Standardy Bezpieczeństwa Information security, cybersecurity and privacy protection — Information security controls
ZARZĄDZANIE BEZPIECZEŃSTWEM IFORMCJAI
POLITYKA BEZPIECZEŃSTWA
ZARZĄDZANIE RYZYKIEM
ZARZĄDZANIE RYZYKIEM identyfikacja i ocena ryzyk, a także wybór metod reagowania
Analiza zagrożeń
Bezpieczeństwo informacji w relacjach z dostawcami
Należy zdefiniować i wdrożyć procesy i procedury w celu zarządzania ryzykiem dla bezpieczeństwa informacji związanym z korzystaniem z produktów lub usług dostawcy.
Utrzymanie uzgodnionego poziomu bezpieczeństwa informacji w relacjach z dostawcami.
Te procesy i procedury powinny obejmować te, które mają zostać wdrożone przez organizację, a także te, których organizacja wymaga od dostawcy do wdrożenia w celu rozpoczęcia korzystania z produktów lub usług dostawcy lub zakończenia korzystania z produktów i usług dostawcy, takich jak:
W przypadkach, gdy organizacja nie ma możliwości nałożenia wymagań na dostawcę, powinna ona:
Uwzględniać wytyczne zawarte w tej kontroli przy podejmowaniu decyzji dotyczących wyboru dostawcy i jego produktu lub usługi.
W razie potrzeby wdrożyć kontrole kompensacyjne w oparciu o ocenę ryzyka.
Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT
Zgodność z politykami, zasadami i standardami bezpieczeństwa informacji
Konserwacja sprzętu
Wymagania dotyczące bezpieczeństwa aplikacji
Bezpieczna architektura systemu i zasady inżynieryjne
Zarządzanie konfiguracją
Testowanie bezpieczeństwa w fazie rozwoju i akceptacji
Informacje z testu
Przejrzyste biurko i wyraźny ekran
KONTROLA RYZYKA wdrażanie działań zapobiegawczych i monitorowanie ryzyk
ZGODNOŚĆ Z REGULACJAMI
SZKOLENIA I ŚWIADOMOŚĆ PRACOWNIKÓW
BEZPIECZEŃSTWO IT
ZARZĄDZANIE DANYMI
REAGOWANIE NA INCYDENTY
ZARZĄDZANIE ZASOBAMI LUDZKIMI
ZARZĄDZANIE BEZPIECZEŃSTWEM FIZYCZNYM
KONTROLA DOSTĘPÓW DO BUDYNKU
ZABEZPIECZENIA FIZYCZNE (KARTKI, KLUCZE, BIOMETRYKA)
Obwody bezpieczeństwa fizycznego
Należy zdefiniować granice bezpieczeństwa i stosować je w celu ochrony obszarów zawierających informacje i inne powiązane zasoby.
Aby zapobiec nieautoryzowanemu dostępowi fizycznemu, uszkodzeniom i ingerencji w informacje organizacji i inne powiązane zasoby.
W stosownych przypadkach w odniesieniu do fizycznych granic bezpieczeństwa należy rozważyć i wdrożyć następujące wytyczne:
Zdefiniowanie obwodów bezpieczeństwa oraz lokalizacji i wytrzymałości każdego z obwodów zgodnie z wymogami bezpieczeństwa informacji odnoszącymi się do aktywów znajdujących się na obwodzie.
Posiadanie fizycznie solidnych obwodów budynku lub miejsca, w którym znajdują się urządzenia do przetwarzania informacji (tj. nie powinno być żadnych przerw w obwodzie lub obszarach, w których łatwo może nastąpić włamanie). Zewnętrzne dachy, ściany, sufity i podłogi obiektu powinny mieć solidną konstrukcję, a wszystkie drzwi zewnętrzne powinny być odpowiednio zabezpieczone przed nieupoważnionym dostępem za pomocą mechanizmów kontrolnych (np. kraty, alarmy, zamki). Drzwi i okna powinny być zamykane na klucz, gdy nie są dozorowane, a okna powinny być zabezpieczone zewnętrznie, zwłaszcza na poziomie gruntu; należy również wziąć pod uwagę punkty wentylacyjne.
Alarmowanie, monitorowanie i testowanie wszystkich drzwi przeciwpożarowych na obwodzie bezpieczeństwa w połączeniu ze ścianami w celu ustalenia wymaganego poziomu odporności zgodnie z odpowiednimi normami. Powinny działać w sposób niezawodny.
Fizyczny wkład
MONITORING
Monitorowanie bezpieczeństwa fizycznego
OCHRONA SPRZĘTU
ZARZĄDZANIE DOKUMENTAMI PAPIEROWYMI