I henhold til prosess i 1.2.1:
-
a) Kartlegg informasjon etter en hensiktsmessig vurdering, for eksempel: nettverksadresse, maskinvareadresse, enhetsnavn, avdelingstilknytning, samt om enhetene er forvaltet av virksomheten. Hver enhet som har en IP-adresse på nettverket bør være med i oversikten, inkludert stasjonære og bærbare datamaskiner, servere, nettverksutstyr (rutere, svitsjer, brannmurer, osv.), skrivere, lagringsnettverk, IP-telefoner, IoT-enheter, osv.
-
b) Få oversikt over alle mobile enheter og lagringsmedier som benyttes utenfor virksomhetens nett som inneholder virksomhetsinformasjon.
-
c) Lag en plan for håndtering av enheter som ikke er godkjent for bruk i virksomheten (se 1.2.2). For håndtering se 2.4.1.b.
-
d) Virksomheten bør også ha oversikt over virtuelle enheter (enten de kjører hos virksomheten eller i hos en skyleverandør). I mange tilfeller bør oversikten da være litt overordnet hvis «levetid» på virtuelle enheter er variabel/dynamisk, f.eks. «stateless» «Virtual Desktops». Oversikt over virtuelle enheter som kjører hos en leverandør er primært kun hensiktsmessig ifm. kjøp av «IaaS».
Ved mest mulig konsekvent bruk av hvite-listing av alle enheter (og/eller alle kablede og trådløse nettverkforbindelser) i virksomhetens nettverk kan kartlegging av enheter bli enklere enn beskrevet over. Se og prinsipp 2.4 - Beskytt virksomhetens nettverk.