et:soa_27001_2022
Erinevused
Siin näed erinevusi valitud versiooni ja hetkel kehtiva lehekülje vahel.
et:soa_27001_2022 [2024/09/16 12:40] – tekitatud toomas | et:soa_27001_2022 [2024/09/19 08:47] (Hetkel kehtiv) – toomas | ||
---|---|---|---|
Rida 5: | Rida 5: | ||
* Antud dokument ühildub ISO/ | * Antud dokument ühildub ISO/ | ||
- | ^Kood^Kontrollid^Meede^Kohaldub JAH/EI^ Meetme rakendamise vajadus või välistamise põhjendus^ | + | ^Kood^Kontrollid^Meede^Kohaldub JAH/EI^ |
- | |5 | Organisatsioon |||| | + | |5.|Organisatsioonilised kontrollid||| |
- | |5.1|Infoturbe eeskirjad|Infoturbepoliitika ja teemapõhised poliitikad määratleb juhtkond, avaldatakse, | + | |5.1|Infoturbe eeskirjad|Infoturbepoliitika ja teemapõhised poliitikad määratleb juhtkond, avaldatakse, |
- | |5.2|Infoturbe rollid ja kohustused|Infoturbe rollid ja vastutusalad määratletakse ja jaotatakse vastavalt organisatsiooni vajadustele|JAH|Selged rollid ja kohustused, mis on kirjeldatud infoturbe käsiraamatu peatükis 5.2.| | + | |5.2|Infoturbe rollid ja kohustused|Infoturbe rollid ja vastutusalad määratletakse ja jaotatakse vastavalt organisatsiooni vajadustele|JAH| |
- | |5.3|Tööülesannete lahusus|Puudub piisav kontroll ja vastutus.|JAH|Tuleks tagada, et pettusega ei oleks võimalik tegeleda. Ettevõttes peaks kogu süsteem ja sellega seotud protsessid olema kontrolli all.| | + | |5.3|Tööülesannete lahusus|Puudub piisav kontroll ja vastutus.|JAH| |
- | |5.4|Juhtimiskohustused| Juhtkond kehtestab infoturbe rakendamiseks selged rollid ja kohustused.|JAH|Ettevõttes on vaja näidata juhtkonna poolt pühendumust infoturbe juhtimissüsteemi vallas| | + | |5.4|Juhtimiskohustused| Juhtkond kehtestab infoturbe rakendamiseks selged rollid ja kohustused.|JAH| |
- | |5.5|Kontakt infoturbega seotud ametiasutustega|Organisatsioon loob ja hoiab kontakti asjaomaste asutustega.|JAH|Infoturbeintsidentidest tuleb teatada CERT-EE-le.| | + | |5.5|Kontakt infoturbega seotud ametiasutustega|Organisatsioon loob ja hoiab kontakti asjaomaste asutustega.|JAH| |
- | |5.6|Erihuvirühmadega (nt erialaliidud) ühendust võtmine|Organisatsioon loob ja hoiab kontakti erihuvirühmade või muude spetsialiseeritud turvafoorumite ja erialaliitudega|JAH|Hankige praegust infoturbeteavet infoturbe loenditest, foorumitest ja huvirühmadest.| | + | |5.6|Erihuvirühmadega (nt erialaliidud) ühendust võtmine|Organisatsioon loob ja hoiab kontakti erihuvirühmade või muude spetsialiseeritud turvafoorumite ja erialaliitudega|JAH| |
- | |5.7|Ohu luure|Infoturbeohtudega seotud teavet kogutakse ja analüüsitakse ohuteabe saamiseks.|JAH|Selleks, et olla valmis ja intsidente ennetada, peab olema info võimalike riskide ja nende vältimise meetodite kohta.| | + | |5.7|Ohu luure|Infoturbeohtudega seotud teavet kogutakse ja analüüsitakse ohuteabe saamiseks.|JAH| |
- | |5.8|Infoturve projektijuhtimises|Infoturve on integreeritud projektijuhtimisse.|JAH|Projektide algatamisel tuleks arvestada infoturbe teemadega ja arvestada neid projekti käigus.| | + | |5.8|Infoturve projektijuhtimises|Infoturve on integreeritud projektijuhtimisse.|JAH| |
- | |5.9|Teabe ja muude seotud varade inventuur|Teave ja muud varad tuleb sisestada SnipiT varade andmebaasi|JAH|Infovarade puudulik ülevaade võib põhjustada andmete terviklikkuse probleeme ning selleks tuleb hallata, millised infovarad ettevõttes olemas on.| | + | |5.9|Teabe ja muude seotud varade inventuur|Teave ja muud varad tuleb sisestada SnipiT varade andmebaasi|JAH| |
- | |5.10|Teabe ja muude seotud varade vastuvõetav kasutamine|Teabe ja muu seonduva vara vastuvõetava kasutamise reeglid ja kord tuleb kindlaks määrata, dokumenteerida ja rakendada.|JAH|Infokäsitlusreeglite puudumine võib põhjustada probleeme infovaradega ja turvaintsidente.| | + | |5.10|Teabe ja muude seotud varade vastuvõetav kasutamine|Teabe ja muu seonduva vara vastuvõetava kasutamise reeglid ja kord tuleb kindlaks määrata, dokumenteerida ja rakendada.|JAH| |
- | |5.11|Varade tagastamine|Töötajad ja teised huvitatud isikud peavad töösuhte, lepingu või kokkuleppe muutmisel või lõpetamisel tagastama kogu nende valduses oleva organisatsiooni vara.|JAH|Tuleb jälgida, et varad oleksid ettevõtte poolt õigesti tasandatud.| | + | |5.11|Varade tagastamine|Töötajad ja teised huvitatud isikud peavad töösuhte, lepingu või kokkuleppe muutmisel või lõpetamisel tagastama kogu nende valduses oleva organisatsiooni vara.|JAH| |
- | |5.12|Teabe klassifikatsioon|Teave klassifitseeritakse vastavalt organisatsiooni infoturbe vajadustele, | + | |5.12|Teabe klassifikatsioon|Teave klassifitseeritakse vastavalt organisatsiooni infoturbe vajadustele, |
- | |5.13|Teabe märgistamine|Vastavalt organisatsiooni poolt vastu võetud teabe klassifitseerimisskeemile töötatakse välja ja rakendatakse teabe märgistamiseks sobiv protsess.|JAH|Teabe märgistamine on reegli täitmiseks oluline| | + | |5.13|Teabe märgistamine|Vastavalt organisatsiooni poolt vastu võetud teabe klassifitseerimisskeemile töötatakse välja ja rakendatakse teabe märgistamiseks sobiv protsess.|JAH| |
- | |5.14|Teabe edastamine|Suhtlemisreeglid, | + | |5.14|Teabe edastamine|Suhtlemisreeglid, |
- | |5.15|Juurdepääsu kontroll|Teabele ja muule sellega seotud varale füüsilise ja loogilise juurdepääsu kontrollimise reeglid kehtestatakse ja rakendatakse äri- ja infoturbe nõuetest lähtuvalt.|JAH|Oluline on tagada õige juurdepääs õigetele andmetele.| | + | |5.15|Juurdepääsu kontroll|Teabele ja muule sellega seotud varale füüsilise ja loogilise juurdepääsu kontrollimise reeglid kehtestatakse ja rakendatakse äri- ja infoturbe nõuetest lähtuvalt.|JAH| |
- | |5.16|Identiteedihaldus|Identiteedid hallatakse kogu teenuse/ | + | |5.16|Identiteedihaldus|Identiteedid hallatakse kogu teenuse/ |
- | |5.17|Autentimisteave|Protsessi käigus kontrollitakse autentimisinfo eraldamist ja haldamist, sealhulgas nõustatakse personali autentimisinfo nõuete täitmisel.|JAH|Tugeva parooli kasutamine peab olema kohustuslik kogu süsteemis. Lisaks paroolile tuleb rakendada mitmefaktoriline autentimine.| | + | |5.17|Autentimisteave|Protsessi käigus kontrollitakse autentimisinfo eraldamist ja haldamist, sealhulgas nõustatakse personali autentimisinfo nõuete täitmisel.|JAH| |
- | |5.18|Juurdepääsuõigused|Juurdepääsuõigused teabele ja muudele seotud varadele antakse, vaadatakse üle, muudetakse ja eemaldatakse vastavalt organisatsiooni juurdepääsukontrolli poliitikatele ja reeglitele.|JAH|Juurdepääsuõigused tuleb anda õigele isikule, õigetel andmetel ja õigel ajal.| | + | |5.18|Juurdepääsuõigused|Juurdepääsuõigused teabele ja muudele seotud varadele antakse, vaadatakse üle, muudetakse ja eemaldatakse vastavalt organisatsiooni juurdepääsukontrolli poliitikatele ja reeglitele.|JAH| |
- | |5.19|Infoturve tarnijasuhetes|Tarnija toodete või teenuste kasutamisega seotud infoturberiskide maandamiseks tuleb määratleda ja rakendada protsessid ja protseduurid.|JAH| Enne partneriks saamist tuleks läbi viia taustakontroll.| | + | |5.19|Infoturve tarnijasuhetes|Tarnija toodete või teenuste kasutamisega seotud infoturberiskide maandamiseks tuleb määratleda ja rakendada protsessid ja protseduurid.|JAH| |
- | |5.20|Infoturbe käsitlemine tarnijalepingute raames|Asjakohased infoturbe nõuded kehtestatakse ja lepitakse kokku iga tarnijaga, lähtudes tarnijasuhte tüübist|JAH|Partnerluslepingusse tuleks lisada turvaklauslid.| | + | |5.20|Infoturbe käsitlemine tarnijalepingute raames|Asjakohased infoturbe nõuded kehtestatakse ja lepitakse kokku iga tarnijaga, lähtudes tarnijasuhte tüübist|JAH| |
- | |5.21|Infoturbe haldamine info- ja kommunikatsioonitehnoloogia (IKT) tarneahelas| Protsessid määratletakse ja rakendatakse (IKT) tarneahela juhtimiseks|JAH| Enne partneriks saamist tuleks läbi viia taustakontroll.| | + | |5.21|Infoturbe haldamine info- ja kommunikatsioonitehnoloogia (IKT) tarneahelas| Protsessid määratletakse ja rakendatakse (IKT) tarneahela juhtimiseks|JAH| |
- | |5.22|Tarnijateenuste jälgimine, ülevaatamine ja muudatuste juhtimine|Organisatsioon jälgib, vaatab, hindab ja haldab regulaarselt tarnijate infoturbe praktikas ja teenuste osutamises toimunud muutusi.|JAH|Tagame, et tarnijad suudavad teenust pakkuda| | + | |5.22|Tarnijateenuste jälgimine, ülevaatamine ja muudatuste juhtimine|Organisatsioon jälgib, vaatab, hindab ja haldab regulaarselt tarnijate infoturbe praktikas ja teenuste osutamises toimunud muutusi.|JAH| |
- | |5.23|Infoturve pilveteenuste kasutamisel|Pilveteenuste hankimise, kasutamise, haldamise ja väljumise protsessid on kehtestatud vastavalt organisatsiooni infoturbenõuetele|JAH|Enne teenusepakkujaks saamist tuleks läbi viia taustakontroll| | + | |5.23|Infoturve pilveteenuste kasutamisel|Pilveteenuste hankimise, kasutamise, haldamise ja väljumise protsessid on kehtestatud vastavalt organisatsiooni infoturbenõuetele|JAH| |
- | |5.24|Infoturbeintsidentide juhtimise planeerimine ja ettevalmistamine|Organisatsioon kavandab ja valmistub infoturbeintsidentide haldamiseks, | + | |5.24|Infoturbeintsidentide juhtimise planeerimine ja ettevalmistamine|Organisatsioon kavandab ja valmistub infoturbeintsidentide haldamiseks, |
- | |5.25|Formeerimise turvasündmuste hindamine ja otsustamine|Organisatsioon hindab infoturbesündmusi ja otsustab, kas liigitada need infoturbeintsidentideks.|JAH|Teave intsidendi kohta tuleb võimalikult kiiresti esitada õigesti| | + | |5.25|Formeerimise turvasündmuste hindamine ja otsustamine|Organisatsioon hindab infoturbesündmusi ja otsustab, kas liigitada need infoturbeintsidentideks.|JAH| |
- | |5.26|Infoturbeintsidentidele reageerimine| Organisatsioon kavandab ja valmistab ette intsidentide haldamise töörühma|JAH| Organisatsioon kavandab ja valmistab ette intsidentide haldamise töörühma| | + | |5.26|Infoturbeintsidentidele reageerimine| Organisatsioon kavandab ja valmistab ette intsidentide haldamise töörühma|JAH| |
- | |5.27|Infoturbeintsidentidest õppimine|Infoturbeintsidentidest saadud teadmisi kasutatakse infoturbe kontrolli tugevdamiseks ja täiustamiseks|JAH|Juhtumi analüüsi tulemused ja rakendatud meetmed hoiavad ära kordumise| | + | |5.27|Infoturbeintsidentidest õppimine|Infoturbeintsidentidest saadud teadmisi kasutatakse infoturbe kontrolli tugevdamiseks ja täiustamiseks|JAH| |
- | |5.28|Tõendite kogumine|Organisatsioon kehtestab ja rakendab infoturbe sündmustega seotud tõendite tuvastamise, | + | |5.28|Tõendite kogumine|Organisatsioon kehtestab ja rakendab infoturbe sündmustega seotud tõendite tuvastamise, |
- | |5.29|Infoturve häirete ajal|Organisatsioon peab planeerima, kuidas hoida infoturvet häirete ajal sobival tasemel.|JAH|Juhtumite ja häirete korral on võimalik tekitada lisakaja ja ära kasutada infoturbe nõrkusi.| | + | |5.29|Infoturve häirete ajal|Organisatsioon peab planeerima, kuidas hoida infoturvet häirete ajal sobival tasemel.|JAH| |
- | |5.30|IKT-valmidus talitluspidevuse tagamiseks|IKT valmiduse planeerimine, | + | |5.30|IKT-valmidus talitluspidevuse tagamiseks|IKT valmiduse planeerimine, |
- | |5.31|Juriidilised, | + | |5.31|Juriidilised, |
- | |5.32|Intellektuaalse omandi õigused|Organisatsioon rakendab intellektuaalomandi õiguste kaitsmiseks asjakohaseid protseduure.|JAH|Organisatsiooni intellektuaalomandit tuleks kaitsta| | + | |5.32|Intellektuaalse omandi õigused|Organisatsioon rakendab intellektuaalomandi õiguste kaitsmiseks asjakohaseid protseduure.|JAH| |
- | |5.33|Kirjete kaitse|Dokumendid on kaitstud kaotsimineku, | + | |5.33|Kirjete kaitse|Dokumendid on kaitstud kaotsimineku, |
- | |5.34|Privaatsus ja isikut tuvastava teabe (PII) kaitse.|Organisatsioon tuvastab ja täidab privaatsuse kaitse nõudeid vastavalt kehtivatele seadustele ja määrustele ning lepingunõuetele|JAH|Kõik isikuandmetega seonduv peab olema kaitstud vastavalt GDPR nõuetele| | + | |5.34|Privaatsus ja isikut tuvastava teabe (PII) kaitse.|Organisatsioon tuvastab ja täidab privaatsuse kaitse nõudeid vastavalt kehtivatele seadustele ja määrustele ning lepingunõuetele|JAH| |
- | |5.35|Infoturbe sõltumatu ülevaade|Organisatsiooni lähenemine infoturbe juhtimisele ja selle juurutamine, | + | |5.35|Infoturbe sõltumatu ülevaade|Organisatsiooni lähenemine infoturbe juhtimisele ja selle juurutamine, |
- | |5.36|Infoturbe poliitikate, | + | |5.36|Infoturbe poliitikate, |
- | |5.37|Dokumenteeritud tööprotseduurid|Infotöötlusseadmete töökord dokumenteeritakse ja tehakse seda vajavale personalile kättesaadavaks.|JAH|Infoturbe tagamiseks on vaja kirjeldada tööprotsessi nõudeid| | + | |5.37|Dokumenteeritud tööprotseduurid|Infotöötlusseadmete töökord dokumenteeritakse ja tehakse seda vajavale personalile kättesaadavaks.|JAH| |
- | |6|Töötajad|||| | + | |6|Töötajad||| |
- | |6.1|Sõelumine|Kõigi kandidaatide taustakontroll viiakse läbi enne organisatsiooniga liitumist ja jooksvalt, võttes arvesse kehtivaid seadusi, määrusi ja eetikat ning see peab olema proportsionaalne ärinõuete, | + | |6.1|Sõelumine|Kõigi kandidaatide taustakontroll viiakse läbi enne organisatsiooniga liitumist ja jooksvalt, võttes arvesse kehtivaid seadusi, määrusi ja eetikat ning see peab olema proportsionaalne ärinõuete, |
- | |6.2|Töötingimused|Töölepingutes on määratletud personali ja organisatsiooni kohustused infoturbe valdkonnas.|JAH|Töötajad peavad olema motiveeritud täitma talle pandud ülesandeid ja saavutama tulemusi| | + | |6.2|Töötingimused|Töölepingutes on määratletud personali ja organisatsiooni kohustused infoturbe valdkonnas.|JAH| |
- | |6.3|Infoturbeteadlikkus, | + | |6.3|Infoturbeteadlikkus, |
- | |6.4|Distsiplinaarprotsess|Infoturbepoliitika rikkumise toime pannud töötajate ja teiste huvitatud isikute suhtes algatatakse distsiplinaarmenetlus|JAH|Rikkumise korral on vaja kehtestada selged reeglid| | + | |6.4|Distsiplinaarprotsess|Infoturbepoliitika rikkumise toime pannud töötajate ja teiste huvitatud isikute suhtes algatatakse distsiplinaarmenetlus|JAH| |
- | |6.5|Töösuhte lõppemise või muutumise järgsed kohustused|Võib esineda infoturbe kohustusi, mis jäävad kehtima ka pärast töösuhte lõppemist või muutumist. Nendest kohustustest tuleks teatada asjaomastele töötajatele ja teistele huvitatud isikutele.|JAH|Ettevõttes on vaja teada reegleid peale töösuhte| | + | |6.5|Töösuhte lõppemise või muutumise järgsed kohustused|Võib esineda infoturbe kohustusi, mis jäävad kehtima ka pärast töösuhte lõppemist või muutumist. Nendest kohustustest tuleks teatada asjaomastele töötajatele ja teistele huvitatud isikutele.|JAH| |
- | |6.6|Konfidentsiaalsus- või mitteavaldamise lepingud|Konfidentsiaalsuslepingud, | + | |6.6|Konfidentsiaalsus- või mitteavaldamise lepingud|Konfidentsiaalsuslepingud, |
- | |6.7|Kaugtöö|Kui töötajad töötavad eemalt, tuleb rakendada turvameetmeid, | + | |6.7|Kaugtöö|Kui töötajad töötavad eemalt, tuleb rakendada turvameetmeid, |
- | |6.8|Infoturbe sündmuste aruandlus|Organisatsioon peab tagama töötajatele võimaluse õigeaegselt teavitada täheldatud või kahtlustatavatest infoturbesündmustest sobivate kanalite kaudu|JAH|Käsitleda tuleks juhtumeid, mis ei vasta infoturbesüsteemi nõuetele| | + | |6.8|Infoturbe sündmuste aruandlus|Organisatsioon peab tagama töötajatele võimaluse õigeaegselt teavitada täheldatud või kahtlustatavatest infoturbesündmustest sobivate kanalite kaudu|JAH| |
- | |7.|Füüsilised kontrollid|||| | + | |7.|Füüsilised kontrollid||| |
- | |7.1|Füüsilise turvalisuse perimeetrid|Füüsilised piirid on määratletud ja neid kasutatakse turvaalade ja ettevõtte varade kaitsmiseks|JAH|See tuleks kindlaks määrata ettevõtte füüsiline ümbermõõt ja märkida see selgelt.| | + | |7.1|Füüsilise turvalisuse perimeetrid|Füüsilised piirid on määratletud ja neid kasutatakse turvaalade ja ettevõtte varade kaitsmiseks|JAH| |
- | |7.2|Sissepääs turvaalale on kontrollitud| Turvaalade jaoks tuleks määratleda sisenemispunktid ja juurdepääsureeglid|JAH|Sisenemispunkte tuleb jälgida ja juurdepääsulogi peaks olema välja arvatud turvaliste alade jaoks| | + | |7.2|Sissepääs turvaalale on kontrollitud| Turvaalade jaoks tuleks määratleda sisenemispunktid ja juurdepääsureeglid|JAH| |
- | |7.3|Kontorite, | + | |7.3|Kontorite, |
- | |7.4|Füüsilise turvalisuse jälgimine|Ruumides tuleb pidevalt jälgida selleks volitatud isikuid|JAH|Vajalik korraldada turvaseire turvaaladel.| | + | |7.4|Füüsilise turvalisuse jälgimine|Ruumides tuleb pidevalt jälgida selleks volitatud isikuid|JAH| |
- | |7.5|Kaitsmine füüsiliste ja keskkonnaohtude eest|Kavandage ja rakendage meetmeid füüsiliste ja keskkonnaohtude korral (looduskatastroofid, | + | |7.5|Kaitsmine füüsiliste ja keskkonnaohtude eest|Kavandage ja rakendage meetmeid füüsiliste ja keskkonnaohtude korral (looduskatastroofid, |
- | |7.6|Juurdepääs turvalistele aladele|Turvaaladele juurdepääsureeglid on määratletud ja rakendatud|JAH|Määratletakse turvaalad ja neile juurdepääsureeglid.| | + | |7.6|Juurdepääs turvalistele aladele|Turvaaladele juurdepääsureeglid on määratletud ja rakendatud|JAH| |
- | |7.7|Selge laud ja selge ekraan|Läbipaistva laua, printimise ja eemaldatava kandja ning selge ekraani reeglid; määratletakse ja jõustatakse teabetöötlusseadmete reeglid.|JAH|Andmelekke kohta on vaja kehtestada reeglid.| | + | |7.7|Selge laud ja selge ekraan|Läbipaistva laua, printimise ja eemaldatava kandja ning selge ekraani reeglid; määratletakse ja jõustatakse teabetöötlusseadmete reeglid.|JAH| |
- | |7.8|Seadmete paigutus ja kaitse|Seadmed peavad olema kindlas kohas ja kaitstud|JAH|Varustus vajab füüsilist kaitset ja reeglid tuleks vastavalt määratleda.| | + | |7.8|Seadmete paigutus ja kaitse|Seadmed peavad olema kindlas kohas ja kaitstud|JAH| |
- | |7.9|Varade turvalisus väljaspool äriruume|Väljaspool objekti asuv vara tuleb kaitsta.|JAH|Tuleks rakendada varade vastuvõetava kasutamise eeskirju.| | + | |7.9|Varade turvalisus väljaspool äriruume|Väljaspool objekti asuv vara tuleb kaitsta.|JAH| |
- | |7.10|Andmekandja|Säilituskandjaid hallatakse kogu nende soetamise, kasutamise, transportimise ja kõrvaldamise elutsükli jooksul vastavalt organisatsiooni klassifitseerimisskeemile ja käitlemisnõuetele.|JAH|Kolmandate isikute juurdepääs andmekandjatele võib põhjustada andmeleket. Ettevõttes on andmekandjatest juttu juhendi vastava peatüki all.| | + | |7.10|Andmekandja|Säilituskandjaid hallatakse kogu nende soetamise, kasutamise, transportimise ja kõrvaldamise elutsükli jooksul vastavalt organisatsiooni klassifitseerimisskeemile ja käitlemisnõuetele.|JAH| |
- | |7.11|Kommunaalteenuste toetamine|Infotöötlusrajatised peavad olema kaitstud elektrikatkestuste ja muude tugiteenuste riketest põhjustatud häirete eest|JAH|Tööpidevuse tagamiseks tuleks kaaluda UPSi või alternatiivse toiteallika kasutamist.| | + | |7.11|Kommunaalteenuste toetamine|Infotöötlusrajatised peavad olema kaitstud elektrikatkestuste ja muude tugiteenuste riketest põhjustatud häirete eest|JAH| |
- | |7.12|Kaabli turvalisus|Toite-, | + | |7.12|Kaabli turvalisus|Toite-, |
- | |7.13|Seadmete hooldus|Seadmeid tuleb korralikult hooldada, et tagada teabe kättesaadavus, | + | |7.13|Seadmete hooldus|Seadmeid tuleb korralikult hooldada, et tagada teabe kättesaadavus, |
- | |7.14|Seadmete ohutu kõrvaldamine või taaskasutamine|Andmekandjaid sisaldavaid seadmeid kontrollitakse tagamaks, et tundlikud andmed ja litsentsitud tarkvara on enne kõrvaldamist või taaskasutamist eemaldatud või turvaliselt üle kirjutatud.|JAH|Ohtude tuvastamine on oluline enne kahju kuhjumist.| | + | |7.14|Seadmete ohutu kõrvaldamine või taaskasutamine|Andmekandjaid sisaldavaid seadmeid kontrollitakse tagamaks, et tundlikud andmed ja litsentsitud tarkvara on enne kõrvaldamist või taaskasutamist eemaldatud või turvaliselt üle kirjutatud.|JAH| |
- | |8.|Tehnoloogilised kontrollid|||| | + | |8.|Tehnoloogilised kontrollid||| |
- | |8.1|Kasutaja lõpp-punkti seadmed|Kasutajaseadmete kaudu salvestatud, | + | |8.1|Kasutaja lõpp-punkti seadmed|Kasutajaseadmete kaudu salvestatud, |
- | |8.2|Privilegeeritud juurdepääsuõigused|Privilegeeritud juurdepääsuõiguste eraldamine ja kasutamine on piiratud ja hallatud|JAH|Privilegeeritud juurdepääsuõiguste eraldamine ja kasutamine on piiratud| | + | |8.2|Privilegeeritud juurdepääsuõigused|Privilegeeritud juurdepääsuõiguste eraldamine ja kasutamine on piiratud ja hallatud|JAH| |
- | |8.3|Andmetele juurdepääsu piirang|Juurdepääs andmetele ja nendega seotud varadele tuleb piirata vastavalt kehtestatud subjektipõhisele juurdepääsukontrolli poliitikale|JAH|Infole juurdepääsu reguleerimise protsessi on vaja käsitleda nii, et puudub volitamata juurdepääs ja andmed oleksid turvaliselt kaitstud.| | + | |8.3|Andmetele juurdepääsu piirang|Juurdepääs andmetele ja nendega seotud varadele tuleb piirata vastavalt kehtestatud subjektipõhisele juurdepääsukontrolli poliitikale|JAH| |
- | |8.4|Juurdepääs lähtekoodile|Lugemis- ja kirjutamisjuurdepääsu lähtekoodile, | + | |8.4|Juurdepääs lähtekoodile|Lugemis- ja kirjutamisjuurdepääsu lähtekoodile, |
- | |8.5|Turvaline autentimine|Turvalist autentimist rakendatakse teabe juurdepääsupiirangute ja juurdepääsu kontrollimise poliitikate alusel|JAH|Rakendage tugevate paroolide kasutamise eeskirju| | + | |8.5|Turvaline autentimine|Turvalist autentimist rakendatakse teabe juurdepääsupiirangute ja juurdepääsu kontrollimise poliitikate alusel|JAH| |
- | |8.6|Võimsuse juhtimine|Ressursikasutust jälgitakse ja kohandatakse lähtuvalt praegusest ja eeldatavast võimsusvajadusest.|JAH|Ressursivõimsust jälgitakse rakenduse ja süsteemide jõudluse osas.| | + | |8.6|Võimsuse juhtimine|Ressursikasutust jälgitakse ja kohandatakse lähtuvalt praegusest ja eeldatavast võimsusvajadusest.|JAH| |
- | |8.7|Kaitse pahavara eest|Pahavaravastane kaitse peab olema rakendatud ja seda peab toetama asjakohane kasutajateadlikkus.|JAH|Vajalik kaitse pahavara eest| | + | |8.7|Kaitse pahavara eest|Pahavaravastane kaitse peab olema rakendatud ja seda peab toetama asjakohane kasutajateadlikkus.|JAH| |
- | |8.8|Tehniliste haavatavuste haldamine|Vaja on hankida teavet kasutusel olevate infosüsteemide tehniliste haavatavuste kohta, hinnata organisatsiooni kokkupuudet selliste haavatavustega ja võtta kasutusele asjakohased meetmed.|JAH|Valige kvaliteetsete seadmete ja hea tehnilise toega müüjad| | + | |8.8|Tehniliste haavatavuste haldamine|Vaja on hankida teavet kasutusel olevate infosüsteemide tehniliste haavatavuste kohta, hinnata organisatsiooni kokkupuudet selliste haavatavustega ja võtta kasutusele asjakohased meetmed.|JAH| |
- | |8.9|Konfiguratsiooni juhtimine|Luuakse, | + | |8.9|Konfiguratsiooni juhtimine|Luuakse, |
- | |8.10|Teabe kustutamine|Infosüsteemides, | + | |8.10|Teabe kustutamine|Infosüsteemides, |
- | |8.11|Andmete maskeerimine|Andmete maskeerimist kasutatakse vastavalt organisatsiooni subjektipõhisele juurdepääsukontrolli poliitikale ja muudele seotud teemapõhistele põhimõtetele ja ärinõuetele, | + | |8.11|Andmete maskeerimine|Andmete maskeerimist kasutatakse vastavalt organisatsiooni subjektipõhisele juurdepääsukontrolli poliitikale ja muudele seotud teemapõhistele põhimõtetele ja ärinõuetele, |
- | |8.12|Andmelekke vältimine|Andmelekke vältimise meetmeid rakendatakse süsteemide, | + | |8.12|Andmelekke vältimine|Andmelekke vältimise meetmeid rakendatakse süsteemide, |
- | |8.13|Teabe varundamine|Teabe, | + | |8.13|Teabe varundamine|Teabe, |
- | |8.14|Infotöötlusseadmete koondamine|Teabetöötlusrajatised on rakendatud piisava koondamisega, | + | |8.14|Infotöötlusseadmete koondamine|Teabetöötlusrajatised on rakendatud piisava koondamisega, |
- | |8.15|Logimine|Luuakse, | + | |8.15|Logimine|Luuakse, |
- | |8.16|Seiretegevused|Võrke, | + | |8.16|Seiretegevused|Võrke, |
- | |8.17|Kella sünkroonimine|Organisatsioonis kasutatavate infotöötlussüsteemide kellad peavad olema sünkroniseeritud ja kontrollitud.|JAH|Kellade sünkroniseerimise tagamine ja kontrollimine on vajalik süsteemide korrektseks toimimiseks ja juhtimisprotsesside läbiviimiseks.| | + | |8.17|Kella sünkroonimine|Organisatsioonis kasutatavate infotöötlussüsteemide kellad peavad olema sünkroniseeritud ja kontrollitud.|JAH| |
- | |8.18|Privilegeeritud utiliitprogrammide kasutamine|Süsteemi ja rakenduste juhtelemente segavate utiliitprogrammide kasutamine peab olema piiratud ja rangelt kontrollitud|JAH|Ettevõttes kasutatakse piiratud privilegeeritud kommunaalteenuseid.| | + | |8.18|Privilegeeritud utiliitprogrammide kasutamine|Süsteemi ja rakenduste juhtelemente segavate utiliitprogrammide kasutamine peab olema piiratud ja rangelt kontrollitud|JAH| |
- | |8.19|Tarkvara installeerimine operatsioonisüsteemidesse|Rakendatakse protseduure ja meetmeid tarkvara installimise turvaliseks haldamiseks operatsioonisüsteemidesse|JAH|Täiendava tarkvara installimiseks on vaja luba| | + | |8.19|Tarkvara installeerimine operatsioonisüsteemidesse|Rakendatakse protseduure ja meetmeid tarkvara installimise turvaliseks haldamiseks operatsioonisüsteemidesse|JAH| |
- | |8.20| Võrkude turvalisus|Võrgud ja võrguseadmed peavad olema kaitstud, hallatud ja kontrollitud, | + | |8.20| Võrkude turvalisus|Võrgud ja võrguseadmed peavad olema kaitstud, hallatud ja kontrollitud, |
- | |8.21|Võrguteenuste turvalisus|Tuvastatakse, | + | |8.21|Võrguteenuste turvalisus|Tuvastatakse, |
- | |8.22|Võrkude eraldamine|Infoteenuste, | + | |8.22|Võrkude eraldamine|Infoteenuste, |
- | |8.23|Veebi filtreerimine|Juurdepääsu välistele veebisaitidele hallatakse pahatahtliku sisuga kokkupuute minimeerimiseks.|JAH|Veebipõhine veebifiltreerimine tuleks rakendada, et pahatahtlikud veebisaidid automaatselt blokeerida.| | + | |8.23|Veebi filtreerimine|Juurdepääsu välistele veebisaitidele hallatakse pahatahtliku sisuga kokkupuute minimeerimiseks.|JAH| |
- | |8.24|Krüptograafia kasutamine|Määratletakse ja rakendatakse krüptograafia tõhusa kasutamise reeglid, sealhulgas krüptograafilise võtme haldamise reeglid|JAH|Vajalik konfidentsiaalsete andmete lekke vältimiseks| | + | |8.24|Krüptograafia kasutamine|Määratletakse ja rakendatakse krüptograafia tõhusa kasutamise reeglid, sealhulgas krüptograafilise võtme haldamise reeglid|JAH| |
- | |8.25|Turvaline arenduse elutsükkel|Kehtestatakse ja rakendatakse reeglid tarkvara ja süsteemide ohutuks arendamiseks.|JAH|Süsteemne turvalisus kogu rakenduse elutsükli jooksul| | + | |8.25|Turvaline arenduse elutsükkel|Kehtestatakse ja rakendatakse reeglid tarkvara ja süsteemide ohutuks arendamiseks.|JAH| |
- | |8.26|Rakenduse turvanõuded|Infoturbe nõuded tuvastatakse, | + | |8.26|Rakenduse turvanõuded|Infoturbe nõuded tuvastatakse, |
- | |8.27|Turvaline süsteemi arhitektuur ja põhimõtted|Turvaliste süsteemide kujundamise põhimõtted kehtestatakse, | + | |8.27|Turvaline süsteemi arhitektuur ja põhimõtted|Turvaliste süsteemide kujundamise põhimõtted kehtestatakse, |
- | |8.28|Turvaline kodeerimine|Tarkvaraarenduses rakendatakse turvalise kodeerimise põhimõtteid|JAH|Juhend turvaliseks arendustegevuseks.| | + | |8.28|Turvaline kodeerimine|Tarkvaraarenduses rakendatakse turvalise kodeerimise põhimõtteid|JAH| |
- | |8.29|Turvatestimine arenduses ja vastuvõtmisel|Turvatestimise protsessid määratletakse ja rakendatakse kogu arenduse elutsükli jooksul|JAH|Meie arendusprotsessi lahutamatu osa on testimine.| | + | |8.29|Turvatestimine arenduses ja vastuvõtmisel|Turvatestimise protsessid määratletakse ja rakendatakse kogu arenduse elutsükli jooksul|JAH| |
- | |8.30|Väljastpoolt tellitud arendus|Organisatsioon juhib, jälgib ja vaatab üle sisseostetava süsteemiarendusega seotud tegevusi.|EI|Ettevõte ei kasuta tarkvara arendamiseks väliseid partnereid.| | + | |8.30|Väljastpoolt tellitud arendus|Organisatsioon juhib, jälgib ja vaatab üle sisseostetava süsteemiarendusega seotud tegevusi.|EI| |
- | |8.31|Arendus- ja testkeskkondade eraldamine|Arendus-, | + | |8.31|Arendus- ja testkeskkondade eraldamine|Arendus-, |
- | |8.32|Muutuste juhtimine|Infotöötlusvahendite ja infosüsteemide muudatustele kohaldatakse muudatuste haldamise korda.|JAH|Tuleb tagada süsteemsed muudatused süsteemis, et muudatuste käsitlemisel ei tekiks turvaintsidente.| | + | |8.32|Muutuste juhtimine|Infotöötlusvahendite ja infosüsteemide muudatustele kohaldatakse muudatuste haldamise korda.|JAH| |
- | |8.33|Testi andmed|Testiandmed peavad olema õigesti valitud, kaitstud ja hallatud|JAH|Testiandmed tuleks enne nende kasutamist ette valmistada (maskeerida).| | + | |8.33|Testi andmed|Testiandmed peavad olema õigesti valitud, kaitstud ja hallatud|JAH| |
- | |8.34|Infosüsteemide kaitse auditi testimise ajal|Audititestid ja muud operatsioonisüsteemide hindamist hõlmavad tegevused planeeritakse ja lepitakse testija ja ettevõtte vahel kokku|JAH|Turvatestide protsess ja tingimused peavad olema süsteemselt ettevalmistatud.| | + | |8.34|Infosüsteemide kaitse auditi testimise ajal|Audititestid ja muud operatsioonisüsteemide hindamist hõlmavad tegevused planeeritakse ja lepitakse testija ja ettevõtte vahel kokku|JAH| |
+ | |||
et/soa_27001_2022.txt · Viimati muutnud: 2024/09/19 08:47 persoon toomas