Politiko pri Informa Sekureco
Politiko pri Informa Sekureco de Akademio de EITCA
Ĉi tiu dokumento precizigas la Politikon pri Informa Sekureco (ISP) de la Eŭropa IT Certification Institute, kiu estas regule reviziita kaj ĝisdatigita por certigi ĝian efikecon kaj gravecon. La lasta ĝisdatigo de la Politiko pri Informa Sekureco de EITCI estis farita la 7an de januaro 2023.
Parto 1. Enkonduko kaj Informa Sekureca Politiko
1.1. Enkonduko
La Eŭropa IT-Atestada Instituto rekonas la gravecon de informa sekureco en konservado de la konfidenco, integreco kaj havebleco de informoj kaj la fidon de niaj koncernatoj. Ni kompromitas protekti sentemajn informojn, inkluzive de personaj datumoj, kontraŭ neaŭtorizita aliro, malkaŝo, ŝanĝo kaj detruo. Ni konservas efikan Politikon pri Informa Sekureco por subteni nian mision provizi fidindajn kaj senpartiajn atestajn servojn al niaj klientoj. La Politiko pri Informo pri Sekureco skizas nian devontigon protekti informajn aktivojn kaj plenumi niajn laŭleĝajn, reguligajn kaj kontraktajn devojn. Nia politiko baziĝas sur la principoj de ISO 27001 kaj ISO 17024, la ĉefaj internaciaj normoj por informa sekureca administrado kaj atestindaj normoj pri operacioj.
1.2. Politika Deklaro
La Eŭropa IT-Atestinstituto kompromitas:
- Protektante la konfidencon, integrecon kaj haveblecon de informaj aktivoj,
- Respektante leĝajn, reguligajn kaj kontraktajn devojn rilate al informa sekureco kaj prilaborado de datumoj efektivigante ĝiajn atestajn procezojn kaj operaciojn,
- Daŭre plibonigante sian informsekurecan politikon kaj rilatan administradsistemon,
- Disponigante taŭgan trejnadon kaj konscion al dungitoj, entreprenistoj kaj partoprenantoj,
- Implikante ĉiujn dungitojn kaj entreprenistojn en la efektivigo kaj prizorgado de la politiko pri informa sekureco kaj la rilata sistemo pri administrado de informa sekureco.
1.3. Medio
Ĉi tiu politiko validas por ĉiuj informaj aktivoj posedataj, kontrolitaj aŭ prilaboritaj de la Eŭropa IT-Atestada Instituto. Ĉi tio inkluzivas ĉiujn ciferecajn kaj fizikajn informajn aktivaĵojn, kiel sistemojn, retojn, programaron, datumojn kaj dokumentaron. Ĉi tiu politiko ankaŭ validas por ĉiuj dungitoj, entreprenistoj kaj triaj servaj provizantoj alirantaj niajn informajn aktivaĵojn.
1.4 Plenumo
La Eŭropa IT-Atestada Instituto kompromitas plenumi koncernajn informajn sekurecajn normojn, inkluzive de ISO 27001 kaj ISO 17024. Ni regule revizias kaj ĝisdatigas ĉi tiun politikon por certigi ĝian daŭran gravecon kaj konformecon al ĉi tiuj normoj.
Parto 2. Organiza Sekureco
2.1. Organizaj Sekurecceloj
Realigante organizajn sekurecajn mezurojn, ni celas certigi, ke niaj informaj aktivoj kaj datumtraktadpraktikoj kaj proceduroj estas faritaj kun la plej alta nivelo de sekureco kaj integreco, kaj ke ni plenumas koncernajn leĝajn regularojn kaj normojn.
2.2. Roloj kaj Respondecoj pri Informa Sekureco
La Eŭropa IT Certification Institute difinas kaj komunikas rolojn kaj respondecojn por informa sekureco tra la organizo. Ĉi tio inkluzivas asigni klaran proprieton por informaj aktivoj en kontakto de la informa sekureco, starigi regan strukturon kaj difini specifajn respondecojn por diversaj roloj kaj fakoj tra la organizo.
2.3. Administrado de Risko
Ni faras regulajn riskajn taksojn por identigi kaj prioritatigi informajn sekurecajn riskojn al la organizo, inkluzive de riskoj rilataj al prilaborado de personaj datumoj. Ni establas taŭgajn kontrolojn por mildigi ĉi tiujn riskojn, kaj regule revizias kaj ĝisdatigas nian riskan administradon surbaze de ŝanĝoj en la komerca medio kaj minaca pejzaĝo.
2.4. Politikoj kaj Proceduroj pri Informa Sekureco
Ni establas kaj konservas aron da informsekurecaj politikoj kaj proceduroj, kiuj baziĝas sur industriaj plej bonaj praktikoj kaj plenumas koncernajn regularojn kaj normojn. Ĉi tiuj politikoj kaj proceduroj kovras ĉiujn aspektojn de informa sekureco, inkluzive de prilaborado de personaj datumoj, kaj estas regule reviziitaj kaj ĝisdatigitaj por certigi ilian efikecon.
2.5. Sekureca Konscio kaj Trejnado
Ni provizas regulajn sekurecajn konscion kaj trejnajn programojn al ĉiuj dungitoj, entreprenistoj kaj triaj partneroj, kiuj havas aliron al personaj datumoj aŭ aliaj sentemaj informoj. Ĉi tiu trejnado kovras temojn kiel phishing, socia inĝenierado, pasvorta higieno kaj aliaj plej bonaj praktikoj pri informa sekureco.
2.6. Fizika kaj Media Sekureco
Ni efektivigas taŭgajn fizikajn kaj mediajn sekurecajn kontrolojn por protekti kontraŭ neaŭtorizita aliro, damaĝo aŭ interfero al niaj instalaĵoj kaj informsistemoj. Ĉi tio inkluzivas mezurojn kiel alirkontroloj, gvatado, monitorado kaj rezerva potenco kaj malvarmigosistemoj.
2.7. Administrado de Okazaĵoj pri Informa Sekureco
Ni establis procezon pri administrado de incidentoj, kiu ebligas al ni respondi rapide kaj efike al ajnaj incidentoj pri informa sekureco kiu povas okazi. Ĉi tio inkluzivas procedurojn por raportado, eskalado, enketo kaj solvado de okazaĵoj, same kiel mezurojn por malhelpi ripetiĝon kaj plibonigi niajn okazaĵajn respondkapablojn.
2.8. Operacia Kontinueco kaj Disaster Recovery
Ni establis kaj testis operacian kontinuecon kaj katastrofajn reakirajn planojn, kiuj ebligas al ni konservi niajn kritikajn operaciajn funkciojn kaj servojn en okazo de interrompo aŭ katastrofo. Ĉi tiuj planoj inkluzivas procedurojn por sekurkopio kaj reakiro de datumoj kaj sistemoj, kaj mezuroj por certigi la haveblecon kaj integrecon de personaj datumoj.
2.9. Tria Partia Administrado
Ni establas kaj konservas taŭgajn kontrolojn por administri la riskojn asociitajn kun triaj partneroj, kiuj havas aliron al personaj datumoj aŭ aliaj sentemaj informoj. Ĉi tio inkluzivas mezurojn kiel devita diligento, kontraktaj devoj, monitorado kaj revizioj, kaj ankaŭ mezurojn por ĉesigi partnerecojn kiam necese.
Parto 3. Sekureco pri Homaj Rimedoj
3.1. Labora Kribro
La Eŭropa IT-Atestinstituto establis procezon por dungado-kontrolado por certigi ke individuoj kun aliro al sentemaj informoj estas fidindaj kaj havas la necesajn kapablojn kaj kvalifikojn.
3.2. Kontrolo de Aliro
Ni establis alirkontrolajn politikojn kaj procedurojn por certigi, ke dungitoj nur havu aliron al la informoj necesaj por siaj laborrespondecoj. La alirrajtoj estas reviziitaj kaj ĝisdatigitaj regule por certigi, ke dungitoj havu aliron al nur la informoj, kiujn ili bezonas.
3.3. Konscio kaj Trejnado pri Informa Sekureco
Ni provizas instruadon pri informa sekureco al ĉiuj dungitoj regule. Ĉi tiu trejnado kovras temojn kiel pasvortsekureco, phishing-atakoj, socia inĝenierado kaj aliaj aspektoj de cibersekureco.
3.4. Akceptebla Uzo
Ni establis akcepteblan uzpolitikon kiu skizas la akcepteblan uzon de informsistemoj kaj rimedoj, inkluzive de personaj aparatoj uzataj por laborceloj.
3.5. Sekureco de Poŝtelefono
Ni establis politikojn kaj procedurojn por la sekura uzo de porteblaj aparatoj, inkluzive de la uzo de paskodoj, ĉifrado kaj forviŝkapablecoj.
3.6. Finigaj Proceduroj
La Eŭropa IT-Atestada Instituto establis procedurojn por ĉesigo de dungado aŭ kontrakto por certigi, ke aliro al sentemaj informoj estas nuligita tuj kaj sekure.
3.7. Triaparta Personaro
Ni establis procedurojn por la administrado de triaparta personaro, kiu havas aliron al sentemaj informoj. Tiuj politikoj implikas ekzamenadon, alirkontrolon kaj informsekurecan konscitrejnadon.
3.8. Raportado de Okazaĵoj
Ni establis politikojn kaj procedurojn por raporti incidentojn aŭ zorgojn pri informa sekureco al la taŭga personaro aŭ aŭtoritatoj.
3.9. Konfidencaj Interkonsentoj
La Eŭropa IT-Atestinstituto postulas dungitojn kaj entreprenistojn subskribi konfidencajn interkonsentojn por protekti sentemajn informojn kontraŭ neaŭtorizita malkaŝo.
3.10. Disciplinaj Agoj
La Eŭropa IT-Atestada Instituto establis politikojn kaj procedurojn por disciplinaj agoj en kazo de malobservoj pri informa sekureco de dungitoj aŭ entreprenistoj.
Parto 4. Risktakso kaj Administrado
4.1. Taksado de Risko
Ni faras periodajn riskajn taksojn por identigi eblajn minacojn kaj vundeblecojn al niaj informaj aktivoj. Ni uzas strukturitan aliron por identigi, analizi, taksi kaj prioritatigi riskojn surbaze de ilia verŝajneco kaj ebla efiko. Ni taksas riskojn asociitajn kun niaj informaj aktivoj, inkluzive de sistemoj, retoj, programaro, datumoj kaj dokumentaro.
4.2. Risktraktado
Ni uzas riskan traktadon por mildigi aŭ redukti riskojn al akceptebla nivelo. La riska traktadprocezo inkluzivas elekti taŭgajn kontrolojn, efektivigi kontrolojn kaj kontroli la efikecon de kontroloj. Ni prioritatas la efektivigon de kontroloj bazitaj sur la riska nivelo, disponeblaj rimedoj kaj komercaj prioritatoj.
4.3. Risko Monitorado kaj Revizio
Ni regule kontrolas kaj revizias la efikecon de nia riska administradprocezo por certigi, ke ĝi restas grava kaj efika. Ni uzas metrikojn kaj indikilojn por mezuri la agadon de nia riska administradprocezo kaj identigi ŝancojn por plibonigo. Ni ankaŭ revizias nian riskan administradprocezon kiel parto de niaj periodaj administradaj recenzoj por certigi ĝian daŭran taŭgecon, taŭgecon kaj efikecon.
4.4. Planado pri Risko-Respondo
Ni havas riskan respondplanon por certigi, ke ni povas respondi efike al iuj identigitaj riskoj. Ĉi tiu plano inkluzivas procedurojn por identigi kaj raporti riskojn, same kiel procezojn por taksi la eblan efikon de ĉiu risko kaj determini taŭgajn respondajn agojn. Ni ankaŭ havas eventualajn planojn por certigi komercan kontinuecon en la okazo de grava riska evento.
4.5. Operacia Efika Analizo
Ni faras periodajn analizojn pri komerca efiko por identigi la eblan efikon de interrompoj al niaj komercaj operacioj. Ĉi tiu analizo inkluzivas taksadon de la kritiko de niaj komercaj funkcioj, sistemoj kaj datumoj, same kiel taksadon de la ebla efiko de interrompoj sur niaj klientoj, dungitoj kaj aliaj koncernatoj.
4.6. Triaparta Riskadministrado
Ni havas programon pri administrado de riskoj de tria partio por certigi, ke niaj vendistoj kaj aliaj provizantoj de servoj de triaj partioj ankaŭ administras riskojn taŭge. Ĉi tiu programo inkluzivas kontrolajn kontrolojn antaŭ ol engaĝiĝi kun triaj partioj, daŭran monitoradon de triapartaj agadoj kaj periodajn taksojn de triapartaj risktraktadpraktikoj.
4.7. Okazaĵo-Respondo kaj Administrado
Ni havas okazaĵan respondon kaj administradan planon por certigi, ke ni povas respondi efike al ajnaj sekurecaj okazaĵoj. Ĉi tiu plano inkluzivas procedurojn por identigi kaj raporti okazaĵojn, same kiel procezojn por taksi la efikon de ĉiu okazaĵo kaj determini taŭgajn respondajn agojn. Ni ankaŭ havas komercan kontinuecplanon por certigi, ke kritikaj komercaj funkcioj povas daŭri en okazo de grava okazaĵo.
Parto 5. Fizika kaj Media Sekureco
5.1. Fizika Sekureco Perimetro
Ni establis fizikajn sekurecajn mezurojn por protekti la fizikajn ejojn kaj sentemajn informojn kontraŭ neaŭtorizita aliro.
5.2. Kontrolo de Aliro
Ni establis alirkontrolajn politikojn kaj procedurojn por la fizikaj ejoj por certigi, ke nur rajtigitaj dungitoj havu aliron al sentemaj informoj.
5.3. Ekipaĵa Sekureco
Ni certigas, ke ĉiuj ekipaĵoj enhavantaj sentemajn informojn estas fizike sekurigitaj, kaj aliro al ĉi tiu ekipaĵo estas limigita nur al rajtigitaj dungitoj.
5.4. Sekura Forigo
Ni establis procedurojn por la sekura forigo de sentemaj informoj, inkluzive de paperaj dokumentoj, elektronikaj amaskomunikiloj kaj aparataro.
5.5. Fizika Medio
Ni certigas, ke la fizika medio de la loko, inkluzive de temperaturo, humideco kaj lumigado, taŭgas por la protekto de sentemaj informoj.
5.6. Potenco
Ni certigas, ke la elektra provizo al la loko estas fidinda kaj protektita kontraŭ elektropaneoj aŭ ŝprucoj.
5.7. Fajra Protekto
Ni establis politikojn kaj procedurojn pri protekto de fajroj, inkluzive de instalado kaj prizorgado de sistemoj de detekto kaj forigo de fajroj.
5.8. Protekto por Akvo-Difekto
Ni establis politikojn kaj procedurojn por protekti sentemajn informojn kontraŭ akvodamaĝo, inkluzive de la instalado kaj prizorgado de inundodetekto kaj preventaj sistemoj.
5.9. Ekipa Prizorgado
Ni establis procedurojn por prizorgado de ekipaĵo, inkluzive de inspektado de ekipaĵo por signoj de mistraktado aŭ neaŭtorizita aliro.
5.10. Akceptebla Uzo
Ni establis akcepteblan uzpolitikon kiu skizas la akcepteblan uzon de fizikaj rimedoj kaj instalaĵoj.
5.11. Fora Aliro
Ni establis politikojn kaj procedurojn por fora aliro al sentemaj informoj, inkluzive de la uzo de sekuraj konektoj kaj ĉifrado.
5.12. Monitorado kaj Gvatado
Ni establis politikojn kaj procedurojn por monitorado kaj gvatado de la fizikaj ejoj kaj ekipaĵoj por detekti kaj malhelpi neaŭtorizitan aliron aŭ mistraktadon.
Parto. 6. Sekureco pri komunikado kaj operacio
6.1. Reta Sekureca Administrado
Ni establis politikojn kaj procedurojn por la administrado de reto-sekureco, inkluzive de la uzo de fajroŝirmiloj, entrudiĝdetekto kaj preventaj sistemoj, kaj regulaj sekurecaj revizioj.
6.2. Transdono de Informoj
Ni establis politikojn kaj procedurojn por la sekura translokigo de sentemaj informoj, inkluzive de la uzo de ĉifrado kaj sekuraj dosieraj translokigaj protokoloj.
6.3. Triaj Partiaj Komunikadoj
Ni establis politikojn kaj procedurojn por la sekura interŝanĝo de sentemaj informoj kun triaj organizoj, inkluzive de la uzo de sekuraj konektoj kaj ĉifrado.
6.4. Media Manipulado
Ni establis procedurojn por la uzado de sentemaj informoj en diversaj formoj de amaskomunikilaro, inkluzive de paperaj dokumentoj, elektronikaj amaskomunikiloj kaj porteblaj stokaj aparatoj.
6.5. Evoluo kaj Prizorgado de Informoj Sistemoj
Ni establis politikojn kaj procedurojn por la disvolviĝo kaj prizorgado de informaj sistemoj, inkluzive de la uzo de sekuraj kodigaj praktikoj, regulaj programaj ĝisdatigoj kaj administrado de flikaĵoj.
6.6. Protekto pri Malware kaj Virusoj
Ni establis politikojn kaj procedurojn por protekti informsistemojn kontraŭ malware kaj virusoj, inkluzive de la uzo de kontraŭvirusa programaro kaj regulaj sekurecaj ĝisdatigoj.
6.7. Rezervo kaj Restarigo
Ni establis politikojn kaj procedurojn por sekurkopio kaj restarigo de sentemaj informoj por malhelpi datumperdon aŭ korupton.
6.8. Eventa Direktado
Ni establis politikojn kaj procedurojn por la identigo, enketo kaj solvado de sekurecaj okazaĵoj kaj eventoj.
6.9. Administrado de vundebleco
Ni establis politikojn kaj procedurojn por la administrado de informsistemaj vundeblecoj, inkluzive de la uzo de regulaj vundeblecoj kaj administrado de flikaĵoj.
6.10. Kontrolo de Aliro
Ni establis politikojn kaj procedurojn por la administrado de uzanta aliro al informsistemoj, inkluzive de la uzo de alirkontroloj, uzantaŭtentigo kaj regulaj alirrecenzoj.
6.11. Monitorado kaj Registrado
Ni establis politikojn kaj procedurojn por la monitorado kaj protokolado de informsistemaj agadoj, inkluzive de la uzo de kontrolaj spuroj kaj sekureca okazaĵregistrado.
Parto 7. Akiro, Disvolviĝo kaj Prizorgado de Informaj Sistemoj
7.1. Postuloj
Ni establis politikojn kaj procedurojn por la identigo de informsistemaj postuloj, inkluzive de komercaj postuloj, leĝaj kaj reguligaj postuloj kaj sekurecaj postuloj.
7.2. Provizantaj Rilatoj
Ni establis politikojn kaj procedurojn por la administrado de rilatoj kun triaj provizantoj de informaj sistemoj kaj servoj, inkluzive de la taksado de sekurecaj praktikoj de provizantoj.
7.3. Sistemevoluo
Ni establis politikojn kaj procedurojn por la sekura disvolviĝo de informaj sistemoj, inkluzive de la uzo de sekuraj kodigaj praktikoj, regulaj testadoj kaj kvalita certigo.
7.4. Sistema Testado
Ni establis politikojn kaj procedurojn por la testado de informaj sistemoj, inkluzive de funkcieca testado, agado-testado kaj sekureca testado.
7.5. Sistema Akcepto
Ni establis politikojn kaj procedurojn por la akcepto de informaj sistemoj, inkluzive de la aprobo de testaj rezultoj, sekurecaj taksoj kaj uzantakceptotestado.
7.6. Sistemo-Prizorgado
Ni establis politikojn kaj procedurojn por la prizorgado de informaj sistemoj, inkluzive de regulaj ĝisdatigoj, sekurecaj diakiloj kaj sistemaj sekurkopioj.
7.7. Sistemo Emeritiĝo
Ni establis politikojn kaj procedurojn por la retiriĝo de informsistemoj, inkluzive de la sekura forigo de aparataro kaj datumoj.
7.8. Datuma Konservado
Ni establis politikojn kaj procedurojn por konservado de datumoj konforme al leĝaj kaj reguligaj postuloj, inkluzive de sekura stokado kaj forigo de sentemaj datumoj.
7.9. Sekurecaj Postuloj por Informaj Sistemoj
Ni establis politikojn kaj procedurojn por la identigo kaj efektivigo de sekurecaj postuloj por informsistemoj, inkluzive de alirkontroloj, ĉifrado kaj datumprotekto.
7.10. Sekuraj Evoluaj Medioj
Ni establis politikojn kaj procedurojn por la sekuraj evolumedioj por informsistemoj, inkluzive de la uzo de sekuraj evoluaj praktikoj, alirkontroloj kaj sekuraj retaj agordoj.
7.11. Protekto de Testaj Medioj
Ni establis politikojn kaj procedurojn por la protekto de testaj medioj por informaj sistemoj, inkluzive de la uzo de sekuraj agordoj, alirkontroloj kaj regulaj sekurecaj provoj.
7.12. Secure System Engineering Principles
Ni establis politikojn kaj procedurojn por la efektivigo de sekuraj sistemaj inĝenieraj principoj por informaj sistemoj, inkluzive de la uzo de sekurecaj arkitekturoj, minaca modelado kaj sekuraj kodaj praktikoj.
7.13. Sekura Kodiga Gvidlinioj
Ni establis politikojn kaj procedurojn por la efektivigo de sekuraj kodigvidlinioj por informsistemoj, inkluzive de la uzo de kodaj normoj, kodaj recenzoj kaj aŭtomatigitaj testadoj.
Parto 8. Aparataro Akiro
8.1. Aliĝo al Normoj
Ni aliĝas al la normo ISO 27001 por sistemo pri administrado de informa sekureco (ISMS) por certigi, ke aparataj aktivoj estas akiritaj laŭ niaj sekurecaj postuloj.
8.2. Taksado de Risko
Ni faras riskan taksadon antaŭ ol akiri aparataron por identigi eblajn sekurecajn riskojn kaj certigi, ke la elektita aparataro plenumas la sekurecajn postulojn.
8.3. Selektado de Vendistoj
Ni akiras aparataron aktivaĵojn nur de fidindaj vendistoj, kiuj havas pruvitan spuron pri liverado de sekuraj produktoj. Ni revizias la sekurecpolitikojn kaj praktikojn de vendisto, kaj postulas ilin certigi ke iliaj produktoj plenumas niajn sekurecpostulojn.
8.4. Sekura Transporto
Ni certigas, ke aparataj aktivoj estas sekure transportitaj al niaj ejoj por malhelpi mistraktadon, damaĝon aŭ ŝtelon dum trafiko.
8.5. Konfirmo de Aŭtentikeco
Ni kontrolas la aŭtentikecon de aparataj aktivoj post livero por certigi, ke ili ne estas falsaj aŭ mistraktitaj.
8.6. Fizikaj kaj Mediaj Kontroloj
Ni efektivigas taŭgajn fizikajn kaj mediajn kontrolojn por protekti aparataron de neaŭtorizita aliro, ŝtelo aŭ damaĝo.
8.7. Aparataro-Instalado
Ni certigas, ke ĉiuj aparataj aktivoj estas agorditaj kaj instalitaj laŭ establitaj sekurecaj normoj kaj gvidlinioj.
8.8. Aparataj Recenzoj
Ni faras periodajn recenzojn de aparataj aktivoj por certigi, ke ili daŭre plenumas niajn sekurecajn postulojn kaj estas ĝisdatigitaj kun la plej novaj sekurecaj diakiloj kaj ĝisdatigoj.
8.9. Aparataro Forigo
Ni disponas aparataron en sekura maniero por malhelpi neaŭtorizitan aliron al sentemaj informoj.
Parto 9. Protekto pri Malware kaj Virusoj
9.1. Politiko pri Ĝisdatigo de Programaro
Ni konservas ĝisdatigitan kontraŭvirusan kaj malware-protektan programaron sur ĉiuj informsistemoj uzataj de la Eŭropa IT-Atestada Instituto, inkluzive de serviloj, laborstacioj, tekkomputiloj kaj porteblaj aparatoj. Ni certigas, ke la kontraŭvirusa kaj malware-protekta programaro estas agordita por aŭtomate ĝisdatigi siajn virusdifindosierojn kaj programversiojn regule, kaj ke ĉi tiu procezo estas provita regule.
9.2. Antivirusa kaj Malware-Skanado
Ni faras regulajn skanadon de ĉiuj informsistemoj, inkluzive de serviloj, laborstacioj, tekkomputiloj kaj porteblaj aparatoj, por detekti kaj forigi ajnajn virusojn aŭ malware.
9.3. Politiko pri Senmalfunkciigo kaj Senŝanĝa
Ni plenumas politikojn, kiuj malpermesas al uzantoj malŝalti aŭ ŝanĝi kontraŭvirusajn kaj malware-protektajn programojn en iu ajn informsistemo.
9.4. Viglado
Ni kontrolas niajn atentigojn kaj protokolojn de niaj kontraŭvirusaj kaj malware protektaj programaro por identigi ajnajn okazaĵojn de virusaj aŭ malware infektoj, kaj respondi al tiaj okazaĵoj ĝustatempe.
9.5. Rekordoj Prizorgado
Ni konservas rekordojn de agordo, ĝisdatigoj kaj skanado de kontraŭvirusaj kaj malware-protekta programaro, same kiel ajnajn okazaĵojn de virusaj aŭ malware-infektoj, por reviziaj celoj.
9.6. Recenzoj pri Programaro
Ni faras periodajn recenzojn de nia kontraŭvirusa kaj malware-protekta programaro por certigi, ke ĝi plenumas la nunajn industriajn normojn kaj taŭgas por niaj bezonoj.
9.7. Trejnado kaj Konscio
Ni provizas programojn pri trejnado kaj konscio por eduki ĉiujn dungitojn pri la graveco de protekto de virusoj kaj malware, kaj kiel rekoni kaj raporti ajnajn suspektindajn agadojn aŭ okazaĵojn.
Parto 10. Informa Aktiva Administrado
10.1. Inventaro de Informa Aktivo
La Eŭropa IT-Atestada Instituto konservas stokregistron de informaj aktivoj, kiu inkluzivas ĉiujn ciferecajn kaj fizikajn informajn aktivaĵojn, kiel sistemoj, retoj, programaro, datumoj kaj dokumentaro. Ni klasifikas informajn aktivaĵojn laŭ ilia kritiko kaj sentemo por certigi, ke taŭgaj protektaj mezuroj estas efektivigitaj.
10.2. Pritraktado de Informa Aktivo
Ni efektivigas taŭgajn mezurojn por protekti informajn aktivaĵojn bazitajn sur ilia klasifiko, inkluzive de konfidenco, integreco kaj havebleco. Ni certigas, ke ĉiuj informaj aktivoj estas traktataj laŭ aplikeblaj leĝoj, regularoj kaj kontraktaj postuloj. Ni ankaŭ certigas, ke ĉiuj informaj aktivoj estas konvene konservitaj, protektitaj kaj forigitaj kiam ne plu bezonas.
10.3. Posedo de Informoj
Ni atribuas informajn aktivaĵojn al individuoj aŭ fakoj respondecaj pri administrado kaj protektado de informaj aktivoj. Ni ankaŭ certigas, ke posedantoj de informaj aktivoj komprenu siajn respondecojn kaj respondecojn por protekti informajn aktivojn.
10.4. Protekto de Informa Aktivo
Ni uzas diversajn protektajn mezurojn por protekti informajn aktivaĵojn, inkluzive de fizikaj kontroloj, alirkontroloj, ĉifrado kaj rezervaj kaj reakiraj procezoj. Ni ankaŭ certigas, ke ĉiuj informaj aktivoj estas protektitaj kontraŭ neaŭtorizita aliro, modifo aŭ detruo.
Parto 11. Alirkontrolo
11.1. Politiko pri Alirkontrolo
La Eŭropa IT-Atestada Instituto havas Alirkontrolan Politikon kiu skizas la postulojn por doni, modifi kaj nuligi aliron al informaj aktivoj. Alirkontrolo estas kritika komponanto de nia informa sekurecadministra sistemo, kaj ni efektivigas ĝin por certigi, ke nur rajtigitaj individuoj havu aliron al niaj informaj aktivoj.
11.2. Efektivigo de Alirkontrolo
Ni efektivigas alirkontrolajn mezurojn bazitajn sur la principo de malplej privilegio, kio signifas, ke individuoj havas aliron nur al la informaj aktivoj necesaj por plenumi siajn laborfunkciojn. Ni uzas diversajn alirkontrolajn mezurojn, inkluzive de aŭtentikigo, rajtigo kaj kontado (AAA). Ni ankaŭ uzas alirkontrollistojn (ACL) kaj permesojn por kontroli aliron al informaj aktivoj.
11.3. Pasvortpolitiko
La Eŭropa IT-Atestada Instituto havas Pasvortpolitikon kiu skizas la postulojn por krei kaj administri pasvortojn. Ni postulas fortajn pasvortojn, kiuj havas almenaŭ 8 signojn, kun kombinaĵo de majusklaj kaj minuskloj, ciferoj kaj specialaj signoj. Ni ankaŭ postulas periodajn pasvortajn ŝanĝojn kaj malpermesas la reuzon de antaŭaj pasvortoj.
11.4. Uzanto-Administrado
Ni havas procezon pri administrado de uzantoj, kiu inkluzivas krei, modifi kaj forigi uzantkontojn. Uzantkontoj estas kreitaj surbaze de la principo de malplej privilegio, kaj aliro estas koncedita nur al la informaj aktivoj necesaj por plenumi la laborfunkciojn de la individuo. Ni ankaŭ regule revizias uzantkontojn kaj forigas kontojn, kiuj ne plu bezonas.
Parto 12. Administrado de Okazaĵoj pri Informa Sekureco
12.1. Politiko pri Administrado de Okazaĵoj
La Eŭropa IT-Atestada Instituto havas Okazaĵan Administran Politikon kiu skizas la postulojn por detekti, raporti, taksi kaj respondi al sekurecaj okazaĵoj. Ni difinas sekurecajn incidentojn kiel ajnan eventon, kiu kompromitas la konfidencon, integrecon aŭ haveblecon de informaj aktivoj aŭ sistemoj.
12.2. Okazaĵo-Detekto kaj Raportado
Ni efektivigas mezurojn por detekti kaj raporti sekurecajn okazaĵojn rapide. Ni uzas diversajn metodojn por detekti sekurecajn incidentojn, inkluzive de entrudiĝaj detektaj sistemoj (IDS), antivirusa programaro kaj uzanta raportado. Ni ankaŭ certigas, ke ĉiuj dungitoj konscias pri la proceduroj por raporti sekurecajn okazaĵojn kaj instigas raporti pri ĉiuj suspektataj okazaĵoj.
12.3. Okazaĵtakso kaj Respondo
Ni havas procezon por taksi kaj respondi al sekurecaj okazaĵoj bazitaj sur ilia severeco kaj efiko. Ni prioritatas okazaĵojn surbaze de ilia ebla efiko al informaj aktivoj aŭ sistemoj kaj asignas taŭgajn rimedojn por respondi al ili. Ni ankaŭ havas respondplanon, kiu inkluzivas procedurojn por identigi, enhavi, analizi, ekstermi kaj resaniĝi de sekurecaj okazaĵoj, kaj ankaŭ sciigi koncernajn partiojn kaj fari post-okazajn recenzojn. Niaj okazaĵaj respondaj proceduroj estas dezajnitaj por certigi rapidan kaj efikan respondon. al sekurecaj okazaĵoj. La proceduroj estas regule reviziitaj kaj ĝisdatigitaj por certigi ilian efikecon kaj gravecon.
12.4. Okazaĵa Responda Teamo
Ni havas Incident Response Team (IRT) kiu respondecas pri respondado al sekurecaj okazaĵoj. La IRT estas kunmetita de reprezentantoj de diversaj unuoj kaj estas gvidita fare de la Information Security Officer (ISO). La IRT respondecas pri taksado de la severeco de okazaĵoj, enhavado de la okazaĵo, kaj iniciatado de la konvenaj respondproceduroj.
12.5. Raportado kaj Revizio de Okazaĵoj
Ni establis procedurojn por raporti sekurecajn okazaĵojn al koncernaj partioj, inkluzive de klientoj, reguligaj aŭtoritatoj kaj policaj agentejoj, kiel postulas aplikeblaj leĝoj kaj regularoj. Ni ankaŭ konservas komunikadon kun tuŝitaj partioj dum la okazaĵa respondprocezo, provizante ĝustatempajn ĝisdatigojn pri la statuso de la okazaĵo kaj ajnaj agoj estantaj faritaj por mildigi ĝian efikon. Ni ankaŭ faras revizion de ĉiuj sekurecaj okazaĵoj por identigi la fundamentan kaŭzon kaj malhelpi similajn okazaĵojn okazi en la estonteco.
Parto 13. Komerca Kontinueco-Administrado kaj Disaster Recovery
13.1. Komerca Kontinua Planado
Kvankam la Eŭropa IT Certification Institute estas neprofitcela organizo, ĝi havas Komercan Kontinuan Planon (BCP) kiu skizas la procedurojn por certigi la kontinuecon de ĝiaj operacioj en la okazaĵo de interrompa okazaĵo. La BCP kovras ĉiujn kritikajn operaciajn procezojn kaj identigas la rimedojn necesajn por konservi operaciojn dum kaj post interrompa okazaĵo. Ĝi ankaŭ skizas la procedurojn por konservi komercajn operaciojn dum interrompo aŭ katastrofo, taksante la efikon de interrompoj, identigante plej kritikajn operaciajn procezojn en la kunteksto de speciala interrompa okazaĵo, kaj evoluigante respondajn kaj normaligajn procedurojn.
13.2. Planado pri Katastrofa Reakiro
La Eŭropa IT-Atestada Instituto havas Disaster Recovery Plan (DRP) kiu skizas la procedurojn por reakiri niajn informsistemojn en kazo de interrompo aŭ katastrofo. La DRP inkluzivas procedurojn por sekurkopio de datumoj, restarigo de datumoj kaj reakiro de la sistemo. La DRP estas regule provita kaj ĝisdatigita por certigi ĝian efikecon.
13.3. Komerca Efika Analizo
Ni faras Komercan Efikan Analizon (BIA) por identigi la kritikajn operaciajn procezojn kaj la rimedojn necesajn por konservi ilin. La BIA helpas nin prioritati niajn reakigajn klopodojn kaj asigni rimedojn laŭe.
13.4. Komerca Kontinua Strategio
Surbaze de la rezultoj de la BIA, ni evoluigas Komercan Kontinuan Strategion kiu skizas la procedurojn por respondi al interrompa okazaĵo. La strategio inkluzivas procedurojn por aktivigi la BCP, restarigi kritikajn operaciajn procezojn, kaj komuniki kun signifaj koncernatoj.
13.5. Testado kaj Bontenado
Ni regule testas kaj konservas nian BCP kaj DRP por certigi ilian efikecon kaj gravecon. Ni faras regulajn testojn por validigi la BCP/DRP kaj identigi areojn por plibonigo. Ni ankaŭ ĝisdatigas la BCP kaj DRP kiel necese por reflekti ŝanĝojn en niaj operacioj aŭ la minaca pejzaĝo. Testado inkluzivas surtablaj ekzercoj, simulaĵoj kaj viva testado de proceduroj. Ni ankaŭ revizias kaj ĝisdatigas niajn planojn surbaze de la rezultoj de testado kaj lernitaj lecionoj.
13.6. Alternaj Pretigaj Ejoj
Ni konservas alternajn retajn prilaborajn retejojn, kiuj povas esti uzataj por daŭrigi komercajn operaciojn en okazo de interrompo aŭ katastrofo. La alternaj pretigejoj estas ekipitaj per la necesaj infrastrukturoj kaj sistemoj, kaj povas esti uzataj por subteni kritikajn komercajn procezojn.
Parto 14. Konformo kaj Revizio
14.1. Konformo al Leĝoj kaj Regularoj
La Eŭropa IT-Atestada Instituto kompromitas plenumi ĉiujn aplikeblajn leĝojn kaj regularojn rilate al informa sekureco kaj privateco, inkluzive de datumoj pri protekto de datumoj, industriaj normoj kaj kontraktaj devoj. Ni regule revizias kaj ĝisdatigas niajn politikojn, procedurojn kaj kontrolojn por certigi konformecon al ĉiuj koncernaj postuloj kaj normoj. La ĉefaj normoj kaj kadroj, kiujn ni sekvas en la informsekureca kunteksto, inkluzivas:
- La ISO/IEC 27001 normo disponiganta gvidliniojn por la efektivigo kaj administrado de Informa Sekurec-Administrada Sistemo (ISMS) kiu inkludas vundeblecon administradon kiel ŝlosilan komponenton. Ĝi provizas referencan kadron por efektivigi kaj konservi nian informan sekurecadministran sistemon (ISMS) inkluzive de vundebleco-administrado. Konforme al ĉi tiuj normaj dispozicioj ni identigas, taksas kaj administras riskojn pri informa sekureco, inkluzive de vundeblecoj.
- La Usona Nacia Instituto pri Normoj kaj Teknologio (NIST) Kadro pri Cibersekureco disponigas gvidliniojn por identigi, taksi kaj administri riskojn pri cibersekureco, inkluzive de vundebleco-administrado.
- La National Institute of Standards and Technology (NIST) Cybersecurity Framework por plibonigo de cibersekureca riskadministrado, kun kerna aro de funkcioj inkluzive de vundebleco-administrado, al kiu ni aliĝas por administri niajn cibersekurecajn riskojn.
- La SANS Kritikaj Sekureckontroloj enhavantaj aron de 20 sekureckontroloj por plibonigi cibersekurecon, kovrante gamon da areoj, inkluzive de vundebleco-administrado, disponigante specifan gvidadon pri vundebleco-skanado, flikadministrado kaj aliaj aspektoj de vundebleco-administrado.
- La Paga Karto-Industria Datuma Sekureco-Normo (PCI DSS), postulanta pritraktadon de kreditkartaj informoj rilate al vundebleco-administrado en ĉi tiu kunteksto.
- La Centro por Interreta Sekureca Kontrolo (CIS) inkluzive de vundebleco-administrado kiel unu el la ŝlosilaj kontroloj por certigi sekurajn agordojn de niaj informsistemoj.
- La Open Web Application Security Project (OWASP), kun ĝia Top 10 listo de la plej kritikaj retejaj sekurecaj riskoj, inkluzive de taksado de vundeblecoj kiel ekzemple injektaj atakoj, rompita aŭtentigo kaj administrado de sesio, trans-eja skripto (XSS), ktp. Ni uzas la OWASP Top 10 por prioritati niajn vundeblecojn administradklopodojn kaj koncentri sur la plej kritikaj riskoj koncerne niajn retsistemojn.
14.2. Interna Revizio
Ni faras regulajn internajn reviziojn por taksi la efikecon de nia Informa Sekureca Administra Sistemo (ISMS) kaj certigi, ke niaj politikoj, proceduroj kaj kontroloj estas sekvataj. La interna revizioprocezo inkludas la identigon de nekonformoj, la evoluon de korektaj agoj, kaj la spuradon de solvadaj klopodoj.
14.3. Ekstera Revizio
Ni periode kunlaboras kun eksteraj revizoroj por validigi nian konformecon al aplikeblaj leĝoj, regularoj kaj industriaj normoj. Ni provizas revizorojn per aliro al niaj instalaĵoj, sistemoj kaj dokumentaro laŭbezone por validigi nian konformecon. Ni ankaŭ laboras kun eksteraj revizoroj por trakti iujn ajn trovojn aŭ rekomendojn identigitajn dum la revizia procezo.
14.4. Monitorado de Konformeco
Ni kontrolas nian konformecon al aplikeblaj leĝoj, regularoj kaj industriaj normoj daŭrante. Ni uzas diversajn metodojn por kontroli konformecon, inkluzive de periodaj taksoj, revizioj kaj recenzoj de triaj provizantoj. Ni ankaŭ regule revizias kaj ĝisdatigas niajn politikojn, procedurojn kaj kontrolojn por certigi daŭran plenumon de ĉiuj koncernaj postuloj.
Parto 15. Tria Partia Administrado
15.1. Politiko pri Triaj Partioj
La Eŭropa IT-Atestada Instituto havas Triajn Partiajn Administran Politikon, kiu skizas la postulojn por elekti, taksi kaj monitori triapartajn provizantojn, kiuj havas aliron al niaj informaj aktivoj aŭ sistemoj. La politiko validas por ĉiuj triaj provizantoj, inkluzive de nubaj servaj provizantoj, vendistoj kaj entreprenistoj.
15.2. Triaparta Elekto kaj Takso
Ni faras devitan diligenton antaŭ ol intertraktiĝi kun triaj provizantoj por certigi, ke ili havas taŭgajn sekurecajn kontrolojn por protekti niajn informajn aktivaĵojn aŭ sistemojn. Ni ankaŭ taksas la konformecon de la triaj provizantoj kun aplikeblaj leĝoj kaj regularoj rilate al informa sekureco kaj privateco.
15.3. Tria Partia Monitorado
Ni monitoras triapartajn provizantojn daŭrante por certigi, ke ili daŭre plenumas niajn postulojn por informa sekureco kaj privateco. Ni uzas diversajn metodojn por monitori triajn provizantojn, inkluzive de periodaj taksoj, revizioj kaj recenzoj de sekurecaj okazaĵraportoj.
15.4. Kontraktaj Postuloj
Ni inkluzivas kontraktajn postulojn rilatajn al informa sekureco kaj privateco en ĉiuj kontraktoj kun triaj provizantoj. Ĉi tiuj postuloj inkluzivas provizojn por datumprotektado, sekurecaj kontroloj, okazaĵa administrado kaj plenuma monitorado. Ni ankaŭ inkluzivas provizojn por ĉesigo de kontraktoj en okazo de sekureca incidento aŭ nerespekto.
Parto 16. Informa Sekureco en Atestado-Procezoj
16.1 Sekureco de Atestado-Procezoj
Ni prenas taŭgajn kaj sistemajn mezurojn por certigi la sekurecon de ĉiuj informoj rilataj al niaj atestadaj procezoj, inkluzive de personaj datumoj de individuoj serĉantaj atestadon. Ĉi tio inkluzivas kontrolojn por aliro, stokado kaj transdono de ĉiuj atestaj rilataj informoj. Efektivigante ĉi tiujn mezurojn, ni celas certigi, ke la atestadaj procezoj estas faritaj kun la plej alta nivelo de sekureco kaj integreco, kaj ke la personaj datumoj de individuoj serĉantaj atestadon estas protektitaj konforme al koncernaj regularoj kaj normoj.
16.2. Aŭtentikigo kaj Rajtigo
Ni uzas aŭtentigajn kaj rajtigajn kontrolojn por certigi, ke nur rajtigitaj dungitoj havu aliron al atestadaj informoj. Alirkontroloj estas regule reviziitaj kaj ĝisdatigitaj surbaze de ŝanĝoj en personaj roloj kaj respondecoj.
16.3 Protekto de Datumoj
Ni protektas personajn datumojn dum la atestprocezo efektivigante taŭgajn teknikajn kaj organizajn mezurojn por certigi konfidencecon, integrecon kaj haveblecon de la datumoj. Ĉi tio inkluzivas mezurojn kiel ĉifrado, alirkontroloj kaj regulaj sekurkopioj.
16.4. Sekureco de Ekzamenaj Procezoj
Ni certigas la sekurecon de la ekzamenprocezoj efektivigante taŭgajn mezurojn por malhelpi trompadon, monitoradon kaj kontrolon de la ekzamena medio. Ni ankaŭ konservas la integrecon kaj konfidencon de ekzamenaj materialoj per sekuraj stokadproceduroj.
16.5. Sekureco de Ekzamena Enhavo
Ni certigas la sekurecon de ekzamena enhavo efektivigante taŭgajn mezurojn por protekti kontraŭ neaŭtorizita aliro, ŝanĝo aŭ malkaŝo de la enhavo. Ĉi tio inkluzivas la uzon de sekura stokado, ĉifrado kaj alirkontroloj por ekzamenenhavo, same kiel kontroloj por malhelpi neaŭtorizitan distribuadon aŭ disvastigon de ekzamenenhavo.
16.6. Sekureco de Ekzamena Livero
Ni certigas la sekurecon de ekzamena livero efektivigante taŭgajn mezurojn por malhelpi neaŭtorizitan aliron al, aŭ manipulado de, la ekzamena medio. Ĉi tio inkluzivas mezurojn kiel monitorado, revizio kaj kontrolo de la ekzamena medio kaj apartaj ekzamenaj aliroj, por malhelpi trompadon aŭ aliajn sekurecrompojn.
16.7. Sekureco de Ekzamenaj Rezultoj
Ni certigas la sekurecon de ekzamenrezultoj efektivigante taŭgajn mezurojn por protekti kontraŭ neaŭtorizita aliro, ŝanĝo aŭ malkaŝo de la rezultoj. Ĉi tio inkluzivas la uzon de sekura stokado, ĉifrado kaj alirkontroloj por ekzamenrezultoj, same kiel kontroloj por malhelpi neaŭtorizitan distribuon aŭ disvastigon de ekzamenrezultoj.
16.8. Sekureco de Atestiloj Emisio
Ni certigas la sekurecon de atestiloj efektivigante taŭgajn mezurojn por malhelpi fraŭdon kaj neaŭtorizitan emision de atestiloj. Ĉi tio inkluzivas kontrolojn por kontroli la identecon de individuoj ricevantaj atestilojn kaj sekurajn konservadon kaj emision.
16.9. Plendoj kaj Apelacioj
Ni establis procedurojn por administri plendojn kaj pledojn rilatajn al la atesta procezo. Ĉi tiuj proceduroj inkluzivas mezurojn por certigi konfidencon kaj nepartiecon de la procezo, kaj la sekurecon de informoj rilataj al la plendoj kaj pledoj.
16.10. Atestadaj Procezoj Kvalita Administrado
Ni establis Kvalitan Administran Sistemon (QMS) por la atestadaj procezoj, kiu inkluzivas mezurojn por certigi la efikecon, efikecon kaj sekurecon de la procezoj. La QMS inkluzivas regulajn reviziojn kaj recenzojn de la procezoj kaj iliaj sekurecaj kontroloj.
16.11. Daŭra Pliboniĝo de Atestadaj Procezoj Sekureco
Ni kompromitas al kontinua plibonigo de niaj atestadaj procezoj kaj iliaj sekurecaj kontroloj. Ĉi tio inkluzivas regulajn recenzojn kaj ĝisdatigojn de atestadaj politikoj kaj proceduroj sekureco bazitaj sur ŝanĝoj en la komerca medio, reguligaj postuloj kaj plej bonaj praktikoj en administrado pri informa sekureco, konforme al la normo ISO 27001 por administrado pri informa sekureco, kaj ankaŭ al ISO. 17024 atestaj korpoj funkcianta normo.
Parto 17. Fermaj Dispozicioj
17.1. Politika Revizio kaj Ĝisdatigo
Ĉi tiu Politiko pri Informa Sekureco estas vivanta dokumento, kiu spertas daŭrajn recenzojn kaj ĝisdatigojn bazitajn sur ŝanĝoj en niaj funkciaj postuloj, reguligaj postuloj aŭ plej bonaj praktikoj en administrado pri informa sekureco.
17.2. Monitorado de Konformeco
Ni establis procedurojn por kontroli la plenumon de ĉi tiu Politiko pri Informo pri Sekureco kaj rilatajn sekurecajn kontrolojn. Monitorado de Konformeco inkluzivas regulajn reviziojn, taksojn kaj recenzojn de sekurecaj kontroloj, kaj ilian efikecon por atingi la celojn de ĉi tiu politiko.
17.3. Raportado de Sekurecaj Okazaĵoj
Ni establis procedurojn por raporti sekurecajn okazaĵojn rilatajn al niaj informsistemoj, inkluzive de tiuj rilataj al personaj datumoj de individuoj. Dungitoj, entreprenistoj kaj aliaj koncernatoj estas kuraĝigitaj raporti ajnajn sekurecajn okazaĵojn aŭ ŝajnajn okazaĵojn al la elektita sekureca teamo kiel eble plej baldaŭ.
17.4. Trejnado kaj Konscio
Ni provizas regulajn programojn pri trejnado kaj konscio al dungitoj, entreprenistoj kaj aliaj koncernatoj por certigi, ke ili konscias pri siaj respondecoj kaj devoj rilate al informa sekureco. Ĉi tio inkluzivas trejnadon pri sekurecaj politikoj kaj proceduroj, kaj mezuroj por protekti personajn datumojn de individuoj.
17.5. Respondeco kaj Respondigebleco
Ni tenas ĉiujn dungitojn, entreprenistojn kaj aliajn koncernatojn respondecaj kaj respondecaj pri plenumado de ĉi tiu Politiko pri Informo pri Sekureco kaj rilataj sekurecaj kontroloj. Ni ankaŭ respondecas pri administrado pri certigado, ke taŭgaj rimedoj estas asignitaj por efektivigi kaj konservi efikajn informsekurecajn kontrolojn.
Ĉi tiu Politiko pri Informa Sekureco estas kritika komponanto de la kadro pri administrado pri informa sekureco de la Euroepan IT Certification Institute kaj pruvas nian sindevontigon protekti informajn aktivojn kaj prilaboritajn datumojn, certigante la konfidencon, privatecon, integrecon kaj haveblecon de informoj kaj plenumante reguligajn kaj kontraktajn postulojn.