplanlar öğrenilen dersleri içerir

RS.IM-2:Yanıt stratejileri güncellendi

RC.RP-1:Kurtarma planı bir olay sırasında veya

sonrasında yürütülür

RC.IM-1:Kurtarma planları öğrenilen dersleri içerir

RC.IM-2:Kurtarma stratejileri güncellendi

RC.CO-1:Halkla ilişkiler yönetiliyor

RC.CO-2:Bir olay onarıldıktan sonra itibar
RC.CO-3:Kurtarma faaliyetleri, iç paydaşlara ve
yönetici ve yönetim ekiplerine iletilir
 Bilgilendirici Referanslar
· CCS CSC1
· COBIT 5BAI09.01, BAI09.02
· ISA 62443-2-1:20094.2.3.4
·ISA 62443-3-3:2013 SR 7.8
·ISO/IEC 27001:2013 A.8.1.1, A.8.1.2
·NIST SP 800-53Rev 4 CM-8
· CCS CSC2
· COBIT 5BAI09.01, BAI09.02, BAI09.05
· ISA 62443-2-1:20094.2.3.4
·ISA 62443-3-3:2013 SR 7.8
·ISO/IEC 27001:2013 A.8.1.1, A.8.1.2
·NIST SP 800-53Rev 4 CM-8
·CCS CSC 1
· COBIT 5DSS05.02
·ISA 62443-2-1:2009 4.2.3.4
·ISO/IEC 27001:2013 A.13.2.1
·NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8
· COBIT 5APO02.02
·ISO/IEC 27001:2013 A.11.2.6
·NIST SP 800-53Rev 4 AC-20, SA-9
· COBIT 5APO03.03, APO03.04, BAI09.02
· ISA 62443-2-1:20094.2.3.6
·ISO/IEC 27001:2013 A.8.2.1
·NIST SP 800-53Rev 4 CP-2, RA-2, SA-14
· COBIT 5AP01.02, DSS06.03
· ISA 62443-2-1:20094.3.2.3.3
·ISO/IEC 27001:2013 A.6.1.1
·NIST SP 800-53Rev 4 CP-2, PS-7,PM-11
· COBIT 5APO08.04, APO08.05, APO10.03, APO10.04, APO10.05
·ISO/IEC 27001:2013 A.15.1.3, A.15.2.1, A.15.2.2
·NIST SP 800-53Rev 4 CP-2, SA-12
· COBIT 5APO02.06, APO03.01

·NIST SP 800-53Rev 4PM-8

· COBIT 5APO02.01, APO02.06, APO03.01

· ISA 62443-2-1:20094.2.2.1, 4.2.3.6
·NIST SP 800-53Rev 4PM-11, SA-14
· ISO/IEC 27001:2013A.11.2.2, A.11.2.3, A.12.1.3
·NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8, SA-14
· COBIT 5DSS04.02
· ISO/IEC 27001:2013A.11.1.4,A.17.1.1,A.17.1.2, A.17.2.1
·NIST SP 800-53 Rev 4CP-2, CP-11, SA-14

· COBIT 5APO01.03, EDM01.01, EDM01.02

· ISA 62443-2-1:20094.3.2.6
·ISO/IEC 27001:2013 A.5.1.1
·NIST SP 800-53 Rev 4 -1 tüm ailelerden kontroller
·COBIT 5 APO13.02
· ISA 62443-2-1:20094.3.2.3.3
·ISO/IEC 27001:2013 A.6.1.1, A.7.2.1
·NIST SP 800-53 Rev 4PM-1, PS-7
· COBIT 5MEA03.01, MEA03.04
· ISA 62443-2-1:20094.4.3.7
·ISO/IEC 27001:2013 A.18.1
·NIST SP 800-53 Rev 4-1 tüm ailelerden kontroller (PM-1 hariç)
· COBIT 5DSS04.02
·ISA 62443-2-1:20094.2.3.1, 4.2.3.3, 4.2.3.8, 4.2.3.9, 4.2.3.11, 4.3.2.4.3, 4.3.2.6.3
·NIST SP 800-53 Rev. 4 PM-9, PM-11
· CCS CSC4
· COBIT 5APO12.01, APO12.02, APO12.03, APO12.04
· ISA 62443-2-1:20094.2.3, 4.2.3.7, 4.2.3.9, 4.2.3.12
·ISO/IEC 27001:2013 A.12.6.1, A.18.2.3
·NIST SP 800-53Rev 4 CA-2, CA-7, CA-8, RA-3, RA-5, SA-5, SA-11, SI-2, SI-4,
SI-5
· ISA 62443-2-1:20094.2.3, 4.2.3.9, 4.2.3.12
·ISO/IEC 27001:2013 A.6.1.4
·NIST SP 800-53Rev 4 PM-15,PM-16, SI-5
· COBIT 5APO12.01, APO12.02, APO12.03, APO12.04
· ISA 62443-2-1:20094.2.3, 4.2.3.9, 4.2.3.12
·NIST SP 800-53Rev 4RA-3, SI-5, PM-12, PM-16
·COBIT 5 DSS04.02
· ISA 62443-2-1:20094.2.3, 4.2.3.9, 4.2.3.12
·NIST SP 800-53Rev 4 RA-2,RA-3, PM-9, PM-11, SA-14
·COBIT 5 APO12.02
· ISO/IEC 27001:2013A.12.6.1
·NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-16
·COBIT 5 APO12.05, APO13.02
·NIST SP 800-53 Rev. 4 PM-4, PM-9
· COBIT 5APO12.04, APO12.05, APO13.02, BAI02.03, BAI04.02
· ISA 62443-2-1:20094.3.4.2
·NIST SP 800-53Rev 4PM-9
· COBIT 5APO12.06
· ISA 62443-2-1:20094.3.2.6.5
·NIST SP 800-53Rev 4 PM-9
· NIST SP 800-53 Rev. 4PM-8, PM-9, PM-11, SA-14

·BDT CSC: 4.8

·COBIT5: APO10.01, APO10.04, APO12.04, APO12.05, APO13.02, BAI01.03,
BAI02.03, BAI04.02
·ISA 62443-2-1:2009: 4.3.4.2
· ISO/IEC 27001:2013:A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2
· NIST SP 800-53:SA-9, SA-12, PM-9
·COBIT5: APO10.01, APO10.02, APO10.04, APO10.05, APO12.01, APO12.02,
APO12.03, APO12.04, APO12.05, APO12.06, APO13.02, BAI02.03
· ISA 62443-2-1:2009:4.2.3.1, 4.2.3.2, 4.2.3.3, 4.2.3.4, 4.2.3.6, 4.2.3.8, 4.2.3.9, 4.2.3.10,
4.2.3.12, 4.2.3.13, 4.2.3.14
·ISO/IEC 27001:2013: A.15.2.1, A.15.2.2
·NIST SP 800-53: RA-2, RA-3, SA-12, SA-14, SA-15, PM-9

· COBIT5:APO10.01, APO10.02, APO10.03, APO10.04, APO10.05

·ISA 62443-2-1:2009:4.3.2.6.4, 4.3.2.6.7

·ISO/IEC 27001:2013: A.15.1.1, A.15.1.2, A.15.1.3
·NIST SP 800-53: SA-9, SA-11, SA-12, PM-9
·COBIT5: APO10.01, APO10.03, APO10.04, APO10.05, MEA01.01, MEA01.02,
MEA01.03, MEA01.04, MEA01.05
·ISA 62443-2-1:2009: 4.3.2.6.7
·ISA 62443-3-3:2013: SR 6.1
·ISO/IEC 27001:2013: A.15.2.1, A.15.2.2
·NIST SP 800-53: AU-2, AU-6, AU-12, AU-16, PS-7, SA-9, SA-12
·BDT CSC: 19.7, 20.3
·COBIT5: DSS04.04
·ISA 62443-2-1:2009: 4.3.2.5.7, 4.3.4.5.11
· ISA 62443-3-3:2013:SR 2.8, SR 3.3, SR.6.1, SR 7.3, SR 7.4
·ISO/IEC 27001:2013 A.17.1.3
·NIST SP 800-53: CP-2, CP-4, IR-3, IR-4, IR-6, IR-8, IR-9
·CCS CSC16
· COBIT 5DSS05.04, DSS06.03
· ISA 62443-2-1:20094.3.3.5.1
·ISA 62443-3-3:2013SR 1.1, SR 1.2, SR 1.3, SR 1.4, SR 1.5, SR 1.7, SR 1.8, SR 1.9
· ISO/IEC 27001:2013A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.2, A.9.4.3
·NIST SP 800-53Rev 4AC-2, IA Ailesi
· COBIT 5DSS01.04, DSS05.05
· ISA 62443-2-1:20094.3.3.3.2, 4.3.3.3.8
· ISO/IEC 27001:2013 A.11.1.1, A.11.1.2, A.11.1.4, A.11.1.6, A.11.2.3
· NIST SP 800-53 Rev. 4PE-2, PE-3, PE-4, PE-5, PE-6, PE-9
· COBIT 5APO13.01, DSS01.04, DSS05.03
· ISA 62443-2-1:20094.3.3.6.6
·ISA 62443-3-3:2013 SR 1.13, SR 2.6
·ISO/IEC 27001:2013A.6.2.2, A.13.1.1, A.13.2.1
· NIST SP 800-53 Rev. 4AC-17, AC-19, AC-20
·CCS CSC 12, 15
· ISA 62443-2-1:20094.3.3.7.3
·ISA 62443-3-3:2013 SR 2.1
· ISO/IEC 27001:2013A.6.1.2, A.9.1.2, A.9.2.3, A.9.4.1, A.9.4.4
·NIST SP 800-53Rev 4 AC-2,AC-3, AC-5, AC-6, AC-16
· ISA 62443-2-1:20094.3.3.4
·ISA 62443-3-3:2013 SR 3.1, SR 3.8
· ISO/IEC 27001:2013A.13.1.1,A.13.1.3, A.13.2.1
·NIST SP 800-53 Rev. 4 AC-4, SC-7
·CIS CSC: CSC 5, 12, 14, 16
·COBIT 5: DSS05.04, DSS05.05, DSS05.07, DSS06.03, BAI08.03
·ISA 62443-2-1:2009: 4.3.2.4.2, 4.3.3.2.2, 4.3.3.2.3, 4.3.3.5.2, 4.3.3.7.1, 4.3.3.7.2,
4.3.3.7.3 , 4.3.3.7.4
·ISA 62443-3-3:2013: SR 1.4, SR 1.5, SR 2.1, SR 2.2, SR 2.3
·ISO/IEC 27001:2013: A.6.1.2, A.7.1.1, A.9.1.2, A.9.2.2, A.9.2.3, A.9.2.5, A.9.2.6,
A .9.4.1, A.9.4.4
·NIST SP 800-53: AC-2, AC-3, AC-5, AC-6, AC-16, AC-19, AC-24, IA-2, IA-4,
IA-5, IA-8, PE-2, PS-3
·CCS CSC 9
· COBIT 5APO07.03, BAI05.07
· ISA 62443-2-1:20094.3.2.4.2
· ISO/IEC 27001:2013A.7.2.2
·NIST SP 800-53Rev 4AT-2, PM-13
·CCS CSC 9
· COBIT 5APO07.02, DSS06.03
· ISA 62443-2-1:20094.3.2.4.2, 4.3.2.4.3
· ISO/IEC 27001:2013A.6.1.1,A.7.2.2
·NIST SP 800-53Rev 4AT-3, PM-13
·CCSCSC 9
· COBIT 5APO07.03, APO10.04, APO10.05
· ISA 62443-2-1:20094.3.2.4.2
· ISO/IEC 27001:2013A.6.1.1,A.7.2.2
·NIST SP 800-53Rev 4PS-7, SA-9
·CCSCSC 9
·COBIT 5 APO07.03
· ISA 62443-2-1:20094.3.2.4.2
· ISO/IEC 27001:2013 A.6.1.1, A.7.2.2,
·NIST SP 800-53Rev 4AT-3, PM-13
·CCSCSC 9
· COBIT 5APO07.03
· ISA 62443-2-1:20094.3.2.4.2
· ISO/IEC 27001:2013 A.6.1.1, A.7.2.2,
·NIST SP 800-53Rev 4AT-3, PM-13
·CCS CSC17
·COBIT 5 APO01.06, BAI02.01, BAI06.01, DSS06.06
·ISA 62443-3-3:2013 SR 3.4, SR 4.1
· ISO/IEC 27001:2013A.8.2.3
·NIST SP 800-53 Rev. 4 SC-28
·CCS CSC17
· COBIT 5APO01.06, DSS06.06
·ISA 62443-3-3:2013 SR 3.1, SR 3.8, SR 4.1, SR 4.2
· ISO/IEC 27001:2013A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
·NIST SP 800-53Rev 4SC-8
· COBIT 5BAI09.03
·ISA 62443-2-1:2009 4. 4.3.3.3.9, 4.3.4.4.1
·ISA 62443-3-3:2013 SB 4.2
· ISO/IEC 27001:2013A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.11.2.7
·NIST SP 800-53 Rev. 4 CM-8, MP-6, PE-16
· COBIT 5APO13.01
·ISA 62443-3-3:2013 SR 7.1, SR 7.2
·ISO/IEC 27001:2013A.12.3.1
·NIST SP 800-53 Rev. 4 AU-4, CP-2, SC-5
·CCS CSC 17
· COBIT 5AP01.06
·ISA 62443-3-3:2013 SR 5.2
· ISO/IEC 27001:2013A.6.1.2,A.7.1.1,A.7.1.2, A.7.3.1,A.8.2.2, A.8.2.3, A.9.1.1, A.9.1.2,
A.9.2.3, A.9.4.1, A.9.4.4, A.9.4.5, A. 13.1.3, A.13.2.1, A.13.2.3, A.13.2.4, A.14.1.2,
A.14.1.3
·NIST SP 800-53 Rev. 4 AC-4, AC-5, AC-6, PE-19, PS-3, PS-6, SC-7, SC-8, SC-
13, SC-31, SI-4
·ISA 62443-3-3:2013 SR 3.1, SR 3.3, SR 3.4, SR 3.8
·ISO/IEC 27001:2013A.12.2.1, A.12.5.1, A.14.1.2, A.14.1.3
·NIST SP 800-53Rev 4SI-7
· COBIT 5BAI07.04
· ISO/IEC 27001:2013A.12.1.4
· NIST SP 800-53 Rev. 4CM-2
·CIS CSC: CSC 3.3
·COBIT 5: BAI03.05.4
·ISA 62443-2-1:2009: 4.3.4.4.4
· ISA 62443-3-3:2013:
·ISO/IEC 27001:2013: A.11.2.4
·NIST SP 800-53: SA-10, SI-7
·CCSCSC 3, 10
· COBIT 5BAI10.01, BAI10.02, BAI10.03, BAI10.05
· ISA 62443-2-1:20094.3.4.3.2, 4.3.4.3.3
·ISA 62443-3-3:2013 SR 7.6
· ISO/IEC 27001:2013A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4
·NIST SP 800-53Rev 4CM-2, CM-3, CM-4, CM-5, CM-6, CM-7, CM-9, SA-10
· COBIT 5APO13.01
· ISA 62443-2-1:20094.3.4.3.3
· ISO/IEC 27001:2013A.6.1.5, A.14.1.1, A.14.2.1, A.14.2.5
·NIST SP 800-53 Rev. 4 SA-3, SA-4, SA-8, SA-10, SA-11, SA-12, SA-15, SA-17,
PL-8
· COBIT 5BAI06.01, BAI01.06
· ISA 62443-2-1:20094.3.4.3.2, 4.3.4.3.3
·ISA 62443-3-3:2013 SR 7.6
· ISO/IEC 27001:2013A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4
·NIST SP 800-53Rev 4CM-3, CM-4, SA-10
· COBIT 5 APO13.01
· ISA 62443-2-1:20094.3.4.3.9
·ISA 62443-3-3:2013 SR 7.3, SR 7.4
· ISO/IEC 27001:2013A.12.3.1,A.17.1.2A.17.1.3, A.18.1.3
·NIST SP 800-53Rev 4 CP-4, CP-6,CP-9
· COBIT 5DSS01.04, DSS05.05
·ISA 62443-2-1:2009 4.3.3.3.1 4.3.3.3.2, 4.3.3.3.3, 4.3.3.3.5, 4.3.3.3.6
· ISO/IEC 27001:2013A.11.1.4, A.11.2.1, A.11.2.2, A.11.2.3
·NIST SP 800-53Rev 4 PE-10, PE-12, PE-13, PE-14, PE-15, PE-18
· COBIT 5BAI09.03
·ISA 62443-2-1:2009 4.3.4.4.4
·ISA 62443-3-3:2013 SB 4.2
· ISO/IEC 27001:2013A.8.2.3, A.8.3.1, A.8.3.2, A.11.2.7
·NIST SP 800-53 Rev. 4 MP-6
· COBIT 5APO11.06, DSS04.05
·ISA 62443-2-1:2009 4.4.3.1, 4.4.3.2, 4.4.3.3, 4.4.3.4, 4.4.3.5, 4.4.3.6, 4.4.3.7, 4.4.3.8
· NIST SP 800-53 Rev. 4CA-2, CA-7, CP-2, IR-8, PL-2, PM-6
· ISO/IEC 27001:2013 A.16.1.6
·NIST SP 800-53 Rev. 4 AC-21, CA-7, SI-4
· COBIT 5DSS04.03
·ISA 62443-2-1:2009 4.3.2.5.3, 4.3.4.5.1
·ISO/IEC 27001:2013A.16.1.1,A.17.1.1, A.17.1.2
·NIST SP 800-53Rev 4CP-2, IR-8
·ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11
·ISA 62443-3-3:2013 SR 3.3
· ISO/IEC 27001:2013A.17.1.3
·NIST SP 800-53 Rev. 4 CP-4, IR-3, PM-14
· COBIT 5APO07.01, APO07.02, APO07.03, APO07.04, APO07.05
·ISA 62443-2-1:2009 4.3.3.2.1, 4.3.3.2.2, 4.3.3.2.3
· ISO/IEC 27001:2013 A.7.1.1, A.7.3.1, A.8.1.4
·NIST SP 800-53 Rev. 4 PS Ailesi
· ISO/IEC 27001:2013A.12.6.1, A.18.2.2
·NIST SP 800-53 Rev. 4 RA-3, RA-5, SI-2
· COBIT 5BAI09.03
·ISA 62443-2-1:2009 4.3.3.3.7
·ISO/IEC 27001:2013 A.11.1.2, A.11.2.4, A.11.2.5
·NIST SP 800-53 Rev. 4 MA-2, MA-3, MA-5
· COBIT 5DSS05.04
·ISA 62443-2-1:2009 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7, 4.4.4.6.8
· ISO/IEC 27001:2013A.11.2.4, A.15.1.1, A.15.2.1
· NIST SP 800-53 Rev. 4MA-4
·CCS CSC 14
· COBIT 5APO11.04
· ISA 62443-2-1:20094.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4
·ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR 2.11, SR 2.12
· ISO/IEC 27001:2013A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
·NIST SP 800-53Rev 4Avustralya Ailesi
· COBIT 5DSS05.02, APO13.01
·ISA 62443-3-3:2013 SR 2.3
·ISO/IEC 27001:2013A.8.2.2, A.8.2.3, A.8.3.1, A.8.3.3, A.11.2.9
·NIST SP 800-53Rev 4MP-2, MP-4, MP-5, MP-7
· COBIT 5DSS05.02
·ISA 62443-2-1:20094.3.3.5.1, 4.3.3.5.2, 4.3.3.5.3, 4.3.3.5.4, 4.3.3.5.5, 4.3.3.5.6, 4.3.3.5.7,
4.3.3.5.8, 4.3. 3.6.1, 4.3.3.6.2, 4.3.3.6.3, 4.3.3.6.4, 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8,
4.3.3.6. 9, 4.3.3.7.1, 4.3.3.7.2, 4.3.3.7.3, 4.3.3.7.4
·ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR 1.4, SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR
1.9, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 2.1, SR 2.2, SR 2.3, SR 2.4 , SR 2.5, SR 2.6, SR
2.7
· ISO/IEC 27001:2013A.9.1.2
·NIST SP 800-53 Rev. 4 AC-3, CM-7
·CCS CSC 7
· COBIT 5DSS05.02, APO13.01
·ISA 62443-3-3:2013 SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR 5.1, SR 5.2, SR 5.3, SR
7.1, SR 7.6
· ISO/IEC 27001:2013A.13.1.1, A.13.2.1
·NIST SP 800-53 Rev. 4AC-4, AC-17, AC-18, CP-8, SC-7
· BDT CSC:
·COBIT 5: BAI04.01, BAI04.02, BAI04.03, BAI04.04, BAI04.05, DSS01.05
·ISA 62443-2-1:2009: 4.3.2.5.2
·ISA 62443-3-3:2013: SR 7.1, SR 7.2
· ISO/IEC 27001:2013: A.17.1.2, A.17.2.1
·NIST SP 800-53: CP-7, CP-8, CP-11, CP-13, PL-8, SA-14, SC-6
· COBIT 5DSS03.01
·ISA 62443-2-1:20094.4.3.3
·NIST SP 800-53Rev 4 AC-4, CA-3, CM-2, SI-4
·ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8

·ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR 2.11, SR 2.12, SR 3.9, SR 6.1, SR 6.2

·ISO/IEC 27001:2013 A.16.1.1, A.16.1.4

·NIST SP 800-53Rev 4 AU-6, CA-7, IR-4, SI-4
·ISA 62443-3-3:2013 SR 6.1
·NIST SP 800-53Rev 4 AU-6, CA-7, IR-4, IR-5, IR-8, SI-4
·COBIT 5APO12.06
·NIST SP 800-53Rev 4 CP-2, IR-4, RA-3, SI-4
· COBIT 5APO12.06
· ISA 62443-2-1:20094.2.3.10
·NIST SP 800-53Rev 4 IR-4, IR-5, IR-8

·CCS CSC 14, 16

· COBIT 5DSS05.07
·ISA 62443-3-3:2013 SR 6.2
·NIST SP 800-53Rev 4AC-2, AU-12, CA-7, CM-3, SC-5, SC-7, SI-4
·ISA 62443-2-1:2009 4.3.3.3.8
·NIST SP 800-53Rev 4CA-7, PE-3, PE-6, PE-20
·ISA 62443-3-3:2013 SR 6.2
·ISO/IEC 27001:2013 A.12.4.1
·NIST SP 800-53Rev 4 AC-2, AU-12, AU-13,CA-7, CM-10, CM-11
·CCS CSC 5
· COBIT 5DSS05.01
·ISA 62443-2-1:2009 4.3.4.3.8
·ISA 62443-3-3:2013 SR 3.2
· ISO/IEC 27001:2013A.12.2.1
·NIST SP 800-53 Rev. 4 SI-3
·ISA 62443-3-3:2013 SR 2.4
· ISO/IEC 27001:2013A.12.5.1
·NIST SP 800-53 Rev. 4 SC-18, SI-4. SC-44
· COBIT 5APO07.06
· ISO/IEC 27001:2013A.14.2.7, A.15.2.1
·NIST SP 800-53 Rev. 4 CA-7, PS-7, SA-4, SA-9, SI-4

·NIST SP 800-53Rev 4AU-12, CA-7, CM-3, CM-8, PE-3, PE-6, PE-20, SI-4

·COBIT 5 BAI03.10
·ISA 62443-2-1:20094.2.3.1, 4.2.3.7
· ISO/IEC 27001:2013A.12.6.1
·NIST SP 800-53Rev 4RA-5
·CCS CSC 5
· COBIT 5DSS05.01
· ISA 62443-2-1:20094.4.3.1
·ISO/IEC 27001:2013 A.6.1.1
·NIST SP 800-53 Rev. 4 CA-2, CA-7, PM-14
· ISA 62443-2-1:20094.4.3.2
· ISO/IEC 27001:2013A.18.1.4
· NIST SP 800-53 Rev. 4CA-2, CA-7, PM-14, SI-4
· COBIT 5APO13.02
· ISA 62443-2-1:20094.4.3.2
·ISA 62443-3-3:2013 SR 3.3
· ISO/IEC 27001:2013A.14.2.8
· NIST SP 800-53 Rev. 4CA-2, CA-7, PE-3, PM-14, SI-3, SI-4
·COBIT 5APO12.06
·ISA 62443-2-1:2009 4.3.4.5.9
·ISA 62443-3-3:2013 SR 6.1
·ISO/IEC 27001:2013 A.16.1.2
·NIST SP 800-53Rev 4AU-6, CA-2, CA-7, RA-5, SI-4
· COBIT 5APO11.06, DSS04.05
·ISA 62443-2-1:2009 4.4.3.4
· ISO/IEC 27001:2013A.16.1.6
·NIST SP 800-53 Rev. 4, CA-2, CA-7, PL-2, RA-5, SI-4, PM-14
· COBIT 5BAI01.10
·CCSCSC 18
· ISA 62443-2-1:20094.3.4.5.1
· ISO/IEC 27001:2013A.16.1.5
·NIST SP 800-53Rev 4 CP-2, CP-10, IR-4, IR-8
· ISA 62443-2-1:20094.3.4.5.2, 4.3.4.5.3, 4.3.4.5.4
· ISO/IEC 27001:2013A.6.1.1, A.16.1.1
· NIST SP 800-53 Rev. 4CP-2, CP-3, IR-3, IR-8
· ISA 62443-2-1:20094.3.4.5.5
·ISO/IEC 27001:2013 A.6.1.3, A.16.1.2
· NIST SP 800-53 Rev. 4AU-6,IR-6, IR-8
·ISA 62443-2-1:2009 4.3.4.5.2
· ISO/IEC 27001:2013A.16.1.2
·NIST SP 800-53Rev 4 CA-2, CA-7, CP-2, IR-4, IR-8, PE-6, RA-5, SI-4
· ISA 62443-2-1:20094.3.4.5.5
·NIST SP 800-53Rev 4CP-2, IR-4, IR-8

· NIST SP 800-53 Rev. 4PM-15, SI-5

· COBIT 5DSS02.07
· ISA 62443-2-1:20094.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8
·ISA 62443-3-3:2013 SR 6.1
· ISO/IEC 27001:2013A.12.4.1, A.12.4.3, A.16.1.5
·NIST SP 800-53Rev 4 AU-6, CA-7, IR-4, IR-5, PE-6, SI-4
·ISA 62443-2-1:20094.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8
· ISO/IEC 27001:2013A.16.1.6
·NIST SP 800-53Rev 4 CP-2,IR-4
·ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR 2.11, SR 2.12, SR 3.9, SR 6.1
· ISO/IEC 27001:2013 A.16.1.7
·NIST SP 800-53Rev 4 AU-7,IR-4
· ISA 62443-2-1:20094.3.4.5.6
· ISO/IEC 27001:2013 A.16.1.4
·NIST SP 800-53Rev 4 CP-2,IR-4, IR-5, IR-8
· ISA 62443-2-1:20094.3.4.5.6
·ISA 62443-3-3:2013 SR 5.1, SR 5.2, SR 5.4
· ISO/IEC 27001:2013A.16.1.5
·NIST SP 800-53Rev 4IR-4
· ISA 62443-2-1:20094.3.4.5.6, 4.3.4.5.10
·ISO/IEC 27001:2013 A.12.2.1, A.16.1.5
·NIST SP 800-53Rev 4IR-4
·ISO/IEC 27001:2013 A.12.6.1
·NIST SP 800-53 Rev 4CA-7,RA-3, RA-5
·COBIT 5BAI01.13
· ISA 62443-2-1:20094.3.4.5.10, 4.4.3.4
· ISO/IEC 27001:2013A.16.1.6
·NIST SP 800-53Rev 4CP-2, IR-4, IR-8
·NIST SP 800-53Rev 4CP-2, IR-4, IR-8
·CCSCSC 8
· COBIT 5DSS02.05, DSS03.04
· ISO/IEC 27001:2013A.16.1.5
·NIST SP 800-53Rev 4CP-10, IR-4, IR-8
·COBIT 5BAI05.07
· ISA 62443-2-1:20094.4.3.4
·NIST SP 800-53Rev 4CP-2, IR-4, IR-8
· COBIT 5BAI07.08
·NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
·COBIT 5 EDM03.02
· COBIT 5MEA03.02

· NIST SP 800-53 Rev. 4 CP-2, IR-4