Audyt Bezpieczeństwa NIS2
Odpowiedz na pytania, aby otrzymać ocenę poziomu bezpieczeństwa i rekomendacje.
Postęp
0/40
Posiadasz aktualną mapę lokalizacji przechowywania danych (serwery, chmury, SaaS)
Masz zdefiniowaną klasyfikację wrażliwości (publiczne/wewnętrzne/poufne/krytyczne)
Dane mają przypisanych właścicieli biznesowych
Określono typy danych (osobowe, finansowe, techniczne, własnościowe)
Zdefiniowano RPO/RTO dla każdego typu krytycznych danych
Stosowana jest zasada 3-2-1 (+ immutability dla kopii)
Przeprowadzono i udokumentowano testy restore w ostatnim kwartale
Konta backupowe są odseparowane od głównego AD/SSO
Dane są szyfrowane w spoczynku (at rest) - bazy danych, storage
Dane są szyfrowane w transmisji (in transit) - TLS/SSL dla wszystkich połączeń
Kopie zapasowe są szyfrowane
Funkcjonuje zarządzanie kluczami (lokalizacja kluczy, rotacja)
MFA jest wdrożone dla wszystkich systemów z danymi krytycznymi
Stosowana jest zasada least privilege (minimalne uprawnienia)
Przeprowadzane są regularne przeglądy uprawnień (co 6-12 miesięcy)
Dostępy są natychmiast odbierane przy zmianie roli/odejściu pracownika
Logowane jest kto, kiedy i do jakich danych miał dostęp
Monitorowane są modyfikacje/usunięcia krytycznych danych
Wykrywane są eksporty masowe i nietypowe operacje
Retencja logów wynosi minimum 6-12 miesięcy
Wiesz gdzie fizycznie są przechowywane dane (kraje/regiony)
Kontrolujesz czy dane nie opuszczają UE/EOG (jeśli wymagane)
Masz umowy z dostawcami cloud/SaaS dotyczące lokalizacji danych
Masz prawo do audytu u dostawców
Istnieją procedury retencji danych (jak długo przechowujemy)
Istnieją procedury bezpiecznego usuwania (w tym z backupów)
Funkcjonuje archiwizacja długoterminowa
Dane są anonimizowane w środowiskach dev/test
Są zabezpieczenia przed nieautoryzowanym kopiowaniem danych na zewnątrz
Są zabezpieczenia przed wyciekiem przez email/cloud sharing
Kontrolowany jest dostęp z niezaufanych lokalizacji/urządzeń
Dane produkcyjne nie są udostępniane w środowiskach dev/test
Istnieje procedura na wypadek ransomware (decyzja o płaceniu/odtwarzaniu)
Istnieje procedura na wypadek wycieku danych (kto powiadamia, w jakim czasie)
Istnieje procedura na wypadek utraty integralności danych
Zdefiniowano komunikację z regulatorem/klientami/ubezpieczycielem
Udokumentowano spełnienie wymagań NIS2/DORA (jeśli dotyczy)
Prowadzone są rejestry przetwarzania (RODO)
Podpisano umowy powierzenia z dostawcami
Istnieją dowody testów i ćwiczeń DR (protokoły, wyniki)
Dodaj kontekst swojej firmy
Uzupełnij dane, aby wyniki mogły zostać ocenione w kontekście regulacji NIS2 i DORA. Pola wymagane do obliczenia Wskaźnika Ekspozycji Regulacyjnej oznaczono gwiazdką, pozostałe są opcjonalne. Możesz pominąć ten krok, wówczas kontekst Twojej firmy nie będzie uwzględniony w rekomendacjach.
Czy Wasi klienci lub partnerzy pytają o zgodność z NIS2/DORA?
* Pola wymagane do obliczenia Wskaźnika Ekspozycji Regulacyjnej (WER)