Wiki » História » Verzia 2
Security Manager, 2026-01-12 13:08
| 1 | 2 | Security Manager | # Vyhlásenie o aplikovateľnosti (SoA) |
|---|---|---|---|
| 2 | 1 | Security Manager | Typ organizácie: Stredne veľká konzultačná spoločnosť SAP (cca 100 zamestnancov) |
| 3 | Služby: Inštalácie, aktualizácie, optimalizácia SAP, vývoj ABAP, vzdialená a lokálna podpora klientov |
||
| 4 | Norma: ISO/IEC 27001:2022 – Príloha A |
||
| 5 | Rozsah (zhrnutie) |
||
| 6 | Systém ISMS pokrýva konzultačné, vývojové a podporné služby SAP poskytované s využitím aktív a personálu spravovaného spoločnosťou. Systémy SAP klientov, dátové centrá, siete a zálohy sú vlastnené a spravované klientmi a sú vylúčené tam, kde je to zmluvne definované. |
||
| 7 | |||
| 8 | ## Annex A – Vyhlásenie o aplikovateľnosti |
||
| 9 | Legenda: áno = aplikovateľné | čiastočne = čiastočne aplikovateľné | neaplikovateľné = neaplikovateľné |
||
| 10 | |||
| 11 | |||
| 12 | ## A.5 Organizačné opatrenia |
||
| 13 | 1. A.5.1 Politiky informačnej bezpečnosti áno Rámec politiky ISMS stanovený a schválený vedením |
||
| 14 | 1. A.5.2 Úlohy a zodpovednosti v oblasti informačnej bezpečnosti áno Definované role vrátane manažéra ISMS, vedúceho bezpečnosti SAP |
||
| 15 | 1. A.5.3 Rozdelenie povinností áno Vynucované prostredníctvom rolí SAP a interných schvaľovacích pracovných postupov |
||
| 16 | 1. A.5.4 Zodpovednosti manažmentu áno Stretnutia manažmentu o záväzkoch a preskúmaní |
||
| 17 | 1. A.5.5 Kontakt s orgánmi áno Postupy definované pre právny/regulačný kontakt |
||
| 18 | 1. A.5.6 Kontakt so záujmovými skupinami áno Bezpečnostné odporúčania SAP a profesionálne skupiny |
||
| 19 | 1. A.5.7 Informácie o hrozbách áno Monitorovanie poznámok SAP, CVE a bezpečnostných upozornení |
||
| 20 | 1. A.5.8 Informačná bezpečnosť v projektovom riadení áno Metodika projektu SAP zahŕňa bezpečnostné kontrolné body |
||
| 21 | 1. A.5.9 Inventár informácií a aktív áno Register aktív pre zariadenia, systémy, repozitáre |
||
| 22 | 1. A.5.10 Prijateľné používanie informácií a aktív áno Politika prijateľného používania pre zamestnancov |
||
| 23 | 1. A.5.11 Vrátenie aktív áno Vynucovaná počas odchodu |
||
| 24 | 1. A.5.12 Klasifikácia informácií áno Interné, dôverné, dôverné s klientom |
||
| 25 | 1. A.5.13 Označovanie informácií áno Logická klasifikácia prostredníctvom systémov a repozitárov |
||
| 26 | 1. A.5.14 Prenos informácií áno Bezpečné kanály (VPN, SFTP, transporty SAP) |
||
| 27 | 1. A.5.15 Riadenie prístupu áno Centralizované koncepty autorizácie IAM a SAP |
||
| 28 | 1. A.5.16 Správa identít áno Proces pripojenia/presunu/odchodu |
||
| 29 | 1. A.5.17 Autentifikačné informácie áno MFA, štandardy hesiel |
||
| 30 | 1. A.5.18 Prístupové práva áno Pravidelné kontroly prístupu |
||
| 31 | 1. A.5.19 Vzťahy s dodávateľmi áno Cloudové a subdodávateľské zmluvy |
||
| 32 | 1. A.5.20 Informačná bezpečnosť v rámci dodávateľských zmlúv áno Bezpečnostné doložky v zmluvách |
||
| 33 | 1. A.5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT áno Posúdenia rizík dodávateľov |
||
| 34 | 1. A.5.22 Monitorovanie, kontrola a riadenie zmien dodávateľských služieb áno Pravidelné kontroly |
||
| 35 | 1. A.5.23 Informačná bezpečnosť pre používanie cloudových služieb áno Bezpečná konfigurácia nástrojov SaaS |
||
| 36 | 1. A.5.24 Plánovanie riadenia incidentov informačnej bezpečnosti áno Plán reakcie na incidenty |
||
| 37 | 1. A.5.25 Posudzovanie a rozhodovanie o udalostiach informačnej bezpečnosti áno Definované eskalačné postupy |
||
| 38 | 1. A.5.26 Reakcia na incidenty informačnej bezpečnosti áno Pracovný postup riešenia incidentov |
||
| 39 | 1. A.5.27 Poučenie sa z incidentov informačnej bezpečnosti áno Kontroly po incidente |
||
| 40 | 1. A.5.28 Zhromažďovanie dôkazov áno Zaznamenávanie a auditné záznamy |
||
| 41 | 1. A.5.29 Informačná bezpečnosť počas prerušenia áno Integrácia kontinuity podnikania |
||
| 42 | 1. A.5.30 Pripravenosť IKT na kontinuitu podnikania áno Možnosť práce na diaľku |
||
| 43 | 1. A.5.31 Právne, zákonné a regulačné požiadavky áno Sledovanie súladu |
||
| 44 | 1. A.5.32 Práva duševného vlastníctva áno Kontroly licencovania a vlastníctva kódu |
||
| 45 | 1. A.5.33 Ochrana záznamov áno Pravidlá uchovávania a ochrany |
||
| 46 | 1. A.5.34 Ochrana súkromia a osobných údajov áno Súlad s GDPR |
||
| 47 | 1. A.5.35 Nezávislé preskúmanie informačnej bezpečnosti áno Interné audity |
||
| 48 | 1. A.5.36 Súlad s politikami a normami áno Monitorovanie a presadzovanie pravidiel bezpečnosti |
||
| 49 | 1. A.5.37 Dokumentované prevádzkové postupy áno Zdokumentované a udržiavané postupy |
||
| 50 | |||
| 51 | |||
| 52 | ## A.6 Personálne opatrenia |
||
| 53 | 1. A.6.1 Preverovanie zamestnancov áno Previerky, ak je to zákonom povolené |
||
| 54 | 1. A.6.2 Pracovné podmienky áno Doložky o dôvernosti a bezpečnosti |
||
| 55 | 1. A.6.3 Povedomie o informačnej bezpečnosti, vzdelávanie a školenia áno Pravidelné školenia v oblasti bezpečnosti |
||
| 56 | 1. A.6.4 Disciplinárne konanie áno Disciplinárne postupy v oblasti ľudských zdrojov |
||
| 57 | 1. A.6.5 Zodpovednosti po ukončení alebo zmene pracovného pomeru áno Okamžité zrušenie prístupu |
||
| 58 | 1. A.6.6 Dohody o mlčanlivosti alebo nezverejnení áno Dohody o mlčanlivosti so zamestnancami a dodávateľmi |
||
| 59 | 1. A.6.7 Práca na diaľku áno Zásady zabezpečeného vzdialeného prístupu |
||
| 60 | 1. A.6.8 Hlásenie o incidentoch informačnej bezpečnosti áno Povinné kanály hlásenia |
||
| 61 | |||
| 62 | ## A.7 Opatrenia fyzickej bezpečnosti |
||
| 63 | 1. A.7.1 Fyzické bezpečnostné perimetre čiastočne Platí len pre kancelárie spoločnosti |
||
| 64 | 1. A.7.2 Kontroly fyzického vstupu áno Prístup do kancelárie kontrolovaný vstupovými kartami/čipmi |
||
| 65 | 1. A.7.3 Zabezpečenie kancelárií, miestností a zariadení áno Bezpečnostné postupy kancelárie |
||
| 66 | 1. A.7.4 Monitorovanie fyzickej bezpečnosti áno CCTV / záznamy o prístupe |
||
| 67 | 1. A.7.5 Ochrana pred fyzickými a environmentálnymi hrozbami áno Protipožiarne, napájacie a environmentálne ochranné opatrenia |
||
| 68 | 1. A.7.6 Práca v zabezpečených priestoroch áno Obmedzené zabezpečené oblasti |
||
| 69 | 1. A.7.7 Čistý stôl a čistá obrazovka áno Vynútená politika |
||
| 70 | 1. A.7.8 Umiestnenie a ochrana zariadení áno Bezpečné umiestnenie zariadení |
||
| 71 | 1. A.7.9 Zabezpečenie aktív mimo priestorov áno Šifrovanie a ovládanie notebookov |
||
| 72 | 1. A.7.10 Úložné médiá áno Obmedzenia pre USB zariadenia a šifrovanie médií |
||
| 73 | 1. A.7.11 Podporné utility nie Žiadne operácie v lokálnom dátovom centre |
||
| 74 | 1. A.7.12 Bezpečnosť kabelážnej infraštruktúry nie Žiadna vlastná kabeláž dátového centra |
||
| 75 | 1. A.7.13 Údržba zariadení áno Spravovaná údržba zariadení |
||
| 76 | 1. A.7.14 Bezpečná likvidácia alebo sanitizácia zariadení áno Certifikované procesy likvidácie |
||
| 77 | |||
| 78 | A.8 Technologické opatrenia |
||
| 79 | 1. A.8.1 Koncové zariadenia používateľov áno Notebooky spravované spoločnosťou |
||
| 80 | 1. A.8.2 Privilegované prístupové práva áno SAP Basis/administratívne ovládacie prvky |
||
| 81 | 1. A.8.3 Obmedzenie prístupu k informáciám áno Najmenšie privilégiá |
||
| 82 | 1. A.8.4 Prístup k zdrojovému kódu áno Obmedzené repozitáre |
||
| 83 | 1. A.8.5 Bezpečné overovanie áno Vynútené MFA |
||
| 84 | 1. A.8.6 Správa kapacity nie Žiadne hostované produkčné systémy |
||
| 85 | 1. A.8.7 Ochrana pred škodlivým softvérom áno Ochrana koncových bodov |
||
| 86 | 1. A.8.8 Správa technických zraniteľností áno Správa záplat a SAP Note |
||
| 87 | 1. A.8.9 Správa konfigurácie áno Bezpečné základne |
||
| 88 | 1. A.8.10 Vymazanie dát áno Bezpečné postupy mazania |
||
| 89 | 1. A.8.11 Maskovanie dát čiastočne Ak to vyžaduje klient |
||
| 90 | 1. A.8.12 Prevencia úniku dát áno DLP na koncových bodoch a v cloude |
||
| 91 | 1. A.8.13 Zálohovanie dát čiastočne Len interné systémy |
||
| 92 | 1. A.8.14 Redundancia zariadení na spracovanie informácií nie Zodpovednosť klienta |
||
| 93 | 1. A.8.15 Logovanie áno Systémové a prístupové záznamy |
||
| 94 | 1. A.8.16 Monitorovacie činnosti áno Monitorovanie bezpečnosti |
||
| 95 | 1. A.8.17 Synchronizácia času áno Spravované prostredníctvom systémov |
||
| 96 | 1. A.8.18 Používanie privilegovaných obslužných programov áno Obmedzené použitie |
||
| 97 | 1. A.8.19 Inštalácia softvéru na operačné systémy áno Iba schválené inštalácie |
||
| 98 | 1. A.8.20 Bezpečnosť sietí čiastočne Iba firemné siete |
||
| 99 | 1. A.8.21 Bezpečnosť sieťových služieb čiastočne Vylúčené klientske siete |
||
| 100 | 1. A.8.22 Segregácia sietí čiastočne Logická segregácia |
||
| 101 | 1. A.8.23 Filtrovanie webu áno Filtrovanie koncových bodov |
||
| 102 | 1. A.8.24 Použitie kryptografie áno Šifrovacie štandardy |
||
| 103 | 1. A.8.25 Bezpečný životný cyklus vývoja áno Životný cyklus vývoja ABAP |
||
| 104 | 1. A.8.26 Požiadavky na bezpečnosť aplikácií áno Bezpečnostné požiadavky SAP |
||
| 105 | 1. A.8.27 Bezpečná architektúra systému a inžinierske princípy áno Návrh prostredia SAP |
||
| 106 | 1. A.8.28 Bezpečné programovanie áno Pokyny pre bezpečné kódovanie ABAP |
||
| 107 | 1. A.8.29 Bezpečnostné testovanie vo vývoji a akceptácii áno Kontrola zdrojového kódu, ATC |
||
| 108 | 1. A.8.30 Outsourcovaný vývoj áno Kontrolovaní subdodávatelia |
||
| 109 | 1. A.8.31 Oddelenie vývoja, testovania a prevádzky áno Opatrenia pre SAP transporty |
||
| 110 | 1. A.8.32 Riadenie zmien áno Pracovné postupy schvaľovania zmien |
||
| 111 | 1. A.8.33 Testovacie dáta áno Audity a bezpečnostné testy sa vykonávajú kontrolovaným spôsobom tak, aby nespôsobili znefunkčnenie alebo únik dát, platí len pre systémy organizácie |
||
| 112 | 1. A.8.34 Ochrana informačných systémov počas auditného testovania áno Bezpečnostné audity a overovania sa týkajú systémov a dát spravované spoločnosťou, neplatí pre systémy vlastnené klientom |
||
| 113 | |||
| 114 | ## Schválenie |
||
| 115 | Toto vyhlásenie o aplikovateľnosti schvaľuje vrcholový manažment a prehodnocuje sa minimálne raz ročne alebo pri významnej zmene. |
||
| 116 | |||
| 117 | Schválené: ____________________ |
||
| 118 | Dátum: ____________________. |