ISMS » Dokumentácia k ISMS

# Vyhlásenie o aplikovateľnosti (SoA)

**Typ organizácie**:  Konzultačná spoločnosť pre produkty SAP (cca 30 zamestnancov)

**Služby**: Inštalácie, aktualizácie, optimalizácia SAP, vývoj ABAP, vzdialená a lokálna podpora klientov

**Počet a význam klientov**: do 20, medzi nimi aj štátne inštitúcie (ktoré musia spĺňať kyberzákon a NIS2)

**Poznámka**: u väčšiny zákazníkov je spoločnosť subdodávateľom SAP Slovensko (ktorý je dodávateľom služieb pre klienta priamo a najíma si konzultačnú spoločnosť na vybrané aktivity)

**Norma**: ISO/IEC 27001:2022 – Príloha A

## Rozsah (zhrnutie)

Systém ISMS pokrýva konzultačné, vývojové a podporné služby SAP poskytované s využitím aktív a personálu spravovaného spoločnosťou. Systémy SAP klientov, dátové centrá, siete a zálohy sú vlastnené a spravované klientmi a sú vylúčené tam, kde je to zmluvne definované.

## Annex A – Vyhlásenie o aplikovateľnosti

Legenda: áno = aplikovateľné | čiastočne  = čiastočne aplikovateľné | neaplikovateľné = neaplikovateľné

### A.5 Organizačné opatrenia

1. A.5.1 Politiky informačnej bezpečnosti	áno	Rámec politiky ISMS stanovený a schválený vedením

1. A.5.2 Úlohy a zodpovednosti v oblasti informačnej bezpečnosti	áno	Definované role vrátane manažéra ISMS, vedúceho bezpečnosti SAP

1. A.5.3 Rozdelenie povinností	áno	Vynucované prostredníctvom rolí SAP a interných schvaľovacích pracovných postupov

1. A.5.4 Zodpovednosti manažmentu	áno	Stretnutia manažmentu o záväzkoch a preskúmaní

1. A.5.5 Kontakt s príslušnými autoritami	áno	Postupy definované pre právny/regulačný kontakt

1. A.5.6 Kontakt so záujmovými skupinami	áno	Bezpečnostné odporúčania SAP a profesionálne skupiny

1. A.5.7 Informácie o hrozbách	áno	Monitorovanie poznámok SAP, CVE a bezpečnostných upozornení

1. A.5.8 Informačná bezpečnosť v projektovom riadení	áno	Metodika projektu SAP zahŕňa bezpečnostné kontrolné body

1. A.5.9 Inventár informácií a aktív	áno	Register aktív pre zariadenia, systémy, repozitáre

1. A.5.10 Prijateľné používanie informácií a aktív	áno	Politika prijateľného používania pre zamestnancov

1. A.5.11 Vrátenie aktív	áno	Vynucovaná počas odchodu

1. A.5.12 Klasifikácia informácií	áno	Interné, dôverné, dôverné s klientom

1. A.5.13 Označovanie informácií	áno	Logická klasifikácia prostredníctvom systémov a repozitárov

1. A.5.14 Prenos informácií	áno	Bezpečné kanály (VPN, SFTP, transporty SAP)

1. A.5.15 Riadenie prístupu	áno	Centralizované koncepty autorizácie IAM a SAP

1. A.5.16 Správa identít	áno	Proces pripojenia/presunu/odchodu

1. A.5.17 Autentifikačné informácie	áno	MFA, štandardy hesiel

1. A.5.18 Prístupové práva	áno	Pravidelné kontroly prístupu

1. A.5.19 Vzťahy s dodávateľmi	áno	Cloudové a subdodávateľské zmluvy

1. A.5.20 Informačná bezpečnosť v rámci dodávateľských zmlúv	áno	Bezpečnostné doložky v zmluvách

1. A.5.21 Riadenie informačnej bezpečnosti v dodávateľskom reťazci IKT	áno	Posúdenia rizík dodávateľov

1. A.5.22 Monitorovanie, kontrola a riadenie zmien dodávateľských služieb	áno	Pravidelné kontroly

1. A.5.23 Informačná bezpečnosť pre používanie cloudových služieb	áno	Bezpečná konfigurácia nástrojov SaaS

1. A.5.24 Plánovanie riadenia incidentov informačnej bezpečnosti	áno	Plán reakcie na incidenty

1. A.5.25 Posudzovanie a rozhodovanie o udalostiach informačnej bezpečnosti	áno	Definované eskalačné postupy

1. A.5.26 Reakcia na incidenty informačnej bezpečnosti	áno	Pracovný postup riešenia incidentov

1. A.5.27 Poučenie sa z incidentov informačnej bezpečnosti	áno	Kontroly po incidente

1. A.5.28 Zhromažďovanie dôkazov	áno	Zaznamenávanie a auditné záznamy

1. A.5.29 Informačná bezpečnosť počas prerušenia	áno	Integrácia kontinuity podnikania

1. A.5.30 Pripravenosť IKT na kontinuitu podnikania	áno	Možnosť práce na diaľku

1. A.5.31 Právne, zákonné a regulačné požiadavky	áno	Sledovanie súladu

1. A.5.32 Práva duševného vlastníctva	áno	Kontroly licencovania a vlastníctva kódu

1. A.5.33 Ochrana záznamov	áno	Pravidlá uchovávania a ochrany

1. A.5.34 Ochrana súkromia a osobných údajov	áno	Súlad s GDPR

1. A.5.35 Nezávislé preskúmanie informačnej bezpečnosti	áno	Interné audity

1. A.5.36 Súlad s politikami a normami	áno	Monitorovanie a presadzovanie pravidiel bezpečnosti

1. A.5.37 Dokumentované prevádzkové postupy	áno	Zdokumentované a udržiavané postupy

### A.6 Personálne opatrenia

1. A.6.1 Preverovanie zamestnancov	áno	Previerky, ak je to zákonom povolené

1. A.6.2 Pracovné podmienky	áno	Doložky o dôvernosti a bezpečnosti

1. A.6.3 Povedomie o informačnej bezpečnosti, vzdelávanie a školenia	áno	Pravidelné školenia v oblasti bezpečnosti

1. A.6.4 Disciplinárne konanie	áno	Disciplinárne postupy v oblasti ľudských zdrojov

1. A.6.5 Zodpovednosti po ukončení alebo zmene pracovného pomeru	áno	Okamžité zrušenie prístupu

1. A.6.6 Dohody o mlčanlivosti alebo nezverejnení	áno	Dohody o mlčanlivosti so zamestnancami a dodávateľmi

1. A.6.7 Práca na diaľku	áno	Zásady zabezpečeného vzdialeného prístupu

1. A.6.8 Hlásenie o incidentoch informačnej bezpečnosti	áno	Povinné kanály hlásenia

### A.7 Opatrenia fyzickej bezpečnosti

1. A.7.1 Fyzické bezpečnostné perimetre	čiastočne	Platí len pre kancelárie spoločnosti

1. A.7.2 Kontroly fyzického vstupu	áno	Prístup do kancelárie kontrolovaný vstupovými kartami/čipmi

1. A.7.3 Zabezpečenie kancelárií, miestností a zariadení	áno	Bezpečnostné postupy kancelárie

1. A.7.4 Monitorovanie fyzickej bezpečnosti	áno	CCTV / záznamy o prístupe

1. A.7.5 Ochrana pred fyzickými a environmentálnymi hrozbami	áno	Protipožiarne, napájacie a environmentálne ochranné opatrenia

1. A.7.6 Práca v zabezpečených priestoroch	áno	Obmedzené zabezpečené oblasti

1. A.7.7 Čistý stôl a čistá obrazovka	áno	Vynútená politika

1. A.7.8 Umiestnenie a ochrana zariadení	áno	Bezpečné umiestnenie zariadení

1. A.7.9 Zabezpečenie aktív mimo priestorov	áno	Šifrovanie a ovládanie notebookov

1. A.7.10 Úložné médiá	áno	Obmedzenia pre USB zariadenia a šifrovanie médií

1. A.7.11 Podporné utility	nie	Žiadne operácie v lokálnom dátovom centre

1. A.7.12 Bezpečnosť kabelážnej infraštruktúry	nie	Žiadna vlastná kabeláž dátového centra

1. A.7.13 Údržba zariadení	áno	Spravovaná údržba zariadení

1. A.7.14 Bezpečná likvidácia alebo sanitizácia zariadení	áno	Certifikované procesy likvidácie

### A.8 Technologické opatrenia

1. A.8.1 Koncové zariadenia používateľov	áno	Notebooky spravované spoločnosťou

1. A.8.2 Privilegované prístupové práva	áno	SAP Basis/administratívne ovládacie prvky

1. A.8.3 Obmedzenie prístupu k informáciám	áno	Najmenšie privilégiá

1. A.8.4 Prístup k zdrojovému kódu	áno	Obmedzené repozitáre

1. A.8.5 Bezpečné overovanie	áno	Vynútené MFA

1. A.8.6 Správa kapacity	nie	Žiadne hostované produkčné systémy

1. A.8.7 Ochrana pred škodlivým softvérom	áno	Ochrana koncových bodov

1. A.8.8 Správa technických zraniteľností	áno	Správa záplat a SAP Note

1. A.8.9 Správa konfigurácie	áno	Bezpečné základne

1. A.8.10 Vymazanie dát	áno	Bezpečné postupy mazania

1. A.8.11 Maskovanie dát	čiastočne	Ak to vyžaduje klient

1. A.8.12 Prevencia úniku dát	áno	DLP na koncových bodoch a v cloude

1. A.8.13 Zálohovanie dát	čiastočne	Len interné systémy

1. A.8.14 Redundancia zariadení na spracovanie informácií	nie	Zodpovednosť klienta

1. A.8.15 Logovanie	áno	Systémové a prístupové záznamy

1. A.8.16 Monitorovacie činnosti	áno	Monitorovanie bezpečnosti

1. A.8.17 Synchronizácia času	áno	Spravované prostredníctvom systémov

1. A.8.18 Používanie privilegovaných obslužných programov	áno	Obmedzené použitie

1. A.8.19 Inštalácia softvéru na operačné systémy	áno	Iba schválené inštalácie

1. A.8.20 Bezpečnosť sietí	čiastočne	Iba firemné siete

1. A.8.21 Bezpečnosť sieťových služieb	čiastočne	Vylúčené klientske siete

1. A.8.22 Segregácia sietí	čiastočne	Logická segregácia

1. A.8.23 Filtrovanie webu	áno	Filtrovanie koncových bodov

1. A.8.24 Použitie kryptografie	áno	Šifrovacie štandardy

1. A.8.25 Bezpečný životný cyklus vývoja	áno	Životný cyklus vývoja ABAP

1. A.8.26 Požiadavky na bezpečnosť aplikácií	áno	Bezpečnostné požiadavky SAP

1. A.8.27 Bezpečná architektúra systému a inžinierske princípy	áno	Návrh prostredia SAP

1. A.8.28 Bezpečné programovanie	áno	Pokyny pre bezpečné kódovanie ABAP

1. A.8.29 Bezpečnostné testovanie vo vývoji a akceptácii	áno	Kontrola zdrojového kódu, ATC

1. A.8.30 Outsourcovaný vývoj	áno	Kontrolovaní subdodávatelia

1. A.8.31 Oddelenie vývoja, testovania a prevádzky	áno	Opatrenia pre SAP transporty

1. A.8.32 Riadenie zmien	áno	Pracovné postupy schvaľovania zmien

1. A.8.33 Testovacie dáta	áno	Audity a bezpečnostné testy sa vykonávajú kontrolovaným spôsobom tak, aby nespôsobili znefunkčnenie alebo únik dát, platí len pre systémy organizácie

1. A.8.34 Ochrana informačných systémov počas auditného testovania	áno	Bezpečnostné audity a overovania sa týkajú systémov a dát spravované spoločnosťou, neplatí pre systémy vlastnené klientom

## Schválenie

Toto vyhlásenie o aplikovateľnosti schvaľuje vrcholový manažment a prehodnocuje sa minimálne raz ročne alebo pri významnej zmene.

Schválené: ____________________

Dátum: ____________________.