Fase 3 Uitbreiden
In fase 3 breid je de maatregelen die je hebt genomen in fase 2 verder uit. Net als in fase 2 is risicoafweging een belangrijke factor bij het samenstellen van deze fase. Normen die de grootste risico’s afdekken komen eerder aan de beurt. Ook volgordelijkheid speelt hier een weer rol. Soms moet je de ene norm hebben uitgevoerd voor je een andere kunt doen. Fase 3 bestaat uit 6 deelprojecten.

De deelprojecten van Fase 3:
- Deelproject 3.1 Veilig beheer van infrastructuur
- Deelproject 3.2 Inrichten van identiteits- en toegangsbeheer
- Deelproject 3.3 Bewaren en vernietigen van gegevens
- Deelproject 3.4 Opsporen en beperken van kwetsbaarheden
- Deelproject 3.5 Fysiek beveiligen van informatie en systemen
- Deelproject 3.6 Beveiligen van werkplekken en mobiele apparaten