| ๐ผ CM-1 Policy and Procedures | | | | |
| ๐ผ CM-2 Baseline Configuration | 7 | | 13 | |
| ย ย ย ย ๐ผ CM-2(1) Baseline Configuration _ Reviews and Updates | | | | |
| ย ย ย ย ๐ผ CM-2(2) Baseline Configuration _ Automation Support for Accuracy and Currency | | | 13 | |
| ย ย ย ย ๐ผ CM-2(3) Baseline Configuration _ Retention of Previous Configurations | | | | |
| ย ย ย ย ๐ผ CM-2(4) Baseline Configuration _ Unauthorized Software | | | | |
| ย ย ย ย ๐ผ CM-2(5) Baseline Configuration _ Authorized Software | | | | |
| ย ย ย ย ๐ผ CM-2(6) Baseline Configuration _ Development and Test Environments | | | | |
| ย ย ย ย ๐ผ CM-2(7) Baseline Configuration _ Configure Systems and Components for High-risk Areas | | | | |
| ๐ผ CM-3 Configuration Change Control | 8 | 15 | 17 | |
| ย ย ย ย ๐ผ CM-3(1) Configuration Change Control _ Automated Documentation, Notification, and Prohibition of Changes | | | | |
| ย ย ย ย ๐ผ CM-3(2) Configuration Change Control _ Testing, Validation, and Documentation of Changes | | | | |
| ย ย ย ย ๐ผ CM-3(3) Configuration Change Control _ Automated Change Implementation | | | | |
| ย ย ย ย ๐ผ CM-3(4) Configuration Change Control _ Security and Privacy Representatives | | | | |
| ย ย ย ย ๐ผ CM-3(5) Configuration Change Control _ Automated Security Response | | | | |
| ย ย ย ย ๐ผ CM-3(6) Configuration Change Control _ Cryptography Management | | | 4 | |
| ย ย ย ย ๐ผ CM-3(7) Configuration Change Control _ Review System Changes | | | | |
| ย ย ย ย ๐ผ CM-3(8) Configuration Change Control _ Prevent or Restrict Configuration Changes | | | | |
| ๐ผ CM-4 Impact Analyses | 2 | | | |
| ย ย ย ย ๐ผ CM-4(1) Impact Analyses _ Separate Test Environments | | | | |
| ย ย ย ย ๐ผ CM-4(2) Impact Analyses _ Verification of Controls | | | | |
| ๐ผ CM-5 Access Restrictions for Change | 7 | | | |
| ย ย ย ย ๐ผ CM-5(1) Access Restrictions for Change _ Automated Access Enforcement and Audit Records | | | | |
| ย ย ย ย ๐ผ CM-5(2) Access Restrictions for Change _ Review System Changes | | | | |
| ย ย ย ย ๐ผ CM-5(3) Access Restrictions for Change _ Signed Components | | | | |
| ย ย ย ย ๐ผ CM-5(4) Access Restrictions for Change _ Dual Authorization | | | | |
| ย ย ย ย ๐ผ CM-5(5) Access Restrictions for Change _ Privilege Limitation for Production and Operation | | | | |
| ย ย ย ย ๐ผ CM-5(6) Access Restrictions for Change _ Limit Library Privileges | | | | |
| ย ย ย ย ๐ผ CM-5(7) Access Restrictions for Change _ Automatic Implementation of Security Safeguards | | | | |
| ๐ผ CM-6 Configuration Settings | 4 | | | |
| ย ย ย ย ๐ผ CM-6(1) Configuration Settings _ Automated Management, Application, and Verification | | | 1 | |
| ย ย ย ย ๐ผ CM-6(2) Configuration Settings _ Respond to Unauthorized Changes | | | | |
| ย ย ย ย ๐ผ CM-6(3) Configuration Settings _ Unauthorized Change Detection | | | | |
| ย ย ย ย ๐ผ CM-6(4) Configuration Settings _ Conformance Demonstration | | | | |
| ๐ผ CM-7 Least Functionality | 9 | | 11 | |
| ย ย ย ย ๐ผ CM-7(1) Least Functionality _ Periodic Review | | | | |
| ย ย ย ย ๐ผ CM-7(2) Least Functionality _ Prevent Program Execution | | | | |
| ย ย ย ย ๐ผ CM-7(3) Least Functionality _ Registration Compliance | | | | |
| ย ย ย ย ๐ผ CM-7(4) Least Functionality _ Unauthorized Software โ Deny-by-exception | | | | |
| ย ย ย ย ๐ผ CM-7(5) Least Functionality _ Authorized Software โ Allow-by-exception | | | | |
| ย ย ย ย ๐ผ CM-7(6) Least Functionality _ Confined Environments with Limited Privileges | | | | |
| ย ย ย ย ๐ผ CM-7(7) Least Functionality _ Code Execution in Protected Environments | | | | |
| ย ย ย ย ๐ผ CM-7(8) Least Functionality _ Binary or Machine Executable Code | | | | |
| ย ย ย ย ๐ผ CM-7(9) Least Functionality _ Prohibiting The Use of Unauthorized Hardware | | | | |
| ๐ผ CM-8 System Component Inventory | 9 | | 1 | |
| ย ย ย ย ๐ผ CM-8(1) System Component Inventory _ Updates During Installation and Removal | | | | |
| ย ย ย ย ๐ผ CM-8(2) System Component Inventory _ Automated Maintenance | | | 1 | |
| ย ย ย ย ๐ผ CM-8(3) System Component Inventory _ Automated Unauthorized Component Detection | | | | |
| ย ย ย ย ๐ผ CM-8(4) System Component Inventory _ Accountability Information | | | | |
| ย ย ย ย ๐ผ CM-8(5) System Component Inventory _ No Duplicate Accounting of Components | | | | |
| ย ย ย ย ๐ผ CM-8(6) System Component Inventory _ Assessed Configurations and Approved Deviations | | | | |
| ย ย ย ย ๐ผ CM-8(7) System Component Inventory _ Centralized Repository | | | | |
| ย ย ย ย ๐ผ CM-8(8) System Component Inventory _ Automated Location Tracking | | | | |
| ย ย ย ย ๐ผ CM-8(9) System Component Inventory _ Assignment of Components to Systems | | | | |
| ๐ผ CM-9 Configuration Management Plan | 1 | | | |
| ย ย ย ย ๐ผ CM-9(1) Configuration Management Plan _ Assignment of Responsibility | | | | |
| ๐ผ CM-10 Software Usage Restrictions | 1 | | | |
| ย ย ย ย ๐ผ CM-10(1) Software Usage Restrictions _ Open-source Software | | | | |
| ๐ผ CM-11 User-installed Software | 3 | | | |
| ย ย ย ย ๐ผ CM-11(1) User-installed Software _ Alerts for Unauthorized Installations | | | | |
| ย ย ย ย ๐ผ CM-11(2) User-installed Software _ Software Installation with Privileged Status | | | | |
| ย ย ย ย ๐ผ CM-11(3) User-installed Software _ Automated Enforcement and Monitoring | | | | |
| ๐ผ CM-12 Information Location | 1 | | | |
| ย ย ย ย ๐ผ CM-12(1) Information Location _ Automated Tools to Support Information Location | | | | |
| ๐ผ CM-13 Data Action Mapping | | | | |
| ๐ผ CM-14 Signed Components | | | | |