Se deberían administrar y controlar las redes para proteger la información en sistemas y aplicaciones.
Se deberían identificar e incluir en los acuerdos de servicio (SLA) los mecanismos de seguridad, los niveles de servicio y los requisitos de administración de todos los servicios de red, independientemente de si estos servicios se entregan de manera interna o están externalizados.
Se deberían segregar las redes en función de los grupos de servicios, usuarios y sistemas de información.

Deberían existir políticas, procedimientos y controles formales de transferencia para proteger la información que viaja a través del uso de todo tipo de instalaciones de comunicación.
Los acuerdos deberían abordar la transferencia segura de información comercial entre la organización y las partes externas.
Se debería proteger adecuadamente la información referida en la mensajería electrónica.
Se deberían identificar, revisar y documentar de manera regular los requisitos para los acuerdos de confidencialidad y "no divulgación" que reflejan las necesidades de la organización para la protección de información.