ISMS Samoprocjena

Informacijska sigurnost - Samoprocjena

Ovaj alat za samoprocjenu osmišljen je kako bi organizacijama pomogao da brzo procijene razinu sigurnosti i otpornosti svojih informacijskih sustava. Kroz deset ključnih kategorija (npr. upravljanje i nadzor, upravljanje rizicima, kontrola pristupa, obuka zaposlenika itd.) tvrtke mogu provjeriti koliko su usklađene s najboljim praksama te identificirati kritična područja za poboljšanje.

Svaka kategorija sadrži konkretne izjave (checkbox) koje obuhvaćaju preporučene mjere i postupke. Organizacije označavanjem primjenjivih tvrdnji mogu dobiti uvid u trenutno stanje i stvoriti temelj za daljnji rad, bilo da se radi o usklađenosti sa standardima, smanjenju rizika ili povećanju ukupne sigurnosti poslovanja.

1 / 10

Obuka i svijest zaposlenika: Jesu li naši djelatnici i suradnici dovoljno educirani o važnosti i praksama sigurnosti?

Provodimo obveznu edukaciju o sigurnosti za sve zaposlenike barem jednom godišnje.

Edukacija uključuje teme o prepoznavanju i sprječavanju phishinga te socijalnog inženjeringa.

Zaposlenici potpisuju izjave o povjerljivosti i upoznati su s politikama sigurnosti.

Redovito šaljemo kratke podsjetnike ili vijesti s najboljim praksama sigurnog ponašanja.

Povremeno testiramo zaposlenike simuliranim phishing kampanjama.

Specifične uloge (npr. administratori, razvojni tim) dobivaju dodatnu, ciljanu obuku o sigurnosti.

Novi zaposlenici prolaze osnovnu edukaciju o sigurnosti prije dobivanja pristupa sustavima.

Organizacija potiče djelatnike da prijave sumnjive događaje bez bojazni od sankcija.

Koristimo edukativne materijale (plakate, brošure, interni portal) kako bismo održali svijest o sigurnosti.

Mjerimo učinkovitost obuke kroz kvizove, povratne informacije ili analizu sigurnosnih incidenata.

2 / 10

Upravljanje uređajima i krajnjim točkama: Brinemo li se adekvatno o sigurnosti računala, mobilnih uređaja i ostalih krajnjih točaka?

Na svim uređajima je instaliran i ažuriran antivirusni/antimalware softver.

Organizacija primjenjuje standardiziranu konfiguraciju operacijskih sustava na korporativnim uređajima.

Mobilni uređaji su obuhvaćeni politikom za upravljanje (MDM) radi praćenja i sigurnosnih postavki.

Na prijenosnicima i mobilnim uređajima omogućeno je šifriranje diska/skladišta.

Možemo daljinski zaključati ili obrisati izgubljene/ukradene uređaje koji sadrže poslovne podatke.

Evidentiramo i nadziremo instalaciju softvera i sigurnosnih zakrpa na krajnjim uređajima.

Postoji jasna politika za korištenje privatnih uređaja (BYOD) u poslovne svrhe.

Ograničavamo lokalne administratorske privilegije samo na nužne slučajeve.

Postoje standardi za sigurno zbrinjavanje starih ili neiskorištenih uređaja.

Povremeno provodimo provjere usklađenosti krajnjih točaka sa sigurnosnim standardima.

3 / 10

Sigurnost mreže i nadzor: Je li naša mreža zaštićena od vanjskih i unutarnjih prijetnji?

Firewall, IDS/IPS ili slične mjere štite mrežni perimetar.

Mreža je segmentirana tako da su osjetljivi sustavi odvojeni od opće mreže.

Usmjerivači, sklopke i bežične pristupne točke konfigurirani su prema sigurnosnim smjernicama.

Za udaljeni pristup koristimo VPN ili druge sigurne kanale s višefaktorskom autentikacijom.

Promet se kontinuirano nadzire te se bilježe svi neuobičajeni obrasci ili napadi.

Redovito provodimo skeniranje ranjivosti u mrežnim segmentima.

Sigurnosne nadogradnje i ažuriranja uređaja primjenjuju se čim su dostupne.

Pristup fizičkoj mrežnoj opremi ograničen je samo na ovlaštene osobe.

Imamo mjere za sprječavanje i ublažavanje DDoS napada (ako je relevantno).

Alarmi i upozorenja iz mrežnih sustava integrirani su u cjelokupni proces upravljanja incidentima.

4 / 10

Zaštita podataka: Jesu li naši podaci zaštićeni tijekom cjelokupnog životnog ciklusa?

Podaci su klasificirani prema razini osjetljivosti (interno, povjerljivo itd.).

Osjetljivi podaci šifriraju se tijekom prijenosa i prilikom pohrane.

Pristup kritičnim i povjerljivim informacijama dodatno je zaštićen (npr. višefaktorska autentikacija).

Kriptografski ključevi pohranjeni su na sigurnom mjestu i redovito se mijenjaju.

Sigurnosne kopije podataka pohranjene su na zasebnoj, osiguranoj lokaciji.

Prijenos osjetljivih datoteka strogo je reguliran (npr. bez neregistriranih USB uređaja).

Implementirani su postupci za sigurno uništavanje ili brisanje zastarjelih podataka.

Postoji politika čuvanja podataka (retencijski rokovi) usklađena sa zakonskim zahtjevima.

Poznato je gdje se nalaze sve kopije najkritičnijih ili posebno osjetljivih podataka.

Redovito testiramo sigurnost aplikacija (kodni pregled, penetracijski testovi) kako bismo zaštitili podatke.

5 / 10

Vanjski suradnici i dobavljači: Procjenjujemo li pouzdanost i sigurnosnu praksu trećih strana koje koristimo?

Provodimo formalnu procjenu sigurnosti prije nego što angažiramo novog dobavljača.

Ugovori s dobavljačima sadrže jasne sigurnosne zahtjeve i razine usluge (SLA).

Održavamo procjenu rizika za dobavljače koji imaju pristup našim kritičnim sustavima ili podacima.

Redovito provjeravamo ili tražimo dokaze (certifikate, revizije) o sigurnosnoj praksi dobavljača.

Pristup dobavljača strogo je ograničen na minimalni obujam podataka i sustava.

Imamo proceduru za prijavu i rješavanje sigurnosnih incidenata u kojima su uključeni dobavljači.

Ugovori s dobavljačima uključuju obvezu pravovremene obavijesti o sigurnosnim povredama.

Pratimo financijsku i operativnu stabilnost ključnih dobavljača kako bismo smanjili poslovni rizik.

Po završetku ugovora, osiguravamo brisanje ili povrat naših podataka od dobavljača.

Imamo plan zamjene ili alternative u slučaju da ključni dobavljač prestane pružati usluge.

6 / 10

Nastavak poslovanja i oporavak od katastrofa: Možemo li osigurati kontinuitet i brzi oporavak ključnih procesa?

Imamo formalno dokumentiran plan kontinuiteta poslovanja (BCP) s definiranim prioritetima.

Identificirani su svi resursi i procesi nužni za neometano poslovanje.

Za ključne sustave definiramo Recovery Time Objective (RTO) i Recovery Point Objective (RPO).

Redovito testiramo sigurnosne kopije kako bismo provjerili može li se podacima pristupiti.

Posjedujemo zamjensku ili rezervnu lokaciju za ključne poslovne funkcije.

BCP uključuje protokole komunikacije s djelatnicima, klijentima i partnerima tijekom izvanrednih situacija.

Procjenjujemo rizike od prirodnih nepogoda, prekida napajanja i drugih mogućih katastrofa.

Plan kontinuiteta revidiramo jednom godišnje ili kada se promijene ključni uvjeti poslovanja.

Ključno osoblje prošlo je obuku o svojim odgovornostima tijekom oporavka od incidenta.

Sve naučene lekcije iz stvarnih prekida unose se u BCP radi kontinuiranog poboljšanja.

7 / 10

Otkrivanje incidenata i odgovor: Jesmo li spremni na brzo uočavanje i učinkovito rješavanje sigurnosnih incidenata?

Imamo dokumentiran plan postupanja u slučaju incidenta s jasno definiranim ulogama.

Svi zaposlenici znaju kako prepoznati i prijaviti potencijalni sigurnosni incident.

Formiran je tim za odgovor na incidente koji je dostupan 24/7 ili postoji kontakt za hitne slučajeve.

Ključni sustavi šalju zapise o događajima u centralizirani sustav za nadzor.

Definirani su uvjeti za eskalaciju incidenata prema višem rukovodstvu ili nadležnim tijelima.

Nakon svakog incidenta provodi se detaljna analiza uzroka i unaprjeđenje postupaka.

Redovito provodimo testiranja (primjerice simulacije) incidentnog odgovora.

Utvrdili smo protokole za obavještavanje zaposlenika, korisnika i partnera tijekom krize.

Iskustva iz stvarnih incidenata evidentiraju se i dijele unutar organizacije.

Vodimo sigurnu arhivu zabilježenih incidenata s informacijama o rješavanju i ishodima.

8 / 10

Kontrola pristupa i upravljanje identitetima: Jesu li pristupne ovlasti pravilno uređene i nadzirane?

Primjenjuje se načelo "najmanjih privilegija" pri dodjeli korisničkih prava.

Nove zahtjeve za pristup odobrava nadležni voditelj ili vlasnik sustava.

Pristup se odmah ukida pri odlasku zaposlenika ili promjeni uloge.

Za najkritičnije sustave zahtijeva se višefaktorska autentikacija.

Postoji jasna politika za izradu lozinki (duljina, složenost, periodična promjena).

Minimiziran je broj zajedničkih ili generičkih korisničkih računa.

Redovito provjeravamo i revidiramo postojeće privilegije korisnika.

Administratorski računi odvojeni su od standardnih korisničkih računa.

Pristupni pokušaji se logiraju, a sumnjiva aktivnost se automatski prijavljuje.

Privremeni pristup (npr. za vanjske suradnike) automatski istječe nakon zadanog roka.

9 / 10

Upravljanje rizicima: Prepoznajemo li i procjenjujemo li sve važne rizike u informacijskim sustavima i poslovnim procesima?

Vodimo evidenciju svih kritičnih resursa (sustavi, podaci, usluge) koje moramo zaštititi.

Koristimo dokumentiranu metodologiju za procjenu prijetnji i ranjivosti.

Vjerojatnost i potencijalni utjecaj rizika rangiraju se na temelju jasno definiranih kriterija.

Imamo registar rizika s dodijeljenim odgovornim osobama za svaki identificirani rizik.

Redovito ažuriramo procjenu rizika, barem jednom godišnje ili kod velikih promjena.

Odluke o prihvaćanju, izbjegavanju ili ublažavanju rizika formalno se odobravaju.

Preostali (rezidualni) rizici su jasni i predstavljeni rukovodstvu.

Poduzimamo posebne mjere za najprioritetnije rizike, primjerice kritične ranjivosti.

Procjenjujemo rizike vezane uz vanjske dobavljače i partnere.

Analiziramo moguće najgore scenarije (velike povrede podataka, dugotrajni prekidi usluga).

10 / 10

Upravljanje i nadzor: Jesu li uspostavljene jasne smjernice i odgovornosti za sigurnost i kontinuitet poslovanja?

Postoji formalno dokumentirana politika sigurnosti i kontinuiteta odobrena od najvišeg rukovodstva.

Uloge i odgovornosti za sigurnost definirane su za sve ključne pozicije.

Vrhunsko rukovodstvo redovito preispituje ciljeve i planove vezane za sigurnost.

Imenovana je osoba ili tim za nadzor usklađenosti s internim i eksternim zahtjevima.

Redovito se izvještava o ključnim pokazateljima sigurnosti i rizika (npr. KRI).

Upravljanje sigurnošću redovita je točka sastanaka uprave ili nadzornog odbora.

Postoje jasni postupci za eskalaciju sigurnosnih incidenata i kritičnih problema.

Provedena je unutarnja revizija kako bi se provjerilo ispunjavaju li se zahtjevi politike sigurnosti.

Organizacijska struktura jasno prikazuje tko je odgovoran za sigurnost i kontinuitet.

Sve smjernice, procedure i politike povremeno se revidiraju radi usklađenosti s promjenama u poslovanju.

Vaši podaci (neobavezno)

Ako želite primiti rezultate na svoju email adresu, ispunite podatke.

Ime i PrezimeE-mail

Your score is

By Wordpress Quiz plugin

ISMS Samoprocjena

Vaši podaci (neobavezno)

Poveznice

Usluge

Kontaktirajte nas

Pratite nas

Događanja