Ukazovateľ |
Opis rizika |
Možné riešenia |
Odkazy |
Všeobecné ustanovenia |
Neoprávnený prístup a/alebo vniknutie do počítačových systémov a/alebo programov hospodárskeho subjektu. |
mala by byť zavedená politika bezpečnosti IT, postupy a normy bezpečnosti IT a mali by byť dostupné pre zamestnancov; preukázanie certifikátu ISO 27001 je dôkazom prísnych noriem v oblasti bezpečnosti IT; politika bezpečnosti informácií; pracovník pre bezpečnosť informácií; postupy udeľovania prístupových práv oprávneným osobám; prístupové práva musia byť odňaté okamžite o prevode povinností alebo ukončení pracovného pomeru. – prístup k údajom, ktoré je nevyhnutné poznať. ak je vhodné, používanie šifrovacieho softvéru; brány firewall; antivírová ochrana; ochrana hesla na všetkých dokovacích staniciach a prípadne na dôležitých programoch Ak zamestnanci opustia svoje pracovisko, počítač by mali vždy zabezpečiť pomocou kľúčového slova Heslo by malo pozostávať minimálne z ôsmich znakov, ktoré sú zložené z dvoch a viac veľkých a malých písmen, číslic a ďalších znakov. Čím dlhšie heslo, tým je silnejšie. Používateľské mená a heslá by sa nikdy nemali zdieľať. testovanie odolnosti proti neoprávnenému prístupu; obmedzenie prístupu do serverovní iba pre oprávnené osoby; pravidelné vykonávanie testov neoprávneného vniknutia; testy vniknutia sa musia zaznamenávať. zavedenie postupov na riešenie incidentov. |
SD – 3.7. ISO 27001:2013 |
Všeobecné ustanovenia |
Úmyselné zničenie alebo strata dôležitých informácií |
pohotovostný plán pre stratu údajov; postupy zálohovania pre narušenie/zlyhanie systému; postupy na odstránenie prístupových práv; obmedzenie používania internetu na stránky, ktoré sú vhodné iba na obchodné činnosti |
ISO 28001:2007, oddiel A 3 ISO 27001:2013 |