Etabler og vedlikehold standard sikkerhetskonfigurasjoner, dvs. ideelt sett en standard pr. type enhet i virksomheten. Dette gjelder operativsystemer (klient og server), brannmurer, nettverksutstyr, applikasjoner og maskinvare.
- a) All drift av sikkerhetskonfigurasjon bør være sentralisert og standardisert pr. type enhet.
- b) Konfigurasjonen bør gjennomgås og oppdateres med jevne mellomrom for å motstå nyere sårbarheter og angrepsvektorer.
- c) Endring av konfigurasjoner bør følge virksomhetens prosess for endringshåndtering og styres av autoriserte ansatte.
- d) Sikkerhetskonfigurasjon skal kun endres av autorisert driftspersonale, og ikke kunne endres av sluttbrukere på sine klienter.