*> DEKRA TISAX. Bezpieczeństwo informacji w przemyśle motoryzacyjnym. Po bezpiecznej stronie.

Podobne dokumenty
WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Szkolenie otwarte 2016 r.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Normalizacja dla bezpieczeństwa informacyjnego

Promotor: dr inż. Krzysztof Różanowski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Dwie szkoły oceny 360 stopni. Sprawdź różnicę pomiędzy klasycznym a nowoczesnym podejściem

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

ISO bezpieczeństwo informacji w organizacji

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

CEL SZKOLENIA: DO KOGO SKIEROWANE JEST SZKOLENIE:

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Wprowadzenie do Kaspersky Value Added Services for xsps

Grupa DEKRA w Polsce Cyberbezpieczeństwo. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA

V Ogólnopolska Konferencja nt. Systemów Zarządzania w Energetyce. Forum ISO INEM Polska. Polskie Forum ISO INEM Polska

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Grupa DEKRA w Polsce. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA

Umowa użytkownika. 1. Uprawnienia. 2. Logowanie do platformy szkoleń elektronicznych

Egzamin ITIL Foundation

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

KOMPLEKSOWE ROZWIĄZANIA W OBSZARZE BEZPIECZEŃSTWA MASZYN

Reforma ochrony danych osobowych RODO/GDPR

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

ISO w Banku Spółdzielczym - od decyzji do realizacji

Program Wiarygodne Opinie 1 / 27

Szczegółowe informacje o kursach

Bezpieczeństwo dziś i jutro Security InsideOut

eschenker: Nowa generacja technologii TSL Schenker Sp. z o.o. Zespół DBSCHENKERinfo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Zarządzanie Jakością. System jakości jako narzędzie zarządzania przedsiębiorstwem. Dr Mariusz Maciejczak

Ochrona biznesu w cyfrowej transformacji

ZASADY OCHRONY DANYCH OSOBOWYCH W WITRYNIE INTERNETOWEJ FIRMY ENERVENT ZEHNDER OY

Harmonogram szkoleń otwartych 2015

Umowa na przetwarzanie danych

Zaawansowane usługi identyfikacji na przykładzie projektu Centralnego Systemu Identyfikacji Uczestników Meczów Piłki Nożnej PWPW S.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

produkować, promować i sprzedawać produkty, zarządzać i rozliczać przedsięwzięcia, oraz komunikować się wewnątrz organizacji.

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Krzysztof Świtała WPiA UKSW

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Marcin Soczko. Agenda

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

Xopero Backup Appliance

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Automatyzacja procesów księgowych w Twojej firmie

Audyt RODO dla firm szkoleniowych i szkoleniowo-doradczych Opis usługi

ISO Matrix - e-iso dla Twojej firmy

epuap Opis standardowych elementów epuap

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

conjectmi Dane bezpieczeństwa technicznego

SIŁA PROSTOTY. Business Suite

VENDIO SPRZEDAŻ kompleksowa obsługa sprzedaży. dcs.pl Sp. z o.o. vendio.dcs.pl info@dcs.pl Warszawa,

Kompleksowe Przygotowanie do Egzaminu CISMP

Egzamin za szkolenia Audytor wewnętrzny ISO nowy zawód, nowe perspektywy z zakresu normy ISO 9001, ISO 14001, ISO 27001

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi

Deklaracja stosowania

Wstęp do zarządzania projektami

2016 Proget MDM jest częścią PROGET Sp. z o.o.

ISO nowy standard bezpieczeństwa. CryptoCon,

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

ZASADY PROGRAMU CERTYFIKAT CHRONIMY DANE OSOBOWE

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Deklaracja stosowania

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Platforma Cognos. Agata Tyma CMMS Department Marketing & Sales Specialist atyma@aiut.com.pl AIUT Sp. z o. o.

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Model biznesowy to w pewnym sensie szkic strategii, która ma zostać wdrożona w ramach struktur, procesów i systemów organizacji.

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

TÜVRheinland Polska. Niezgodności w dokumentowaniu systemów zarządzania bezpieczeństwem

Polityka Bezpieczeństwa dla Dostawców

Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO w Dzierżoniowie. Warszawa 8 maja 2013 r.

TRUDNE AUDYTY. Czy zawsze wiesz, o co pytać podczas audytów wewnętrznych? warsztaty doskonalące dla audytorów wewnętrznych. Tematy warsztatów:

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Zapytanie ofertowe nr OR

Transkrypt:

*> TISAX Bezpieczeństwo informacji w przemyśle motoryzacyjnym (1) Informacje podstawowe (2) Kogo to dotyczy? (3) TISAX to więcej niż techniczna lista kontrolna (4) TISAX w czterech krokach (5) Zakres audytu (6) Na jakim jesteś poziomie? (7) Wynik oceny (8) Opis przypadku Etykieta oceny: Dowód bezpiecznego udostępniania informacji w łańcuchu dostaw w branży motoryzacyjnej. Sektor motoryzacyjny stanowi jeden z najbardziej złożonych łańcuchów dostaw w każdej branży. Producenci i klienci wymagają, aby dane, których dostarczają lub które udostępniają, były dobrze chronione. W całym łańcuchu dostaw należy zagwarantować solidne, odporne na ataki i porównywalne poziomy bezpieczeństwa informacji - i to nie tylko podczas współpracy nad prototypami. Dostarczenie wiarygodnych dowodów staje się kluczowym warunkiem wstępnym pozostania lub stania się częścią łańcucha dostaw. Model TISAX na początku 2017 roku wprowadziły Stowarzyszenia ENX i VDA, aby ułatwić weryfikację bezpieczeństwa informacji między producentami, dostawcami i usługodawcami w branży motoryzacyjnej. TISAX oznacza Trusted Information Security Assessment Exchange, czyli Bezpieczną Wymianę Informacji. Platforma TISAX oszczędza czas i pieniądze. Pozwala uniknąć podwójnego i wielokrotnego sprawdzania bezpieczeństwa informacji korporacyjnych. Audytowana firma sama decyduje z kim będzie dzielić uzyskane wyniki. Rejestracja w TISAX zwiększa świadomość problemów bezpieczeństwa wśród pracowników i pomaga chronić aktywa własne firmy. Zarejestrowane firmy mogą korzystać z platformy aby zapewnić, że ich dostawcy i usługodawcy również spełniają wymagany poziom bezpieczeństwa informacji. Strona 1/ 7

(1) Tło Standard testowania i wymiany TISAX oparty jest na liście kontrolnej VDA ISA i standardzie ISO 27001. Lista kontrolna do przeprowadzenia samooceny była wykorzystywana wewnętrznie przez firmy członkowskie w ostatnich latach, także do przeprowadzania audytów dostawców i usługodawców. Jednak w praktyce często oznaczało to, że usługodawcy i dostawcy wielokrotnie przetwarzali poufne informacje, czasami w krótkich odstępach czasu. Doprowadziło to do opracowania modelu TISAX do wzajemnego uznawania ocen bezpieczeństwa informacji między różnymi dostawcami w branży motoryzacyjnej. Dzięki temu standard audytu może być stosowany nie tylko w firmach, ale także w różnych branżach. Nie są wymagane żadne dodatkowe listy kontrolne dla danej firmy. (2) Kogo to dotyczy? Wdrożenie TISAX jest korzystne dla producentów, dostawców i usługodawców, którzy przetwarzają poufne informacje w ramach działalności w branży motoryzacyjnej na wszystkich etapach łańcucha dostaw. Dostawcy w branży motoryzacyjnej muszą w regularnych odstępach czasu udowadniać, że spełniają wysokie wymagania w zakresie bezpieczeństwa informacji. W większości przypadków odbywa się to na podstawie katalogu wymagań VDA ISA (ISA - Information Security Assessment/Ocena Bezpieczeństwa Informacji). Obustronnie akceptowany i kontrolowany poziom bezpieczeństwa informacji w branży chroni również wewnętrzne informacje dostawców i zapewnia klientów, że ich wrażliwe informacje są przetwarzane z należytą starannością. Od styczna 2017 roku w TISAX zarejestrowało się 1000 firm w ponad 1500 lokalizacjach w 32 krajach, przeprowadzono ponad 500 audytów. Rysunek 1: Model VISA TISAX. Źródło: opracowanie własne na podstawie VDA (2017, https://www.vda.de/de/search-re- sults.html?q=tisax+modell) Stowarzyszenie ENX prowadzi platformę wymiany TISAX. VDA nadała jej status neutralnego organu. Strona 2/ 7

(3) TISAX to więcej niż techniczna lista kontrolna Biorąc pod uwagę, że początkowe rozdziały wszystkich norm ISO mają taką samą strukturę (wysoki poziom), katalog TISAX ISA (z odniesieniami do ISO 27001) zawiera również podstawowe wymagania dotyczące zarządzania jakością określone w ISO 9001:2015. Solidne systemy zarządzania bezpieczeństwem IT oparte są głównie na zasadach zarządzania jakością, w szczególności na wymaganych środkach organizacyjnych w zarządzaniu jakością (QM). Stąd firmy, które biorą udział w TISAX, budują podstawy dla późniejszej certyfikacji ISO 27001. (4) TISAX w czterech krokach 1. Określenie zakresu i poziomu oceny oraz rejestracja firmy na platformie TISAX 2. Wybór dostawcy usług audytowych 3. Ocena (na podstawie listy kontrolnej VDA ISA) statusu firmy w zakresie bezpieczeństwa informacji, w tym analiza dokumentów, wywiady, audyty wewnętrzne 4. Wyniki audytu są przekazywane do platformy TISAX. Udostępnianie raportu z oceny i audytu następuje po uzyskaniu zgody kontrolowanej firmy: http://enx.com/tisax/ (5) Zakres audytu Narzędzie do audytu i wymiany informacji jest katalogiem wymogów ISA (Information Security Assessment) opracowanym przez VDA. Eliminuje to szczególne wymagania (w niektórych przypadkach specjalne katalogi wymagań) głównych producentów samochodów. Ocena opiera się na podstawowej kontroli "bezpieczeństwa informacji" i może zostać rozszerzona o opcjonalne moduły "Linki do osób trzecich", "Ochrona danych" i "Ochrona prototypów". Katalog wymagań ISA wykorzystuje obszerną tabelę Excel, zawierającą różne kategorie audytu opisujące proces, jaki muszą przejść firmy, aby określić własny poziom dojrzałości, np. w odniesieniu do "bezpieczeństwa informacji" (audyt podstawowy). Zacznij od oceny bezpieczeństwa informacji VDA zaleca rozpoczęcie samooceny za pomocą arkusza kalkulacyjnego "Bezpieczeństwo informacji". Lista pytań obejmuje 52 zagadnienia bezpieczeństwa (pytania kontrolne), które firmy powinny wykorzystać do uzyskania kompleksowego przeglądu własnego statusu bezpieczeństwa informacji. Każdemu z tematów przydzielany jest poziom wykonania (od 0 do 5) stanowiący część ogólnej oceny. Katalog wymagań wymaga wysokiego stopnia wdrożenia i dojrzałości w firmie, zwłaszcza w odniesieniu do następujących tematów bezpieczeństwa: Uświadomienie i szkolenie pracowników Treść środków podnoszących świadomość powinna obejmować ustalenia z incydentów związanych z bezpieczeństwem informacji. Rejestracja użytkownika Wspólne konta nie powinny być używane lub używane tylko w wyjątkowych przypadkach, Strona 3/ 7

ponieważ utrudniają one przypisanie poszczególnych czynności do użytkownika. Zarządzanie zmianą Wysoka jakość procesu zarządzania zmianami prowadzi do niskiego poziomu błędów we wdrażanych zmianach, a tym samym przyczynia się do bezpiecznego działania. Zabezpieczenie przed złośliwym oprogramowaniem Posiadanie najnowszych sygnatur wirusów jest warunkiem wstępnym do skutecznego zabezpieczenia punktów końcowych. Kopie zapasowe Jakość kopii zapasowych danych musi być zapewniona przez ich sprawdzanie. Środki obejmują np. kopie bezpieczeństwa danych, przywracanie systemu. Zarządzanie poprawkami Szybka instalacja poprawek (patches) wzmacnia systemy i aplikacje, a tym samym zmniejsza luki w zabezpieczeniach w oprogramowaniu operacyjnym. Przetwarzanie incydentów związanych z bezpieczeństwem informacji Incydenty związane z bezpieczeństwem informacji muszą być traktowane priorytetowo - i obsługiwane - odpowiednio w oparciu o poziom ich krytyczności. Inne, podstawowe punkty kontrole to: Polityka bezpieczeństwa informacji Bezpieczeństwo informacji w projektach Urządzenia mobilne Strefy bezpieczeństwa Środki ochronne przy dostawach i wysyłkach Rejestrowanie zdarzeń Usługi sieciowe Umowy o poufności (ND) Wymagania dotyczące systemu zamówień publicznych Bezpieczeństwo w procesie tworzenia oprogramowania Pomiary Parametrów Gwarantowanych Strona 4/ 7

(6) Na jakim jesteś poziomie? Wdrożenie wymagań VDA ISA jest oceniane przy pomocy różnych poziomów dojrzałości. W zależności od znaczenia punktu kontrolnego, docelowe poziomy dojrzałości różnią się od poziomu 2 do poziomu 4. Jednak przy szczególnie ważnych wymaganiach niezbędne jest osiągnięcie poziomu dojrzałości 3 lub 4. Poziom 0: Niekompletne wdrożenie wymagań. Nie ma takiego procesu lub proces nie osiąga wymaganych wyników. Poziom 1: Wymagania dotyczące ochrony informacji zostały spełnione. Proces istnieje i zostało udowodnione, że działa. Jednak nie jest on w pełni udokumentowany. Dlatego nie można zagwarantować, że zawsze będzie działać. Poziom 2: Proces osiągania celu jest zarządzany. Jest udokumentowany i dostarczana jest dokumentacja. Poziom 3: Proces zmierzający do osiągnięcia celu został ustalony, procesy są ze sobą powiązane, aby zidentyfikować wszelkie zależności. Dokumentacja jest aktualna i jest przechowywana. Wymagania poziomu 3. Ponadto wyniki są mierzone (np. KPI/kluczowe Poziom 4: wskaźniki wydajności), dzięki czemu proces jest przewidywalny. Poziom 5: Wymagania poziomu 4. Ponadto do optymalizacji wykorzystywane są dalsze zasoby (np. personel i pieniądze). Proces podlega ciągłemu doskonaleniu. (7) Wynik oceny Wyniki ocen na podstawie list kontrolnych są podsumowane w formie przeglądu i są wstępnie sformatowane do druku. VDA opracowała w skróconej formie diagramów pajęczych przegląd 52 zagadnień związanych z bezpieczeństwem pojawiających się w podstawowych audytach bezpieczeństwa informacji, które przedstawiają określone poziomy dojrzałości dla odpowiednich 52 zagadnień z dziedziny bezpieczeństwa oraz wszelkich odchyleń od kontrolnych punktów docelowych. Poważne odchylenia krytyczne od docelowego poziomu dojrzałości są wyświetlane na czerwono przy użyciu systemu sygnalizacji świetlnej. "W ogólnym wyniku, wyniki dla punktów kontrolnych, które przekraczają docelowy poziom dojrzałości są pomijane przy obliczaniu średniej. Gwarantuje to, że wymagania są spełniane w różnych dziedzinach i nie występuje kompensacja nadmiernie wysokich i niedostatecznych wyników dla punktów kontrolnych" zgodnie z uwagami VDA odnośnie katalogów wymagań audytowych. Strona 5/ 7

(8) Historia przypadku Dostawca prostych, mechanicznych komponentów motoryzacyjnych wypełnił katalog wymagań audytowych VDA ISA na poziomie podstawowego audytu "Bezpieczeństwa informacji". Dostawca określił poziom dojrzałości dla każdego z 52 zagadnień bezpieczeństwa (18 głównych tematów), analizując dokumenty, przeprowadzając wywiady i audyty wewnętrzne. Poniższy schemat przedstawia ogólny osiągnięty wynik i odchylenia od docelowego poziomu dojrzałości. Wynik ogólny: 2,49 Maksymalna możliwa ocena 3,00 Rysunek 2: Ocena bezpieczeństwa informacji. Źródło: własny wykres oparty na VDA (2017, https://www.vda.de/de/services/publikationen/information-security-assessment.html) 17 Bezpieczeństwo informacji aspekty zarządzania ciągłością działań biznesowych 16 Zarządzanie zdarzeniami w zakresie bezpieczeństwa informacji 18 Zgodność 1 ISMS 5 Polityka bezpieczeństwa informacji 6 Organizacja bezpieczeństwa informacji 7 Bezpieczeństwo zasobów ludzkich 8 Zarządzanie aktywami 15 Relacje z dostawcami 9 Kontrola dostępu 14 Pozyskiwanie, rozwój i utrzymanie systemu 13 Bezpieczeństwo komunikacji 12 Bezpieczeństwo operacyjne 10 Kryptografia 11 Bezpieczeństwo fizyczne i bezpieczeństwo środowiska o Wynik Poziom docelowy Strona 6/ 7

Ocena wykazała, między innymi, niedostateczną dojrzałość (osiągnięty poziom jest pokazany na czerwono) w następujących centralnych punktach audytu (patrz strona 7). Te niskie poziomy zgodności są również odzwierciedlone na diagramie pajęczym dla kategorii ISMS (1), organizacji polityki bezpieczeństwa informacji (6) i kontroli dostępu (9). Twój partner jest uprawniona do audytu firm przetwarzających wrażliwe informacje dla przemysłu motoryzacyjnego w oparciu o standard TISAX. Audyt jest ważny przez trzy lata. Uczestnictwo w TISAX i otrzymanie oceny otwiera nowe możliwości uzyskania kontraktów dla firm. Wsparcie: od planowania TISAX do raportu z audytu Główny punkt kontaktu, szybki czas reakcji Dodatkowa certyfikacja ISO 27001 pomoże Ci stać się niezawodnym partnerem dla Twoich klientów. Rejestracja użytkownika 3 1 Organizacje muszą zdefiniować politykę, która będzie odzwierciedlać wagę i znaczenie bezpieczeństwa informacji. Powinna uwzględniać strategię biznesową, przepisy, prawa i wszelkie potencjalne zagrożenia dla bezpieczeństwa informacji. Urządzenie mobilne 3 0 Korzystanie z urządzeń mobilnych - zwłaszcza w niechronionych środowiskach - niesie ze sobą zwiększone ryzyko (np. utraty, kradzieży, zainfekowania złośliwym oprogramowaniem). Należy podjąć techniczne środki ochronne, aby zapewnić ochronę informacji przechowywanych na urządzeniach. Ponadto należy uświadomić pracownikom niebezpieczeństwa związane z korzystaniem z urządzeń mobilnych. Rejestracja użytkownika 4 2 Korzystanie z unikalnych i spersonalizowanych identyfikatorów użytkowników (kont użytkowników) zapewnia łatwą identyfikację działań. Dane logowania (takie jak hasła) powinny być znane tylko autoryzowanemu użytkownikowi. Cykl życia kont użytkowników powinien obejmować zdefiniowane procesy. Należy regularnie sprawdzać potrzebę posiadania kont przez istniejących użytkowników. KONTAKT W PRZYPADKU DALSZYCH PYTAŃ Karsten Fischer Menedżer ds. Kluczowych Klientów w zakresie bezpieczeństwa cybernetycznego Tel. +49.2394.242058 E-Mail karsten.fischer@dekra.com GmbH Handwerkstraße 15 70565 Stuttgart Telefon +49.711.7861-2566 Fax +49.711.7861-2615 E-Mail certification.de@dekra.com www.dekra-certification.de Strona 7/ 7

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres