A valós üzleti károkat, habár nyilvánosságra nem kerülnek, rosszindulatú betörés vagy gondatlan adatkezelésből származó adatvesztés okoz. Biztonságban érzi magát?
Pillantson be Vállalkozása információbiztonsági helyzetébe! Jelen kérdéseket elolvasva szakmai ismeretek nélkül is közelebb kerülhet a válaszhoz.
Információbiztonsági szabályzat
1. Milyen formában létezik Önöknél az információ biztonsági szabályzat?
a) írott dokumentum, pontosan szabályozott intézkedésekkel
b) az információbiztonságért felelős személy szóbeli tájékoztatása
c) egyáltalán nincs ilyen szabályzat
2. Milyen időközönként vizsgálják az információ biztonság állapotát?
a) rendszeres időközönként, tekintet nélkül a változásokra
b) csak személyi, szervezési vagy technikai változások esetén
c) egyáltalán nem vizsgáljuk az információbiztonság állapotát
Az információbiztonság szervezete
3. Ki foglalkozik Önöknél az információ biztonsággal?
a) kizárólag ezzel a feladatkörrel megbízott személy/vezető
b) a feladatkörrel részfeladatként megbízott személy/vezető
c) nem foglakozik senki a feladatkörrel
Vagyontárgyak kezelése, felelősség a vagyontárgyakért
4. A szervezetnél dolgozó munkatársak milyen korlátozásokkal férhetnek hozzá a szervezet vagyontárgyaihoz és információihoz?
a) az adott munkakört érintő, szigorúan behatárolt, hierarchikus jogosultsággal
b) bizonyos korlátozással, de nem az adott munkakör szerint, hanem a lehetőségekhez mérten, pl. bizonyos helyiséghez nincs mindenkinek kulcsa.
c) ha belső munkatárs, akkor korlátlanul hozzáférhet bármihez
5. Milyen nyilvántartással rendelkeznek a szervezet információ feldolgozással kapcsolatos eszközeiről (a könyvelés eszköznyilvántartásán kívül)?
a) pontos, rendszeres leltárral, írásban dokumentált nyilvántartással
b) a feladatkörrel megbízott személy saját belátása szerint vezet nyilvántartást
c) nincs ilyen nyilvántartás
Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!
Az emberi erőforrások biztonsága
6. Létezik-e kidolgozott eljárásrend a munkatársak, szerződő felek információ biztonsággal kapcsolatos feladat- és felelősségi körének rögzítésére?
a) igen, pontos dokumentált szabályzat szerint
b) nincs dokumentálva, nagyjából mindenkire azonos íratlan szabályok érvényesek
c) nincs ilyen eljárásrend
7. Szervezetük munkavállalási vagy egyéb munkavégzéssel, külső felek együttműködésével kapcsolatos szerződései tartalmaznak-e az információ biztonságra kiterjedő felelősségi kitételeket?
a) pontosan rögzített felelősségi és titoktartási szabályzat szerint szerződünk
b) csak az általános kötelezettségeket és jogokat rögzítjük a szerződésekben
8. Az információ biztonsággal kapcsolatos szabályok betartására milyen ellenőrzési módszereket alkalmaznak?
a) a vezetőség belátása szerint ellenőrzi a beosztottakat, szerződéses partnereket
b) rendszeres és szúrópróba jellegű, írásban rögzített ellenőrzési módok szerint járunk el
c) adott felelősségi körrel rendelkező vezetők külön-külön ellenőriznek a saját feladatuk szerint, pl. informatikai vezető az eszközök megfelelő használatát, stb.
Fizikai védelem
9. Milyen szempontokat vesznek figyelembe a szervezet informatikai eszközeinek elhelyezésekor?
a) ergonómiai szempontokat, könnyű kezelhetőség és hozzáférhetőség
b) az ergonómiai szempontokon kívül tűzvédelmi és elektrosztatikai védelmet, valamint fizikai károsodási lehetőségeket (pl. áru-, eszközmozgatás, takarítás közbeni sérülés) is igyekszünk kiszűrni
c) ergonómiai és kárvédelmi szempontok mellett a kulcseszközöket (pl. fájlszerver) külső felek által nem megfigyelhető módon tároljuk és kezeljük
10. Mi az eljárás a szervezet adathordozóinak kiselejtezése esetén?
a) az adatokat elektronikus úton töröljük, ha az eszközök működőképesek
b) az adathordozókat fizikailag is megsemmisítjük, tekintet nélkül az eszköz működőképességére
Üzemeltetés irányítása
Üzemeltetési eljárások és felelősségi körök
11. Milyen módon dokumentálják a szervezet üzemeltetési eljárásait?
a) az üzemeltetés helyén megtalálható az adott tevékenység részletes leírása
b) egy-egy tevékenység üzemeltetési dokumentációján kívül működtetési naplót is vezetünk, ha a tevékenység ezt megkívánja
c) csak általános leírás létezik, központi helyen tárolva
d) nincs ilyen dokumentáció, az üzemeltetés betanítása a munkatárs szaktudására van bízva az adott feladat ellátása
Rendszertervezés és elfogadás
12. Milyen módszert alkalmaznak az információtárolás és feldolgozás eszközkapacitási szükségleteinek feltárására és kielégítésére?
a) akkor szerezzük be a szükséges eszközöket és akkor változtatunk bizonyos módszereken, ha konkrét fejlesztési szükséglet (pl. megtelnek az adattárolók) merül fel.
b) előre kidolgozott terv alapján fejlesztünk annak érdekében, hogy az esetleges fejlesztések és a megnövekedett kapacitásigény miatt szükséges változtatások végrehajtásával a munkafolyamatokban ne legyen fennakadás.
Védelem a rosszindulatú és mobil kódok ellen
13. Milyen módon tudatosítják a felhasználókban a rosszindulatú és mobil kódok elleni védekezés fontosságát?
a) eleve olyan munkatársakat válogatunk, akik felhasználói szinten tisztában vannak a problémával
b) a felhasználói tevékenység megkezdése előtt szóbeli tájékoztatással
c) a felhasználói tevékenység megkezdése előtt szóbeli tájékoztatással és rendszeres előadásokat szervezünk a témában, valamint állandó rendszergazdai felügyelettel is besegítünk
Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!
Biztonsági mentés
14. Milyen módszert alkalmaznak az üzemelés során keletkező adatok és információk biztonsági mentésére?
a) bizonyos időközönként manuális mentés optikai tárolókra (CD, DVD).
b) az adatok központi fájlszerveren vannak tárolva, ahol rendszeres és automatikus biztonsági mentést alkalmazunk
Hálózatbiztonság kezelése
15. A rendszergazda milyen gyakran ellenőrzi a meglévő hálózati rendszer hibáit, biztonsági réseit?
a) általában egy rendszer új verziójának telepítésekor
b) rendszeres időközönként, szúrópróbaszerű ellenőrzéssel
c) a rendszergazda folyamatosan figyelemmel követi a felmerülő biztonsági réseket és lehetőség szerint azonnal javítja
Adathordozók kezelése
16. Milyen módszert alkalmaznak a szervezet adathordózóinak nyilvántartására?
a) egyszerű leltár alapján tartjuk nyilván az eszközöket, a munkatársak korlátozás nélkül hozzáférhetnek az eszközökhöz
b) megfelelő nyilvántartás mellett az adathordozókhoz korlátozás nélkül hozzáférhetnek a szervezet munkatársai, de minden tevékenység megfigyelés alatt áll és naplózásra kerül
c) semmilyen adathordozók nem lehet engedély és dokumentálás nélkül sem behozni, sem kivinni a szervezet területén, az adathordozók használata megfigyelés és naplozás alatt áll.
Figyelemmel kísérés (monitoring)
17. Milyen módon figyelik a felhasználói és adminisztrátori tevékenységeket és az információbiztonsági eseményeket?
a) minden tevékenység és esemény naplózva van, hiba esetén utólagosan visszakereshetők az esemény körülményei
b) minden tevékenység és esemény naplózva van, a hibaészleléstől fügetlenül rendszeresen átvizgáljuk a naplót.
c) csak a felhasználói tevékenységeket naplózzuk és figyeljük
Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!
Hozzáférés-ellenőrzés
A hozzáférés-ellenőrzéshez fűződő működési követelmény
18. Milyen módon szabályozzák az információkhoz való hozzáférést?
a) szóbeli megegyezés alapján
b) írásos, belső szabályzat alapján
c) írásos, belső szabályzat alapján és a változásokat (új felhasználó, felhasználó megszűnése, jogosultság változások) írásos dokumentumban naplózzuk
Felhasználói hozzáférés irányítása
19. Mi a módszer a belépési kódok és jelszavak meghatározására?
a) nincs több szintű jogosultság, ezért nem alkalmazunk jelszavakat sem
b) a felhasználók saját maga határozzák meg jelszavaikat
c) a megfelelő szabvány szerint előállított jelszavakat a rendszergazda osztja ki amit később a felhasználó azonos mintára megváltoztathat
Hálózati szintű hozzáférés ellenőrzés
20. Milyen jogosultsági szinteket alkalmaznak a hálózati hozzáférésben?
a) azonos szint érvényes minden munkatársra, akinek belépési kódja van, az bármihez hozzáférhet a belső hálózaton
b) többféle jogosultsági szint létezik, a felhasználó csak a saját illetékességének megfelelő információhoz férhet hozzá
Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!
Operációs rendszer szintű hozzáférés-ellenőrzés
21. Számítógépes hálózatukban mekkora szabadságot élveznek az egyes felhasználók a saját munkaállomásaikon?
a) a saját gépükön korlátlanul telepíthetnek bármilyen programot és korlátozás nélkül használhatják az internet elérést az adott sávszélességen belül, de minden tevékenység naplózva van.
b) csak a rendszergazda engedélyével telepíthetnek bármilyen programot, az internet elérés egyébként nincs korlátozva, csak naplózva és megfigyelve.
c) Önállóan nem képesek semmilyen rendszer vagy program telepítésére, ezt csak a rendszergazda teheti meg. Szükség szerint az internet használat is technikailag korlátozott, a nem kívánt tartalmak és webhelyek szűrve vannak és a kommunikáció is csak meghatározott kereteken belül működik.
Mobil számítógép használata és távmunka
22. Milyen módon ellenőrzik a mobil számítógépek és kommunikációs eszközök használatát?
a) a szervezet létesítményeiben csak a munkatársak csatlakoztathatnak mobil eszközöket a hálózatra, jogosultsági szintjüknek megfelelően, a munkatársak mobil eszközeit a szervezeten kívüli használatra megfelelő védelemmel látjuk el (jelszó, fizikai zárhatóság, stb).
b) a munkatársakon kívül (szigorú felügyelet és korlátozott jogosultság mellett) vendégek is behozhatnak mobil eszközöket, illetve csatlakoztathatnak mobil számítógépeket a szervezet hálózatára
Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!
Titkosítási intézkedések
23. Létezik-e Önöknél dokumentált titkosítási eljárás, szabályzat?
a) nincs egységes eljárás, az éppen elérhető eszközöket használjuk
b) pontos szabályzat szerint járunk el, mindig a követelményeknek megfelelő eljárást használunk
Rendszerfájlok biztonsága
24. A rendszergazdának naprakész információja van a szervezetük által használt összes gépen futó valamennyi programról?
a) nincs, a szervezet által közösen használt rendszereken kívül inkább csak áttekintő jellegű tudomása van a programok fajtájáról
b) a rendszerben bármikor pontos szoftverleltárt lehet készíteni és szükség esetén (akár távolról is) lehetséges a beavatkozás egyes hibák elhárítása végett
Információbiztonsági incidensek és javító fejlesztések kezelése
25. Hogyan reagálnak az egyes biztonsági rések véletlen vagy tudatos ellenőrzés általi felszínrekerülése esetén?
a) tájékoztatjuk a rendszergazdát
b) tájékoztatjuk a probléma megoldásáért felelős vezetőt
c) tájékoztatjuk a probléma megoldásáért felelős vezetőt, akinek a belső szabályzat szerint a lehető legrövidebb időn belül el kell hárítania a veszélyt
Működés folytonosságának irányítása
A működés folytonossága irányításának információbiztonsági szempontjai
26. Milyen módon járnak el az üzemeltetésben felmerülő zavarok esetén?
a) nincs előre lefektetett eljárás, általában a helyzetre interaktívan reagálva, ilyenkor kisebb fennakadás is lehetséges
b) előre elkészített tervek alapján, a fennakadásokat lehetőség szerint tartalékrendszerrel kiküszöböljük
Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!