Vyhlásenie o aplikovateľnosti (SoA)¶

Typ organizácie : Konzultačná spoločnosť SAP (cca 100 zamestnancov)
Služby : Inštalácie, aktualizácie, optimalizácia SAP, vývoj ABAP, vzdialená a lokálna podpora klientov
Počet a význam klientov : do 20, medzi nimi aj štátne inštitúcie (ktoré musia spĺňať kyberzákon a NIS2)
Poznámka : pri väčšej polovice zákazníkov je spoločnosť subdodávateľom SAP Slovensko (ktorý je dodávateľom služieb pre klienta priamo a najíma si konzultačnú spoločnosť na vybrané aktivity)
Norma : ISO/IEC 27001:2022 – Príloha A

Rozsah (zhrnutie)¶

Systém ISMS pokrýva konzultačné, vývojové a podporné služby SAP poskytované s využitím aktív a personálu spravovaného spoločnosťou. Systémy SAP klientov, dátové centrá, siete a zálohy sú vlastnené a spravované klientmi a sú vylúčené tam, kde je to zmluvne definované.

Annex A – Vyhlásenie o aplikovateľnosti¶

Legenda: áno = aplikovateľné | čiastočne = čiastočne aplikovateľné | neaplikovateľné = neaplikovateľné

A.5 Organizačné opatrenia¶

1. A.5.1 Politiky informačnej bezpečnosti áno Rámec politiky ISMS stanovený a schválený vedením
2. A.5.2 Úlohy a zodpovednosti v oblasti informačnej bezpečnosti áno Definované role vrátane manažéra ISMS, vedúceho bezpečnosti SAP
3. A.5.3 Rozdelenie povinností áno Vynucované prostredníctvom rolí SAP a interných schvaľovacích pracovných postupov
4. A.5.4 Zodpovednosti manažmentu áno Stretnutia manažmentu o záväzkoch a preskúmaní
5. A.5.5 Kontakt s príslušnými autoritami áno Postupy definované pre právny/regulačný kontakt
6. A.5.6 Kontakt so záujmovými skupinami áno Bezpečnostné odporúčania SAP a profesionálne skupiny
7. A.5.7 Informácie o hrozbách áno Monitorovanie poznámok SAP, CVE a bezpečnostných upozornení
8. A.5.8 Informačná bezpečnosť v projektovom riadení áno Metodika projektu SAP zahŕňa bezpečnostné kontrolné body
9. A.5.9 Inventár informácií a aktív áno Register aktív pre zariadenia, systémy, repozitáre
10. A.5.10 Prijateľné používanie informácií a aktív áno Politika prijateľného používania pre zamestnancov
11. A.5.11 Vrátenie aktív áno Vynucovaná počas odchodu
12. A.5.12 Klasifikácia informácií áno Interné, dôverné, dôverné s klientom
13. A.5.13 Označovanie informácií áno Logická klasifikácia prostredníctvom systémov a repozitárov
14. A.5.14 Prenos informácií áno Bezpečné kanály (VPN, SFTP, transporty SAP)
15. A.5.15 Riadenie prístupu áno Centralizované koncepty autorizácie IAM a SAP
16. A.5.16 Správa identít áno Proces pripojenia/presunu/odchodu
17. A.5.17 Autentifikačné informácie áno MFA, štandardy hesiel
18. A.5.18 Prístupové práva áno Pravidelné kontroly prístupu
19. A.5.19 Vzťahy s dodávateľmi áno Cloudové a subdodávateľské zmluvy
20. A.5.20 Informačná bezpečnosť v rámci dodávateľských zmlúv áno Bezpečnostné doložky v zmluvách
21. A.5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT áno Posúdenia rizík dodávateľov
22. A.5.22 Monitorovanie, kontrola a riadenie zmien dodávateľských služieb áno Pravidelné kontroly
23. A.5.23 Informačná bezpečnosť pre používanie cloudových služieb áno Bezpečná konfigurácia nástrojov SaaS
24. A.5.24 Plánovanie riadenia incidentov informačnej bezpečnosti áno Plán reakcie na incidenty
25. A.5.25 Posudzovanie a rozhodovanie o udalostiach informačnej bezpečnosti áno Definované eskalačné postupy
26. A.5.26 Reakcia na incidenty informačnej bezpečnosti áno Pracovný postup riešenia incidentov
27. A.5.27 Poučenie sa z incidentov informačnej bezpečnosti áno Kontroly po incidente
28. A.5.28 Zhromažďovanie dôkazov áno Zaznamenávanie a auditné záznamy
29. A.5.29 Informačná bezpečnosť počas prerušenia áno Integrácia kontinuity podnikania
30. A.5.30 Pripravenosť IKT na kontinuitu podnikania áno Možnosť práce na diaľku
31. A.5.31 Právne, zákonné a regulačné požiadavky áno Sledovanie súladu
32. A.5.32 Práva duševného vlastníctva áno Kontroly licencovania a vlastníctva kódu
33. A.5.33 Ochrana záznamov áno Pravidlá uchovávania a ochrany
34. A.5.34 Ochrana súkromia a osobných údajov áno Súlad s GDPR
35. A.5.35 Nezávislé preskúmanie informačnej bezpečnosti áno Interné audity
36. A.5.36 Súlad s politikami a normami áno Monitorovanie a presadzovanie pravidiel bezpečnosti
37. A.5.37 Dokumentované prevádzkové postupy áno Zdokumentované a udržiavané postupy

A.6 Personálne opatrenia¶

1. A.6.1 Preverovanie zamestnancov áno Previerky, ak je to zákonom povolené
2. A.6.2 Pracovné podmienky áno Doložky o dôvernosti a bezpečnosti
3. A.6.3 Povedomie o informačnej bezpečnosti, vzdelávanie a školenia áno Pravidelné školenia v oblasti bezpečnosti
4. A.6.4 Disciplinárne konanie áno Disciplinárne postupy v oblasti ľudských zdrojov
5. A.6.5 Zodpovednosti po ukončení alebo zmene pracovného pomeru áno Okamžité zrušenie prístupu
6. A.6.6 Dohody o mlčanlivosti alebo nezverejnení áno Dohody o mlčanlivosti so zamestnancami a dodávateľmi
7. A.6.7 Práca na diaľku áno Zásady zabezpečeného vzdialeného prístupu
8. A.6.8 Hlásenie o incidentoch informačnej bezpečnosti áno Povinné kanály hlásenia

A.7 Opatrenia fyzickej bezpečnosti¶

1. A.7.1 Fyzické bezpečnostné perimetre čiastočne Platí len pre kancelárie spoločnosti
2. A.7.2 Kontroly fyzického vstupu áno Prístup do kancelárie kontrolovaný vstupovými kartami/čipmi
3. A.7.3 Zabezpečenie kancelárií, miestností a zariadení áno Bezpečnostné postupy kancelárie
4. A.7.4 Monitorovanie fyzickej bezpečnosti áno CCTV / záznamy o prístupe
5. A.7.5 Ochrana pred fyzickými a environmentálnymi hrozbami áno Protipožiarne, napájacie a environmentálne ochranné opatrenia
6. A.7.6 Práca v zabezpečených priestoroch áno Obmedzené zabezpečené oblasti
7. A.7.7 Čistý stôl a čistá obrazovka áno Vynútená politika
8. A.7.8 Umiestnenie a ochrana zariadení áno Bezpečné umiestnenie zariadení
9. A.7.9 Zabezpečenie aktív mimo priestorov áno Šifrovanie a ovládanie notebookov
10. A.7.10 Úložné médiá áno Obmedzenia pre USB zariadenia a šifrovanie médií
11. A.7.11 Podporné utility nie Žiadne operácie v lokálnom dátovom centre
12. A.7.12 Bezpečnosť kabelážnej infraštruktúry nie Žiadna vlastná kabeláž dátového centra
13. A.7.13 Údržba zariadení áno Spravovaná údržba zariadení
14. A.7.14 Bezpečná likvidácia alebo sanitizácia zariadení áno Certifikované procesy likvidácie

A.8 Technologické opatrenia¶

1. A.8.1 Koncové zariadenia používateľov áno Notebooky spravované spoločnosťou
2. A.8.2 Privilegované prístupové práva áno SAP Basis/administratívne ovládacie prvky
3. A.8.3 Obmedzenie prístupu k informáciám áno Najmenšie privilégiá
4. A.8.4 Prístup k zdrojovému kódu áno Obmedzené repozitáre
5. A.8.5 Bezpečné overovanie áno Vynútené MFA
6. A.8.6 Správa kapacity nie Žiadne hostované produkčné systémy
7. A.8.7 Ochrana pred škodlivým softvérom áno Ochrana koncových bodov
8. A.8.8 Správa technických zraniteľností áno Správa záplat a SAP Note
9. A.8.9 Správa konfigurácie áno Bezpečné základne
10. A.8.10 Vymazanie dát áno Bezpečné postupy mazania
11. A.8.11 Maskovanie dát čiastočne Ak to vyžaduje klient
12. A.8.12 Prevencia úniku dát áno DLP na koncových bodoch a v cloude
13. A.8.13 Zálohovanie dát čiastočne Len interné systémy
14. A.8.14 Redundancia zariadení na spracovanie informácií nie Zodpovednosť klienta
15. A.8.15 Logovanie áno Systémové a prístupové záznamy
16. A.8.16 Monitorovacie činnosti áno Monitorovanie bezpečnosti
17. A.8.17 Synchronizácia času áno Spravované prostredníctvom systémov
18. A.8.18 Používanie privilegovaných obslužných programov áno Obmedzené použitie
19. A.8.19 Inštalácia softvéru na operačné systémy áno Iba schválené inštalácie
20. A.8.20 Bezpečnosť sietí čiastočne Iba firemné siete
21. A.8.21 Bezpečnosť sieťových služieb čiastočne Vylúčené klientske siete
22. A.8.22 Segregácia sietí čiastočne Logická segregácia
23. A.8.23 Filtrovanie webu áno Filtrovanie koncových bodov
24. A.8.24 Použitie kryptografie áno Šifrovacie štandardy
25. A.8.25 Bezpečný životný cyklus vývoja áno Životný cyklus vývoja ABAP
26. A.8.26 Požiadavky na bezpečnosť aplikácií áno Bezpečnostné požiadavky SAP
27. A.8.27 Bezpečná architektúra systému a inžinierske princípy áno Návrh prostredia SAP
28. A.8.28 Bezpečné programovanie áno Pokyny pre bezpečné kódovanie ABAP
29. A.8.29 Bezpečnostné testovanie vo vývoji a akceptácii áno Kontrola zdrojového kódu, ATC
30. A.8.30 Outsourcovaný vývoj áno Kontrolovaní subdodávatelia
31. A.8.31 Oddelenie vývoja, testovania a prevádzky áno Opatrenia pre SAP transporty
32. A.8.32 Riadenie zmien áno Pracovné postupy schvaľovania zmien
33. A.8.33 Testovacie dáta áno Audity a bezpečnostné testy sa vykonávajú kontrolovaným spôsobom tak, aby nespôsobili znefunkčnenie alebo únik dát, platí len pre systémy organizácie
34. A.8.34 Ochrana informačných systémov počas auditného testovania áno Bezpečnostné audity a overovania sa týkajú systémov a dát spravované spoločnosťou, neplatí pre systémy vlastnené klientom

Schválenie¶

Toto vyhlásenie o aplikovateľnosti schvaľuje vrcholový manažment a prehodnocuje sa minimálne raz ročne alebo pri významnej zmene.

Schválené: ____________________
Dátum: ____________________.