Politica de securitate a informațiilor
Politica de securitate a informațiilor Academiei EITCA
Acest document specifică Politica de securitate a informațiilor (ISP) a Institutului European de Certificare IT, care este revizuită și actualizată în mod regulat pentru a asigura eficacitatea și relevanța acesteia. Ultima actualizare a Politicii de securitate a informațiilor EITCI a fost făcută la 7 ianuarie 2023.
Partea 1. Introducere și Declarație privind politica de securitate a informațiilor
1.1. Introducere
Institutul European de Certificare IT recunoaște importanța securității informațiilor în menținerea confidențialității, integrității și disponibilității informațiilor și a încrederii părților interesate. Ne angajăm să protejăm informațiile sensibile, inclusiv datele personale, împotriva accesului, dezvăluirii, modificării și distrugerii neautorizate. Menținem o politică eficientă de securitate a informațiilor pentru a ne sprijini misiunea de a oferi clienților noștri servicii de certificare fiabile și imparțiale. Politica de securitate a informațiilor subliniază angajamentul nostru de a proteja activele informaționale și de a ne îndeplini obligațiile legale, de reglementare și contractuale. Politica noastră se bazează pe principiile ISO 27001 și ISO 17024, standardele internaționale de top pentru managementul securității informațiilor și standardele operaționale ale organismelor de certificare.
1.2. Declarație de politică
Institutul European de Certificare IT se angajează să:
- Protejarea confidențialității, integrității și disponibilității activelor informaționale,
- Respectarea obligațiilor legale, de reglementare și contractuale legate de securitatea informațiilor și prelucrarea datelor prin implementarea proceselor și operațiunilor sale de certificare,
- Îmbunătățirea continuă a politicii de securitate a informațiilor și a sistemului de management aferent,
- Oferirea de instruire și conștientizare adecvată angajaților, contractorilor și participanților,
- Implicarea tuturor angajaților și contractorilor în implementarea și întreținerea politicii de securitate a informațiilor și a sistemului de management al securității informațiilor aferent.
1.3. domeniu
Această politică se aplică tuturor activelor de informații deținute, controlate sau procesate de Institutul European de Certificare IT. Aceasta include toate activele informaționale digitale și fizice, cum ar fi sistemele, rețelele, software-ul, datele și documentația. Această politică se aplică și tuturor angajaților, contractanților și furnizorilor de servicii terți care accesează activele noastre de informații.
1.4. Conformitate
Institutul European de Certificare IT se angajează să respecte standardele relevante de securitate a informațiilor, inclusiv ISO 27001 și ISO 17024. Revizuim și actualizăm în mod regulat această politică pentru a ne asigura relevanța continuă și conformitatea cu aceste standarde.
Partea 2. Securitate organizațională
2.1. Obiectivele de securitate ale organizației
Prin implementarea măsurilor de securitate organizaționale, ne propunem să ne asigurăm că activele noastre informaționale și practicile și procedurile de prelucrare a datelor sunt efectuate cu cel mai înalt nivel de securitate și integritate și că respectăm reglementările și standardele legale relevante.
2.2. Roluri și responsabilități de securitate a informațiilor
Institutul European de Certificare IT definește și comunică rolurile și responsabilitățile pentru securitatea informațiilor în cadrul organizației. Aceasta include atribuirea unei proprietăți clare pentru activele informaționale în contact cu securitatea informațiilor, stabilirea unei structuri de guvernanță și definirea responsabilităților specifice pentru diferite roluri și departamente din cadrul organizației.
2.3. Managementul riscului
Efectuăm evaluări periodice ale riscurilor pentru a identifica și prioritiza riscurile de securitate a informațiilor pentru organizație, inclusiv riscurile legate de prelucrarea datelor cu caracter personal. Stabilim controale adecvate pentru a atenua aceste riscuri și revizuim și actualizăm în mod regulat abordarea noastră de gestionare a riscurilor pe baza schimbărilor din mediul de afaceri și peisajul amenințărilor.
2.4. Politici și proceduri de securitate a informațiilor
Stabilim și menținem un set de politici și proceduri de securitate a informațiilor care se bazează pe cele mai bune practici din industrie și care respectă reglementările și standardele relevante. Aceste politici și proceduri acoperă toate aspectele securității informațiilor, inclusiv prelucrarea datelor cu caracter personal, și sunt revizuite și actualizate în mod regulat pentru a asigura eficacitatea lor.
2.5. Conștientizare și instruire în materie de securitate
Oferim programe regulate de conștientizare și instruire în materie de securitate tuturor angajaților, contractanților și partenerilor terți care au acces la date personale sau alte informații sensibile. Acest curs acoperă subiecte precum phishingul, ingineria socială, igiena parolelor și alte bune practici de securitate a informațiilor.
2.6. Securitate fizică și de mediu
Implementăm controale adecvate de securitate fizică și de mediu pentru a proteja împotriva accesului neautorizat, a deteriorării sau a interferențelor cu instalațiile și sistemele noastre de informații. Aceasta include măsuri precum controlul accesului, supravegherea, monitorizarea și sistemele de alimentare și de răcire de rezervă.
2.7. Managementul incidentelor de securitate a informațiilor
Am stabilit un proces de management al incidentelor care ne permite să răspundem rapid și eficient la orice incidente de securitate a informațiilor care pot apărea. Aceasta include proceduri de raportare, escaladare, investigare și rezolvare a incidentelor, precum și măsuri pentru prevenirea reapariției și îmbunătățirea capacităților noastre de răspuns la incidente.
2.8. Continuitate operațională și recuperare în caz de dezastru
Am stabilit și testat planuri de continuitate operațională și de recuperare în caz de dezastru care ne permit să ne menținem funcțiile și serviciile operaționale critice în cazul unei întreruperi sau a unui dezastru. Aceste planuri includ proceduri de backup și recuperare a datelor și sistemelor și măsuri pentru asigurarea disponibilității și integrității datelor cu caracter personal.
2.9. Managementul terților
Stabilim și menținem controale adecvate pentru gestionarea riscurilor asociate cu partenerii terți care au acces la date personale sau alte informații sensibile. Aceasta include măsuri precum due diligence, obligații contractuale, monitorizare și audituri, precum și măsuri pentru încetarea parteneriatelor atunci când este necesar.
Partea 3. Securitatea resurselor umane
3.1. Screening pentru angajare
Institutul European de Certificare IT a stabilit un proces de verificare a angajării pentru a se asigura că persoanele cu acces la informații sensibile sunt de încredere și au abilitățile și calificările necesare.
3.2. Controlul accesului
Am stabilit politici și proceduri de control al accesului pentru a ne asigura că angajații au acces doar la informațiile necesare pentru responsabilitățile lor de serviciu. Drepturile de acces sunt revizuite și actualizate în mod regulat pentru a se asigura că angajații au acces doar la informațiile de care au nevoie.
3.3. Conștientizare și instruire în domeniul securității informațiilor
Oferim cursuri de conștientizare a securității informațiilor tuturor angajaților în mod regulat. Acest curs acoperă subiecte precum securitatea parolelor, atacurile de phishing, ingineria socială și alte aspecte ale securității cibernetice.
3.4. Utilizare acceptabilă
Am stabilit o politică de utilizare acceptabilă care subliniază utilizarea acceptabilă a sistemelor și resurselor informaționale, inclusiv a dispozitivelor personale utilizate în scopuri de muncă.
3.5. Securitatea dispozitivelor mobile
Am stabilit politici și proceduri pentru utilizarea în siguranță a dispozitivelor mobile, inclusiv utilizarea codurilor de acces, criptarea și capabilitățile de ștergere de la distanță.
3.6. Proceduri de reziliere
Institutul European de Certificare IT a stabilit proceduri de încetare a angajării sau a contractului pentru a se asigura că accesul la informațiile sensibile este revocat prompt și în siguranță.
3.7. Personalul terților
Am stabilit proceduri pentru gestionarea personalului terților care au acces la informații sensibile. Aceste politici implică screening, controlul accesului și instruire în domeniul securității informațiilor.
3.8. Raportarea incidentelor
Am stabilit politici și proceduri pentru raportarea incidentelor sau preocupărilor legate de securitatea informațiilor către personalul sau autoritățile corespunzătoare.
3.9. Acorduri de confidențialitate
Institutul European de Certificare IT cere angajaților și contractorilor să semneze acorduri de confidențialitate pentru a proteja informațiile sensibile împotriva dezvăluirii neautorizate.
3.10. Actiuni disciplinare
Institutul European de Certificare IT a stabilit politici și proceduri pentru acțiuni disciplinare în cazul încălcărilor politicii de securitate a informațiilor de către angajați sau contractori.
Partea 4. Evaluarea și managementul riscurilor
4.1. Evaluarea riscurilor
Efectuăm evaluări periodice ale riscurilor pentru a identifica potențialele amenințări și vulnerabilități la adresa activelor noastre informaționale. Folosim o abordare structurată pentru a identifica, analiza, evalua și prioritiza riscurile în funcție de probabilitatea și impactul potențial al acestora. Evaluăm riscurile asociate cu activele noastre informaționale, inclusiv sisteme, rețele, software, date și documentație.
4.2. Tratamentul riscului
Folosim un proces de tratare a riscurilor pentru a atenua sau reduce riscurile la un nivel acceptabil. Procesul de tratare a riscurilor include selectarea controalelor adecvate, implementarea controalelor și monitorizarea eficacității controalelor. Prioritizează implementarea controalelor în funcție de nivelul de risc, resursele disponibile și prioritățile de afaceri.
4.3. Monitorizarea și revizuirea riscurilor
Monitorizăm și revizuim în mod regulat eficacitatea procesului nostru de gestionare a riscurilor pentru a ne asigura că rămâne relevant și eficient. Folosim metrici și indicatori pentru a măsura performanța procesului nostru de gestionare a riscurilor și pentru a identifica oportunitățile de îmbunătățire. De asemenea, revizuim procesul nostru de gestionare a riscurilor ca parte a revizuirilor noastre periodice de management pentru a ne asigura continuitatea adecvarea, adecvarea și eficacitatea acestuia.
4.4. Planificarea răspunsului la risc
Avem un plan de răspuns la risc pentru a ne asigura că putem răspunde eficient oricăror riscuri identificate. Acest plan include proceduri pentru identificarea și raportarea riscurilor, precum și procese pentru evaluarea impactului potențial al fiecărui risc și determinarea acțiunilor de răspuns adecvate. De asemenea, avem planuri de urgență în vigoare pentru a asigura continuitatea activității în cazul unui eveniment de risc semnificativ.
4.5. Analiza impactului operațional
Efectuăm periodic analize de impact asupra afacerii pentru a identifica impactul potențial al perturbărilor asupra operațiunilor noastre de afaceri. Această analiză include o evaluare a criticității funcțiilor, sistemelor și datelor noastre de afaceri, precum și o evaluare a impactului potențial al întreruperilor asupra clienților noștri, angajaților și altor părți interesate.
4.6. Managementul riscului de la terți
Avem un program de gestionare a riscurilor de la terți pentru a ne asigura că furnizorii noștri și alți furnizori de servicii terți gestionează riscurile în mod corespunzător. Acest program include verificări de due diligence înainte de a interacționa cu terți, monitorizarea continuă a activităților terților și evaluări periodice ale practicilor terțelor de gestionare a riscurilor.
4.7. Răspuns și management la incident
Avem un plan de gestionare și răspuns la incident pentru a ne asigura că putem răspunde eficient la orice incidente de securitate. Acest plan include proceduri pentru identificarea și raportarea incidentelor, precum și procese pentru evaluarea impactului fiecărui incident și determinarea acțiunilor de răspuns adecvate. De asemenea, avem un plan de continuitate a afacerii pentru a ne asigura că funcțiile critice ale afacerii pot continua în cazul unui incident semnificativ.
Partea 5. Securitatea fizică și de mediu
5.1. Perimetrul de securitate fizică
Am stabilit măsuri de securitate fizică pentru a proteja sediul fizic și informațiile sensibile împotriva accesului neautorizat.
5.2. Controlul accesului
Am stabilit politici și proceduri de control al accesului pentru sediul fizic pentru a ne asigura că numai personalul autorizat are acces la informații sensibile.
5.3. Securitatea echipamentelor
Ne asigurăm că toate echipamentele care conțin informații sensibile sunt securizate fizic, iar accesul la acest echipament este limitat numai personalului autorizat.
5.4. Eliminare sigură
Am stabilit proceduri pentru eliminarea în siguranță a informațiilor sensibile, inclusiv documente pe hârtie, suporturi electronice și hardware.
5.5. Mediul fizic
Ne asigurăm că mediul fizic al incintei, inclusiv temperatura, umiditatea și iluminatul, este adecvat pentru protecția informațiilor sensibile.
5.6. Alimentare electrică
Ne asigurăm că sursa de alimentare a sediului este fiabilă și protejată împotriva întreruperilor de curent sau a supratensiunii.
5.7. Protecția împotriva incendiilor
Am stabilit politici și proceduri de protecție împotriva incendiilor, inclusiv instalarea și întreținerea sistemelor de detectare și stingere a incendiilor.
5.8. Protecție împotriva daunelor de apă
Am stabilit politici și proceduri pentru protejarea informațiilor sensibile împotriva daunelor cauzate de apă, inclusiv instalarea și întreținerea sistemelor de detectare și prevenire a inundațiilor.
5.9. Întreținerea echipamentului
Am stabilit proceduri pentru întreținerea echipamentelor, inclusiv inspecția echipamentelor pentru semne de manipulare sau acces neautorizat.
5.10. Utilizare acceptabilă
Am stabilit o politică de utilizare acceptabilă care subliniază utilizarea acceptabilă a resurselor fizice și a instalațiilor.
5.11. Acces la distanță
Am stabilit politici și proceduri pentru accesul de la distanță la informații sensibile, inclusiv utilizarea de conexiuni securizate și criptare.
5.12. Monitorizare și Supraveghere
Am stabilit politici și proceduri de monitorizare și supraveghere a spațiilor fizice și a echipamentelor pentru a detecta și preveni accesul neautorizat sau manipularea.
Parte. 6. Securitatea comunicațiilor și operațiunilor
6.1. Managementul securității rețelei
Am stabilit politici și proceduri pentru gestionarea securității rețelei, inclusiv utilizarea de firewall-uri, sisteme de detectare și prevenire a intruziunilor și audituri regulate de securitate.
6.2. Transfer de informații
Am stabilit politici și proceduri pentru transferul securizat de informații sensibile, inclusiv utilizarea de criptare și protocoale securizate de transfer de fișiere.
6.3. Comunicații cu terțe părți
Am stabilit politici și proceduri pentru schimbul securizat de informații sensibile cu organizații terțe, inclusiv utilizarea de conexiuni și criptare sigure.
6.4. Manipularea media
Am stabilit proceduri pentru manipularea informațiilor sensibile în diferite forme de suport, inclusiv documente pe hârtie, suporturi electronice și dispozitive portabile de stocare.
6.5. Dezvoltarea și întreținerea sistemelor informaționale
Am stabilit politici și proceduri pentru dezvoltarea și întreținerea sistemelor informaționale, inclusiv utilizarea practicilor de codificare securizate, actualizări regulate de software și gestionarea corecțiilor.
6.6. Protecție împotriva programelor malware și a virușilor
Am stabilit politici și proceduri pentru protejarea sistemelor de informații împotriva programelor malware și virușilor, inclusiv utilizarea de software antivirus și actualizări regulate de securitate.
6.7. Backup și restaurare
Am stabilit politici și proceduri pentru copierea de rezervă și restaurarea informațiilor sensibile pentru a preveni pierderea sau corupția datelor.
6.8. Gestionarea evenimentelor
Am stabilit politici și proceduri pentru identificarea, investigarea și rezolvarea incidentelor și evenimentelor de securitate.
6.9. Managementul vulnerabilităților
Am stabilit politici și proceduri pentru gestionarea vulnerabilităților sistemului informațional, inclusiv utilizarea evaluărilor regulate ale vulnerabilităților și gestionarea corecțiilor.
6.10. Controlul accesului
Am stabilit politici și proceduri pentru gestionarea accesului utilizatorilor la sistemele de informații, inclusiv utilizarea controalelor de acces, autentificarea utilizatorilor și revizuiri regulate de acces.
6.11. Monitorizare și înregistrare
Am stabilit politici și proceduri pentru monitorizarea și înregistrarea activităților sistemului informațional, inclusiv utilizarea pistelor de audit și înregistrarea incidentelor de securitate.
Partea 7. Achiziția, dezvoltarea și întreținerea sistemelor informaționale
7.1. cerinţe
Am stabilit politici și proceduri pentru identificarea cerințelor sistemului informațional, inclusiv cerințele de afaceri, cerințele legale și de reglementare și cerințele de securitate.
7.2. Relații cu furnizorii
Am stabilit politici și proceduri pentru gestionarea relațiilor cu furnizorii terți de sisteme și servicii informaționale, inclusiv evaluarea practicilor de securitate ale furnizorilor.
7.3. Dezvoltarea sistemului
Am stabilit politici și proceduri pentru dezvoltarea securizată a sistemelor informaționale, inclusiv utilizarea practicilor de codare sigure, testarea regulată și asigurarea calității.
7.4. Testarea sistemului
Am stabilit politici și proceduri pentru testarea sistemelor informaționale, inclusiv testarea funcționalității, testarea performanței și testarea securității.
7.5. Acceptarea sistemului
Am stabilit politici și proceduri pentru acceptarea sistemelor de informații, inclusiv aprobarea rezultatelor testelor, evaluări de securitate și testare de acceptare a utilizatorilor.
7.6. Întreținerea sistemului
Am stabilit politici și proceduri pentru întreținerea sistemelor de informații, inclusiv actualizări regulate, corecții de securitate și copii de siguranță ale sistemului.
7.7. Retragerea sistemului
Am stabilit politici și proceduri pentru retragerea sistemelor informaționale, inclusiv eliminarea în siguranță a hardware-ului și a datelor.
7.8. Păstrarea datelor
Am stabilit politici și proceduri pentru păstrarea datelor în conformitate cu cerințele legale și de reglementare, inclusiv stocarea și eliminarea în siguranță a datelor sensibile.
7.9. Cerințe de securitate pentru sistemele informaționale
Am stabilit politici și proceduri pentru identificarea și implementarea cerințelor de securitate pentru sistemele de informații, inclusiv controlul accesului, criptarea și protecția datelor.
7.10. Medii de dezvoltare sigure
Am stabilit politici și proceduri pentru mediile de dezvoltare securizate pentru sistemele informaționale, inclusiv utilizarea practicilor de dezvoltare securizate, controale de acces și configurații de rețea securizate.
7.11. Protecția mediului de testare
Am stabilit politici și proceduri pentru protecția mediilor de testare pentru sistemele informaționale, inclusiv utilizarea de configurații securizate, controale de acces și testare regulată de securitate.
7.12. Principii de inginerie a sistemelor securizate
Am stabilit politici și proceduri pentru implementarea principiilor de inginerie a sistemelor securizate pentru sistemele informaționale, inclusiv utilizarea arhitecturilor de securitate, modelarea amenințărilor și practicile de codare sigură.
7.13. Ghid de codificare sigură
Am stabilit politici și proceduri pentru implementarea ghidurilor de codare sigură pentru sistemele informaționale, inclusiv utilizarea standardelor de codare, revizuirea codului și testarea automată.
Partea 8. Achiziția hardware
8.1. Respectarea Standardelor
Aderăm la standardul ISO 27001 pentru sistemul de management al securității informațiilor (ISMS) pentru a ne asigura că activele hardware sunt achiziționate în conformitate cu cerințele noastre de securitate.
8.2. Evaluarea riscurilor
Evaluăm riscurile înainte de a achiziționa active hardware pentru a identifica potențiale riscuri de securitate și pentru a ne asigura că hardware-ul selectat îndeplinește cerințele de securitate.
8.3. Selectia furnizorilor
Achiziționăm active hardware numai de la furnizori de încredere care au o experiență dovedită în furnizarea de produse sigure. Examinăm politicile și practicile de securitate ale furnizorului și le solicităm să ofere asigurarea că produsele lor îndeplinesc cerințele noastre de securitate.
8.4. Transport sigur
Ne asigurăm că activele hardware sunt transportate în siguranță la sediul nostru pentru a preveni manipularea, deteriorarea sau furtul în timpul transportului.
8.5. Verificarea autenticității
Verificăm autenticitatea activelor hardware la livrare pentru a ne asigura că nu sunt contrafăcute sau modificate.
8.6. Controale fizice și de mediu
Implementăm controale fizice și de mediu adecvate pentru a proteja activele hardware de accesul neautorizat, furt sau deteriorare.
8.7. Instalare hardware
Ne asigurăm că toate activele hardware sunt configurate și instalate în conformitate cu standardele și liniile directoare de securitate stabilite.
8.8. Recenzii de hardware
Efectuăm revizuiri periodice ale activelor hardware pentru a ne asigura că acestea continuă să îndeplinească cerințele noastre de securitate și că sunt la zi cu cele mai recente corecții și actualizări de securitate.
8.9. Eliminarea hardware-ului
Dispunem de activele hardware într-un mod sigur pentru a preveni accesul neautorizat la informațiile sensibile.
Partea 9. Protecția împotriva programelor malware și a virușilor
9.1. Politica de actualizare software
Menținem software-ul de protecție antivirus și malware actualizat pe toate sistemele de informații utilizate de Institutul European de Certificare IT, inclusiv servere, stații de lucru, laptopuri și dispozitive mobile. Ne asigurăm că software-ul de protecție antivirus și malware este configurat să își actualizeze automat fișierele de definiție a virușilor și versiunile de software în mod regulat și că acest proces este testat în mod regulat.
9.2. Scanare antivirus și malware
Efectuăm scanări regulate ale tuturor sistemelor de informații, inclusiv servere, stații de lucru, laptopuri și dispozitive mobile, pentru a detecta și elimina orice viruși sau programe malware.
9.3. Politica fără dezactivare și fără modificare
Implementăm politici care interzic utilizatorilor să dezactiveze sau să modifice software-ul de protecție antivirus și malware pe orice sistem de informații.
9.4. Monitorizarea
Monitorizăm alertele și jurnalele software-ului nostru antivirus și de protecție împotriva programelor malware pentru a identifica orice incidente de infecții cu viruși sau malware și răspundem la astfel de incidente în timp util.
9.5. Menținerea înregistrărilor
Menținem înregistrări ale configurației, actualizărilor și scanărilor software-ului de protecție antivirus și malware, precum și orice incidente de infecții cu viruși sau malware, în scopuri de audit.
9.6. Recenzii de software
Efectuăm revizuiri periodice ale software-ului nostru de protecție antivirus și malware pentru a ne asigura că îndeplinește standardele actuale ale industriei și este adecvat nevoilor noastre.
9.7. Instruire și conștientizare
Oferim programe de instruire și conștientizare pentru a educa toți angajații cu privire la importanța protecției împotriva virușilor și a programelor malware și asupra modului de recunoaștere și raportare a oricăror activități sau incidente suspecte.
Partea 10. Managementul activelor informaționale
10.1. Inventarul activelor informaționale
Institutul European de Certificare IT menține un inventar al activelor informaționale care include toate activele informaționale digitale și fizice, cum ar fi sistemele, rețelele, software-ul, datele și documentația. Clasificăm activele informaționale în funcție de criticitatea și sensibilitatea lor pentru a ne asigura că sunt implementate măsurile de protecție adecvate.
10.2. Gestionarea activelor informaționale
Implementăm măsuri adecvate pentru a proteja activele informaționale pe baza clasificării acestora, inclusiv confidențialitatea, integritatea și disponibilitatea. Ne asigurăm că toate activele informaționale sunt gestionate în conformitate cu legile, reglementările și cerințele contractuale aplicabile. De asemenea, ne asigurăm că toate activele informaționale sunt stocate, protejate și eliminate în mod corespunzător atunci când nu mai sunt necesare.
10.3. Proprietatea activelor informaționale
Atribuim proprietatea asupra activelor informaționale persoanelor sau departamentelor responsabile cu gestionarea și protejarea activelor informaționale. Ne asigurăm, de asemenea, că proprietarii de active de informații își înțeleg responsabilitățile și responsabilitățile pentru protejarea activelor de informații.
10.4. Protecția activelor informaționale
Folosim o varietate de măsuri de protecție pentru a proteja activele informaționale, inclusiv controale fizice, controale de acces, criptare și procese de backup și recuperare. De asemenea, ne asigurăm că toate activele informaționale sunt protejate împotriva accesului, modificării sau distrugerii neautorizate.
Partea 11. Controlul accesului
11.1. Politica de control al accesului
Institutul European de Certificare IT are o Politică de Control al Accesului care subliniază cerințele pentru acordarea, modificarea și revocarea accesului la activele informaționale. Controlul accesului este o componentă critică a sistemului nostru de management al securității informațiilor și îl implementăm pentru a ne asigura că numai persoanele autorizate au acces la activele noastre informaționale.
11.2. Implementarea controlului accesului
Implementăm măsuri de control al accesului bazate pe principiul cel mai mic privilegiu, ceea ce înseamnă că persoanele fizice au acces doar la activele informaționale necesare îndeplinirii funcțiilor lor de muncă. Folosim o varietate de măsuri de control al accesului, inclusiv autentificare, autorizare și contabilitate (AAA). De asemenea, folosim liste de control al accesului (ACL) și permisiuni pentru a controla accesul la activele de informații.
11.3. Politica parolelor
Institutul European de Certificare IT are o Politică privind parolele care subliniază cerințele pentru crearea și gestionarea parolelor. Avem nevoie de parole puternice care au cel puțin 8 caractere, cu o combinație de litere mari și mici, cifre și caractere speciale. De asemenea, solicităm modificări periodice ale parolelor și interzicem reutilizarea parolelor anterioare.
11.4. Gestionarea utilizatorilor
Avem un proces de gestionare a utilizatorilor care include crearea, modificarea și ștergerea conturilor de utilizator. Conturile de utilizator sunt create pe baza principiului celui mai mic privilegiu, iar accesul este acordat numai la activele informaționale necesare îndeplinirii funcțiilor de muncă ale individului. De asemenea, examinăm în mod regulat conturile de utilizator și eliminăm conturile care nu mai sunt necesare.
Partea 12. Managementul incidentelor de securitate a informațiilor
12.1. Politica de management al incidentelor
Institutul European de Certificare IT are o Politică de management al incidentelor care subliniază cerințele pentru detectarea, raportarea, evaluarea și răspunsul la incidente de securitate. Definim incidentele de securitate ca orice eveniment care compromite confidențialitatea, integritatea sau disponibilitatea activelor sau sistemelor de informații.
12.2. Detectarea și raportarea incidentelor
Implementăm măsuri pentru a detecta și raporta cu promptitudine incidentele de securitate. Folosim o varietate de metode pentru a detecta incidentele de securitate, inclusiv sisteme de detectare a intruziunilor (IDS), software antivirus și raportarea utilizatorilor. De asemenea, ne asigurăm că toți angajații sunt la curent cu procedurile de raportare a incidentelor de securitate și încurajăm raportarea tuturor incidentelor suspectate.
12.3. Evaluare și răspuns la incident
Avem un proces de evaluare și de răspuns la incidentele de securitate în funcție de gravitatea și impactul acestora. Prioritizează incidentele pe baza impactului lor potențial asupra activelor sau sistemelor informaționale și alocam resurse adecvate pentru a le răspunde. Avem, de asemenea, un plan de răspuns care include proceduri pentru identificarea, reținerea, analizarea, eradicarea și recuperarea în urma incidentelor de securitate, precum și notificarea părților relevante și efectuarea de analize post-incident. Procedurile noastre de răspuns la incident sunt concepute pentru a asigura un răspuns rapid și eficient. la incidente de securitate. Procedurile sunt revizuite și actualizate în mod regulat pentru a asigura eficacitatea și relevanța lor.
12.4. Echipa de răspuns la incident
Avem o echipă de răspuns la incidente (IRT) care este responsabilă cu răspunsul la incidentele de securitate. IRT este compus din reprezentanți ai diferitelor unități și este condus de responsabilul pentru securitatea informațiilor (ISO). IRT este responsabil de evaluarea severității incidentelor, de limitarea incidentului și de inițierea procedurilor de răspuns adecvate.
12.5. Raportarea și revizuirea incidentelor
Am stabilit proceduri de raportare a incidentelor de securitate către părțile relevante, inclusiv clienți, autorități de reglementare și agenții de aplicare a legii, conform cerințelor legilor și reglementărilor aplicabile. De asemenea, menținem comunicarea cu părțile afectate pe tot parcursul procesului de răspuns la incident, oferind actualizări în timp util cu privire la starea incidentului și orice acțiuni întreprinse pentru a-i atenua impactul. De asemenea, efectuăm o revizuire a tuturor incidentelor de securitate pentru a identifica cauza principală și pentru a preveni incidentele similare să apară în viitor.
Partea 13. Managementul continuității afacerii și recuperarea în caz de dezastru
13.1. Planificarea continuității afacerii
Deși Institutul European de Certificare IT este o organizație non-profit, acesta are un Plan de Continuitate a Afacerii (BCP) care conturează procedurile pentru asigurarea continuității operațiunilor sale în cazul unui incident perturbator. BCP acoperă toate procesele de operare critice și identifică resursele necesare pentru a menține operațiunile în timpul și după un incident perturbator. De asemenea, prezintă procedurile pentru menținerea operațiunilor de afaceri în timpul unei întreruperi sau dezastre, evaluând impactul întrerupțiilor, identificând cele mai critice procese de operare în contextul unui anumit incident perturbator și dezvoltării procedurilor de răspuns și recuperare.
13.2. Planificarea recuperării în caz de dezastru
Institutul European de Certificare IT are un Plan de recuperare în caz de dezastru (DRP) care conturează procedurile pentru recuperarea sistemelor noastre informaționale în cazul unei întreruperi sau a unui dezastru. DRP include proceduri pentru backupul datelor, restaurarea datelor și recuperarea sistemului. DRP este testat și actualizat în mod regulat pentru a asigura eficacitatea acestuia.
13.3. Analiza impactului asupra afacerii
Efectuăm o analiză a impactului asupra afacerii (BIA) pentru a identifica procesele operaționale critice și resursele necesare pentru menținerea acestora. BIA ne ajută să prioritizăm eforturile noastre de recuperare și să alocam resursele în consecință.
13.4. Strategia de continuitate a afacerii
Pe baza rezultatelor BIA, dezvoltăm o strategie de continuitate a afacerii care conturează procedurile de răspuns la un incident perturbator. Strategia include proceduri pentru activarea BCP, restabilirea proceselor operaționale critice și comunicarea cu părțile interesate relevante.
13.5. Testare și întreținere
Testăm și menținem în mod regulat BCP și DRP pentru a ne asigura eficacitatea și relevanța. Efectuăm teste regulate pentru a valida BCP/DRP și pentru a identifica zonele de îmbunătățire. De asemenea, actualizăm BCP și DRP după cum este necesar pentru a reflecta schimbările în operațiunile noastre sau peisajul amenințărilor. Testarea include exerciții de masă, simulări și testarea în direct a procedurilor. De asemenea, ne revizuim și ne actualizăm planurile pe baza rezultatelor testelor și a lecțiilor învățate.
13.6. Site-uri alternative de procesare
Menținem site-uri alternative de procesare online care pot fi utilizate pentru a continua operațiunile de afaceri în cazul unei întreruperi sau a unui dezastru. Site-urile de procesare alternative sunt echipate cu infrastructurile și sistemele necesare și pot fi utilizate pentru a susține procesele critice de afaceri.
Partea 14. Conformitate și audit
14.1. Respectarea legilor și reglementărilor
Institutul European de Certificare IT se angajează să respecte toate legile și reglementările aplicabile legate de securitatea și confidențialitatea informațiilor, inclusiv legile privind protecția datelor, standardele din industrie și obligațiile contractuale. Ne revizuim și ne actualizăm în mod regulat politicile, procedurile și controalele pentru a ne asigura că respectăm toate cerințele și standardele relevante. Principalele standarde și cadre pe care le urmăm în contextul securității informațiilor includ:
- Standardul ISO/IEC 27001 care oferă linii directoare pentru implementarea și gestionarea unui sistem de management al securității informațiilor (ISMS) care include managementul vulnerabilităților ca componentă cheie. Acesta oferă un cadru de referință pentru implementarea și menținerea sistemului nostru de management al securității informațiilor (ISMS), inclusiv managementul vulnerabilităților. În conformitate cu aceste prevederi standard, identificăm, evaluăm și gestionăm riscurile de securitate a informațiilor, inclusiv vulnerabilitățile.
- Cadrul de securitate cibernetică al Institutului Național de Standarde și Tehnologie din SUA (NIST) care oferă linii directoare pentru identificarea, evaluarea și gestionarea riscurilor de securitate cibernetică, inclusiv managementul vulnerabilităților.
- Cadrul de securitate cibernetică al Institutului Național de Standarde și Tehnologie (NIST) pentru îmbunătățirea managementului riscului de securitate cibernetică, cu un set de bază de funcții, inclusiv managementul vulnerabilităților, la care aderăm pentru a ne gestiona riscurile de securitate cibernetică.
- Controalele critice de securitate SANS care conțin un set de 20 de controale de securitate pentru îmbunătățirea securității cibernetice, acoperind o serie de domenii, inclusiv gestionarea vulnerabilităților, oferind îndrumări specifice privind scanarea vulnerabilităților, gestionarea corecțiilor și alte aspecte ale managementului vulnerabilităților.
- Standardul de securitate a datelor din industria cardurilor de plată (PCI DSS), care necesită gestionarea informațiilor despre cardul de credit în ceea ce privește gestionarea vulnerabilităților în acest context.
- Centrul de control al securității pe Internet (CIS), inclusiv gestionarea vulnerabilităților ca unul dintre controalele cheie pentru a asigura configurații sigure ale sistemelor noastre de informații.
- Proiectul Open Web Application Security (OWASP), cu topul său Top 10 al celor mai critice riscuri de securitate a aplicațiilor web, inclusiv evaluarea vulnerabilităților, cum ar fi atacurile prin injecție, autentificarea întreruptă și gestionarea sesiunilor, cross-site scripting (XSS) etc. Folosim OWASP Top 10 pentru a prioritiza eforturile noastre de gestionare a vulnerabilităților și pentru a se concentra pe cele mai critice riscuri în ceea ce privește sistemele noastre web.
14.2. Audit intern
Efectuăm audituri interne regulate pentru a evalua eficiența Sistemului nostru de management al securității informațiilor (ISMS) și pentru a ne asigura că politicile, procedurile și controalele noastre sunt respectate. Procesul de audit intern include identificarea neconformităților, dezvoltarea acțiunilor corective și urmărirea eforturilor de remediere.
14.3. Audit extern
Ne angajăm periodic cu auditori externi pentru a valida conformitatea noastră cu legile, reglementările și standardele din industrie aplicabile. Oferim auditorilor acces la facilitățile, sistemele și documentația noastră, după cum este necesar, pentru a valida conformitatea noastră. De asemenea, lucrăm cu auditori externi pentru a aborda orice constatări sau recomandări identificate în timpul procesului de audit.
14.4. Monitorizarea conformității
Ne monitorizăm conformitatea cu legile, reglementările și standardele din industrie aplicabile în mod continuu. Folosim o varietate de metode pentru a monitoriza conformitatea, inclusiv evaluări periodice, audituri și analize ale furnizorilor terți. De asemenea, revizuim și actualizăm în mod regulat politicile, procedurile și controalele noastre pentru a asigura conformitatea continuă cu toate cerințele relevante.
Partea 15. Managementul terților
15.1. Politica de gestionare a terților
Institutul European de Certificare IT are o Politică de management al terților care subliniază cerințele pentru selectarea, evaluarea și monitorizarea furnizorilor terți care au acces la activele sau sistemele noastre de informații. Politica se aplică tuturor furnizorilor terți, inclusiv furnizorilor de servicii cloud, vânzătorilor și contractanților.
15.2. Selecția și evaluarea terților
Efectuăm diligența necesară înainte de a ne angaja cu furnizori terți pentru a ne asigura că aceștia dispun de controale de securitate adecvate pentru a ne proteja activele sau sistemele de informații. De asemenea, evaluăm conformitatea furnizorilor terți cu legile și reglementările aplicabile legate de securitatea și confidențialitatea informațiilor.
15.3. Monitorizare terță parte
Monitorizăm furnizorii terți în mod continuu pentru a ne asigura că aceștia continuă să îndeplinească cerințele noastre de securitate și confidențialitate a informațiilor. Folosim o varietate de metode pentru a monitoriza furnizorii terți, inclusiv evaluări periodice, audituri și revizuiri ale rapoartelor de incidente de securitate.
15.4. Cerințe Contractuale
Includem cerințe contractuale legate de securitatea și confidențialitatea informațiilor în toate contractele cu furnizorii terți. Aceste cerințe includ prevederi pentru protecția datelor, controale de securitate, managementul incidentelor și monitorizarea conformității. De asemenea, includem prevederi pentru rezilierea contractelor în cazul unui incident de securitate sau nerespectare.
Partea 16. Securitatea informațiilor în procesele de certificare
16.1 Securitatea proceselor de certificare
Luăm măsuri adecvate și sistemice pentru a asigura securitatea tuturor informațiilor legate de procesele noastre de certificare, inclusiv a datelor personale ale persoanelor care solicită certificare. Aceasta include controale pentru acces, stocare și transmitere a tuturor informațiilor legate de certificare. Prin implementarea acestor măsuri, ne propunem să ne asigurăm că procesele de certificare sunt desfășurate cu cel mai înalt nivel de securitate și integritate și că datele personale ale persoanelor care solicită certificarea sunt protejate în conformitate cu reglementările și standardele relevante.
16.2. Autentificare și autorizare
Folosim controale de autentificare și autorizare pentru a ne asigura că numai personalul autorizat are acces la informațiile de certificare. Controalele de acces sunt revizuite și actualizate în mod regulat pe baza schimbărilor în rolurile și responsabilitățile personalului.
16.3. Protejarea datelor
Protejăm datele personale pe tot parcursul procesului de certificare prin implementarea măsurilor tehnice și organizatorice adecvate pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor. Aceasta include măsuri precum criptarea, controalele accesului și backup-urile regulate.
16.4. Securitatea proceselor de examinare
Asigurăm securitatea proceselor de examinare prin implementarea măsurilor adecvate pentru prevenirea înșelăciunii, monitorizarea și controlul mediului de examinare. De asemenea, menținem integritatea și confidențialitatea materialelor de examinare prin proceduri de depozitare în siguranță.
16.5. Securitatea conținutului examenului
Asigurăm securitatea conținutului de examinare prin implementarea măsurilor adecvate pentru a proteja împotriva accesului neautorizat, modificării sau dezvăluirii conținutului. Aceasta include utilizarea stocării securizate, a criptării și a controalelor de acces pentru conținutul examinării, precum și controale pentru prevenirea distribuției sau diseminării neautorizate a conținutului examinării.
16.6. Securitatea livrării examenului
Asigurăm securitatea livrării examinării prin implementarea măsurilor adecvate pentru a preveni accesul neautorizat la mediul de examinare sau manipularea acestuia. Aceasta include măsuri precum monitorizarea, auditul și controlul mediului de examinare și abordări specifice de examinare, pentru a preveni înșelăciunea sau alte încălcări de securitate.
16.7. Securitatea rezultatelor examenului
Asigurăm securitatea rezultatelor examinării prin implementarea măsurilor adecvate pentru a proteja împotriva accesului neautorizat, modificării sau dezvăluirii rezultatelor. Aceasta include utilizarea stocării securizate, a criptării și a controalelor de acces pentru rezultatele examinării, precum și controale pentru prevenirea distribuției sau diseminării neautorizate a rezultatelor examinării.
16.8. Securitatea emiterii certificatelor
Asigurăm securitatea emiterii certificatelor prin implementarea măsurilor adecvate pentru prevenirea fraudei și eliberării neautorizate de certificate. Aceasta include controale pentru verificarea identității persoanelor care primesc certificate și procedurile de stocare și emitere în siguranță.
16.9. Plângeri și contestații
Am stabilit proceduri pentru gestionarea reclamațiilor și contestațiilor legate de procesul de certificare. Aceste proceduri includ măsuri pentru a asigura confidențialitatea și imparțialitatea procesului, precum și securitatea informațiilor legate de plângeri și contestații.
16.10. Managementul calitatii proceselor de certificare
Am stabilit un Sistem de Management al Calității (QMS) pentru procesele de certificare care include măsuri pentru asigurarea eficacității, eficienței și securității proceselor. SMC include audituri și revizuiri regulate ale proceselor și controalelor de securitate ale acestora.
16.11. Îmbunătățirea continuă a securității proceselor de certificare
Ne angajăm să îmbunătățim continuă procesele noastre de certificare și controalele de securitate ale acestora. Aceasta include revizuiri și actualizări periodice ale politicilor și procedurilor legate de certificare, bazate pe schimbările din mediul de afaceri, cerințele de reglementare și cele mai bune practici în managementul securității informațiilor, în conformitate cu standardul ISO 27001 pentru managementul securității informațiilor, precum și cu ISO. 17024 organisme de certificare standard de operare.
Partea 17. Dispoziții de închidere
17.1. Revizuirea și actualizarea politicii
Această politică de securitate a informațiilor este un document viu care este supus unor revizuiri și actualizări continue bazate pe modificări ale cerințelor noastre operaționale, cerințelor de reglementare sau bunelor practici în managementul securității informațiilor.
17.2. Monitorizarea conformității
Am stabilit proceduri pentru monitorizarea conformității cu această Politică de securitate a informațiilor și controalele de securitate aferente. Monitorizarea conformității include audituri regulate, evaluări și revizuiri ale controalelor de securitate și eficacitatea acestora în atingerea obiectivelor acestei politici.
17.3. Raportarea incidentelor de securitate
Am stabilit proceduri pentru raportarea incidentelor de securitate legate de sistemele noastre informatice, inclusiv cele legate de datele personale ale persoanelor fizice. Angajații, contractanții și alte părți interesate sunt încurajați să raporteze orice incident de securitate sau incidente suspectate echipei de securitate desemnată cât mai curând posibil.
17.4. Instruire și conștientizare
Oferim programe regulate de instruire și conștientizare angajaților, contractorilor și altor părți interesate pentru a ne asigura că sunt conștienți de responsabilitățile și obligațiile lor legate de securitatea informațiilor. Aceasta include instruire privind politicile și procedurile de securitate și măsurile de protecție a datelor cu caracter personal ale persoanelor.
17.5. Responsabilitate și responsabilitate
Tragem toți angajații, contractanții și alte părți interesate responsabili și răspunzători pentru respectarea acestei Politici de securitate a informațiilor și a controalelor de securitate aferente. De asemenea, tragem responsabilitatea conducerii pentru a ne asigura că sunt alocate resurse adecvate pentru implementarea și menținerea unor controale eficiente de securitate a informațiilor.
Această politică de securitate a informațiilor este o componentă critică a cadrului de management al securității informațiilor al Institutului European de Certificare IT și demonstrează angajamentul nostru de a proteja activele informaționale și datele procesate, asigurând confidențialitatea, confidențialitatea, integritatea și disponibilitatea informațiilor și respectarea cerințelor de reglementare și contractuale.