Informationssäkerhetspolicy
EITCA Academys informationssäkerhetspolicy
Detta dokument specificerar Europeiska IT-certifieringsinstitutets informationssäkerhetspolicy (ISP), som regelbundet granskas och uppdateras för att säkerställa dess effektivitet och relevans. Den senaste uppdateringen av EITCI:s informationssäkerhetspolicy gjordes den 7 januari 2023.
Del 1. Inledning och informationssäkerhetspolicy
1.1. Inledning
Europeiska IT-certifieringsinstitutet inser vikten av informationssäkerhet för att upprätthålla konfidentialitet, integritet och tillgänglighet för information och förtroendet hos våra intressenter. Vi har åtagit oss att skydda känslig information, inklusive personuppgifter, från obehörig åtkomst, avslöjande, ändring och förstörelse. Vi upprätthåller en effektiv informationssäkerhetspolicy för att stödja vårt uppdrag att tillhandahålla pålitliga och opartiska certifieringstjänster till våra kunder. Informationssäkerhetspolicyn beskriver vårt åtagande att skydda informationstillgångar och uppfylla våra juridiska, regulatoriska och avtalsenliga skyldigheter. Vår policy är baserad på principerna i ISO 27001 och ISO 17024, de ledande internationella standarderna för informationssäkerhetshantering och certifieringsorgans driftstandarder.
1.2. Policyförklaring
European IT Certification Institute har åtagit sig att:
- Skydda konfidentialitet, integritet och tillgänglighet för informationstillgångar,
- Att följa lagliga, regulatoriska och kontraktuella skyldigheter relaterade till informationssäkerhet och behandling av data som implementerar dess certifieringsprocesser och verksamhet,
- Att ständigt förbättra sin informationssäkerhetspolicy och tillhörande ledningssystem,
- Tillhandahålla adekvat utbildning och medvetenhet till anställda, entreprenörer och deltagare,
- Involvera alla anställda och entreprenörer i implementeringen och underhållet av informationssäkerhetspolicyn och tillhörande ledningssystem för informationssäkerhet.
1.3. omfattning
Denna policy gäller för alla informationstillgångar som ägs, kontrolleras eller bearbetas av European IT Certification Institute. Detta inkluderar alla digitala och fysiska informationstillgångar, såsom system, nätverk, programvara, data och dokumentation. Denna policy gäller även för alla anställda, entreprenörer och tredjepartstjänsteleverantörer som har tillgång till våra informationstillgångar.
1.4. efterlevnad
European IT Certification Institute har åtagit sig att följa relevanta informationssäkerhetsstandarder, inklusive ISO 27001 och ISO 17024. Vi granskar och uppdaterar regelbundet denna policy för att säkerställa dess relevans och överensstämmelse med dessa standarder.
Del 2. Organisatorisk säkerhet
2.1. Organisationens säkerhetsmål
Genom att implementera organisatoriska säkerhetsåtgärder strävar vi efter att säkerställa att våra informationstillgångar och databehandlingsmetoder och -procedurer utförs med högsta nivå av säkerhet och integritet, och att vi följer relevanta lagar och standarder.
2.2. Roller och ansvar för informationssäkerhet
European IT Certification Institute definierar och kommunicerar roller och ansvar för informationssäkerhet över hela organisationen. Detta inkluderar att tilldela ett tydligt ägande för informationstillgångar i samband med informationssäkerheten, upprätta en styrningsstruktur och definiera specifika ansvarsområden för olika roller och avdelningar över hela organisationen.
2.3. Riskhantering
Vi genomför regelbundna riskbedömningar för att identifiera och prioritera informationssäkerhetsrisker för organisationen, inklusive risker relaterade till personuppgiftsbehandling. Vi upprättar lämpliga kontroller för att mildra dessa risker och granskar och uppdaterar regelbundet vår riskhanteringsmetod baserat på förändringar i affärsmiljön och hotbilden.
2.4. Informationssäkerhetspolicyer och -procedurer
Vi upprättar och underhåller en uppsättning policyer och procedurer för informationssäkerhet som är baserade på branschens bästa praxis och följer relevanta regler och standarder. Dessa policyer och procedurer täcker alla aspekter av informationssäkerhet, inklusive behandling av personuppgifter, och ses över och uppdateras regelbundet för att säkerställa deras effektivitet.
2.5. Säkerhetsmedvetenhet och utbildning
Vi tillhandahåller regelbunden säkerhetsmedvetenhet och utbildningsprogram till alla anställda, entreprenörer och tredjepartspartners som har tillgång till personuppgifter eller annan känslig information. Den här utbildningen täcker ämnen som nätfiske, social ingenjörskonst, lösenordshygien och andra bästa metoder för informationssäkerhet.
2.6. Fysisk och miljömässig säkerhet
Vi implementerar lämpliga fysiska och miljömässiga säkerhetskontroller för att skydda mot obehörig åtkomst, skada eller störning av våra anläggningar och informationssystem. Detta inkluderar åtgärder som tillträdeskontroll, övervakning, övervakning och reservkraft- och kylsystem.
2.7. Informationssäkerhet Incidenthantering
Vi har etablerat en incidenthanteringsprocess som gör det möjligt för oss att reagera snabbt och effektivt på eventuella informationssäkerhetsincidenter som kan inträffa. Detta inkluderar rutiner för rapportering, eskalering, utredning och lösning av incidenter, såväl som åtgärder för att förhindra upprepning och förbättra vår förmåga att hantera incidenter.
2.8. Operationell kontinuitet och katastrofåterställning
Vi har upprättat och testat driftkontinuitet och katastrofåterställningsplaner som gör det möjligt för oss att upprätthålla våra kritiska verksamhetsfunktioner och tjänster i händelse av avbrott eller katastrof. Dessa planer inkluderar rutiner för säkerhetskopiering och återställning av data och system, och åtgärder för att säkerställa tillgången och integriteten för personuppgifter.
2.9. Tredjepartshantering
Vi upprättar och upprätthåller lämpliga kontroller för att hantera riskerna förknippade med tredjepartspartners som har tillgång till personuppgifter eller annan känslig information. Detta inkluderar åtgärder som due diligence, avtalsförpliktelser, övervakning och revisioner, samt åtgärder för att avsluta partnerskap vid behov.
Del 3. Personalsäkerhet
3.1. Anställningsscreening
European IT Certification Institute har upprättat en process för anställningsscreening för att säkerställa att individer med tillgång till känslig information är pålitliga och har nödvändiga färdigheter och kvalifikationer.
3.2. Åtkomstkontroll
Vi har upprättat policyer och rutiner för åtkomstkontroll för att säkerställa att anställda endast har tillgång till den information som är nödvändig för deras arbetsansvar. Åtkomsträttigheterna ses över och uppdateras regelbundet för att säkerställa att anställda endast har tillgång till den information de behöver.
3.3. Informationssäkerhetsmedvetenhet och utbildning
Vi tillhandahåller regelbundet utbildning i informationssäkerhetsmedvetenhet till alla anställda. Den här utbildningen täcker ämnen som lösenordssäkerhet, nätfiskeattacker, social ingenjörskonst och andra aspekter av cybersäkerhet.
3.4. Acceptabel användning
Vi har upprättat en policy för acceptabel användning som beskriver acceptabel användning av informationssystem och resurser, inklusive personliga enheter som används i arbetssyfte.
3.5. Säkerhet för mobila enheter
Vi har fastställt policyer och procedurer för säker användning av mobila enheter, inklusive användning av lösenord, kryptering och fjärrspolning.
3.6. Uppsägningsförfaranden
Europeiska IT-certifieringsinstitutet har fastställt rutiner för uppsägning av anställning eller kontrakt för att säkerställa att tillgången till känslig information återkallas snabbt och säkert.
3.7. Tredjepartspersonal
Vi har upprättat rutiner för hantering av tredje parts personal som har tillgång till känslig information. Dessa policyer omfattar screening, åtkomstkontroll och utbildning för informationssäkerhet.
3.8. Rapportering av incidenter
Vi har fastställt policyer och rutiner för att rapportera informationssäkerhetsincidenter eller problem till lämplig personal eller myndigheter.
3.9. Sekretessavtal
European IT Certification Institute kräver att anställda och entreprenörer undertecknar sekretessavtal för att skydda känslig information från obehörigt avslöjande.
3.10. Disciplinära åtgärder
Europeiska IT-certifieringsinstitutet har fastställt policyer och rutiner för disciplinära åtgärder vid brott mot informationssäkerhetspolicyn av anställda eller entreprenörer.
Del 4. Riskbedömning och hantering
4.1. Riskbedömning
Vi genomför periodiska riskbedömningar för att identifiera potentiella hot och sårbarheter för våra informationstillgångar. Vi använder ett strukturerat tillvägagångssätt för att identifiera, analysera, utvärdera och prioritera risker baserat på deras sannolikhet och potentiella påverkan. Vi bedömer risker förknippade med våra informationstillgångar, inklusive system, nätverk, programvara, data och dokumentation.
4.2. Riskbehandling
Vi använder en riskbehandlingsprocess för att minska eller minska riskerna till en acceptabel nivå. Riskhanteringsprocessen inkluderar val av lämpliga kontroller, implementering av kontroller och övervakning av kontrollernas effektivitet. Vi prioriterar implementeringen av kontroller utifrån risknivå, tillgängliga resurser och affärsprioriteringar.
4.3. Riskövervakning och översyn
Vi övervakar och granskar regelbundet effektiviteten i vår riskhanteringsprocess för att säkerställa att den förblir relevant och effektiv. Vi använder mått och indikatorer för att mäta prestandan för vår riskhanteringsprocess och identifiera möjligheter till förbättringar. Vi granskar också vår riskhanteringsprocess som en del av våra återkommande ledningsgranskningar för att säkerställa dess fortlöpande lämplighet, lämplighet och effektivitet.
4.4. Risk Respons Planering
Vi har en riskhanteringsplan på plats för att säkerställa att vi kan reagera effektivt på alla identifierade risker. Denna plan innehåller rutiner för att identifiera och rapportera risker, såväl som processer för att bedöma den potentiella effekten av varje risk och fastställa lämpliga åtgärder. Vi har också beredskapsplaner på plats för att säkerställa affärskontinuitet i händelse av en betydande riskhändelse.
4.5. Operationell konsekvensanalys
Vi genomför periodiska affärskonsekvensanalyser för att identifiera den potentiella påverkan av störningar på vår affärsverksamhet. Denna analys inkluderar en bedömning av hur kritiska våra affärsfunktioner, system och data är, samt en utvärdering av den potentiella påverkan av störningar på våra kunder, anställda och andra intressenter.
4.6. Riskhantering från tredje part
Vi har ett riskhanteringsprogram för tredje part på plats för att säkerställa att våra leverantörer och andra tredjepartstjänsteleverantörer också hanterar risker på lämpligt sätt. Detta program inkluderar due diligence-kontroller innan kontakt med tredje part, kontinuerlig övervakning av tredje parts aktiviteter och periodiska utvärderingar av tredjeparts riskhanteringsmetoder.
4.7. Incident Response och Hantering
Vi har en incidentrespons och en hanteringsplan på plats för att säkerställa att vi kan reagera effektivt på eventuella säkerhetsincidenter. Denna plan innehåller rutiner för att identifiera och rapportera incidenter, såväl som processer för att bedöma effekten av varje incident och fastställa lämpliga åtgärdsåtgärder. Vi har också en affärskontinuitetsplan på plats för att säkerställa att kritiska affärsfunktioner kan fortsätta i händelse av en betydande incident.
Del 5. Fysisk och miljömässig säkerhet
5.1. Fysisk säkerhet Perimeter
Vi har etablerat fysiska säkerhetsåtgärder för att skydda de fysiska lokalerna och känslig information från obehörig åtkomst.
5.2. Åtkomstkontroll
Vi har etablerat policyer och rutiner för åtkomstkontroll för de fysiska lokalerna för att säkerställa att endast behörig personal har tillgång till känslig information.
5.3. Utrustningssäkerhet
Vi säkerställer att all utrustning som innehåller känslig information är fysiskt säkrad, och åtkomst till denna utrustning är begränsad till endast behörig personal.
5.4. Säker avfallshantering
Vi har fastställt rutiner för säker kassering av känslig information, inklusive pappersdokument, elektroniska medier och hårdvara.
5.5. Fysisk miljö
Vi säkerställer att den fysiska miljön i lokalerna, inklusive temperatur, luftfuktighet och belysning, är lämplig för att skydda känslig information.
5.6. Strömförsörjning
Vi ser till att strömförsörjningen till lokalen är pålitlig och skyddad mot strömavbrott eller överspänningar.
5.7. Brandskydd
Vi har etablerat brandskyddspolicyer och -procedurer, inklusive installation och underhåll av branddetektering och brandskyddssystem.
5.8. Vattenskadeskydd
Vi har etablerat policyer och rutiner för att skydda känslig information från vattenskador, inklusive installation och underhåll av system för upptäckt och förebyggande av översvämningar.
5.9. Underhåll av utrustningen
Vi har etablerat rutiner för underhåll av utrustning, inklusive inspektion av utrustning för tecken på manipulering eller obehörig åtkomst.
5.10. Acceptabel användning
Vi har upprättat en policy för acceptabel användning som beskriver acceptabel användning av fysiska resurser och faciliteter.
5.11. Fjärranslutning
Vi har fastställt policyer och rutiner för fjärråtkomst till känslig information, inklusive användning av säkra anslutningar och kryptering.
5.12. Övervakning och övervakning
Vi har fastställt policyer och rutiner för övervakning och övervakning av de fysiska lokalerna och utrustningen för att upptäcka och förhindra obehörig åtkomst eller manipulering.
Del. 6. Kommunikations- och driftsäkerhet
6.1. Nätverkssäkerhetshantering
Vi har etablerat policyer och procedurer för hantering av nätverkssäkerhet, inklusive användning av brandväggar, intrångsdetektering och förebyggande system och regelbundna säkerhetsrevisioner.
6.2. Informationsöverföring
Vi har fastställt policyer och rutiner för säker överföring av känslig information, inklusive användning av kryptering och säkra filöverföringsprotokoll.
6.3. Tredjepartskommunikation
Vi har fastställt policyer och rutiner för säkert utbyte av känslig information med tredjepartsorganisationer, inklusive användning av säkra anslutningar och kryptering.
6.4. Mediahantering
Vi har etablerat rutiner för hantering av känslig information i olika former av media, inklusive pappersdokument, elektroniska medier och bärbara lagringsenheter.
6.5. Utveckling och underhåll av informationssystem
Vi har fastställt policyer och rutiner för utveckling och underhåll av informationssystem, inklusive användning av säker kodning, regelbundna mjukvaruuppdateringar och patchhantering.
6.6. Skydd mot skadlig programvara och virus
Vi har fastställt policyer och rutiner för att skydda informationssystem mot skadlig programvara och virus, inklusive användning av antivirusprogram och regelbundna säkerhetsuppdateringar.
6.7. Säkerhetskopiering och återställning
Vi har fastställt policyer och rutiner för säkerhetskopiering och återställning av känslig information för att förhindra dataförlust eller korruption.
6.8. Evenemangshantering
Vi har fastställt policyer och rutiner för identifiering, utredning och lösning av säkerhetsincidenter och händelser.
6.9. Sårbarhetshantering
Vi har etablerat policyer och rutiner för hantering av sårbarheter i informationssystem, inklusive användning av regelbundna sårbarhetsbedömningar och patchhantering.
6.10. Åtkomstkontroll
Vi har etablerat policyer och procedurer för hantering av användaråtkomst till informationssystem, inklusive användning av åtkomstkontroller, användarautentisering och regelbundna åtkomstgranskningar.
6.11. Övervakning och loggning
Vi har fastställt policyer och rutiner för övervakning och loggning av informationssystemaktiviteter, inklusive användning av revisionsspår och loggning av säkerhetsincidenter.
Del 7. Förvärv, utveckling och underhåll av informationssystem
7.1. Krav
Vi har fastställt policyer och procedurer för identifiering av informationssystemkrav, inklusive affärskrav, juridiska och regulatoriska krav och säkerhetskrav.
7.2. Leverantörsrelationer
Vi har fastställt policyer och rutiner för hantering av relationer med tredjepartsleverantörer av informationssystem och tjänster, inklusive utvärdering av leverantörers säkerhetspraxis.
7.3. Systemutveckling
Vi har etablerat policyer och procedurer för säker utveckling av informationssystem, inklusive användning av säker kodning, regelbunden testning och kvalitetssäkring.
7.4. Systemtestning
Vi har fastställt policyer och rutiner för testning av informationssystem, inklusive funktionstestning, prestandatestning och säkerhetstestning.
7.5. Systemacceptans
Vi har fastställt policyer och procedurer för acceptans av informationssystem, inklusive godkännande av testresultat, säkerhetsbedömningar och testning av användaracceptans.
7.6. Systemunderhåll
Vi har etablerat policyer och rutiner för underhåll av informationssystem, inklusive regelbundna uppdateringar, säkerhetskorrigeringar och systemsäkerhetskopiering.
7.7. Systempensionering
Vi har fastställt policyer och rutiner för avveckling av informationssystem, inklusive säker kassering av hårdvara och data.
7.8. Datalagring
Vi har fastställt policyer och rutiner för lagring av data i enlighet med lagar och regler, inklusive säker lagring och bortskaffande av känsliga uppgifter.
7.9. Säkerhetskrav för informationssystem
Vi har fastställt policyer och procedurer för identifiering och implementering av säkerhetskrav för informationssystem, inklusive åtkomstkontroller, kryptering och dataskydd.
7.10. Säkra utvecklingsmiljöer
Vi har fastställt policyer och procedurer för säkra utvecklingsmiljöer för informationssystem, inklusive användning av säkra utvecklingsmetoder, åtkomstkontroller och säkra nätverkskonfigurationer.
7.11. Skydd av testmiljöer
Vi har fastställt policyer och procedurer för skydd av testmiljöer för informationssystem, inklusive användning av säkra konfigurationer, åtkomstkontroller och regelbundna säkerhetstester.
7.12. Säkra systemtekniska principer
Vi har fastställt policyer och procedurer för implementering av säkra systemtekniska principer för informationssystem, inklusive användning av säkerhetsarkitekturer, hotmodellering och säker kodning.
7.13. Riktlinjer för säker kodning
Vi har fastställt policyer och rutiner för implementering av säkra kodningsriktlinjer för informationssystem, inklusive användning av kodningsstandarder, kodgranskning och automatiserad testning.
Del 8. Hårdvaruanskaffning
8.1. Efterlevnad av standarder
Vi följer ISO 27001-standarden för ledningssystem för informationssäkerhet (ISMS) för att säkerställa att hårdvarutillgångar anskaffas i enlighet med våra säkerhetskrav.
8.2. Riskbedömning
Vi gör en riskbedömning innan vi upphandlar hårdvarutillgångar för att identifiera potentiella säkerhetsrisker och säkerställa att den valda hårdvaran uppfyller säkerhetskraven.
8.3. Val av leverantörer
Vi upphandlar endast hårdvarutillgångar från betrodda leverantörer som har en dokumenterad erfarenhet av att leverera säkra produkter. Vi granskar leverantörens säkerhetspolicyer och rutiner och kräver att de tillhandahåller försäkran om att deras produkter uppfyller våra säkerhetskrav.
8.4. Säker transport
Vi säkerställer att hårdvarutillgångar transporteras säkert till våra lokaler för att förhindra manipulering, skada eller stöld under transporten.
8.5. Äkthetsverifiering
Vi verifierar äktheten av hårdvarutillgångar vid leverans för att säkerställa att de inte är förfalskade eller manipulerade.
8.6. Fysiska och miljömässiga kontroller
Vi implementerar lämpliga fysiska och miljömässiga kontroller för att skydda hårdvarutillgångar från obehörig åtkomst, stöld eller skada.
8.7. Hårdvaruinstallation
Vi säkerställer att alla hårdvarutillgångar konfigureras och installeras i enlighet med etablerade säkerhetsstandarder och riktlinjer.
8.8. Hårdvara recensioner
Vi utför regelbundna granskningar av hårdvarutillgångar för att säkerställa att de fortsätter att uppfylla våra säkerhetskrav och är uppdaterade med de senaste säkerhetskorrigeringarna och uppdateringarna.
8.9. Kassering av hårdvara
Vi förfogar över hårdvarutillgångar på ett säkert sätt för att förhindra obehörig åtkomst till känslig information.
Del 9. Skydd mot skadlig programvara och virus
9.1. Policy för uppdatering av programvara
Vi upprätthåller uppdaterad programvara för antivirus och skadlig programvara på alla informationssystem som används av European IT Certification Institute, inklusive servrar, arbetsstationer, bärbara datorer och mobila enheter. Vi säkerställer att antivirus- och skadlig programvara är konfigurerad för att automatiskt uppdatera sina virusdefinitionsfiler och programvaruversioner regelbundet, och att denna process testas regelbundet.
9.2. Skanning av antivirus och skadlig programvara
Vi utför regelbundna genomsökningar av alla informationssystem, inklusive servrar, arbetsstationer, bärbara datorer och mobila enheter, för att upptäcka och ta bort eventuella virus eller skadlig kod.
9.3. Policy för ingen inaktivering och ingen ändring
Vi tillämpar policyer som förbjuder användare att inaktivera eller ändra program för skydd mot virus och skadlig programvara på något informationssystem.
9.4. Övervakning
Vi övervakar våra programvarningar och loggar för skydd mot virus och skadlig programvara för att identifiera eventuella incidenter av virus- eller skadlig programvara och reagerar på sådana incidenter i tid.
9.5. Underhåll av register
Vi upprätthåller register över programvarukonfigurationer, uppdateringar och genomsökningar för skydd mot virus och skadlig programvara, såväl som eventuella incidenter av virus- eller skadlig programvara, för granskningsändamål.
9.6. Programvaru recensioner
Vi genomför regelbundna granskningar av vår programvara för att skydda mot virus och skadlig programvara för att säkerställa att den uppfyller gällande industristandarder och är tillräcklig för våra behov.
9.7. Utbildning och medvetenhet
Vi tillhandahåller utbildnings- och medvetenhetsprogram för att utbilda alla anställda om vikten av skydd mot virus och skadlig kod och hur man känner igen och rapporterar misstänkta aktiviteter eller incidenter.
Del 10. Information Asset Management
10.1. Inventering av informationstillgångar
European IT Certification Institute upprätthåller en inventering av informationstillgångar som inkluderar alla digitala och fysiska informationstillgångar, såsom system, nätverk, programvara, data och dokumentation. Vi klassificerar informationstillgångar baserat på deras kritikalitet och känslighet för att säkerställa att lämpliga skyddsåtgärder implementeras.
10.2. Information Asset Management
Vi implementerar lämpliga åtgärder för att skydda informationstillgångar baserat på deras klassificering, inklusive konfidentialitet, integritet och tillgänglighet. Vi säkerställer att alla informationstillgångar hanteras i enlighet med tillämpliga lagar, förordningar och avtalskrav. Vi säkerställer också att alla informationstillgångar lagras på rätt sätt, skyddas och kasseras när de inte längre behövs.
10.3. Ägande av informationstillgångar
Vi tilldelar ägande av informationstillgångar till individer eller avdelningar som ansvarar för att hantera och skydda informationstillgångar. Vi säkerställer också att ägare av informationstillgångar förstår sitt ansvar och ansvar för att skydda informationstillgångar.
10.4. Skydd av informationstillgångar
Vi använder en mängd olika skyddsåtgärder för att skydda informationstillgångar, inklusive fysiska kontroller, åtkomstkontroller, kryptering och säkerhetskopierings- och återställningsprocesser. Vi säkerställer också att alla informationstillgångar är skyddade mot obehörig åtkomst, modifiering eller förstörelse.
Del 11. Tillträdeskontroll
11.1. Åtkomstkontrollpolicy
European IT Certification Institute har en åtkomstkontrollpolicy som beskriver kraven för att bevilja, ändra och återkalla åtkomst till informationstillgångar. Åtkomstkontroll är en kritisk komponent i vårt ledningssystem för informationssäkerhet, och vi implementerar det för att säkerställa att endast auktoriserade personer har tillgång till våra informationstillgångar.
11.2. Implementering av åtkomstkontroll
Vi implementerar åtkomstkontrollåtgärder baserade på principen om minsta privilegium, vilket innebär att individer endast har tillgång till de informationstillgångar som krävs för att utföra sina arbetsuppgifter. Vi använder en mängd olika åtkomstkontrollåtgärder, inklusive autentisering, auktorisering och redovisning (AAA). Vi använder också åtkomstkontrollistor (ACL) och behörigheter för att kontrollera åtkomst till informationstillgångar.
11.3. Lösenordspolicy
European IT Certification Institute har en lösenordspolicy som beskriver kraven för att skapa och hantera lösenord. Vi kräver starka lösenord som är minst 8 tecken långa, med en kombination av stora och små bokstäver, siffror och specialtecken. Vi kräver också periodiska lösenordsändringar och förbjuder återanvändning av tidigare lösenord.
11.4. Användarhantering
Vi har en användarhanteringsprocess som inkluderar att skapa, ändra och ta bort användarkonton. Användarkonton skapas utifrån principen om minsta privilegium, och åtkomst ges endast till de informationstillgångar som är nödvändiga för att utföra individens jobbfunktioner. Vi granskar också regelbundet användarkonton och tar bort konton som inte längre behövs.
Del 12. Informationssäkerhet Incidenthantering
12.1. Incidenthanteringspolicy
European IT Certification Institute har en Incident Management Policy som beskriver kraven för att upptäcka, rapportera, bedöma och svara på säkerhetsincidenter. Vi definierar säkerhetsincidenter som alla händelser som äventyrar konfidentialitet, integritet eller tillgänglighet för informationstillgångar eller system.
12.2. Incidentidentifiering och rapportering
Vi implementerar åtgärder för att upptäcka och rapportera säkerhetsincidenter omgående. Vi använder en mängd olika metoder för att upptäcka säkerhetsincidenter, inklusive intrångsdetekteringssystem (IDS), antivirusprogram och användarrapportering. Vi säkerställer också att alla anställda är medvetna om rutinerna för att rapportera säkerhetsincidenter och uppmuntrar rapportering av alla misstänkta incidenter.
12.3. Incidentbedömning och svar
Vi har en process för att bedöma och reagera på säkerhetsincidenter baserat på deras svårighetsgrad och påverkan. Vi prioriterar incidenter baserat på deras potentiella inverkan på informationstillgångar eller system och allokerar lämpliga resurser för att svara på dem. Vi har också en åtgärdsplan som inkluderar procedurer för att identifiera, innehålla, analysera, utrota och återhämta oss från säkerhetsincidenter, samt meddela relevanta parter och genomföra granskningar efter incidenten. Våra incidentresponsprocedurer är utformade för att säkerställa en snabb och effektiv reaktion till säkerhetsincidenter. Rutinerna ses över och uppdateras regelbundet för att säkerställa deras effektivitet och relevans.
12.4. Incident Response Team
Vi har ett Incident Response Team (IRT) som ansvarar för att svara på säkerhetsincidenter. IRT är sammansatt av representanter från olika enheter och leds av Information Security Officer (ISO). IRT ansvarar för att bedöma svårighetsgraden av incidenterna, innehålla incidenten och initiera lämpliga svarsprocedurer.
12.5. Incidentrapportering och granskning
Vi har etablerat rutiner för att rapportera säkerhetsincidenter till relevanta parter, inklusive kunder, tillsynsmyndigheter och brottsbekämpande myndigheter, i enlighet med gällande lagar och förordningar. Vi upprätthåller också kommunikation med berörda parter under hela incidentresponsprocessen, och tillhandahåller aktuella uppdateringar om incidentens status och eventuella åtgärder som vidtas för att mildra dess påverkan. Vi genomför också en granskning av alla säkerhetsincidenter för att identifiera grundorsaken och förhindra att liknande incidenter inträffar i framtiden.
Del 13. Business Continuity Management och Disaster Recovery
13.1. Affärskontinuitetsplanering
Även om European IT Certification Institute är en ideell organisation har det en Business Continuity Plan (BCP) som beskriver förfarandena för att säkerställa kontinuiteten i dess verksamhet i händelse av en störande incident. BCP täcker alla kritiska driftsprocesser och identifierar de resurser som krävs för att upprätthålla verksamheten under och efter en störande incident. Den beskriver också rutinerna för att upprätthålla affärsverksamheten under en störning eller katastrof, bedöma effekterna av störningar, identifiera de mest kritiska operativa processerna i samband med en viss störande incident, och utveckla reaktions- och återställningsprocedurer.
13.2. Katastrofåterställningsplanering
European IT Certification Institute har en Disaster Recovery Plan (DRP) som beskriver procedurerna för att återställa våra informationssystem i händelse av avbrott eller katastrof. DRP innehåller procedurer för säkerhetskopiering av data, dataåterställning och systemåterställning. DRP testas och uppdateras regelbundet för att säkerställa dess effektivitet.
13.3. Analys av affärseffekter
Vi genomför en Business Impact Analysis (BIA) för att identifiera de kritiska operationsprocesserna och de resurser som krävs för att underhålla dem. BIA hjälper oss att prioritera våra återhämtningsinsatser och allokera resurser därefter.
13.4. Affärskontinuitetsstrategi
Baserat på resultaten av BIA utvecklar vi en affärskontinuitetsstrategi som beskriver procedurerna för att reagera på en störande incident. Strategin inkluderar procedurer för att aktivera BCP, återställa kritiska operationsprocesser och kommunicera med relevanta intressenter.
13.5. Testning och underhåll
Vi testar och underhåller regelbundet våra BCP och DRP för att säkerställa deras effektivitet och relevans. Vi genomför regelbundna tester för att validera BCP/DRP och identifiera områden för förbättring. Vi uppdaterar även BCP och DRP vid behov för att återspegla förändringar i vår verksamhet eller hotbilden. Testning inkluderar bordsövningar, simuleringar och livetestning av procedurer. Vi granskar och uppdaterar också våra planer baserat på resultaten av tester och lärdomar.
13.6. Alternativa bearbetningsplatser
Vi har alternativa bearbetningswebbplatser online som kan användas för att fortsätta verksamheten i händelse av avbrott eller katastrof. De alternativa bearbetningsplatserna är utrustade med nödvändiga infrastrukturer och system och kan användas för att stödja kritiska affärsprocesser.
Del 14. Efterlevnad och revision
14.1. Efterlevnad av lagar och förordningar
European IT Certification Institute har åtagit sig att följa alla tillämpliga lagar och förordningar relaterade till informationssäkerhet och integritet, inklusive dataskyddslagar, industristandarder och avtalsförpliktelser. Vi granskar och uppdaterar regelbundet våra policyer, procedurer och kontroller för att säkerställa efterlevnad av alla relevanta krav och standarder. De viktigaste standarderna och ramverken vi följer i informationssäkerhetssammanhang inkluderar:
- ISO/IEC 27001-standarden ger riktlinjer för implementering och hantering av ett Information Security Management System (ISMS) som inkluderar sårbarhetshantering som en nyckelkomponent. Den tillhandahåller ett referensramverk för implementering och underhåll av vårt hanteringssystem för informationssäkerhet (ISMS) inklusive sårbarhetshantering. I enlighet med dessa standardbestämmelser identifierar, bedömer och hanterar vi informationssäkerhetsrisker, inklusive sårbarheter.
- Det amerikanska National Institute of Standards and Technology (NIST) Cybersecurity Framework ger riktlinjer för att identifiera, bedöma och hantera cybersäkerhetsrisker, inklusive sårbarhetshantering.
- National Institute of Standards and Technology (NIST) Cybersecurity Framework för att förbättra cybersäkerhetsriskhantering, med en kärnuppsättning funktioner inklusive sårbarhetshantering som vi följer för att hantera våra cybersäkerhetsrisker.
- SANS Critical Security Controls innehåller en uppsättning av 20 säkerhetskontroller för att förbättra cybersäkerhet, som täcker en rad områden, inklusive sårbarhetshantering, ger specifik vägledning om sårbarhetsskanning, patchhantering och andra aspekter av sårbarhetshantering.
- Payment Card Industry Data Security Standard (PCI DSS), som kräver hantering av kreditkortsinformation i samband med sårbarhetshantering i detta sammanhang.
- Center for Internet Security Controls (CIS) inklusive sårbarhetshantering som en av nyckelkontrollerna för att säkerställa säkra konfigurationer av våra informationssystem.
- Open Web Application Security Project (OWASP), med sin topp 10-lista över de mest kritiska säkerhetsriskerna för webbapplikationer, inklusive sårbarhetsbedömning såsom injektionsattacker, trasig autentisering och sessionshantering, cross-site scripting (XSS), etc. Vi använder OWASP:s topp 10 för att prioritera vår sårbarhetshantering och fokusera på de mest kritiska riskerna med våra webbsystem.
14.2. Internrevision
Vi genomför regelbundna interna revisioner för att bedöma effektiviteten av vårt ledningssystem för informationssäkerhet (ISMS) och säkerställa att våra policyer, rutiner och kontroller följs. Internrevisionsprocessen inkluderar identifiering av avvikelser, utveckling av korrigerande åtgärder och spårning av saneringsinsatser.
14.3. Extern granskning
Vi samarbetar regelbundet med externa revisorer för att validera vår efterlevnad av tillämpliga lagar, förordningar och branschstandarder. Vi ger revisorer tillgång till våra faciliteter, system och dokumentation som krävs för att validera vår efterlevnad. Vi samarbetar också med externa revisorer för att ta itu med eventuella resultat eller rekommendationer som identifierats under revisionsprocessen.
14.4. Övervakning av efterlevnad
Vi övervakar vår efterlevnad av tillämpliga lagar, förordningar och branschstandarder löpande. Vi använder en mängd olika metoder för att övervaka efterlevnad, inklusive periodiska bedömningar, revisioner och granskningar av tredjepartsleverantörer. Vi granskar och uppdaterar också regelbundet våra policyer, procedurer och kontroller för att säkerställa kontinuerlig efterlevnad av alla relevanta krav.
Del 15. Tredjepartshantering
15.1. Tredjepartshanteringspolicy
European IT Certification Institute har en tredjepartshanteringspolicy som beskriver kraven för att välja, utvärdera och övervaka tredjepartsleverantörer som har tillgång till våra informationstillgångar eller system. Policyn gäller alla tredjepartsleverantörer, inklusive molntjänstleverantörer, leverantörer och entreprenörer.
15.2. Urval och bedömning från tredje part
Vi genomför due diligence innan vi samarbetar med tredjepartsleverantörer för att säkerställa att de har adekvata säkerhetskontroller på plats för att skydda våra informationstillgångar eller system. Vi bedömer också tredjepartsleverantörernas efterlevnad av tillämpliga lagar och förordningar relaterade till informationssäkerhet och integritet.
15.3. Tredjepartsövervakning
Vi övervakar tredjepartsleverantörer löpande för att säkerställa att de fortsätter att uppfylla våra krav på informationssäkerhet och integritet. Vi använder en mängd olika metoder för att övervaka tredjepartsleverantörer, inklusive periodiska bedömningar, revisioner och granskningar av säkerhetsincidentrapporter.
15.4. Kontraktskrav
Vi inkluderar avtalskrav relaterade till informationssäkerhet och integritet i alla kontrakt med tredjepartsleverantörer. Dessa krav inkluderar bestämmelser för dataskydd, säkerhetskontroller, incidenthantering och efterlevnadsövervakning. Vi inkluderar även bestämmelser om uppsägning av kontrakt i händelse av en säkerhetsincident eller bristande efterlevnad.
Del 16. Informationssäkerhet i certifieringsprocesser
16.1 Säkerhet för certifieringsprocesser
Vi vidtar adekvata och systemiska åtgärder för att säkerställa säkerheten för all information relaterad till våra certifieringsprocesser, inklusive personuppgifter om individer som söker certifiering. Detta inkluderar kontroller för åtkomst, lagring och överföring av all certifieringsrelaterad information. Genom att implementera dessa åtgärder strävar vi efter att säkerställa att certifieringsprocesserna genomförs med högsta nivå av säkerhet och integritet, och att personuppgifterna för individer som söker certifiering skyddas i enlighet med relevanta regler och standarder.
16.2. Autentisering och auktorisering
Vi använder autentiserings- och auktoriseringskontroller för att säkerställa att endast auktoriserad personal har tillgång till certifieringsinformation. Åtkomstkontroller ses över och uppdateras regelbundet baserat på förändringar i personalens roller och ansvar.
16.3. Dataskydd
Vi skyddar personuppgifter under hela certifieringsprocessen genom att implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa konfidentialitet, integritet och tillgänglighet för uppgifterna. Detta inkluderar åtgärder som kryptering, åtkomstkontroller och regelbundna säkerhetskopieringar.
16.4. Säkerhet för undersökningsprocesser
Vi säkerställer säkerheten för undersökningsprocesserna genom att implementera lämpliga åtgärder för att förhindra fusk, övervaka och kontrollera undersökningsmiljön. Vi upprätthåller också integriteten och konfidentialiteten för undersökningsmaterial genom säkra lagringsprocedurer.
16.5. Säkerhet för examensinnehåll
Vi säkerställer säkerheten för undersökningsinnehåll genom att implementera lämpliga åtgärder för att skydda mot obehörig åtkomst, ändring eller avslöjande av innehållet. Detta inkluderar användning av säker lagring, kryptering och åtkomstkontroller för undersökningsinnehåll, samt kontroller för att förhindra obehörig distribution eller spridning av undersökningsinnehåll.
16.6. Säkerhet vid leverans av examen
Vi säkerställer säkerheten för leverans av undersökningar genom att implementera lämpliga åtgärder för att förhindra obehörig åtkomst till eller manipulation av undersökningsmiljön. Detta inkluderar åtgärder som övervakning, revision och kontroll av undersökningsmiljön och särskilda undersökningsmetoder, för att förhindra fusk eller andra säkerhetsintrång.
16.7. Säkerhet för undersökningsresultat
Vi säkerställer säkerheten för undersökningsresultat genom att implementera lämpliga åtgärder för att skydda mot obehörig åtkomst, ändring eller avslöjande av resultaten. Detta inkluderar användning av säker lagring, kryptering och åtkomstkontroller för undersökningsresultat, samt kontroller för att förhindra obehörig spridning eller spridning av undersökningsresultat.
16.8. Säkerhet vid utfärdande av certifikat
Vi säkerställer säkerheten för certifikatutfärdande genom att implementera lämpliga åtgärder för att förhindra bedrägeri och obehörig utfärdande av certifikat. Detta inkluderar kontroller för att verifiera identiteten på individer som tar emot certifikat och säker lagring och utfärdande.
16.9. Klagomål och överklaganden
Vi har etablerat rutiner för att hantera klagomål och överklaganden relaterade till certifieringsprocessen. Dessa förfaranden inkluderar åtgärder för att säkerställa sekretess och opartiskhet i processen, och säkerheten för information relaterad till klagomål och överklaganden.
16.10. Certifieringsprocesser Kvalitetsledning
Vi har etablerat ett kvalitetsledningssystem (QMS) för certifieringsprocesserna som inkluderar åtgärder för att säkerställa processernas effektivitet, effektivitet och säkerhet. QMS inkluderar regelbundna revisioner och granskningar av processerna och deras säkerhetskontroller.
16.11. Kontinuerlig förbättring av certifieringsprocessernas säkerhet
Vi är engagerade i att kontinuerligt förbättra våra certifieringsprocesser och deras säkerhetskontroller. Detta inkluderar regelbundna granskningar och uppdateringar av certifieringsrelaterade policyer och procedurer för säkerhet baserad på förändringar i affärsmiljön, regulatoriska krav och bästa praxis inom informationssäkerhetshantering, i enlighet med ISO 27001-standarden för informationssäkerhetshantering, samt med ISO 17024 certifieringsorgan operativ standard.
Del 17. Avslutande bestämmelser
17.1. Policygranskning och uppdatering
Denna informationssäkerhetspolicy är ett levande dokument som genomgår kontinuerliga granskningar och uppdateringar baserat på förändringar i våra operativa krav, regulatoriska krav eller bästa praxis inom informationssäkerhetshantering.
17.2. Övervakning av efterlevnad
Vi har etablerat rutiner för att övervaka efterlevnaden av denna informationssäkerhetspolicy och relaterade säkerhetskontroller. Övervakning av efterlevnad inkluderar regelbundna revisioner, bedömningar och granskningar av säkerhetskontroller och deras effektivitet för att uppnå målen för denna policy.
17.3. Rapportering av säkerhetsincidenter
Vi har etablerat rutiner för att rapportera säkerhetsincidenter relaterade till våra informationssystem, inklusive de som är relaterade till personuppgifter om individer. Anställda, entreprenörer och andra intressenter uppmanas att rapportera alla säkerhetsincidenter eller misstänkta incidenter till det utsedda säkerhetsteamet så snart som möjligt.
17.4. Utbildning och medvetenhet
Vi tillhandahåller regelbundna utbildnings- och medvetenhetsprogram till anställda, entreprenörer och andra intressenter för att säkerställa att de är medvetna om sitt ansvar och sina skyldigheter relaterade till informationssäkerhet. Detta inkluderar utbildning om säkerhetspolicyer och -procedurer och åtgärder för att skydda personuppgifter om individer.
17.5. Ansvar och ansvar
Vi håller alla anställda, entreprenörer och andra intressenter ansvariga och ansvariga för att följa denna informationssäkerhetspolicy och relaterade säkerhetskontroller. Vi håller också ledningen ansvarig för att säkerställa att lämpliga resurser allokeras för att implementera och upprätthålla effektiva informationssäkerhetskontroller.
Denna informationssäkerhetspolicy är en kritisk komponent i Euroepan IT Certification Institutes ramverk för hantering av informationssäkerhet och visar vårt engagemang för att skydda informationstillgångar och bearbetade data, säkerställa konfidentialitet, integritet, integritet och tillgänglighet för information, samt att följa lagstadgade och avtalsmässiga krav.