C.2 Riadenie bezpečnostných rizík

C.2.1 Úložisko musí udržiavať systematickú analýzu faktorov bezpečnostných rizík spojených s údajmi, systémami, personálom a fyzickou prevádzkou.

Táto podmienka je nevyhnutná pre zabezpečenie služieb pre určené spoločenstvo.
Úložisko by malo vykonávať pravidelné hodnotenie rizík a udržiavať primerané prostriedky na ochranu bezpečnosti s cieľom poskytnúť očakávané a zmluvne zabezpečené služby na potrebnej úrovni podľa najlepšej praxe, akou je napríklad norma ISO 27000. Hodnotenie rizík by malo prebiehať v oblasti personálnej, finančnej, právnej, administratívnej...
Úložisko môže vykonávať celkové posúdenie rizík pomocou takých nástrojov, ako je DRAMBORA.

ikona word  Normy (.docx, 528 kB)

C.2.2 Úložisko musí mať zavedené kontroly, ktoré primerane riešia každé definované bezpečnostné riziko.

Táto podmienka je nutná na zabezpečenie kontrolných mechanizmov.
Úložisko by malo používať najlepšiu prax podľa zoznamu série noriem ISO 27000 - dokumentácia o kontrolných mechanizmoch.

ikona word  Normy (.docx, 528 kB)

C.2.3 Pracovníci úložiska musia mať stanovené úlohy, zodpovednosti a autorizácie vzťahujúce sa k realizácii zmien v systéme.

Toto je nevyhnutné pre zabezpečenie autorizácie.
Úložisko by malo používať najlepšiu prax podľa zoznamu série noriem ISO 27000 - dokumentácia o autorizácii.

ikona word  Organizačná štruktúra CDA (.doc 588 kB)
ikona word  Personálne zabezpečenie CDA (.doc, 706 kB)
ikona word  Určené spoločenstvo CDA (.doc, 629 kB)

C.2.4 Úložisko musí mať vhodný písomný plán pripravenosti na haváriu a obnovy, vrátane najmenej jednej záložnej kópie všetkých uchovávaných informácií uloženej na inom mieste a to spolu s kópiou plánu obnovy, taktiež uloženou na inom mieste.

Toto je nevyhnutné pre zabezpečenie dostatočného zálohovania a obnovy digitálnych objektov.
Úložisko by malo používať najlepšiu prax podľa zoznamu série noriem ISO 27000 - dokumentácia o obnove po havárii, plán udržania kontinuity služieb.