Ukazovateľ

Opis rizika

Možné riešenia

Odkazy

Všeobecné ustanovenia

Neoprávnený prístup a/alebo vniknutie do počítačových systémov a/alebo programov hospodárskeho subjektu.

mala by byť zavedená politika bezpečnosti IT, postupy a normy bezpečnosti IT a mali by byť dostupné pre zamestnancov;

preukázanie certifikátu ISO 27001 je dôkazom prísnych noriem v oblasti bezpečnosti IT;

politika  bezpečnosti  informácií;

pracovník pre bezpečnosť informácií;
– posúdenie bezpečnosti informácií alebo identifikácia problémov týkajúcich sa rizika IT;

postupy udeľovania prístupových práv oprávneným osobám; prístupové práva musia byť odňaté okamžite o prevode povinností alebo ukončení pracovného pomeru.

– prístup k údajom, ktoré je nevyhnutné poznať.

ak je vhodné, používanie šifrovacieho softvéru;

brány firewall;

antivírová ochrana;

ochrana hesla na všetkých dokovacích staniciach a prípadne na dôležitých programoch

Ak zamestnanci opustia svoje pracovisko, počítač by mali vždy zabezpečiť pomocou kľúčového slova

Heslo by malo pozostávať minimálne z ôsmich znakov, ktoré sú zložené z dvoch a viac veľkých a malých písmen, číslic a ďalších znakov. Čím dlhšie heslo, tým je silnejšie. Používateľské mená a heslá by sa nikdy nemali zdieľať.

testovanie odolnosti proti neoprávnenému prístupu;

obmedzenie prístupu do serverovní iba pre oprávnené osoby;

pravidelné vykonávanie testov neoprávneného vniknutia;

testy vniknutia sa musia zaznamenávať. zavedenie postupov na riešenie incidentov.

SD – 3.7.

ISO 27001:2013

Všeobecné ustanovenia

Úmyselné zničenie alebo strata dôležitých informácií

pohotovostný plán pre stratu údajov;

postupy zálohovania pre narušenie/zlyhanie systému;

postupy na odstránenie prístupových práv;
postupy na zabránenie používaniu výrobkov osobnej spotreby, ako sú USB kľúče, CD, DVD a všetky ostatné osobné elektronické periférne zariadenia.

obmedzenie používania internetu na stránky, ktoré sú vhodné iba na obchodné činnosti

ISO 28001:2007, oddiel A 3

ISO 27001:2013