1. Strategia rozwoju środowiska IT

• Czy określono priorytety i kryteria, według których są podejmowane decyzje zakupowe (bieżące potrzeby, wymagania określone przez dostawców oprogramowania/usług, wymiana zużytego sprzętu, życzenia pracowników itd.)?

• Jakie znaczenie w wyborze rozwiązań IT ma cena?

• Czy weryfikowana jest kompatybilność nabywanych rozwiązań IT z już posiadanymi?

2. Dobór wdrażanego u klienta sprzętu do jego potrzeb

• Czy wybierane urządzenia są przystosowane do pracy w środowisku biznesowym, czy analizowane są takie parametry jak wydajność, gotowość do pracy pod dużym obciążeniem?

• Czy warunki napraw gwarancyjnych lub wymiany sprzętu w przypadku awarii są korzystne dla firmy?

• Czy podejmując decyzje zakupowe, rozpoczęto działania w celu zminimalizowania liczby dostawców, ujednolicenia rozwiązań w firmie i zapewnienia zgodności nabywanych narzędzi z już posiadanymi (np. o wyborze kolejnego urządzenia zaważyła możliwość stosowania tych samych materiałów eksploatacyjnych)?

3. Zarządzanie środowiskiem IT

• Jak często dokonywany jest skrupulatny przegląd wykorzystywanych rozwiązań IT i oprogramowania?

• Czy są ustalone procedury, zgodnie z którymi pracownicy
zgłaszają awarie lub wątpliwości dotyczące np. bezpieczeństwa danych?

• Czy firma korzysta z zewnętrznych konsultantów ds. IT?

4. Zarządzanie serwerami

• Jaką strategię przetwarzania danych przyjęto w firmie (czy korzysta z serwerów fizycznych, wirtualnych czy chmury)?

• Czy dla każdego serwera przyjęto politykę administracji (obejmującą aktualizację oprogramowania, backup, serwis) i postępowania w przypadku wystąpienia problemów?

• Czy zatrudniony jest informatyk, który może przeciwdziałać problemom w razie ich wystąpienia?

5. Wdrażanie oprogramowania dla nowych pracowników oraz nowych aplikacji

• Czy jest zatrudniona osoba odpowiedzialna za instalację oprogramowania, jego konfigurację, aktualizację itp.?

• Czy przyjęto politykę aktualizowania oprogramowania i wdrożono narzędzia wspierające ten proces?

• Czy wykorzystywane jest oprogramowanie w modelu chmurowym (Software as a Service)?

6. Dostosowanie użytkowanych przez klienta aplikacji do potrzeb biznesowych

• Czy rozważano zlecenie opracowania oprogramowania spełniającego konkretne potrzeby przedsiębiorstwa?

• Czy zatrudnieni są doświadczeni pracownicy, którzy potrafią samodzielnie opracować np. makro dla dokumentów pakietu biurowego? Czy ich doświadczenie jest wystarczające, aby uniknąć ryzyka utraty spójności danych w wyniku zautomatyzowania w ten sposób niektórych zadań?

• Czy były prowadzone analizy kosztu użytkowania oprogramowania oraz czasu, przez który może być stosowane (jak szybko jego funkcje przestaną wystarczać przedsiębiorstwu, kiedy nie będą już odpowiadać realiom rynkowym lub zapewniać zgodności np. z obowiązującym prawem)?

 
7. Analiza ryzyka biznesowego związanego z niedostępnością rozwiązań IT

• Czy dokonano podziału systemów IT na krytyczne, ważne i drugorzędne? Czy oceniono, przez jaki czas dany system może być niedostępny i z jakimi konsekwencjami dla firmy to się wiąże?

• Czy oceniono ryzyko wystąpienia różnego rodzaju katastrof i innych negatywnych zjawisk (pożaru, powodzi, zalania budynku, włamania z kradzieżą), które mogłyby wpłynąć na niedostępność systemów IT lub utratę danych?

• Czy przedsiębiorstwo obowiązuje jakieś prawo (ogólne lub branżowe) nakazujące szczególną dbałość o poufność danych lub dostępność wybranych zasobów IT?

8. Ochrona przed skutkami katastrof

• Czy zostały opracowane, przetestowane (!) i wprowadzone w życie procedury postępowania na wypadek wystąpienia awarii lub katastrofy skutkującej niedostępnością lub utratą danych?

• Czy w wyniku testów usprawiono środowisko IT (zainstalowano zasilacze UPS, zapewniono sprzęt zastępczy, opracowano politykę backupu i replikacji danych itp.)?

• Czy wskazano osoby odpowiedzialne za zarządzanie w momencie wystąpienia katastrofy? Czy są wyznaczeni ich zastępcy?

9. Fizyczne bezpieczeństwo zasobów IT i danych

• Czy strategiczne zasoby IT (serwery, pamięci masowe, osprzęt sieciowy, nośniki z kopiami zapasowymi) są dodatkowo chronione (przez umieszczenie w zamkniętym pomieszczeniu, zainstalowanie kamer monitoringu itp.)?

• Czy zapewniono właściwe zasilanie (UPS-y, ewentualnie zapasowa linia energetyczna) oraz klimatyzację w serwerowni?

• Czy jest wyznaczona osoba odpowiedzialna za fizyczne bezpieczeństwo zasobów IT i danych, wywożenie kopii zapasowych z siedziby firmy itp.?

10. Zgodność z przepisami

• Czy zarząd i pracownicy mają świadomość, że podejmowane przez nich działania z wykorzystaniem narzędzi IT mogą być regulowane prawnie?

• Czy kiedykolwiek były prowadzone analizy aktów prawnych, które mogą dotyczyć firmy w kontekście przetwarzania posiadanych danych?

• Czy opracowano własny kodeks postępowania, zawierający m.in. regulacje niewystępujące w przepisach prawnych, którym podlega firma? Czy pracownicy zostali zaznajomieni z tym dokumentem?

11. Ochrona przed cyberzagrożeniami

• Czy firma korzysta z oprogramowania antywirusowego i innych rozwiązań ochronnych (np. UTM)? Czy są opracowane i egzekwowane zasady ich aktualizacji?

• Czy wyznaczono osobę, której pracownicy zgłaszają incydenty naruszenia bezpieczeństwa?

• Czy prowadzone są regularne szkolenia dla obecnych i nowych pracowników dotyczące zasad bezpieczeństwa IT?

12. Polityka dostępu do zasobów IT

• Czy zostały opracowane zasady przydzielania dostępu do przechowywanych centralnie danych, tworzenia haseł, częstotliwości ich zmian itd.?

• Czy wyznaczono osobę uprawnioną do podejmowania decyzji w kwestiach spornych?

• Czy pracownicy zostali przeszkoleni w zakresie obowiązujących zasad bezpieczeństwa (takich jak zakaz przekazywania danych dostępowych innym osobom)?

 
13. Zarządzanie licencjami oprogramowania

• Czy wdrożone jest narzędzie do zarządzania licencjami oprogramowania?

• Czy prowadzone były audyty realizowane przez zewnętrzną firmę?

• Czy zarząd i pracownicy zostali poinformowani o konsekwencjach korzystania z nielegalnego oprogramowania?

14. Centralne przechowywanie danych

• Czy została opracowana strategia centralnego przechowywania danych, ich lokalizacji w sieciowych folderach i przydzielania uprawnień do odczytu i zapisu zarówno dla grup, jak i indywidualnych użytkowników?

• Czy opracowano zasady, zgodnie z którymi systematycznie weryfikowane są uprawnienia dostępu?

• Czy pracownicy mają zgodę na przesyłanie firmowych danych na chmurowe serwisy, np. Dropbox, WeTransfer?

15. Polityka backupu i archiwizacji danych

• Czy w polityce bezpieczeństwa uwzględniono kwestie związane z wykonywaniem kopii zapasowych i archiwizowaniem danych? Czy ustalono sposób podziału zabezpieczonych danych ze względu na ich rodzaj, a także określono sposób ich kopiowania oraz czas retencji?

• Jak często prowadzona jest weryfikacja poprawności wykonania backupu oraz możliwości odtworzenia danych z kopii zapasowej i archiwum?

• Czy sprawdzono, jakie regulacje prawne wpływają na politykę prowadzenia archiwizacji danych w firmie?

16. Szkolenia użytkowników

• Czy przyjęty został harmonogram kursów dla nowych użytkowników i szkoleń odświeżających dla pozostałych?

• Czy co pewien czas weryfikowane są umiejętności użytkowników bądź sprawdzany jest sposób reakcji na symulowane zagrożenia bezpieczeństwa (np. phishing)?

• Czy są opracowane i udostępniane dokumenty z podstawowymi instrukcjami obsługi stosowanego w przedsiębiorstwie sprzętu i oprogramowania?

17. Rozwiązywanie problemów z zewnętrznymi dostawcami usług

• Z jakiego rodzaju usług zewnętrznych związanych z IT korzysta firma (z dostępu do Internetu, aplikacji web, backupu online, współużytkowania dokumentów itp.)?

• Czy została stworzona lista danych osób wyznaczonych do kontaktu lub numerów infolinii operatorów usług? Czy zawiera ona informacje ułatwiające zidentyfikowanie usługobiorcy (ID usługi, właściciel kontraktu itp.)?

• Czy ustalono, kto i na czyje zlecenie zgłasza ewentualny problem operatorowi usługi?