4. Vendor and Employee Review. Review Contracts. Contractual obligations for employees and contractors should reflect the organization’s policy for cyber risk management. A code of conduct may be used to state employee or contractor cyber risk management responsibilities, including but not limited to: i. Confidentiality ii. Data protection iii. Ethics iv. Appropriate use of the organization’s equipment and facilities v. Reputable practices expected by the organization 5. Categorize Systems. Use the inventory to develop a list of Major Systems. Major Systems are those that perform a significant process for the enterprise and are made up of subsystems which perform individual steps in the process. For example, an Emergency Management System (Major System) may be made up of fire alarm, sprinkler, and smoke purge subsystems. Major system categories can include physical security, safety, and environmental protection systems that perform any of the following functions: i. Fire detection, firefighting, and other emergency response ii. Access control and security monitoring iii. Communications iv. Fuel and HAZMAT control and transfer v. Environmental control and monitoring vi. Industrial controls vii. Other components identified in a Facility Security Plan (FSP), a Facility Response viii. Plan (FRP), or a Facility Operations Manual (OPSMAN)

4. Satıcı ve Çalışan İncelemesi. Sözleşmeleri İnceleyin. Çalışanlar ve yükleniciler için sözleşmeden doğan yükümlülükler, kuruluşun siber risk yönetimi politikasını yansıtmalıdır. Aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere, çalışan veya yüklenicinin siber risk yönetimi sorumluluklarını belirtmek için bir davranış kuralları kullanılabilir: Ben. Gizlilik ii. Veri koruması iii. etik iv. Kuruluşun ekipman ve tesislerinin uygun kullanımı v. Kuruluş tarafından beklenen saygın uygulamalar 5. Sistemleri Sınıflandırın. Ana Sistemlerin bir listesini geliştirmek için envanteri kullanın. Ana Sistemler, kuruluş için önemli bir süreci gerçekleştiren ve süreçteki bireysel adımları gerçekleştiren alt sistemlerden oluşan sistemlerdir. Örneğin, bir Acil Durum Yönetim Sistemi (Ana Sistem) yangın alarmı, sprinkler ve duman tahliye alt sistemlerinden oluşabilir. Ana sistem kategorileri, aşağıdaki işlevlerden herhangi birini gerçekleştiren fiziksel güvenlik, emniyet ve çevre koruma sistemlerini içerebilir: Ben. Yangın algılama, yangınla mücadele ve diğer acil durum müdahalesi ii. Erişim kontrolü ve güvenlik izleme iii. İletişim iv. Yakıt ve HAZMAT kontrolü ve transferi v. Çevresel kontrol ve izleme vi. endüstriyel kontroller vii. Bir Tesis Güvenlik Planında (FSP), bir Tesis Müdahalesinde tanımlanan diğer bileşenler viii. Plan (FRP) veya Tesis Operasyonları Kılavuzu (OPSMAN)