Răspuns: doar din punct de vedere procedural!
Altfel spus: poți fi conform doar cu acele controale care sînt strict de tip politică/procedură . Pentru restul este nevoie de tehnologie. Destul de multă!
Cîteva exemple.
Este nevoie de o soluție de tip „vulnerability management„?
Este nevoie de o soluție de tip „mobile protection/management„?
Este nevoie de o soluție de tip „device control„/„media encryption„?
Este nevoie de o soluție de tip „SIEM„?