Politika informačnej bezpečnosti
Politika informačnej bezpečnosti akadémie EITCA
Tento dokument špecifikuje politiku informačnej bezpečnosti (ISP) Európskeho inštitútu pre certifikáciu IT, ktorá sa pravidelne reviduje a aktualizuje, aby sa zabezpečila jej účinnosť a relevantnosť. Posledná aktualizácia politiky informačnej bezpečnosti EITCI bola vykonaná 7. januára 2023.
Časť 1. Úvod a Vyhlásenie o politike informačnej bezpečnosti
1.1. Úvod
Európsky inštitút pre certifikáciu IT uznáva dôležitosť informačnej bezpečnosti pri zachovaní dôvernosti, integrity a dostupnosti informácií a dôvery našich zainteresovaných strán. Zaviazali sme sa chrániť citlivé informácie vrátane osobných údajov pred neoprávneným prístupom, zverejnením, pozmenením a zničením. Udržiavame účinnú politiku informačnej bezpečnosti na podporu nášho poslania poskytovať spoľahlivé a nestranné certifikačné služby našim klientom. Zásady informačnej bezpečnosti načrtávajú náš záväzok chrániť informačné aktíva a plniť naše zákonné, regulačné a zmluvné záväzky. Naša politika je založená na princípoch ISO 27001 a ISO 17024, popredných medzinárodných štandardov pre riadenie informačnej bezpečnosti a prevádzkových štandardov certifikačných orgánov.
1.2. Politické vyhlásenie
Európsky inštitút pre certifikáciu IT sa zaviazal:
- Ochrana dôvernosti, integrity a dostupnosti informačných aktív,
- Dodržiavanie zákonných, regulačných a zmluvných povinností súvisiacich s bezpečnosťou informácií a spracovaním údajov implementujúcich certifikačné procesy a operácie,
- neustále zlepšovať svoju politiku informačnej bezpečnosti a súvisiaci systém riadenia,
- Poskytovanie primeraného školenia a povedomia zamestnancov, dodávateľov a účastníkov,
- Zapojenie všetkých zamestnancov a dodávateľov do implementácie a údržby politiky informačnej bezpečnosti a súvisiaceho systému riadenia informačnej bezpečnosti.
1.3. Rozsah
Tieto zásady sa vzťahujú na všetky informačné aktíva, ktoré vlastní, kontroluje alebo spracúva Európsky inštitút pre certifikáciu IT. To zahŕňa všetky digitálne a fyzické informačné aktíva, ako sú systémy, siete, softvér, údaje a dokumentácia. Táto politika sa vzťahuje aj na všetkých zamestnancov, zmluvných partnerov a poskytovateľov služieb tretích strán, ktorí majú prístup k našim informačným aktívam.
1.4. dodržiavanie
Európsky inštitút pre certifikáciu IT sa zaviazal dodržiavať príslušné normy bezpečnosti informácií vrátane noriem ISO 27001 a ISO 17024. Túto politiku pravidelne kontrolujeme a aktualizujeme, aby sme zabezpečili jej trvalú relevantnosť a súlad s týmito normami.
Časť 2. Organizačné zabezpečenie
2.1. Bezpečnostné ciele organizácie
Zavedením organizačných bezpečnostných opatrení sa snažíme zabezpečiť, aby sa naše informačné aktíva a postupy a postupy spracovania údajov vykonávali s najvyššou úrovňou bezpečnosti a integrity a aby sme dodržiavali príslušné právne predpisy a normy.
2.2. Úlohy a zodpovednosti v oblasti informačnej bezpečnosti
Európsky inštitút pre certifikáciu IT definuje a komunikuje úlohy a zodpovednosti za bezpečnosť informácií v celej organizácii. To zahŕňa priradenie jasného vlastníctva pre informačné aktíva v súvislosti s informačnou bezpečnosťou, vytvorenie riadiacej štruktúry a definovanie špecifických zodpovedností pre rôzne roly a oddelenia v rámci organizácie.
2.3. Riadenie rizík
Vykonávame pravidelné hodnotenia rizík s cieľom identifikovať a uprednostniť riziká pre bezpečnosť informácií pre organizáciu vrátane rizík súvisiacich so spracovaním osobných údajov. Zavádzame vhodné kontroly na zmiernenie týchto rizík a pravidelne kontrolujeme a aktualizujeme náš prístup k riadeniu rizík na základe zmien v podnikateľskom prostredí a hrozbách.
2.4. Zásady a postupy informačnej bezpečnosti
Vytvárame a udržiavame súbor zásad a postupov informačnej bezpečnosti, ktoré sú založené na osvedčených postupoch v odvetví a sú v súlade s príslušnými nariadeniami a normami. Tieto zásady a postupy pokrývajú všetky aspekty informačnej bezpečnosti vrátane spracovania osobných údajov a pravidelne sa revidujú a aktualizujú, aby sa zabezpečila ich účinnosť.
2.5. Bezpečnostné povedomie a školenie
Všetkým zamestnancom, zmluvným partnerom a partnerom tretích strán, ktorí majú prístup k osobným údajom alebo iným citlivým informáciám, poskytujeme pravidelné programy na zvyšovanie povedomia o bezpečnosti a školiace programy. Toto školenie zahŕňa témy ako phishing, sociálne inžinierstvo, hygiena hesiel a ďalšie osvedčené postupy v oblasti bezpečnosti informácií.
2.6. Fyzická a environmentálna bezpečnosť
Zavádzame vhodné fyzické a environmentálne bezpečnostné kontroly na ochranu pred neoprávneným prístupom, poškodením alebo zásahom do našich zariadení a informačných systémov. To zahŕňa opatrenia, ako sú kontroly prístupu, dohľad, monitorovanie a záložné napájacie a chladiace systémy.
2.7. Správa incidentov informačnej bezpečnosti
Zaviedli sme proces riadenia incidentov, ktorý nám umožňuje rýchlo a efektívne reagovať na akékoľvek incidenty v oblasti bezpečnosti informácií, ktoré sa môžu vyskytnúť. To zahŕňa postupy na hlásenie, eskaláciu, vyšetrovanie a riešenie incidentov, ako aj opatrenia na predchádzanie opakovaniu a zlepšovanie našich schopností reagovať na incidenty.
2.8. Kontinuita prevádzky a obnova po havárii
Vytvorili sme a otestovali plány prevádzkovej kontinuity a obnovy po havárii, ktoré nám umožňujú zachovať naše kritické prevádzkové funkcie a služby v prípade výpadku alebo katastrofy. Tieto plány zahŕňajú postupy na zálohovanie a obnovu údajov a systémov a opatrenia na zabezpečenie dostupnosti a integrity osobných údajov.
2.9. Správa tretích strán
Vytvárame a udržiavame vhodné kontroly na riadenie rizík spojených s partnermi tretích strán, ktorí majú prístup k osobným údajom alebo iným citlivým informáciám. Patria sem opatrenia, ako je povinná starostlivosť, zmluvné záväzky, monitorovanie a audity, ako aj opatrenia na ukončenie partnerstva v prípade potreby.
Časť 3. Bezpečnosť ľudských zdrojov
3.1. Skríning zamestnania
Európsky inštitút pre certifikáciu IT zaviedol proces preverovania zamestnania, aby sa zabezpečilo, že jednotlivci s prístupom k citlivým informáciám sú dôveryhodní a majú potrebné zručnosti a kvalifikáciu.
3.2. Kontrola prístupu
Zaviedli sme zásady a postupy kontroly prístupu, aby sme zabezpečili, že zamestnanci budú mať prístup len k informáciám potrebným na ich pracovné povinnosti. Prístupové práva sa pravidelne revidujú a aktualizujú, aby sa zabezpečilo, že zamestnanci budú mať prístup len k tým informáciám, ktoré potrebujú.
3.3. Povedomie o informačnej bezpečnosti a školenie
Všetkým zamestnancom pravidelne poskytujeme školenia v oblasti informovanosti o bezpečnosti informácií. Toto školenie sa týka tém, ako je bezpečnosť hesiel, phishingové útoky, sociálne inžinierstvo a ďalšie aspekty kybernetickej bezpečnosti.
3.4. Prijateľné použitie
Zaviedli sme zásady prijateľného používania, ktoré načrtávajú prijateľné používanie informačných systémov a zdrojov vrátane osobných zariadení používaných na pracovné účely.
3.5. Zabezpečenie mobilných zariadení
Zaviedli sme zásady a postupy na bezpečné používanie mobilných zariadení vrátane používania prístupových kódov, šifrovania a možností vzdialeného vymazania.
3.6. Postupy ukončenia
Európsky inštitút pre certifikáciu IT zaviedol postupy na ukončenie pracovného pomeru alebo zmluvy, aby sa zabezpečilo rýchle a bezpečné odvolanie prístupu k citlivým informáciám.
3.7. Personál tretej strany
Zaviedli sme postupy pre riadenie pracovníkov tretích strán, ktorí majú prístup k citlivým informáciám. Tieto zásady zahŕňajú skríning, kontrolu prístupu a školenie o bezpečnosti informácií.
3.8. Nahlasovanie incidentov
Zaviedli sme zásady a postupy na hlásenie incidentov alebo obáv v oblasti bezpečnosti informácií príslušným pracovníkom alebo úradom.
3.9. Dohody o mlčanlivosti
Európsky inštitút pre certifikáciu IT vyžaduje od zamestnancov a zmluvných partnerov, aby podpísali dohody o mlčanlivosti na ochranu citlivých informácií pred neoprávneným zverejnením.
3.10. Disciplinárne konania
Európsky inštitút pre certifikáciu IT zaviedol zásady a postupy pre disciplinárne opatrenia v prípade porušenia zásad bezpečnosti informácií zamestnancami alebo zmluvnými partnermi.
Časť 4. Hodnotenie a riadenie rizík
4.1. Posúdenie rizika
Vykonávame pravidelné hodnotenia rizík, aby sme identifikovali potenciálne hrozby a slabiny našich informačných aktív. Používame štruktúrovaný prístup na identifikáciu, analýzu, hodnotenie a prioritizáciu rizík na základe ich pravdepodobnosti a potenciálneho dopadu. Posudzujeme riziká spojené s našimi informačnými aktívami vrátane systémov, sietí, softvéru, údajov a dokumentácie.
4.2. Liečba rizika
Používame proces spracovania rizík na zmiernenie alebo zníženie rizík na prijateľnú úroveň. Proces spracovania rizík zahŕňa výber vhodných kontrol, implementáciu kontrol a monitorovanie účinnosti kontrol. Uprednostňujeme implementáciu kontrol na základe úrovne rizika, dostupných zdrojov a obchodných priorít.
4.3. Monitorovanie a kontrola rizík
Pravidelne monitorujeme a prehodnocujeme efektívnosť nášho procesu riadenia rizík, aby sme zabezpečili, že zostane relevantný a efektívny. Na meranie výkonnosti nášho procesu riadenia rizík a na identifikáciu príležitostí na zlepšenie používame metriky a ukazovatele. Prehodnocujeme aj náš proces riadenia rizík ako súčasť našich pravidelných manažérskych kontrol, aby sme zabezpečili jeho trvalú vhodnosť, primeranosť a efektívnosť.
4.4. Plánovanie reakcie na riziko
Máme zavedený plán reakcie na riziká, aby sme zaistili, že dokážeme efektívne reagovať na akékoľvek identifikované riziká. Tento plán zahŕňa postupy identifikácie a vykazovania rizík, ako aj procesy hodnotenia potenciálneho dopadu každého rizika a určovania vhodných reakcií. Máme zavedené aj pohotovostné plány na zabezpečenie kontinuity podnikania v prípade významnej rizikovej udalosti.
4.5. Analýza prevádzkového vplyvu
Vykonávame pravidelné analýzy obchodného vplyvu, aby sme identifikovali potenciálny vplyv narušenia našich obchodných operácií. Táto analýza zahŕňa posúdenie kritickosti našich obchodných funkcií, systémov a údajov, ako aj vyhodnotenie potenciálneho vplyvu prerušení na našich zákazníkov, zamestnancov a ďalšie zainteresované strany.
4.6. Riadenie rizík tretích strán
Máme zavedený program riadenia rizík tretích strán, aby sme zabezpečili, že naši predajcovia a ďalší poskytovatelia služieb tretích strán tiež primerane riadia riziká. Tento program zahŕňa kontroly due diligence pred kontaktovaním tretích strán, priebežné monitorovanie aktivít tretích strán a pravidelné hodnotenia postupov riadenia rizík tretích strán.
4.7. Reakcia na incidenty a manažment
Máme zavedený plán reakcie na incidenty a plán riadenia, aby sme zaistili, že dokážeme efektívne reagovať na akékoľvek bezpečnostné incidenty. Tento plán zahŕňa postupy identifikácie a hlásenia incidentov, ako aj procesy hodnotenia dopadu každého incidentu a určovania vhodných reakcií. Máme tiež zavedený plán kontinuity podnikania, aby sme zabezpečili, že kritické obchodné funkcie môžu pokračovať v prípade závažného incidentu.
Časť 5. Fyzická a environmentálna bezpečnosť
5.1. Fyzický bezpečnostný obvod
Zaviedli sme fyzické bezpečnostné opatrenia na ochranu fyzických priestorov a citlivých informácií pred neoprávneným prístupom.
5.2. Kontrola prístupu
Zaviedli sme zásady a postupy kontroly prístupu do fyzických priestorov, aby sme zabezpečili, že k citlivým informáciám budú mať prístup iba oprávnení pracovníci.
5.3. Zabezpečenie zariadenia
Zabezpečujeme, aby všetky zariadenia obsahujúce citlivé informácie boli fyzicky zabezpečené a prístup k tomuto zariadeniu je obmedzený len na oprávnené osoby.
5.4. Bezpečná likvidácia
Zaviedli sme postupy na bezpečnú likvidáciu citlivých informácií vrátane papierových dokumentov, elektronických médií a hardvéru.
5.5. Fyzické prostredie
Zabezpečujeme, aby fyzické prostredie priestorov vrátane teploty, vlhkosti a osvetlenia bolo vhodné na ochranu citlivých informácií.
5.6. Zdroj
Zabezpečujeme, aby napájanie priestorov bolo spoľahlivé a chránené proti výpadkom alebo prepätiu.
5.7. Požiarna ochrana
Zaviedli sme zásady a postupy požiarnej ochrany vrátane inštalácie a údržby systémov detekcie a potlačenia požiaru.
5.8. Ochrana pred poškodením vodou
Zaviedli sme zásady a postupy na ochranu citlivých informácií pred škodami spôsobenými vodou, vrátane inštalácie a údržby systémov detekcie a prevencie povodní.
5.9. Údržba zariadenia
Zaviedli sme postupy na údržbu zariadení, vrátane kontroly zariadenia, či nevykazuje známky manipulácie alebo neoprávneného prístupu.
5.10. Prijateľné použitie
Zaviedli sme zásady prijateľného používania, ktoré načrtávajú prijateľné používanie fyzických zdrojov a zariadení.
5.11. Vzdialený prístup
Zaviedli sme zásady a postupy pre vzdialený prístup k citlivým informáciám vrátane používania bezpečných pripojení a šifrovania.
5.12. Monitorovanie a dohľad
Zaviedli sme zásady a postupy na monitorovanie a dohľad nad fyzickými priestormi a zariadeniami, aby sme zistili a zabránili neoprávnenému prístupu alebo manipulácii.
Časť. 6. Bezpečnosť komunikácie a prevádzky
6.1. Správa bezpečnosti siete
Zaviedli sme zásady a postupy pre riadenie bezpečnosti siete, vrátane používania firewallov, systémov detekcie a prevencie narušenia a pravidelných bezpečnostných auditov.
6.2. Prenos informácií
Zaviedli sme zásady a postupy na bezpečný prenos citlivých informácií vrátane použitia šifrovania a protokolov bezpečného prenosu súborov.
6.3. Komunikácia tretích strán
Zaviedli sme zásady a postupy na bezpečnú výmenu citlivých informácií s organizáciami tretích strán vrátane používania bezpečných pripojení a šifrovania.
6.4. Manipulácia s médiami
Zaviedli sme postupy na zaobchádzanie s citlivými informáciami v rôznych formách médií vrátane papierových dokumentov, elektronických médií a prenosných pamäťových zariadení.
6.5. Vývoj a údržba informačných systémov
Zaviedli sme zásady a postupy pre vývoj a údržbu informačných systémov vrátane používania postupov bezpečného kódovania, pravidelných aktualizácií softvéru a správy opráv.
6.6. Ochrana proti malvéru a vírusom
Zaviedli sme zásady a postupy na ochranu informačných systémov pred škodlivým softvérom a vírusmi, vrátane používania antivírusového softvéru a pravidelných bezpečnostných aktualizácií.
6.7. Zálohovanie a obnova
Zaviedli sme zásady a postupy na zálohovanie a obnovu citlivých informácií, aby sme predišli strate alebo poškodeniu údajov.
6.8. Správa udalostí
Zaviedli sme zásady a postupy na identifikáciu, vyšetrovanie a riešenie bezpečnostných incidentov a udalostí.
6.9. Správa zraniteľností
Zaviedli sme zásady a postupy pre správu zraniteľností informačných systémov vrátane používania pravidelného hodnotenia zraniteľnosti a správy opráv.
6.10. Kontrola prístupu
Zaviedli sme zásady a postupy na riadenie prístupu používateľov k informačným systémom vrátane používania kontrol prístupu, overovania používateľov a pravidelných kontrol prístupu.
6.11. Monitorovanie a protokolovanie
Máme zavedené zásady a postupy na monitorovanie a protokolovanie aktivít informačného systému, vrátane používania audit trailov a protokolovania bezpečnostných incidentov.
Časť 7. Akvizícia, vývoj a údržba informačných systémov
7.1. požiadavky
Zaviedli sme zásady a postupy na identifikáciu požiadaviek na informačný systém vrátane obchodných požiadaviek, právnych a regulačných požiadaviek a požiadaviek na bezpečnosť.
7.2. Dodávateľské vzťahy
Máme zavedené zásady a postupy na riadenie vzťahov s dodávateľmi informačných systémov a služieb tretích strán, vrátane hodnotenia bezpečnostných praktík dodávateľov.
7.3. Vývoj systému
Zaviedli sme zásady a postupy pre bezpečný vývoj informačných systémov vrátane používania postupov bezpečného kódovania, pravidelného testovania a zabezpečenia kvality.
7.4. Testovanie systému
Zaviedli sme zásady a postupy na testovanie informačných systémov vrátane testovania funkčnosti, testovania výkonu a testovania bezpečnosti.
7.5. Prijatie systému
Zaviedli sme zásady a postupy pre akceptovanie informačných systémov, vrátane schvaľovania výsledkov testovania, hodnotenia bezpečnosti a testovania akceptácie používateľov.
7.6. Údržba systému
Zaviedli sme zásady a postupy pre údržbu informačných systémov vrátane pravidelných aktualizácií, bezpečnostných záplat a záloh systému.
7.7. Systémový odchod do dôchodku
Zaviedli sme zásady a postupy pre vyraďovanie informačných systémov, vrátane bezpečnej likvidácie hardvéru a dát.
7.8. Uchovávanie údajov
Zaviedli sme zásady a postupy na uchovávanie údajov v súlade s právnymi a regulačnými požiadavkami, vrátane bezpečného uchovávania a likvidácie citlivých údajov.
7.9. Bezpečnostné požiadavky na informačné systémy
Zaviedli sme zásady a postupy na identifikáciu a implementáciu bezpečnostných požiadaviek na informačné systémy, vrátane kontroly prístupu, šifrovania a ochrany údajov.
7.10. Bezpečné vývojové prostredia
Zaviedli sme zásady a postupy pre bezpečné vývojové prostredia pre informačné systémy, vrátane používania bezpečných postupov vývoja, riadenia prístupu a konfigurácií zabezpečenej siete.
7.11. Ochrana testovacích prostredí
Zaviedli sme zásady a postupy na ochranu testovacích prostredí pre informačné systémy, vrátane používania bezpečných konfigurácií, kontroly prístupu a pravidelného testovania bezpečnosti.
7.12. Princípy bezpečného systémového inžinierstva
Zaviedli sme zásady a postupy na implementáciu princípov bezpečného systémového inžinierstva pre informačné systémy, vrátane použitia bezpečnostných architektúr, modelovania hrozieb a postupov bezpečného kódovania.
7.13. Pokyny pre bezpečné kódovanie
Zaviedli sme zásady a postupy na implementáciu smerníc bezpečného kódovania pre informačné systémy, vrátane používania štandardov kódovania, kontroly kódu a automatizovaného testovania.
Časť 8. Akvizícia hardvéru
8.1. Dodržiavanie noriem
Dodržiavame normu ISO 27001 pre systém riadenia informačnej bezpečnosti (ISMS), aby sme zabezpečili, že hardvérové aktíva sú obstarávané v súlade s našimi bezpečnostnými požiadavkami.
8.2. Posúdenie rizika
Pred obstaraním hardvérových prostriedkov vykonávame hodnotenie rizík, aby sme identifikovali potenciálne bezpečnostné riziká a zabezpečili, že vybraný hardvér spĺňa bezpečnostné požiadavky.
8.3. Výber predajcov
Hardvérový majetok obstarávame iba od dôveryhodných predajcov, ktorí majú preukázateľné skúsenosti s poskytovaním bezpečných produktov. Kontrolujeme bezpečnostné zásady a postupy dodávateľov a požadujeme, aby poskytli záruku, že ich produkty spĺňajú naše bezpečnostné požiadavky.
8.4. Bezpečná doprava
Zabezpečujeme bezpečnú prepravu hardvéru do našich priestorov, aby sa predišlo manipulácii, poškodeniu alebo krádeži počas prepravy.
8.5. Overenie pravosti
Pri dodaní overujeme pravosť hardvérových aktív, aby sme sa uistili, že nie sú falšované alebo s nimi manipulované.
8.6. Fyzikálne a environmentálne kontroly
Implementujeme vhodné fyzické a environmentálne kontroly na ochranu hardvérových aktív pred neoprávneným prístupom, krádežou alebo poškodením.
8.7. Inštalácia hardvéru
Zabezpečujeme, aby boli všetky hardvérové prostriedky nakonfigurované a nainštalované v súlade so zavedenými bezpečnostnými štandardmi a usmerneniami.
8.8. Recenzie hardvéru
Vykonávame pravidelné kontroly hardvérových prostriedkov, aby sme sa uistili, že naďalej spĺňajú naše bezpečnostné požiadavky a sú aktuálne s najnovšími bezpečnostnými záplatami a aktualizáciami.
8.9. Likvidácia hardvéru
Hardvérový majetok likvidujeme bezpečným spôsobom, aby sme zabránili neoprávnenému prístupu k citlivým informáciám.
Časť 9. Ochrana pred škodlivým softvérom a vírusmi
9.1. Zásady aktualizácie softvéru
Na všetkých informačných systémoch používaných Európskym inštitútom pre certifikáciu IT vrátane serverov, pracovných staníc, notebookov a mobilných zariadení udržiavame aktuálny softvér na ochranu pred vírusmi a malware. Zabezpečujeme, aby bol antivírusový softvér a softvér na ochranu pred škodlivým softvérom nakonfigurovaný tak, aby pravidelne automaticky aktualizoval svoje súbory s definíciou vírusov a verzie softvéru, a aby bol tento proces pravidelne testovaný.
9.2. Antivírusové a malvérové skenovanie
Vykonávame pravidelné kontroly všetkých informačných systémov vrátane serverov, pracovných staníc, notebookov a mobilných zariadení, aby sme odhalili a odstránili akékoľvek vírusy alebo malvér.
9.3. Zásady zákazu a nezmenenia
Presadzujeme zásady, ktoré zakazujú používateľom deaktivovať alebo pozmeniť antivírusový a malvérový ochranný softvér v akomkoľvek informačnom systéme.
9.4. monitoring
Monitorujeme výstrahy a protokoly nášho softvéru na ochranu pred vírusmi a malvérom, aby sme identifikovali všetky prípady infekcie vírusmi alebo škodlivým softvérom a včas na takéto incidenty reagovali.
9.5. Udržiavanie záznamov
Na účely auditu uchovávame záznamy o konfigurácii, aktualizáciách a skenovaniach softvéru na ochranu pred vírusmi a malvérom, ako aj o všetkých incidentoch vírusových alebo malvérových infekcií.
9.6. Recenzie softvéru
Vykonávame pravidelné kontroly nášho antivírusového softvéru a softvéru na ochranu pred škodlivým softvérom, aby sme sa uistili, že spĺňa aktuálne priemyselné štandardy a je primeraný našim potrebám.
9.7. Školenie a informovanosť
Poskytujeme školenia a programy na zvyšovanie povedomia, aby sme všetkých zamestnancov poučili o dôležitosti ochrany pred vírusmi a škodlivým softvérom a o tom, ako rozpoznať a nahlásiť akékoľvek podozrivé aktivity alebo incidenty.
Časť 10. Správa informačných aktív
10.1. Inventár informačných aktív
Európsky inštitút pre certifikáciu IT vedie inventár informačných aktív, ktorý zahŕňa všetky digitálne a fyzické informačné aktíva, ako sú systémy, siete, softvér, údaje a dokumentácia. Informačné aktíva klasifikujeme na základe ich kritickosti a citlivosti, aby sme zabezpečili implementáciu vhodných ochranných opatrení.
10.2. Manipulácia s informačným majetkom
Zavádzame vhodné opatrenia na ochranu informačných aktív na základe ich klasifikácie vrátane dôvernosti, integrity a dostupnosti. Zabezpečujeme, aby sa so všetkými informačnými aktívami zaobchádzalo v súlade s platnými zákonmi, nariadeniami a zmluvnými požiadavkami. Zabezpečujeme tiež, aby boli všetky informačné aktíva správne uložené, chránené a zlikvidované, keď už nie sú potrebné.
10.3. Informácie o vlastníctve majetku
Vlastníctvo informačných aktív prideľujeme jednotlivcom alebo oddeleniam zodpovedným za správu a ochranu informačných aktív. Zabezpečujeme tiež, aby vlastníci informačných aktív rozumeli svojej zodpovednosti a zodpovednosti za ochranu informačných aktív.
10.4. Ochrana informačného majetku
Na ochranu informačných aktív používame rôzne ochranné opatrenia vrátane fyzických kontrol, riadenia prístupu, šifrovania a procesov zálohovania a obnovy. Zabezpečujeme tiež, že všetky informačné aktíva sú chránené pred neoprávneným prístupom, úpravou alebo zničením.
Časť 11. Kontrola prístupu
11.1. Zásady kontroly prístupu
Európsky inštitút pre certifikáciu IT má politiku kontroly prístupu, ktorá načrtáva požiadavky na udeľovanie, úpravu a zrušenie prístupu k informačným aktívam. Kontrola prístupu je kritickou súčasťou nášho systému riadenia informačnej bezpečnosti a implementujeme ju, aby sme zabezpečili, že k našim informačným aktívam budú mať prístup len oprávnené osoby.
11.2. Implementácia kontroly prístupu
Zavádzame opatrenia na kontrolu prístupu založené na princípe najmenších privilégií, čo znamená, že jednotlivci majú prístup len k informačným aktívam, ktoré sú potrebné na výkon ich pracovných funkcií. Používame rôzne opatrenia na kontrolu prístupu vrátane autentifikácie, autorizácie a účtovania (AAA). Na riadenie prístupu k informačným aktívam používame aj zoznamy riadenia prístupu (ACL) a povolenia.
11.3. Zásady hesiel
Európsky inštitút pre certifikáciu IT má politiku hesiel, ktorá načrtáva požiadavky na vytváranie a správu hesiel. Vyžadujeme silné heslá, ktoré majú dĺžku aspoň 8 znakov a obsahujú kombináciu veľkých a malých písmen, číslic a špeciálnych znakov. Vyžadujeme tiež pravidelné zmeny hesiel a zakazujeme opätovné použitie predchádzajúcich hesiel.
11.4. Správa používateľov
Máme proces správy používateľov, ktorý zahŕňa vytváranie, úpravu a odstraňovanie používateľských účtov. Používateľské účty sú vytvorené na princípe najmenších privilégií a prístup je udelený len k informačným aktívam potrebným na vykonávanie pracovných funkcií jednotlivca. Pravidelne tiež kontrolujeme používateľské účty a odstraňujeme účty, ktoré už nie sú potrebné.
Časť 12. Riadenie incidentov bezpečnosti informácií
12.1. Politika riadenia incidentov
Európsky inštitút pre certifikáciu IT má politiku riadenia incidentov, ktorá načrtáva požiadavky na zisťovanie, hlásenie, hodnotenie a reagovanie na bezpečnostné incidenty. Bezpečnostné incidenty definujeme ako akúkoľvek udalosť, ktorá ohrozuje dôvernosť, integritu alebo dostupnosť informačných aktív alebo systémov.
12.2. Detekcia a hlásenie incidentov
Zavádzame opatrenia na rýchle odhalenie a hlásenie bezpečnostných incidentov. Na detekciu bezpečnostných incidentov používame rôzne metódy vrátane systémov na detekciu narušenia bezpečnosti (IDS), antivírusového softvéru a hlásenia používateľov. Zabezpečujeme tiež, aby všetci zamestnanci poznali postupy nahlasovania bezpečnostných incidentov a podporujeme oznamovanie všetkých podozrivých incidentov.
12.3. Hodnotenie a reakcia na incident
Máme proces hodnotenia a reagovania na bezpečnostné incidenty na základe ich závažnosti a dopadu. Uprednostňujeme incidenty na základe ich potenciálneho vplyvu na informačné aktíva alebo systémy a prideľujeme vhodné zdroje na reakciu na ne. Máme tiež plán reakcie, ktorý zahŕňa postupy na identifikáciu, zadržiavanie, analýzu, odstraňovanie a zotavovanie sa z bezpečnostných incidentov, ako aj upovedomenie príslušných strán a vykonávanie preskúmaní po incidente Naše postupy reakcie na incident sú navrhnuté tak, aby zabezpečili rýchlu a efektívnu reakciu. k bezpečnostným incidentom. Postupy sa pravidelne revidujú a aktualizujú, aby sa zabezpečila ich účinnosť a relevantnosť.
12.4. Tím reakcie na incidenty
Máme tím pre reakciu na incidenty (IRT), ktorý je zodpovedný za reakciu na bezpečnostné incidenty. IRT sa skladá zo zástupcov rôznych jednotiek a vedie ju úradník pre bezpečnosť informácií (ISO). IRT je zodpovedné za posúdenie závažnosti incidentov, za zachytenie incidentu a za iniciovanie vhodných postupov reakcie.
12.5. Hlásenie a kontrola incidentov
Zaviedli sme postupy na nahlasovanie bezpečnostných incidentov príslušným stranám vrátane klientov, regulačných orgánov a orgánov činných v trestnom konaní, ako to vyžadujú príslušné zákony a nariadenia. Komunikujeme aj s dotknutými stranami počas celého procesu reakcie na incident, pričom poskytujeme včasné aktualizácie o stave incidentu a akýchkoľvek prijatých opatreniach na zmiernenie jeho dopadu. Vykonávame tiež kontrolu všetkých bezpečnostných incidentov, aby sme identifikovali hlavnú príčinu a zabránili výskytu podobných incidentov v budúcnosti.
Časť 13. Riadenie kontinuity činnosti a obnova po havárii
13.1. Plánovanie kontinuity podnikania
Hoci je Európsky inštitút pre certifikáciu IT nezisková organizácia, má plán kontinuity podnikania (BCP), ktorý načrtáva postupy na zabezpečenie kontinuity jeho operácií v prípade narušenia. BCP pokrýva všetky kritické prevádzkové procesy a identifikuje zdroje potrebné na udržanie prevádzky počas a po rušivej udalosti. Načrtáva tiež postupy na udržiavanie obchodných operácií počas prerušenia alebo katastrofy, hodnotenie vplyvu prerušení, identifikáciu najdôležitejších prevádzkových procesov v kontexte konkrétneho narušenia a vývoj postupov odozvy a obnovy.
13.2. Plánovanie obnovy po havárii
Európsky inštitút pre certifikáciu IT má plán obnovy po havárii (DRP), ktorý načrtáva postupy obnovy našich informačných systémov v prípade poruchy alebo katastrofy. DRP obsahuje postupy na zálohovanie údajov, obnovu údajov a obnovu systému. DRP sa pravidelne testuje a aktualizuje, aby sa zabezpečila jeho účinnosť.
13.3. Analýza obchodného vplyvu
Vykonávame analýzu obchodného vplyvu (BIA), aby sme identifikovali kritické prevádzkové procesy a zdroje potrebné na ich údržbu. BIA nám pomáha uprednostňovať naše snahy o obnovu a podľa toho prideľovať zdroje.
13.4. Stratégia kontinuity podnikania
Na základe výsledkov BIA vyvíjame stratégiu kontinuity podnikania, ktorá načrtáva postupy reakcie na rušivý incident. Stratégia zahŕňa postupy na aktiváciu BCP, obnovenie kritických prevádzkových procesov a komunikáciu s príslušnými zainteresovanými stranami.
13.5. Testovanie a údržba
Naše BCP a DRP pravidelne testujeme a udržiavame, aby sme zaistili ich účinnosť a relevantnosť. Vykonávame pravidelné testy na overenie BCP/DRP a identifikáciu oblastí na zlepšenie. Podľa potreby aktualizujeme aj BCP a DRP, aby odrážali zmeny v našich operáciách alebo v prostredí hrozieb. Testovanie zahŕňa stolové cvičenia, simulácie a testovanie postupov naživo. Naše plány tiež kontrolujeme a aktualizujeme na základe výsledkov testovania a získaných skúseností.
13.6. Alternatívne miesta spracovania
Udržiavame alternatívne online stránky na spracovanie, ktoré možno použiť na pokračovanie obchodných operácií v prípade narušenia alebo katastrofy. Alternatívne miesta spracovania sú vybavené potrebnou infraštruktúrou a systémami a možno ich použiť na podporu kritických obchodných procesov.
Časť 14. Súlad a audit
14.1. Súlad so zákonmi a predpismi
Európsky inštitút pre certifikáciu IT sa zaviazal dodržiavať všetky príslušné zákony a nariadenia týkajúce sa bezpečnosti informácií a súkromia, vrátane zákonov na ochranu údajov, priemyselných noriem a zmluvných záväzkov. Pravidelne kontrolujeme a aktualizujeme naše zásady, postupy a kontroly, aby sme zabezpečili súlad so všetkými relevantnými požiadavkami a normami. Medzi hlavné štandardy a rámce, ktoré dodržiavame v kontexte informačnej bezpečnosti, patria:
- Norma ISO/IEC 27001 poskytuje usmernenia pre implementáciu a riadenie systému riadenia bezpečnosti informácií (ISMS), ktorý zahŕňa riadenie zraniteľnosti ako kľúčový komponent. Poskytuje referenčný rámec pre implementáciu a údržbu nášho systému riadenia informačnej bezpečnosti (ISMS) vrátane riadenia zraniteľnosti. V súlade s ustanoveniami tohto štandardu identifikujeme, hodnotíme a riadime riziká informačnej bezpečnosti vrátane zraniteľností.
- Rámec kybernetickej bezpečnosti amerického Národného inštitútu pre štandardy a technológie (NIST) poskytuje usmernenia na identifikáciu, hodnotenie a riadenie rizík kybernetickej bezpečnosti vrátane riadenia zraniteľnosti.
- Rámec kybernetickej bezpečnosti Národného inštitútu pre štandardy a technológie (NIST) na zlepšenie riadenia rizík kybernetickej bezpečnosti so základným súborom funkcií vrátane správy zraniteľností, ktoré dodržiavame pri riadení našich rizík kybernetickej bezpečnosti.
- Kritické bezpečnostné kontroly SANS obsahujúce súbor 20 bezpečnostných kontrol na zlepšenie kybernetickej bezpečnosti, ktoré pokrývajú celý rad oblastí vrátane správy zraniteľností, poskytujú špecifické usmernenia pre skenovanie zraniteľností, správu opráv a ďalšie aspekty správy zraniteľností.
- Štandard zabezpečenia údajov v odvetví platobných kariet (PCI DSS), ktorý v tomto kontexte vyžaduje narábanie s informáciami o kreditných kartách v súvislosti so správou zraniteľnosti.
- Centrum pre kontrolu internetovej bezpečnosti (CIS) vrátane správy zraniteľnosti ako jednej z kľúčových kontrol na zabezpečenie bezpečných konfigurácií našich informačných systémov.
- Open Web Application Security Project (OWASP) so zoznamom Top 10 najdôležitejších bezpečnostných rizík webových aplikácií, vrátane hodnotenia zraniteľností, ako sú injekčné útoky, nefunkčná autentifikácia a správa relácií, cross-site scripting (XSS) atď. OWASP Top 10, aby sme uprednostnili naše úsilie v oblasti riadenia zraniteľnosti a zamerali sa na najkritickejšie riziká v súvislosti s našimi webovými systémami.
14.2. Interný audit
Vykonávame pravidelné interné audity, aby sme zhodnotili efektívnosť nášho systému riadenia bezpečnosti informácií (ISMS) a zabezpečili dodržiavanie našich zásad, postupov a kontrol. Proces interného auditu zahŕňa identifikáciu nezhôd, vypracovanie nápravných opatrení a sledovanie úsilia o nápravu.
14.3. Externý audit
Pravidelne spolupracujeme s externými audítormi, aby sme overili, či dodržiavame platné zákony, predpisy a priemyselné štandardy. Audítorom poskytujeme prístup k našim zariadeniam, systémom a dokumentácii podľa potreby na overenie nášho súladu. Spolupracujeme aj s externými audítormi pri riešení akýchkoľvek zistení alebo odporúčaní identifikovaných počas procesu auditu.
14.4. Monitorovanie súladu
Priebežne monitorujeme naše dodržiavanie platných zákonov, nariadení a priemyselných noriem. Na monitorovanie súladu používame rôzne metódy vrátane pravidelných hodnotení, auditov a kontrol poskytovateľov tretích strán. Pravidelne tiež kontrolujeme a aktualizujeme naše zásady, postupy a kontroly, aby sme zabezpečili trvalý súlad so všetkými relevantnými požiadavkami.
Časť 15. Správa tretích strán
15.1. Zásady správy tretích strán
Európsky inštitút pre certifikáciu IT má politiku správy tretích strán, ktorá načrtáva požiadavky na výber, hodnotenie a monitorovanie poskytovateľov tretích strán, ktorí majú prístup k našim informačným aktívam alebo systémom. Zásady sa vzťahujú na všetkých poskytovateľov tretích strán vrátane poskytovateľov cloudových služieb, predajcov a dodávateľov.
15.2. Výber a hodnotenie treťou stranou
Pred kontaktovaním poskytovateľov tretích strán vykonávame náležitú starostlivosť, aby sme sa uistili, že majú zavedené primerané bezpečnostné kontroly na ochranu našich informačných aktív alebo systémov. Posudzujeme aj súlad poskytovateľov tretích strán s platnými zákonmi a nariadeniami týkajúcimi sa bezpečnosti informácií a súkromia.
15.3. Monitorovanie treťou stranou
Priebežne monitorujeme poskytovateľov tretích strán, aby sme sa uistili, že aj naďalej spĺňajú naše požiadavky na bezpečnosť informácií a súkromie. Na monitorovanie poskytovateľov tretích strán používame rôzne metódy vrátane pravidelných hodnotení, auditov a kontrol správ o bezpečnostných incidentoch.
15.4. Zmluvné požiadavky
Do všetkých zmlúv s poskytovateľmi tretích strán zahŕňame zmluvné požiadavky týkajúce sa bezpečnosti informácií a súkromia. Tieto požiadavky zahŕňajú ustanovenia o ochrane údajov, bezpečnostných kontrolách, správe incidentov a monitorovaní súladu. Zahŕňame aj ustanovenia o ukončení zmlúv v prípade bezpečnostného incidentu alebo nedodržania pravidiel.
Časť 16. Bezpečnosť informácií v certifikačných procesoch
16.1 Bezpečnosť certifikačných procesov
Prijímame primerané a systémové opatrenia, aby sme zaistili bezpečnosť všetkých informácií súvisiacich s našimi certifikačnými procesmi, vrátane osobných údajov jednotlivcov žiadajúcich o certifikáciu. To zahŕňa kontroly prístupu, uchovávania a prenosu všetkých informácií súvisiacich s certifikáciou. Implementáciou týchto opatrení sa snažíme zabezpečiť, aby certifikačné procesy prebiehali s najvyššou úrovňou bezpečnosti a integrity a aby osobné údaje jednotlivcov žiadajúcich o certifikáciu boli chránené v súlade s príslušnými predpismi a normami.
16.2. Autentifikácia a autorizácia
Používame kontroly autentifikácie a autorizácie, aby sme zabezpečili, že k informáciám o certifikácii budú mať prístup iba oprávnení pracovníci. Kontroly prístupu sa pravidelne prehodnocujú a aktualizujú na základe zmien v personálnych rolách a zodpovednostiach.
16.3. Ochrana dát
Osobné údaje chránime počas celého certifikačného procesu implementáciou vhodných technických a organizačných opatrení na zabezpečenie dôvernosti, integrity a dostupnosti údajov. To zahŕňa opatrenia, ako je šifrovanie, kontrola prístupu a pravidelné zálohovanie.
16.4. Bezpečnosť skúšobných procesov
Bezpečnosť procesov skúšok zaisťujeme implementáciou vhodných opatrení na zabránenie podvádzaniu, monitorovanie a kontrolu prostredia skúšok. Taktiež zachovávame integritu a dôvernosť vyšetrovacích materiálov prostredníctvom bezpečných skladovacích postupov.
16.5. Bezpečnosť obsahu skúšky
Zabezpečujeme bezpečnosť obsahu skúšok implementáciou vhodných opatrení na ochranu pred neoprávneným prístupom, zmenou alebo zverejnením obsahu. To zahŕňa používanie bezpečného ukladania, šifrovania a kontroly prístupu k obsahu vyšetrenia, ako aj kontroly na zabránenie neoprávnenej distribúcie alebo šírenia obsahu vyšetrenia.
16.6. Bezpečnosť doručenia skúšky
Bezpečnosť dodania vyšetrení zaisťujeme implementáciou vhodných opatrení na zabránenie neoprávnenému prístupu do prostredia vyšetrenia alebo manipulácii s ním. To zahŕňa opatrenia, ako je monitorovanie, audit a kontrola prostredia skúmania a konkrétne prístupy k skúmaniu, aby sa zabránilo podvádzaniu alebo inému narušeniu bezpečnosti.
16.7. Bezpečnosť výsledkov skúšok
Bezpečnosť výsledkov vyšetrení zabezpečujeme implementáciou vhodných opatrení na ochranu pred neoprávneným prístupom, pozmenením alebo zverejnením výsledkov. To zahŕňa používanie bezpečného ukladania, šifrovania a kontroly prístupu k výsledkom vyšetrení, ako aj kontroly na zabránenie neoprávnenej distribúcie alebo šírenia výsledkov vyšetrení.
16.8. Bezpečnosť vydávania certifikátov
Bezpečnosť vydávania certifikátov zabezpečujeme implementáciou vhodných opatrení na zamedzenie podvodov a neoprávneného vydávania certifikátov. To zahŕňa kontroly na overenie identity jednotlivcov, ktorí dostávajú certifikáty, a postupy bezpečného uchovávania a vydávania.
16.9. Sťažnosti a odvolania
Zaviedli sme postupy na správu sťažností a odvolaní súvisiacich s procesom certifikácie. Tieto postupy zahŕňajú opatrenia na zabezpečenie dôvernosti a nestrannosti procesu a bezpečnosti informácií súvisiacich so sťažnosťami a odvolaniami.
16.10. Certifikačné procesy Manažment kvality
Pre certifikačné procesy máme zavedený Systém manažérstva kvality (QMS), ktorý zahŕňa opatrenia na zabezpečenie účinnosti, efektívnosti a bezpečnosti procesov. Súčasťou QMS sú pravidelné audity a kontroly procesov a ich bezpečnostných kontrol.
16.11. Neustále zlepšovanie bezpečnosti certifikačných procesov
Zaviazali sme sa neustále zlepšovať naše certifikačné procesy a ich bezpečnostné kontroly. To zahŕňa pravidelné kontroly a aktualizácie bezpečnostných zásad a postupov súvisiacich s certifikáciou na základe zmien v obchodnom prostredí, regulačných požiadaviek a osvedčených postupov v oblasti riadenia informačnej bezpečnosti v súlade s normou ISO 27001 pre riadenie informačnej bezpečnosti, ako aj s ISO 17024 prevádzkový štandard certifikačných orgánov.
Časť 17. Záverečné ustanovenia
17.1. Kontrola a aktualizácia pravidiel
Táto politika informačnej bezpečnosti je živým dokumentom, ktorý podlieha neustálym kontrolám a aktualizáciám na základe zmien v našich prevádzkových požiadavkách, regulačných požiadavkách alebo osvedčených postupoch v správe bezpečnosti informácií.
17.2. Monitorovanie súladu
Zaviedli sme postupy na monitorovanie dodržiavania týchto zásad bezpečnosti informácií a súvisiacich bezpečnostných kontrol. Monitorovanie súladu zahŕňa pravidelné audity, hodnotenia a kontroly bezpečnostných kontrol a ich účinnosti pri dosahovaní cieľov tejto politiky.
17.3. Nahlasovanie bezpečnostných incidentov
Zaviedli sme postupy na nahlasovanie bezpečnostných incidentov súvisiacich s našimi informačnými systémami vrátane tých, ktoré sa týkajú osobných údajov fyzických osôb. Zamestnancom, dodávateľom a ďalším zainteresovaným stranám sa odporúča, aby čo najskôr nahlásili akékoľvek bezpečnostné incidenty alebo podozrivé incidenty určenému bezpečnostnému tímu.
17.4. Školenie a informovanosť
Zamestnancom, dodávateľom a iným zainteresovaným stranám poskytujeme pravidelné školenia a programy na zvyšovanie povedomia, aby sme zabezpečili, že si budú vedomí svojich zodpovedností a povinností súvisiacich s bezpečnosťou informácií. To zahŕňa školenia o bezpečnostných zásadách a postupoch a opatreniach na ochranu osobných údajov jednotlivcov.
17.5. Zodpovednosť a zodpovednosť
Všetkých zamestnancov, dodávateľov a ďalšie zainteresované strany považujeme za zodpovedných za dodržiavanie týchto zásad bezpečnosti informácií a súvisiacich bezpečnostných kontrol. Vedenie je tiež zodpovedné za zabezpečenie toho, aby boli pridelené primerané zdroje na implementáciu a udržiavanie účinných kontrol informačnej bezpečnosti.
Táto politika informačnej bezpečnosti je kritickou súčasťou rámca riadenia informačnej bezpečnosti Európskeho inštitútu pre certifikáciu IT a demonštruje náš záväzok chrániť informačné aktíva a spracovávané údaje, zabezpečiť dôvernosť, súkromie, integritu a dostupnosť informácií a dodržiavať regulačné a zmluvné požiadavky.