a) Dokumentere teknisk løsning:
- konfigurasjonskart slik at det klart kommer frem hvilke kilder til ondsinnet programvare som finnes
- beskrivelse av teknisk løsning
b) Gjennomføre risikovurdering av løsningen. For eksempel har følgende valg innvirkning på risiko og vil danne grunnlag for hvilke trusler som vurderes:
- ved å ta i bruk usikre nett og tjenester
- ved å ta i bruk sikrede nett og tjenester
- ved å tillate administrative brukere / eleverte privilegier på brukere versus å begrense rettigheter til vanlige brukere
- tilkobling til utstyr lokalt som kan være infisert og overføring av data og program til eksterne lagringsenheter
- oppkobling av fjernaksess fra leverandør
- tilkobling mellom virksomhetens tekniske løsning og databehandlers tekniske løsning
c) Avstemme risiko mot nivå for akseptabel risiko.
d) Fastsette områder som krever tiltak fordi risiko i løsningen overgår akseptabel risiko.
e) Dokumentere hvilke områder som krever beskyttelse mot ondsinnet programvare.
For eksempel:
- ekstern kommunikasjon
- e-post
- leverandører som kobler seg opp mot virksomhetens datautstyr via nettverk eller direkte via medbrakt datautstyr (fjernaksess)
- lagringsmedier som kobles til virksomhetens datautstyr (minnepinner, optiske lagringsmedier, flyttbare harddisker, osv)
- meldingsformidling hvor virksomheten sender eller mottar meldinger elektronisk
- oppslag i eksterne katalogtjenester
