Indikator

Risikobeskrivelse

Mulige løsninger

Henvisninger

Generelt

Uautoriseret adgang til og/eller indtrængen i den økonomiske operatørs computersystemer og/eller -programmer.

it-sikkerhedspolitik, procedurer og standarder bør være på plads og tilgængelige for personalet;

fremlæggelse af ISO 27001-certifikat viser høje standarder inden for it-sikkerhed;

politikker for informationssikkerhed;

 informationssikkerhedsmedarbejder ;
- vurdering af informationssikkerhed eller identificering af problemer vedrørende it-risici;

procedurer for tildeling af adgangsrettigheder til bemyndigede personer, idet adgangsrettigheder straks skal tilbagekaldes ved overførsel af opgaver eller beskæftigelsens ophør.

-adgang til data efter behov.

brug af krypteringssoftware, hvor det er relevant;

firewalls;

antivirusbeskyttelse;

adgangskodebeskyttelse på alle pc-stationer og muligvis på vigtige programmer

Hvis medarbejderne forlader deres arbejdsplads, skal computeren altid sikres med nøgleord

Adgangskoder skal bestå af mindst otte tegn i en kombination af to eller flere store og små bogstaver, tal og andre tegn. Jo længere adgangskoden er, jo stærkere er den. Brugernavne og adgangskoder bør aldrig deles.

test mod uautoriseret adgang;

begrænsning af adgang til serverrum til bemyndigede personer;

test af indtrængen med regelmæssige mellemrum, og disse tests skal registreres.

gennemførelse af procedurer for håndtering af hændelser.

SAQ - 3.7

ISO 27001:2013

Generelt

Bevidst ødelæggelse eller bortkomst af relevante oplysninger

beredskabsplaner for tab af data;

sikkerhedskopieringsrutiner for systemafbrydelser/-fejl;

procedurer for fjernelse af adgangsrettigheder;
procedurer for hindring af brug af personlige forbrugervarer som USB-nøgler, cd'er, dvd'er og andet personligt elektronisk tilbehør.

begrænsning af brugen af internettet til websteder, der kun er passende i forhold til erhvervsaktiviteter

ISO 28001:2007, afsnit A 3

ISO 27001:2013