12.5.1 Procedimentos para controle de mudanças:
Para o controle convém que a implementação de mudanças seja controlada utilizando procedimentos formais de controle de mudanças.
Para as diretrizes de implementação
Convém que os procedimentos de controle de mudanças sejam documentados e reforçados com a finalidade de minimizar a corrupção dos sistemas da informação.
12.5.2 Não se aplica
12.5.3 Não se aplica
12.5.4 Vazamento de informações:
Para um melhor controle convém que oportunidades para vazamento de informações sejam prevenidas. O mascaramento e a modulação do comportamento dos sistemas e das comunicações para reduzir a possibilidade de terceiros deduzirem informações a partir do comportamento dos sistemas.

12.5.5 Não se aplica

12.6 Gestão de vulnerabilidades técnicas:

Objetivo: Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas.
Convém que a implementação da gestão de vulnerabilidades técnicas seja implementada de forma efetiva, sistemática e de forma repetível com medições de confirmação da efetividade. Convém que estas considerações incluam sistemas operacionais e quaisquer outras aplicações em uso.

12.6.1 Controle de vulnerabilidades técnicas:
Convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados. Um inventário completo e atualizado dos ativos de informação (ver 7.1) é um pré-requisito para uma gestão efetiva de vulnerabilidade técnica. O correto funcionamento do processo de gestão de vulnerabilidades técnicas é crítico para muitas organizações e, portanto, convém que seja monitorado regulamente.Um inventario de ativos preciso é essencial para assegurar que vulnerabilidades potenciais relevantes sejam identificadas.

13.0 Não se aplica

13.1 Não se aplica

13.1.1 Não se aplica