Politika varnosti informacij
Politika informacijske varnosti Akademije EITCA
Ta dokument določa politiko informacijske varnosti (ISP) Evropskega certifikacijskega inštituta za IT, ki se redno pregleduje in posodablja, da se zagotovi njena učinkovitost in ustreznost. Zadnja posodobitev politike informacijske varnosti EITCI je bila izvedena 7. januarja 2023.
Del 1. Uvod in izjava o politiki varnosti informacij
1.1. Predstavitev
Evropski certifikacijski inštitut IT priznava pomen informacijske varnosti pri ohranjanju zaupnosti, celovitosti in razpoložljivosti informacij ter zaupanja naših deležnikov. Zavezani smo k varovanju občutljivih informacij, vključno z osebnimi podatki, pred nepooblaščenim dostopom, razkritjem, spreminjanjem in uničenjem. Vzdržujemo učinkovito politiko varnosti informacij, ki podpira naše poslanstvo zagotavljanja zanesljivih in nepristranskih storitev certificiranja našim strankam. Politika informacijske varnosti opisuje našo zavezo k zaščiti informacijskih sredstev in izpolnjevanju naših pravnih, regulativnih in pogodbenih obveznosti. Naša politika temelji na načelih ISO 27001 in ISO 17024, vodilnih mednarodnih standardov za upravljanje informacijske varnosti in standardov delovanja certifikacijskih organov.
1.2. Izjava o politiki
Evropski certifikacijski inštitut za IT se zavzema za:
- Varovanje zaupnosti, celovitosti in razpoložljivosti informacijskih sredstev,
- Izpolnjevanje zakonskih, regulativnih in pogodbenih obveznosti v zvezi z varnostjo informacij in obdelavo podatkov pri izvajanju svojih certifikacijskih procesov in operacij,
- Nenehno izboljševanje politike varnosti informacij in povezanega sistema upravljanja,
- Zagotavljanje ustreznega usposabljanja in ozaveščanja zaposlenih, izvajalcev in udeležencev,
- Vključevanje vseh zaposlenih in izvajalcev v izvajanje in vzdrževanje politike varovanja informacij in z njo povezanega sistema upravljanja varovanja informacij.
1.3. Področje uporabe
Ta pravilnik velja za vsa informacijska sredstva, ki so v lasti, pod nadzorom ali obdelavo Evropskega certifikacijskega inštituta za IT. To vključuje vsa digitalna in fizična informacijska sredstva, kot so sistemi, omrežja, programska oprema, podatki in dokumentacija. Ta pravilnik velja tudi za vse zaposlene, izvajalce in ponudnike storitev tretjih oseb, ki dostopajo do naših informacijskih sredstev.
1.4. Skladnost
Evropski certifikacijski inštitut za informacijsko tehnologijo je zavezan spoštovanju ustreznih standardov za varnost informacij, vključno z ISO 27001 in ISO 17024. To politiko redno pregledujemo in posodabljamo, da zagotovimo njeno stalno ustreznost in skladnost s temi standardi.
Del 2. Organizacijska varnost
2.1. Varnostni cilji organizacije
Z izvajanjem organizacijskih varnostnih ukrepov želimo zagotoviti, da se naša informacijska sredstva ter prakse in postopki obdelave podatkov izvajajo z najvišjo stopnjo varnosti in celovitosti ter da smo v skladu z ustreznimi pravnimi predpisi in standardi.
2.2. Vloge in odgovornosti na področju informacijske varnosti
Evropski certifikacijski inštitut za IT opredeljuje in sporoča vloge in odgovornosti za varnost informacij v celotni organizaciji. To vključuje dodelitev jasnega lastništva informacijskih sredstev v zvezi z informacijsko varnostjo, vzpostavitev strukture upravljanja in opredelitev posebnih odgovornosti za različne vloge in oddelke v organizaciji.
2.3. Upravljanje s tveganji
Izvajamo redne ocene tveganja, da prepoznamo in razvrstimo tveganja za varnost informacij v organizaciji, vključno s tveganji, povezanimi z obdelavo osebnih podatkov. Vzpostavljamo ustrezne kontrole za ublažitev teh tveganj ter redno pregledujemo in posodabljamo naš pristop obvladovanja tveganj na podlagi sprememb v poslovnem okolju in pokrajini groženj.
2.4. Varnostne politike in postopki informacij
Vzpostavimo in vzdržujemo niz politik in postopkov za varnost informacij, ki temeljijo na najboljših praksah v panogi in so v skladu z ustreznimi predpisi in standardi. Te politike in postopki zajemajo vse vidike informacijske varnosti, vključno z obdelavo osebnih podatkov, in se redno pregledujejo in posodabljajo, da se zagotovi njihova učinkovitost.
2.5. Varnostno ozaveščanje in usposabljanje
Zagotavljamo redne programe ozaveščanja o varnosti in usposabljanja za vse zaposlene, izvajalce in partnerje tretjih oseb, ki imajo dostop do osebnih podatkov ali drugih občutljivih informacij. To usposabljanje zajema teme, kot so lažno predstavljanje, socialni inženiring, higiena gesel in druge najboljše prakse informacijske varnosti.
2.6. Fizična in okoljska varnost
Izvajamo ustrezne fizične in okoljske varnostne kontrole za zaščito pred nepooblaščenim dostopom, poškodbami ali motnjami v naših objektih in informacijskih sistemih. To vključuje ukrepe, kot so nadzor dostopa, nadzor, spremljanje ter rezervno napajanje in hladilni sistemi.
2.7. Upravljanje incidentov informacijske varnosti
Vzpostavili smo proces upravljanja incidentov, ki nam omogoča, da se hitro in učinkovito odzovemo na morebitne incidente v zvezi z varnostjo informacij. To vključuje postopke za poročanje, stopnjevanje, preiskavo in reševanje incidentov ter ukrepe za preprečevanje ponovitve in izboljšanje naših zmogljivosti odzivanja na incidente.
2.8. Kontinuiteta delovanja in obnovitev po katastrofi
Vzpostavili in preizkusili smo načrte za neprekinjeno delovanje in obnovitev po katastrofi, ki nam omogočajo vzdrževanje naših kritičnih operativnih funkcij in storitev v primeru motenj ali nesreč. Ti načrti vključujejo postopke za varnostno kopiranje in obnovitev podatkov in sistemov ter ukrepe za zagotavljanje razpoložljivosti in celovitosti osebnih podatkov.
2.9. Upravljanje tretjih oseb
Vzpostavljamo in vzdržujemo ustrezne kontrole za obvladovanje tveganj, povezanih s partnerji tretjih oseb, ki imajo dostop do osebnih podatkov ali drugih občutljivih informacij. To vključuje ukrepe, kot so skrbni pregledi, pogodbene obveznosti, spremljanje in revizije ter ukrepe za prekinitev partnerstev, kadar je to potrebno.
Del 3. Varnost človeških virov
3.1. Pregled zaposlitve
Evropski certifikacijski inštitut za informacijsko tehnologijo je vzpostavil postopek za preverjanje zaposlitve, da bi zagotovil, da so posamezniki z dostopom do občutljivih informacij vredni zaupanja ter da imajo potrebna znanja in kvalifikacije.
3.2. Nadzor dostopa
Vzpostavili smo politike in postopke nadzora dostopa, da zagotovimo, da imajo zaposleni dostop samo do informacij, ki jih potrebujejo za svoje delovne obveznosti. Pravice dostopa se redno pregledujejo in posodabljajo, da se zagotovi, da imajo zaposleni dostop le do informacij, ki jih potrebujejo.
3.3. Ozaveščanje in usposabljanje o varnosti informacij
Za vse zaposlene redno izvajamo izobraževanja o informacijski varnosti. To usposabljanje zajema teme, kot so varnost gesel, lažno predstavljanje, socialni inženiring in drugi vidiki kibernetske varnosti.
3.4. Sprejemljiva uporaba
Vzpostavili smo politiko sprejemljive uporabe, ki opisuje sprejemljivo uporabo informacijskih sistemov in virov, vključno z osebnimi napravami, ki se uporabljajo v službene namene.
3.5. Varnost mobilnih naprav
Vzpostavili smo politike in postopke za varno uporabo mobilnih naprav, vključno z uporabo gesel, šifriranjem in zmožnostmi brisanja na daljavo.
3.6. Postopki odpovedi
Evropski certifikacijski inštitut za informacijsko tehnologijo je vzpostavil postopke za odpoved zaposlitve ali pogodbe, da zagotovi takojšen in varen preklic dostopa do občutljivih informacij.
3.7. Osebje tretjih oseb
Vzpostavili smo postopke za upravljanje osebja tretjih oseb, ki ima dostop do občutljivih informacij. Ti pravilniki vključujejo pregledovanje, nadzor dostopa in usposabljanje za ozaveščanje o varnosti informacij.
3.8. Poročanje o incidentih
Vzpostavili smo politike in postopke za poročanje o incidentih ali pomislekih glede varnosti informacij ustreznemu osebju ali organom.
3.9. Pogodbe o zaupnosti
Evropski certifikacijski inštitut za IT od zaposlenih in izvajalcev zahteva, da podpišejo pogodbe o zaupnosti, da zaščitijo občutljive informacije pred nepooblaščenim razkritjem.
3.10. Disciplinski ukrepi
Evropski certifikacijski inštitut za IT je vzpostavil politike in postopke za disciplinske ukrepe v primeru kršitev informacijske varnostne politike s strani zaposlenih ali izvajalcev.
Del 4. Ocena in obvladovanje tveganja
4.1. Ocena tveganja
Izvajamo redne ocene tveganja, da prepoznamo morebitne grožnje in ranljivosti naših informacijskih sredstev. Uporabljamo strukturiran pristop za prepoznavanje, analizo, vrednotenje in prednostno razvrščanje tveganj na podlagi njihove verjetnosti in možnega vpliva. Ocenjujemo tveganja, povezana z našimi informacijskimi sredstvi, vključno s sistemi, omrežji, programsko opremo, podatki in dokumentacijo.
4.2. Zdravljenje tveganja
Za ublažitev ali zmanjšanje tveganj na sprejemljivo raven uporabljamo proces obravnave tveganj. Proces obravnave tveganj vključuje izbiro ustreznih kontrol, izvajanje kontrol in spremljanje učinkovitosti kontrol. Prioriteto izvajanja kontrol določamo glede na stopnjo tveganja, razpoložljive vire in poslovne prioritete.
4.3. Spremljanje in pregled tveganja
Redno spremljamo in pregledujemo učinkovitost našega procesa obvladovanja tveganj, da zagotovimo, da ostaja ustrezen in učinkovit. Uporabljamo metrike in kazalnike za merjenje uspešnosti našega procesa obvladovanja tveganja in prepoznavanje priložnosti za izboljšave. Pregledujemo tudi naš proces obvladovanja tveganj kot del naših rednih vodstvenih pregledov, da zagotovimo njegovo stalno primernost, ustreznost in učinkovitost.
4.4. Načrtovanje odzivanja na tveganje
Imamo pripravljen načrt odzivanja na tveganja, ki zagotavlja, da se lahko učinkovito odzovemo na vsa ugotovljena tveganja. Ta načrt vključuje postopke za prepoznavanje in poročanje o tveganjih ter postopke za ocenjevanje možnega vpliva vsakega tveganja in določanje ustreznih odzivnih ukrepov. Vzpostavljene imamo tudi načrte ukrepov ob nepredvidljivih dogodkih, ki zagotavljajo neprekinjeno poslovanje v primeru pomembnega tveganega dogodka.
4.5. Analiza operativnega učinka
Izvajamo občasne analize vpliva na poslovanje, da ugotovimo potencialni vpliv motenj na naše poslovanje. Ta analiza vključuje oceno kritičnosti naših poslovnih funkcij, sistemov in podatkov ter oceno možnega vpliva motenj na naše stranke, zaposlene in druge deležnike.
4.6. Upravljanje tveganj tretjih oseb
Imamo vzpostavljen program za obvladovanje tveganj tretjih oseb, da zagotovimo, da tudi naši prodajalci in drugi ponudniki storitev tretjih oseb ustrezno upravljajo tveganja. Ta program vključuje skrbne preglede pred sodelovanjem s tretjimi osebami, stalno spremljanje dejavnosti tretjih oseb in občasne ocene praks obvladovanja tveganj tretjih oseb.
4.7. Odziv in obvladovanje incidentov
Imamo pripravljen odziv na incidente in načrt upravljanja, ki zagotavlja, da se lahko učinkovito odzovemo na vse varnostne incidente. Ta načrt vključuje postopke za prepoznavanje incidentov in poročanje o njih ter postopke za ocenjevanje vpliva vsakega incidenta in določanje ustreznih odzivnih ukrepov. Imamo tudi načrt neprekinjenega poslovanja, ki zagotavlja, da se kritične poslovne funkcije lahko nadaljujejo v primeru pomembnega incidenta.
Del 5. Fizična in okoljska varnost
5.1. Območje fizične varnosti
Vzpostavili smo fizične varnostne ukrepe za zaščito fizičnih prostorov in občutljivih informacij pred nepooblaščenim dostopom.
5.2. Nadzor dostopa
Vzpostavili smo politike in postopke nadzora dostopa za fizične prostore, da zagotovimo, da ima samo pooblaščeno osebje dostop do občutljivih informacij.
5.3. Varnost opreme
Zagotavljamo, da je vsa oprema, ki vsebuje občutljive podatke, fizično zavarovana, dostop do te opreme pa je omejen samo na pooblaščeno osebje.
5.4. Varno odstranjevanje
Vzpostavili smo postopke za varno odstranjevanje občutljivih informacij, vključno s papirnatimi dokumenti, elektronskimi mediji in strojno opremo.
5.5. Fizično okolje
Zagotavljamo, da je fizično okolje prostorov, vključno s temperaturo, vlažnostjo in osvetlitvijo, primerno za zaščito občutljivih informacij.
5.6. Napajanje
Zagotavljamo, da je oskrba prostorov z električno energijo zanesljiva in zaščitena pred izpadi ali sunki električne energije.
5.7. Požarna zaščita
Vzpostavili smo politike in postopke za zaščito pred požarom, vključno z namestitvijo in vzdrževanjem sistemov za odkrivanje in gašenje požara.
5.8. Zaščita pred poškodbami vode
Vzpostavili smo politike in postopke za zaščito občutljivih informacij pred škodo zaradi vode, vključno z namestitvijo in vzdrževanjem sistemov za zaznavanje in preprečevanje poplav.
5.9. Vzdrževanje opreme
Vzpostavili smo postopke za vzdrževanje opreme, vključno s pregledovanjem opreme glede znakov poseganja ali nepooblaščenega dostopa.
5.10. Sprejemljiva uporaba
Vzpostavili smo politiko sprejemljive uporabe, ki opisuje sprejemljivo uporabo fizičnih virov in objektov.
5.11. Oddaljeni dostop
Vzpostavili smo politike in postopke za oddaljeni dostop do občutljivih informacij, vključno z uporabo varnih povezav in šifriranja.
5.12. Spremljanje in nadzor
Vzpostavili smo politike in postopke za spremljanje in nadzor fizičnih prostorov in opreme za odkrivanje in preprečevanje nepooblaščenega dostopa ali poseganja.
del 6. Varnost komunikacij in operacij
6.1. Upravljanje varnosti omrežja
Vzpostavili smo politike in postopke za upravljanje varnosti omrežja, vključno z uporabo požarnih zidov, sistemov za zaznavanje in preprečevanje vdorov ter redne varnostne revizije.
6.2. Prenos informacij
Vzpostavili smo politike in postopke za varen prenos občutljivih informacij, vključno z uporabo šifriranja in varnih protokolov za prenos datotek.
6.3. Komunikacije tretjih oseb
Vzpostavili smo politike in postopke za varno izmenjavo občutljivih informacij z organizacijami tretjih oseb, vključno z uporabo varnih povezav in šifriranja.
6.4. Ravnanje z mediji
Vzpostavili smo postopke za ravnanje z občutljivimi informacijami v različnih oblikah medijev, vključno s papirnatimi dokumenti, elektronskimi mediji in prenosnimi napravami za shranjevanje.
6.5. Razvoj in vzdrževanje informacijskih sistemov
Vzpostavili smo politike in postopke za razvoj in vzdrževanje informacijskih sistemov, vključno z uporabo praks varnega kodiranja, rednimi posodobitvami programske opreme in upravljanjem popravkov.
6.6. Zaščita pred zlonamerno programsko opremo in virusi
Vzpostavili smo politike in postopke za zaščito informacijskih sistemov pred zlonamerno programsko opremo in virusi, vključno z uporabo protivirusne programske opreme in rednimi varnostnimi posodobitvami.
6.7. Varnostno kopiranje in obnovitev
Vzpostavili smo politike in postopke za varnostno kopiranje in obnavljanje občutljivih informacij, da preprečimo izgubo ali poškodbo podatkov.
6.8. Upravljanje dogodkov
Vzpostavili smo politike in postopke za prepoznavanje, preiskovanje in reševanje varnostnih incidentov in dogodkov.
6.9. Upravljanje ranljivosti
Vzpostavili smo politike in postopke za upravljanje ranljivosti informacijskega sistema, vključno z uporabo rednih ocen ranljivosti in upravljanjem popravkov.
6.10. Nadzor dostopa
Vzpostavili smo politike in postopke za upravljanje dostopa uporabnikov do informacijskih sistemov, vključno z uporabo kontrol dostopa, avtentikacijo uporabnikov in rednimi pregledi dostopa.
6.11. Spremljanje in beleženje
Vzpostavili smo politike in postopke za spremljanje in beleženje dejavnosti informacijskega sistema, vključno z uporabo revizijskih sledi in beleženjem varnostnih incidentov.
Del 7. Pridobivanje, razvoj in vzdrževanje informacijskih sistemov
7.1. Zahteve
Vzpostavili smo politike in postopke za identifikacijo zahtev informacijskega sistema, vključno s poslovnimi zahtevami, pravnimi in regulativnimi zahtevami ter varnostnimi zahtevami.
7.2. Odnosi z dobavitelji
Vzpostavili smo politike in postopke za upravljanje odnosov s tretjimi dobavitelji informacijskih sistemov in storitev, vključno z ocenjevanjem varnostnih praks dobaviteljev.
7.3. Razvoj sistema
Vzpostavili smo politike in postopke za varen razvoj informacijskih sistemov, vključno z uporabo praks varnega kodiranja, rednim testiranjem in zagotavljanjem kakovosti.
7.4. Sistemsko testiranje
Vzpostavili smo politike in postopke za testiranje informacijskih sistemov, vključno s testiranjem funkcionalnosti, testiranjem delovanja in varnostnim testiranjem.
7.5. Sprejemanje sistema
Vzpostavili smo politike in postopke za sprejemanje informacijskih sistemov, vključno z odobritvijo rezultatov testiranja, ocenami varnosti in testiranjem sprejemljivosti uporabnikov.
7.6. Vzdrževanje sistema
Vzpostavili smo politike in postopke za vzdrževanje informacijskih sistemov, vključno z rednimi posodobitvami, varnostnimi popravki in varnostnimi kopijami sistema.
7.7. Upokojitev sistema
Vzpostavili smo politike in postopke za umik informacijskih sistemov, vključno z varnim odstranjevanjem strojne opreme in podatkov.
7.8. Hramba podatkov
Vzpostavili smo politike in postopke za hrambo podatkov v skladu z zakonskimi in regulativnimi zahtevami, vključno z varnim shranjevanjem in odstranjevanjem občutljivih podatkov.
7.9. Varnostne zahteve za informacijske sisteme
Vzpostavili smo politike in postopke za identifikacijo in izvajanje varnostnih zahtev za informacijske sisteme, vključno z nadzorom dostopa, šifriranjem in zaščito podatkov.
7.10. Varna razvojna okolja
Vzpostavili smo politike in postopke za varna razvojna okolja za informacijske sisteme, vključno z uporabo varnih razvojnih praks, nadzorom dostopa in varnimi konfiguracijami omrežja.
7.11. Zaščita testnih okolij
Vzpostavili smo politike in postopke za zaščito testnih okolij za informacijske sisteme, vključno z uporabo varnih konfiguracij, nadzorom dostopa in rednim varnostnim testiranjem.
7.12. Načela varnega sistemskega inženiringa
Vzpostavili smo politike in postopke za izvajanje načel varnega sistemskega inženiringa za informacijske sisteme, vključno z uporabo varnostnih arhitektur, modeliranjem groženj in praksami varnega kodiranja.
7.13. Smernice za varno kodiranje
Vzpostavili smo politike in postopke za izvajanje smernic za varno kodiranje za informacijske sisteme, vključno z uporabo standardov kodiranja, pregledi kode in avtomatiziranim testiranjem.
Del 8. Pridobitev strojne opreme
8.1. Spoštovanje standardov
Upoštevamo standard ISO 27001 za sistem upravljanja varnosti informacij (ISMS), da zagotovimo, da so sredstva strojne opreme nabavljena v skladu z našimi varnostnimi zahtevami.
8.2. Ocena tveganja
Pred nabavo sredstev strojne opreme izvedemo oceno tveganja, da prepoznamo morebitna varnostna tveganja in zagotovimo, da izbrana strojna oprema izpolnjuje varnostne zahteve.
8.3. Izbira prodajalcev
Sredstva strojne opreme nabavljamo samo od zaupanja vrednih prodajalcev, ki imajo dokazane izkušnje pri zagotavljanju varnih izdelkov. Pregledujemo varnostne politike in prakse prodajalca in od njih zahtevamo, da zagotovijo, da njihovi izdelki izpolnjujejo naše varnostne zahteve.
8.4. Varen prevoz
Zagotavljamo, da so sredstva strojne opreme varno prepeljana v naše prostore, da preprečimo posege, poškodbe ali kraje med prevozom.
8.5. Preverjanje pristnosti
Ob dostavi preverimo pristnost sredstev strojne opreme, da zagotovimo, da niso ponarejeni ali spremenjeni.
8.6. Fizični in okoljski nadzor
Izvajamo ustrezne fizične in okoljske kontrole za zaščito sredstev strojne opreme pred nepooblaščenim dostopom, krajo ali poškodbo.
8.7. Namestitev strojne opreme
Zagotavljamo, da so vsa sredstva strojne opreme konfigurirana in nameščena v skladu z uveljavljenimi varnostnimi standardi in smernicami.
8.8. Pregledi strojne opreme
Izvajamo redne preglede sredstev strojne opreme, da zagotovimo, da še naprej izpolnjujejo naše varnostne zahteve in so posodobljeni z najnovejšimi varnostnimi popravki in posodobitvami.
8.9. Odstranjevanje strojne opreme
Sredstva strojne opreme razpolagamo na varen način, da preprečimo nepooblaščen dostop do občutljivih informacij.
Del 9. Zaščita pred zlonamerno programsko opremo in virusi
9.1. Politika posodabljanja programske opreme
V vseh informacijskih sistemih, ki jih uporablja Evropski certifikacijski inštitut za IT, vključno s strežniki, delovnimi postajami, prenosnimi računalniki in mobilnimi napravami, vzdržujemo posodobljeno programsko opremo za zaščito pred virusi in zlonamerno programsko opremo. Zagotavljamo, da je programska oprema za zaščito pred virusi in zlonamerno programsko opremo konfigurirana tako, da redno samodejno posodablja datoteke z definicijami virusov in različice programske opreme ter da se ta postopek redno testira.
9.2. Protivirusno in zlonamerno skeniranje
Izvajamo redne preglede vseh informacijskih sistemov, vključno s strežniki, delovnimi postajami, prenosniki in mobilnimi napravami, da odkrijemo in odstranimo vse viruse ali zlonamerno programsko opremo.
9.3. Politika prepovedi onemogočanja in prepovedi spreminjanja
Uveljavljamo pravilnike, ki uporabnikom prepovedujejo onemogočanje ali spreminjanje protivirusne in zaščitne programske opreme v katerem koli informacijskem sistemu.
9.4. Spremljanje
Spremljamo opozorila in dnevnike naše protivirusne programske opreme in programske opreme za zaščito pred zlonamerno programsko opremo, da prepoznamo morebitne primere okužb z virusi ali zlonamerno programsko opremo in se na takšne incidente pravočasno odzovemo.
9.5. Vzdrževanje evidenc
Vzdržujemo evidenco o konfiguraciji, posodobitvah in pregledih programske opreme za zaščito pred virusi in zlonamerno programsko opremo, kot tudi o vseh primerih okužb z virusi ali zlonamerno programsko opremo, za namene revizije.
9.6. Ocene programske opreme
Izvajamo občasne preglede naše programske opreme za zaščito pred virusi in zlonamerno programsko opremo, da zagotovimo, da ustreza trenutnim industrijskim standardom in ustreza našim potrebam.
9.7. Usposabljanje in ozaveščanje
Zagotavljamo programe usposabljanja in ozaveščanja za izobraževanje vseh zaposlenih o pomenu zaščite pred virusi in zlonamerno programsko opremo ter o tem, kako prepoznati in prijaviti kakršne koli sumljive dejavnosti ali incidente.
Del 10. Upravljanje informacijskih sredstev
10.1. Popis informacijskih sredstev
Evropski certifikacijski inštitut za IT vzdržuje popis informacijskih sredstev, ki vključuje vsa digitalna in fizična informacijska sredstva, kot so sistemi, omrežja, programska oprema, podatki in dokumentacija. Informacijska sredstva razvrščamo glede na njihovo kritičnost in občutljivost, da zagotovimo izvajanje ustreznih zaščitnih ukrepov.
10.2. Ravnanje z informacijskimi sredstvi
Izvajamo ustrezne ukrepe za zaščito informacijskih sredstev na podlagi njihove klasifikacije, vključno z zaupnostjo, celovitostjo in razpoložljivostjo. Zagotavljamo, da se z vsemi informacijskimi sredstvi ravna v skladu z veljavnimi zakoni, predpisi in pogodbenimi zahtevami. Zagotavljamo tudi, da so vsa informacijska sredstva pravilno shranjena, zaščitena in zavržena, ko niso več potrebna.
10.3. Lastništvo informacijskega sredstva
Lastništvo informacijskih sredstev dodelimo posameznikom ali oddelkom, odgovornim za upravljanje in zaščito informacijskih sredstev. Zagotavljamo tudi, da lastniki informacijskih sredstev razumejo svoje odgovornosti in odgovornosti za zaščito informacijskih sredstev.
10.4. Zaščita informacijskih sredstev
Uporabljamo različne zaščitne ukrepe za zaščito informacijskih sredstev, vključno s fizičnim nadzorom, nadzorom dostopa, šifriranjem ter postopki varnostnega kopiranja in obnovitve. Zagotavljamo tudi, da so vsa informacijska sredstva zaščitena pred nepooblaščenim dostopom, spreminjanjem ali uničenjem.
Del 11. Nadzor dostopa
11.1. Politika nadzora dostopa
Evropski certifikacijski inštitut za IT ima politiko nadzora dostopa, ki opisuje zahteve za odobritev, spreminjanje in preklic dostopa do informacijskih sredstev. Nadzor dostopa je kritična komponenta našega sistema upravljanja varnosti informacij in izvajamo ga, da zagotovimo, da imajo le pooblaščeni posamezniki dostop do naših informacijskih sredstev.
11.2. Implementacija nadzora dostopa
Ukrepe nadzora dostopa izvajamo po načelu najmanjših privilegijev, kar pomeni, da imajo posamezniki dostop le do informacij, ki so potrebne za opravljanje njihovih delovnih funkcij. Uporabljamo različne ukrepe za nadzor dostopa, vključno z avtentikacijo, avtorizacijo in obračunavanjem (AAA). Uporabljamo tudi sezname za nadzor dostopa (ACL) in dovoljenja za nadzor dostopa do informacijskih sredstev.
11.3. Politika gesel
Evropski certifikacijski inštitut za IT ima politiko gesel, ki opisuje zahteve za ustvarjanje in upravljanje gesel. Zahtevamo močna gesla, dolga najmanj 8 znakov, s kombinacijo velikih in malih črk, številk in posebnih znakov. Zahtevamo tudi občasne spremembe gesel in prepovedujemo ponovno uporabo prejšnjih gesel.
11.4. Upravljanje uporabnikov
Imamo postopek upravljanja uporabnikov, ki vključuje ustvarjanje, spreminjanje in brisanje uporabniških računov. Uporabniški računi so oblikovani po načelu najmanjših privilegijev, dostop pa je omogočen samo do informacijskih sredstev, ki so potrebna za opravljanje posameznikovih delovnih funkcij. Prav tako redno pregledujemo uporabniške račune in odstranjujemo račune, ki niso več potrebni.
Del 12. Upravljanje incidentov informacijske varnosti
12.1. Politika obvladovanja incidentov
Evropski certifikacijski inštitut za IT ima politiko upravljanja incidentov, ki opisuje zahteve za odkrivanje, poročanje, ocenjevanje in odzivanje na varnostne incidente. Varnostne incidente definiramo kot vsak dogodek, ki ogrozi zaupnost, celovitost ali razpoložljivost informacijskih sredstev ali sistemov.
12.2. Odkrivanje incidentov in poročanje
Izvajamo ukrepe za hitro odkrivanje in poročanje o varnostnih incidentih. Za odkrivanje varnostnih incidentov uporabljamo različne metode, vključno s sistemi za zaznavanje vdorov (IDS), protivirusno programsko opremo in poročanjem uporabnikov. Zagotavljamo tudi, da so vsi zaposleni seznanjeni s postopki za prijavo varnostnih incidentov in spodbujamo prijavo vseh domnevnih incidentov.
12.3. Ocena incidenta in odziv
Imamo postopek za ocenjevanje in odzivanje na varnostne incidente glede na njihovo resnost in vpliv. Incidentom dajemo prednost na podlagi njihovega možnega vpliva na informacijska sredstva ali sisteme in dodelimo ustrezne vire za odzivanje nanje. Imamo tudi odzivni načrt, ki vključuje postopke za identifikacijo, zadrževanje, analiziranje, izkoreninjenje in okrevanje po varnostnih incidentih, kot tudi obveščanje zadevnih strani in izvajanje pregledov po incidentu. Naši postopki za odzivanje na incidente so zasnovani tako, da zagotavljajo hiter in učinkovit odziv do varnostnih incidentov. Postopke redno pregledujemo in posodabljamo, da zagotovimo njihovo učinkovitost in ustreznost.
12.4. Odzivna ekipa za incidente
Imamo ekipo za odzivanje na incidente (IRT), ki je odgovorna za odzivanje na varnostne incidente. IRT je sestavljen iz predstavnikov različnih enot, vodi pa ga uradnik za informacijsko varnost (ISO). IRT je odgovoren za oceno resnosti incidentov, zajezitev incidenta in sprožitev ustreznih odzivnih postopkov.
12.5. Poročanje o incidentih in pregled
Vzpostavili smo postopke za poročanje o varnostnih incidentih ustreznim stranem, vključno s strankami, regulativnimi organi in organi kazenskega pregona, kot zahtevajo veljavni zakoni in predpisi. Prav tako vzdržujemo komunikacijo s prizadetimi stranmi v celotnem postopku odzivanja na incident, s čimer zagotavljamo pravočasne posodobitve o statusu incidenta in vseh ukrepih, ki so bili sprejeti za ublažitev njegovega vpliva. Izvajamo tudi pregled vseh varnostnih incidentov, da ugotovimo glavni vzrok in preprečimo podobne incidente v prihodnosti.
Del 13. Upravljanje neprekinjenega poslovanja in obnovitev po katastrofi
13.1. Načrtovanje neprekinjenega poslovanja
Čeprav je European IT Certification Institute neprofitna organizacija, ima načrt neprekinjenega poslovanja (BCP), ki opisuje postopke za zagotavljanje neprekinjenega delovanja v primeru motečega incidenta. BCP zajema vse kritične operativne procese in opredeljuje vire, potrebne za vzdrževanje delovanja med motečim incidentom in po njem. Opisuje tudi postopke za vzdrževanje poslovnih operacij med motnjami ali nesrečami, ocenjevanje vpliva motenj, prepoznavanje najbolj kritičnih operativnih procesov v kontekstu določenega motečega incidenta ter razvoj postopkov odzivanja in okrevanja.
13.2. Načrtovanje obnove po katastrofi
Evropski certifikacijski inštitut za IT ima načrt za obnovitev po katastrofi (DRP), ki opisuje postopke za obnovitev naših informacijskih sistemov v primeru motenj ali nesreč. DRP vključuje postopke za varnostno kopiranje podatkov, obnovitev podatkov in obnovitev sistema. DRP se redno testira in posodablja, da se zagotovi njegova učinkovitost.
13.3. Analiza poslovnega vpliva
Izvajamo analizo vpliva na poslovanje (BIA), da prepoznamo kritične operativne procese in vire, potrebne za njihovo vzdrževanje. BIA nam pomaga določiti prednostna prizadevanja za izterjavo in ustrezno razporediti sredstva.
13.4. Strategija neprekinjenega poslovanja
Na podlagi rezultatov BIA razvijemo strategijo neprekinjenega poslovanja, ki opisuje postopke za odzivanje na moteč incident. Strategija vključuje postopke za aktiviranje BCP, obnovitev kritičnih procesov delovanja in komuniciranje z ustreznimi deležniki.
13.5. Testiranje in vzdrževanje
Redno testiramo in vzdržujemo BCP in DRP, da zagotovimo njuno učinkovitost in ustreznost. Izvajamo redne teste, da potrdimo BCP/DRP in opredelimo področja za izboljšave. Po potrebi tudi posodobimo BCP in DRP, da odražata spremembe v naših operacijah ali okolju groženj. Testiranje vključuje namizne vaje, simulacije in testiranje postopkov v živo. Prav tako pregledujemo in posodabljamo naše načrte na podlagi rezultatov testiranja in pridobljenih izkušenj.
13.6. Nadomestna mesta obdelave
Vzdržujemo alternativna spletna mesta za obdelavo, ki jih je mogoče uporabiti za nadaljevanje poslovanja v primeru motenj ali katastrofe. Nadomestna mesta obdelave so opremljena s potrebno infrastrukturo in sistemi ter se lahko uporabljajo za podporo kritičnim poslovnim procesom.
Del 14. Skladnost in revizija
14.1. Skladnost z zakoni in predpisi
Evropski certifikacijski inštitut za informacijsko tehnologijo je zavezan spoštovanju vseh veljavnih zakonov in predpisov, povezanih z varnostjo informacij in zasebnostjo, vključno z zakoni o varstvu podatkov, industrijskimi standardi in pogodbenimi obveznostmi. Redno pregledujemo in posodabljamo naše politike, postopke in kontrole, da zagotovimo skladnost z vsemi ustreznimi zahtevami in standardi. Glavni standardi in okviri, ki jih upoštevamo v kontekstu informacijske varnosti, vključujejo:
- Standard ISO/IEC 27001 zagotavlja smernice za implementacijo in upravljanje sistema upravljanja informacijske varnosti (ISMS), ki vključuje upravljanje ranljivosti kot ključno komponento. Zagotavlja referenčni okvir za izvajanje in vzdrževanje našega sistema za upravljanje varnosti informacij (ISMS), vključno z upravljanjem ranljivosti. V skladu s temi standardnimi določbami identificiramo, ocenjujemo in upravljamo tveganja za varnost informacij, vključno z ranljivostmi.
- Okvir kibernetske varnosti Nacionalnega inštituta za standarde in tehnologijo ZDA (NIST), ki zagotavlja smernice za prepoznavanje, ocenjevanje in upravljanje tveganj kibernetske varnosti, vključno z upravljanjem ranljivosti.
- Okvir kibernetske varnosti Nacionalnega inštituta za standarde in tehnologijo (NIST) za izboljšanje obvladovanja tveganj kibernetske varnosti z osrednjim naborom funkcij, vključno z upravljanjem ranljivosti, ki se jih držimo za obvladovanje naših tveganj kibernetske varnosti.
- Kritične varnostne kontrole SANS, ki vsebujejo nabor 20 varnostnih kontrol za izboljšanje kibernetske varnosti, ki pokrivajo vrsto področij, vključno z upravljanjem ranljivosti, zagotavljanjem posebnih smernic glede skeniranja ranljivosti, upravljanja popravkov in drugih vidikov upravljanja ranljivosti.
- Standard varnosti podatkov industrije plačilnih kartic (PCI DSS), ki zahteva ravnanje s podatki o kreditni kartici v zvezi z upravljanjem ranljivosti v tem kontekstu.
- Center za nadzor internetne varnosti (CIS), vključno z upravljanjem ranljivosti kot enega ključnih nadzorov za zagotavljanje varnih konfiguracij naših informacijskih sistemov.
- Open Web Application Security Project (OWASP) s seznamom 10 najbolj kritičnih varnostnih tveganj spletnih aplikacij, vključno z oceno ranljivosti, kot so napadi z vbrizgavanjem, pokvarjeno preverjanje pristnosti in upravljanje sej, skriptiranje med spletnimi mesti (XSS) itd. OWASP Top 10, da damo prednost našim prizadevanjem za upravljanje ranljivosti in se osredotočimo na najbolj kritična tveganja v zvezi z našimi spletnimi sistemi.
14.2. Notranja revizija
Izvajamo redne notranje revizije, da ocenimo učinkovitost našega sistema upravljanja informacijske varnosti (ISMS) in zagotovimo, da se upoštevajo naše politike, postopki in kontrole. Proces notranje revizije vključuje odkrivanje neskladnosti, razvoj korektivnih ukrepov in sledenje sanacijskim prizadevanjem.
14.3. Zunanja revizija
Občasno sodelujemo z zunanjimi revizorji, da potrdimo našo skladnost z veljavnimi zakoni, predpisi in industrijskimi standardi. Presojevalcem zagotavljamo dostop do naših objektov, sistemov in dokumentacije, kot je potrebno za potrjevanje naše skladnosti. Sodelujemo tudi z zunanjimi revizorji, da obravnavamo vse ugotovitve ali priporočila, ugotovljena med postopkom revizije.
14.4. Spremljanje skladnosti
Nenehno spremljamo našo skladnost z veljavnimi zakoni, predpisi in industrijskimi standardi. Za spremljanje skladnosti uporabljamo različne metode, vključno z rednimi ocenami, revizijami in pregledi tretjih ponudnikov. Prav tako redno pregledujemo in posodabljamo naše politike, postopke in kontrole, da zagotovimo stalno skladnost z vsemi ustreznimi zahtevami.
Del 15. Upravljanje tretjih oseb
15.1. Politika upravljanja tretjih oseb
Evropski certifikacijski inštitut za IT ima politiko upravljanja tretjih oseb, ki opisuje zahteve za izbiro, ocenjevanje in spremljanje ponudnikov tretjih oseb, ki imajo dostop do naših informacijskih sredstev ali sistemov. Politika velja za vse ponudnike tretjih oseb, vključno s ponudniki storitev v oblaku, prodajalci in izvajalci.
15.2. Izbira in ocena tretjih oseb
Preden sodelujemo s tretjimi ponudniki, opravimo skrbni pregled, da zagotovimo, da imajo ustrezen varnostni nadzor za zaščito naših informacijskih sredstev ali sistemov. Ocenjujemo tudi skladnost ponudnikov tretjih oseb z veljavnimi zakoni in predpisi v zvezi z varnostjo informacij in zasebnostjo.
15.3. Spremljanje tretjih oseb
Nenehno spremljamo ponudnike tretjih oseb, da zagotovimo, da še naprej izpolnjujejo naše zahteve glede varnosti informacij in zasebnosti. Za spremljanje ponudnikov tretjih oseb uporabljamo različne metode, vključno z občasnimi ocenami, revizijami in pregledi poročil o varnostnih incidentih.
15.4. Pogodbene zahteve
V vse pogodbe s tretjimi ponudniki vključujemo pogodbene zahteve v zvezi z varnostjo informacij in zasebnostjo. Te zahteve vključujejo določbe za varstvo podatkov, varnostni nadzor, upravljanje incidentov in spremljanje skladnosti. Vključujemo tudi določbe o prekinitvi pogodb v primeru varnostnega incidenta ali neskladnosti.
Del 16. Informacijska varnost v procesih certificiranja
16.1 Varnost certifikacijskih procesov
Sprejemamo ustrezne in sistemske ukrepe za zagotavljanje varnosti vseh informacij, povezanih z našimi postopki certificiranja, vključno z osebnimi podatki posameznikov, ki želijo pridobiti certifikat. To vključuje nadzor za dostop, shranjevanje in prenos vseh informacij, povezanih s potrdili. Z izvajanjem teh ukrepov želimo zagotoviti, da procesi certificiranja potekajo z najvišjo stopnjo varnosti in integritete ter da so osebni podatki posameznikov, ki želijo certificiranje, varovani v skladu z ustreznimi predpisi in standardi.
16.2. Avtentikacija in avtorizacija
Uporabljamo kontrole za preverjanje pristnosti in avtorizacijo, da zagotovimo, da ima samo pooblaščeno osebje dostop do informacij o potrdilih. Kontrole dostopa se redno pregledujejo in posodabljajo glede na spremembe v vlogah in odgovornostih osebja.
16.3. Varovanje podatkov
Osebne podatke varujemo v celotnem procesu certificiranja z izvajanjem ustreznih tehničnih in organizacijskih ukrepov za zagotavljanje zaupnosti, celovitosti in razpoložljivosti podatkov. To vključuje ukrepe, kot so šifriranje, nadzor dostopa in redno varnostno kopiranje.
16.4. Varnost izpitnih procesov
Varnost izpitnih procesov zagotavljamo z izvajanjem ustreznih ukrepov za preprečevanje goljufanja, spremljanjem in nadzorom izpitnega okolja. Prav tako ohranjamo celovitost in zaupnost izpitnega gradiva s postopki varnega shranjevanja.
16.5. Varnost izpitne vsebine
Varnost izpitne vsebine zagotavljamo z izvajanjem ustreznih ukrepov za zaščito pred nepooblaščenim dostopom, spreminjanjem ali razkritjem vsebine. To vključuje uporabo varnega shranjevanja, šifriranje in nadzor dostopa do izpitne vsebine ter nadzor za preprečevanje nepooblaščene distribucije ali razširjanja izpitne vsebine.
16.6. Varnost dostave izpita
Zagotavljamo varnost dostave izpitov z izvajanjem ustreznih ukrepov za preprečevanje nepooblaščenega dostopa do izpitnega okolja ali manipulacije z njim. To vključuje ukrepe, kot so spremljanje, revizija in nadzor izpitnega okolja ter posebnih izpitnih pristopov, da se prepreči goljufanje ali druge kršitve varnosti.
16.7. Varnost izpitnih rezultatov
Varnost rezultatov izpitov zagotavljamo z izvajanjem ustreznih ukrepov za zaščito pred nepooblaščenim dostopom, spreminjanjem ali razkritjem rezultatov. To vključuje uporabo varnega shranjevanja, šifriranja in nadzora dostopa do rezultatov izpitov ter nadzora za preprečevanje nepooblaščene distribucije ali razširjanja rezultatov izpita.
16.8. Varnost izdaje certifikatov
Varnost izdajanja certifikatov zagotavljamo z izvajanjem ustreznih ukrepov za preprečevanje prevar in nepooblaščenega izdajanja certifikatov. To vključuje kontrole za preverjanje identitete posameznikov, ki prejemajo potrdila, ter postopke varnega shranjevanja in izdajanja.
16.9. Pritožbe in pritožbe
Vzpostavili smo postopke za obvladovanje pritožb in pritožb v zvezi s postopkom certificiranja. Ti postopki vključujejo ukrepe za zagotavljanje zaupnosti in nepristranskosti postopka ter varnosti informacij v zvezi s pritožbami in pritožbami.
16.10. Upravljanje kakovosti procesov certificiranja
Za procese certificiranja imamo vzpostavljen sistem vodenja kakovosti (QMS), ki vključuje ukrepe za zagotavljanje uspešnosti, učinkovitosti in varnosti procesov. QMS vključuje redne revizije in preglede procesov in njihovih varnostnih kontrol.
16.11. Nenehno izboljševanje varnosti certifikacijskih procesov
Zavezani smo k nenehnemu izboljševanju naših certifikacijskih procesov in njihovih varnostnih kontrol. To vključuje redne preglede in posodobitve politik in varnostnih postopkov, povezanih s certificiranjem, ki temeljijo na spremembah poslovnega okolja, regulativnih zahtevah in najboljših praksah pri upravljanju informacijske varnosti, v skladu s standardom ISO 27001 za upravljanje informacijske varnosti, kot tudi z ISO 17024 operativni standard certifikacijskih organov.
Del 17. Zaključne določbe
17.1. Pregled in posodobitev pravilnika
Ta pravilnik o varnosti informacij je živi dokument, ki se nenehno pregleduje in posodablja na podlagi sprememb v naših operativnih zahtevah, zakonskih zahtevah ali najboljših praksah pri upravljanju varnosti informacij.
17.2. Spremljanje skladnosti
Vzpostavili smo postopke za spremljanje skladnosti s to politiko varnosti informacij in s tem povezane varnostne kontrole. Spremljanje skladnosti vključuje redne revizije, ocene in preglede varnostnih kontrol ter njihove učinkovitosti pri doseganju ciljev te politike.
17.3. Poročanje o varnostnih incidentih
Vzpostavili smo postopke za poročanje o varnostnih incidentih, povezanih z našimi informacijskimi sistemi, vključno s tistimi, povezanimi z osebnimi podatki posameznikov. Zaposlene, izvajalce in druge zainteresirane strani spodbujamo, da kakršne koli varnostne incidente ali domnevne incidente čim prej prijavijo imenovani varnostni skupini.
17.4. Usposabljanje in ozaveščanje
Za zaposlene, izvajalce in druge zainteresirane strani zagotavljamo redne programe usposabljanja in ozaveščanja, da zagotovimo, da se zavedajo svojih odgovornosti in obveznosti v zvezi z varnostjo informacij. To vključuje usposabljanje o varnostnih politikah in postopkih ter ukrepih za zaščito osebnih podatkov posameznikov.
17.5. Odgovornost in odgovornost
Vse zaposlene, izvajalce in druge zainteresirane strani smatramo za odgovorne in odgovorne za upoštevanje tega pravilnika o varnosti informacij in povezanih varnostnih kontrol. Prav tako menimo, da je vodstvo odgovorno za zagotavljanje, da so ustrezni viri dodeljeni za izvajanje in vzdrževanje učinkovitega nadzora varnosti informacij.
Ta politika informacijske varnosti je kritična komponenta okvira upravljanja informacijske varnosti Euroepan IT Certification Institute in dokazuje našo zavezanost zaščiti informacijskih sredstev in obdelanih podatkov, zagotavljanju zaupnosti, zasebnosti, celovitosti in razpoložljivosti informacij ter izpolnjevanju regulativnih in pogodbenih zahtev.