Eelmine
Edasi

Dialoogi alustamine digitaalse ehitatud varade turvalisuse kohta

Peamised küsimused, millele vastust tuleks otsida

Järgmised küsimused on mõeldud vastuse saamiseks organisatsiooni turvajuhi ja organisatsiooni ehitatud varade haldamise eest vastutavate inimeste vahelise arutelu raames.

  • Kas ehitatud vara on tervikuna või osaliselt tundlik vara?
  • Kes vastutab ehitatud vara ja varainfoga seotud turvanõustamise eest?
  • Kas projekti finantseerija on küsinud turvanõuannet?
  • Millist teavet omab organisatsioon, selle nõustajad, konsultandid ja/või töövõtjad seoses tundlike ehitatud varadega?
  • Seoses varainfoga:
    • kui ajakohane on teave;
    • kas detailsuse tase kujutab endast turvariski;
    • millisele teabele on avatud juurdepääs või kättesaadav avalike allikate kaudu, kui üldse;
    • kus seda hoitakse ja töödeldakse;
    • kas andmete loomine, kasutamine, salvestamine või töötlemine toimub väljaspool EU majanduspiirkonda ja kui jah, siis kus;
    • kellel on sellele juurdepääs;
    • millised juurdepääsuõigused neil on (loomine, lugemine, värskendamine ja kustutamine);
    • millised eeskirjad, protsessid ja protseduurid on selle teabe haldamise ja turvalisuse osas kehtestatud;
    • millised eeskirjad, protsessid ja protseduurid on kehtestatud varainfo juurdepääsu haldamiseks?
  • Kes vastutab varainfo infohalduse ja infoturbe eest?
  • Kui organisatsioonil on mitu ehitatud vara, kuidas pääseb ligi kogu organisatsiooni varainfole?
  • Kas nutiseadmetes luuakse, salvestatakse, vaadatakse või töödeldakse varainfot ja milliseid turvameetmeid selle kaitsmiseks (kui üldse) kasutatakse?
  • Kui nõustajad, konsultandid ja/või töövõtjad hoiavad või kasutavad varainfot, siis millistes kohtades on informatsioon kättesaadav?
  • Kui olemasolevaid varasid on skaneeritud või mõõdistatud:
    • Kellel on juurdepääs skaneerimisandmetele;
    • Kus seda kasutatakse, hoitakse ja töödeldakse;
    • Kuidas toimub andmete edastamine osaliste vahel?
    • Milliseid meetmeid on võetud või võeti kasutusele tundlike andmete kustutamiseks mõõdistusseadmetest? 
  • Kas mõni IT-süsteem, mis salvestab, töötleb või kuvab varainfot, on juurdepääsetav väljastpoolt organisatsiooni? Kui jah, siis millised meetmed on kasutusele võetud, et vältida volitamata juurdepääsu süsteemidele?
  • Millist teavet (kui üldse) on naabervaraomanikele organisatsiooni varade kohta edastatud?
  • Kui teave on edastatud naabervaraomanikele:
    • millist teavet esitati;
    • millal seda edastati;
    • mis eesmärgil seda edastati;
    • millised piirangud teabe kasutamisele või avaldamisele kehtestati, kui neid oli;
    • milliseid kaitsemeetmeid teabe saamiseks nõuti, kui neid oli vaja;
    • kas need kaitsemeetmed on kasutusele võetud?
  • Kas on olemas riskijuhtimisstrateegia, mis hõlmab järgmist:
    • hinnang ehitatud vara turvariskidele, sealhulgas varainfoga seotud riskidele;
    • kokkulepitud leevendusmeetmed;
    • jääkriskide loetelu, mis on vastavuses organisatsiooni riskiisuga?
  • Millist teavet, kui seda on, on naabervaraomanikelt otsitud ja saadud?
  • Kui teave on saadud naabervaraomanikelt:
    • millist teavet esitati;
    • kas teave, nii palju kui see on mõistlikult teada, on endiselt ajakohane;
    • millised piirangud teabe kasutamisele või avaldamisele kehtestati, kui neid oli;
    • milliseid kaitsemeetmeid teabe saamiseks nõuti, kui neid oli vaja;
    • kas need kaitsemeetmed on kasutusele võetud?
  • Millised strateegiad ja juhtimiskavad (kui üldse) on paigas ja kuidas need ühtivad standardi EN ISO 19650-5 nõuetega?

Eelmine
Edasi