et:soa_27001:2022
Erinevused
Siin näed erinevusi valitud versiooni ja hetkel kehtiva lehekülje vahel.
Next revision | Previous revision | ||
et:soa_27001:2022 [2024/09/16 12:37] – tekitatud toomas | et:soa_27001:2022 [2024/09/16 12:40] (Hetkel kehtiv) – eemaldatud toomas | ||
---|---|---|---|
Rida 1: | Rida 1: | ||
- | =====Infoturbe kohaldusmäärang ===== | ||
- | Kinnitatud: 09.09.2024 | ||
- | |||
- | * Selle jaotise viitetabel näitab, kuidas Directo kontrollieesmärgid kohalduvad standardi praeguse versiooni ISO/IEC 27001:2013 nõuetega. Selle standardi täpse informatsiooni leiad aadressilt http:// | ||
- | * Antud dokument ühildub ISO/ | ||
- | |||
- | ^Kood^Kontrollid^Meede^Kohaldub JAH/EI^ Meetme rakendamise vajadus või välistamise põhjendus^ | ||
- | |5 | Organisatsioon |||| | ||
- | |5.1|Infoturbe eeskirjad|Infoturbepoliitika ja teemapõhised poliitikad määratleb juhtkond, avaldatakse, | ||
- | |5.2|Infoturbe rollid ja kohustused|Infoturbe rollid ja vastutusalad määratletakse ja jaotatakse vastavalt organisatsiooni vajadustele|JAH|Selged rollid ja kohustused, mis on kirjeldatud infoturbe käsiraamatu peatükis 5.2.| | ||
- | |5.3|Tööülesannete lahusus|Puudub piisav kontroll ja vastutus.|JAH|Tuleks tagada, et pettusega ei oleks võimalik tegeleda. Ettevõttes peaks kogu süsteem ja sellega seotud protsessid olema kontrolli all.| | ||
- | |5.4|Juhtimiskohustused| Juhtkond kehtestab infoturbe rakendamiseks selged rollid ja kohustused.|JAH|Ettevõttes on vaja näidata juhtkonna poolt pühendumust infoturbe juhtimissüsteemi vallas| | ||
- | |5.5|Kontakt infoturbega seotud ametiasutustega|Organisatsioon loob ja hoiab kontakti asjaomaste asutustega.|JAH|Infoturbeintsidentidest tuleb teatada CERT-EE-le.| | ||
- | |5.6|Erihuvirühmadega (nt erialaliidud) ühendust võtmine|Organisatsioon loob ja hoiab kontakti erihuvirühmade või muude spetsialiseeritud turvafoorumite ja erialaliitudega|JAH|Hankige praegust infoturbeteavet infoturbe loenditest, foorumitest ja huvirühmadest.| | ||
- | |5.7|Ohu luure|Infoturbeohtudega seotud teavet kogutakse ja analüüsitakse ohuteabe saamiseks.|JAH|Selleks, | ||
- | |5.8|Infoturve projektijuhtimises|Infoturve on integreeritud projektijuhtimisse.|JAH|Projektide algatamisel tuleks arvestada infoturbe teemadega ja arvestada neid projekti käigus.| | ||
- | |5.9|Teabe ja muude seotud varade inventuur|Teave ja muud varad tuleb sisestada SnipiT varade andmebaasi|JAH|Infovarade puudulik ülevaade võib põhjustada andmete terviklikkuse probleeme ning selleks tuleb hallata, millised infovarad ettevõttes olemas on.| | ||
- | |5.10|Teabe ja muude seotud varade vastuvõetav kasutamine|Teabe ja muu seonduva vara vastuvõetava kasutamise reeglid ja kord tuleb kindlaks määrata, dokumenteerida ja rakendada.|JAH|Infokäsitlusreeglite puudumine võib põhjustada probleeme infovaradega ja turvaintsidente.| | ||
- | |5.11|Varade tagastamine|Töötajad ja teised huvitatud isikud peavad töösuhte, lepingu või kokkuleppe muutmisel või lõpetamisel tagastama kogu nende valduses oleva organisatsiooni vara.|JAH|Tuleb jälgida, et varad oleksid ettevõtte poolt õigesti tasandatud.| | ||
- | |5.12|Teabe klassifikatsioon|Teave klassifitseeritakse vastavalt organisatsiooni infoturbe vajadustele, | ||
- | |5.13|Teabe märgistamine|Vastavalt organisatsiooni poolt vastu võetud teabe klassifitseerimisskeemile töötatakse välja ja rakendatakse teabe märgistamiseks sobiv protsess.|JAH|Teabe märgistamine on reegli täitmiseks oluline| | ||
- | |5.14|Teabe edastamine|Suhtlemisreeglid, | ||
- | |5.15|Juurdepääsu kontroll|Teabele ja muule sellega seotud varale füüsilise ja loogilise juurdepääsu kontrollimise reeglid kehtestatakse ja rakendatakse äri- ja infoturbe nõuetest lähtuvalt.|JAH|Oluline on tagada õige juurdepääs õigetele andmetele.| | ||
- | |5.16|Identiteedihaldus|Identiteedid hallatakse kogu teenuse/ | ||
- | |5.17|Autentimisteave|Protsessi käigus kontrollitakse autentimisinfo eraldamist ja haldamist, sealhulgas nõustatakse personali autentimisinfo nõuete täitmisel.|JAH|Tugeva parooli kasutamine peab olema kohustuslik kogu süsteemis. Lisaks paroolile tuleb rakendada mitmefaktoriline autentimine.| | ||
- | |5.18|Juurdepääsuõigused|Juurdepääsuõigused teabele ja muudele seotud varadele antakse, vaadatakse üle, muudetakse ja eemaldatakse vastavalt organisatsiooni juurdepääsukontrolli poliitikatele ja reeglitele.|JAH|Juurdepääsuõigused tuleb anda õigele isikule, õigetel andmetel ja õigel ajal.| | ||
- | |5.19|Infoturve tarnijasuhetes|Tarnija toodete või teenuste kasutamisega seotud infoturberiskide maandamiseks tuleb määratleda ja rakendada protsessid ja protseduurid.|JAH| Enne partneriks saamist tuleks läbi viia taustakontroll.| | ||
- | |5.20|Infoturbe käsitlemine tarnijalepingute raames|Asjakohased infoturbe nõuded kehtestatakse ja lepitakse kokku iga tarnijaga, lähtudes tarnijasuhte tüübist|JAH|Partnerluslepingusse tuleks lisada turvaklauslid.| | ||
- | |5.21|Infoturbe haldamine info- ja kommunikatsioonitehnoloogia (IKT) tarneahelas| Protsessid määratletakse ja rakendatakse (IKT) tarneahela juhtimiseks|JAH| Enne partneriks saamist tuleks läbi viia taustakontroll.| | ||
- | |5.22|Tarnijateenuste jälgimine, ülevaatamine ja muudatuste juhtimine|Organisatsioon jälgib, vaatab, hindab ja haldab regulaarselt tarnijate infoturbe praktikas ja teenuste osutamises toimunud muutusi.|JAH|Tagame, | ||
- | |5.23|Infoturve pilveteenuste kasutamisel|Pilveteenuste hankimise, kasutamise, haldamise ja väljumise protsessid on kehtestatud vastavalt organisatsiooni infoturbenõuetele|JAH|Enne teenusepakkujaks saamist tuleks läbi viia taustakontroll| | ||
- | |5.24|Infoturbeintsidentide juhtimise planeerimine ja ettevalmistamine|Organisatsioon kavandab ja valmistub infoturbeintsidentide haldamiseks, | ||
- | |5.25|Formeerimise turvasündmuste hindamine ja otsustamine|Organisatsioon hindab infoturbesündmusi ja otsustab, kas liigitada need infoturbeintsidentideks.|JAH|Teave intsidendi kohta tuleb võimalikult kiiresti esitada õigesti| | ||
- | |5.26|Infoturbeintsidentidele reageerimine| Organisatsioon kavandab ja valmistab ette intsidentide haldamise töörühma|JAH| Organisatsioon kavandab ja valmistab ette intsidentide haldamise töörühma| | ||
- | |5.27|Infoturbeintsidentidest õppimine|Infoturbeintsidentidest saadud teadmisi kasutatakse infoturbe kontrolli tugevdamiseks ja täiustamiseks|JAH|Juhtumi analüüsi tulemused ja rakendatud meetmed hoiavad ära kordumise| | ||
- | |5.28|Tõendite kogumine|Organisatsioon kehtestab ja rakendab infoturbe sündmustega seotud tõendite tuvastamise, | ||
- | |5.29|Infoturve häirete ajal|Organisatsioon peab planeerima, kuidas hoida infoturvet häirete ajal sobival tasemel.|JAH|Juhtumite ja häirete korral on võimalik tekitada lisakaja ja ära kasutada infoturbe nõrkusi.| | ||
- | |5.30|IKT-valmidus talitluspidevuse tagamiseks|IKT valmiduse planeerimine, | ||
- | |5.31|Juriidilised, | ||
- | |5.32|Intellektuaalse omandi õigused|Organisatsioon rakendab intellektuaalomandi õiguste kaitsmiseks asjakohaseid protseduure.|JAH|Organisatsiooni intellektuaalomandit tuleks kaitsta| | ||
- | |5.33|Kirjete kaitse|Dokumendid on kaitstud kaotsimineku, | ||
- | |5.34|Privaatsus ja isikut tuvastava teabe (PII) kaitse.|Organisatsioon tuvastab ja täidab privaatsuse kaitse nõudeid vastavalt kehtivatele seadustele ja määrustele ning lepingunõuetele|JAH|Kõik isikuandmetega seonduv peab olema kaitstud vastavalt GDPR nõuetele| | ||
- | |5.35|Infoturbe sõltumatu ülevaade|Organisatsiooni lähenemine infoturbe juhtimisele ja selle juurutamine, | ||
- | |5.36|Infoturbe poliitikate, | ||
- | |5.37|Dokumenteeritud tööprotseduurid|Infotöötlusseadmete töökord dokumenteeritakse ja tehakse seda vajavale personalile kättesaadavaks.|JAH|Infoturbe tagamiseks on vaja kirjeldada tööprotsessi nõudeid| | ||
- | |6|Töötajad|||| | ||
- | |6.1|Sõelumine|Kõigi kandidaatide taustakontroll viiakse läbi enne organisatsiooniga liitumist ja jooksvalt, võttes arvesse kehtivaid seadusi, määrusi ja eetikat ning see peab olema proportsionaalne ärinõuete, | ||
- | |6.2|Töötingimused|Töölepingutes on määratletud personali ja organisatsiooni kohustused infoturbe valdkonnas.|JAH|Töötajad peavad olema motiveeritud täitma talle pandud ülesandeid ja saavutama tulemusi| | ||
- | |6.3|Infoturbeteadlikkus, | ||
- | |6.4|Distsiplinaarprotsess|Infoturbepoliitika rikkumise toime pannud töötajate ja teiste huvitatud isikute suhtes algatatakse distsiplinaarmenetlus|JAH|Rikkumise korral on vaja kehtestada selged reeglid| | ||
- | |6.5|Töösuhte lõppemise või muutumise järgsed kohustused|Võib esineda infoturbe kohustusi, mis jäävad kehtima ka pärast töösuhte lõppemist või muutumist. Nendest kohustustest tuleks teatada asjaomastele töötajatele ja teistele huvitatud isikutele.|JAH|Ettevõttes on vaja teada reegleid peale töösuhte| | ||
- | |6.6|Konfidentsiaalsus- või mitteavaldamise lepingud|Konfidentsiaalsuslepingud, | ||
- | |6.7|Kaugtöö|Kui töötajad töötavad eemalt, tuleb rakendada turvameetmeid, | ||
- | |6.8|Infoturbe sündmuste aruandlus|Organisatsioon peab tagama töötajatele võimaluse õigeaegselt teavitada täheldatud või kahtlustatavatest infoturbesündmustest sobivate kanalite kaudu|JAH|Käsitleda tuleks juhtumeid, mis ei vasta infoturbesüsteemi nõuetele| | ||
- | |7.|Füüsilised kontrollid|||| | ||
- | |7.1|Füüsilise turvalisuse perimeetrid|Füüsilised piirid on määratletud ja neid kasutatakse turvaalade ja ettevõtte varade kaitsmiseks|JAH|See tuleks kindlaks määrata ettevõtte füüsiline ümbermõõt ja märkida see selgelt.| | ||
- | |7.2|Sissepääs turvaalale on kontrollitud| Turvaalade jaoks tuleks määratleda sisenemispunktid ja juurdepääsureeglid|JAH|Sisenemispunkte tuleb jälgida ja juurdepääsulogi peaks olema välja arvatud turvaliste alade jaoks| | ||
- | |7.3|Kontorite, | ||
- | |7.4|Füüsilise turvalisuse jälgimine|Ruumides tuleb pidevalt jälgida selleks volitatud isikuid|JAH|Vajalik korraldada turvaseire turvaaladel.| | ||
- | |7.5|Kaitsmine füüsiliste ja keskkonnaohtude eest|Kavandage ja rakendage meetmeid füüsiliste ja keskkonnaohtude korral (looduskatastroofid, | ||
- | |7.6|Juurdepääs turvalistele aladele|Turvaaladele juurdepääsureeglid on määratletud ja rakendatud|JAH|Määratletakse turvaalad ja neile juurdepääsureeglid.| | ||
- | |7.7|Selge laud ja selge ekraan|Läbipaistva laua, printimise ja eemaldatava kandja ning selge ekraani reeglid; määratletakse ja jõustatakse teabetöötlusseadmete reeglid.|JAH|Andmelekke kohta on vaja kehtestada reeglid.| | ||
- | |7.8|Seadmete paigutus ja kaitse|Seadmed peavad olema kindlas kohas ja kaitstud|JAH|Varustus vajab füüsilist kaitset ja reeglid tuleks vastavalt määratleda.| | ||
- | |7.9|Varade turvalisus väljaspool äriruume|Väljaspool objekti asuv vara tuleb kaitsta.|JAH|Tuleks rakendada varade vastuvõetava kasutamise eeskirju.| | ||
- | |7.10|Andmekandja|Säilituskandjaid hallatakse kogu nende soetamise, kasutamise, transportimise ja kõrvaldamise elutsükli jooksul vastavalt organisatsiooni klassifitseerimisskeemile ja käitlemisnõuetele.|JAH|Kolmandate isikute juurdepääs andmekandjatele võib põhjustada andmeleket. Ettevõttes on andmekandjatest juttu juhendi vastava peatüki all.| | ||
- | |7.11|Kommunaalteenuste toetamine|Infotöötlusrajatised peavad olema kaitstud elektrikatkestuste ja muude tugiteenuste riketest põhjustatud häirete eest|JAH|Tööpidevuse tagamiseks tuleks kaaluda UPSi või alternatiivse toiteallika kasutamist.| | ||
- | |7.12|Kaabli turvalisus|Toite-, | ||
- | |7.13|Seadmete hooldus|Seadmeid tuleb korralikult hooldada, et tagada teabe kättesaadavus, | ||
- | |7.14|Seadmete ohutu kõrvaldamine või taaskasutamine|Andmekandjaid sisaldavaid seadmeid kontrollitakse tagamaks, et tundlikud andmed ja litsentsitud tarkvara on enne kõrvaldamist või taaskasutamist eemaldatud või turvaliselt üle kirjutatud.|JAH|Ohtude tuvastamine on oluline enne kahju kuhjumist.| | ||
- | |8.|Tehnoloogilised kontrollid|||| | ||
- | |8.1|Kasutaja lõpp-punkti seadmed|Kasutajaseadmete kaudu salvestatud, | ||
- | |8.2|Privilegeeritud juurdepääsuõigused|Privilegeeritud juurdepääsuõiguste eraldamine ja kasutamine on piiratud ja hallatud|JAH|Privilegeeritud juurdepääsuõiguste eraldamine ja kasutamine on piiratud| | ||
- | |8.3|Andmetele juurdepääsu piirang|Juurdepääs andmetele ja nendega seotud varadele tuleb piirata vastavalt kehtestatud subjektipõhisele juurdepääsukontrolli poliitikale|JAH|Infole juurdepääsu reguleerimise protsessi on vaja käsitleda nii, et puudub volitamata juurdepääs ja andmed oleksid turvaliselt kaitstud.| | ||
- | |8.4|Juurdepääs lähtekoodile|Lugemis- ja kirjutamisjuurdepääsu lähtekoodile, | ||
- | |8.5|Turvaline autentimine|Turvalist autentimist rakendatakse teabe juurdepääsupiirangute ja juurdepääsu kontrollimise poliitikate alusel|JAH|Rakendage tugevate paroolide kasutamise eeskirju| | ||
- | |8.6|Võimsuse juhtimine|Ressursikasutust jälgitakse ja kohandatakse lähtuvalt praegusest ja eeldatavast võimsusvajadusest.|JAH|Ressursivõimsust jälgitakse rakenduse ja süsteemide jõudluse osas.| | ||
- | |8.7|Kaitse pahavara eest|Pahavaravastane kaitse peab olema rakendatud ja seda peab toetama asjakohane kasutajateadlikkus.|JAH|Vajalik kaitse pahavara eest| | ||
- | |8.8|Tehniliste haavatavuste haldamine|Vaja on hankida teavet kasutusel olevate infosüsteemide tehniliste haavatavuste kohta, hinnata organisatsiooni kokkupuudet selliste haavatavustega ja võtta kasutusele asjakohased meetmed.|JAH|Valige kvaliteetsete seadmete ja hea tehnilise toega müüjad| | ||
- | |8.9|Konfiguratsiooni juhtimine|Luuakse, | ||
- | |8.10|Teabe kustutamine|Infosüsteemides, | ||
- | |8.11|Andmete maskeerimine|Andmete maskeerimist kasutatakse vastavalt organisatsiooni subjektipõhisele juurdepääsukontrolli poliitikale ja muudele seotud teemapõhistele põhimõtetele ja ärinõuetele, | ||
- | |8.12|Andmelekke vältimine|Andmelekke vältimise meetmeid rakendatakse süsteemide, | ||
- | |8.13|Teabe varundamine|Teabe, | ||
- | |8.14|Infotöötlusseadmete koondamine|Teabetöötlusrajatised on rakendatud piisava koondamisega, | ||
- | |8.15|Logimine|Luuakse, | ||
- | |8.16|Seiretegevused|Võrke, | ||
- | |8.17|Kella sünkroonimine|Organisatsioonis kasutatavate infotöötlussüsteemide kellad peavad olema sünkroniseeritud ja kontrollitud.|JAH|Kellade sünkroniseerimise tagamine ja kontrollimine on vajalik süsteemide korrektseks toimimiseks ja juhtimisprotsesside läbiviimiseks.| | ||
- | |8.18|Privilegeeritud utiliitprogrammide kasutamine|Süsteemi ja rakenduste juhtelemente segavate utiliitprogrammide kasutamine peab olema piiratud ja rangelt kontrollitud|JAH|Ettevõttes kasutatakse piiratud privilegeeritud kommunaalteenuseid.| | ||
- | |8.19|Tarkvara installeerimine operatsioonisüsteemidesse|Rakendatakse protseduure ja meetmeid tarkvara installimise turvaliseks haldamiseks operatsioonisüsteemidesse|JAH|Täiendava tarkvara installimiseks on vaja luba| | ||
- | |8.20| Võrkude turvalisus|Võrgud ja võrguseadmed peavad olema kaitstud, hallatud ja kontrollitud, | ||
- | |8.21|Võrguteenuste turvalisus|Tuvastatakse, | ||
- | |8.22|Võrkude eraldamine|Infoteenuste, | ||
- | |8.23|Veebi filtreerimine|Juurdepääsu välistele veebisaitidele hallatakse pahatahtliku sisuga kokkupuute minimeerimiseks.|JAH|Veebipõhine veebifiltreerimine tuleks rakendada, et pahatahtlikud veebisaidid automaatselt blokeerida.| | ||
- | |8.24|Krüptograafia kasutamine|Määratletakse ja rakendatakse krüptograafia tõhusa kasutamise reeglid, sealhulgas krüptograafilise võtme haldamise reeglid|JAH|Vajalik konfidentsiaalsete andmete lekke vältimiseks| | ||
- | |8.25|Turvaline arenduse elutsükkel|Kehtestatakse ja rakendatakse reeglid tarkvara ja süsteemide ohutuks arendamiseks.|JAH|Süsteemne turvalisus kogu rakenduse elutsükli jooksul| | ||
- | |8.26|Rakenduse turvanõuded|Infoturbe nõuded tuvastatakse, | ||
- | |8.27|Turvaline süsteemi arhitektuur ja põhimõtted|Turvaliste süsteemide kujundamise põhimõtted kehtestatakse, | ||
- | |8.28|Turvaline kodeerimine|Tarkvaraarenduses rakendatakse turvalise kodeerimise põhimõtteid|JAH|Juhend turvaliseks arendustegevuseks.| | ||
- | |8.29|Turvatestimine arenduses ja vastuvõtmisel|Turvatestimise protsessid määratletakse ja rakendatakse kogu arenduse elutsükli jooksul|JAH|Meie arendusprotsessi lahutamatu osa on testimine.| | ||
- | |8.30|Väljastpoolt tellitud arendus|Organisatsioon juhib, jälgib ja vaatab üle sisseostetava süsteemiarendusega seotud tegevusi.|EI|Ettevõte ei kasuta tarkvara arendamiseks väliseid partnereid.| | ||
- | |8.31|Arendus- ja testkeskkondade eraldamine|Arendus-, | ||
- | |8.32|Muutuste juhtimine|Infotöötlusvahendite ja infosüsteemide muudatustele kohaldatakse muudatuste haldamise korda.|JAH|Tuleb tagada süsteemsed muudatused süsteemis, et muudatuste käsitlemisel ei tekiks turvaintsidente.| | ||
- | |8.33|Testi andmed|Testiandmed peavad olema õigesti valitud, kaitstud ja hallatud|JAH|Testiandmed tuleks enne nende kasutamist ette valmistada (maskeerida).| | ||
- | |8.34|Infosüsteemide kaitse auditi testimise ajal|Audititestid ja muud operatsioonisüsteemide hindamist hõlmavad tegevused planeeritakse ja lepitakse testija ja ettevõtte vahel kokku|JAH|Turvatestide protsess ja tingimused peavad olema süsteemselt ettevalmistatud.| | ||
- | |||
et/soa_27001/2022.1726479473.txt.gz · Viimati muutnud: 2024/09/16 12:37 persoon toomas