Politika informacijske sigurnosti
Politika informacijske sigurnosti Akademije EITCA
Ovaj dokument navodi Politiku informacijske sigurnosti (ISP) Europskog instituta za informatičku certifikaciju, koja se redovito pregledava i ažurira kako bi se osigurala njezina učinkovitost i relevantnost. Zadnje ažuriranje Politike informacijske sigurnosti EITCI-ja napravljeno je 7. siječnja 2023.
Dio 1. Uvod i Izjava o politici informacijske sigurnosti
1.1. Uvod
European IT Certification Institute prepoznaje važnost informacijske sigurnosti u održavanju povjerljivosti, integriteta i dostupnosti informacija i povjerenja naših dionika. Predani smo zaštiti osjetljivih informacija, uključujući osobne podatke, od neovlaštenog pristupa, otkrivanja, izmjene i uništenja. Održavamo učinkovitu Politiku sigurnosti informacija kako bismo podržali našu misiju pružanja pouzdanih i nepristranih usluga certificiranja našim klijentima. Politika informacijske sigurnosti ističe našu predanost zaštiti informacijske imovine i ispunjavanju naših zakonskih, regulatornih i ugovornih obveza. Naša politika temelji se na načelima ISO 27001 i ISO 17024, vodećih međunarodnih standarda za upravljanje sigurnošću informacija i standardima rada certifikacijskih tijela.
1.2. Izjava o politici
Europski institut za IT certifikaciju posvećen je:
- Zaštita povjerljivosti, integriteta i dostupnosti informacijskih sredstava,
- Usklađenost sa zakonskim, regulatornim i ugovornim obvezama koje se odnose na informacijsku sigurnost i obradu podataka primjenom svojih procesa certificiranja i operacija,
- Stalno unaprjeđujući svoju politiku informacijske sigurnosti i povezani sustav upravljanja,
- Pružanje odgovarajuće obuke i podizanja svijesti zaposlenika, izvođača i sudionika,
- Uključivanje svih zaposlenika i izvođača u implementaciju i održavanje politike informacijske sigurnosti i pripadajućeg sustava upravljanja informacijskom sigurnošću.
1.3. djelokrug
Ova se politika primjenjuje na svu informacijsku imovinu koju posjeduje, kontrolira ili obrađuje Europski institut za IT certifikaciju. To uključuje svu digitalnu i fizičku informacijsku imovinu, kao što su sustavi, mreže, softver, podaci i dokumentacija. Ova se politika također odnosi na sve zaposlenike, izvođače i pružatelje usluga trećih strana koji pristupaju našim informacijama.
1.4. Usklađenost
Europski institut za IT certifikaciju predan je usklađenosti s relevantnim standardima informacijske sigurnosti, uključujući ISO 27001 i ISO 17024. Redovito pregledavamo i ažuriramo ovu politiku kako bismo osigurali njezinu stalnu relevantnost i usklađenost s tim standardima.
Dio 2. Organizacijska sigurnost
2.1. Sigurnosni ciljevi organizacije
Implementacijom organizacijskih sigurnosnih mjera, nastojimo osigurati da se naša imovina informacija i obrada podataka i postupci i postupci provode uz najvišu razinu sigurnosti i integriteta, te da smo u skladu s relevantnim zakonskim propisima i standardima.
2.2. Uloge i odgovornosti u informacijskoj sigurnosti
European IT Certification Institute definira i komunicira uloge i odgovornosti za informacijsku sigurnost u cijeloj organizaciji. To uključuje dodjelu jasnog vlasništva nad informacijskom imovinom u kontekstu informacijske sigurnosti, uspostavljanje strukture upravljanja i definiranje specifičnih odgovornosti za različite uloge i odjele u cijeloj organizaciji.
2.3. Upravljanje rizicima
Provodimo redovite procjene rizika kako bismo identificirali i odredili prioritete sigurnosnih rizika za organizaciju, uključujući rizike povezane s obradom osobnih podataka. Uspostavljamo odgovarajuće kontrole za ublažavanje ovih rizika i redovito pregledavamo i ažuriramo naš pristup upravljanju rizikom na temelju promjena u poslovnom okruženju i prijetnjama.
2.4. Politike i postupci informacijske sigurnosti
Uspostavljamo i održavamo skup politika i postupaka informacijske sigurnosti koji se temelje na najboljoj praksi u industriji i u skladu su s relevantnim propisima i standardima. Ove politike i postupci pokrivaju sve aspekte informacijske sigurnosti, uključujući obradu osobnih podataka, te se redovito pregledavaju i ažuriraju kako bi se osigurala njihova učinkovitost.
2.5. Sigurnosna svijest i obuka
Pružamo redovite programe podizanja svijesti o sigurnosti i obuke za sve zaposlenike, izvođače i partnere treće strane koji imaju pristup osobnim podacima ili drugim osjetljivim informacijama. Ova obuka pokriva teme kao što su krađa identiteta, društveni inženjering, higijena lozinki i druge najbolje prakse informacijske sigurnosti.
2.6. Fizička sigurnost i sigurnost okoliša
Provodimo odgovarajuće fizičke i ekološke sigurnosne kontrole kako bismo zaštitili od neovlaštenog pristupa, oštećenja ili smetnji u našim objektima i informacijskim sustavima. To uključuje mjere poput kontrole pristupa, nadzora, praćenja i rezervnog napajanja i sustava hlađenja.
2.7. Upravljanje incidentima informacijske sigurnosti
Uspostavili smo proces upravljanja incidentima koji nam omogućuje da brzo i učinkovito odgovorimo na sve incidente koji se mogu dogoditi u vezi sa sigurnošću informacija. To uključuje postupke za prijavu, eskalaciju, istragu i rješavanje incidenata, kao i mjere za sprječavanje ponavljanja i poboljšanje naših sposobnosti odgovora na incidente.
2.8. Kontinuitet rada i oporavak od katastrofe
Uspostavili smo i testirali planove operativnog kontinuiteta i oporavka od katastrofe koji nam omogućuju održavanje kritičnih operativnih funkcija i usluga u slučaju prekida ili katastrofe. Ti planovi uključuju postupke za sigurnosno kopiranje i oporavak podataka i sustava te mjere za osiguranje dostupnosti i integriteta osobnih podataka.
2.9. Upravljanje treće strane
Uspostavljamo i održavamo odgovarajuće kontrole za upravljanje rizicima povezanim s partnerima trećih strana koji imaju pristup osobnim podacima ili drugim osjetljivim informacijama. To uključuje mjere kao što su due diligence, ugovorne obveze, praćenje i revizije, kao i mjere za raskid partnerstva kada je to potrebno.
Dio 3. Sigurnost ljudskih potencijala
3.1. Provjera zapošljavanja
Europski institut za informatičku certifikaciju uspostavio je postupak provjere zapošljavanja kako bi se osiguralo da su pojedinci s pristupom osjetljivim informacijama pouzdani i da imaju potrebne vještine i kvalifikacije.
3.2. Kontrola pristupa
Uspostavili smo politike i postupke kontrole pristupa kako bismo osigurali da zaposlenici imaju pristup samo onim informacijama koje su potrebne za njihove radne obveze. Prava pristupa redovito se pregledavaju i ažuriraju kako bi se osiguralo da zaposlenici imaju pristup samo onim informacijama koje su im potrebne.
3.3. Svijest o informacijskoj sigurnosti i obuka
Svim zaposlenicima redovito pružamo obuku o informatičkoj sigurnosti. Ova obuka pokriva teme kao što su sigurnost lozinki, phishing napadi, društveni inženjering i drugi aspekti kibernetičke sigurnosti.
3.4. Prihvatljiva uporaba
Uspostavili smo prihvatljivu politiku korištenja koja ocrtava prihvatljivu upotrebu informacijskih sustava i resursa, uključujući osobne uređaje koji se koriste u radne svrhe.
3.5. Sigurnost mobilnih uređaja
Uspostavili smo pravila i postupke za sigurnu upotrebu mobilnih uređaja, uključujući upotrebu šifri, enkripcije i mogućnosti daljinskog brisanja.
3.6. Postupci raskida
Europski institut za informatičku certifikaciju uspostavio je postupke za raskid radnog odnosa ili ugovora kako bi se osiguralo da se pristup osjetljivim informacijama opozove brzo i sigurno.
3.7. Osoblje treće strane
Uspostavili smo procedure za upravljanje osobljem trećih strana koje imaju pristup osjetljivim informacijama. Ove politike uključuju pregled, kontrolu pristupa i obuku svijesti o sigurnosti informacija.
3.8. Prijavljivanje incidenata
Uspostavili smo politike i postupke za prijavu incidenata ili problema vezanih uz sigurnost informacija odgovarajućem osoblju ili tijelima.
3.9. Ugovori o povjerljivosti
Europski institut za informatičku certifikaciju zahtijeva od zaposlenika i izvođača da potpišu ugovore o povjerljivosti radi zaštite osjetljivih informacija od neovlaštenog otkrivanja.
3.10. Disciplinske mjere
Europski institut za informatičku certifikaciju uspostavio je politike i postupke za disciplinske mjere u slučaju kršenja pravila informacijske sigurnosti od strane zaposlenika ili izvođača.
Dio 4. Procjena i upravljanje rizikom
4.1. Procjena rizika
Provodimo periodične procjene rizika kako bismo identificirali potencijalne prijetnje i ranjivosti našoj informacijskoj imovini. Koristimo strukturirani pristup za prepoznavanje, analizu, procjenu i određivanje prioriteta rizika na temelju njihove vjerojatnosti i potencijalnog utjecaja. Procjenjujemo rizike povezane s našom informacijskom imovinom, uključujući sustave, mreže, softver, podatke i dokumentaciju.
4.2. Liječenje rizika
Koristimo proces obrade rizika kako bismo ublažili ili smanjili rizike na prihvatljivu razinu. Proces obrade rizika uključuje odabir odgovarajućih kontrola, implementaciju kontrola i praćenje učinkovitosti kontrola. Dajemo prioritete implementaciji kontrola na temelju razine rizika, raspoloživih resursa i poslovnih prioriteta.
4.3. Praćenje i pregled rizika
Redovito pratimo i pregledavamo učinkovitost našeg procesa upravljanja rizikom kako bismo osigurali da ostaje relevantan i učinkovit. Koristimo metrike i pokazatelje za mjerenje uspješnosti našeg procesa upravljanja rizikom i identificiranje prilika za poboljšanje. Također pregledavamo naš proces upravljanja rizikom kao dio naših periodičnih pregleda upravljanja kako bismo osigurali njegovu stalnu prikladnost, primjerenost i učinkovitost.
4.4. Planiranje odgovora na rizik
Imamo plan odgovora na rizik koji osigurava da možemo učinkovito odgovoriti na sve identificirane rizike. Ovaj plan uključuje postupke za identifikaciju i izvješćivanje o rizicima, kao i procese za procjenu potencijalnog utjecaja svakog rizika i određivanje odgovarajućih odgovora. Imamo i planove za nepredviđene situacije kako bismo osigurali kontinuitet poslovanja u slučaju značajnog rizičnog događaja.
4.5. Operativna analiza utjecaja
Provodimo periodične analize utjecaja na poslovanje kako bismo identificirali potencijalni utjecaj poremećaja na naše poslovne operacije. Ova analiza uključuje procjenu kritičnosti naših poslovnih funkcija, sustava i podataka, kao i procjenu potencijalnog utjecaja poremećaja na naše klijente, zaposlenike i druge dionike.
4.6. Upravljanje rizikom treće strane
Imamo program upravljanja rizikom treće strane kako bismo osigurali da naši dobavljači i drugi pružatelji usluga trećih strana također upravljaju rizicima na odgovarajući način. Ovaj program uključuje due diligence provjere prije angažmana s trećim stranama, kontinuirano praćenje aktivnosti trećih strana i periodične procjene praksi upravljanja rizicima trećih strana.
4.7. Odgovor na incidente i upravljanje
Imamo odgovor na incidente i plan upravljanja kako bismo osigurali da možemo učinkovito odgovoriti na sve sigurnosne incidente. Ovaj plan uključuje postupke za identifikaciju i izvješćivanje o incidentima, kao i procese za procjenu utjecaja svakog incidenta i određivanje odgovarajućih odgovora. Također imamo uspostavljen plan kontinuiteta poslovanja kako bismo osigurali nastavak kritičnih poslovnih funkcija u slučaju značajnog incidenta.
Dio 5. Fizička sigurnost i sigurnost okoliša
5.1. Perimetar fizičke sigurnosti
Uspostavili smo fizičke sigurnosne mjere kako bismo zaštitili fizičke prostore i osjetljive informacije od neovlaštenog pristupa.
5.2. Kontrola pristupa
Uspostavili smo politike i postupke kontrole pristupa fizičkim prostorijama kako bismo osigurali da samo ovlašteno osoblje ima pristup osjetljivim informacijama.
5.3. Sigurnost opreme
Osiguravamo da je sva oprema koja sadrži osjetljive informacije fizički osigurana, a pristup ovoj opremi ograničen je samo na ovlašteno osoblje.
5.4. Sigurno zbrinjavanje
Uspostavili smo postupke za sigurno odlaganje osjetljivih informacija, uključujući papirnate dokumente, elektroničke medije i hardver.
5.5. Fizičko okruženje
Osiguravamo da je fizičko okruženje prostorija, uključujući temperaturu, vlažnost i osvjetljenje, prikladno za zaštitu osjetljivih informacija.
5.6. Napajanje
Osiguravamo da je opskrba električnom energijom u objektima pouzdana i zaštićena od nestanka struje ili prenapona.
5.7. Zaštita od požara
Uspostavili smo politiku i postupke zaštite od požara, uključujući ugradnju i održavanje sustava za otkrivanje i suzbijanje požara.
5.8. Zaštita od oštećenja vodom
Uspostavili smo politike i postupke za zaštitu osjetljivih informacija od oštećenja uzrokovanih vodom, uključujući instalaciju i održavanje sustava za otkrivanje i sprječavanje poplava.
5.9. Održavanje opreme
Uspostavili smo postupke za održavanje opreme, uključujući pregled opreme radi traženja znakova diranja ili neovlaštenog pristupa.
5.10. Prihvatljiva uporaba
Uspostavili smo prihvatljivu politiku korištenja koja opisuje prihvatljivu upotrebu fizičkih resursa i objekata.
5.11. Udaljeni pristup
Uspostavili smo pravila i postupke za daljinski pristup osjetljivim informacijama, uključujući korištenje sigurnih veza i enkripcije.
5.12. Praćenje i nadzor
Uspostavili smo politike i postupke za praćenje i nadzor fizičkih prostorija i opreme kako bismo otkrili i spriječili neovlašteni pristup ili diranje.
Dio. 6. Sigurnost komunikacija i operacija
6.1. Upravljanje sigurnošću mreže
Uspostavili smo politike i procedure za upravljanje mrežnom sigurnošću, uključujući korištenje vatrozida, sustava za otkrivanje i sprječavanje upada te redovite sigurnosne revizije.
6.2. Prijenos informacija
Uspostavili smo pravila i postupke za siguran prijenos osjetljivih informacija, uključujući korištenje enkripcije i sigurnih protokola za prijenos datoteka.
6.3. Komunikacije trećih strana
Uspostavili smo politike i postupke za sigurnu razmjenu osjetljivih informacija s organizacijama trećih strana, uključujući korištenje sigurnih veza i enkripcije.
6.4. Rukovanje medijima
Uspostavili smo postupke za rukovanje osjetljivim informacijama u različitim oblicima medija, uključujući papirnate dokumente, elektroničke medije i prijenosne uređaje za pohranu.
6.5. Razvoj i održavanje informacijskih sustava
Uspostavili smo politike i procedure za razvoj i održavanje informacijskih sustava, uključujući korištenje sigurnih praksi kodiranja, redovita ažuriranja softvera i upravljanje zakrpama.
6.6. Zaštita od zlonamjernog softvera i virusa
Uspostavili smo politike i postupke za zaštitu informacijskih sustava od zlonamjernog softvera i virusa, uključujući korištenje antivirusnog softvera i redovitih sigurnosnih ažuriranja.
6.7. Sigurnosno kopiranje i obnavljanje
Uspostavili smo pravila i postupke za sigurnosno kopiranje i vraćanje osjetljivih podataka kako bismo spriječili gubitak ili oštećenje podataka.
6.8. Upravljanje događajima
Uspostavili smo politike i postupke za identifikaciju, istragu i rješavanje sigurnosnih incidenata i događaja.
6.9. Upravljanje ranjivostima
Uspostavili smo politike i procedure za upravljanje ranjivostima informacijskog sustava, uključujući korištenje redovitih procjena ranjivosti i upravljanje zakrpama.
6.10. Kontrola pristupa
Uspostavili smo politike i procedure za upravljanje pristupom korisnika informacijskim sustavima, uključujući korištenje kontrola pristupa, autentifikaciju korisnika i redovite preglede pristupa.
6.11. Praćenje i bilježenje
Uspostavili smo politike i procedure za praćenje i bilježenje aktivnosti informacijskog sustava, uključujući korištenje revizijskih tragova i bilježenje sigurnosnih incidenata.
Dio 7. Nabava, razvoj i održavanje informacijskih sustava
7.1. zahtjevi
Uspostavili smo politike i procedure za identifikaciju zahtjeva informacijskog sustava, uključujući poslovne zahtjeve, zakonske i regulatorne zahtjeve i sigurnosne zahtjeve.
7.2. Odnosi s dobavljačima
Uspostavili smo politike i procedure za upravljanje odnosima s dobavljačima informacijskih sustava i usluga trećih strana, uključujući procjenu sigurnosnih praksi dobavljača.
7.3. Razvoj sustava
Uspostavili smo politike i procedure za siguran razvoj informacijskih sustava, uključujući korištenje sigurne prakse kodiranja, redovito testiranje i osiguranje kvalitete.
7.4. Testiranje sustava
Uspostavili smo politike i postupke za testiranje informacijskih sustava, uključujući testiranje funkcionalnosti, testiranje performansi i testiranje sigurnosti.
7.5. Prihvaćanje sustava
Uspostavili smo politike i postupke za prihvaćanje informacijskih sustava, uključujući odobrenje rezultata testiranja, sigurnosne procjene i testiranje prihvaćanja korisnika.
7.6. Održavanje sustava
Uspostavili smo politike i procedure za održavanje informacijskih sustava, uključujući redovita ažuriranja, sigurnosne zakrpe i sigurnosne kopije sustava.
7.7. Umirovljenje sustava
Uspostavili smo politike i postupke za povlačenje informacijskih sustava, uključujući sigurno odlaganje hardvera i podataka.
7.8. Zadržavanje podataka
Uspostavili smo politike i postupke za zadržavanje podataka u skladu sa zakonskim i regulatornim zahtjevima, uključujući sigurnu pohranu i odlaganje osjetljivih podataka.
7.9. Sigurnosni zahtjevi za informacijske sustave
Uspostavili smo politike i procedure za identifikaciju i implementaciju sigurnosnih zahtjeva za informacijske sustave, uključujući kontrole pristupa, enkripciju i zaštitu podataka.
7.10. Sigurna razvojna okruženja
Uspostavili smo politike i procedure za sigurna razvojna okruženja za informacijske sustave, uključujući korištenje sigurnih razvojnih praksi, kontrole pristupa i sigurne mrežne konfiguracije.
7.11. Zaštita ispitnih okruženja
Uspostavili smo politike i postupke za zaštitu okruženja za testiranje informacijskih sustava, uključujući upotrebu sigurnih konfiguracija, kontrole pristupa i redovita sigurnosna testiranja.
7.12. Načela inženjeringa sigurnog sustava
Uspostavili smo politike i procedure za implementaciju principa inženjeringa sigurnog sustava za informacijske sustave, uključujući korištenje sigurnosnih arhitektura, modeliranje prijetnji i prakse sigurnog kodiranja.
7.13. Smjernice za sigurno kodiranje
Uspostavili smo politike i postupke za implementaciju smjernica sigurnog kodiranja za informacijske sustave, uključujući korištenje standarda kodiranja, pregled koda i automatizirano testiranje.
Dio 8. Nabava hardvera
8.1. Pridržavanje standarda
Pridržavamo se standarda ISO 27001 za sustav upravljanja sigurnošću informacija (ISMS) kako bismo osigurali da se hardverska imovina nabavlja u skladu s našim sigurnosnim zahtjevima.
8.2. Procjena rizika
Prije nabave hardverskih sredstava provodimo procjenu rizika kako bismo identificirali potencijalne sigurnosne rizike i osigurali da odabrani hardver zadovoljava sigurnosne zahtjeve.
8.3. Odabir dobavljača
Hardversku imovinu nabavljamo samo od provjerenih dobavljača koji imaju dokazano iskustvo u isporuci sigurnih proizvoda. Pregledavamo sigurnosne politike i prakse dobavljača i zahtijevamo od njih da osiguraju da njihovi proizvodi zadovoljavaju naše sigurnosne zahtjeve.
8.4. Siguran prijevoz
Osiguravamo da se hardverska sredstva sigurno transportiraju u naše prostorije kako bismo spriječili neovlašteno diranje, oštećenje ili krađu tijekom transporta.
8.5. Provjera autentičnosti
Provjeravamo autentičnost hardverskih sredstava nakon isporuke kako bismo bili sigurni da nisu krivotvoreni ili neovlašteno mijenjani.
8.6. Fizičke i ekološke kontrole
Provodimo odgovarajuće fizičke i ekološke kontrole kako bismo zaštitili hardversku imovinu od neovlaštenog pristupa, krađe ili oštećenja.
8.7. Instalacija hardvera
Osiguravamo da su sva hardverska sredstva konfigurirana i instalirana u skladu s utvrđenim sigurnosnim standardima i smjernicama.
8.8. Recenzije hardvera
Provodimo periodične preglede hardverskih sredstava kako bismo osigurali da i dalje ispunjavaju naše sigurnosne zahtjeve i da su ažurni s najnovijim sigurnosnim zakrpama i ažuriranjima.
8.9. Odlaganje hardvera
Odlažemo hardversku imovinu na siguran način kako bismo spriječili neovlašteni pristup osjetljivim informacijama.
Dio 9. Zaštita od zlonamjernog softvera i virusa
9.1. Pravila ažuriranja softvera
Održavamo ažuran softver za zaštitu od virusa i zlonamjernog softvera na svim informacijskim sustavima koje koristi Europski institut za IT certifikaciju, uključujući poslužitelje, radne stanice, prijenosna računala i mobilne uređaje. Osiguravamo da je softver za zaštitu od virusa i zlonamjernog softvera konfiguriran za automatsko redovito ažuriranje datoteka s definicijom virusa i verzija softvera te da se taj postupak redovito testira.
9.2. Antivirusno i skeniranje zlonamjernog softvera
Provodimo redovita skeniranja svih informacijskih sustava, uključujući poslužitelje, radne stanice, prijenosna računala i mobilne uređaje, kako bismo otkrili i uklonili sve viruse ili zlonamjerni softver.
9.3. Politika zabrane onemogućavanja i zabrane mijenjanja
Provodimo pravila koja zabranjuju korisnicima onemogućavanje ili mijenjanje softvera za zaštitu od virusa i zlonamjernog softvera na bilo kojem informacijskom sustavu.
9.4. nadgledanje
Pratimo upozorenja i zapise našeg softvera za zaštitu od virusa i zlonamjernog softvera kako bismo identificirali sve slučajeve zaraze virusima ili zlonamjernim softverom te pravovremeno reagirali na takve incidente.
9.5. Održavanje evidencije
Održavamo evidenciju o konfiguraciji softvera za zaštitu od virusa i zlonamjernog softvera, ažuriranja i skeniranja, kao i sve slučajeve infekcije virusom ili zlonamjernim softverom, u svrhu revizije.
9.6. Recenzije softvera
Provodimo periodične preglede našeg softvera za zaštitu od virusa i zlonamjernog softvera kako bismo osigurali da zadovoljava trenutne industrijske standarde i da je prikladan za naše potrebe.
9.7. Obuka i svijest
Pružamo programe obuke i podizanja svijesti kako bismo educirali sve zaposlenike o važnosti zaštite od virusa i zlonamjernog softvera te kako prepoznati i prijaviti sve sumnjive aktivnosti ili incidente.
Dio 10. Upravljanje informacijskim sredstvima
10.1. Inventar informacijske imovine
European IT Certification Institute održava inventar informacijske imovine koji uključuje svu digitalnu i fizičku informacijsku imovinu, kao što su sustavi, mreže, softver, podaci i dokumentacija. Klasificiramo informacijsku imovinu na temelju njihove kritičnosti i osjetljivosti kako bismo osigurali provedbu odgovarajućih zaštitnih mjera.
10.2. Rukovanje informacijama
Provodimo odgovarajuće mjere za zaštitu informacijske imovine na temelju njihove klasifikacije, uključujući povjerljivost, cjelovitost i dostupnost. Osiguravamo da se svim informacijama postupa u skladu s važećim zakonima, propisima i ugovornim zahtjevima. Također osiguravamo da su svi podaci pravilno pohranjeni, zaštićeni i odloženi kada više nisu potrebni.
10.3. Vlasništvo nad informacijama
Vlasništvo nad informacijskom imovinom dodjeljujemo pojedincima ili odjelima odgovornim za upravljanje i zaštitu informacijske imovine. Također osiguravamo da vlasnici informacijskih sredstava razumiju svoje odgovornosti i odgovornosti za zaštitu informacijskih sredstava.
10.4. Zaštita informacijske imovine
Koristimo različite mjere zaštite kako bismo zaštitili informacijsku imovinu, uključujući fizičke kontrole, kontrole pristupa, enkripciju te procese sigurnosnog kopiranja i oporavka. Također osiguravamo da su svi podaci zaštićeni od neovlaštenog pristupa, izmjene ili uništenja.
Dio 11. Kontrola pristupa
11.1. Politika kontrole pristupa
Europski institut za IT certifikaciju ima Politiku kontrole pristupa koja ocrtava zahtjeve za odobravanje, modificiranje i opoziv pristupa informacijskoj imovini. Kontrola pristupa kritična je komponenta našeg sustava upravljanja informacijskom sigurnošću, a mi je implementiramo kako bismo osigurali da samo ovlaštene osobe imaju pristup našoj informacijskoj imovini.
11.2. Implementacija kontrole pristupa
Provodimo mjere kontrole pristupa temeljene na načelu najmanje privilegije, što znači da pojedinci imaju pristup samo onim informacijama koje su im potrebne za obavljanje njihovih radnih funkcija. Koristimo različite mjere kontrole pristupa, uključujući autentifikaciju, autorizaciju i računovodstvo (AAA). Također koristimo popise za kontrolu pristupa (ACL) i dopuštenja za kontrolu pristupa informacijama.
11.3. Pravila zaporke
Europski institut za informatičku certifikaciju ima Politiku zaporki koja opisuje zahtjeve za stvaranje i upravljanje zaporkama. Zahtijevamo snažne lozinke koje imaju najmanje 8 znakova, s kombinacijom velikih i malih slova, brojeva i posebnih znakova. Također zahtijevamo povremene promjene lozinki i zabranjujemo ponovnu upotrebu prethodnih lozinki.
11.4. Upravljanje korisnicima
Imamo proces upravljanja korisnicima koji uključuje stvaranje, modificiranje i brisanje korisničkih računa. Korisnički računi kreiraju se prema načelu najmanje privilegije, a pristup se odobrava samo onim informacijama potrebnim za obavljanje radnih funkcija pojedinca. Također redovito pregledavamo korisničke račune i uklanjamo račune koji više nisu potrebni.
Dio 12. Upravljanje incidentima informacijske sigurnosti
12.1. Politika upravljanja incidentima
European IT Certification Institute ima Politiku upravljanja incidentima koja ocrtava zahtjeve za otkrivanje, izvješćivanje, procjenu i reagiranje na sigurnosne incidente. Sigurnosne incidente definiramo kao svaki događaj koji ugrožava povjerljivost, integritet ili dostupnost informacijskih sredstava ili sustava.
12.2. Otkrivanje incidenata i izvješćivanje
Provodimo mjere za brzo otkrivanje i prijavljivanje sigurnosnih incidenata. Koristimo različite metode za otkrivanje sigurnosnih incidenata, uključujući sustave za otkrivanje upada (IDS), antivirusni softver i prijavu korisnika. Također osiguravamo da su svi zaposlenici upoznati s postupcima za prijavu sigurnosnih incidenata i potičemo prijavu svih sumnjivih incidenata.
12.3. Procjena incidenata i odgovor
Imamo postupak za procjenu i odgovor na sigurnosne incidente na temelju njihove ozbiljnosti i utjecaja. Dajemo prioritet incidentima na temelju njihovog potencijalnog utjecaja na informacijsku imovinu ili sustave i dodjeljujemo odgovarajuće resurse za odgovor na njih. Također imamo plan odgovora koji uključuje postupke za identifikaciju, obuzdavanje, analizu, iskorjenjivanje i oporavak od sigurnosnih incidenata, kao i obavještavanje relevantnih strana i provođenje pregleda nakon incidenta. Naše procedure odgovora na incidente osmišljene su kako bi se osigurao brz i učinkovit odgovor na sigurnosne incidente. Procedure se redovito pregledavaju i ažuriraju kako bi se osigurala njihova učinkovitost i relevantnost.
12.4. Tim za odgovor na incidente
Imamo tim za odgovor na incidente (IRT) koji je odgovoran za odgovor na sigurnosne incidente. IRT se sastoji od predstavnika različitih jedinica, a vodi ga službenik za informacijsku sigurnost (ISO). IRT je odgovoran za procjenu ozbiljnosti incidenata, obuzdavanje incidenta i pokretanje odgovarajućih postupaka odgovora.
12.5. Prijava i pregled incidenata
Uspostavili smo postupke za prijavu sigurnosnih incidenata relevantnim stranama, uključujući klijente, regulatorna tijela i agencije za provođenje zakona, kako zahtijevaju primjenjivi zakoni i propisi. Također održavamo komunikaciju s pogođenim stranama tijekom cijelog procesa odgovora na incident, pružajući pravovremene ažurirane informacije o statusu incidenta i svim radnjama koje se poduzimaju za ublažavanje njegovog utjecaja. Također provodimo pregled svih sigurnosnih incidenata kako bismo identificirali glavni uzrok i spriječili da se slični incidenti pojave u budućnosti.
Dio 13. Upravljanje kontinuitetom poslovanja i oporavak od katastrofe
13.1. Planiranje kontinuiteta poslovanja
Iako je European IT Certification Institute neprofitna organizacija, on ima Plan kontinuiteta poslovanja (BCP) koji opisuje postupke za osiguravanje kontinuiteta njegovih operacija u slučaju incidenta koji ometa rad. BCP pokriva sve kritične operativne procese i identificira resurse potrebne za održavanje operacija tijekom i nakon remetilačkog incidenta. Također opisuje postupke za održavanje poslovnih operacija tijekom poremećaja ili katastrofe, procjenu utjecaja poremećaja, identificiranje najkritičnijih operativnih procesa u kontekstu određenog incidenta koji izaziva poremećaje i razvoj postupaka odgovora i oporavka.
13.2. Planiranje oporavka od katastrofe
Europski IT institut za certifikaciju ima Plan oporavka od katastrofe (DRP) koji opisuje postupke za oporavak naših informacijskih sustava u slučaju prekida ili katastrofe. DRP uključuje postupke za sigurnosno kopiranje podataka, vraćanje podataka i oporavak sustava. DRP se redovito testira i ažurira kako bi se osigurala njegova učinkovitost.
13.3. Analiza utjecaja na poslovanje
Provodimo analizu utjecaja na poslovanje (BIA) kako bismo identificirali kritične operativne procese i resurse potrebne za njihovo održavanje. BIA nam pomaže odrediti prioritete u naporima oporavka i u skladu s tim raspodijeliti resurse.
13.4. Strategija kontinuiteta poslovanja
Na temelju rezultata BIA-e razvijamo Strategiju kontinuiteta poslovanja koja opisuje postupke za odgovor na remetilački incident. Strategija uključuje postupke za aktiviranje BCP-a, ponovno uspostavljanje kritičnih radnih procesa i komunikaciju s relevantnim dionicima.
13.5. Ispitivanje i održavanje
Redovito testiramo i održavamo naše BCP i DRP kako bismo osigurali njihovu učinkovitost i relevantnost. Provodimo redovite testove kako bismo potvrdili BCP/DRP i identificirali područja za poboljšanje. Također ažuriramo BCP i DRP prema potrebi kako bismo odražavali promjene u našim operacijama ili okruženju prijetnji. Testiranje uključuje stolne vježbe, simulacije i testiranje postupaka uživo. Također pregledavamo i ažuriramo naše planove na temelju rezultata testiranja i naučenih lekcija.
13.6. Alternativna mjesta obrade
Održavamo alternativna mjesta za online obradu koja se mogu koristiti za nastavak poslovanja u slučaju prekida ili katastrofe. Alternativna mjesta obrade opremljena su potrebnom infrastrukturom i sustavima i mogu se koristiti za podršku kritičnim poslovnim procesima.
Dio 14. Sukladnost i revizija
14.1. Usklađenost sa zakonima i propisima
European IT Certification Institute predan je pridržavanju svih važećih zakona i propisa koji se odnose na sigurnost informacija i privatnost, uključujući zakone o zaštiti podataka, industrijske standarde i ugovorne obveze. Redovito pregledavamo i ažuriramo naša pravila, postupke i kontrole kako bismo osigurali usklađenost sa svim relevantnim zahtjevima i standardima. Glavni standardi i okviri koje slijedimo u kontekstu informacijske sigurnosti uključuju:
- Standard ISO/IEC 27001 daje smjernice za implementaciju i upravljanje Sustavom upravljanja sigurnošću informacija (ISMS) koji uključuje upravljanje ranjivostima kao ključnu komponentu. Pruža referentni okvir za implementaciju i održavanje našeg sustava upravljanja sigurnošću informacija (ISMS), uključujući upravljanje ranjivostima. U skladu s ovim standardnim odredbama identificiramo, procjenjujemo i upravljamo sigurnosnim rizicima informacija, uključujući ranjivosti.
- Nacionalni institut za standarde i tehnologiju SAD-a (NIST) Cybersecurity Framework pruža smjernice za prepoznavanje, procjenu i upravljanje rizicima kibernetičke sigurnosti, uključujući upravljanje ranjivostima.
- Okvir kibernetičke sigurnosti Nacionalnog instituta za standarde i tehnologiju (NIST) za poboljšanje upravljanja rizikom kibernetičke sigurnosti, s osnovnim skupom funkcija uključujući upravljanje ranjivostima kojih se pridržavamo kako bismo upravljali rizicima kibernetičke sigurnosti.
- Kritične sigurnosne kontrole SANS-a koje sadrže skup od 20 sigurnosnih kontrola za poboljšanje kibernetičke sigurnosti, pokrivajući niz područja, uključujući upravljanje ranjivostima, pružanje posebnih smjernica za skeniranje ranjivosti, upravljanje zakrpama i druge aspekte upravljanja ranjivostima.
- Standard sigurnosti podataka industrije platnih kartica (PCI DSS), koji zahtijeva rukovanje podacima o kreditnoj kartici u vezi s upravljanjem ranjivostima u ovom kontekstu.
- Centar za kontrolu internetske sigurnosti (CIS) uključujući upravljanje ranjivostima kao jednu od ključnih kontrola za osiguranje sigurnih konfiguracija naših informacijskih sustava.
- Open Web Application Security Project (OWASP), sa svojim Top 10 popisom najkritičnijih sigurnosnih rizika za web aplikacije, uključujući procjenu ranjivosti kao što su napadi ubrizgavanjem, neispravna autentifikacija i upravljanje sesijom, skriptiranje između web-mjesta (XSS) itd. Koristimo OWASP Top 10 kako bismo dali prioritet našim naporima za upravljanje ranjivostima i usredotočili se na najkritičnije rizike u vezi s našim web sustavima.
14.2. Unutarnja revizija
Provodimo redovite interne revizije kako bismo procijenili učinkovitost našeg Sustava upravljanja sigurnošću informacija (ISMS) i osigurali da se slijede naše politike, procedure i kontrole. Proces interne revizije uključuje identifikaciju nesukladnosti, razvoj korektivnih radnji i praćenje napora za popravak.
14.3. Vanjska revizija
Povremeno surađujemo s vanjskim revizorima kako bismo potvrdili našu usklađenost s primjenjivim zakonima, propisima i industrijskim standardima. Omogućujemo revizorima pristup našim objektima, sustavima i dokumentaciji prema potrebi za provjeru naše usklađenosti. Također surađujemo s vanjskim revizorima kako bismo se pozabavili svim nalazima ili preporukama utvrđenim tijekom postupka revizije.
14.4. Praćenje sukladnosti
Kontinuirano pratimo usklađenost s primjenjivim zakonima, propisima i industrijskim standardima. Koristimo različite metode za praćenje usklađenosti, uključujući periodične procjene, revizije i preglede pružatelja usluga trećih strana. Također redovito pregledavamo i ažuriramo naša pravila, procedure i kontrole kako bismo osigurali stalnu usklađenost sa svim relevantnim zahtjevima.
Dio 15. Upravljanje treće strane
15.1. Politika upravljanja trećih strana
Europski institut za IT certifikaciju ima Politiku upravljanja trećim stranama koja opisuje zahtjeve za odabir, procjenu i nadzor dobavljača trećih strana koji imaju pristup našim informacijskim sredstvima ili sustavima. Politika se odnosi na sve pružatelje trećih strana, uključujući pružatelje usluga u oblaku, dobavljače i izvođače.
15.2. Odabir i procjena treće strane
Provodimo dubinsku analizu prije nego što stupimo u kontakt s pružateljima usluga trećih strana kako bismo osigurali da imaju odgovarajuće sigurnosne kontrole za zaštitu naše informacijske imovine ili sustava. Također procjenjujemo usklađenost dobavljača treće strane s važećim zakonima i propisima koji se odnose na sigurnost informacija i privatnost.
15.3. Praćenje treće strane
Kontinuirano pratimo pružatelje usluga trećih strana kako bismo osigurali da i dalje ispunjavaju naše zahtjeve za informacijskom sigurnošću i privatnošću. Koristimo različite metode za nadzor dobavljača trećih strana, uključujući periodične procjene, revizije i preglede izvješća o sigurnosnim incidentima.
15.4. Ugovorni zahtjevi
Ugovorne zahtjeve koji se odnose na sigurnost informacija i privatnost uključujemo u sve ugovore s dobavljačima trećih strana. Ovi zahtjevi uključuju odredbe za zaštitu podataka, sigurnosne kontrole, upravljanje incidentima i praćenje usklađenosti. Također uključujemo odredbe za raskid ugovora u slučaju sigurnosnog incidenta ili nepridržavanja.
Dio 16. Informacijska sigurnost u procesima certificiranja
16.1 Sigurnost procesa certificiranja
Poduzimamo odgovarajuće i sustavne mjere kako bismo osigurali sigurnost svih informacija povezanih s našim procesima certifikacije, uključujući osobne podatke pojedinaca koji traže certifikaciju. To uključuje kontrole za pristup, pohranjivanje i prijenos svih informacija povezanih s certifikacijom. Provedbom ovih mjera nastojimo osigurati da se procesi certifikacije provode uz najvišu razinu sigurnosti i integriteta, te da su osobni podaci pojedinaca koji traže certifikaciju zaštićeni u skladu s relevantnim propisima i standardima.
16.2. Autentifikacija i autorizacija
Koristimo kontrole provjere autentičnosti i autorizacije kako bismo osigurali da samo ovlašteno osoblje ima pristup informacijama o certifikaciji. Kontrole pristupa redovito se pregledavaju i ažuriraju na temelju promjena u ulogama i odgovornostima osoblja.
16.3. Zaštita podataka
Štitimo osobne podatke tijekom cijelog procesa certifikacije provođenjem odgovarajućih tehničkih i organizacijskih mjera kako bismo osigurali povjerljivost, cjelovitost i dostupnost podataka. To uključuje mjere kao što su šifriranje, kontrole pristupa i redovito sigurnosno kopiranje.
16.4. Sigurnost ispitnih procesa
Osiguravamo sigurnost ispitnih procesa provođenjem odgovarajućih mjera za sprječavanje varanja, nadzorom i kontrolom ispitnog okruženja. Također održavamo integritet i povjerljivost ispitnih materijala putem sigurnih postupaka pohrane.
16.5. Sigurnost sadržaja ispita
Osiguravamo sigurnost ispitnog sadržaja provođenjem odgovarajućih mjera zaštite od neovlaštenog pristupa, izmjene ili otkrivanja sadržaja. To uključuje korištenje sigurne pohrane, enkripcije i kontrole pristupa za sadržaj ispita, kao i kontrole za sprječavanje neovlaštene distribucije ili širenja sadržaja ispita.
16.6. Sigurnost dostave ispita
Osiguravamo sigurnost isporuke ispita primjenom odgovarajućih mjera za sprječavanje neovlaštenog pristupa ili manipulacije ispitnim okruženjem. To uključuje mjere kao što su praćenje, revizija i kontrola ispitnog okruženja i posebnih pristupa ispitivanju, kako bi se spriječilo varanje ili druge povrede sigurnosti.
16.7. Sigurnost rezultata ispita
Osiguravamo sigurnost rezultata ispitivanja provođenjem odgovarajućih mjera zaštite od neovlaštenog pristupa, izmjene ili otkrivanja rezultata. To uključuje korištenje sigurne pohrane, enkripcije i kontrole pristupa rezultatima ispita, kao i kontrole za sprječavanje neovlaštene distribucije ili širenja rezultata ispita.
16.8. Sigurnost izdavanja certifikata
Osiguravamo sigurnost izdavanja certifikata provođenjem odgovarajućih mjera za sprječavanje prijevara i neovlaštenog izdavanja certifikata. To uključuje kontrole za provjeru identiteta pojedinaca koji primaju certifikate i sigurnu pohranu i postupke izdavanja.
16.9. Pritužbe i žalbe
Uspostavili smo procedure za upravljanje pritužbama i žalbama koje se odnose na proces certifikacije. Ovi postupci uključuju mjere kojima se osigurava povjerljivost i nepristranost procesa, te sigurnost informacija u vezi s pritužbama i žalbama.
16.10. Upravljanje kvalitetom procesa certificiranja
Uspostavili smo Sustav upravljanja kvalitetom (QMS) za procese certificiranja koji uključuje mjere za osiguranje učinkovitosti, učinkovitosti i sigurnosti procesa. QMS uključuje redovite revizije i preglede procesa i njihove sigurnosne kontrole.
16.11. Kontinuirano poboljšanje sigurnosti procesa certificiranja
Predani smo stalnom poboljšanju naših procesa certificiranja i njihovih sigurnosnih kontrola. To uključuje redovite preglede i ažuriranja sigurnosnih politika i procedura povezanih s certifikacijom na temelju promjena u poslovnom okruženju, regulatornim zahtjevima i najboljim praksama u upravljanju sigurnošću informacija, u skladu sa standardom ISO 27001 za upravljanje sigurnošću informacija, kao i s ISO 17024 operativni standard certifikacijskih tijela.
Dio 17. Završne odredbe
17.1. Pregled i ažuriranje pravila
Ova Politika informacijske sigurnosti živi je dokument koji prolazi stalne preglede i ažuriranja na temelju promjena u našim operativnim zahtjevima, regulatornim zahtjevima ili najboljim praksama u upravljanju informacijskom sigurnošću.
17.2. Praćenje sukladnosti
Uspostavili smo postupke za praćenje usklađenosti s ovom Politikom sigurnosti informacija i povezane sigurnosne kontrole. Praćenje sukladnosti uključuje redovite revizije, procjene i preglede sigurnosnih kontrola i njihove učinkovitosti u postizanju ciljeva ove politike.
17.3. Prijavljivanje sigurnosnih incidenata
Uspostavili smo postupke za prijavu sigurnosnih incidenata povezanih s našim informacijskim sustavima, uključujući one koji se odnose na osobne podatke pojedinaca. Zaposlenici, izvođači i drugi dionici potiču se da prijave sve sigurnosne incidente ili sumnjive incidente određenom sigurnosnom timu što je prije moguće.
17.4. Obuka i svijest
Zaposlenicima, izvođačima i drugim dionicima osiguravamo redovitu obuku i programe podizanja svijesti kako bismo osigurali da su svjesni svojih odgovornosti i obveza povezanih sa sigurnošću informacija. To uključuje obuku o sigurnosnim politikama i procedurama te mjerama za zaštitu osobnih podataka pojedinaca.
17.5. Odgovornost i odgovornost
Sve zaposlenike, izvođače i druge dionike smatramo odgovornima za poštivanje ove Politike sigurnosti informacija i povezanih sigurnosnih kontrola. Upravu također smatramo odgovornom za osiguranje da su odgovarajući resursi dodijeljeni za implementaciju i održavanje učinkovitih kontrola sigurnosti informacija.
Ova Politika informacijske sigurnosti ključna je komponenta okvira za upravljanje informacijskom sigurnošću Euroepan IT Certification Institute i pokazuje našu predanost zaštiti informacijske imovine i obrađenih podataka, osiguravanju povjerljivosti, privatnosti, integriteta i dostupnosti informacija te usklađenosti s regulatornim i ugovornim zahtjevima.