Fase 3 Uitbreiden
In fase 3 breid je de maatregelen die je hebt genomen in fase 2 verder uit. Net als in fase 2 is risicoafweging een belangrijke factor bij het samenstellen van deze fase. Normen die de grootste risico’s afdekken komen eerder aan de beurt. Ook volgordelijkheid speelt hier een weer rol. Soms moet je de ene norm hebben uitgevoerd voor je een andere kunt doen. Fase 3 bestaat uit 6 deelprojecten.

De deelprojecten van Fase 3:
- Deelproject 3.1 Onderhouden van de infrastructuur
- Deelproject 3.2 Inrichten van identiteits- en toegangsbeheer
- Deelproject 3.3 Bewaren en vernietigen van gegevens
- Deelproject 3.4 Uitvoeren van pentesten
- Deelproject 3.5 Fysiek beveiligen van informatie en systemen
- Deelproject 3.6 Beveiligen van werkplekken en mobiele apparaten