Inligtingsveiligheidsbeleid
EITCA Akademie Inligtingsveiligheidsbeleid
Hierdie dokument spesifiseer die Europese IT-sertifiseringsinstituut se inligtingsekuriteitsbeleid (ISP), wat gereeld hersien en bygewerk word om die doeltreffendheid en relevansie daarvan te verseker. Die laaste opdatering van die EITCI-inligtingsekuriteitsbeleid is op 7 Januarie 2023 gemaak.
Deel 1. Inleiding en Inligtingsekuriteitsbeleidsverklaring
1.1. Inleiding
Die Europese IT-sertifiseringsinstituut erken die belangrikheid van inligtingsekuriteit in die handhawing van die vertroulikheid, integriteit en beskikbaarheid van inligting en die vertroue van ons belanghebbendes. Ons is daartoe verbind om sensitiewe inligting, insluitend persoonlike data, te beskerm teen ongemagtigde toegang, openbaarmaking, verandering en vernietiging. Ons handhaaf 'n doeltreffende inligtingsekuriteitsbeleid om ons missie om betroubare en onpartydige sertifiseringsdienste aan ons kliënte te verskaf, te ondersteun. Die inligtingsekuriteitsbeleid beskryf ons verbintenis tot die beskerming van inligtingsbates en die nakoming van ons wetlike, regulatoriese en kontraktuele verpligtinge. Ons beleid is gebaseer op die beginsels van ISO 27001 en ISO 17024, die toonaangewende internasionale standaarde vir bestuur van inligtingsekuriteit en bedryfstandaarde vir sertifiseringsliggame.
1.2. Beleidsverklaring
Die Europese IT-sertifiseringsinstituut is daartoe verbind om:
- Die beskerming van die vertroulikheid, integriteit en beskikbaarheid van inligtingsbates,
- Voldoening aan wetlike, regulatoriese en kontraktuele verpligtinge wat verband hou met inligtingsekuriteit en verwerking van data wat sy sertifiseringsprosesse en -bedrywighede implementeer,
- Die voortdurende verbetering van sy inligtingsekuriteitsbeleid en verwante bestuurstelsel,
- Die verskaffing van voldoende opleiding en bewustheid aan werknemers, kontrakteurs en deelnemers,
- Betrek alle werknemers en kontrakteurs by die implementering en instandhouding van die inligtingsekuriteitsbeleid en die verwante inligtingsekuriteitbestuurstelsel.
1.3. Omvang
Hierdie beleid is van toepassing op alle inligtingsbates wat deur die Europese IT-sertifiseringsinstituut besit, beheer of verwerk word. Dit sluit alle digitale en fisiese inligtingsbates in, soos stelsels, netwerke, sagteware, data en dokumentasie. Hierdie beleid is ook van toepassing op alle werknemers, kontrakteurs en derdeparty diensverskaffers wat toegang tot ons inligtingbates het.
1.4. nakoming
Die Europese IT-sertifiseringsinstituut is daartoe verbind om te voldoen aan relevante inligtingsekuriteitstandaarde, insluitend ISO 27001 en ISO 17024. Ons hersien en werk gereeld hierdie beleid op om te verseker dat dit voortdurend toepaslik is en voldoen aan hierdie standaarde.
Deel 2. Organisatoriese sekuriteit
2.1. Organisasie Sekuriteitsdoelwitte
Deur organisatoriese sekuriteitsmaatreëls te implementeer, beoog ons om te verseker dat ons inligting, bates en dataverwerkingspraktyke en -prosedures uitgevoer word met die hoogste vlak van sekuriteit en integriteit, en dat ons aan relevante wetlike regulasies en standaarde voldoen.
2.2. Rolle en verantwoordelikhede vir inligtingsekuriteit
Die Europese IT-sertifiseringsinstituut definieer en kommunikeer rolle en verantwoordelikhede vir inligtingsekuriteit regoor die organisasie. Dit sluit in die toekenning van duidelike eienaarskap vir inligtingsbates in verband met die inligtingsekuriteit, die daarstelling van 'n bestuurstruktuur, en die definisie van spesifieke verantwoordelikhede vir verskeie rolle en departemente regoor die organisasie.
2.3. Risiko bestuur
Ons doen gereelde risikobeoordelings om inligtingsekuriteitsrisiko's vir die organisasie te identifiseer en te prioritiseer, insluitend risiko's wat verband hou met persoonlike dataverwerking. Ons stel toepaslike beheermaatreëls in om hierdie risiko's te versag, en hersien en werk gereeld ons risikobestuursbenadering op gegrond op veranderinge in die besigheidsomgewing en bedreigingslandskap.
2.4. Beleide en prosedures vir inligtingsekuriteit
Ons vestig en handhaaf 'n stel inligtingsekuriteitsbeleide en -prosedures wat gebaseer is op die beste praktyke in die industrie en voldoen aan relevante regulasies en standaarde. Hierdie beleide en prosedures dek alle aspekte van inligtingsekuriteit, insluitend persoonlike dataverwerking, en word gereeld hersien en bygewerk om hul doeltreffendheid te verseker.
2.5. Sekuriteitsbewustheid en opleiding
Ons verskaf gereelde sekuriteitsbewusmaking en opleidingsprogramme aan alle werknemers, kontrakteurs en derdepartyvennote wat toegang het tot persoonlike data of ander sensitiewe inligting. Hierdie opleiding dek onderwerpe soos uitvissing, sosiale ingenieurswese, wagwoordhigiëne en ander beste praktyke vir inligtingsekuriteit.
2.6. Fisiese en Omgewingssekerheid
Ons implementeer toepaslike fisiese en omgewingsekuriteitskontroles om te beskerm teen ongemagtigde toegang, skade of inmenging tot ons fasiliteite en inligtingstelsels. Dit sluit maatreëls in soos toegangsbeheer, toesig, monitering en rugsteunkrag- en verkoelingstelsels.
2.7. Bestuur van inligtingsekuriteitsinsidente
Ons het 'n voorvalbestuursproses daargestel wat ons in staat stel om vinnig en doeltreffend te reageer op enige inligtingsekuriteitsinsidente wat mag voorkom. Dit sluit prosedures in vir aanmelding, eskalasie, ondersoek en oplossing van voorvalle, sowel as maatreëls om herhaling te voorkom en ons insidentreaksievermoëns te verbeter.
2.8. Operasionele kontinuïteit en rampherstel
Ons het operasionele kontinuïteit en rampherstelplanne daargestel en getoets wat ons in staat stel om ons kritieke bedryfsfunksies en -dienste te handhaaf in die geval van 'n ontwrigting of ramp. Hierdie planne sluit prosedures vir rugsteun en herstel van data en stelsels in, en maatreëls om die beskikbaarheid en integriteit van persoonlike data te verseker.
2.9. Derdepartybestuur
Ons vestig en handhaaf toepaslike kontroles vir die bestuur van die risiko's wat verband hou met derdeparty-vennote wat toegang het tot persoonlike data of ander sensitiewe inligting. Dit sluit maatreëls in soos omsigtigheidsondersoek, kontraktuele verpligtinge, monitering en oudits, sowel as maatreëls vir die beëindiging van vennootskappe wanneer nodig.
Deel 3. Menslike Hulpbronne Sekuriteit
3.1. Indiensneming Sifting
Die Europese IT-sertifiseringsinstituut het 'n proses vir indiensnemingskeuring ingestel om te verseker dat individue met toegang tot sensitiewe inligting betroubaar is en oor die nodige vaardighede en kwalifikasies beskik.
3.2. Toegangsbeheer
Ons het toegangsbeheerbeleide en -prosedures ingestel om te verseker dat werknemers slegs toegang het tot die inligting wat nodig is vir hul werksverantwoordelikhede. Die toegangsregte word gereeld hersien en bygewerk om te verseker dat werknemers toegang het tot slegs die inligting wat hulle benodig.
3.3. Bewustheid en opleiding van inligtingsekuriteit
Ons verskaf inligtingsekuriteitbewustheidsopleiding aan alle werknemers op 'n gereelde basis. Hierdie opleiding dek onderwerpe soos wagwoordsekuriteit, phishing-aanvalle, sosiale ingenieurswese en ander aspekte van kuberveiligheid.
3.4. Aanvaarbare gebruik
Ons het 'n aanvaarbare gebruiksbeleid daargestel wat die aanvaarbare gebruik van inligtingstelsels en hulpbronne uiteensit, insluitend persoonlike toestelle wat vir werkdoeleindes gebruik word.
3.5. Mobiele toestel sekuriteit
Ons het beleide en prosedures vasgestel vir die veilige gebruik van mobiele toestelle, insluitend die gebruik van wagwoorde, enkripsie en afgeleë vee-vermoëns.
3.6. Beëindigingsprosedures
Die Europese IT-sertifiseringsinstituut het prosedures vir die beëindiging van diens of kontrak ingestel om te verseker dat toegang tot sensitiewe inligting spoedig en veilig herroep word.
3.7. Derdeparty-personeel
Ons het prosedures vasgestel vir die bestuur van derdeparty-personeel wat toegang tot sensitiewe inligting het. Hierdie beleide behels sifting, toegangsbeheer en opleiding in bewusmaking van inligtingsekuriteit.
3.8. Rapporteer voorvalle
Ons het beleide en prosedures daargestel om inligtingsekuriteitsvoorvalle of bekommernisse aan die toepaslike personeel of owerhede aan te meld.
3.9. Vertroulikheidsooreenkomste
Die Europese IT-sertifiseringsinstituut vereis dat werknemers en kontrakteurs vertroulikheidsooreenkomste onderteken om sensitiewe inligting teen ongemagtigde openbaarmaking te beskerm.
3.10. Dissiplinêre aksies
Die Europese IT-sertifiseringsinstituut het beleide en prosedures vir dissiplinêre optrede in die geval van inligtingsekuriteitsbeleidskendings deur werknemers of kontrakteurs ingestel.
Deel 4. Risiko-evaluering en -bestuur
4.1. Risikobepaling
Ons doen periodieke risikobeoordelings om potensiële bedreigings en kwesbaarhede vir ons inligtingsbates te identifiseer. Ons gebruik 'n gestruktureerde benadering om risiko's te identifiseer, te ontleed, te evalueer en te prioritiseer op grond van hul waarskynlikheid en potensiële impak. Ons assesseer risiko's wat verband hou met ons inligtingsbates, insluitend stelsels, netwerke, sagteware, data en dokumentasie.
4.2. Risiko Behandeling
Ons gebruik 'n risikobehandelingsproses om risiko's tot 'n aanvaarbare vlak te verminder of te verminder. Die risikobehandelingsproses sluit in die keuse van toepaslike beheermaatreëls, die implementering van beheermaatreëls en die monitering van die doeltreffendheid van beheermaatreëls. Ons prioritiseer die implementering van beheermaatreëls op grond van die risikovlak, beskikbare hulpbronne en besigheidsprioriteite.
4.3. Risikomonitering en -oorsig
Ons monitor en hersien gereeld die doeltreffendheid van ons risikobestuursproses om te verseker dat dit relevant en doeltreffend bly. Ons gebruik maatstawwe en aanwysers om die prestasie van ons risikobestuursproses te meet en geleenthede vir verbetering te identifiseer. Ons hersien ook ons risikobestuursproses as deel van ons periodieke bestuursoorsigte om die deurlopende geskiktheid, toereikendheid en doeltreffendheid daarvan te verseker.
4.4. Risiko-reaksiebeplanning
Ons het 'n risiko-reaksieplan in plek om te verseker dat ons doeltreffend op enige geïdentifiseerde risiko's kan reageer. Hierdie plan sluit prosedures in vir die identifisering en rapportering van risiko's, sowel as prosesse vir die assessering van die potensiële impak van elke risiko en die bepaling van toepaslike reaksie-aksies. Ons het ook gebeurlikheidsplanne in plek om besigheidskontinuïteit te verseker in die geval van 'n beduidende risikogebeurtenis.
4.5. Operasionele Impak Analise
Ons doen periodieke besigheidsimpakontledings om die potensiële impak van ontwrigtings op ons besigheidsbedrywighede te identifiseer. Hierdie ontleding sluit 'n beoordeling van die kritiekheid van ons besigheidsfunksies, stelsels en data in, sowel as 'n evaluering van die potensiële impak van ontwrigtings op ons kliënte, werknemers en ander belanghebbendes.
4.6. Derdeparty-risikobestuur
Ons het 'n derdeparty-risikobestuursprogram in plek om te verseker dat ons verskaffers en ander derdeparty-diensverskaffers ook risiko's toepaslik bestuur. Hierdie program sluit noulettendheidsondersoeke in voordat daar met derde partye geskakel word, deurlopende monitering van derdeparty-aktiwiteite en periodieke assesserings van derdeparty-risikobestuurspraktyke.
4.7. Insident reaksie en bestuur
Ons het 'n voorvalreaksie en bestuursplan in plek om te verseker dat ons doeltreffend op enige sekuriteitsinsidente kan reageer. Hierdie plan sluit prosedures in vir die identifisering en aanmelding van voorvalle, sowel as prosesse om die impak van elke insident te assesseer en toepaslike reaksie-aksies te bepaal. Ons het ook 'n besigheidskontinuïteitsplan in plek om te verseker dat kritieke besigheidsfunksies kan voortgaan in die geval van 'n beduidende voorval.
Deel 5. Fisiese en Omgewingssekerheid
5.1. Fisiese Sekuriteit Omtrek
Ons het fisiese sekuriteitsmaatreëls ingestel om die fisiese perseel en sensitiewe inligting teen ongemagtigde toegang te beskerm.
5.2. Toegangsbeheer
Ons het toegangsbeheerbeleide en -prosedures vir die fisiese perseel ingestel om te verseker dat slegs gemagtigde personeel toegang tot sensitiewe inligting het.
5.3. Toerusting Sekuriteit
Ons verseker dat alle toerusting wat sensitiewe inligting bevat fisies beveilig is, en toegang tot hierdie toerusting is beperk tot slegs gemagtigde personeel.
5.4. Veilige wegdoening
Ons het prosedures vasgestel vir die veilige wegdoening van sensitiewe inligting, insluitend papierdokumente, elektroniese media en hardeware.
5.5. Fisiese omgewing
Ons verseker dat die fisiese omgewing van die perseel, insluitend temperatuur, humiditeit en beligting, geskik is vir die beskerming van sensitiewe inligting.
5.6. Kragtoevoer
Ons verseker dat die kragtoevoer na die perseel betroubaar is en teen kragonderbrekings of oplewings beskerm is.
5.7. Brandbeskerming
Ons het brandbeskermingsbeleide en -prosedures vasgestel, insluitend die installering en instandhouding van brandopsporing- en onderdrukkingstelsels.
5.8. Waterskadebeskerming
Ons het beleide en prosedures daargestel om sensitiewe inligting teen waterskade te beskerm, insluitend die installering en instandhouding van vloedopsporing en voorkomingstelsels.
5.9. Onderhoud van toerusting
Ons het prosedures vasgestel vir die instandhouding van toerusting, insluitend die inspeksie van toerusting vir tekens van peuter of ongemagtigde toegang.
5.10. Aanvaarbare gebruik
Ons het 'n aanvaarbare gebruiksbeleid daargestel wat die aanvaarbare gebruik van fisiese hulpbronne en fasiliteite uiteensit.
5.11. Afstandtoegang
Ons het beleide en prosedures vasgestel vir afstandtoegang tot sensitiewe inligting, insluitend die gebruik van veilige verbindings en enkripsie.
5.12. Monitering en Toesig
Ons het beleide en prosedures ingestel vir die monitering en toesig van die fisiese perseel en toerusting om ongemagtigde toegang of peutery op te spoor en te voorkom.
Deel. 6. Kommunikasie en Bedryfsekuriteit
6.1. Netwerk sekuriteitsbestuur
Ons het beleide en prosedures vir die bestuur van netwerksekuriteit vasgestel, insluitend die gebruik van brandmure, indringingopsporing en -voorkomingstelsels, en gereelde sekuriteitsoudits.
6.2. Inligtingsoordrag
Ons het beleide en prosedures vasgestel vir die veilige oordrag van sensitiewe inligting, insluitend die gebruik van enkripsie en veilige lêeroordragprotokolle.
6.3. Derdeparty-kommunikasie
Ons het beleide en prosedures vasgestel vir die veilige uitruil van sensitiewe inligting met derdeparty-organisasies, insluitend die gebruik van veilige verbindings en enkripsie.
6.4. Mediahantering
Ons het prosedures vasgestel vir die hantering van sensitiewe inligting in verskeie vorme van media, insluitend papierdokumente, elektroniese media en draagbare bergingstoestelle.
6.5. Inligtingstelselontwikkeling en -instandhouding
Ons het beleide en prosedures vasgestel vir die ontwikkeling en instandhouding van inligtingstelsels, insluitend die gebruik van veilige koderingspraktyke, gereelde sagteware-opdaterings en pleisterbestuur.
6.6. Beskerming van wanware en virusse
Ons het beleide en prosedures vasgestel om inligtingstelsels teen wanware en virusse te beskerm, insluitend die gebruik van antivirusprogrammatuur en gereelde sekuriteitsopdaterings.
6.7. Rugsteun en herstel
Ons het beleide en prosedures vasgestel vir die rugsteun en herstel van sensitiewe inligting om dataverlies of korrupsie te voorkom.
6.8. Gebeurtenisbestuur
Ons het beleide en prosedures ingestel vir die identifisering, ondersoek en oplossing van sekuriteitsinsidente en gebeure.
6.9. Kwesbaarheidsbestuur
Ons het beleide en prosedures vir die bestuur van inligtingstelselkwesbaarhede vasgestel, insluitend die gebruik van gereelde kwesbaarheidsbeoordelings en pleisterbestuur.
6.10. Toegangsbeheer
Ons het beleide en prosedures vasgestel vir die bestuur van gebruikerstoegang tot inligtingstelsels, insluitend die gebruik van toegangskontroles, gebruikersverifikasie en gereelde toegangsoorsigte.
6.11. Monitering en aantekening
Ons het beleide en prosedures vasgestel vir die monitering en aantekening van inligtingstelselaktiwiteite, insluitend die gebruik van ouditroetes en sekuriteitsinsidenteaantekeninge.
Deel 7. Inligtingstelselverkryging, -ontwikkeling en -instandhouding
7.1. vereistes
Ons het beleide en prosedures vasgestel vir die identifisering van inligtingstelselvereistes, insluitend besigheidsvereistes, wetlike en regulatoriese vereistes, en sekuriteitsvereistes.
7.2. Verskafferverhoudings
Ons het beleide en prosedures daargestel vir die bestuur van verhoudings met derdepartyverskaffers van inligtingstelsels en dienste, insluitend die evaluering van verskaffers se sekuriteitspraktyke.
7.3. Stelselontwikkeling
Ons het beleide en prosedures vasgestel vir die veilige ontwikkeling van inligtingstelsels, insluitend die gebruik van veilige koderingspraktyke, gereelde toetsing en gehalteversekering.
7.4. Stelseltoetsing
Ons het beleide en prosedures vasgestel vir die toets van inligtingstelsels, insluitend funksionaliteitstoetsing, prestasietoetsing en sekuriteitstoetsing.
7.5. Stelsel aanvaarding
Ons het beleide en prosedures vir die aanvaarding van inligtingstelsels ingestel, insluitend die goedkeuring van toetsresultate, sekuriteitsbeoordelings en gebruikersaanvaardingstoetse.
7.6. Stelselonderhoud
Ons het beleide en prosedures vir die instandhouding van inligtingstelsels vasgestel, insluitend gereelde opdaterings, sekuriteitsreëlings en stelselrugsteun.
7.7. Stelsel aftrede
Ons het beleide en prosedures vir die aftrede van inligtingstelsels vasgestel, insluitend die veilige wegdoening van hardeware en data.
7.8. Bewaring van data
Ons het beleide en prosedures vir die behoud van data ingestel in ooreenstemming met wetlike en regulatoriese vereistes, insluitend die veilige berging en wegdoening van sensitiewe data.
7.9. Sekuriteitsvereistes vir inligtingstelsels
Ons het beleide en prosedures vasgestel vir die identifisering en implementering van sekuriteitsvereistes vir inligtingstelsels, insluitend toegangskontroles, enkripsie en databeskerming.
7.10. Veilige ontwikkelingsomgewings
Ons het beleide en prosedures vasgestel vir die veilige ontwikkelingsomgewings vir inligtingstelsels, insluitend die gebruik van veilige ontwikkelingspraktyke, toegangskontroles en veilige netwerkkonfigurasies.
7.11. Beskerming van toetsomgewings
Ons het beleide en prosedures vasgestel vir die beskerming van toetsomgewings vir inligtingstelsels, insluitend die gebruik van veilige konfigurasies, toegangskontroles en gereelde sekuriteitstoetse.
7.12. Veilige stelselingenieurswese-beginsels
Ons het beleide en prosedures vasgestel vir die implementering van veilige stelselingenieursbeginsels vir inligtingstelsels, insluitend die gebruik van sekuriteitsargitekture, bedreigingsmodellering en veilige koderingspraktyke.
7.13. Riglyne vir veilige kodering
Ons het beleide en prosedures vasgestel vir die implementering van veilige koderingsriglyne vir inligtingstelsels, insluitend die gebruik van koderingstandaarde, kodeoorsigte en outomatiese toetsing.
Deel 8. Hardeware-verkryging
8.1. Nakoming van Standaarde
Ons voldoen aan ISO 27001-standaard vir inligtingsekuriteitbestuurstelsel (ISMS) om te verseker dat hardeware-bates in ooreenstemming met ons sekuriteitsvereistes verkry word.
8.2. Risikobepaling
Ons doen risikobepaling voordat hardewarebates verkry word om potensiële sekuriteitsrisiko's te identifiseer en te verseker dat die geselekteerde hardeware aan die sekuriteitsvereistes voldoen.
8.3. Verkoper seleksie
Ons verkry hardewarebates slegs van betroubare verskaffers wat 'n bewese rekord van die lewering van veilige produkte het. Ons hersien verkoper se sekuriteitsbeleide en -praktyke, en vereis dat hulle versekering gee dat hul produkte aan ons sekuriteitsvereistes voldoen.
8.4. Veilige vervoer
Ons verseker dat hardeware-bates veilig na ons perseel vervoer word om gepeuter, skade of diefstal tydens vervoer te voorkom.
8.5. Egtheidverifikasie
Ons verifieer die egtheid van hardewarebates by aflewering om te verseker dat dit nie vervals is of daarmee gepeuter is nie.
8.6. Fisiese en Omgewingskontroles
Ons implementeer toepaslike fisiese en omgewingskontroles om hardewarebates teen ongemagtigde toegang, diefstal of skade te beskerm.
8.7. Hardeware-installasie
Ons verseker dat alle hardeware-bates gekonfigureer en geïnstalleer word in ooreenstemming met gevestigde sekuriteitstandaarde en -riglyne.
8.8. Hardeware resensies
Ons doen periodieke hersiening van hardewarebates om te verseker dat hulle aanhou om aan ons sekuriteitsvereistes te voldoen en op datum is met die jongste sekuriteitsreëlings en -opdaterings.
8.9. Hardeware wegdoen
Ons beskik oor hardeware-bates op 'n veilige manier om ongemagtigde toegang tot sensitiewe inligting te voorkom.
Deel 9. Beskerming van wanware en virusse
9.1. Sagteware-opdateringsbeleid
Ons handhaaf bygewerkte antivirus- en wanwarebeskermingsagteware op alle inligtingstelsels wat deur die Europese IT-sertifiseringsinstituut gebruik word, insluitend bedieners, werkstasies, skootrekenaars en mobiele toestelle. Ons verseker dat die antivirus- en wanwarebeskermingsagteware opgestel is om sy virusdefinisielêers en sagteware-weergawes outomaties op 'n gereelde basis op te dateer, en dat hierdie proses gereeld getoets word.
9.2. Anti-virus en wanware skandering
Ons doen gereelde skanderings van alle inligtingstelsels, insluitend bedieners, werkstasies, skootrekenaars en mobiele toestelle, om enige virusse of wanware op te spoor en te verwyder.
9.3. Geen-deaktiveer- en geen-veranderende beleid
Ons dwing beleide af wat gebruikers verbied om antivirus- en wanwarebeskermingsagteware op enige inligtingstelsel te deaktiveer of te verander.
9.4. monitering
Ons monitor ons antivirus- en wanwarebeskermingsagtewarewaarskuwings en -logboeke om enige voorvalle van virus- of wanware-infeksies te identifiseer, en reageer betyds op sulke voorvalle.
9.5. Instandhouding van rekords
Ons hou rekords van antivirus- en wanwarebeskermingsagtewarekonfigurasie, opdaterings en skanderings, sowel as enige voorvalle van virus- of wanware-infeksies, vir ouditdoeleindes.
9.6. Sagteware resensies
Ons doen periodieke hersiening van ons teenvirus- en wanwarebeskermingsagteware om te verseker dat dit aan die huidige industriestandaarde voldoen en voldoende is vir ons behoeftes.
9.7. Opleiding en Bewusmaking
Ons verskaf opleiding en bewusmakingsprogramme om alle werknemers op te voed oor die belangrikheid van virus- en wanwarebeskerming, en hoe om enige verdagte aktiwiteite of voorvalle te herken en aan te meld.
Deel 10. Inligtingsbatebestuur
10.1. Inligting Bate Inventaris
Die Europese IT-sertifiseringsinstituut hou 'n inventaris van inligtingsbates wat alle digitale en fisiese inligtingsbates insluit, soos stelsels, netwerke, sagteware, data en dokumentasie. Ons klassifiseer inligtingsbates op grond van hul kritiekheid en sensitiwiteit om te verseker dat toepaslike beskermingsmaatreëls geïmplementeer word.
10.2. Inligting Bate Hantering
Ons implementeer toepaslike maatreëls om inligtingsbates te beskerm op grond van hul klassifikasie, insluitend vertroulikheid, integriteit en beskikbaarheid. Ons verseker dat alle inligtingbates in ooreenstemming met toepaslike wette, regulasies en kontraktuele vereistes hanteer word. Ons verseker ook dat alle inligtingsbates behoorlik gestoor, beskerm en weggedoen word wanneer dit nie meer nodig is nie.
10.3. Inligtingsbate-eienaarskap
Ons ken eienaarskap van inligtingsbates toe aan individue of departemente wat verantwoordelik is vir die bestuur en beskerming van inligtingsbates. Ons verseker ook dat eienaars van inligtingsbates hul verantwoordelikhede en aanspreeklikhede vir die beskerming van inligtingsbates verstaan.
10.4. Beskerming van inligtingsbate
Ons gebruik 'n verskeidenheid beskermingsmaatreëls om inligtingsbates te beskerm, insluitend fisiese kontroles, toegangskontroles, enkripsie en rugsteun- en herstelprosesse. Ons verseker ook dat alle inligtingsbates teen ongemagtigde toegang, wysiging of vernietiging beskerm word.
Deel 11. Toegangsbeheer
11.1. Toegangsbeheerbeleid
Die Europese IT-sertifiseringsinstituut het 'n toegangsbeheerbeleid wat die vereistes uiteensit vir die toekenning, wysiging en herroeping van toegang tot inligtingsbates. Toegangsbeheer is 'n kritieke komponent van ons inligtingsekuriteitbestuurstelsel, en ons implementeer dit om te verseker dat slegs gemagtigde individue toegang tot ons inligtingsbates het.
11.2. Toegangsbeheer-implementering
Ons implementeer toegangsbeheermaatreëls gebaseer op die beginsel van minste bevoorregting, wat beteken dat individue slegs toegang het tot die inligtingsbates wat nodig is om hul werksfunksies te verrig. Ons gebruik 'n verskeidenheid toegangsbeheermaatreëls, insluitend verifikasie, magtiging en rekeningkunde (AAA). Ons gebruik ook toegangsbeheerlyste (ACL's) en toestemmings om toegang tot inligtingsbates te beheer.
11.3. Wagwoordbeleid
Die Europese IT-sertifiseringsinstituut het 'n wagwoordbeleid wat die vereistes uiteensit vir die skep en bestuur van wagwoorde. Ons benodig sterk wagwoorde wat minstens 8 karakters lank is, met 'n kombinasie van hoofletters en kleinletters, syfers en spesiale karakters. Ons vereis ook periodieke wagwoordveranderings en verbied die hergebruik van vorige wagwoorde.
11.4. Gebruikersbestuur
Ons het 'n gebruikerbestuursproses wat die skep, wysiging en uitvee van gebruikersrekeninge insluit. Gebruikersrekeninge word geskep op grond van die beginsel van minste voorreg, en toegang word slegs verleen aan die inligtingsbates wat nodig is om die individu se werksfunksies te verrig. Ons hersien ook gereeld gebruikersrekeninge en verwyder rekeninge wat nie meer nodig is nie.
Deel 12. Bestuur van inligtingsekuriteitsinsidente
12.1. Voorvalbestuurbeleid
Die Europese IT-sertifiseringsinstituut het 'n Voorvalbestuursbeleid wat die vereistes uiteensit vir die opsporing, verslagdoening, assessering en reaksie op sekuriteitsinsidente. Ons definieer sekuriteitsinsidente as enige gebeurtenis wat die vertroulikheid, integriteit of beskikbaarheid van inligtingbates of -stelsels in gevaar stel.
12.2. Insident opsporing en verslagdoening
Ons implementeer maatreëls om veiligheidsvoorvalle stiptelik op te spoor en aan te meld. Ons gebruik 'n verskeidenheid metodes om sekuriteitsinsidente op te spoor, insluitend indringingopsporingstelsels (IDS), antivirusprogrammatuur en gebruikerverslagdoening. Ons verseker ook dat alle werknemers bewus is van die prosedures vir die rapportering van sekuriteitsinsidente en moedig aanmelding van alle vermeende voorvalle aan.
12.3. Insident Assessering en Reaksie
Ons het 'n proses om sekuriteitsinsidente te assesseer en daarop te reageer gebaseer op hul erns en impak. Ons prioritiseer voorvalle op grond van hul potensiële impak op inligtingsbates of -stelsels en ken toepaslike hulpbronne toe om daarop te reageer. Ons het ook 'n reaksieplan wat prosedures insluit vir die identifisering, inperking, ontleding, uitwissing en herstel van sekuriteitsinsidente, sowel as om relevante partye in kennis te stel en na-voorval hersiening te doen. Ons insidentreaksieprosedures is ontwerp om 'n vinnige en doeltreffende reaksie te verseker aan veiligheidsvoorvalle. Die prosedures word gereeld hersien en bygewerk om hul doeltreffendheid en relevansie te verseker.
12.4. Insident-reaksiespan
Ons het 'n Insident Response Team (IRT) wat verantwoordelik is om op sekuriteitsinsidente te reageer. Die IRT is saamgestel uit verteenwoordigers van verskeie eenhede en word gelei deur die Inligtingsekuriteitsbeampte (ISO). Die IRT is verantwoordelik vir die assessering van die erns van insidente, die inperking van die voorval en die inisieer van die toepaslike reaksieprosedures.
12.5. Insident Rapportering en Hersiening
Ons het prosedures daargestel om sekuriteitsinsidente aan relevante partye aan te meld, insluitend kliënte, regulerende owerhede en wetstoepassingsagentskappe, soos vereis deur toepaslike wette en regulasies. Ons handhaaf ook kommunikasie met geaffekteerde partye regdeur die voorvalreaksieproses, en verskaf tydige opdaterings oor die status van die voorval en enige aksies wat geneem word om die impak daarvan te versag. Ons doen ook 'n hersiening van alle sekuriteitsinsidente om die grondoorsaak te identifiseer en te voorkom dat soortgelyke voorvalle in die toekoms plaasvind.
Deel 13. Besigheidskontinuïteitsbestuur en rampherstel
13.1. Besigheidskontinuïteitsbeplanning
Alhoewel die Europese IT-sertifiseringsinstituut 'n nie-winsgewende organisasie is, het dit 'n Besigheidskontinuïteitsplan (BCP) wat die prosedures uiteensit om die kontinuïteit van sy bedrywighede te verseker in die geval van 'n ontwrigtende voorval. Die BCP dek alle kritieke bedryfsprosesse en identifiseer die hulpbronne wat nodig is om bedrywighede tydens en na 'n ontwrigtende voorval in stand te hou. Dit skets ook die prosedures vir die handhawing van sakebedrywighede tydens 'n ontwrigting of ramp, die assessering van die impak van ontwrigtings, die identifisering van mees kritieke bedryfsprosesse in die konteks van 'n bepaalde ontwrigtende voorval, en die ontwikkeling van reaksie- en herstelprosedures.
13.2. Rampherstelbeplanning
Die Europese IT-sertifiseringsinstituut het 'n rampherstelplan (DRP) wat die prosedures uiteensit vir die herwinning van ons inligtingstelsels in die geval van 'n ontwrigting of ramp. Die DRP bevat prosedures vir datarugsteun, dataherstel en stelselherstel. Die DRP word gereeld getoets en bygewerk om die doeltreffendheid daarvan te verseker.
13.3. Besigheidsimpakanalise
Ons doen 'n Besigheidsimpakanalise (BIA) om die kritieke bedryfsprosesse en die hulpbronne wat nodig is om dit in stand te hou, te identifiseer. Die BIA help ons om ons herstelpogings te prioritiseer en hulpbronne dienooreenkomstig toe te ken.
13.4. Besigheidskontinuïteitstrategie
Gebaseer op die resultate van die BIA, ontwikkel ons 'n Besigheidskontinuïteitstrategie wat die prosedures uiteensit om op 'n ontwrigtende voorval te reageer. Die strategie sluit prosedures in vir die aktivering van die BCP, die herstel van kritieke bedryfsprosesse en kommunikasie met relevante belanghebbendes.
13.5. Toets en Onderhoud
Ons toets en onderhou gereeld ons BCP en DRP om hul doeltreffendheid en relevansie te verseker. Ons doen gereelde toetse om die BCP/DRP te valideer en areas vir verbetering te identifiseer. Ons werk ook die BCP en DRP op soos nodig om veranderinge in ons bedrywighede of die bedreigingslandskap te weerspieël. Toetsing sluit tafelbladoefeninge, simulasies en regstreekse toetsing van prosedures in. Ons hersien en werk ook ons planne op gebaseer op die resultate van toetse en lesse wat geleer is.
13.6. Alternatiewe verwerkingswerwe
Ons handhaaf alternatiewe aanlynverwerkingswebwerwe wat gebruik kan word om sakebedrywighede voort te sit in die geval van 'n ontwrigting of ramp. Die alternatiewe verwerkingsterreine is toegerus met die nodige infrastruktuur en stelsels, en kan gebruik word om kritieke besigheidsprosesse te ondersteun.
Deel 14. Nakoming en Oudit
14.1. Nakoming van wette en regulasies
Die Europese IT-sertifiseringsinstituut is daartoe verbind om te voldoen aan alle toepaslike wette en regulasies wat verband hou met inligtingsekuriteit en privaatheid, insluitend databeskermingswette, industriestandaarde en kontraktuele verpligtinge. Ons hersien en werk gereeld ons beleide, prosedures en kontroles op om te verseker dat aan alle relevante vereistes en standaarde voldoen word. Die hoofstandaarde en raamwerke wat ons in die inligtingsekuriteitskonteks volg, sluit in:
- Die ISO/IEC 27001-standaard verskaf riglyne vir die implementering en bestuur van 'n inligtingsekuriteitbestuurstelsel (ISMS) wat kwesbaarheidsbestuur as 'n sleutelkomponent insluit. Dit verskaf 'n verwysingsraamwerk vir die implementering en instandhouding van ons inligtingsekuriteitbestuurstelsel (ISMS), insluitend kwesbaarheidsbestuur. In ooreenstemming met hierdie standaardbepalings identifiseer, assesseer en bestuur ons inligtingsekuriteitsrisiko's, insluitend kwesbaarhede.
- Die Amerikaanse Nasionale Instituut vir Standaarde en Tegnologie (NIST) Kubersekuriteitsraamwerk verskaf riglyne vir die identifisering, assessering en bestuur van kuberveiligheidsrisiko's, insluitend kwesbaarheidsbestuur.
- Die Nasionale Instituut vir Standaarde en Tegnologie (NIST) Kubersekuriteitsraamwerk vir die verbetering van kuberveiligheidsrisikobestuur, met 'n kernstel funksies insluitend kwesbaarheidsbestuur waaraan ons voldoen om ons kuberveiligheidsrisiko's te bestuur.
- Die SANS Kritiese Sekuriteitskontroles bevat 'n stel van 20 sekuriteitskontroles om kuberveiligheid te verbeter, wat 'n reeks gebiede dek, insluitend kwesbaarheidsbestuur, wat spesifieke leiding verskaf oor kwesbaarheidskandering, pleisterbestuur en ander aspekte van kwesbaarheidsbestuur.
- Die Payment Card Industry Data Security Standard (PCI DSS), wat die hantering van kredietkaartinligting vereis met betrekking tot kwesbaarheidsbestuur in hierdie konteks.
- Die Sentrum vir Internetsekuriteitskontroles (CIS) insluitend kwesbaarheidsbestuur as een van die sleutelkontroles om veilige konfigurasies van ons inligtingstelsels te verseker.
- Die Open Web Application Security Project (OWASP), met sy Top 10-lys van die mees kritieke webtoepassing-sekuriteitsrisiko's, insluitend kwesbaarheidsbeoordeling soos inspuitingsaanvalle, gebroke stawing en sessiebestuur, kruis-werf scripting (XSS), ens. Ons gebruik die OWASP Top 10 om ons kwesbaarheidbestuurspogings te prioritiseer en te fokus op die mees kritieke risiko's met betrekking tot ons webstelsels.
14.2. Interne Oudit
Ons doen gereelde interne oudits om die doeltreffendheid van ons Inligtingsekuriteitbestuurstelsel (ISMS) te evalueer en te verseker dat ons beleide, prosedures en beheermaatreëls gevolg word. Die interne ouditproses sluit die identifisering van nie-nakominge, die ontwikkeling van regstellende aksies en die dop van herstelpogings in.
14.3. Eksterne Oudit
Ons skakel periodiek met eksterne ouditeure om ons voldoening aan toepaslike wette, regulasies en industriestandaarde te bekragtig. Ons bied ouditeure toegang tot ons fasiliteite, stelsels en dokumentasie soos vereis om ons voldoening te bekragtig. Ons werk ook saam met eksterne ouditeure om enige bevindinge of aanbevelings wat tydens die ouditproses geïdentifiseer is, aan te spreek.
14.4. Voldoeningsmonitering
Ons monitor ons nakoming van toepaslike wette, regulasies en industriestandaarde op 'n deurlopende basis. Ons gebruik 'n verskeidenheid metodes om nakoming te monitor, insluitend periodieke assesserings, oudits en resensies van derdeparty-verskaffers. Ons hersien en werk ook gereeld ons beleide, prosedures en kontroles op om deurlopende voldoening aan alle relevante vereistes te verseker.
Deel 15. Derdepartybestuur
15.1. Derdepartybestuursbeleid
Die Europese IT-sertifiseringsinstituut het 'n Derdepartybestuursbeleid wat die vereistes uiteensit vir die keuse, assessering en monitering van derdepartyverskaffers wat toegang tot ons inligtingbates of -stelsels het. Die beleid is van toepassing op alle derdeparty-verskaffers, insluitend wolkdiensverskaffers, verskaffers en kontrakteurs.
15.2. Derdeparty-keuring en -assessering
Ons doen noulettendheidsondersoeke voordat ons met derdeparty-verskaffers skakel om te verseker dat hulle voldoende sekuriteitskontroles in plek het om ons inligtingbates of -stelsels te beskerm. Ons beoordeel ook die derdeparty-verskaffers se nakoming van toepaslike wette en regulasies wat verband hou met inligtingsekuriteit en privaatheid.
15.3. Derdeparty-monitering
Ons monitor derdepartyverskaffers op 'n deurlopende basis om te verseker dat hulle steeds aan ons vereistes vir inligtingsekuriteit en privaatheid voldoen. Ons gebruik 'n verskeidenheid metodes om derdeparty-verskaffers te monitor, insluitend periodieke assesserings, oudits en hersiening van sekuriteitsinsidentverslae.
15.4. Kontraktuele vereistes
Ons sluit kontraktuele vereistes in wat verband hou met inligtingsekuriteit en privaatheid in alle kontrakte met derdeparty-verskaffers. Hierdie vereistes sluit in bepalings vir databeskerming, sekuriteitskontroles, voorvalbestuur en nakomingsmonitering. Ons sluit ook bepalings in vir die beëindiging van kontrakte in die geval van 'n veiligheidsvoorval of nie-nakoming.
Deel 16. Inligtingsekerheid in sertifiseringsprosesse
16.1 Sekuriteit van sertifiseringsprosesse
Ons neem voldoende en sistemiese maatreëls om die veiligheid van alle inligting wat met ons sertifiseringsprosesse verband hou, te verseker, insluitend persoonlike data van individue wat sertifisering soek. Dit sluit kontroles vir toegang, berging en oordrag van alle sertifiseringverwante inligting in. Deur hierdie maatreëls te implementeer, beoog ons om te verseker dat die sertifiseringsprosesse met die hoogste vlak van sekuriteit en integriteit uitgevoer word, en dat die persoonlike data van individue wat sertifisering soek, beskerm word in ooreenstemming met relevante regulasies en standaarde.
16.2. Stawing en magtiging
Ons gebruik verifikasie- en magtigingskontroles om te verseker dat slegs gemagtigde personeel toegang tot sertifiseringsinligting het. Toegangskontroles word gereeld hersien en bygewerk op grond van veranderinge in personeelrolle en -verantwoordelikhede.
16.3. Data beskerming
Ons beskerm persoonlike data regdeur die sertifiseringsproses deur toepaslike tegniese en organisatoriese maatreëls te implementeer om vertroulikheid, integriteit en beskikbaarheid van die data te verseker. Dit sluit maatreëls in soos enkripsie, toegangskontroles en gereelde rugsteun.
16.4. Sekuriteit van Eksamenprosesse
Ons verseker die sekuriteit van die eksamenprosesse deur toepaslike maatreëls te implementeer om kullery, monitering en beheer van die eksamenomgewing te voorkom. Ons handhaaf ook die integriteit en vertroulikheid van eksamenmateriaal deur veilige bergingsprosedures.
16.5. Sekuriteit van eksameninhoud
Ons verseker die sekuriteit van eksameninhoud deur toepaslike maatreëls te implementeer om te beskerm teen ongemagtigde toegang, verandering of openbaarmaking van die inhoud. Dit sluit die gebruik van veilige berging, enkripsie en toegangskontroles vir eksameninhoud in, sowel as kontroles om ongemagtigde verspreiding of verspreiding van eksameninhoud te voorkom.
16.6. Sekuriteit van Eksamenaflewering
Ons verseker die sekuriteit van eksamenlewering deur toepaslike maatreëls te implementeer om ongemagtigde toegang tot, of manipulasie van, die eksamenomgewing te voorkom. Dit sluit maatreëls in soos monitering, ouditering en beheer van die eksamenomgewing en bepaalde eksamenbenaderings, om bedrog of ander sekuriteitsoortredings te voorkom.
16.7. Sekuriteit van Eksamenuitslae
Ons verseker die sekuriteit van eksamenuitslae deur toepaslike maatreëls te implementeer om te beskerm teen ongemagtigde toegang, verandering of bekendmaking van die resultate. Dit sluit die gebruik van veilige berging, enkripsie en toegangskontroles vir eksamenuitslae in, sowel as kontroles om ongemagtigde verspreiding of verspreiding van eksamenuitslae te voorkom.
16.8. Sekuriteit van sertifikate-uitreiking
Ons verseker die sekuriteit van sertifikate-uitreiking deur toepaslike maatreëls te implementeer om bedrog en ongemagtigde uitreiking van sertifikate te voorkom. Dit sluit kontroles in vir die verifiëring van die identiteit van individue wat sertifikate ontvang en veilige berging en uitreikingsprosedures.
16.9. Klagtes en Appèlle
Ons het prosedures vasgestel vir die bestuur van klagtes en appèlle wat met die sertifiseringsproses verband hou. Hierdie prosedures sluit maatreëls in om vertroulikheid en onpartydigheid van die proses te verseker, en die sekuriteit van inligting wat met die klagtes en appèlle verband hou.
16.10. Sertifiseringsprosesse Kwaliteitbestuur
Ons het 'n kwaliteitbestuurstelsel (QMS) vir die sertifiseringsprosesse ingestel wat maatreëls insluit om die doeltreffendheid, doeltreffendheid en sekuriteit van die prosesse te verseker. Die QMS sluit gereelde oudits en hersiening van die prosesse en hul sekuriteitskontroles in.
16.11. Deurlopende verbetering van sertifiseringsprosesse-sekuriteit
Ons is verbind tot voortdurende verbetering van ons sertifiseringsprosesse en hul sekuriteitskontroles. Dit sluit gereelde hersiening en opdaterings van sertifiseringsverwante beleide en proseduresekuriteit in gebaseer op veranderinge in die sakeomgewing, regulatoriese vereistes en beste praktyke in inligtingsekuriteitbestuur, in ooreenstemming met die ISO 27001-standaard vir inligtingsekuriteitbestuur, sowel as met die ISO 17024 sertifiseringsliggame bedryfstandaard.
Deel 17. Slotbepalings
17.1. Beleidshersiening en -opdatering
Hierdie inligtingsekuriteitsbeleid is 'n lewende dokument wat voortdurend hersiening en opdaterings ondergaan gebaseer op veranderinge in ons bedryfsvereistes, regulatoriese vereistes of beste praktyke in inligtingsekuriteitbestuur.
17.2. Voldoeningsmonitering
Ons het prosedures ingestel vir die monitering van voldoening aan hierdie Inligtingsekuriteitsbeleid en verwante sekuriteitskontroles. Nakomingsmonitering sluit gereelde oudits, assesserings en hersiening van sekuriteitskontroles in, en die doeltreffendheid daarvan om die doelwitte van hierdie beleid te bereik.
17.3. Rapporteer sekuriteitsinsidente
Ons het prosedures ingestel om sekuriteitsinsidente wat met ons inligtingstelsels verband hou, aan te meld, insluitend dié wat met persoonlike data van individue verband hou. Werknemers, kontrakteurs en ander belanghebbendes word aangemoedig om enige sekuriteitsinsidente of vermoedelike voorvalle so gou moontlik by die aangewese sekuriteitspan aan te meld.
17.4. Opleiding en Bewusmaking
Ons verskaf gereelde opleiding en bewusmakingsprogramme aan werknemers, kontrakteurs en ander belanghebbendes om te verseker dat hulle bewus is van hul verantwoordelikhede en verpligtinge wat met inligtingsekuriteit verband hou. Dit sluit opleiding oor sekuriteitsbeleide en -prosedures in, en maatreëls vir die beskerming van persoonlike data van individue.
17.5. Verantwoordelikheid en aanspreeklikheid
Ons hou alle werknemers, kontrakteurs en ander belanghebbendes verantwoordelik en aanspreeklik vir die nakoming van hierdie Inligtingsekuriteitsbeleid en verwante sekuriteitskontroles. Ons hou ook bestuur aanspreeklik om te verseker dat toepaslike hulpbronne toegewys word vir die implementering en instandhouding van effektiewe inligtingsekuriteitskontroles.
Hierdie inligtingsekuriteitsbeleid is 'n kritieke komponent van die Euroepan IT-sertifiseringsinstituut se inligtingsekuriteitbestuurraamwerk en demonstreer ons toewyding om inligtingbates en verwerkte data te beskerm, die vertroulikheid, privaatheid, integriteit en beskikbaarheid van inligting te verseker, en om aan regulatoriese en kontraktuele vereistes te voldoen.