Informasjonssikkerhetspolicy
EITCA Academy informasjonssikkerhetspolicy
Dette dokumentet spesifiserer European IT Certification Institutes informasjonssikkerhetspolicy (ISP), som regelmessig gjennomgås og oppdateres for å sikre effektivitet og relevans. Den siste oppdateringen av EITCIs retningslinjer for informasjonssikkerhet ble gjort 7. januar 2023.
Del 1. Introduksjon og retningslinjer for informasjonssikkerhet
1.1. Innledning
Det europeiske IT-sertifiseringsinstituttet anerkjenner viktigheten av informasjonssikkerhet for å opprettholde konfidensialitet, integritet og tilgjengelighet til informasjon og tilliten til våre interessenter. Vi er forpliktet til å beskytte sensitiv informasjon, inkludert personopplysninger, mot uautorisert tilgang, avsløring, endring og ødeleggelse. Vi opprettholder en effektiv informasjonssikkerhetspolicy for å støtte vårt mål om å tilby pålitelige og upartiske sertifiseringstjenester til våre kunder. Informasjonssikkerhetspolicyen skisserer vår forpliktelse til å beskytte informasjonsressurser og oppfylle våre juridiske, regulatoriske og kontraktsmessige forpliktelser. Vår policy er basert på prinsippene til ISO 27001 og ISO 17024, de ledende internasjonale standardene for styring av informasjonssikkerhet og driftsstandarder for sertifiseringsorganer.
1.2. Policyerklæring
Det europeiske IT-sertifiseringsinstituttet er forpliktet til å:
- Beskyttelse av konfidensialitet, integritet og tilgjengelighet til informasjonsressurser,
- Overholdelse av juridiske, regulatoriske og kontraktsmessige forpliktelser knyttet til informasjonssikkerhet og behandling av data som implementerer sertifiseringsprosesser og operasjoner,
- Kontinuerlig forbedring av informasjonssikkerhetspolitikken og tilhørende styringssystem,
- gi tilstrekkelig opplæring og bevissthet til ansatte, kontraktører og deltakere,
- Involvere alle ansatte og entreprenører i implementering og vedlikehold av informasjonssikkerhetspolicyen og tilhørende styringssystem for informasjonssikkerhet.
1.3. omfang
Denne policyen gjelder for alle informasjonsmidler som eies, kontrolleres eller behandles av European IT Certification Institute. Dette inkluderer alle digitale og fysiske informasjonsressurser, som systemer, nettverk, programvare, data og dokumentasjon. Denne policyen gjelder også for alle ansatte, kontraktører og tredjeparts tjenesteleverandører som har tilgang til informasjonsmidlene våre.
1.4. Samsvar
European IT Certification Institute er forpliktet til å overholde relevante informasjonssikkerhetsstandarder, inkludert ISO 27001 og ISO 17024. Vi gjennomgår og oppdaterer regelmessig denne policyen for å sikre dens løpende relevans og samsvar med disse standardene.
Del 2. Organisatorisk sikkerhet
2.1. Organisasjonens sikkerhetsmål
Ved å implementere organisatoriske sikkerhetstiltak, tar vi sikte på å sikre at våre informasjonsressurser og databehandlingspraksis og prosedyrer utføres med det høyeste nivået av sikkerhet og integritet, og at vi overholder relevante lovbestemmelser og standarder.
2.2. Informasjonssikkerhetsroller og ansvar
European IT Certification Institute definerer og kommuniserer roller og ansvar for informasjonssikkerhet på tvers av organisasjonen. Dette inkluderer å tildele tydelig eierskap for informasjonsressurser i forbindelse med informasjonssikkerheten, etablere en styringsstruktur og definere spesifikke ansvarsområder for ulike roller og avdelinger på tvers av organisasjonen.
2.3. Risikostyring
Vi gjennomfører jevnlige risikovurderinger for å identifisere og prioritere informasjonssikkerhetsrisikoer for organisasjonen, inkludert risikoer knyttet til behandling av personopplysninger. Vi etablerer passende kontroller for å redusere disse risikoene, og gjennomgår og oppdaterer regelmessig vår risikostyringstilnærming basert på endringer i forretningsmiljøet og trussellandskapet.
2.4. Retningslinjer og prosedyrer for informasjonssikkerhet
Vi etablerer og vedlikeholder et sett med retningslinjer og prosedyrer for informasjonssikkerhet som er basert på industriens beste praksis og overholder relevante forskrifter og standarder. Disse retningslinjene og prosedyrene dekker alle aspekter av informasjonssikkerhet, inkludert behandling av personopplysninger, og blir regelmessig gjennomgått og oppdatert for å sikre effektiviteten.
2.5. Sikkerhetsbevissthet og opplæring
Vi tilbyr regelmessig sikkerhetsbevissthet og opplæringsprogrammer til alle ansatte, kontraktører og tredjepartspartnere som har tilgang til personopplysninger eller annen sensitiv informasjon. Denne opplæringen dekker emner som phishing, sosial teknikk, passordhygiene og andre beste praksiser for informasjonssikkerhet.
2.6. Fysisk og miljømessig sikkerhet
Vi implementerer passende fysiske og miljømessige sikkerhetskontroller for å beskytte mot uautorisert tilgang, skade eller forstyrrelse av våre fasiliteter og informasjonssystemer. Dette inkluderer tiltak som tilgangskontroll, overvåking, overvåking og reservestrøm- og kjølesystemer.
2.7. Informasjonssikkerhet hendelseshåndtering
Vi har etablert en hendelseshåndteringsprosess som gjør oss i stand til å reagere raskt og effektivt på eventuelle informasjonssikkerhetshendelser som kan oppstå. Dette inkluderer prosedyrer for rapportering, eskalering, etterforskning og løsning av hendelser, samt tiltak for å forhindre gjentakelse og forbedre vår evne til å reagere på hendelser.
2.8. Operativ kontinuitet og katastrofegjenoppretting
Vi har etablert og testet driftskontinuitet og katastrofegjenopprettingsplaner som gjør oss i stand til å opprettholde våre kritiske driftsfunksjoner og -tjenester i tilfelle avbrudd eller katastrofe. Disse planene inkluderer prosedyrer for sikkerhetskopiering og gjenoppretting av data og systemer, og tiltak for å sikre tilgjengeligheten og integriteten til personopplysninger.
2.9. Tredjepartsledelse
Vi etablerer og vedlikeholder hensiktsmessige kontroller for å håndtere risikoene knyttet til tredjepartspartnere som har tilgang til personopplysninger eller annen sensitiv informasjon. Dette inkluderer tiltak som due diligence, kontraktsmessige forpliktelser, overvåking og revisjoner, samt tiltak for å avslutte partnerskap ved behov.
Del 3. Personalsikkerhet
3.1. Sysselsettingsscreening
European IT Certification Institute har etablert en prosess for ansettelsesscreening for å sikre at personer med tilgang til sensitiv informasjon er pålitelige og har de nødvendige ferdighetene og kvalifikasjonene.
3.2. Tilgangskontroll
Vi har etablert retningslinjer og prosedyrer for tilgangskontroll for å sikre at ansatte kun har tilgang til informasjonen som er nødvendig for deres jobbansvar. Tilgangsrettighetene gjennomgås og oppdateres jevnlig for å sikre at ansatte kun har tilgang til den informasjonen de trenger.
3.3. Informasjonssikkerhetsbevissthet og opplæring
Vi gir regelmessig opplæring i informasjonssikkerhet til alle ansatte. Denne opplæringen dekker emner som passordsikkerhet, phishing-angrep, sosial teknikk og andre aspekter av nettsikkerhet.
3.4. Akseptabel bruk
Vi har etablert en policy for akseptabel bruk som skisserer akseptabel bruk av informasjonssystemer og ressurser, inkludert personlige enheter som brukes til jobbformål.
3.5. Sikkerhet for mobilenheter
Vi har etablert retningslinjer og prosedyrer for sikker bruk av mobile enheter, inkludert bruk av passord, kryptering og fjernsletting.
3.6. Oppsigelsesprosedyrer
European IT Certification Institute har etablert prosedyrer for oppsigelse av arbeidsforhold eller kontrakt for å sikre at tilgang til sensitiv informasjon trekkes tilbake raskt og sikkert.
3.7. Tredjeparts personell
Vi har etablert prosedyrer for styring av tredjepartspersonell som har tilgang til sensitiv informasjon. Disse retningslinjene involverer screening, tilgangskontroll og opplæring i informasjonssikkerhet.
3.8. Rapportering av hendelser
Vi har etablert retningslinjer og prosedyrer for å rapportere informasjonssikkerhetshendelser eller bekymringer til riktig personell eller myndigheter.
3.9. Konfidensialitetsavtaler
European IT Certification Institute krever at ansatte og kontraktører signerer konfidensialitetsavtaler for å beskytte sensitiv informasjon mot uautorisert avsløring.
3.10. Disiplinære handlinger
European IT Certification Institute har etablert retningslinjer og prosedyrer for disiplinære handlinger i tilfelle brudd på retningslinjene for informasjonssikkerhet fra ansatte eller kontraktører.
Del 4. Risikovurdering og styring
4.1. Risikovurdering
Vi gjennomfører periodiske risikovurderinger for å identifisere potensielle trusler og sårbarheter for informasjonsmidlene våre. Vi bruker en strukturert tilnærming for å identifisere, analysere, evaluere og prioritere risikoer basert på deres sannsynlighet og potensielle innvirkning. Vi vurderer risiko knyttet til informasjonsmidlene våre, inkludert systemer, nettverk, programvare, data og dokumentasjon.
4.2. Risikobehandling
Vi bruker en risikobehandlingsprosess for å redusere eller redusere risiko til et akseptabelt nivå. Risikobehandlingsprosessen inkluderer valg av passende kontroller, implementering av kontroller og overvåking av effektiviteten til kontrollene. Vi prioriterer implementering av kontroller basert på risikonivå, tilgjengelige ressurser og forretningsprioriteringer.
4.3. Risikoovervåking og gjennomgang
Vi overvåker og vurderer regelmessig effektiviteten av risikostyringsprosessen vår for å sikre at den forblir relevant og effektiv. Vi bruker beregninger og indikatorer for å måle ytelsen til risikostyringsprosessen vår og identifisere muligheter for forbedring. Vi gjennomgår også risikostyringsprosessen vår som en del av våre periodiske ledelsesgjennomganger for å sikre dens pågående egnethet, tilstrekkelighet og effektivitet.
4.4. Risikoresponsplanlegging
Vi har en risikoresponsplan på plass for å sikre at vi kan reagere effektivt på identifiserte risikoer. Denne planen inkluderer prosedyrer for å identifisere og rapportere risikoer, samt prosesser for å vurdere den potensielle påvirkningen av hver risiko og bestemme passende responstiltak. Vi har også beredskapsplaner for å sikre forretningskontinuitet i tilfelle en betydelig risikohendelse.
4.5. Operasjonell konsekvensanalyse
Vi gjennomfører periodiske forretningskonsekvensanalyser for å identifisere den potensielle effekten av forstyrrelser på vår forretningsdrift. Denne analysen inkluderer en vurdering av hvor kritiske forretningsfunksjonene, systemene og dataene våre er, samt en evaluering av den potensielle innvirkningen av forstyrrelser på våre kunder, ansatte og andre interessenter.
4.6. Tredjeparts risikostyring
Vi har et tredjeparts risikostyringsprogram på plass for å sikre at våre leverandører og andre tredjeparts tjenesteleverandører også håndterer risikoer på riktig måte. Dette programmet inkluderer due diligence-kontroller før man går i kontakt med tredjeparter, løpende overvåking av tredjepartsaktiviteter og periodiske vurderinger av tredjeparts risikostyringspraksis.
4.7. Hendelsesrespons og ledelse
Vi har en hendelsesrespons og styringsplan på plass for å sikre at vi kan reagere effektivt på eventuelle sikkerhetshendelser. Denne planen inkluderer prosedyrer for å identifisere og rapportere hendelser, samt prosesser for å vurdere virkningen av hver hendelse og bestemme passende responstiltak. Vi har også en forretningskontinuitetsplan på plass for å sikre at kritiske forretningsfunksjoner kan fortsette i tilfelle en betydelig hendelse.
Del 5. Fysisk og miljømessig sikkerhet
5.1. Fysisk sikkerhetsomkrets
Vi har etablert fysiske sikkerhetstiltak for å beskytte de fysiske lokalene og sensitiv informasjon mot uautorisert tilgang.
5.2. Tilgangskontroll
Vi har etablert retningslinjer og prosedyrer for tilgangskontroll for de fysiske lokalene for å sikre at kun autorisert personell har tilgang til sensitiv informasjon.
5.3. Utstyrssikkerhet
Vi sikrer at alt utstyr som inneholder sensitiv informasjon er fysisk sikret, og tilgang til dette utstyret er begrenset til kun autorisert personell.
5.4. Sikker avhending
Vi har etablert prosedyrer for sikker avhending av sensitiv informasjon, inkludert papirdokumenter, elektroniske medier og maskinvare.
5.5. Fysisk miljø
Vi sikrer at det fysiske miljøet i lokalene, inkludert temperatur, fuktighet og belysning, er hensiktsmessig for beskyttelse av sensitiv informasjon.
5.6. Strømforsyning
Vi sørger for at strømforsyningen til lokalene er pålitelig og beskyttet mot strømbrudd eller overspenninger.
5.7. Brannvern
Vi har etablert retningslinjer og prosedyrer for brannvern, inkludert installasjon og vedlikehold av branndeteksjons- og dempingssystemer.
5.8. Beskyttelse mot vannskade
Vi har etablert retningslinjer og prosedyrer for å beskytte sensitiv informasjon mot vannskader, inkludert installasjon og vedlikehold av flomdeteksjons- og forebyggingssystemer.
5.9. Vedlikehold av utstyr
Vi har etablert prosedyrer for vedlikehold av utstyr, inkludert inspeksjon av utstyr for tegn på tukling eller uautorisert tilgang.
5.10. Akseptabel bruk
Vi har etablert en policy for akseptabel bruk som skisserer akseptabel bruk av fysiske ressurser og fasiliteter.
5.11. Ekstern tilgang
Vi har etablert retningslinjer og prosedyrer for ekstern tilgang til sensitiv informasjon, inkludert bruk av sikre tilkoblinger og kryptering.
5.12. Overvåking og overvåking
Vi har etablert retningslinjer og prosedyrer for overvåking og overvåking av de fysiske lokalene og utstyret for å oppdage og forhindre uautorisert tilgang eller tukling.
Del. 6. Kommunikasjons- og driftssikkerhet
6.1. Nettverkssikkerhetsadministrasjon
Vi har etablert retningslinjer og prosedyrer for styring av nettverkssikkerhet, inkludert bruk av brannmurer, inntrengningsdeteksjon og -forebyggende systemer, og regelmessige sikkerhetsrevisjoner.
6.2. Informasjonsoverføring
Vi har etablert retningslinjer og prosedyrer for sikker overføring av sensitiv informasjon, inkludert bruk av kryptering og sikre filoverføringsprotokoller.
6.3. Tredjeparts kommunikasjon
Vi har etablert retningslinjer og prosedyrer for sikker utveksling av sensitiv informasjon med tredjepartsorganisasjoner, inkludert bruk av sikre tilkoblinger og kryptering.
6.4. Mediehåndtering
Vi har etablert prosedyrer for håndtering av sensitiv informasjon i ulike former for medier, inkludert papirdokumenter, elektroniske medier og bærbare lagringsenheter.
6.5. Utvikling og vedlikehold av informasjonssystemer
Vi har etablert retningslinjer og prosedyrer for utvikling og vedlikehold av informasjonssystemer, inkludert bruk av sikker kodingspraksis, regelmessige programvareoppdateringer og patchhåndtering.
6.6. Beskyttelse mot skadelig programvare og virus
Vi har etablert retningslinjer og prosedyrer for å beskytte informasjonssystemer mot skadelig programvare og virus, inkludert bruk av antivirusprogramvare og regelmessige sikkerhetsoppdateringer.
6.7. Sikkerhetskopiering og restaurering
Vi har etablert retningslinjer og prosedyrer for sikkerhetskopiering og gjenoppretting av sensitiv informasjon for å forhindre tap av data eller korrupsjon.
6.8. Event Management
Vi har etablert retningslinjer og prosedyrer for identifisering, etterforskning og løsning av sikkerhetshendelser og hendelser.
6.9. Sårbarhetshåndtering
Vi har etablert retningslinjer og prosedyrer for håndtering av sårbarheter i informasjonssystem, inkludert bruk av regelmessige sårbarhetsvurderinger og patchhåndtering.
6.10. Tilgangskontroll
Vi har etablert retningslinjer og prosedyrer for administrasjon av brukertilgang til informasjonssystemer, inkludert bruk av tilgangskontroller, brukerautentisering og regelmessige tilgangsgjennomganger.
6.11. Overvåking og logging
Vi har etablert retningslinjer og prosedyrer for overvåking og logging av informasjonssystemaktiviteter, inkludert bruk av revisjonsspor og logging av sikkerhetshendelser.
Del 7. Anskaffelse, utvikling og vedlikehold av informasjonssystemer
7.1. Krav
Vi har etablert retningslinjer og prosedyrer for identifisering av informasjonssystemkrav, inkludert forretningskrav, juridiske og regulatoriske krav og sikkerhetskrav.
7.2. Leverandørforhold
Vi har etablert retningslinjer og prosedyrer for styring av relasjoner med tredjepartsleverandører av informasjonssystemer og tjenester, inkludert evaluering av leverandørers sikkerhetspraksis.
7.3. Systemutvikling
Vi har etablert retningslinjer og prosedyrer for sikker utvikling av informasjonssystemer, inkludert bruk av sikker kodingspraksis, regelmessig testing og kvalitetssikring.
7.4. Systemtesting
Vi har etablert retningslinjer og prosedyrer for testing av informasjonssystemer, inkludert funksjonalitetstesting, ytelsestesting og sikkerhetstesting.
7.5. Systemaksept
Vi har etablert retningslinjer og prosedyrer for aksept av informasjonssystemer, inkludert godkjenning av testresultater, sikkerhetsvurderinger og brukeraksepttesting.
7.6. Systemvedlikehold
Vi har etablert retningslinjer og prosedyrer for vedlikehold av informasjonssystemer, inkludert regelmessige oppdateringer, sikkerhetsoppdateringer og sikkerhetskopiering av systemet.
7.7. Systempensjonering
Vi har etablert retningslinjer og prosedyrer for pensjonering av informasjonssystemer, inkludert sikker avhending av maskinvare og data.
7.8. Datalagring
Vi har etablert retningslinjer og prosedyrer for oppbevaring av data i samsvar med juridiske og regulatoriske krav, inkludert sikker lagring og avhending av sensitive data.
7.9. Sikkerhetskrav for informasjonssystemer
Vi har etablert retningslinjer og prosedyrer for identifisering og implementering av sikkerhetskrav for informasjonssystemer, inkludert tilgangskontroller, kryptering og databeskyttelse.
7.10. Sikre utviklingsmiljøer
Vi har etablert retningslinjer og prosedyrer for sikre utviklingsmiljøer for informasjonssystemer, inkludert bruk av sikker utviklingspraksis, tilgangskontroller og sikre nettverkskonfigurasjoner.
7.11. Beskyttelse av testmiljøer
Vi har etablert retningslinjer og prosedyrer for beskyttelse av testmiljøer for informasjonssystemer, inkludert bruk av sikre konfigurasjoner, tilgangskontroller og regelmessig sikkerhetstesting.
7.12. Sikkert systemtekniske prinsipper
Vi har etablert retningslinjer og prosedyrer for implementering av sikre systemkonstruksjonsprinsipper for informasjonssystemer, inkludert bruk av sikkerhetsarkitekturer, trusselmodellering og sikker kodingspraksis.
7.13. Retningslinjer for sikker koding
Vi har etablert retningslinjer og prosedyrer for implementering av retningslinjer for sikker koding for informasjonssystemer, inkludert bruk av kodestandarder, kodegjennomganger og automatisert testing.
Del 8. Maskinvareanskaffelse
8.1. Overholdelse av standarder
Vi følger ISO 27001-standarden for styringssystem for informasjonssikkerhet (ISMS) for å sikre at maskinvareressurser anskaffes i samsvar med våre sikkerhetskrav.
8.2. Risikovurdering
Vi gjennomfører risikovurdering før vi anskaffer maskinvareressurser for å identifisere potensielle sikkerhetsrisikoer og sikre at den valgte maskinvaren oppfyller sikkerhetskravene.
8.3. Utvalg av leverandører
Vi anskaffer kun maskinvare fra pålitelige leverandører som har dokumentert erfaring med å levere sikre produkter. Vi gjennomgår leverandørens sikkerhetspolicyer og -praksis, og krever at de gir forsikring om at produktene deres oppfyller sikkerhetskravene våre.
8.4. Sikker transport
Vi sørger for at maskinvareelementer transporteres sikkert til våre lokaler for å forhindre tukling, skade eller tyveri under transport.
8.5. Autentisitetsbekreftelse
Vi verifiserer ektheten til maskinvareinnhold ved levering for å sikre at de ikke er forfalsket eller tuklet med.
8.6. Fysiske og miljømessige kontroller
Vi implementerer passende fysiske og miljømessige kontroller for å beskytte maskinvareinnhold mot uautorisert tilgang, tyveri eller skade.
8.7. Maskinvareinstallasjon
Vi sikrer at alle maskinvareressurser er konfigurert og installert i samsvar med etablerte sikkerhetsstandarder og retningslinjer.
8.8. Maskinvareanmeldelser
Vi gjennomfører periodiske gjennomganger av maskinvareressurser for å sikre at de fortsetter å oppfylle sikkerhetskravene våre og er oppdatert med de siste sikkerhetsoppdateringene og oppdateringene.
8.9. Avhending av maskinvare
Vi avhender maskinvareressurser på en sikker måte for å forhindre uautorisert tilgang til sensitiv informasjon.
Del 9. Beskyttelse mot skadelig programvare og virus
9.1. Retningslinjer for programvareoppdatering
Vi opprettholder oppdatert programvare for beskyttelse mot virus og skadelig programvare på alle informasjonssystemer som brukes av European IT Certification Institute, inkludert servere, arbeidsstasjoner, bærbare datamaskiner og mobile enheter. Vi sikrer at programvaren for beskyttelse mot virus og skadelig programvare er konfigurert til å automatisk oppdatere virusdefinisjonsfilene og programvareversjonene med jevne mellomrom, og at denne prosessen testes regelmessig.
9.2. Skanning av antivirus og skadelig programvare
Vi utfører regelmessige skanninger av alle informasjonssystemer, inkludert servere, arbeidsstasjoner, bærbare datamaskiner og mobile enheter, for å oppdage og fjerne eventuelle virus eller skadelig programvare.
9.3. Retningslinjer for ikke-deaktivering og ingen endring
Vi håndhever retningslinjer som forbyr brukere å deaktivere eller endre antivirus- og skadevarebeskyttelsesprogramvare på ethvert informasjonssystem.
9.4. Overvåkning
Vi overvåker varslene og logger for beskyttelse av antivirus og skadelig programvare for å identifisere eventuelle hendelser med virus- eller skadevareinfeksjoner, og reagerer på slike hendelser i tide.
9.5. Vedlikehold av poster
Vi oppbevarer registre over programvarekonfigurasjon, oppdateringer og skanninger for antivirus- og skadevarebeskyttelse, samt eventuelle hendelser med virus- eller skadevareinfeksjoner, for revisjonsformål.
9.6. Programvareanmeldelser
Vi gjennomfører periodiske gjennomganger av vår antivirus- og skadevarebeskyttelsesprogramvare for å sikre at den oppfyller gjeldende industristandarder og er tilstrekkelig for våre behov.
9.7. Opplæring og bevisstgjøring
Vi tilbyr opplærings- og bevisstgjøringsprogrammer for å utdanne alle ansatte om viktigheten av virus- og skadevarebeskyttelse, og hvordan man gjenkjenner og rapporterer mistenkelige aktiviteter eller hendelser.
Del 10. Informasjonsforvaltning
10.1. Informasjonsaktiva inventar
European IT Certification Institute opprettholder en oversikt over informasjonsressurser som inkluderer alle digitale og fysiske informasjonsressurser, som systemer, nettverk, programvare, data og dokumentasjon. Vi klassifiserer informasjonsressurser basert på deres kritikkverdighet og sensitivitet for å sikre at passende beskyttelsestiltak blir implementert.
10.2. Håndtering av informasjonsmidler
Vi implementerer passende tiltak for å beskytte informasjonsressurser basert på deres klassifisering, inkludert konfidensialitet, integritet og tilgjengelighet. Vi sikrer at alle informasjonsmidler håndteres i samsvar med gjeldende lover, forskrifter og kontraktskrav. Vi sørger også for at alle informasjonsressurser er riktig lagret, beskyttet og kassert når de ikke lenger er nødvendige.
10.3. Eierskap av informasjonsmidler
Vi tildeler eierskap til informasjonsressurser til enkeltpersoner eller avdelinger som er ansvarlige for å administrere og beskytte informasjonsmidler. Vi sikrer også at eiere av informasjonsressurser forstår sitt ansvar og ansvar for å beskytte informasjonsmidler.
10.4. Beskyttelse av informasjonsressurser
Vi bruker en rekke beskyttelsestiltak for å beskytte informasjonsressurser, inkludert fysiske kontroller, tilgangskontroller, kryptering og sikkerhetskopierings- og gjenopprettingsprosesser. Vi sikrer også at alle informasjonsressurser er beskyttet mot uautorisert tilgang, modifikasjon eller ødeleggelse.
Del 11. Adgangskontroll
11.1. Retningslinjer for tilgangskontroll
European IT Certification Institute har en tilgangskontrollpolicy som beskriver kravene for å gi, endre og tilbakekalle tilgang til informasjonsressurser. Tilgangskontroll er en kritisk komponent i vårt styringssystem for informasjonssikkerhet, og vi implementerer det for å sikre at kun autoriserte personer har tilgang til informasjonsmidlene våre.
11.2. Implementering av tilgangskontroll
Vi implementerer tilgangskontrolltiltak basert på prinsippet om minste privilegium, som betyr at enkeltpersoner kun har tilgang til informasjonsmidlene som er nødvendige for å utføre jobbfunksjonene sine. Vi bruker en rekke tilgangskontrolltiltak, inkludert autentisering, autorisasjon og regnskap (AAA). Vi bruker også tilgangskontrolllister (ACL) og tillatelser for å kontrollere tilgang til informasjonsressurser.
11.3. Passordpolicy
European IT Certification Institute har en passordpolicy som skisserer kravene for å opprette og administrere passord. Vi krever sterke passord som er minst 8 tegn lange, med en kombinasjon av store og små bokstaver, tall og spesialtegn. Vi krever også periodiske passordendringer og forbyr gjenbruk av tidligere passord.
11.4. Brukeradministrasjon
Vi har en brukeradministrasjonsprosess som inkluderer å opprette, endre og slette brukerkontoer. Brukerkontoer opprettes basert på prinsippet om minste privilegium, og tilgang gis kun til informasjonsmidlene som er nødvendige for å utføre den enkeltes jobbfunksjoner. Vi gjennomgår også regelmessig brukerkontoer og fjerner kontoer som ikke lenger er nødvendige.
Del 12. Informasjonssikkerhet hendelseshåndtering
12.1. Retningslinjer for hendelseshåndtering
European IT Certification Institute har en Incident Management Policy som skisserer kravene for å oppdage, rapportere, vurdere og svare på sikkerhetshendelser. Vi definerer sikkerhetshendelser som enhver hendelse som kompromitterer konfidensialitet, integritet eller tilgjengelighet til informasjonsressurser eller systemer.
12.2. Oppdagelse og rapportering av hendelser
Vi iverksetter tiltak for å oppdage og rapportere sikkerhetshendelser umiddelbart. Vi bruker en rekke metoder for å oppdage sikkerhetshendelser, inkludert inntrengningsdeteksjonssystemer (IDS), antivirusprogramvare og brukerrapportering. Vi sikrer også at alle ansatte er klar over prosedyrene for rapportering av sikkerhetshendelser og oppfordrer til rapportering av alle mistenkte hendelser.
12.3. Hendelsesvurdering og respons
Vi har en prosess for å vurdere og reagere på sikkerhetshendelser basert på deres alvorlighetsgrad og konsekvens. Vi prioriterer hendelser basert på deres potensielle innvirkning på informasjonsressurser eller -systemer og tildeler passende ressurser for å svare på dem. Vi har også en responsplan som inkluderer prosedyrer for å identifisere, inneholde, analysere, utrydde og gjenopprette fra sikkerhetshendelser, samt varsle relevante parter og gjennomføre gjennomganger etter hendelsen Våre reaksjonsprosedyrer for hendelser er utformet for å sikre en rask og effektiv respons. til sikkerhetshendelser. Prosedyrene blir jevnlig gjennomgått og oppdatert for å sikre effektivitet og relevans.
12.4. Incident Response Team
Vi har et Incident Response Team (IRT) som er ansvarlig for å reagere på sikkerhetshendelser. IRT er sammensatt av representanter fra ulike enheter og ledes av Information Security Officer (ISO). IRT er ansvarlig for å vurdere alvorlighetsgraden av hendelsene, inneholde hendelsen og sette i gang passende reaksjonsprosedyrer.
12.5. Hendelsesrapportering og gjennomgang
Vi har etablert prosedyrer for rapportering av sikkerhetshendelser til relevante parter, inkludert klienter, regulatoriske myndigheter og rettshåndhevende byråer, slik det kreves av gjeldende lover og forskrifter. Vi opprettholder også kommunikasjon med berørte parter gjennom hele responsprosessen, og gir rettidige oppdateringer om statusen til hendelsen og eventuelle tiltak som blir iverksatt for å redusere virkningen. Vi gjennomfører også en gjennomgang av alle sikkerhetshendelser for å identifisere årsaken og forhindre at lignende hendelser oppstår i fremtiden.
Del 13. Business Continuity Management og Disaster Recovery
13.1. Business Continuity Planning
Selv om European IT Certification Institute er en non-profit organisasjon, har det en Business Continuity Plan (BCP) som skisserer prosedyrene for å sikre kontinuiteten i driften i tilfelle en forstyrrende hendelse. BCP dekker alle kritiske driftsprosesser og identifiserer ressursene som kreves for å opprettholde driften under og etter en forstyrrende hendelse. Den skisserer også prosedyrene for å opprettholde forretningsdrift under en avbrudd eller katastrofe, vurdere virkningen av forstyrrelser, identifisere de mest kritiske driftsprosessene i sammenheng med en bestemt skadelig hendelse, og utvikle respons- og gjenopprettingsprosedyrer.
13.2. Katastrofegjenopprettingsplanlegging
European IT Certification Institute har en Disaster Recovery Plan (DRP) som skisserer prosedyrene for å gjenopprette informasjonssystemene våre i tilfelle avbrudd eller katastrofe. DRP inkluderer prosedyrer for sikkerhetskopiering av data, datagjenoppretting og systemgjenoppretting. DRP testes og oppdateres regelmessig for å sikre effektiviteten.
13.3. Forretningseffektanalyse
Vi gjennomfører en Business Impact Analysis (BIA) for å identifisere de kritiske operasjonsprosessene og ressursene som kreves for å vedlikeholde dem. BIA hjelper oss med å prioritere gjenopprettingsarbeidet og allokere ressurser deretter.
13.4. Forretningskontinuitetsstrategi
Basert på resultatene av BIA utvikler vi en Business Continuity Strategy som skisserer prosedyrene for å reagere på en forstyrrende hendelse. Strategien inkluderer prosedyrer for aktivering av BCP, gjenoppretting av kritiske driftsprosesser og kommunikasjon med relevante interessenter.
13.5. Testing og vedlikehold
Vi tester og vedlikeholder regelmessig våre BCP og DRP for å sikre deres effektivitet og relevans. Vi gjennomfører regelmessige tester for å validere BCP/DRP og identifisere områder for forbedring. Vi oppdaterer også BCP og DRP etter behov for å gjenspeile endringer i operasjonene våre eller trusselbildet. Testing inkluderer bordøvelser, simuleringer og live testing av prosedyrer. Vi gjennomgår og oppdaterer også planene våre basert på resultatene av testing og erfaringer.
13.6. Alternative behandlingssteder
Vi opprettholder alternative nettbaserte behandlingssider som kan brukes til å fortsette forretningsdriften i tilfelle avbrudd eller katastrofe. De alternative behandlingsstedene er utstyrt med nødvendig infrastruktur og systemer, og kan brukes til å støtte kritiske forretningsprosesser.
Del 14. Samsvar og revisjon
14.1. Overholdelse av lover og forskrifter
European IT Certification Institute er forpliktet til å overholde alle gjeldende lover og forskrifter knyttet til informasjonssikkerhet og personvern, inkludert databeskyttelseslover, industristandarder og kontraktsmessige forpliktelser. Vi gjennomgår og oppdaterer regelmessig våre retningslinjer, prosedyrer og kontroller for å sikre samsvar med alle relevante krav og standarder. Hovedstandardene og rammeverket vi følger i informasjonssikkerhetssammenheng inkluderer:
- ISO/IEC 27001-standarden gir retningslinjer for implementering og administrasjon av et Information Security Management System (ISMS) som inkluderer sårbarhetshåndtering som en nøkkelkomponent. Det gir et referanserammeverk for implementering og vedlikehold av styringssystemet for informasjonssikkerhet (ISMS), inkludert sårbarhetshåndtering. I samsvar med disse standardbestemmelsene identifiserer, vurderer og administrerer vi informasjonssikkerhetsrisikoer, inkludert sårbarheter.
- US National Institute of Standards and Technology (NIST) Cybersecurity Framework gir retningslinjer for identifisering, vurdering og håndtering av cybersikkerhetsrisikoer, inkludert sårbarhetshåndtering.
- National Institute of Standards and Technology (NIST) Cybersecurity Framework for forbedring av cybersikkerhetsrisikostyring, med et kjernesett med funksjoner inkludert sårbarhetsstyring som vi følger for å håndtere cybersikkerhetsrisikoene våre.
- SANS Critical Security Controls inneholder et sett med 20 sikkerhetskontroller for å forbedre cybersikkerhet, og dekker en rekke områder, inkludert sårbarhetshåndtering, gir spesifikk veiledning om sårbarhetsskanning, patchhåndtering og andre aspekter ved sårbarhetshåndtering.
- Payment Card Industry Data Security Standard (PCI DSS), som krever håndtering av kredittkortinformasjon i forhold til sårbarhetshåndtering i denne sammenhengen.
- Center for Internet Security Controls (CIS) inkludert sårbarhetshåndtering som en av nøkkelkontrollene for å sikre sikre konfigurasjoner av informasjonssystemene våre.
- Open Web Application Security Project (OWASP), med sin topp 10-liste over de mest kritiske sikkerhetsrisikoene for nettapplikasjoner, inkludert vurdering av sårbarheter som injeksjonsangrep, ødelagt autentisering og øktadministrasjon, cross-site scripting (XSS), etc. Vi bruker OWASP Topp 10 for å prioritere vår innsats for sårbarhetshåndtering og fokusere på de mest kritiske risikoene med hensyn til websystemene våre.
14.2. Internrevisjon
Vi gjennomfører regelmessige interne revisjoner for å vurdere effektiviteten til vårt styringssystem for informasjonssikkerhet (ISMS) og sikre at våre retningslinjer, prosedyrer og kontroller blir fulgt. Internrevisjonsprosessen inkluderer identifisering av avvik, utvikling av korrigerende handlinger og sporing av utbedringstiltak.
14.3. Ekstern revisjon
Vi samarbeider med jevne mellomrom med eksterne revisorer for å validere vår overholdelse av gjeldende lover, forskrifter og bransjestandarder. Vi gir revisorer tilgang til våre fasiliteter, systemer og dokumentasjon etter behov for å validere vår overholdelse. Vi samarbeider også med eksterne revisorer for å behandle eventuelle funn eller anbefalinger identifisert under revisjonsprosessen.
14.4. Overvåking av samsvar
Vi overvåker vår etterlevelse av gjeldende lover, forskrifter og bransjestandarder fortløpende. Vi bruker en rekke metoder for å overvåke overholdelse, inkludert periodiske vurderinger, revisjoner og vurderinger av tredjepartsleverandører. Vi gjennomgår og oppdaterer også regelmessig våre retningslinjer, prosedyrer og kontroller for å sikre kontinuerlig overholdelse av alle relevante krav.
Del 15. Tredjepartsledelse
15.1. Tredjeparts ledelsespolicy
Det europeiske IT-sertifiseringsinstituttet har en retningslinjer for tredjepartsadministrasjon som skisserer kravene for å velge, vurdere og overvåke tredjepartsleverandører som har tilgang til informasjonsmidlene eller systemene våre. Retningslinjene gjelder for alle tredjepartsleverandører, inkludert skytjenesteleverandører, leverandører og kontraktører.
15.2. Tredjeparts utvalg og vurdering
Vi utfører due diligence før vi engasjerer oss med tredjepartsleverandører for å sikre at de har tilstrekkelige sikkerhetskontroller på plass for å beskytte informasjonsmidlene eller systemene våre. Vi vurderer også tredjepartsleverandørenes overholdelse av gjeldende lover og regler knyttet til informasjonssikkerhet og personvern.
15.3. Tredjepartsovervåking
Vi overvåker tredjepartsleverandører fortløpende for å sikre at de fortsetter å oppfylle våre krav til informasjonssikkerhet og personvern. Vi bruker en rekke metoder for å overvåke tredjepartsleverandører, inkludert periodiske vurderinger, revisjoner og gjennomganger av sikkerhetshendelsesrapporter.
15.4. Kontraktskrav
Vi inkluderer kontraktskrav knyttet til informasjonssikkerhet og personvern i alle kontrakter med tredjepartsleverandører. Disse kravene inkluderer bestemmelser for databeskyttelse, sikkerhetskontroller, hendelseshåndtering og samsvarsovervåking. Vi inkluderer også bestemmelser om oppsigelse av kontrakter ved en sikkerhetshendelse eller manglende overholdelse.
Del 16. Informasjonssikkerhet i sertifiseringsprosesser
16.1 Sikkerhet for sertifiseringsprosesser
Vi iverksetter tilstrekkelige og systemiske tiltak for å sikre sikkerheten til all informasjon knyttet til sertifiseringsprosessene våre, inkludert personopplysninger til enkeltpersoner som søker sertifisering. Dette inkluderer kontroller for tilgang, lagring og overføring av all sertifiseringsrelatert informasjon. Ved å implementere disse tiltakene har vi som mål å sikre at sertifiseringsprosessene gjennomføres med det høyeste nivået av sikkerhet og integritet, og at personopplysningene til enkeltpersoner som søker sertifisering er beskyttet i samsvar med relevante forskrifter og standarder.
16.2. Autentisering og autorisasjon
Vi bruker autentiserings- og autorisasjonskontroller for å sikre at kun autorisert personell har tilgang til sertifiseringsinformasjon. Tilgangskontroller gjennomgås og oppdateres jevnlig basert på endringer i personalroller og ansvar.
16.3. Data beskyttelse
Vi beskytter personopplysninger gjennom hele sertifiseringsprosessen ved å implementere passende tekniske og organisatoriske tiltak for å sikre konfidensialitet, integritet og tilgjengelighet av dataene. Dette inkluderer tiltak som kryptering, tilgangskontroller og regelmessige sikkerhetskopier.
16.4. Sikkerhet for eksamensprosesser
Vi sikrer sikkerheten til eksamensprosessene ved å implementere passende tiltak for å forhindre juks, overvåke og kontrollere eksamensmiljøet. Vi opprettholder også integriteten og konfidensialiteten til undersøkelsesmateriell gjennom sikre lagringsprosedyrer.
16.5. Sikkerhet for eksamensinnhold
Vi sikrer sikkerheten til eksamensinnhold ved å implementere passende tiltak for å beskytte mot uautorisert tilgang, endring eller avsløring av innholdet. Dette inkluderer bruk av sikker lagring, kryptering og tilgangskontroller for eksamensinnhold, samt kontroller for å hindre uautorisert distribusjon eller spredning av eksamensinnhold.
16.6. Sikkerhet ved levering av eksamen
Vi sikrer sikkerheten ved levering av eksamen ved å implementere passende tiltak for å forhindre uautorisert tilgang til eller manipulering av eksamensmiljøet. Dette inkluderer tiltak som overvåking, revisjon og kontroll av eksamensmiljøet og spesielle eksamenstilnærminger, for å forhindre juks eller andre sikkerhetsbrudd.
16.7. Sikkerhet for eksamensresultater
Vi sikrer sikkerheten til undersøkelsesresultatene ved å implementere passende tiltak for å beskytte mot uautorisert tilgang, endring eller avsløring av resultatene. Dette inkluderer bruk av sikker lagring, kryptering og tilgangskontroll for eksamensresultater, samt kontroller for å hindre uautorisert distribusjon eller spredning av eksamensresultater.
16.8. Sikkerhet ved utstedelse av sertifikater
Vi sikrer sikkerheten ved utstedelse av sertifikater ved å implementere passende tiltak for å forhindre svindel og uautorisert utstedelse av sertifikater. Dette inkluderer kontroller for å verifisere identiteten til enkeltpersoner som mottar sertifikater og sikre lagrings- og utstedelsesprosedyrer.
16.9. Klager og klagesaker
Vi har etablert prosedyrer for håndtering av klager og klagesaker knyttet til sertifiseringsprosessen. Disse prosedyrene inkluderer tiltak for å sikre konfidensialitet og upartiskhet i prosessen, og sikkerheten til informasjon knyttet til klagene og klagene.
16.10. Sertifiseringsprosesser Kvalitetsstyring
Vi har etablert et kvalitetsstyringssystem (QMS) for sertifiseringsprosessene som inkluderer tiltak for å sikre effektivitet, effektivitet og sikkerhet i prosessene. QMS inkluderer regelmessige revisjoner og gjennomganger av prosessene og deres sikkerhetskontroller.
16.11. Kontinuerlig forbedring av sikkerhet for sertifiseringsprosesser
Vi er forpliktet til kontinuerlig forbedring av sertifiseringsprosessene våre og sikkerhetskontrollene deres. Dette inkluderer regelmessige gjennomganger og oppdateringer av sertifiseringsrelaterte retningslinjer og prosedyrer for sikkerhet basert på endringer i forretningsmiljøet, regulatoriske krav og beste praksis innen informasjonssikkerhetsstyring, i samsvar med ISO 27001-standarden for informasjonssikkerhetsstyring, samt med ISO 17024 sertifiseringsorganer driftsstandard.
Del 17. Avslutningsbestemmelser
17.1. Retningslinjegjennomgang og oppdatering
Denne informasjonssikkerhetspolicyen er et levende dokument som gjennomgår kontinuerlige vurderinger og oppdateringer basert på endringer i våre operasjonelle krav, regulatoriske krav eller beste praksis innen informasjonssikkerhetsadministrasjon.
17.2. Overvåking av samsvar
Vi har etablert prosedyrer for å overvåke overholdelse av denne informasjonssikkerhetspolicyen og relaterte sikkerhetskontroller. Samsvarsovervåking inkluderer regelmessige revisjoner, vurderinger og gjennomganger av sikkerhetskontroller, og deres effektivitet for å oppnå målene i denne policyen.
17.3. Rapportering av sikkerhetshendelser
Vi har etablert prosedyrer for rapportering av sikkerhetshendelser knyttet til våre informasjonssystemer, inkludert de som er knyttet til personopplysninger til enkeltpersoner. Ansatte, entreprenører og andre interessenter oppfordres til å rapportere sikkerhetshendelser eller mistenkte hendelser til det utpekte sikkerhetsteamet så snart som mulig.
17.4. Opplæring og bevisstgjøring
Vi tilbyr regelmessige opplærings- og bevisstgjøringsprogrammer til ansatte, kontraktører og andre interessenter for å sikre at de er klar over sitt ansvar og forpliktelser knyttet til informasjonssikkerhet. Dette inkluderer opplæring i sikkerhetspolitikk og -prosedyrer, og tiltak for å beskytte personopplysninger om enkeltpersoner.
17.5. Ansvar og ansvarlighet
Vi holder alle ansatte, kontraktører og andre interessenter ansvarlige og ansvarlige for å overholde denne informasjonssikkerhetspolicyen og relaterte sikkerhetskontroller. Vi holder også ledelsen ansvarlig for å sikre at passende ressurser tildeles for å implementere og vedlikeholde effektive informasjonssikkerhetskontroller.
Denne informasjonssikkerhetspolicyen er en kritisk komponent i Euroepan IT Certification Institutes rammeverk for styring av informasjonssikkerhet og demonstrerer vår forpliktelse til å beskytte informasjonsressurser og behandlede data, sikre konfidensialitet, personvern, integritet og tilgjengelighet til informasjon, og overholde regulatoriske og kontraktsmessige krav.