Indicator

Descrierea riscului

Soluții posibile

Referințe

Aspecte generale

Acces neautorizat și/sau intruziune în sistemele informatice și/sau programele operatorului economic

politica de securitate informatică, procedurile și standardele trebuie instituite și puse la dispoziția personalului;

prezentarea unui certificat ISO 27001 dovedește standarde ridicate în legătură cu securitatea informatică;

politica de  securitate  a informațiilor;

ofițerul responsabil cu securitatea informațiilor;
- evaluarea securității informațiilor sau identificarea problemelor privind riscurile informatice;

proceduri de acordare a drepturilor de acces pentru persoanele autorizate; Drepturile de acces vor fi retrase imediat în caz de transfer al sarcinilor sau încetare a contractului de muncă.

- accesul la date în baza necesității de a cunoaște.

utilizarea unui software de criptare acolo unde este cazul;

programe de protecție de tip firewall;

programe de protecție antivirus;

protecția cu parolă activată pe toate stațiile de lucru și eventual pentru programele importante

În cazul în care angajații părăsesc spațiul de lucru, calculatorul trebuie protejat printr-un cuvânt-cheie.

Parolele trebuie să aibă cel puțin opt caractere, fiind o combinație de cel puțin două sau mai multe litere majuscule sau minuscule, numere și alte caractere. Cu cât este mai mare lungimea parolei, cu atât este mai sigură. Numele de utilizator sau parolele nu trebuie niciodată divulgate.

testare împotriva accesului neautorizat;

limitarea accesului la camerele server-ului doar la personalul autorizat;

efectuarea testelor de intruziune la intervale regulate; testele de intruziune trebuie înregistrate.

instituirea unor proceduri de gestionare a incidentelor.

SAQ - 3.7

ISO 27001:2013

Aspecte generale

Distrugerea intenționată sau pierderea unor informații relevante.

un plan de urgență în caz de pierdere a datelor;

practici de realizare a copiilor de rezervă în cazul întreruperii/defectării sistemului;

proceduri pentru retragerea drepturilor de acces.
proceduri pentru împiedicarea utilizării dispozitivelor personale, precum stick-uri de memorie, CD-uri, DVD-uri și alte periferice electronice personale.

permiterea accesului la internet doar pentru site-urile specifice activitățile comerciale.

ISO 28001:2007, secțiunea A.3

ISO 27001:2013