Mutató

A kockázat leírása

Lehetséges megoldások

Hivatkozások

Általános rész

Jogosulatlan hozzáférés és/vagy behatolás a gazdálkodó számítógépes rendszereibe és/vagy programjaiba.

IT-biztonságpolitikát, eljárásokat és szabványokat kell alkalmazni, és azokat a személyzet számára elérhetővé kell tenni;

egy ISO 27001 tanúsítvány bemutatása az IT-biztonság magas színvonalát jelzi;

információbiztonsági politika;

 információbiztonsági tisztviselő/alkalmazott;
– információbiztonsági értékelés vagy az IT-kockázatokhoz kapcsolódó kérdések azonosítása;

jogosult személyek hozzáférési jogosultságainak megadására vonatkozó eljárások; a hozzáférési jogosultságokat azonnal vissza kell vonni feladatkör átruházása vagy a munkaviszony megszűnése esetén.

– adatokhoz való hozzáférés: csak indokolt esetben.

adott esetben titkosítási szoftverek alkalmazása;

tűzfalak;

vírusvédelem;

jelszóvédelem minden számítógépes munkaállomáson és lehetőleg a fontos programokon is.

Ha az alkalmazott elhagyja a munkaállomást, a számítógépet mindig jelszóval kell védeni.

A jelszónak legalább nyolc karakterből kell állnia, két vagy több kis- és nagybetű, számok és egyéb karakterek kombinációját kell tartalmaznia. Minél hosszabb a jelszó, annál erősebb. A felhasználóneveket és jelszavakat sosem szabad egymással megosztani.

jogosulatlan hozzáférés ellenőrzése;

a szerverszobákba való bejutás korlátozása az arra jogosult személyekre;

próbabehatolások végrehajtása rendszeres időközönként;

a próbabehatolásokat rögzíteni kell. incidenskezelési eljárások bevezetése.

Önértékelési kérdőív – 3.7.

ISO 27001:2013

Általános rész

Releváns adatok szándékos megsemmisítése vagy elvesztése.

készenléti intézkedési tervek adatvesztés esetére;

rutinszerű biztonsági mentések rendszerzavarok /a rendszer meghibásodása esetére;

eljárások a hozzáférési jogosultság megszüntetésére;
személyes használatú eszközök, például pendrive, CD, DVD és bármely egyéb elektronikus periféria használatának megakadályozását szolgáló eljárások

internethasználat korlátozása a kizárólag az üzleti tevékenységek szempontjából megfelelő honlapokra.

ISO 28001:2007, A3. szakasz

ISO 27001:2013