1. Har ni en dokumenterad informationssäkerhetspolicy som godkänts av ledningen?

2. Genomför ni årliga riskbedömningar för era tillgångar (data, system, personal)?

3. Har ni ett uppdaterat register över alla informationstillgångar (assets register)?

4. Har ni definierade kontroller för åtkomsthantering (RBAC, least privilege)?

5. Genomför ni regelbundna interna revisioner av säkerhetskontroller?

6. Har ni en incident response-plan som testats årligen?

7. Utbildas personal regelbundet i säkerhetsmedvetenhet?

8. Har ni avtal med leverantörer som inkluderar säkerhetskrav (t.ex. audit rights)?

9. Övervakar ni säkerhetshändelser kontinuerligt (SIEM eller logghantering)?

10. Har ni en process för kontinuerlig förbättring (management review)?

11. Dokumenterar ni avvikelser och korrigerande åtgärder?

12. Är ledningen aktivt involverad i säkerhetsstyrning (CISO eller motsvarande)?