Infoturbepoliitika
EITCA Akadeemia infoturbepoliitika
See dokument täpsustab Euroopa IT Sertifitseerimisinstituudi infoturbepoliitikat (ISP), mida vaadatakse regulaarselt üle ja ajakohastatakse, et tagada selle tõhusus ja asjakohasus. EITCI teabeturbepoliitika viimane värskendus tehti 7. jaanuaril 2023.
1. osa. Sissejuhatus ja infoturbepoliitika avaldus
1.1. Sissejuhatus
Euroopa IT Sertifitseerimisinstituut tunnistab infoturbe tähtsust teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse ning meie sidusrühmade usalduse säilitamisel. Oleme pühendunud tundliku teabe, sealhulgas isikuandmete kaitsmisele volitamata juurdepääsu, avalikustamise, muutmise ja hävitamise eest. Hoiame tõhusat infoturbepoliitikat, et toetada meie missiooni pakkuda klientidele usaldusväärseid ja erapooletuid sertifitseerimisteenuseid. Infoturbepoliitika kirjeldab meie kohustust kaitsta teabevarasid ning täita meie juriidilisi, regulatiivseid ja lepingulisi kohustusi. Meie poliitika põhineb ISO 27001 ja ISO 17024 põhimõtetel, mis on juhtivad rahvusvahelised infoturbe juhtimise standardid ja sertifitseerimisasutuste tegevusstandardid.
1.2. Poliitika avaldus
Euroopa IT Sertifitseerimisinstituut on pühendunud:
- teabevarade konfidentsiaalsuse, terviklikkuse ja kättesaadavuse kaitsmine,
- Infoturbe ja andmete töötlemisega seotud juriidiliste, regulatiivsete ja lepinguliste kohustuste täitmine oma sertifitseerimisprotsesside ja -toimingute rakendamisel,
- Täiustades pidevalt oma infoturbepoliitikat ja sellega seotud juhtimissüsteemi,
- töötajatele, töövõtjatele ja osalejatele piisava koolituse ja teadlikkuse pakkumine,
- Kõigi töötajate ja töövõtjate kaasamine infoturbepoliitika ja sellega seonduva infoturbe juhtimissüsteemi juurutamisel ja hooldamisel.
1.3. Reguleerimisala
See poliitika kehtib kõigi Euroopa IT Sertifitseerimisinstituudi omandis, kontrollitavate või töödeldavate teabevarade kohta. See hõlmab kõiki digitaalseid ja füüsilisi teabevarasid, nagu süsteemid, võrgud, tarkvara, andmed ja dokumentatsioon. See poliitika kehtib ka kõikide töötajate, töövõtjate ja kolmandatest osapooltest teenusepakkujate kohta, kellel on juurdepääs meie teabevaradele.
1.4. Vastavus
Euroopa IT Sertifitseerimisinstituut on pühendunud asjakohaste infoturbestandardite, sealhulgas ISO 27001 ja ISO 17024 järgimisele. Vaatame seda poliitikat regulaarselt üle ja ajakohastame, et tagada selle jätkuv asjakohasus ja vastavus nendele standarditele.
Osa 2. Organisatsiooni turvalisus
2.1. Organisatsiooni turvaeesmärgid
Organisatsiooniliste turvameetmete rakendamisega soovime tagada, et meie teabe- ja andmevara ning andmetöötlustavad ja -protseduurid oleksid kõrgeima turvalisuse ja terviklikkuse tasemel ning et järgiksime asjakohaseid õigusnorme ja standardeid.
2.2. Infoturbe rollid ja kohustused
Euroopa IT Sertifitseerimisinstituut määratleb ja edastab infoturbe rollid ja kohustused kogu organisatsioonis. See hõlmab teabevarade selge omandiõiguse määramist teabeturbega kokkupuutel, juhtimisstruktuuri loomist ja konkreetsete vastutuste määratlemist erinevatele rollidele ja osakondadele kogu organisatsioonis.
2.3. Riskijuhtimine
Korraldame regulaarselt riskianalüüse, et tuvastada ja prioriseerida organisatsiooni infoturbe riske, sealhulgas isikuandmete töötlemisega seotud riske. Kehtestame nende riskide maandamiseks sobivad kontrollid ning vaatame regulaarselt üle ja ajakohastame oma riskijuhtimise lähenemisviisi, lähtudes muutustest ärikeskkonnas ja ohumaastikul.
2.4. Infoturbe eeskirjad ja protseduurid
Kehtestame ja säilitame infoturbe poliitikate ja protseduuride komplekti, mis põhinevad valdkonna parimatel tavadel ning vastavad asjakohastele eeskirjadele ja standarditele. Need põhimõtted ja protseduurid hõlmavad kõiki infoturbe aspekte, sealhulgas isikuandmete töötlemist, ning neid vaadatakse regulaarselt üle ja ajakohastatakse, et tagada nende tõhusus.
2.5. Turvateadlikkus ja koolitus
Pakume regulaarseid turvateadlikkuse tõstmise ja koolitusprogramme kõigile töötajatele, töövõtjatele ja kolmandatest osapooltest partneritele, kellel on juurdepääs isikuandmetele või muule tundlikule teabele. Sellel koolitusel käsitletakse selliseid teemasid nagu andmepüük, sotsiaalne manipuleerimine, paroolihügieen ja muud infoturbe parimad tavad.
2.6. Füüsiline ja keskkonnakaitse
Rakendame asjakohaseid füüsilisi ja keskkonnakaitsemeetmeid, et kaitsta meie rajatisi ja infosüsteeme volitamata juurdepääsu, kahjustamise või sekkumise eest. See hõlmab selliseid meetmeid nagu juurdepääsu kontroll, seire, jälgimine ning varutoite- ja jahutussüsteemid.
2.7. Infoturbe intsidentide juhtimine
Oleme loonud intsidentide haldamise protsessi, mis võimaldab meil kiiresti ja tõhusalt reageerida võimalikele infoturbeintsidentidele. See hõlmab intsidentidest teatamise, eskaleerimise, uurimise ja lahendamise protseduure, samuti meetmeid nende kordumise ärahoidmiseks ja meie intsidentidele reageerimise võimekuse parandamiseks.
2.8. Toimimise järjepidevus ja avariitaaste
Oleme loonud ja testinud tööjärjepidevuse ja katastroofi taastamise plaane, mis võimaldavad meil säilitada oma kriitilised funktsioonid ja teenused häirete või katastroofi korral. Need plaanid sisaldavad andmete ja süsteemide varundamise ja taastamise protseduure ning meetmeid isikuandmete kättesaadavuse ja terviklikkuse tagamiseks.
2.9. Kolmanda osapoole haldus
Kehtestame ja säilitame asjakohased kontrollid, et hallata riske, mis on seotud kolmandatest osapooltest partneritega, kellel on juurdepääs isikuandmetele või muule tundlikule teabele. See hõlmab selliseid meetmeid nagu hoolsuskohustus, lepingulised kohustused, järelevalve ja auditid, aga ka meetmed partnerluse lõpetamiseks, kui see on vajalik.
3. osa. Inimressursside turvalisus
3.1. Tööhõive sõeluuring
Euroopa IT-sertifitseerimisinstituut on loonud töökohtade kontrollimise protsessi, et tagada, et tundlikule teabele juurdepääsu omavad isikud on usaldusväärsed ning neil on vajalikud oskused ja kvalifikatsioon.
3.2. Juurdepääsukontroll
Oleme kehtestanud juurdepääsukontrolli poliitikad ja protseduurid tagamaks, et töötajatel on juurdepääs ainult nende töökohustuste täitmiseks vajalikule teabele. Juurdepääsuõigusi vaadatakse regulaarselt üle ja ajakohastatakse tagamaks, et töötajatel on juurdepääs ainult neile vajalikule teabele.
3.3. Infoturbealane teadlikkus ja koolitus
Korraldame kõigile töötajatele regulaarselt infoturbeteadlikkuse koolitust. Sellel koolitusel käsitletakse selliseid teemasid nagu parooliturve, andmepüügirünnakud, sotsiaalne manipuleerimine ja muud küberturvalisuse aspektid.
3.4. Vastuvõetav kasutamine
Oleme kehtestanud vastuvõetava kasutamise poliitika, mis kirjeldab infosüsteemide ja ressursside, sealhulgas tööks kasutatavate isiklike seadmete vastuvõetavat kasutamist.
3.5. Mobiilseadmete turvalisus
Oleme kehtestanud eeskirjad ja protseduurid mobiilseadmete turvaliseks kasutamiseks, sealhulgas pääsukoodide, krüptimise ja kaugpühkimise võimaluste kasutamiseks.
3.6. Lõpetamise protseduurid
Euroopa IT Sertifitseerimisinstituut on kehtestanud töösuhte või lepingu lõpetamise korra, et tagada juurdepääs tundlikule teabele kiiresti ja turvaliselt.
3.7. Kolmanda osapoole personal
Oleme kehtestanud protseduurid tundlikule teabele juurdepääsu omavate kolmandate isikute töötajate haldamiseks. Need poliitikad hõlmavad läbivaatust, juurdepääsu kontrolli ja teabeturbeteadlikkuse koolitust.
3.8. Juhtumitest teatamine
Oleme kehtestanud eeskirjad ja protseduurid teabeturbeintsidentidest või -probleemidest vastavale personalile või ametiasutustele teatamiseks.
3.9. Konfidentsiaalsuslepingud
Euroopa IT Sertifitseerimisinstituut nõuab, et töötajad ja töövõtjad allkirjastaksid konfidentsiaalsuslepingud, et kaitsta tundlikku teavet volitamata avaldamise eest.
3.10. Distsiplinaarmeetmed
Euroopa IT Sertifitseerimisinstituut on kehtestanud distsiplinaarmeetmete eeskirjad ja protseduurid töötajate või töövõtjate infoturbepoliitika rikkumiste korral.
Osa 4. Riski hindamine ja juhtimine
4.1. Riskihindamine
Viime läbi perioodilisi riskianalüüse, et tuvastada meie teabevarade võimalikud ohud ja haavatavused. Kasutame riskide tuvastamiseks, analüüsimiseks, hindamiseks ja tähtsuse järjekorda seadmiseks struktureeritud lähenemisviisi nende tõenäosuse ja võimaliku mõju alusel. Hindame riske, mis on seotud meie teabevaradega, sealhulgas süsteemide, võrkude, tarkvara, andmete ja dokumentatsiooniga.
4.2. Riskiravi
Kasutame riskide maandamiseks või vähendamiseks vastuvõetava tasemeni riskide käsitlemise protsessi. Riskikäsitluse protsess hõlmab sobivate kontrollide valimist, kontrollide rakendamist ja kontrollide tõhususe jälgimist. Seame prioriteediks kontrollide rakendamise, lähtudes riskitasemest, olemasolevatest ressurssidest ja äriprioriteetidest.
4.3. Riskide jälgimine ja ülevaatus
Jälgime ja kontrollime regulaarselt oma riskijuhtimisprotsessi tõhusust, et tagada selle asjakohasus ja tõhusus. Kasutame mõõdikuid ja indikaatoreid, et mõõta oma riskijuhtimisprotsessi tulemuslikkust ja tuvastada parendusvõimalusi. Samuti vaatame perioodiliste juhtkonnaülevaatuste raames üle oma riskijuhtimisprotsessi, et tagada selle jätkuv sobivus, adekvaatsus ja tõhusus.
4.4. Riskidele reageerimise planeerimine
Meil on paika pandud riskidele reageerimise plaan, mis tagab, et suudame tõhusalt reageerida tuvastatud riskidele. See plaan sisaldab protseduure riskide tuvastamiseks ja aruandmiseks, samuti protsesse iga riski võimaliku mõju hindamiseks ja sobivate reageerimismeetmete kindlaksmääramiseks. Meil on olemas ka situatsiooniplaanid, et tagada äritegevuse järjepidevus olulise riskijuhtumi korral.
4.5. Operatiivse mõju analüüs
Teostame perioodilisi ärimõjude analüüse, et teha kindlaks häirete võimalik mõju meie äritegevusele. See analüüs hõlmab meie ärifunktsioonide, süsteemide ja andmete kriitilisuse hindamist, samuti hinnangut häirete võimalikule mõjule meie klientidele, töötajatele ja teistele sidusrühmadele.
4.6. Kolmanda osapoole riskijuhtimine
Meil on olemas kolmanda osapoole riskijuhtimisprogramm tagamaks, et meie müüjad ja muud kolmandast osapoolest teenusepakkujad juhivad samuti riske asjakohaselt. See programm hõlmab hoolsuskontrolle enne kolmandate osapooltega suhtlemist, kolmandate osapoolte tegevuste pidevat jälgimist ja kolmandate osapoolte riskijuhtimistavade perioodilisi hindamisi.
4.7. Juhtumitele reageerimine ja juhtimine
Meil on paika pandud intsidentidele reageerimise ja juhtimisplaan, mis tagab, et suudame tõhusalt reageerida mis tahes turvaintsidentidele. See plaan sisaldab protseduure intsidentide tuvastamiseks ja neist teatamiseks, samuti protsesse iga intsidendi mõju hindamiseks ja sobivate reageerimismeetmete kindlaksmääramiseks. Meil on olemas ka talitluspidevuse plaan, et tagada oluliste ärifunktsioonide jätkumine ka olulise intsidendi korral.
5. osa. Füüsiline ja keskkonnakaitse
5.1. Füüsilise turvalisuse perimeeter
Oleme kehtestanud füüsilised turvameetmed, et kaitsta füüsilisi ruume ja tundlikku teavet volitamata juurdepääsu eest.
5.2. Juurdepääsukontroll
Oleme kehtestanud füüsiliste ruumide juurdepääsukontrolli eeskirjad ja protseduurid, et tagada tundlikule teabele juurdepääs ainult volitatud töötajatel.
5.3. Seadmete turvalisus
Tagame, et kõik tundlikku teavet sisaldavad seadmed on füüsiliselt kaitstud ja juurdepääs sellele seadmele on piiratud ainult selleks volitatud töötajatel.
5.4. Turvaline kõrvaldamine
Oleme kehtestanud protseduurid tundliku teabe, sealhulgas paberdokumentide, elektroonilise meedia ja riistvara turvaliseks kõrvaldamiseks.
5.5. Füüsiline keskkond
Tagame, et ruumide füüsiline keskkond, sealhulgas temperatuur, niiskus ja valgustus, on tundliku teabe kaitsmiseks sobiv.
5.6. Toiteallikas
Tagame, et ruumide toiteallikas on töökindel ja kaitstud voolukatkestuste või ülepingete eest.
5.7. Tulekaitse
Oleme kehtestanud tulekaitsepoliitikad ja protseduurid, sealhulgas tulekahju avastamise ja summutamise süsteemide paigaldamise ja hoolduse.
5.8. Kaitse veekahjustuste eest
Oleme kehtestanud eeskirjad ja protseduurid tundliku teabe kaitsmiseks veekahjustuste eest, sealhulgas üleujutuste tuvastamise ja ennetamise süsteemide paigaldamiseks ja hooldamiseks.
5.9. Seadmete hooldus
Oleme kehtestanud protseduurid seadmete hooldamiseks, sealhulgas seadmete kontrollimiseks rikkumiste või volitamata juurdepääsu tunnuste suhtes.
5.10. Vastuvõetav kasutamine
Oleme kehtestanud vastuvõetava kasutamise poliitika, mis kirjeldab füüsiliste ressursside ja rajatiste vastuvõetavat kasutamist.
5.11. Kaugjuurdepääs
Oleme kehtestanud eeskirjad ja protseduurid tundlikule teabele kaugjuurdepääsuks, sealhulgas turvaliste ühenduste ja krüptimise kasutamiseks.
5.12. Järelevalve ja järelevalve
Oleme kehtestanud eeskirjad ja protseduurid füüsiliste ruumide ja seadmete jälgimiseks ja järelevalveks, et tuvastada ja vältida volitamata juurdepääsu või rikkumist.
osa. 6. Side ja operatsioonide turvalisus
6.1. Võrguturbe haldus
Oleme kehtestanud poliitikad ja protseduurid võrguturbe haldamiseks, sealhulgas tulemüüride, sissetungimise tuvastamise ja ennetamise süsteemide ning regulaarsete turvaauditite kasutamiseks.
6.2. Teabe edastamine
Oleme kehtestanud eeskirjad ja protseduurid tundliku teabe turvaliseks edastamiseks, sealhulgas krüptimise ja turvaliste failiedastusprotokollide kasutamiseks.
6.3. Kolmandate osapoolte suhtlus
Oleme kehtestanud eeskirjad ja protseduurid tundliku teabe turvaliseks vahetamiseks kolmandate osapoolte organisatsioonidega, sealhulgas turvaliste ühenduste ja krüptimise kasutamiseks.
6.4. Meedia käsitlemine
Oleme kehtestanud protseduurid tundliku teabe käsitlemiseks erinevates vormides, sealhulgas paberdokumentides, elektroonilistes andmekandjates ja kaasaskantavates salvestusseadmetes.
6.5. Infosüsteemide arendus ja hooldus
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide arendamiseks ja hooldamiseks, sealhulgas turvalise kodeerimise praktika, regulaarsete tarkvarauuenduste ja plaastrihalduse kasutamiseks.
6.6. Pahavara ja viiruste kaitse
Oleme kehtestanud eeskirjad ja protseduurid infosüsteemide kaitsmiseks pahavara ja viiruste eest, sealhulgas viirusetõrjetarkvara ja regulaarsete turvavärskenduste kasutamisel.
6.7. Varundamine ja taastamine
Oleme kehtestanud eeskirjad ja protseduurid tundliku teabe varundamiseks ja taastamiseks, et vältida andmete kadumist või riknemist.
6.8. Ürituste korraldamine
Oleme kehtestanud poliitikad ja protseduurid turvaintsidentide ja -sündmuste tuvastamiseks, uurimiseks ja lahendamiseks.
6.9. Haavatavuse juhtimine
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide haavatavuste haldamiseks, sealhulgas regulaarse haavatavuse hindamise ja paikade haldamise kasutamiseks.
6.10. Juurdepääsukontroll
Oleme kehtestanud eeskirjad ja protseduurid kasutajate juurdepääsu haldamiseks infosüsteemidele, sealhulgas juurdepääsukontrolli, kasutaja autentimise ja regulaarsete juurdepääsude ülevaatuste kasutamiseks.
6.11. Jälgimine ja logimine
Oleme kehtestanud poliitikad ja protseduurid infosüsteemi tegevuste jälgimiseks ja logimiseks, sealhulgas kontrolljälgede ja turvaintsidentide logimise kasutamiseks.
Osa 7. Infosüsteemide soetamine, arendamine ja hooldus
7.1. Nõuded
Oleme kehtestanud poliitikad ja protseduurid infosüsteemi nõuete, sealhulgas ärinõuete, juriidiliste ja regulatiivsete nõuete ning turvanõuete tuvastamiseks.
7.2. Tarnija suhted
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide ja -teenuste kolmandatest osapooltest tarnijatega suhete haldamiseks, sealhulgas tarnijate turvatavade hindamiseks.
7.3. Süsteemi arendamine
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide turvaliseks arendamiseks, sealhulgas turvaliste kodeerimistavade kasutamiseks, regulaarseks testimiseks ja kvaliteedi tagamiseks.
7.4. Süsteemi testimine
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide testimiseks, sealhulgas funktsionaalsuse testimiseks, jõudlustestimiseks ja turbetestimiseks.
7.5. Süsteemi aktsepteerimine
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide aktsepteerimiseks, sealhulgas testimistulemuste kinnitamiseks, turbehinnanguteks ja kasutajate aktsepteerimise testimiseks.
7.6. Süsteemi hooldus
Oleme kehtestanud infosüsteemide hoolduse põhimõtted ja protseduurid, sealhulgas regulaarsed uuendused, turvapaigad ja süsteemi varukoopiad.
7.7. Süsteemi pensionile jäämine
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide kasutusest kõrvaldamiseks, sealhulgas riistvara ja andmete turvaliseks kõrvaldamiseks.
7.8. Andmete säilitamine
Oleme kehtestanud eeskirjad ja protseduurid andmete säilitamiseks vastavalt seaduslikele ja regulatiivsetele nõuetele, sealhulgas tundlike andmete turvaliseks säilitamiseks ja kõrvaldamiseks.
7.9. Infosüsteemide turvanõuded
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide turvanõuete, sealhulgas juurdepääsukontrolli, krüptimise ja andmekaitse tuvastamiseks ja rakendamiseks.
7.10. Turvalised arenduskeskkonnad
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide turvaliste arenduskeskkondade jaoks, sealhulgas turvaliste arendustavade, juurdepääsukontrolli ja turvaliste võrgukonfiguratsioonide kasutamiseks.
7.11. Katsekeskkondade kaitse
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide testimiskeskkondade kaitseks, sealhulgas turvaliste konfiguratsioonide, juurdepääsukontrolli ja regulaarsete turvatestide kasutamiseks.
7.12. Turvalise süsteemiehituse põhimõtted
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide turvaliste süsteemitehniliste põhimõtete rakendamiseks, sealhulgas turbearhitektuuride, ohtude modelleerimise ja turvalise kodeerimise tavade rakendamiseks.
7.13. Turvalise kodeerimise juhised
Oleme kehtestanud poliitikad ja protseduurid infosüsteemide turvalise kodeerimise juhiste rakendamiseks, sealhulgas kodeerimisstandardite kasutamiseks, koodide ülevaatamiseks ja automatiseeritud testimiseks.
Osa 8. Riistvara soetamine
8.1. Standardite järgimine
Järgime infoturbe haldussüsteemi (ISMS) standardit ISO 27001, et tagada riistvaravarade hankimine vastavalt meie turvanõuetele.
8.2. Riskihindamine
Enne riistvaravarade hankimist viime läbi riskianalüüsi, et tuvastada võimalikud turvariskid ja tagada valitud riistvara vastavus turvanõuetele.
8.3. Müüjate valik
Hangime riistvara ainult usaldusväärsetelt müüjatelt, kellel on turvaliste toodete tarnimise kogemus. Vaatame üle tarnija turbepoliitikad ja -tavad ning nõuame neilt kindlust, et nende tooted vastavad meie turvanõuetele.
8.4. Turvaline transport
Tagame, et riistvaravara transporditakse turvaliselt meie ruumidesse, et vältida transpordi ajal rikkumist, kahjustamist või vargust.
8.5. Autentsuse kontrollimine
Kontrollime tarnimisel riistvaravarade autentsust, et tagada, et need pole võltsitud ega rikutud.
8.6. Füüsiline ja keskkonnakontroll
Rakendame asjakohaseid füüsilisi ja keskkonnakaitsemeetmeid, et kaitsta riistvaravara volitamata juurdepääsu, varguse või kahjustuste eest.
8.7. Riistvara installimine
Tagame, et kõik riistvaravarad on konfigureeritud ja paigaldatud vastavalt kehtestatud turvastandarditele ja juhistele.
8.8. Riistvara ülevaated
Teeme riistvaravarade perioodilisi ülevaatusi tagamaks, et need vastavad jätkuvalt meie turvanõuetele ning on kursis uusimate turvapaikade ja värskendustega.
8.9. Riistvara utiliseerimine
Kõrvaldame riistvaravara turvalisel viisil, et vältida volitamata juurdepääsu tundlikule teabele.
9. osa. Kaitse pahavara ja viiruste eest
9.1. Tarkvara värskendamise eeskirjad
Hoiame ajakohast viiruse- ja pahavaratõrjetarkvara kõikides Euroopa IT Sertifitseerimisinstituudis kasutatavates infosüsteemides, sealhulgas serverites, tööjaamades, sülearvutites ja mobiilseadmetes. Tagame, et viiruse- ja pahavaratõrjetarkvara on konfigureeritud nii, et see värskendaks regulaarselt oma viirusedefinitsioonifaile ja tarkvaraversioone ning et seda protsessi testitakse regulaarselt.
9.2. Viirusetõrje ja pahavara skannimine
Kontrollime regulaarselt kõiki infosüsteeme, sealhulgas servereid, tööjaamu, sülearvuteid ja mobiilseadmeid, et tuvastada ja eemaldada kõik viirused või pahavara.
9.3. Keelamise ja muutmise keelupoliitika
Jõustame eeskirjad, mis keelavad kasutajatel mis tahes infosüsteemis viiruse- ja pahavaratõrjetarkvara keelata või muuta.
9.4. Järelevalve
Jälgime oma viiruse- ja pahavaratõrjetarkvara hoiatusi ja logisid, et tuvastada kõik viirus- või pahavaraga nakatumise juhtumid ning reageerida sellistele juhtumitele õigeaegselt.
9.5. Kirjete hooldus
Säilitame auditi eesmärgil viiruse- ja pahavaratõrjetarkvara konfiguratsiooni, värskenduste ja skannimiste ning viiruste või pahavaraga nakatumise juhtude kohta arvestust.
9.6. Tarkvara ülevaated
Teeme oma viiruse- ja pahavaratõrjetarkvara perioodilisi ülevaatusi tagamaks, et see vastab praegustele tööstusstandarditele ja on meie vajadustele piisav.
9.7. Koolitus ja teadlikkus
Pakume koolitus- ja teadlikkuse tõstmise programme, et teavitada kõiki töötajaid viiruse- ja pahavarakaitse tähtsusest ning sellest, kuidas kahtlasi tegevusi või intsidente ära tunda ja neist teatada.
Osa 10. Infovarahaldus
10.1. Teabevarade inventuur
Euroopa IT Sertifitseerimisinstituut peab teabevarade loendit, mis hõlmab kõiki digitaalseid ja füüsilisi teabevarasid, nagu süsteemid, võrgud, tarkvara, andmed ja dokumentatsioon. Liigitame teabevarasid nende kriitilisuse ja tundlikkuse alusel, et tagada asjakohaste kaitsemeetmete rakendamine.
10.2. Teabevara käsitlemine
Rakendame asjakohaseid meetmeid teabevarade kaitsmiseks nende klassifikatsiooni alusel, sealhulgas konfidentsiaalsus, terviklikkus ja kättesaadavus. Tagame, et kõiki teabevarasid käsitletakse vastavalt kehtivatele seadustele, määrustele ja lepingulistele nõuetele. Samuti tagame, et kogu teabevara on nõuetekohaselt salvestatud, kaitstud ja kõrvaldatud, kui seda enam ei vajata.
10.3. Teabevara omandiõigus
Määrame teabevarade omandiõiguse üksikisikutele või osakondadele, kes vastutavad teabevarade haldamise ja kaitsmise eest. Samuti tagame, et teabevarade omanikud mõistavad oma kohustusi ja vastutust teabevara kaitsmisel.
10.4. Teabevara kaitse
Kasutame teabevarade kaitsmiseks mitmesuguseid kaitsemeetmeid, sealhulgas füüsilisi juhtelemente, juurdepääsu kontrolle, krüptimist ning varundus- ja taastamisprotsesse. Samuti tagame, et kogu teabevara on kaitstud volitamata juurdepääsu, muutmise või hävitamise eest.
Osa 11. Juurdepääsukontroll
11.1. Juurdepääsukontrolli poliitika
Euroopa IT Sertifitseerimisinstituudil on juurdepääsukontrolli poliitika, mis kirjeldab teabevaradele juurdepääsu andmise, muutmise ja tühistamise nõudeid. Juurdepääsukontroll on meie infoturbe haldussüsteemi kriitiline komponent ja me rakendame seda tagamaks, et meie teabevaradele on juurdepääs ainult volitatud isikutel.
11.2. Juurdepääsukontrolli rakendamine
Juurdepääsukontrolli meetmeid rakendame vähimate privileegide põhimõttel, mis tähendab, et üksikisikutel on juurdepääs ainult nendele infovaradele, mis on vajalikud nende tööülesannete täitmiseks. Kasutame erinevaid juurdepääsukontrolli meetmeid, sealhulgas autentimist, autoriseerimist ja arvestust (AAA). Samuti kasutame teabevaradele juurdepääsu kontrollimiseks juurdepääsu kontrolli loendeid (ACL) ja õigusi.
11.3. Paroolipoliitika
Euroopa IT-sertifitseerimisinstituudil on paroolipoliitika, mis kirjeldab paroolide loomise ja haldamise nõudeid. Nõuame tugevaid paroole, mis on vähemalt 8 tähemärgi pikkused, suur- ja väiketähtede, numbrite ja erimärkide kombinatsiooniga. Nõuame ka paroolide perioodilist muutmist ja keelame varasemate paroolide taaskasutamise.
11.4. Kasutajate haldus
Meil on kasutajate haldusprotsess, mis hõlmab kasutajakontode loomist, muutmist ja kustutamist. Kasutajakontode loomisel lähtutakse vähima privileegide põhimõttest ning ligipääs antakse ainult infovaradele, mis on vajalikud inimese tööülesannete täitmiseks. Samuti vaatame regulaarselt üle kasutajakontod ja eemaldame kontod, mida enam ei vajata.
Osa 12. Infoturbeintsidentide juhtimine
12.1. Juhtumijuhtimise poliitika
Euroopa IT-sertifitseerimisinstituudil on intsidentide haldamise poliitika, mis kirjeldab turvaintsidentide tuvastamise, aruandluse, hindamise ja neile reageerimise nõudeid. Me defineerime turvaintsidente kui mis tahes sündmust, mis ohustab teabevarade või süsteemide konfidentsiaalsust, terviklikkust või kättesaadavust.
12.2. Juhtumi avastamine ja sellest teatamine
Rakendame meetmeid turvaintsidentide kiireks tuvastamiseks ja nendest teatamiseks. Kasutame turvaintsidentide tuvastamiseks mitmesuguseid meetodeid, sealhulgas sissetungimise tuvastamise süsteeme (IDS), viirusetõrjetarkvara ja kasutajate aruandlust. Samuti tagame, et kõik töötajad on teadlikud turvaintsidentidest teatamise protseduuridest ja julgustame kõigist kahtlustatavatest intsidentidest teatama.
12.3. Juhtumi hindamine ja neile reageerimine
Meil on turvaintsidentide hindamise ja neile reageerimise protsess nende tõsiduse ja mõju alusel. Seisame intsidendid prioriteediks nende võimaliku mõju põhjal teabevaradele või süsteemidele ja eraldame neile reageerimiseks asjakohased ressursid. Meil on ka reageerimisplaan, mis sisaldab protseduure turvaintsidentide tuvastamiseks, ohjeldamiseks, analüüsimiseks, likvideerimiseks ja nendest taastumiseks, samuti asjaomaste osapoolte teavitamiseks ja intsidendijärgsete ülevaatuste tegemiseks. Meie intsidentidele reageerimise protseduurid on loodud kiire ja tõhusa reageerimise tagamiseks. turvaintsidentidele. Menetlusi vaadatakse regulaarselt üle ja ajakohastatakse, et tagada nende tõhusus ja asjakohasus.
12.4. Juhtumitele reageerimise meeskond
Meil on intsidentidele reageerimise meeskond (IRT), kes vastutab turvaintsidentidele reageerimise eest. IRT koosneb erinevate üksuste esindajatest ja seda juhib infoturbeametnik (ISO). IRT vastutab vahejuhtumite tõsiduse hindamise, intsidendi ohjeldamise ja asjakohaste reageerimisprotseduuride algatamise eest.
12.5. Juhtumitest teatamine ja ülevaade
Oleme kehtestanud protseduurid turvaintsidentidest asjaomastele osapooltele, sealhulgas klientidele, reguleerivatele asutustele ja õiguskaitseorganitele teatamiseks, vastavalt kehtivatele seadustele ja määrustele. Samuti suhtleme mõjutatud osapooltega kogu intsidendile reageerimise protsessi vältel, pakkudes õigeaegseid värskendusi intsidendi oleku ja selle mõju leevendamiseks võetud meetmete kohta. Samuti viime läbi kõik turvaintsidendid, et tuvastada algpõhjus ja vältida sarnaste intsidentide esinemist tulevikus.
Osa 13. Talitluspidevuse juhtimine ja avariitaaste
13.1. Talitluspidevuse planeerimine
Kuigi Euroopa IT Sertifitseerimise Instituut on mittetulundusühing, on tal talitluspidevuse plaan (BCP), mis kirjeldab toimingud, mis tagavad tema tegevuse järjepidevuse katkestuste korral. BCP hõlmab kõiki kriitilisi tööprotsesse ja tuvastab ressursid, mis on vajalikud toimingute jätkamiseks häiriva intsidendi ajal ja pärast seda. Samuti kirjeldatakse toimingud äritegevuse jätkamiseks häire või katastroofi ajal, häirete mõju hindamiseks, kriitilisemate tööprotsesside tuvastamiseks konkreetse häiriva intsidendi kontekstis ning reageerimis- ja taastamisprotseduuride väljatöötamiseks.
13.2. Katastroofitaaste planeerimine
Euroopa IT-sertifitseerimisinstituudil on katastroofi taastamise plaan (DRP), mis kirjeldab meie infosüsteemide taastamise protseduure häire või katastroofi korral. DRP sisaldab andmete varundamise, andmete taastamise ja süsteemi taastamise protseduure. DRP-d testitakse ja uuendatakse regulaarselt, et tagada selle tõhusus.
13.3. Ärimõjude analüüs
Teeme ärimõjude analüüsi (BIA), et tuvastada kriitilised tööprotsessid ja nende hooldamiseks vajalikud ressursid. BIA aitab meil taastamispüüdlusi tähtsuse järjekorda seada ja ressursse vastavalt eraldada.
13.4. Talitluspidevuse strateegia
BIA tulemuste põhjal töötame välja talitluspidevuse strateegia, mis toob välja protseduurid häirivale juhtumile reageerimiseks. Strateegia sisaldab protseduure BCP aktiveerimiseks, kriitiliste tööprotsesside taastamiseks ja asjaomaste sidusrühmadega suhtlemiseks.
13.5. Testimine ja hooldus
Testime ja hooldame regulaarselt oma BCP-d ja DRP-d, et tagada nende tõhusus ja asjakohasus. Teostame regulaarseid teste, et kinnitada BCP/DRP ja tuvastada parendusvaldkonnad. Samuti värskendame vajaduse korral BCP-d ja DRP-d, et kajastada muutusi meie tegevuses või ohtude maastikul. Testimine hõlmab lauaharjutusi, simulatsioone ja protseduuride reaalajas testimist. Samuti vaatame üle ja uuendame oma plaane, lähtudes testimise tulemustest ja saadud õppetundidest.
13.6. Alternatiivsed töötlemissaidid
Hoiame alternatiivseid veebipõhiseid töötlemissaite, mida saab kasutada äritegevuse jätkamiseks häire või katastroofi korral. Alternatiivsed töötlemiskohad on varustatud vajaliku infrastruktuuri ja süsteemidega ning neid saab kasutada kriitiliste äriprotsesside toetamiseks.
14. osa. Vastavus ja audit
14.1. Seaduste ja määruste järgimine
Euroopa IT-sertifitseerimisinstituut on võtnud endale kohustuse järgida kõiki kehtivaid infoturbe ja privaatsusega seotud seadusi ja määrusi, sealhulgas andmekaitseseadusi, tööstusharu standardeid ja lepingulisi kohustusi. Vaatame regulaarselt üle ja uuendame oma eeskirju, protseduure ja kontrolle, et tagada vastavus kõikidele asjakohastele nõuetele ja standarditele. Peamised standardid ja raamistikud, mida infoturbe kontekstis järgime, on järgmised:
- ISO/IEC 27001 standard, mis annab juhised infoturbe haldussüsteemi (ISMS) rakendamiseks ja haldamiseks, mis sisaldab haavatavuse haldust võtmekomponendina. See pakub võrdlusraamistikku meie infoturbe haldussüsteemi (ISMS), sealhulgas haavatavuse haldamiseks, juurutamiseks ja hooldamiseks. Selle standardsätete kohaselt tuvastame, hindame ja juhime infoturbe riske, sealhulgas haavatavusi.
- USA riikliku standardite ja tehnoloogia instituudi (NIST) küberturvalisuse raamistik, mis annab juhised küberturvalisuse riskide tuvastamiseks, hindamiseks ja juhtimiseks, sealhulgas haavatavuse haldamiseks.
- Riiklik standardite ja tehnoloogia instituudi (NIST) küberturvalisuse raamistik küberturvalisuse riskijuhtimise parandamiseks koos põhifunktsioonidega, sealhulgas haavatavuse haldamisega, millest me oma küberjulgeolekuriskide haldamisel kinni peame.
- SANS-i kriitilised turbekontrollid, mis sisaldavad 20 turbekontrolli komplekti küberturvalisuse parandamiseks, hõlmates mitmesuguseid valdkondi, sealhulgas haavatavuse haldust, pakkudes konkreetseid juhiseid haavatavuse skannimise, paikade haldamise ja haavatavuse haldamise muude aspektide kohta.
- Maksekaarditööstuse andmeturbe standard (PCI DSS), mis nõuab selles kontekstis haavatavuse haldamiseks krediitkaarditeabe käsitlemist.
- Interneti-turbekontrolli keskus (CIS), sealhulgas haavatavuse haldus kui üks peamisi juhtelemente meie infosüsteemide turvalise konfiguratsiooni tagamiseks.
- Avatud veebirakenduse turbeprojekt (OWASP) koos 10 kõige kriitilisemate veebirakenduste turberiskide loendiga, sealhulgas haavatavuste hindamine, nagu süstimisrünnakud, vigane autentimine ja seansihaldus, saitidevaheline skriptimine (XSS) jne. OWASP Top 10, et seada prioriteediks meie haavatavuse haldamise jõupingutused ja keskenduda meie veebisüsteemidega seotud kõige kriitilisematele riskidele.
14.2. Siseauditi
Viime läbi regulaarseid siseauditeid, et hinnata meie infoturbe haldussüsteemi (ISMS) tõhusust ja tagada meie poliitikate, protseduuride ja kontrollide järgimine. Siseauditi protsess hõlmab mittevastavuste tuvastamist, parandusmeetmete väljatöötamist ja heastamistegevuse jälgimist.
14.3. Välisaudit
Suhtleme perioodiliselt välisaudiitoritega, et kinnitada meie vastavust kohaldatavatele seadustele, määrustele ja tööstusstandarditele. Pakume audiitoritele juurdepääsu meie rajatistele, süsteemidele ja dokumentatsioonile, mis on vajalik meie vastavuse kinnitamiseks. Samuti teeme koostööd välisaudiitoritega, et käsitleda auditi käigus tuvastatud leide või soovitusi.
14.4. Vastavuse jälgimine
Jälgime oma vastavust kohaldatavatele seadustele, määrustele ja tööstusstandarditele jooksvalt. Kasutame nõuetele vastavuse jälgimiseks mitmesuguseid meetodeid, sealhulgas perioodilisi hindamisi, auditeid ja kolmandatest osapooltest pakkujate ülevaatusi. Samuti vaatame regulaarselt üle ja uuendame oma eeskirju, protseduure ja kontrolle, et tagada kõigi asjakohaste nõuete pidev järgimine.
Osa 15. Kolmanda osapoole haldus
15.1. Kolmanda osapoole halduspoliitika
Euroopa IT-sertifitseerimisinstituudil on kolmanda osapoole halduspoliitika, mis kirjeldab meie teabevaradele või -süsteemidele juurdepääsu omavate kolmandatest osapooltest pakkujate valimise, hindamise ja jälgimise nõudeid. Eeskirjad kehtivad kõikidele kolmandatest osapooltest pakkujatele, sealhulgas pilveteenuste pakkujatele, hankijatele ja töövõtjatele.
15.2. Kolmanda osapoole valik ja hindamine
Enne kolmandatest osapooltest teenusepakkujatega suhtlemist teostame hoolsuskontrolli tagamaks, et neil on meie teabevarade või süsteemide kaitsmiseks piisavad turvakontrollid. Samuti hindame kolmandatest osapooltest pakkujate vastavust kehtivatele infoturbe ja privaatsusega seotud seadustele ja määrustele.
15.3. Kolmanda osapoole jälgimine
Jälgime kolmandatest osapooltest teenusepakkujaid pidevalt tagamaks, et nad vastavad jätkuvalt meie teabeturbe ja privaatsuse nõuetele. Kasutame kolmandatest osapooltest pakkujate jälgimiseks mitmesuguseid meetodeid, sealhulgas perioodilisi hindamisi, auditeid ja turvaintsidentide aruannete ülevaatusi.
15.4. Lepingulised nõuded
Lisame infoturbe ja privaatsusega seotud lepingulised nõuded kõikidesse lepingutesse kolmandate isikute pakkujatega. Need nõuded hõlmavad sätteid andmekaitse, turvakontrolli, intsidentide haldamise ja vastavuse jälgimise kohta. Lisame ka sätted lepingute lõpetamiseks turvaintsidendi või mittevastavuse korral.
Osa 16. Infoturve sertifitseerimisprotsessides
16.1 Sertifitseerimisprotsesside turvalisus
Me rakendame piisavaid ja süsteemseid meetmeid, et tagada kogu meie sertifitseerimisprotsessidega seotud teabe, sealhulgas sertifitseerimist taotlevate isikute isikuandmete turvalisus. See hõlmab kogu sertifitseerimisega seotud teabe juurdepääsu, talletamise ja edastamise juhtelemente. Nende meetmete rakendamisega soovime tagada, et sertifitseerimisprotsessid viiakse läbi kõrgeima turvalisuse ja terviklikkuse tasemel ning sertifitseerimist taotlevate isikute isikuandmed on kaitstud vastavalt asjakohastele eeskirjadele ja standarditele.
16.2. Autentimine ja autoriseerimine
Kasutame autentimise ja autoriseerimise juhtelemente tagamaks, et ainult volitatud töötajatel on juurdepääs sertifitseerimisteabele. Juurdepääsu kontrolle vaadatakse regulaarselt üle ja ajakohastatakse vastavalt personali rollide ja kohustuste muutumisele.
16.3. Andmekaitse
Kaitseme isikuandmeid kogu sertifitseerimisprotsessi vältel, rakendades asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, et tagada andmete konfidentsiaalsus, terviklikkus ja kättesaadavus. See hõlmab selliseid meetmeid nagu krüptimine, juurdepääsu kontroll ja regulaarne varundamine.
16.4. Eksamiprotsesside turvalisus
Tagame eksamiprotsesside turvalisuse, rakendades vastavaid meetmeid petmise vältimiseks, jälgides ja kontrollides eksamikeskkonda. Samuti säilitame eksamimaterjalide terviklikkuse ja konfidentsiaalsuse turvaliste hoiuprotseduuride kaudu.
16.5. Eksami sisu turvalisus
Tagame eksami sisu turvalisuse, rakendades asjakohaseid meetmeid, et kaitsta sisu volitamata juurdepääsu, muutmise või avalikustamise eest. See hõlmab uuringu sisu turvalise salvestuse, krüptimise ja juurdepääsu juhtelementide kasutamist, samuti kontrolle uuringu sisu volitamata levitamise või levitamise tõkestamiseks.
16.6. Eksami kohaletoimetamise turvalisus
Tagame eksamite edastamise turvalisuse, rakendades asjakohaseid meetmeid, et vältida eksamikeskkonnale volitamata juurdepääsu või sellega manipuleerimist. See hõlmab selliseid meetmeid nagu eksamikeskkonna jälgimine, auditeerimine ja kontroll ning konkreetsed eksamimeetodid, et vältida pettust või muid turvarikkumisi.
16.7. Eksamitulemuste turvalisus
Tagame uuringutulemuste turvalisuse, rakendades asjakohaseid meetmeid, et kaitsta neid tulemuste volitamata juurdepääsu, muutmise või avalikustamise eest. See hõlmab uuringutulemuste turvalise salvestuse, krüptimise ja juurdepääsu kontrollide kasutamist, samuti kontrolli tulemuste volitamata levitamise või levitamise tõkestamiseks.
16.8. Sertifikaatide väljastamise turvalisus
Tagame sertifikaatide väljastamise turvalisuse, rakendades vastavaid meetmeid, et vältida pettusi ja sertifikaatide volitamata väljastamist. See hõlmab kontrolle sertifikaate saavate isikute identiteedi kontrollimiseks ning turvalise säilitamise ja väljaandmise protseduure.
16.9. Kaebused ja apellatsioonid
Oleme kehtestanud protseduurid sertifitseerimisprotsessiga seotud kaebuste ja apellatsioonide haldamiseks. Need protseduurid hõlmavad meetmeid, mis tagavad protsessi konfidentsiaalsuse ja erapooletuse ning kaebuste ja kaebustega seotud teabe turvalisuse.
16.10. Sertifitseerimisprotsessid Kvaliteedijuhtimine
Oleme sertifitseerimisprotsesside jaoks loonud kvaliteedijuhtimissüsteemi (QMS), mis sisaldab meetmeid protsesside efektiivsuse, tõhususe ja turvalisuse tagamiseks. QMS sisaldab protsesside ja nende turvakontrolli regulaarseid auditeid ja ülevaatusi.
16.11. Sertifitseerimisprotsesside turvalisuse pidev täiustamine
Oleme pühendunud oma sertifitseerimisprotsesside ja nende turvakontrolli pidevale täiustamisele. See hõlmab sertifitseerimisega seotud poliitikate ja protseduuride turvalisuse regulaarset ülevaatamist ja ajakohastamist, mis põhinevad ärikeskkonna muutustel, regulatiivsetel nõuetel ja infoturbe juhtimise parimatel tavadel, kooskõlas ISO 27001 infoturbehalduse standardiga, aga ka ISO-ga. 17024 sertifitseerimisasutuste tegevusstandard.
Osa 17. Lõppsätted
17.1. Eeskirjade ülevaatamine ja värskendamine
See teabeturbepoliitika on elav dokument, mis läbib pidevaid ülevaatusi ja uuendusi, mis põhinevad muudatustel meie töönõuetes, regulatiivsetes nõuetes või infoturbe haldamise parimates tavades.
17.2. Vastavuse jälgimine
Oleme kehtestanud protseduurid käesoleva infoturbepoliitika ja sellega seotud turvakontrollide järgimise jälgimiseks. Vastavuse jälgimine hõlmab regulaarseid auditeid, hindamisi ja turbekontrollide ning nende tõhususe ülevaatamist käesoleva poliitika eesmärkide saavutamisel.
17.3. Turvaintsidentidest teatamine
Oleme kehtestanud oma infosüsteemidega, sealhulgas üksikisikute isikuandmetega seotud turvaintsidentidest teavitamise protseduurid. Töötajaid, töövõtjaid ja teisi sidusrühmi julgustatakse teavitama kõigist turvaintsidentidest või kahtlustatavatest intsidentidest määratud turvameeskonda niipea kui võimalik.
17.4. Koolitus ja teadlikkus
Pakume töötajatele, töövõtjatele ja teistele sidusrühmadele regulaarseid koolitus- ja teadlikkuse tõstmise programme tagamaks, et nad on teadlikud oma infoturbega seotud vastutusest ja kohustustest. See hõlmab koolitust turvapoliitika ja -protseduuride ning üksikisikute isikuandmete kaitsmise meetmete kohta.
17.5. Vastutus ja vastutus
Peame kõiki töötajaid, töövõtjaid ja muid sidusrühmi vastutama ja vastutavad selle teabeturbepoliitika ja sellega seotud turvakontrolli järgimise eest. Peame juhtkonda vastutavaks ka selle eest, et tõhusa infoturbe kontrolli rakendamiseks ja säilitamiseks eraldataks asjakohased vahendid.
Käesolev teabeturbepoliitika on Euroopa IT-sertifitseerimisinstituudi infoturbe haldusraamistiku kriitilise tähtsusega komponent ning näitab meie pühendumust teabevarade ja töödeldud andmete kaitsmisele, teabe konfidentsiaalsuse, privaatsuse, terviklikkuse ja kättesaadavuse tagamisele ning regulatiivsete ja lepinguliste nõuete täitmisele.