| Indikaattori |
Riskin kuvaus |
Mahdolliset ratkaisut |
Viitteet |
| Yleistä |
Luvaton pääsy ja/tai tunkeutuminen talouden toimijan tietokonejärjestelmiin ja/tai ohjelmiin. |
tietoturvapolitiikka, menettelyt ja standardit ovat käytössä ja henkilöstön käytettävissä; ISO 27001 sertifikaatilla voidaan osoittaa tietoturvan korkea taso; tietoturvapolitiikka; tietoturvasta vastaava henkilö; menettelyt käyttöoikeuksien myöntämiseksi valtuutetuille henkilöille; käyttöoikeudet on peruutettava välittömästi henkilön siirtyessä muihin tehtäviin tai työsuhteen päättyessä; pääsy tietoon pitäisi olla vain tietoja tarvitsevilla; salausohjelmien käyttö tarvittaessa; palomuurit; virustorjuntaohjelmat; salasanasuojaus kaikissa henkilökohtaisissa tietokoneissa ja mahdollisesti tärkeissä ohjelmissa; Työntekijöiden poistuessa työpaikaltaan tietokone olisi aina suojattava salasanalla. Salasanan olisi muodostuttava vähintään kahdeksasta merkistä, joissa on kahden tai useamman suuren ja pienen kirjaimen, numeron tai muun merkin sekoitus. Mitä pidempi salasana on, sitä varmempi se on. Mitä pidempi salasana on, sitä varmempi se on. Käyttäjätunnuksia ja salasanoja ei saa koskaan ilmoittaa muille. luvattoman tunkeutumisen testaaminen; palvelintiloihin pääsy myönnetään ainoastaan valtuutetuille henkilöille; suoritetaan säännöllisesti tunkeutumisyritystestejä; nämä testit on kirjattava; otetaan käyttöön menettelyt vaaratilanteiden varalle. |
SAQ - 3.7 ISO 27001:2013 |
| Yleistä |
Tärkeiden tietojen tahallinen tuhoaminen tai niiden häviäminen. |
varasuunnitelma tietojen häviämisen varalle; varmuuskopiointi järjestelmähäiriöiden varalle; käyttöoikeuksien peruuttamismenettelyt; rajoitetaan internetin käyttö vain liiketoiminnan kannalta tarpeellisiin sivustoihin. |
ISO 28001:2007, A.3 kohta ISO 27001:2013 |