Previous
Next

Establishing a dialogue about the security of digital built assets

Questions to consider

Järgmised küsimused on mõeldud vastuse saamiseks organisatsiooni turvajuhi ja organisatsiooni ehitatud varade haldamise eest vastutavate inimeste vahelise arutelu raames.

  • Kas ehitatud vara on tervikuna või osaliselt tundlik vara?
  • Kes vastutab ehitatud vara ja varainfoga seotud turvanõustamise eest?
  • Kas projekti finantseerija on küsinud turvanõuannet?
  • Millist teavet omab organisatsioon, selle nõustajad, konsultandid ja/või töövõtjad seoses tundlike ehitatud varadega?
  • Seoses varainfoga:
    • kui ajakohane on teave;
    • kas detailsuse tase kujutab endast turvariski;
    • millisele teabele on avatud juurdepääs või kättesaadav avalike allikate kaudu, kui üldse;
    • kus seda hoitakse ja töödeldakse;
    • kas andmete loomine, kasutamine, salvestamine või töötlemine toimub väljaspool EU majanduspiirkonda ja kui jah, siis kus;
    • kellel on sellele juurdepääs;
    • millised juurdepääsuõigused neil on (loomine, lugemine, värskendamine ja kustutamine);
    • millised eeskirjad, protsessid ja protseduurid on selle teabe haldamise ja turvalisuse osas kehtestatud;
    • millised eeskirjad, protsessid ja protseduurid on kehtestatud varainfo juurdepääsu haldamiseks?
  • Kes vastutab varainfo infohalduse ja infoturbe eest?
  • Kui organisatsioonil on mitu ehitatud vara, kuidas pääseb ligi kogu organisatsiooni varainfole?
  • Kas nutiseadmetes luuakse, salvestatakse, vaadatakse või töödeldakse varainfot ja milliseid turvameetmeid selle kaitsmiseks (kui üldse) kasutatakse?
  • Kui nõustajad, konsultandid ja/või töövõtjad hoiavad või kasutavad varainfot, siis millistes kohtades on informatsioon kättesaadav?
  • Kui olemasolevaid varasid on skaneeritud või mõõdistatud:
    • Kellel on juurdepääs skaneerimisandmetele;
    • Kus seda kasutatakse, hoitakse ja töödeldakse;
    • Kuidas toimub andmete edastamine osaliste vahel?
    • Milliseid meetmeid on võetud või võeti kasutusele tundlike andmete kustutamiseks mõõdistusseadmetest? 
  • Kas mõni IT-süsteem, mis salvestab, töötleb või kuvab varainfot, on juurdepääsetav väljastpoolt organisatsiooni? Kui jah, siis millised meetmed on kasutusele võetud, et vältida volitamata juurdepääsu süsteemidele?
  • Millist teavet (kui üldse) on naabervaraomanikele organisatsiooni varade kohta edastatud?
  • Kui teave on edastatud naabervaraomanikele:
    • millist teavet esitati;
    • millal seda edastati;
    • mis eesmärgil seda edastati;
    • millised piirangud teabe kasutamisele või avaldamisele kehtestati, kui neid oli;
    • milliseid kaitsemeetmeid teabe saamiseks nõuti, kui neid oli vaja;
    • kas need kaitsemeetmed on kasutusele võetud?
  • Kas on olemas riskijuhtimisstrateegia, mis hõlmab järgmist:
    • hinnang ehitatud vara turvariskidele, sealhulgas varainfoga seotud riskidele;
    • kokkulepitud leevendusmeetmed;
    • jääkriskide loetelu, mis on vastavuses organisatsiooni riskiisuga?
  • Millist teavet, kui seda on, on naabervaraomanikelt otsitud ja saadud?
  • Kui teave on saadud naabervaraomanikelt:
    • millist teavet esitati;
    • kas teave, nii palju kui see on mõistlikult teada, on endiselt ajakohane;
    • millised piirangud teabe kasutamisele või avaldamisele kehtestati, kui neid oli;
    • milliseid kaitsemeetmeid teabe saamiseks nõuti, kui neid oli vaja;
    • kas need kaitsemeetmed on kasutusele võetud?
  • Millised strateegiad ja juhtimiskavad (kui üldse) on paigas ja kuidas need ühtivad standardi EN ISO 19650-5 nõuetega?

Previous
Next