Informationssäkerhetspolicy

EITCA Academys informationssäkerhetspolicy

Detta dokument specificerar Europeiska IT-certifieringsinstitutets informationssäkerhetspolicy (ISP), som regelbundet granskas och uppdateras för att säkerställa dess effektivitet och relevans. Den senaste uppdateringen av EITCI:s informationssäkerhetspolicy gjordes den 7 januari 2023.

Del 1. Inledning och informationssäkerhetspolicy

1.1. Inledning

Europeiska IT-certifieringsinstitutet inser vikten av informationssäkerhet för att upprätthålla konfidentialitet, integritet och tillgänglighet för information och förtroendet hos våra intressenter. Vi har åtagit oss att skydda känslig information, inklusive personuppgifter, från obehörig åtkomst, avslöjande, ändring och förstörelse. Vi upprätthåller en effektiv informationssäkerhetspolicy för att stödja vårt uppdrag att tillhandahålla pålitliga och opartiska certifieringstjänster till våra kunder. Informationssäkerhetspolicyn beskriver vårt åtagande att skydda informationstillgångar och uppfylla våra juridiska, regulatoriska och avtalsenliga skyldigheter. Vår policy är baserad på principerna i ISO 27001 och ISO 17024, de ledande internationella standarderna för informationssäkerhetshantering och certifieringsorgans driftstandarder.

1.2. Policyförklaring

European IT Certification Institute har åtagit sig att:

  • Skydda konfidentialitet, integritet och tillgänglighet för informationstillgångar,
  • Att följa lagliga, regulatoriska och kontraktuella skyldigheter relaterade till informationssäkerhet och behandling av data som implementerar dess certifieringsprocesser och verksamhet,
  • Att ständigt förbättra sin informationssäkerhetspolicy och tillhörande ledningssystem,
  • Tillhandahålla adekvat utbildning och medvetenhet till anställda, entreprenörer och deltagare,
  • Involvera alla anställda och entreprenörer i implementeringen och underhållet av informationssäkerhetspolicyn och tillhörande ledningssystem för informationssäkerhet.

1.3. omfattning

Denna policy gäller för alla informationstillgångar som ägs, kontrolleras eller bearbetas av European IT Certification Institute. Detta inkluderar alla digitala och fysiska informationstillgångar, såsom system, nätverk, programvara, data och dokumentation. Denna policy gäller även för alla anställda, entreprenörer och tredjepartstjänsteleverantörer som har tillgång till våra informationstillgångar.

1.4. efterlevnad

European IT Certification Institute har åtagit sig att följa relevanta informationssäkerhetsstandarder, inklusive ISO 27001 och ISO 17024. Vi granskar och uppdaterar regelbundet denna policy för att säkerställa dess relevans och överensstämmelse med dessa standarder.

Del 2. Organisatorisk säkerhet

2.1. Organisationens säkerhetsmål

Genom att implementera organisatoriska säkerhetsåtgärder strävar vi efter att säkerställa att våra informationstillgångar och databehandlingsmetoder och -procedurer utförs med högsta nivå av säkerhet och integritet, och att vi följer relevanta lagar och standarder.

2.2. Roller och ansvar för informationssäkerhet

European IT Certification Institute definierar och kommunicerar roller och ansvar för informationssäkerhet över hela organisationen. Detta inkluderar att tilldela ett tydligt ägande för informationstillgångar i samband med informationssäkerheten, upprätta en styrningsstruktur och definiera specifika ansvarsområden för olika roller och avdelningar över hela organisationen.

2.3. Riskhantering

Vi genomför regelbundna riskbedömningar för att identifiera och prioritera informationssäkerhetsrisker för organisationen, inklusive risker relaterade till personuppgiftsbehandling. Vi upprättar lämpliga kontroller för att mildra dessa risker och granskar och uppdaterar regelbundet vår riskhanteringsmetod baserat på förändringar i affärsmiljön och hotbilden.

2.4. Informationssäkerhetspolicyer och -procedurer

Vi upprättar och underhåller en uppsättning policyer och procedurer för informationssäkerhet som är baserade på branschens bästa praxis och följer relevanta regler och standarder. Dessa policyer och procedurer täcker alla aspekter av informationssäkerhet, inklusive behandling av personuppgifter, och ses över och uppdateras regelbundet för att säkerställa deras effektivitet.

2.5. Säkerhetsmedvetenhet och utbildning

Vi tillhandahåller regelbunden säkerhetsmedvetenhet och utbildningsprogram till alla anställda, entreprenörer och tredjepartspartners som har tillgång till personuppgifter eller annan känslig information. Den här utbildningen täcker ämnen som nätfiske, social ingenjörskonst, lösenordshygien och andra bästa metoder för informationssäkerhet.

2.6. Fysisk och miljömässig säkerhet

Vi implementerar lämpliga fysiska och miljömässiga säkerhetskontroller för att skydda mot obehörig åtkomst, skada eller störning av våra anläggningar och informationssystem. Detta inkluderar åtgärder som tillträdeskontroll, övervakning, övervakning och reservkraft- och kylsystem.

2.7. Informationssäkerhet Incidenthantering

Vi har etablerat en incidenthanteringsprocess som gör det möjligt för oss att reagera snabbt och effektivt på eventuella informationssäkerhetsincidenter som kan inträffa. Detta inkluderar rutiner för rapportering, eskalering, utredning och lösning av incidenter, såväl som åtgärder för att förhindra upprepning och förbättra vår förmåga att hantera incidenter.

2.8. Operationell kontinuitet och katastrofåterställning

Vi har upprättat och testat driftkontinuitet och katastrofåterställningsplaner som gör det möjligt för oss att upprätthålla våra kritiska verksamhetsfunktioner och tjänster i händelse av avbrott eller katastrof. Dessa planer inkluderar rutiner för säkerhetskopiering och återställning av data och system, och åtgärder för att säkerställa tillgången och integriteten för personuppgifter.

2.9. Tredjepartshantering

Vi upprättar och upprätthåller lämpliga kontroller för att hantera riskerna förknippade med tredjepartspartners som har tillgång till personuppgifter eller annan känslig information. Detta inkluderar åtgärder som due diligence, avtalsförpliktelser, övervakning och revisioner, samt åtgärder för att avsluta partnerskap vid behov.

Del 3. Personalsäkerhet

3.1. Anställningsscreening

European IT Certification Institute har upprättat en process för anställningsscreening för att säkerställa att individer med tillgång till känslig information är pålitliga och har nödvändiga färdigheter och kvalifikationer.

3.2. Åtkomstkontroll

Vi har upprättat policyer och rutiner för åtkomstkontroll för att säkerställa att anställda endast har tillgång till den information som är nödvändig för deras arbetsansvar. Åtkomsträttigheterna ses över och uppdateras regelbundet för att säkerställa att anställda endast har tillgång till den information de behöver.

3.3. Informationssäkerhetsmedvetenhet och utbildning

Vi tillhandahåller regelbundet utbildning i informationssäkerhetsmedvetenhet till alla anställda. Den här utbildningen täcker ämnen som lösenordssäkerhet, nätfiskeattacker, social ingenjörskonst och andra aspekter av cybersäkerhet.

3.4. Acceptabel användning

Vi har upprättat en policy för acceptabel användning som beskriver acceptabel användning av informationssystem och resurser, inklusive personliga enheter som används i arbetssyfte.

3.5. Säkerhet för mobila enheter

Vi har fastställt policyer och procedurer för säker användning av mobila enheter, inklusive användning av lösenord, kryptering och fjärrspolning.

3.6. Uppsägningsförfaranden

Europeiska IT-certifieringsinstitutet har fastställt rutiner för uppsägning av anställning eller kontrakt för att säkerställa att tillgången till känslig information återkallas snabbt och säkert.

3.7. Tredjepartspersonal

Vi har upprättat rutiner för hantering av tredje parts personal som har tillgång till känslig information. Dessa policyer omfattar screening, åtkomstkontroll och utbildning för informationssäkerhet.

3.8. Rapportering av incidenter

Vi har fastställt policyer och rutiner för att rapportera informationssäkerhetsincidenter eller problem till lämplig personal eller myndigheter.

3.9. Sekretessavtal

European IT Certification Institute kräver att anställda och entreprenörer undertecknar sekretessavtal för att skydda känslig information från obehörigt avslöjande.

3.10. Disciplinära åtgärder

Europeiska IT-certifieringsinstitutet har fastställt policyer och rutiner för disciplinära åtgärder vid brott mot informationssäkerhetspolicyn av anställda eller entreprenörer.

Del 4. Riskbedömning och hantering

4.1. Riskbedömning

Vi genomför periodiska riskbedömningar för att identifiera potentiella hot och sårbarheter för våra informationstillgångar. Vi använder ett strukturerat tillvägagångssätt för att identifiera, analysera, utvärdera och prioritera risker baserat på deras sannolikhet och potentiella påverkan. Vi bedömer risker förknippade med våra informationstillgångar, inklusive system, nätverk, programvara, data och dokumentation.

4.2. Riskbehandling

Vi använder en riskbehandlingsprocess för att minska eller minska riskerna till en acceptabel nivå. Riskhanteringsprocessen inkluderar val av lämpliga kontroller, implementering av kontroller och övervakning av kontrollernas effektivitet. Vi prioriterar implementeringen av kontroller utifrån risknivå, tillgängliga resurser och affärsprioriteringar.

4.3. Riskövervakning och översyn

Vi övervakar och granskar regelbundet effektiviteten i vår riskhanteringsprocess för att säkerställa att den förblir relevant och effektiv. Vi använder mått och indikatorer för att mäta prestandan för vår riskhanteringsprocess och identifiera möjligheter till förbättringar. Vi granskar också vår riskhanteringsprocess som en del av våra återkommande ledningsgranskningar för att säkerställa dess fortlöpande lämplighet, lämplighet och effektivitet.

4.4. Risk Respons Planering

Vi har en riskhanteringsplan på plats för att säkerställa att vi kan reagera effektivt på alla identifierade risker. Denna plan innehåller rutiner för att identifiera och rapportera risker, såväl som processer för att bedöma den potentiella effekten av varje risk och fastställa lämpliga åtgärder. Vi har också beredskapsplaner på plats för att säkerställa affärskontinuitet i händelse av en betydande riskhändelse.

4.5. Operationell konsekvensanalys

Vi genomför periodiska affärskonsekvensanalyser för att identifiera den potentiella påverkan av störningar på vår affärsverksamhet. Denna analys inkluderar en bedömning av hur kritiska våra affärsfunktioner, system och data är, samt en utvärdering av den potentiella påverkan av störningar på våra kunder, anställda och andra intressenter.

4.6. Riskhantering från tredje part

Vi har ett riskhanteringsprogram för tredje part på plats för att säkerställa att våra leverantörer och andra tredjepartstjänsteleverantörer också hanterar risker på lämpligt sätt. Detta program inkluderar due diligence-kontroller innan kontakt med tredje part, kontinuerlig övervakning av tredje parts aktiviteter och periodiska utvärderingar av tredjeparts riskhanteringsmetoder.

4.7. Incident Response och Hantering

Vi har en incidentrespons och en hanteringsplan på plats för att säkerställa att vi kan reagera effektivt på eventuella säkerhetsincidenter. Denna plan innehåller rutiner för att identifiera och rapportera incidenter, såväl som processer för att bedöma effekten av varje incident och fastställa lämpliga åtgärdsåtgärder. Vi har också en affärskontinuitetsplan på plats för att säkerställa att kritiska affärsfunktioner kan fortsätta i händelse av en betydande incident.

Del 5. Fysisk och miljömässig säkerhet

5.1. Fysisk säkerhet Perimeter

Vi har etablerat fysiska säkerhetsåtgärder för att skydda de fysiska lokalerna och känslig information från obehörig åtkomst.

5.2. Åtkomstkontroll

Vi har etablerat policyer och rutiner för åtkomstkontroll för de fysiska lokalerna för att säkerställa att endast behörig personal har tillgång till känslig information.

5.3. Utrustningssäkerhet

Vi säkerställer att all utrustning som innehåller känslig information är fysiskt säkrad, och åtkomst till denna utrustning är begränsad till endast behörig personal.

5.4. Säker avfallshantering

Vi har fastställt rutiner för säker kassering av känslig information, inklusive pappersdokument, elektroniska medier och hårdvara.

5.5. Fysisk miljö

Vi säkerställer att den fysiska miljön i lokalerna, inklusive temperatur, luftfuktighet och belysning, är lämplig för att skydda känslig information.

5.6. Strömförsörjning

Vi ser till att strömförsörjningen till lokalen är pålitlig och skyddad mot strömavbrott eller överspänningar.

5.7. Brandskydd

Vi har etablerat brandskyddspolicyer och -procedurer, inklusive installation och underhåll av branddetektering och brandskyddssystem.

5.8. Vattenskadeskydd

Vi har etablerat policyer och rutiner för att skydda känslig information från vattenskador, inklusive installation och underhåll av system för upptäckt och förebyggande av översvämningar.

5.9. Underhåll av utrustningen

Vi har etablerat rutiner för underhåll av utrustning, inklusive inspektion av utrustning för tecken på manipulering eller obehörig åtkomst.

5.10. Acceptabel användning

Vi har upprättat en policy för acceptabel användning som beskriver acceptabel användning av fysiska resurser och faciliteter.

5.11. Fjärranslutning

Vi har fastställt policyer och rutiner för fjärråtkomst till känslig information, inklusive användning av säkra anslutningar och kryptering.

5.12. Övervakning och övervakning

Vi har fastställt policyer och rutiner för övervakning och övervakning av de fysiska lokalerna och utrustningen för att upptäcka och förhindra obehörig åtkomst eller manipulering.

Del. 6. Kommunikations- och driftsäkerhet

6.1. Nätverkssäkerhetshantering

Vi har etablerat policyer och procedurer för hantering av nätverkssäkerhet, inklusive användning av brandväggar, intrångsdetektering och förebyggande system och regelbundna säkerhetsrevisioner.

6.2. Informationsöverföring

Vi har fastställt policyer och rutiner för säker överföring av känslig information, inklusive användning av kryptering och säkra filöverföringsprotokoll.

6.3. Tredjepartskommunikation

Vi har fastställt policyer och rutiner för säkert utbyte av känslig information med tredjepartsorganisationer, inklusive användning av säkra anslutningar och kryptering.

6.4. Mediahantering

Vi har etablerat rutiner för hantering av känslig information i olika former av media, inklusive pappersdokument, elektroniska medier och bärbara lagringsenheter.

6.5. Utveckling och underhåll av informationssystem

Vi har fastställt policyer och rutiner för utveckling och underhåll av informationssystem, inklusive användning av säker kodning, regelbundna mjukvaruuppdateringar och patchhantering.

6.6. Skydd mot skadlig programvara och virus

Vi har fastställt policyer och rutiner för att skydda informationssystem mot skadlig programvara och virus, inklusive användning av antivirusprogram och regelbundna säkerhetsuppdateringar.

6.7. Säkerhetskopiering och återställning

Vi har fastställt policyer och rutiner för säkerhetskopiering och återställning av känslig information för att förhindra dataförlust eller korruption.

6.8. Evenemangshantering

Vi har fastställt policyer och rutiner för identifiering, utredning och lösning av säkerhetsincidenter och händelser.

6.9. Sårbarhetshantering

Vi har etablerat policyer och rutiner för hantering av sårbarheter i informationssystem, inklusive användning av regelbundna sårbarhetsbedömningar och patchhantering.

6.10. Åtkomstkontroll

Vi har etablerat policyer och procedurer för hantering av användaråtkomst till informationssystem, inklusive användning av åtkomstkontroller, användarautentisering och regelbundna åtkomstgranskningar.

6.11. Övervakning och loggning

Vi har fastställt policyer och rutiner för övervakning och loggning av informationssystemaktiviteter, inklusive användning av revisionsspår och loggning av säkerhetsincidenter.

Del 7. Förvärv, utveckling och underhåll av informationssystem

7.1. Krav

Vi har fastställt policyer och procedurer för identifiering av informationssystemkrav, inklusive affärskrav, juridiska och regulatoriska krav och säkerhetskrav.

7.2. Leverantörsrelationer

Vi har fastställt policyer och rutiner för hantering av relationer med tredjepartsleverantörer av informationssystem och tjänster, inklusive utvärdering av leverantörers säkerhetspraxis.

7.3. Systemutveckling

Vi har etablerat policyer och procedurer för säker utveckling av informationssystem, inklusive användning av säker kodning, regelbunden testning och kvalitetssäkring.

7.4. Systemtestning

Vi har fastställt policyer och rutiner för testning av informationssystem, inklusive funktionstestning, prestandatestning och säkerhetstestning.

7.5. Systemacceptans

Vi har fastställt policyer och procedurer för acceptans av informationssystem, inklusive godkännande av testresultat, säkerhetsbedömningar och testning av användaracceptans.

7.6. Systemunderhåll

Vi har etablerat policyer och rutiner för underhåll av informationssystem, inklusive regelbundna uppdateringar, säkerhetskorrigeringar och systemsäkerhetskopiering.

7.7. Systempensionering

Vi har fastställt policyer och rutiner för avveckling av informationssystem, inklusive säker kassering av hårdvara och data.

7.8. Datalagring

Vi har fastställt policyer och rutiner för lagring av data i enlighet med lagar och regler, inklusive säker lagring och bortskaffande av känsliga uppgifter.

7.9. Säkerhetskrav för informationssystem

Vi har fastställt policyer och procedurer för identifiering och implementering av säkerhetskrav för informationssystem, inklusive åtkomstkontroller, kryptering och dataskydd.

7.10. Säkra utvecklingsmiljöer

Vi har fastställt policyer och procedurer för säkra utvecklingsmiljöer för informationssystem, inklusive användning av säkra utvecklingsmetoder, åtkomstkontroller och säkra nätverkskonfigurationer.

7.11. Skydd av testmiljöer

Vi har fastställt policyer och procedurer för skydd av testmiljöer för informationssystem, inklusive användning av säkra konfigurationer, åtkomstkontroller och regelbundna säkerhetstester.

7.12. Säkra systemtekniska principer

Vi har fastställt policyer och procedurer för implementering av säkra systemtekniska principer för informationssystem, inklusive användning av säkerhetsarkitekturer, hotmodellering och säker kodning.

7.13. Riktlinjer för säker kodning

Vi har fastställt policyer och rutiner för implementering av säkra kodningsriktlinjer för informationssystem, inklusive användning av kodningsstandarder, kodgranskning och automatiserad testning.

Del 8. Hårdvaruanskaffning

8.1. Efterlevnad av standarder

Vi följer ISO 27001-standarden för ledningssystem för informationssäkerhet (ISMS) för att säkerställa att hårdvarutillgångar anskaffas i enlighet med våra säkerhetskrav.

8.2. Riskbedömning

Vi gör en riskbedömning innan vi upphandlar hårdvarutillgångar för att identifiera potentiella säkerhetsrisker och säkerställa att den valda hårdvaran uppfyller säkerhetskraven.

8.3. Val av leverantörer

Vi upphandlar endast hårdvarutillgångar från betrodda leverantörer som har en dokumenterad erfarenhet av att leverera säkra produkter. Vi granskar leverantörens säkerhetspolicyer och rutiner och kräver att de tillhandahåller försäkran om att deras produkter uppfyller våra säkerhetskrav.

8.4. Säker transport

Vi säkerställer att hårdvarutillgångar transporteras säkert till våra lokaler för att förhindra manipulering, skada eller stöld under transporten.

8.5. Äkthetsverifiering

Vi verifierar äktheten av hårdvarutillgångar vid leverans för att säkerställa att de inte är förfalskade eller manipulerade.

8.6. Fysiska och miljömässiga kontroller

Vi implementerar lämpliga fysiska och miljömässiga kontroller för att skydda hårdvarutillgångar från obehörig åtkomst, stöld eller skada.

8.7. Hårdvaruinstallation

Vi säkerställer att alla hårdvarutillgångar konfigureras och installeras i enlighet med etablerade säkerhetsstandarder och riktlinjer.

8.8. Hårdvara recensioner

Vi utför regelbundna granskningar av hårdvarutillgångar för att säkerställa att de fortsätter att uppfylla våra säkerhetskrav och är uppdaterade med de senaste säkerhetskorrigeringarna och uppdateringarna.

8.9. Kassering av hårdvara

Vi förfogar över hårdvarutillgångar på ett säkert sätt för att förhindra obehörig åtkomst till känslig information.

Del 9. Skydd mot skadlig programvara och virus

9.1. Policy för uppdatering av programvara

Vi upprätthåller uppdaterad programvara för antivirus och skadlig programvara på alla informationssystem som används av European IT Certification Institute, inklusive servrar, arbetsstationer, bärbara datorer och mobila enheter. Vi säkerställer att antivirus- och skadlig programvara är konfigurerad för att automatiskt uppdatera sina virusdefinitionsfiler och programvaruversioner regelbundet, och att denna process testas regelbundet.

9.2. Skanning av antivirus och skadlig programvara

Vi utför regelbundna genomsökningar av alla informationssystem, inklusive servrar, arbetsstationer, bärbara datorer och mobila enheter, för att upptäcka och ta bort eventuella virus eller skadlig kod.

9.3. Policy för ingen inaktivering och ingen ändring

Vi tillämpar policyer som förbjuder användare att inaktivera eller ändra program för skydd mot virus och skadlig programvara på något informationssystem.

9.4. Övervakning

Vi övervakar våra programvarningar och loggar för skydd mot virus och skadlig programvara för att identifiera eventuella incidenter av virus- eller skadlig programvara och reagerar på sådana incidenter i tid.

9.5. Underhåll av register

Vi upprätthåller register över programvarukonfigurationer, uppdateringar och genomsökningar för skydd mot virus och skadlig programvara, såväl som eventuella incidenter av virus- eller skadlig programvara, för granskningsändamål.

9.6. Programvaru recensioner

Vi genomför regelbundna granskningar av vår programvara för att skydda mot virus och skadlig programvara för att säkerställa att den uppfyller gällande industristandarder och är tillräcklig för våra behov.

9.7. Utbildning och medvetenhet

Vi tillhandahåller utbildnings- och medvetenhetsprogram för att utbilda alla anställda om vikten av skydd mot virus och skadlig kod och hur man känner igen och rapporterar misstänkta aktiviteter eller incidenter.

Del 10. Information Asset Management

10.1. Inventering av informationstillgångar

European IT Certification Institute upprätthåller en inventering av informationstillgångar som inkluderar alla digitala och fysiska informationstillgångar, såsom system, nätverk, programvara, data och dokumentation. Vi klassificerar informationstillgångar baserat på deras kritikalitet och känslighet för att säkerställa att lämpliga skyddsåtgärder implementeras.

10.2. Information Asset Management

Vi implementerar lämpliga åtgärder för att skydda informationstillgångar baserat på deras klassificering, inklusive konfidentialitet, integritet och tillgänglighet. Vi säkerställer att alla informationstillgångar hanteras i enlighet med tillämpliga lagar, förordningar och avtalskrav. Vi säkerställer också att alla informationstillgångar lagras på rätt sätt, skyddas och kasseras när de inte längre behövs.

10.3. Ägande av informationstillgångar

Vi tilldelar ägande av informationstillgångar till individer eller avdelningar som ansvarar för att hantera och skydda informationstillgångar. Vi säkerställer också att ägare av informationstillgångar förstår sitt ansvar och ansvar för att skydda informationstillgångar.

10.4. Skydd av informationstillgångar

Vi använder en mängd olika skyddsåtgärder för att skydda informationstillgångar, inklusive fysiska kontroller, åtkomstkontroller, kryptering och säkerhetskopierings- och återställningsprocesser. Vi säkerställer också att alla informationstillgångar är skyddade mot obehörig åtkomst, modifiering eller förstörelse.

Del 11. Tillträdeskontroll

11.1. Åtkomstkontrollpolicy

European IT Certification Institute har en åtkomstkontrollpolicy som beskriver kraven för att bevilja, ändra och återkalla åtkomst till informationstillgångar. Åtkomstkontroll är en kritisk komponent i vårt ledningssystem för informationssäkerhet, och vi implementerar det för att säkerställa att endast auktoriserade personer har tillgång till våra informationstillgångar.

11.2. Implementering av åtkomstkontroll

Vi implementerar åtkomstkontrollåtgärder baserade på principen om minsta privilegium, vilket innebär att individer endast har tillgång till de informationstillgångar som krävs för att utföra sina arbetsuppgifter. Vi använder en mängd olika åtkomstkontrollåtgärder, inklusive autentisering, auktorisering och redovisning (AAA). Vi använder också åtkomstkontrollistor (ACL) och behörigheter för att kontrollera åtkomst till informationstillgångar.

11.3. Lösenordspolicy

European IT Certification Institute har en lösenordspolicy som beskriver kraven för att skapa och hantera lösenord. Vi kräver starka lösenord som är minst 8 tecken långa, med en kombination av stora och små bokstäver, siffror och specialtecken. Vi kräver också periodiska lösenordsändringar och förbjuder återanvändning av tidigare lösenord.

11.4. Användarhantering

Vi har en användarhanteringsprocess som inkluderar att skapa, ändra och ta bort användarkonton. Användarkonton skapas utifrån principen om minsta privilegium, och åtkomst ges endast till de informationstillgångar som är nödvändiga för att utföra individens jobbfunktioner. Vi granskar också regelbundet användarkonton och tar bort konton som inte längre behövs.

Del 12. Informationssäkerhet Incidenthantering

12.1. Incidenthanteringspolicy

European IT Certification Institute har en Incident Management Policy som beskriver kraven för att upptäcka, rapportera, bedöma och svara på säkerhetsincidenter. Vi definierar säkerhetsincidenter som alla händelser som äventyrar konfidentialitet, integritet eller tillgänglighet för informationstillgångar eller system.

12.2. Incidentidentifiering och rapportering

Vi implementerar åtgärder för att upptäcka och rapportera säkerhetsincidenter omgående. Vi använder en mängd olika metoder för att upptäcka säkerhetsincidenter, inklusive intrångsdetekteringssystem (IDS), antivirusprogram och användarrapportering. Vi säkerställer också att alla anställda är medvetna om rutinerna för att rapportera säkerhetsincidenter och uppmuntrar rapportering av alla misstänkta incidenter.

12.3. Incidentbedömning och svar

Vi har en process för att bedöma och reagera på säkerhetsincidenter baserat på deras svårighetsgrad och påverkan. Vi prioriterar incidenter baserat på deras potentiella inverkan på informationstillgångar eller system och allokerar lämpliga resurser för att svara på dem. Vi har också en åtgärdsplan som inkluderar procedurer för att identifiera, innehålla, analysera, utrota och återhämta oss från säkerhetsincidenter, samt meddela relevanta parter och genomföra granskningar efter incidenten. Våra incidentresponsprocedurer är utformade för att säkerställa en snabb och effektiv reaktion till säkerhetsincidenter. Rutinerna ses över och uppdateras regelbundet för att säkerställa deras effektivitet och relevans.

12.4. Incident Response Team

Vi har ett Incident Response Team (IRT) som ansvarar för att svara på säkerhetsincidenter. IRT är sammansatt av representanter från olika enheter och leds av Information Security Officer (ISO). IRT ansvarar för att bedöma svårighetsgraden av incidenterna, innehålla incidenten och initiera lämpliga svarsprocedurer.

12.5. Incidentrapportering och granskning

Vi har etablerat rutiner för att rapportera säkerhetsincidenter till relevanta parter, inklusive kunder, tillsynsmyndigheter och brottsbekämpande myndigheter, i enlighet med gällande lagar och förordningar. Vi upprätthåller också kommunikation med berörda parter under hela incidentresponsprocessen, och tillhandahåller aktuella uppdateringar om incidentens status och eventuella åtgärder som vidtas för att mildra dess påverkan. Vi genomför också en granskning av alla säkerhetsincidenter för att identifiera grundorsaken och förhindra att liknande incidenter inträffar i framtiden.

Del 13. Business Continuity Management och Disaster Recovery

13.1. Affärskontinuitetsplanering

Även om European IT Certification Institute är en ideell organisation har det en Business Continuity Plan (BCP) som beskriver förfarandena för att säkerställa kontinuiteten i dess verksamhet i händelse av en störande incident. BCP täcker alla kritiska driftsprocesser och identifierar de resurser som krävs för att upprätthålla verksamheten under och efter en störande incident. Den beskriver också rutinerna för att upprätthålla affärsverksamheten under en störning eller katastrof, bedöma effekterna av störningar, identifiera de mest kritiska operativa processerna i samband med en viss störande incident, och utveckla reaktions- och återställningsprocedurer.

13.2. Katastrofåterställningsplanering

European IT Certification Institute har en Disaster Recovery Plan (DRP) som beskriver procedurerna för att återställa våra informationssystem i händelse av avbrott eller katastrof. DRP innehåller procedurer för säkerhetskopiering av data, dataåterställning och systemåterställning. DRP testas och uppdateras regelbundet för att säkerställa dess effektivitet.

13.3. Analys av affärseffekter

Vi genomför en Business Impact Analysis (BIA) för att identifiera de kritiska operationsprocesserna och de resurser som krävs för att underhålla dem. BIA hjälper oss att prioritera våra återhämtningsinsatser och allokera resurser därefter.

13.4. Affärskontinuitetsstrategi

Baserat på resultaten av BIA utvecklar vi en affärskontinuitetsstrategi som beskriver procedurerna för att reagera på en störande incident. Strategin inkluderar procedurer för att aktivera BCP, återställa kritiska operationsprocesser och kommunicera med relevanta intressenter.

13.5. Testning och underhåll

Vi testar och underhåller regelbundet våra BCP och DRP för att säkerställa deras effektivitet och relevans. Vi genomför regelbundna tester för att validera BCP/DRP och identifiera områden för förbättring. Vi uppdaterar även BCP och DRP vid behov för att återspegla förändringar i vår verksamhet eller hotbilden. Testning inkluderar bordsövningar, simuleringar och livetestning av procedurer. Vi granskar och uppdaterar också våra planer baserat på resultaten av tester och lärdomar.

13.6. Alternativa bearbetningsplatser

Vi har alternativa bearbetningswebbplatser online som kan användas för att fortsätta verksamheten i händelse av avbrott eller katastrof. De alternativa bearbetningsplatserna är utrustade med nödvändiga infrastrukturer och system och kan användas för att stödja kritiska affärsprocesser.

Del 14. Efterlevnad och revision

14.1. Efterlevnad av lagar och förordningar

European IT Certification Institute har åtagit sig att följa alla tillämpliga lagar och förordningar relaterade till informationssäkerhet och integritet, inklusive dataskyddslagar, industristandarder och avtalsförpliktelser. Vi granskar och uppdaterar regelbundet våra policyer, procedurer och kontroller för att säkerställa efterlevnad av alla relevanta krav och standarder. De viktigaste standarderna och ramverken vi följer i informationssäkerhetssammanhang inkluderar:

  1. ISO/IEC 27001-standarden ger riktlinjer för implementering och hantering av ett Information Security Management System (ISMS) som inkluderar sårbarhetshantering som en nyckelkomponent. Den tillhandahåller ett referensramverk för implementering och underhåll av vårt hanteringssystem för informationssäkerhet (ISMS) inklusive sårbarhetshantering. I enlighet med dessa standardbestämmelser identifierar, bedömer och hanterar vi informationssäkerhetsrisker, inklusive sårbarheter.
  2. Det amerikanska National Institute of Standards and Technology (NIST) Cybersecurity Framework ger riktlinjer för att identifiera, bedöma och hantera cybersäkerhetsrisker, inklusive sårbarhetshantering.
  3. National Institute of Standards and Technology (NIST) Cybersecurity Framework för att förbättra cybersäkerhetsriskhantering, med en kärnuppsättning funktioner inklusive sårbarhetshantering som vi följer för att hantera våra cybersäkerhetsrisker.
  4. SANS Critical Security Controls innehåller en uppsättning av 20 säkerhetskontroller för att förbättra cybersäkerhet, som täcker en rad områden, inklusive sårbarhetshantering, ger specifik vägledning om sårbarhetsskanning, patchhantering och andra aspekter av sårbarhetshantering.
  5. Payment Card Industry Data Security Standard (PCI DSS), som kräver hantering av kreditkortsinformation i samband med sårbarhetshantering i detta sammanhang.
  6. Center for Internet Security Controls (CIS) inklusive sårbarhetshantering som en av nyckelkontrollerna för att säkerställa säkra konfigurationer av våra informationssystem.
  7. Open Web Application Security Project (OWASP), med sin topp 10-lista över de mest kritiska säkerhetsriskerna för webbapplikationer, inklusive sårbarhetsbedömning såsom injektionsattacker, trasig autentisering och sessionshantering, cross-site scripting (XSS), etc. Vi använder OWASP:s topp 10 för att prioritera vår sårbarhetshantering och fokusera på de mest kritiska riskerna med våra webbsystem.

14.2. Internrevision

Vi genomför regelbundna interna revisioner för att bedöma effektiviteten av vårt ledningssystem för informationssäkerhet (ISMS) och säkerställa att våra policyer, rutiner och kontroller följs. Internrevisionsprocessen inkluderar identifiering av avvikelser, utveckling av korrigerande åtgärder och spårning av saneringsinsatser.

14.3. Extern granskning

Vi samarbetar regelbundet med externa revisorer för att validera vår efterlevnad av tillämpliga lagar, förordningar och branschstandarder. Vi ger revisorer tillgång till våra faciliteter, system och dokumentation som krävs för att validera vår efterlevnad. Vi samarbetar också med externa revisorer för att ta itu med eventuella resultat eller rekommendationer som identifierats under revisionsprocessen.

14.4. Övervakning av efterlevnad

Vi övervakar vår efterlevnad av tillämpliga lagar, förordningar och branschstandarder löpande. Vi använder en mängd olika metoder för att övervaka efterlevnad, inklusive periodiska bedömningar, revisioner och granskningar av tredjepartsleverantörer. Vi granskar och uppdaterar också regelbundet våra policyer, procedurer och kontroller för att säkerställa kontinuerlig efterlevnad av alla relevanta krav.

Del 15. Tredjepartshantering

15.1. Tredjepartshanteringspolicy

European IT Certification Institute har en tredjepartshanteringspolicy som beskriver kraven för att välja, utvärdera och övervaka tredjepartsleverantörer som har tillgång till våra informationstillgångar eller system. Policyn gäller alla tredjepartsleverantörer, inklusive molntjänstleverantörer, leverantörer och entreprenörer.

15.2. Urval och bedömning från tredje part

Vi genomför due diligence innan vi samarbetar med tredjepartsleverantörer för att säkerställa att de har adekvata säkerhetskontroller på plats för att skydda våra informationstillgångar eller system. Vi bedömer också tredjepartsleverantörernas efterlevnad av tillämpliga lagar och förordningar relaterade till informationssäkerhet och integritet.

15.3. Tredjepartsövervakning

Vi övervakar tredjepartsleverantörer löpande för att säkerställa att de fortsätter att uppfylla våra krav på informationssäkerhet och integritet. Vi använder en mängd olika metoder för att övervaka tredjepartsleverantörer, inklusive periodiska bedömningar, revisioner och granskningar av säkerhetsincidentrapporter.

15.4. Kontraktskrav

Vi inkluderar avtalskrav relaterade till informationssäkerhet och integritet i alla kontrakt med tredjepartsleverantörer. Dessa krav inkluderar bestämmelser för dataskydd, säkerhetskontroller, incidenthantering och efterlevnadsövervakning. Vi inkluderar även bestämmelser om uppsägning av kontrakt i händelse av en säkerhetsincident eller bristande efterlevnad.

Del 16. Informationssäkerhet i certifieringsprocesser

16.1 Säkerhet för certifieringsprocesser

Vi vidtar adekvata och systemiska åtgärder för att säkerställa säkerheten för all information relaterad till våra certifieringsprocesser, inklusive personuppgifter om individer som söker certifiering. Detta inkluderar kontroller för åtkomst, lagring och överföring av all certifieringsrelaterad information. Genom att implementera dessa åtgärder strävar vi efter att säkerställa att certifieringsprocesserna genomförs med högsta nivå av säkerhet och integritet, och att personuppgifterna för individer som söker certifiering skyddas i enlighet med relevanta regler och standarder.

16.2. Autentisering och auktorisering

Vi använder autentiserings- och auktoriseringskontroller för att säkerställa att endast auktoriserad personal har tillgång till certifieringsinformation. Åtkomstkontroller ses över och uppdateras regelbundet baserat på förändringar i personalens roller och ansvar.

16.3. Dataskydd

Vi skyddar personuppgifter under hela certifieringsprocessen genom att implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa konfidentialitet, integritet och tillgänglighet för uppgifterna. Detta inkluderar åtgärder som kryptering, åtkomstkontroller och regelbundna säkerhetskopieringar.

16.4. Säkerhet för undersökningsprocesser

Vi säkerställer säkerheten för undersökningsprocesserna genom att implementera lämpliga åtgärder för att förhindra fusk, övervaka och kontrollera undersökningsmiljön. Vi upprätthåller också integriteten och konfidentialiteten för undersökningsmaterial genom säkra lagringsprocedurer.

16.5. Säkerhet för examensinnehåll

Vi säkerställer säkerheten för undersökningsinnehåll genom att implementera lämpliga åtgärder för att skydda mot obehörig åtkomst, ändring eller avslöjande av innehållet. Detta inkluderar användning av säker lagring, kryptering och åtkomstkontroller för undersökningsinnehåll, samt kontroller för att förhindra obehörig distribution eller spridning av undersökningsinnehåll.

16.6. Säkerhet vid leverans av examen

Vi säkerställer säkerheten för leverans av undersökningar genom att implementera lämpliga åtgärder för att förhindra obehörig åtkomst till eller manipulation av undersökningsmiljön. Detta inkluderar åtgärder som övervakning, revision och kontroll av undersökningsmiljön och särskilda undersökningsmetoder, för att förhindra fusk eller andra säkerhetsintrång.

16.7. Säkerhet för undersökningsresultat

Vi säkerställer säkerheten för undersökningsresultat genom att implementera lämpliga åtgärder för att skydda mot obehörig åtkomst, ändring eller avslöjande av resultaten. Detta inkluderar användning av säker lagring, kryptering och åtkomstkontroller för undersökningsresultat, samt kontroller för att förhindra obehörig spridning eller spridning av undersökningsresultat.

16.8. Säkerhet vid utfärdande av certifikat

Vi säkerställer säkerheten för certifikatutfärdande genom att implementera lämpliga åtgärder för att förhindra bedrägeri och obehörig utfärdande av certifikat. Detta inkluderar kontroller för att verifiera identiteten på individer som tar emot certifikat och säker lagring och utfärdande.

16.9. Klagomål och överklaganden

Vi har etablerat rutiner för att hantera klagomål och överklaganden relaterade till certifieringsprocessen. Dessa förfaranden inkluderar åtgärder för att säkerställa sekretess och opartiskhet i processen, och säkerheten för information relaterad till klagomål och överklaganden.

16.10. Certifieringsprocesser Kvalitetsledning

Vi har etablerat ett kvalitetsledningssystem (QMS) för certifieringsprocesserna som inkluderar åtgärder för att säkerställa processernas effektivitet, effektivitet och säkerhet. QMS inkluderar regelbundna revisioner och granskningar av processerna och deras säkerhetskontroller.

16.11. Kontinuerlig förbättring av certifieringsprocessernas säkerhet

Vi är engagerade i att kontinuerligt förbättra våra certifieringsprocesser och deras säkerhetskontroller. Detta inkluderar regelbundna granskningar och uppdateringar av certifieringsrelaterade policyer och procedurer för säkerhet baserad på förändringar i affärsmiljön, regulatoriska krav och bästa praxis inom informationssäkerhetshantering, i enlighet med ISO 27001-standarden för informationssäkerhetshantering, samt med ISO 17024 certifieringsorgan operativ standard.

Del 17. Avslutande bestämmelser

17.1. Policygranskning och uppdatering

Denna informationssäkerhetspolicy är ett levande dokument som genomgår kontinuerliga granskningar och uppdateringar baserat på förändringar i våra operativa krav, regulatoriska krav eller bästa praxis inom informationssäkerhetshantering.

17.2. Övervakning av efterlevnad

Vi har etablerat rutiner för att övervaka efterlevnaden av denna informationssäkerhetspolicy och relaterade säkerhetskontroller. Övervakning av efterlevnad inkluderar regelbundna revisioner, bedömningar och granskningar av säkerhetskontroller och deras effektivitet för att uppnå målen för denna policy.

17.3. Rapportering av säkerhetsincidenter

Vi har etablerat rutiner för att rapportera säkerhetsincidenter relaterade till våra informationssystem, inklusive de som är relaterade till personuppgifter om individer. Anställda, entreprenörer och andra intressenter uppmanas att rapportera alla säkerhetsincidenter eller misstänkta incidenter till det utsedda säkerhetsteamet så snart som möjligt.

17.4. Utbildning och medvetenhet

Vi tillhandahåller regelbundna utbildnings- och medvetenhetsprogram till anställda, entreprenörer och andra intressenter för att säkerställa att de är medvetna om sitt ansvar och sina skyldigheter relaterade till informationssäkerhet. Detta inkluderar utbildning om säkerhetspolicyer och -procedurer och åtgärder för att skydda personuppgifter om individer.

17.5. Ansvar och ansvar

Vi håller alla anställda, entreprenörer och andra intressenter ansvariga och ansvariga för att följa denna informationssäkerhetspolicy och relaterade säkerhetskontroller. Vi håller också ledningen ansvarig för att säkerställa att lämpliga resurser allokeras för att implementera och upprätthålla effektiva informationssäkerhetskontroller.

Denna informationssäkerhetspolicy är en kritisk komponent i Euroepan IT Certification Institutes ramverk för hantering av informationssäkerhet och visar vårt engagemang för att skydda informationstillgångar och bearbetade data, säkerställa konfidentialitet, integritet, integritet och tillgänglighet för information, samt att följa lagstadgade och avtalsmässiga krav.