Indicator |
Descrierea riscului |
Soluții posibile |
Referințe |
Aspecte generale |
Acces neautorizat și/sau intruziune în sistemele informatice și/sau programele operatorului economic |
politica de securitate informatică, procedurile și standardele trebuie instituite și puse la dispoziția personalului; prezentarea unui certificat ISO 27001 dovedește standarde ridicate în legătură cu securitatea informatică; politica de securitate a informațiilor; ofițerul responsabil cu securitatea informațiilor; proceduri de acordare a drepturilor de acces pentru persoanele autorizate; Drepturile de acces vor fi retrase imediat în caz de transfer al sarcinilor sau încetare a contractului de muncă. - accesul la date în baza necesității de a cunoaște. utilizarea unui software de criptare acolo unde este cazul; programe de protecție de tip firewall; programe de protecție antivirus; protecția cu parolă activată pe toate stațiile de lucru și eventual pentru programele importante În cazul în care angajații părăsesc spațiul de lucru, calculatorul trebuie protejat printr-un cuvânt-cheie. Parolele trebuie să aibă cel puțin opt caractere, fiind o combinație de cel puțin două sau mai multe litere majuscule sau minuscule, numere și alte caractere. Cu cât este mai mare lungimea parolei, cu atât este mai sigură. Numele de utilizator sau parolele nu trebuie niciodată divulgate. testare împotriva accesului neautorizat; limitarea accesului la camerele server-ului doar la personalul autorizat; efectuarea testelor de intruziune la intervale regulate; testele de intruziune trebuie înregistrate. instituirea unor proceduri de gestionare a incidentelor. |
SAQ - 3.7 ISO 27001:2013 |
Aspecte generale |
Distrugerea intenționată sau pierderea unor informații relevante. |
un plan de urgență în caz de pierdere a datelor; practici de realizare a copiilor de rezervă în cazul întreruperii/defectării sistemului; proceduri pentru retragerea drepturilor de acces. permiterea accesului la internet doar pentru site-urile specifice activitățile comerciale. |
ISO 28001:2007, secțiunea A.3 ISO 27001:2013 |