Indikaattori

Riskin kuvaus

Mahdolliset ratkaisut

Viitteet

Yleistä

Luvaton pääsy ja/tai tunkeutuminen talouden toimijan tietokonejärjestelmiin ja/tai ohjelmiin.

tietoturvapolitiikka, menettelyt ja standardit ovat käytössä ja henkilöstön käytettävissä;

ISO 27001 sertifikaatilla voidaan osoittaa tietoturvan korkea taso;

tietoturvapolitiikka;

tietoturvasta  vastaava  henkilö;
tietoturvariskejä koskeva arvio tai riskien tunnistaminen;

menettelyt käyttöoikeuksien myöntämiseksi valtuutetuille henkilöille;

käyttöoikeudet on peruutettava välittömästi henkilön siirtyessä muihin tehtäviin tai työsuhteen päättyessä;

pääsy tietoon pitäisi olla vain tietoja tarvitsevilla;

salausohjelmien käyttö tarvittaessa;

palomuurit;

virustorjuntaohjelmat;

salasanasuojaus kaikissa henkilökohtaisissa tietokoneissa ja mahdollisesti tärkeissä ohjelmissa; Työntekijöiden poistuessa työpaikaltaan tietokone olisi aina suojattava salasanalla.

Salasanan olisi muodostuttava vähintään kahdeksasta merkistä, joissa on kahden tai useamman suuren ja pienen kirjaimen, numeron tai muun merkin sekoitus. Mitä pidempi salasana on, sitä varmempi se on. Mitä pidempi salasana on, sitä varmempi se on. Käyttäjätunnuksia ja salasanoja ei saa koskaan ilmoittaa muille.

luvattoman tunkeutumisen testaaminen;

palvelintiloihin pääsy myönnetään ainoastaan valtuutetuille henkilöille;

suoritetaan säännöllisesti tunkeutumisyritystestejä;

nämä testit on kirjattava; otetaan käyttöön menettelyt vaaratilanteiden varalle.

SAQ - 3.7

ISO 27001:2013

Yleistä

Tärkeiden tietojen tahallinen tuhoaminen tai niiden häviäminen.

varasuunnitelma tietojen häviämisen varalle;

varmuuskopiointi järjestelmähäiriöiden varalle;

käyttöoikeuksien peruuttamismenettelyt;
menettelyt, joilla estetään henkilökohtaisten kulutustavaroiden, kuten muistitikkujen, CD-levyjen, DVD-levyjen ja muiden henkilökohtaisten elektronisten laitteiden käyttö;

rajoitetaan internetin käyttö vain liiketoiminnan kannalta tarpeellisiin sivustoihin.

ISO 28001:2007, A.3 kohta

ISO 27001:2013