Wiki » História » Revízia 4
Revízia 3 (Security Manager, 2026-01-12 13:11) → Revízia 4/7 (Security Manager, 2026-01-12 13:11)
# Vyhlásenie o aplikovateľnosti (SoA) Typ organizácie: Stredne veľká konzultačná spoločnosť SAP (cca 100 zamestnancov) Služby: Inštalácie, aktualizácie, optimalizácia SAP, vývoj ABAP, vzdialená a lokálna podpora klientov Norma: ISO/IEC 27001:2022 – Príloha A Rozsah (zhrnutie) Systém ISMS pokrýva konzultačné, vývojové a podporné služby SAP poskytované s využitím aktív a personálu spravovaného spoločnosťou. Systémy SAP klientov, dátové centrá, siete a zálohy sú vlastnené a spravované klientmi a sú vylúčené tam, kde je to zmluvne definované. ## Annex A – Vyhlásenie o aplikovateľnosti Legenda: áno = aplikovateľné | čiastočne = čiastočne aplikovateľné | neaplikovateľné = neaplikovateľné ### ## A.5 Organizačné opatrenia 1. A.5.1 Politiky informačnej bezpečnosti áno Rámec politiky ISMS stanovený a schválený vedením 1. A.5.2 Úlohy a zodpovednosti v oblasti informačnej bezpečnosti áno Definované role vrátane manažéra ISMS, vedúceho bezpečnosti SAP 1. A.5.3 Rozdelenie povinností áno Vynucované prostredníctvom rolí SAP a interných schvaľovacích pracovných postupov 1. A.5.4 Zodpovednosti manažmentu áno Stretnutia manažmentu o záväzkoch a preskúmaní 1. A.5.5 Kontakt s príslušnými autoritami áno Postupy definované pre právny/regulačný kontakt 1. A.5.6 Kontakt so záujmovými skupinami áno Bezpečnostné odporúčania SAP a profesionálne skupiny 1. A.5.7 Informácie o hrozbách áno Monitorovanie poznámok SAP, CVE a bezpečnostných upozornení 1. A.5.8 Informačná bezpečnosť v projektovom riadení áno Metodika projektu SAP zahŕňa bezpečnostné kontrolné body 1. A.5.9 Inventár informácií a aktív áno Register aktív pre zariadenia, systémy, repozitáre 1. A.5.10 Prijateľné používanie informácií a aktív áno Politika prijateľného používania pre zamestnancov 1. A.5.11 Vrátenie aktív áno Vynucovaná počas odchodu 1. A.5.12 Klasifikácia informácií áno Interné, dôverné, dôverné s klientom 1. A.5.13 Označovanie informácií áno Logická klasifikácia prostredníctvom systémov a repozitárov 1. A.5.14 Prenos informácií áno Bezpečné kanály (VPN, SFTP, transporty SAP) 1. A.5.15 Riadenie prístupu áno Centralizované koncepty autorizácie IAM a SAP 1. A.5.16 Správa identít áno Proces pripojenia/presunu/odchodu 1. A.5.17 Autentifikačné informácie áno MFA, štandardy hesiel 1. A.5.18 Prístupové práva áno Pravidelné kontroly prístupu 1. A.5.19 Vzťahy s dodávateľmi áno Cloudové a subdodávateľské zmluvy 1. A.5.20 Informačná bezpečnosť v rámci dodávateľských zmlúv áno Bezpečnostné doložky v zmluvách 1. A.5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT áno Posúdenia rizík dodávateľov 1. A.5.22 Monitorovanie, kontrola a riadenie zmien dodávateľských služieb áno Pravidelné kontroly 1. A.5.23 Informačná bezpečnosť pre používanie cloudových služieb áno Bezpečná konfigurácia nástrojov SaaS 1. A.5.24 Plánovanie riadenia incidentov informačnej bezpečnosti áno Plán reakcie na incidenty 1. A.5.25 Posudzovanie a rozhodovanie o udalostiach informačnej bezpečnosti áno Definované eskalačné postupy 1. A.5.26 Reakcia na incidenty informačnej bezpečnosti áno Pracovný postup riešenia incidentov 1. A.5.27 Poučenie sa z incidentov informačnej bezpečnosti áno Kontroly po incidente 1. A.5.28 Zhromažďovanie dôkazov áno Zaznamenávanie a auditné záznamy 1. A.5.29 Informačná bezpečnosť počas prerušenia áno Integrácia kontinuity podnikania 1. A.5.30 Pripravenosť IKT na kontinuitu podnikania áno Možnosť práce na diaľku 1. A.5.31 Právne, zákonné a regulačné požiadavky áno Sledovanie súladu 1. A.5.32 Práva duševného vlastníctva áno Kontroly licencovania a vlastníctva kódu 1. A.5.33 Ochrana záznamov áno Pravidlá uchovávania a ochrany 1. A.5.34 Ochrana súkromia a osobných údajov áno Súlad s GDPR 1. A.5.35 Nezávislé preskúmanie informačnej bezpečnosti áno Interné audity 1. A.5.36 Súlad s politikami a normami áno Monitorovanie a presadzovanie pravidiel bezpečnosti 1. A.5.37 Dokumentované prevádzkové postupy áno Zdokumentované a udržiavané postupy ### ## A.6 Personálne opatrenia 1. A.6.1 Preverovanie zamestnancov áno Previerky, ak je to zákonom povolené 1. A.6.2 Pracovné podmienky áno Doložky o dôvernosti a bezpečnosti 1. A.6.3 Povedomie o informačnej bezpečnosti, vzdelávanie a školenia áno Pravidelné školenia v oblasti bezpečnosti 1. A.6.4 Disciplinárne konanie áno Disciplinárne postupy v oblasti ľudských zdrojov 1. A.6.5 Zodpovednosti po ukončení alebo zmene pracovného pomeru áno Okamžité zrušenie prístupu 1. A.6.6 Dohody o mlčanlivosti alebo nezverejnení áno Dohody o mlčanlivosti so zamestnancami a dodávateľmi 1. A.6.7 Práca na diaľku áno Zásady zabezpečeného vzdialeného prístupu 1. A.6.8 Hlásenie o incidentoch informačnej bezpečnosti áno Povinné kanály hlásenia ### ## A.7 Opatrenia fyzickej bezpečnosti 1. A.7.1 Fyzické bezpečnostné perimetre čiastočne Platí len pre kancelárie spoločnosti 1. A.7.2 Kontroly fyzického vstupu áno Prístup do kancelárie kontrolovaný vstupovými kartami/čipmi 1. A.7.3 Zabezpečenie kancelárií, miestností a zariadení áno Bezpečnostné postupy kancelárie 1. A.7.4 Monitorovanie fyzickej bezpečnosti áno CCTV / záznamy o prístupe 1. A.7.5 Ochrana pred fyzickými a environmentálnymi hrozbami áno Protipožiarne, napájacie a environmentálne ochranné opatrenia 1. A.7.6 Práca v zabezpečených priestoroch áno Obmedzené zabezpečené oblasti 1. A.7.7 Čistý stôl a čistá obrazovka áno Vynútená politika 1. A.7.8 Umiestnenie a ochrana zariadení áno Bezpečné umiestnenie zariadení 1. A.7.9 Zabezpečenie aktív mimo priestorov áno Šifrovanie a ovládanie notebookov 1. A.7.10 Úložné médiá áno Obmedzenia pre USB zariadenia a šifrovanie médií 1. A.7.11 Podporné utility nie Žiadne operácie v lokálnom dátovom centre 1. A.7.12 Bezpečnosť kabelážnej infraštruktúry nie Žiadna vlastná kabeláž dátového centra 1. A.7.13 Údržba zariadení áno Spravovaná údržba zariadení 1. A.7.14 Bezpečná likvidácia alebo sanitizácia zariadení áno Certifikované procesy likvidácie ### A.8 Technologické opatrenia 1. A.8.1 Koncové zariadenia používateľov áno Notebooky spravované spoločnosťou 1. A.8.2 Privilegované prístupové práva áno SAP Basis/administratívne ovládacie prvky 1. A.8.3 Obmedzenie prístupu k informáciám áno Najmenšie privilégiá 1. A.8.4 Prístup k zdrojovému kódu áno Obmedzené repozitáre 1. A.8.5 Bezpečné overovanie áno Vynútené MFA 1. A.8.6 Správa kapacity nie Žiadne hostované produkčné systémy 1. A.8.7 Ochrana pred škodlivým softvérom áno Ochrana koncových bodov 1. A.8.8 Správa technických zraniteľností áno Správa záplat a SAP Note 1. A.8.9 Správa konfigurácie áno Bezpečné základne 1. A.8.10 Vymazanie dát áno Bezpečné postupy mazania 1. A.8.11 Maskovanie dát čiastočne Ak to vyžaduje klient 1. A.8.12 Prevencia úniku dát áno DLP na koncových bodoch a v cloude 1. A.8.13 Zálohovanie dát čiastočne Len interné systémy 1. A.8.14 Redundancia zariadení na spracovanie informácií nie Zodpovednosť klienta 1. A.8.15 Logovanie áno Systémové a prístupové záznamy 1. A.8.16 Monitorovacie činnosti áno Monitorovanie bezpečnosti 1. A.8.17 Synchronizácia času áno Spravované prostredníctvom systémov 1. A.8.18 Používanie privilegovaných obslužných programov áno Obmedzené použitie 1. A.8.19 Inštalácia softvéru na operačné systémy áno Iba schválené inštalácie 1. A.8.20 Bezpečnosť sietí čiastočne Iba firemné siete 1. A.8.21 Bezpečnosť sieťových služieb čiastočne Vylúčené klientske siete 1. A.8.22 Segregácia sietí čiastočne Logická segregácia 1. A.8.23 Filtrovanie webu áno Filtrovanie koncových bodov 1. A.8.24 Použitie kryptografie áno Šifrovacie štandardy 1. A.8.25 Bezpečný životný cyklus vývoja áno Životný cyklus vývoja ABAP 1. A.8.26 Požiadavky na bezpečnosť aplikácií áno Bezpečnostné požiadavky SAP 1. A.8.27 Bezpečná architektúra systému a inžinierske princípy áno Návrh prostredia SAP 1. A.8.28 Bezpečné programovanie áno Pokyny pre bezpečné kódovanie ABAP 1. A.8.29 Bezpečnostné testovanie vo vývoji a akceptácii áno Kontrola zdrojového kódu, ATC 1. A.8.30 Outsourcovaný vývoj áno Kontrolovaní subdodávatelia 1. A.8.31 Oddelenie vývoja, testovania a prevádzky áno Opatrenia pre SAP transporty 1. A.8.32 Riadenie zmien áno Pracovné postupy schvaľovania zmien 1. A.8.33 Testovacie dáta áno Audity a bezpečnostné testy sa vykonávajú kontrolovaným spôsobom tak, aby nespôsobili znefunkčnenie alebo únik dát, platí len pre systémy organizácie 1. A.8.34 Ochrana informačných systémov počas auditného testovania áno Bezpečnostné audity a overovania sa týkajú systémov a dát spravované spoločnosťou, neplatí pre systémy vlastnené klientom ## Schválenie Toto vyhlásenie o aplikovateľnosti schvaľuje vrcholový manažment a prehodnocuje sa minimálne raz ročne alebo pri významnej zmene. Schválené: ____________________ Dátum: ____________________.