Zarządzanie bezpieczeństwem IT

- Upewnij się, że istnieje forum zarządzania bezpieczeństwem informacji, w którym reprezentowany jest możliwie najwyższy szczebel zarządzania w organizacji.

- Upewnij się, że istnieje proces zarządzania bezpieczeństwem informacji, który został udokumentowany w formie polityk, procedur i standardów.

- Upewnij się, że została powołana rola odpowiedzialna za zarządzanie bezpieczeństwem informacji.

- Upewnij się, że zostały stworzone odpowiednie struktury organizacyjne i kanały komunikacji związane z zarządzaniem bezpieczeństwem informacji, w tym odpowiedni system raportowania zagadnień z tego obszaru.

Plan bezpieczeństwa IT

- Upewnij się, że został opracowany plan zapewnienia bezpieczeństwa informacji, który stanowi kompletną odpowiedź na zidentyfikowane ryzyka związane z bezpieczeństwem informacji.

- Upewnij się, że plan zapewnienia bezpieczeństwa informacji uwzględnia plany taktyczne IT, klasyfikacje danych, standardy technologiczne, polityki bezpieczeństwa i kontroli, zarządzanie ryzykiem i wymogi zgodności z przepisami prawa.

- Upewnij się, że istnieje proces okresowego przeglądu planu i jego aktualizacji.

- Upewnij się, że został opracowany standard bezpieczeństwa dla kluczowych platform technologicznych, a standardowa konfiguracja została zarejestrowana w rejestrze konfiguracji.

- Upewnij się, że plan obejmuje: kompletny zestaw polityk i standardów, procedury ich wdrożenia i egzekwowania, opis ról i odpowiedzialności, wymagania kadrowe, podnoszenie świadomości użytkowników i szkolenia, opis wymaganych inwestycji w bezpieczeństwo informacji.

Zarządzanie tożsamością

- Upewnij się, że obowiązującą zasadą jest, że użytkownicy są identyfikowani w systemach przez unikalne identyfikatory, a dostęp do systemów jest możliwy wyłącznie dla uwierzytelnionych użytkowników.

- Jeśli wykorzystywane są predefiniowane role w systemie, upewnij się, że podlegają one zasadzie uprawnień koniecznych i czy są zgodne z zasadami podziału ról i obowiązków obowiązujących w procesach biznesowych.

- Upewnij się, że utworzenie nowych i modyfikacja istniejących ról podlega akceptacji właścicieli procesów biznesowych.

- Upewnij się, że proces przyznawania uprawnień i mechanizmy uwierzytelnienia są wykorzystywane w celu kontroli dostępu logicznego do systemów przez użytkowników, procesy systemowe, zasoby IT i systemy itp.