Säännöllinen tunkeutumistestaus

Critical
High
Normal
Low

Staattiset skannaukset koodiin ovat ensimmäinen askel riskialttiiden haavoittuvuuksien havaitsemiseksi. Kun palvelu on otettu käyttöön, se kuitenkin altistuu uudenlaisille hyökkäyksille (esim. cross-site scripting tai tunnistautumisen ongelmat). Näitä voidaan pyrkiä tunnistamaan tunkteutumistestauksella.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.6.1: Management of technical vulnerabilities
ISO 27001
14.2.8: System security testing
ISO 27001

Tietoturvaohjeiden noudattamisen valvonta

Critical
High
Normal
Low

Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
18.2.2: Compliance with security policies and standards
ISO 27001

Säännöllinen haavoittuvuusskannaus

Critical
High
Normal
Low

Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.

On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.6.1: Management of technical vulnerabilities
ISO 27001
18.2.3: Technical compliance review
ISO 27001

Tietoturvan hallintajärjestelmän toteuttamisen säännöllinen sisäinen valvonta

Critical
High
Normal
Low

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Liittyvät muut vaatimuskehikot ja vaatimukset:
18.2.2: Compliance with security policies and standards
ISO 27001
5.36: Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
ISO 27001
No items found.