Компании необходимо проводить таргетированный анализ рисков для определения периодичности процедур (требование 12.3.1), в том числе:
- периодичность анализа событий информационной безопасности для систем, не указанных в требовании 10.4.1 (требование 10.4.2.1),
- периодичность и типы проверок POI-устройств (требование 9.5.1.2.1),
- периодичность подтверждения неактуальности антивируса для систем, неподверженных воздействию вредоносного ПО (требование 5.2.3.1),
- периодичность сканирований на наличие вредоносного ПО (требование 5.3.2.1),
- периодичность пересмотра прав доступа системных учётных записей и учётных записей приложений (требование 7.2.5.1),
- периодичность смены паролей системных учётных записей и учётных записей приложений (требование 8.6.3),
- периодичность повышения осведомлённости работников в области реагирования на инциденты ИБ (требование 12.10.4.1).