Politiko pri Informa Sekureco

Politiko pri Informa Sekureco de Akademio de EITCA

Ĉi tiu dokumento precizigas la Politikon pri Informa Sekureco (ISP) de la Eŭropa IT Certification Institute, kiu estas regule reviziita kaj ĝisdatigita por certigi ĝian efikecon kaj gravecon. La lasta ĝisdatigo de la Politiko pri Informa Sekureco de EITCI estis farita la 7an de januaro 2023.

Parto 1. Enkonduko kaj Informa Sekureca Politiko

1.1. Enkonduko

La Eŭropa IT-Atestada Instituto rekonas la gravecon de informa sekureco en konservado de la konfidenco, integreco kaj havebleco de informoj kaj la fidon de niaj koncernatoj. Ni kompromitas protekti sentemajn informojn, inkluzive de personaj datumoj, kontraŭ neaŭtorizita aliro, malkaŝo, ŝanĝo kaj detruo. Ni konservas efikan Politikon pri Informa Sekureco por subteni nian mision provizi fidindajn kaj senpartiajn atestajn servojn al niaj klientoj. La Politiko pri Informo pri Sekureco skizas nian devontigon protekti informajn aktivojn kaj plenumi niajn laŭleĝajn, reguligajn kaj kontraktajn devojn. Nia politiko baziĝas sur la principoj de ISO 27001 kaj ISO 17024, la ĉefaj internaciaj normoj por informa sekureca administrado kaj atestindaj normoj pri operacioj.

1.2. Politika Deklaro

La Eŭropa IT-Atestinstituto kompromitas:

  • Protektante la konfidencon, integrecon kaj haveblecon de informaj aktivoj,
  • Respektante leĝajn, reguligajn kaj kontraktajn devojn rilate al informa sekureco kaj prilaborado de datumoj efektivigante ĝiajn atestajn procezojn kaj operaciojn,
  • Daŭre plibonigante sian informsekurecan politikon kaj rilatan administradsistemon,
  • Disponigante taŭgan trejnadon kaj konscion al dungitoj, entreprenistoj kaj partoprenantoj,
  • Implikante ĉiujn dungitojn kaj entreprenistojn en la efektivigo kaj prizorgado de la politiko pri informa sekureco kaj la rilata sistemo pri administrado de informa sekureco.

1.3. Medio

Ĉi tiu politiko validas por ĉiuj informaj aktivoj posedataj, kontrolitaj aŭ prilaboritaj de la Eŭropa IT-Atestada Instituto. Ĉi tio inkluzivas ĉiujn ciferecajn kaj fizikajn informajn aktivaĵojn, kiel sistemojn, retojn, programaron, datumojn kaj dokumentaron. Ĉi tiu politiko ankaŭ validas por ĉiuj dungitoj, entreprenistoj kaj triaj servaj provizantoj alirantaj niajn informajn aktivaĵojn.

1.4 Plenumo

La Eŭropa IT-Atestada Instituto kompromitas plenumi koncernajn informajn sekurecajn normojn, inkluzive de ISO 27001 kaj ISO 17024. Ni regule revizias kaj ĝisdatigas ĉi tiun politikon por certigi ĝian daŭran gravecon kaj konformecon al ĉi tiuj normoj.

Parto 2. Organiza Sekureco

2.1. Organizaj Sekurecceloj

Realigante organizajn sekurecajn mezurojn, ni celas certigi, ke niaj informaj aktivoj kaj datumtraktadpraktikoj kaj proceduroj estas faritaj kun la plej alta nivelo de sekureco kaj integreco, kaj ke ni plenumas koncernajn leĝajn regularojn kaj normojn.

2.2. Roloj kaj Respondecoj pri Informa Sekureco

La Eŭropa IT Certification Institute difinas kaj komunikas rolojn kaj respondecojn por informa sekureco tra la organizo. Ĉi tio inkluzivas asigni klaran proprieton por informaj aktivoj en kontakto de la informa sekureco, starigi regan strukturon kaj difini specifajn respondecojn por diversaj roloj kaj fakoj tra la organizo.

2.3. Administrado de Risko

Ni faras regulajn riskajn taksojn por identigi kaj prioritatigi informajn sekurecajn riskojn al la organizo, inkluzive de riskoj rilataj al prilaborado de personaj datumoj. Ni establas taŭgajn kontrolojn por mildigi ĉi tiujn riskojn, kaj regule revizias kaj ĝisdatigas nian riskan administradon surbaze de ŝanĝoj en la komerca medio kaj minaca pejzaĝo.

2.4. Politikoj kaj Proceduroj pri Informa Sekureco

Ni establas kaj konservas aron da informsekurecaj politikoj kaj proceduroj, kiuj baziĝas sur industriaj plej bonaj praktikoj kaj plenumas koncernajn regularojn kaj normojn. Ĉi tiuj politikoj kaj proceduroj kovras ĉiujn aspektojn de informa sekureco, inkluzive de prilaborado de personaj datumoj, kaj estas regule reviziitaj kaj ĝisdatigitaj por certigi ilian efikecon.

2.5. Sekureca Konscio kaj Trejnado

Ni provizas regulajn sekurecajn konscion kaj trejnajn programojn al ĉiuj dungitoj, entreprenistoj kaj triaj partneroj, kiuj havas aliron al personaj datumoj aŭ aliaj sentemaj informoj. Ĉi tiu trejnado kovras temojn kiel phishing, socia inĝenierado, pasvorta higieno kaj aliaj plej bonaj praktikoj pri informa sekureco.

2.6. Fizika kaj Media Sekureco

Ni efektivigas taŭgajn fizikajn kaj mediajn sekurecajn kontrolojn por protekti kontraŭ neaŭtorizita aliro, damaĝo aŭ interfero al niaj instalaĵoj kaj informsistemoj. Ĉi tio inkluzivas mezurojn kiel alirkontroloj, gvatado, monitorado kaj rezerva potenco kaj malvarmigosistemoj.

2.7. Administrado de Okazaĵoj pri Informa Sekureco

Ni establis procezon pri administrado de incidentoj, kiu ebligas al ni respondi rapide kaj efike al ajnaj incidentoj pri informa sekureco kiu povas okazi. Ĉi tio inkluzivas procedurojn por raportado, eskalado, enketo kaj solvado de okazaĵoj, same kiel mezurojn por malhelpi ripetiĝon kaj plibonigi niajn okazaĵajn respondkapablojn.

2.8. Operacia Kontinueco kaj Disaster Recovery

Ni establis kaj testis operacian kontinuecon kaj katastrofajn reakirajn planojn, kiuj ebligas al ni konservi niajn kritikajn operaciajn funkciojn kaj servojn en okazo de interrompo aŭ katastrofo. Ĉi tiuj planoj inkluzivas procedurojn por sekurkopio kaj reakiro de datumoj kaj sistemoj, kaj mezuroj por certigi la haveblecon kaj integrecon de personaj datumoj.

2.9. Tria Partia Administrado

Ni establas kaj konservas taŭgajn kontrolojn por administri la riskojn asociitajn kun triaj partneroj, kiuj havas aliron al personaj datumoj aŭ aliaj sentemaj informoj. Ĉi tio inkluzivas mezurojn kiel devita diligento, kontraktaj devoj, monitorado kaj revizioj, kaj ankaŭ mezurojn por ĉesigi partnerecojn kiam necese.

Parto 3. Sekureco pri Homaj Rimedoj

3.1. Labora Kribro

La Eŭropa IT-Atestinstituto establis procezon por dungado-kontrolado por certigi ke individuoj kun aliro al sentemaj informoj estas fidindaj kaj havas la necesajn kapablojn kaj kvalifikojn.

3.2. Kontrolo de Aliro

Ni establis alirkontrolajn politikojn kaj procedurojn por certigi, ke dungitoj nur havu aliron al la informoj necesaj por siaj laborrespondecoj. La alirrajtoj estas reviziitaj kaj ĝisdatigitaj regule por certigi, ke dungitoj havu aliron al nur la informoj, kiujn ili bezonas.

3.3. Konscio kaj Trejnado pri Informa Sekureco

Ni provizas instruadon pri informa sekureco al ĉiuj dungitoj regule. Ĉi tiu trejnado kovras temojn kiel pasvortsekureco, phishing-atakoj, socia inĝenierado kaj aliaj aspektoj de cibersekureco.

3.4. Akceptebla Uzo

Ni establis akcepteblan uzpolitikon kiu skizas la akcepteblan uzon de informsistemoj kaj rimedoj, inkluzive de personaj aparatoj uzataj por laborceloj.

3.5. Sekureco de Poŝtelefono

Ni establis politikojn kaj procedurojn por la sekura uzo de porteblaj aparatoj, inkluzive de la uzo de paskodoj, ĉifrado kaj forviŝkapablecoj.

3.6. Finigaj Proceduroj

La Eŭropa IT-Atestada Instituto establis procedurojn por ĉesigo de dungado aŭ kontrakto por certigi, ke aliro al sentemaj informoj estas nuligita tuj kaj sekure.

3.7. Triaparta Personaro

Ni establis procedurojn por la administrado de triaparta personaro, kiu havas aliron al sentemaj informoj. Tiuj politikoj implikas ekzamenadon, alirkontrolon kaj informsekurecan konscitrejnadon.

3.8. Raportado de Okazaĵoj

Ni establis politikojn kaj procedurojn por raporti incidentojn aŭ zorgojn pri informa sekureco al la taŭga personaro aŭ aŭtoritatoj.

3.9. Konfidencaj Interkonsentoj

La Eŭropa IT-Atestinstituto postulas dungitojn kaj entreprenistojn subskribi konfidencajn interkonsentojn por protekti sentemajn informojn kontraŭ neaŭtorizita malkaŝo.

3.10. Disciplinaj Agoj

La Eŭropa IT-Atestada Instituto establis politikojn kaj procedurojn por disciplinaj agoj en kazo de malobservoj pri informa sekureco de dungitoj aŭ entreprenistoj.

Parto 4. Risktakso kaj Administrado

4.1. Taksado de Risko

Ni faras periodajn riskajn taksojn por identigi eblajn minacojn kaj vundeblecojn al niaj informaj aktivoj. Ni uzas strukturitan aliron por identigi, analizi, taksi kaj prioritatigi riskojn surbaze de ilia verŝajneco kaj ebla efiko. Ni taksas riskojn asociitajn kun niaj informaj aktivoj, inkluzive de sistemoj, retoj, programaro, datumoj kaj dokumentaro.

4.2. Risktraktado

Ni uzas riskan traktadon por mildigi aŭ redukti riskojn al akceptebla nivelo. La riska traktadprocezo inkluzivas elekti taŭgajn kontrolojn, efektivigi kontrolojn kaj kontroli la efikecon de kontroloj. Ni prioritatas la efektivigon de kontroloj bazitaj sur la riska nivelo, disponeblaj rimedoj kaj komercaj prioritatoj.

4.3. Risko Monitorado kaj Revizio

Ni regule kontrolas kaj revizias la efikecon de nia riska administradprocezo por certigi, ke ĝi restas grava kaj efika. Ni uzas metrikojn kaj indikilojn por mezuri la agadon de nia riska administradprocezo kaj identigi ŝancojn por plibonigo. Ni ankaŭ revizias nian riskan administradprocezon kiel parto de niaj periodaj administradaj recenzoj por certigi ĝian daŭran taŭgecon, taŭgecon kaj efikecon.

4.4. Planado pri Risko-Respondo

Ni havas riskan respondplanon por certigi, ke ni povas respondi efike al iuj identigitaj riskoj. Ĉi tiu plano inkluzivas procedurojn por identigi kaj raporti riskojn, same kiel procezojn por taksi la eblan efikon de ĉiu risko kaj determini taŭgajn respondajn agojn. Ni ankaŭ havas eventualajn planojn por certigi komercan kontinuecon en la okazo de grava riska evento.

4.5. Operacia Efika Analizo

Ni faras periodajn analizojn pri komerca efiko por identigi la eblan efikon de interrompoj al niaj komercaj operacioj. Ĉi tiu analizo inkluzivas taksadon de la kritiko de niaj komercaj funkcioj, sistemoj kaj datumoj, same kiel taksadon de la ebla efiko de interrompoj sur niaj klientoj, dungitoj kaj aliaj koncernatoj.

4.6. Triaparta Riskadministrado

Ni havas programon pri administrado de riskoj de tria partio por certigi, ke niaj vendistoj kaj aliaj provizantoj de servoj de triaj partioj ankaŭ administras riskojn taŭge. Ĉi tiu programo inkluzivas kontrolajn kontrolojn antaŭ ol engaĝiĝi kun triaj partioj, daŭran monitoradon de triapartaj agadoj kaj periodajn taksojn de triapartaj risktraktadpraktikoj.

4.7. Okazaĵo-Respondo kaj Administrado

Ni havas okazaĵan respondon kaj administradan planon por certigi, ke ni povas respondi efike al ajnaj sekurecaj okazaĵoj. Ĉi tiu plano inkluzivas procedurojn por identigi kaj raporti okazaĵojn, same kiel procezojn por taksi la efikon de ĉiu okazaĵo kaj determini taŭgajn respondajn agojn. Ni ankaŭ havas komercan kontinuecplanon por certigi, ke kritikaj komercaj funkcioj povas daŭri en okazo de grava okazaĵo.

Parto 5. Fizika kaj Media Sekureco

5.1. Fizika Sekureco Perimetro

Ni establis fizikajn sekurecajn mezurojn por protekti la fizikajn ejojn kaj sentemajn informojn kontraŭ neaŭtorizita aliro.

5.2. Kontrolo de Aliro

Ni establis alirkontrolajn politikojn kaj procedurojn por la fizikaj ejoj por certigi, ke nur rajtigitaj dungitoj havu aliron al sentemaj informoj.

5.3. Ekipaĵa Sekureco

Ni certigas, ke ĉiuj ekipaĵoj enhavantaj sentemajn informojn estas fizike sekurigitaj, kaj aliro al ĉi tiu ekipaĵo estas limigita nur al rajtigitaj dungitoj.

5.4. Sekura Forigo

Ni establis procedurojn por la sekura forigo de sentemaj informoj, inkluzive de paperaj dokumentoj, elektronikaj amaskomunikiloj kaj aparataro.

5.5. Fizika Medio

Ni certigas, ke la fizika medio de la loko, inkluzive de temperaturo, humideco kaj lumigado, taŭgas por la protekto de sentemaj informoj.

5.6. Potenco

Ni certigas, ke la elektra provizo al la loko estas fidinda kaj protektita kontraŭ elektropaneoj aŭ ŝprucoj.

5.7. Fajra Protekto

Ni establis politikojn kaj procedurojn pri protekto de fajroj, inkluzive de instalado kaj prizorgado de sistemoj de detekto kaj forigo de fajroj.

5.8. Protekto por Akvo-Difekto

Ni establis politikojn kaj procedurojn por protekti sentemajn informojn kontraŭ akvodamaĝo, inkluzive de la instalado kaj prizorgado de inundodetekto kaj preventaj sistemoj.

5.9. Ekipa Prizorgado

Ni establis procedurojn por prizorgado de ekipaĵo, inkluzive de inspektado de ekipaĵo por signoj de mistraktado aŭ neaŭtorizita aliro.

5.10. Akceptebla Uzo

Ni establis akcepteblan uzpolitikon kiu skizas la akcepteblan uzon de fizikaj rimedoj kaj instalaĵoj.

5.11. Fora Aliro

Ni establis politikojn kaj procedurojn por fora aliro al sentemaj informoj, inkluzive de la uzo de sekuraj konektoj kaj ĉifrado.

5.12. Monitorado kaj Gvatado

Ni establis politikojn kaj procedurojn por monitorado kaj gvatado de la fizikaj ejoj kaj ekipaĵoj por detekti kaj malhelpi neaŭtorizitan aliron aŭ mistraktadon.

Parto. 6. Sekureco pri komunikado kaj operacio

6.1. Reta Sekureca Administrado

Ni establis politikojn kaj procedurojn por la administrado de reto-sekureco, inkluzive de la uzo de fajroŝirmiloj, entrudiĝdetekto kaj preventaj sistemoj, kaj regulaj sekurecaj revizioj.

6.2. Transdono de Informoj

Ni establis politikojn kaj procedurojn por la sekura translokigo de sentemaj informoj, inkluzive de la uzo de ĉifrado kaj sekuraj dosieraj translokigaj protokoloj.

6.3. Triaj Partiaj Komunikadoj

Ni establis politikojn kaj procedurojn por la sekura interŝanĝo de sentemaj informoj kun triaj organizoj, inkluzive de la uzo de sekuraj konektoj kaj ĉifrado.

6.4. Media Manipulado

Ni establis procedurojn por la uzado de sentemaj informoj en diversaj formoj de amaskomunikilaro, inkluzive de paperaj dokumentoj, elektronikaj amaskomunikiloj kaj porteblaj stokaj aparatoj.

6.5. Evoluo kaj Prizorgado de Informoj Sistemoj

Ni establis politikojn kaj procedurojn por la disvolviĝo kaj prizorgado de informaj sistemoj, inkluzive de la uzo de sekuraj kodigaj praktikoj, regulaj programaj ĝisdatigoj kaj administrado de flikaĵoj.

6.6. Protekto pri Malware kaj Virusoj

Ni establis politikojn kaj procedurojn por protekti informsistemojn kontraŭ malware kaj virusoj, inkluzive de la uzo de kontraŭvirusa programaro kaj regulaj sekurecaj ĝisdatigoj.

6.7. Rezervo kaj Restarigo

Ni establis politikojn kaj procedurojn por sekurkopio kaj restarigo de sentemaj informoj por malhelpi datumperdon aŭ korupton.

6.8. Eventa Direktado

Ni establis politikojn kaj procedurojn por la identigo, enketo kaj solvado de sekurecaj okazaĵoj kaj eventoj.

6.9. Administrado de vundebleco

Ni establis politikojn kaj procedurojn por la administrado de informsistemaj vundeblecoj, inkluzive de la uzo de regulaj vundeblecoj kaj administrado de flikaĵoj.

6.10. Kontrolo de Aliro

Ni establis politikojn kaj procedurojn por la administrado de uzanta aliro al informsistemoj, inkluzive de la uzo de alirkontroloj, uzantaŭtentigo kaj regulaj alirrecenzoj.

6.11. Monitorado kaj Registrado

Ni establis politikojn kaj procedurojn por la monitorado kaj protokolado de informsistemaj agadoj, inkluzive de la uzo de kontrolaj spuroj kaj sekureca okazaĵregistrado.

Parto 7. Akiro, Disvolviĝo kaj Prizorgado de Informaj Sistemoj

7.1. Postuloj

Ni establis politikojn kaj procedurojn por la identigo de informsistemaj postuloj, inkluzive de komercaj postuloj, leĝaj kaj reguligaj postuloj kaj sekurecaj postuloj.

7.2. Provizantaj Rilatoj

Ni establis politikojn kaj procedurojn por la administrado de rilatoj kun triaj provizantoj de informaj sistemoj kaj servoj, inkluzive de la taksado de sekurecaj praktikoj de provizantoj.

7.3. Sistemevoluo

Ni establis politikojn kaj procedurojn por la sekura disvolviĝo de informaj sistemoj, inkluzive de la uzo de sekuraj kodigaj praktikoj, regulaj testadoj kaj kvalita certigo.

7.4. Sistema Testado

Ni establis politikojn kaj procedurojn por la testado de informaj sistemoj, inkluzive de funkcieca testado, agado-testado kaj sekureca testado.

7.5. Sistema Akcepto

Ni establis politikojn kaj procedurojn por la akcepto de informaj sistemoj, inkluzive de la aprobo de testaj rezultoj, sekurecaj taksoj kaj uzantakceptotestado.

7.6. Sistemo-Prizorgado

Ni establis politikojn kaj procedurojn por la prizorgado de informaj sistemoj, inkluzive de regulaj ĝisdatigoj, sekurecaj diakiloj kaj sistemaj sekurkopioj.

7.7. Sistemo Emeritiĝo

Ni establis politikojn kaj procedurojn por la retiriĝo de informsistemoj, inkluzive de la sekura forigo de aparataro kaj datumoj.

7.8. Datuma Konservado

Ni establis politikojn kaj procedurojn por konservado de datumoj konforme al leĝaj kaj reguligaj postuloj, inkluzive de sekura stokado kaj forigo de sentemaj datumoj.

7.9. Sekurecaj Postuloj por Informaj Sistemoj

Ni establis politikojn kaj procedurojn por la identigo kaj efektivigo de sekurecaj postuloj por informsistemoj, inkluzive de alirkontroloj, ĉifrado kaj datumprotekto.

7.10. Sekuraj Evoluaj Medioj

Ni establis politikojn kaj procedurojn por la sekuraj evolumedioj por informsistemoj, inkluzive de la uzo de sekuraj evoluaj praktikoj, alirkontroloj kaj sekuraj retaj agordoj.

7.11. Protekto de Testaj Medioj

Ni establis politikojn kaj procedurojn por la protekto de testaj medioj por informaj sistemoj, inkluzive de la uzo de sekuraj agordoj, alirkontroloj kaj regulaj sekurecaj provoj.

7.12. Secure System Engineering Principles

Ni establis politikojn kaj procedurojn por la efektivigo de sekuraj sistemaj inĝenieraj principoj por informaj sistemoj, inkluzive de la uzo de sekurecaj arkitekturoj, minaca modelado kaj sekuraj kodaj praktikoj.

7.13. Sekura Kodiga Gvidlinioj

Ni establis politikojn kaj procedurojn por la efektivigo de sekuraj kodigvidlinioj por informsistemoj, inkluzive de la uzo de kodaj normoj, kodaj recenzoj kaj aŭtomatigitaj testadoj.

Parto 8. Aparataro Akiro

8.1. Aliĝo al Normoj

Ni aliĝas al la normo ISO 27001 por sistemo pri administrado de informa sekureco (ISMS) por certigi, ke aparataj aktivoj estas akiritaj laŭ niaj sekurecaj postuloj.

8.2. Taksado de Risko

Ni faras riskan taksadon antaŭ ol akiri aparataron por identigi eblajn sekurecajn riskojn kaj certigi, ke la elektita aparataro plenumas la sekurecajn postulojn.

8.3. Selektado de Vendistoj

Ni akiras aparataron aktivaĵojn nur de fidindaj vendistoj, kiuj havas pruvitan spuron pri liverado de sekuraj produktoj. Ni revizias la sekurecpolitikojn kaj praktikojn de vendisto, kaj postulas ilin certigi ke iliaj produktoj plenumas niajn sekurecpostulojn.

8.4. Sekura Transporto

Ni certigas, ke aparataj aktivoj estas sekure transportitaj al niaj ejoj por malhelpi mistraktadon, damaĝon aŭ ŝtelon dum trafiko.

8.5. Konfirmo de Aŭtentikeco

Ni kontrolas la aŭtentikecon de aparataj aktivoj post livero por certigi, ke ili ne estas falsaj aŭ mistraktitaj.

8.6. Fizikaj kaj Mediaj Kontroloj

Ni efektivigas taŭgajn fizikajn kaj mediajn kontrolojn por protekti aparataron de neaŭtorizita aliro, ŝtelo aŭ damaĝo.

8.7. Aparataro-Instalado

Ni certigas, ke ĉiuj aparataj aktivoj estas agorditaj kaj instalitaj laŭ establitaj sekurecaj normoj kaj gvidlinioj.

8.8. Aparataj Recenzoj

Ni faras periodajn recenzojn de aparataj aktivoj por certigi, ke ili daŭre plenumas niajn sekurecajn postulojn kaj estas ĝisdatigitaj kun la plej novaj sekurecaj diakiloj kaj ĝisdatigoj.

8.9. Aparataro Forigo

Ni disponas aparataron en sekura maniero por malhelpi neaŭtorizitan aliron al sentemaj informoj.

Parto 9. Protekto pri Malware kaj Virusoj

9.1. Politiko pri Ĝisdatigo de Programaro

Ni konservas ĝisdatigitan kontraŭvirusan kaj malware-protektan programaron sur ĉiuj informsistemoj uzataj de la Eŭropa IT-Atestada Instituto, inkluzive de serviloj, laborstacioj, tekkomputiloj kaj porteblaj aparatoj. Ni certigas, ke la kontraŭvirusa kaj malware-protekta programaro estas agordita por aŭtomate ĝisdatigi siajn virusdifindosierojn kaj programversiojn regule, kaj ke ĉi tiu procezo estas provita regule.

9.2. Antivirusa kaj Malware-Skanado

Ni faras regulajn skanadon de ĉiuj informsistemoj, inkluzive de serviloj, laborstacioj, tekkomputiloj kaj porteblaj aparatoj, por detekti kaj forigi ajnajn virusojn aŭ malware.

9.3. Politiko pri Senmalfunkciigo kaj Senŝanĝa

Ni plenumas politikojn, kiuj malpermesas al uzantoj malŝalti aŭ ŝanĝi kontraŭvirusajn kaj malware-protektajn programojn en iu ajn informsistemo.

9.4. Viglado

Ni kontrolas niajn atentigojn kaj protokolojn de niaj kontraŭvirusaj kaj malware protektaj programaro por identigi ajnajn okazaĵojn de virusaj aŭ malware infektoj, kaj respondi al tiaj okazaĵoj ĝustatempe.

9.5. Rekordoj Prizorgado

Ni konservas rekordojn de agordo, ĝisdatigoj kaj skanado de kontraŭvirusaj kaj malware-protekta programaro, same kiel ajnajn okazaĵojn de virusaj aŭ malware-infektoj, por reviziaj celoj.

9.6. Recenzoj pri Programaro

Ni faras periodajn recenzojn de nia kontraŭvirusa kaj malware-protekta programaro por certigi, ke ĝi plenumas la nunajn industriajn normojn kaj taŭgas por niaj bezonoj.

9.7. Trejnado kaj Konscio

Ni provizas programojn pri trejnado kaj konscio por eduki ĉiujn dungitojn pri la graveco de protekto de virusoj kaj malware, kaj kiel rekoni kaj raporti ajnajn suspektindajn agadojn aŭ okazaĵojn.

Parto 10. Informa Aktiva Administrado

10.1. Inventaro de Informa Aktivo

La Eŭropa IT-Atestada Instituto konservas stokregistron de informaj aktivoj, kiu inkluzivas ĉiujn ciferecajn kaj fizikajn informajn aktivaĵojn, kiel sistemoj, retoj, programaro, datumoj kaj dokumentaro. Ni klasifikas informajn aktivaĵojn laŭ ilia kritiko kaj sentemo por certigi, ke taŭgaj protektaj mezuroj estas efektivigitaj.

10.2. Pritraktado de Informa Aktivo

Ni efektivigas taŭgajn mezurojn por protekti informajn aktivaĵojn bazitajn sur ilia klasifiko, inkluzive de konfidenco, integreco kaj havebleco. Ni certigas, ke ĉiuj informaj aktivoj estas traktataj laŭ aplikeblaj leĝoj, regularoj kaj kontraktaj postuloj. Ni ankaŭ certigas, ke ĉiuj informaj aktivoj estas konvene konservitaj, protektitaj kaj forigitaj kiam ne plu bezonas.

10.3. Posedo de Informoj

Ni atribuas informajn aktivaĵojn al individuoj aŭ fakoj respondecaj pri administrado kaj protektado de informaj aktivoj. Ni ankaŭ certigas, ke posedantoj de informaj aktivoj komprenu siajn respondecojn kaj respondecojn por protekti informajn aktivojn.

10.4. Protekto de Informa Aktivo

Ni uzas diversajn protektajn mezurojn por protekti informajn aktivaĵojn, inkluzive de fizikaj kontroloj, alirkontroloj, ĉifrado kaj rezervaj kaj reakiraj procezoj. Ni ankaŭ certigas, ke ĉiuj informaj aktivoj estas protektitaj kontraŭ neaŭtorizita aliro, modifo aŭ detruo.

Parto 11. Alirkontrolo

11.1. Politiko pri Alirkontrolo

La Eŭropa IT-Atestada Instituto havas Alirkontrolan Politikon kiu skizas la postulojn por doni, modifi kaj nuligi aliron al informaj aktivoj. Alirkontrolo estas kritika komponanto de nia informa sekurecadministra sistemo, kaj ni efektivigas ĝin por certigi, ke nur rajtigitaj individuoj havu aliron al niaj informaj aktivoj.

11.2. Efektivigo de Alirkontrolo

Ni efektivigas alirkontrolajn mezurojn bazitajn sur la principo de malplej privilegio, kio signifas, ke individuoj havas aliron nur al la informaj aktivoj necesaj por plenumi siajn laborfunkciojn. Ni uzas diversajn alirkontrolajn mezurojn, inkluzive de aŭtentikigo, rajtigo kaj kontado (AAA). Ni ankaŭ uzas alirkontrollistojn (ACL) kaj permesojn por kontroli aliron al informaj aktivoj.

11.3. Pasvortpolitiko

La Eŭropa IT-Atestada Instituto havas Pasvortpolitikon kiu skizas la postulojn por krei kaj administri pasvortojn. Ni postulas fortajn pasvortojn, kiuj havas almenaŭ 8 signojn, kun kombinaĵo de majusklaj kaj minuskloj, ciferoj kaj specialaj signoj. Ni ankaŭ postulas periodajn pasvortajn ŝanĝojn kaj malpermesas la reuzon de antaŭaj pasvortoj.

11.4. Uzanto-Administrado

Ni havas procezon pri administrado de uzantoj, kiu inkluzivas krei, modifi kaj forigi uzantkontojn. Uzantkontoj estas kreitaj surbaze de la principo de malplej privilegio, kaj aliro estas koncedita nur al la informaj aktivoj necesaj por plenumi la laborfunkciojn de la individuo. Ni ankaŭ regule revizias uzantkontojn kaj forigas kontojn, kiuj ne plu bezonas.

Parto 12. Administrado de Okazaĵoj pri Informa Sekureco

12.1. Politiko pri Administrado de Okazaĵoj

La Eŭropa IT-Atestada Instituto havas Okazaĵan Administran Politikon kiu skizas la postulojn por detekti, raporti, taksi kaj respondi al sekurecaj okazaĵoj. Ni difinas sekurecajn incidentojn kiel ajnan eventon, kiu kompromitas la konfidencon, integrecon aŭ haveblecon de informaj aktivoj aŭ sistemoj.

12.2. Okazaĵo-Detekto kaj Raportado

Ni efektivigas mezurojn por detekti kaj raporti sekurecajn okazaĵojn rapide. Ni uzas diversajn metodojn por detekti sekurecajn incidentojn, inkluzive de entrudiĝaj detektaj sistemoj (IDS), antivirusa programaro kaj uzanta raportado. Ni ankaŭ certigas, ke ĉiuj dungitoj konscias pri la proceduroj por raporti sekurecajn okazaĵojn kaj instigas raporti pri ĉiuj suspektataj okazaĵoj.

12.3. Okazaĵtakso kaj Respondo

Ni havas procezon por taksi kaj respondi al sekurecaj okazaĵoj bazitaj sur ilia severeco kaj efiko. Ni prioritatas okazaĵojn surbaze de ilia ebla efiko al informaj aktivoj aŭ sistemoj kaj asignas taŭgajn rimedojn por respondi al ili. Ni ankaŭ havas respondplanon, kiu inkluzivas procedurojn por identigi, enhavi, analizi, ekstermi kaj resaniĝi de sekurecaj okazaĵoj, kaj ankaŭ sciigi koncernajn partiojn kaj fari post-okazajn recenzojn. Niaj okazaĵaj respondaj proceduroj estas dezajnitaj por certigi rapidan kaj efikan respondon. al sekurecaj okazaĵoj. La proceduroj estas regule reviziitaj kaj ĝisdatigitaj por certigi ilian efikecon kaj gravecon.

12.4. Okazaĵa Responda Teamo

Ni havas Incident Response Team (IRT) kiu respondecas pri respondado al sekurecaj okazaĵoj. La IRT estas kunmetita de reprezentantoj de diversaj unuoj kaj estas gvidita fare de la Information Security Officer (ISO). La IRT respondecas pri taksado de la severeco de okazaĵoj, enhavado de la okazaĵo, kaj iniciatado de la konvenaj respondproceduroj.

12.5. Raportado kaj Revizio de Okazaĵoj

Ni establis procedurojn por raporti sekurecajn okazaĵojn al koncernaj partioj, inkluzive de klientoj, reguligaj aŭtoritatoj kaj policaj agentejoj, kiel postulas aplikeblaj leĝoj kaj regularoj. Ni ankaŭ konservas komunikadon kun tuŝitaj partioj dum la okazaĵa respondprocezo, provizante ĝustatempajn ĝisdatigojn pri la statuso de la okazaĵo kaj ajnaj agoj estantaj faritaj por mildigi ĝian efikon. Ni ankaŭ faras revizion de ĉiuj sekurecaj okazaĵoj por identigi la fundamentan kaŭzon kaj malhelpi similajn okazaĵojn okazi en la estonteco.

Parto 13. Komerca Kontinueco-Administrado kaj Disaster Recovery

13.1. Komerca Kontinua Planado

Kvankam la Eŭropa IT Certification Institute estas neprofitcela organizo, ĝi havas Komercan Kontinuan Planon (BCP) kiu skizas la procedurojn por certigi la kontinuecon de ĝiaj operacioj en la okazaĵo de interrompa okazaĵo. La BCP kovras ĉiujn kritikajn operaciajn procezojn kaj identigas la rimedojn necesajn por konservi operaciojn dum kaj post interrompa okazaĵo. Ĝi ankaŭ skizas la procedurojn por konservi komercajn operaciojn dum interrompo aŭ katastrofo, taksante la efikon de interrompoj, identigante plej kritikajn operaciajn procezojn en la kunteksto de speciala interrompa okazaĵo, kaj evoluigante respondajn kaj normaligajn procedurojn.

13.2. Planado pri Katastrofa Reakiro

La Eŭropa IT-Atestada Instituto havas Disaster Recovery Plan (DRP) kiu skizas la procedurojn por reakiri niajn informsistemojn en kazo de interrompo aŭ katastrofo. La DRP inkluzivas procedurojn por sekurkopio de datumoj, restarigo de datumoj kaj reakiro de la sistemo. La DRP estas regule provita kaj ĝisdatigita por certigi ĝian efikecon.

13.3. Komerca Efika Analizo

Ni faras Komercan Efikan Analizon (BIA) por identigi la kritikajn operaciajn procezojn kaj la rimedojn necesajn por konservi ilin. La BIA helpas nin prioritati niajn reakigajn klopodojn kaj asigni rimedojn laŭe.

13.4. Komerca Kontinua Strategio

Surbaze de la rezultoj de la BIA, ni evoluigas Komercan Kontinuan Strategion kiu skizas la procedurojn por respondi al interrompa okazaĵo. La strategio inkluzivas procedurojn por aktivigi la BCP, restarigi kritikajn operaciajn procezojn, kaj komuniki kun signifaj koncernatoj.

13.5. Testado kaj Bontenado

Ni regule testas kaj konservas nian BCP kaj DRP por certigi ilian efikecon kaj gravecon. Ni faras regulajn testojn por validigi la BCP/DRP kaj identigi areojn por plibonigo. Ni ankaŭ ĝisdatigas la BCP kaj DRP kiel necese por reflekti ŝanĝojn en niaj operacioj aŭ la minaca pejzaĝo. Testado inkluzivas surtablaj ekzercoj, simulaĵoj kaj viva testado de proceduroj. Ni ankaŭ revizias kaj ĝisdatigas niajn planojn surbaze de la rezultoj de testado kaj lernitaj lecionoj.

13.6. Alternaj Pretigaj Ejoj

Ni konservas alternajn retajn prilaborajn retejojn, kiuj povas esti uzataj por daŭrigi komercajn operaciojn en okazo de interrompo aŭ katastrofo. La alternaj pretigejoj estas ekipitaj per la necesaj infrastrukturoj kaj sistemoj, kaj povas esti uzataj por subteni kritikajn komercajn procezojn.

Parto 14. Konformo kaj Revizio

14.1. Konformo al Leĝoj kaj Regularoj

La Eŭropa IT-Atestada Instituto kompromitas plenumi ĉiujn aplikeblajn leĝojn kaj regularojn rilate al informa sekureco kaj privateco, inkluzive de datumoj pri protekto de datumoj, industriaj normoj kaj kontraktaj devoj. Ni regule revizias kaj ĝisdatigas niajn politikojn, procedurojn kaj kontrolojn por certigi konformecon al ĉiuj koncernaj postuloj kaj normoj. La ĉefaj normoj kaj kadroj, kiujn ni sekvas en la informsekureca kunteksto, inkluzivas:

  1. La ISO/IEC 27001 normo disponiganta gvidliniojn por la efektivigo kaj administrado de Informa Sekurec-Administrada Sistemo (ISMS) kiu inkludas vundeblecon administradon kiel ŝlosilan komponenton. Ĝi provizas referencan kadron por efektivigi kaj konservi nian informan sekurecadministran sistemon (ISMS) inkluzive de vundebleco-administrado. Konforme al ĉi tiuj normaj dispozicioj ni identigas, taksas kaj administras riskojn pri informa sekureco, inkluzive de vundeblecoj.
  2. La Usona Nacia Instituto pri Normoj kaj Teknologio (NIST) Kadro pri Cibersekureco disponigas gvidliniojn por identigi, taksi kaj administri riskojn pri cibersekureco, inkluzive de vundebleco-administrado.
  3. La National Institute of Standards and Technology (NIST) Cybersecurity Framework por plibonigo de cibersekureca riskadministrado, kun kerna aro de funkcioj inkluzive de vundebleco-administrado, al kiu ni aliĝas por administri niajn cibersekurecajn riskojn.
  4. La SANS Kritikaj Sekureckontroloj enhavantaj aron de 20 sekureckontroloj por plibonigi cibersekurecon, kovrante gamon da areoj, inkluzive de vundebleco-administrado, disponigante specifan gvidadon pri vundebleco-skanado, flikadministrado kaj aliaj aspektoj de vundebleco-administrado.
  5. La Paga Karto-Industria Datuma Sekureco-Normo (PCI DSS), postulanta pritraktadon de kreditkartaj informoj rilate al vundebleco-administrado en ĉi tiu kunteksto.
  6. La Centro por Interreta Sekureca Kontrolo (CIS) inkluzive de vundebleco-administrado kiel unu el la ŝlosilaj kontroloj por certigi sekurajn agordojn de niaj informsistemoj.
  7. La Open Web Application Security Project (OWASP), kun ĝia Top 10 listo de la plej kritikaj retejaj sekurecaj riskoj, inkluzive de taksado de vundeblecoj kiel ekzemple injektaj atakoj, rompita aŭtentigo kaj administrado de sesio, trans-eja skripto (XSS), ktp. Ni uzas la OWASP Top 10 por prioritati niajn vundeblecojn administradklopodojn kaj koncentri sur la plej kritikaj riskoj koncerne niajn retsistemojn.

14.2. Interna Revizio

Ni faras regulajn internajn reviziojn por taksi la efikecon de nia Informa Sekureca Administra Sistemo (ISMS) kaj certigi, ke niaj politikoj, proceduroj kaj kontroloj estas sekvataj. La interna revizioprocezo inkludas la identigon de nekonformoj, la evoluon de korektaj agoj, kaj la spuradon de solvadaj klopodoj.

14.3. Ekstera Revizio

Ni periode kunlaboras kun eksteraj revizoroj por validigi nian konformecon al aplikeblaj leĝoj, regularoj kaj industriaj normoj. Ni provizas revizorojn per aliro al niaj instalaĵoj, sistemoj kaj dokumentaro laŭbezone por validigi nian konformecon. Ni ankaŭ laboras kun eksteraj revizoroj por trakti iujn ajn trovojn aŭ rekomendojn identigitajn dum la revizia procezo.

14.4. Monitorado de Konformeco

Ni kontrolas nian konformecon al aplikeblaj leĝoj, regularoj kaj industriaj normoj daŭrante. Ni uzas diversajn metodojn por kontroli konformecon, inkluzive de periodaj taksoj, revizioj kaj recenzoj de triaj provizantoj. Ni ankaŭ regule revizias kaj ĝisdatigas niajn politikojn, procedurojn kaj kontrolojn por certigi daŭran plenumon de ĉiuj koncernaj postuloj.

Parto 15. Tria Partia Administrado

15.1. Politiko pri Triaj Partioj

La Eŭropa IT-Atestada Instituto havas Triajn Partiajn Administran Politikon, kiu skizas la postulojn por elekti, taksi kaj monitori triapartajn provizantojn, kiuj havas aliron al niaj informaj aktivoj aŭ sistemoj. La politiko validas por ĉiuj triaj provizantoj, inkluzive de nubaj servaj provizantoj, vendistoj kaj entreprenistoj.

15.2. Triaparta Elekto kaj Takso

Ni faras devitan diligenton antaŭ ol intertraktiĝi kun triaj provizantoj por certigi, ke ili havas taŭgajn sekurecajn kontrolojn por protekti niajn informajn aktivaĵojn aŭ sistemojn. Ni ankaŭ taksas la konformecon de la triaj provizantoj kun aplikeblaj leĝoj kaj regularoj rilate al informa sekureco kaj privateco.

15.3. Tria Partia Monitorado

Ni monitoras triapartajn provizantojn daŭrante por certigi, ke ili daŭre plenumas niajn postulojn por informa sekureco kaj privateco. Ni uzas diversajn metodojn por monitori triajn provizantojn, inkluzive de periodaj taksoj, revizioj kaj recenzoj de sekurecaj okazaĵraportoj.

15.4. Kontraktaj Postuloj

Ni inkluzivas kontraktajn postulojn rilatajn al informa sekureco kaj privateco en ĉiuj kontraktoj kun triaj provizantoj. Ĉi tiuj postuloj inkluzivas provizojn por datumprotektado, sekurecaj kontroloj, okazaĵa administrado kaj plenuma monitorado. Ni ankaŭ inkluzivas provizojn por ĉesigo de kontraktoj en okazo de sekureca incidento aŭ nerespekto.

Parto 16. Informa Sekureco en Atestado-Procezoj

16.1 Sekureco de Atestado-Procezoj

Ni prenas taŭgajn kaj sistemajn mezurojn por certigi la sekurecon de ĉiuj informoj rilataj al niaj atestadaj procezoj, inkluzive de personaj datumoj de individuoj serĉantaj atestadon. Ĉi tio inkluzivas kontrolojn por aliro, stokado kaj transdono de ĉiuj atestaj rilataj informoj. Efektivigante ĉi tiujn mezurojn, ni celas certigi, ke la atestadaj procezoj estas faritaj kun la plej alta nivelo de sekureco kaj integreco, kaj ke la personaj datumoj de individuoj serĉantaj atestadon estas protektitaj konforme al koncernaj regularoj kaj normoj.

16.2. Aŭtentikigo kaj Rajtigo

Ni uzas aŭtentigajn kaj rajtigajn kontrolojn por certigi, ke nur rajtigitaj dungitoj havu aliron al atestadaj informoj. Alirkontroloj estas regule reviziitaj kaj ĝisdatigitaj surbaze de ŝanĝoj en personaj roloj kaj respondecoj.

16.3 Protekto de Datumoj

Ni protektas personajn datumojn dum la atestprocezo efektivigante taŭgajn teknikajn kaj organizajn mezurojn por certigi konfidencecon, integrecon kaj haveblecon de la datumoj. Ĉi tio inkluzivas mezurojn kiel ĉifrado, alirkontroloj kaj regulaj sekurkopioj.

16.4. Sekureco de Ekzamenaj Procezoj

Ni certigas la sekurecon de la ekzamenprocezoj efektivigante taŭgajn mezurojn por malhelpi trompadon, monitoradon kaj kontrolon de la ekzamena medio. Ni ankaŭ konservas la integrecon kaj konfidencon de ekzamenaj materialoj per sekuraj stokadproceduroj.

16.5. Sekureco de Ekzamena Enhavo

Ni certigas la sekurecon de ekzamena enhavo efektivigante taŭgajn mezurojn por protekti kontraŭ neaŭtorizita aliro, ŝanĝo aŭ malkaŝo de la enhavo. Ĉi tio inkluzivas la uzon de sekura stokado, ĉifrado kaj alirkontroloj por ekzamenenhavo, same kiel kontroloj por malhelpi neaŭtorizitan distribuadon aŭ disvastigon de ekzamenenhavo.

16.6. Sekureco de Ekzamena Livero

Ni certigas la sekurecon de ekzamena livero efektivigante taŭgajn mezurojn por malhelpi neaŭtorizitan aliron al, aŭ manipulado de, la ekzamena medio. Ĉi tio inkluzivas mezurojn kiel monitorado, revizio kaj kontrolo de la ekzamena medio kaj apartaj ekzamenaj aliroj, por malhelpi trompadon aŭ aliajn sekurecrompojn.

16.7. Sekureco de Ekzamenaj Rezultoj

Ni certigas la sekurecon de ekzamenrezultoj efektivigante taŭgajn mezurojn por protekti kontraŭ neaŭtorizita aliro, ŝanĝo aŭ malkaŝo de la rezultoj. Ĉi tio inkluzivas la uzon de sekura stokado, ĉifrado kaj alirkontroloj por ekzamenrezultoj, same kiel kontroloj por malhelpi neaŭtorizitan distribuon aŭ disvastigon de ekzamenrezultoj.

16.8. Sekureco de Atestiloj Emisio

Ni certigas la sekurecon de atestiloj efektivigante taŭgajn mezurojn por malhelpi fraŭdon kaj neaŭtorizitan emision de atestiloj. Ĉi tio inkluzivas kontrolojn por kontroli la identecon de individuoj ricevantaj atestilojn kaj sekurajn konservadon kaj emision.

16.9. Plendoj kaj Apelacioj

Ni establis procedurojn por administri plendojn kaj pledojn rilatajn al la atesta procezo. Ĉi tiuj proceduroj inkluzivas mezurojn por certigi konfidencon kaj nepartiecon de la procezo, kaj la sekurecon de informoj rilataj al la plendoj kaj pledoj.

16.10. Atestadaj Procezoj Kvalita Administrado

Ni establis Kvalitan Administran Sistemon (QMS) por la atestadaj procezoj, kiu inkluzivas mezurojn por certigi la efikecon, efikecon kaj sekurecon de la procezoj. La QMS inkluzivas regulajn reviziojn kaj recenzojn de la procezoj kaj iliaj sekurecaj kontroloj.

16.11. Daŭra Pliboniĝo de Atestadaj Procezoj Sekureco

Ni kompromitas al kontinua plibonigo de niaj atestadaj procezoj kaj iliaj sekurecaj kontroloj. Ĉi tio inkluzivas regulajn recenzojn kaj ĝisdatigojn de atestadaj politikoj kaj proceduroj sekureco bazitaj sur ŝanĝoj en la komerca medio, reguligaj postuloj kaj plej bonaj praktikoj en administrado pri informa sekureco, konforme al la normo ISO 27001 por administrado pri informa sekureco, kaj ankaŭ al ISO. 17024 atestaj korpoj funkcianta normo.

Parto 17. Fermaj Dispozicioj

17.1. Politika Revizio kaj Ĝisdatigo

Ĉi tiu Politiko pri Informa Sekureco estas vivanta dokumento, kiu spertas daŭrajn recenzojn kaj ĝisdatigojn bazitajn sur ŝanĝoj en niaj funkciaj postuloj, reguligaj postuloj aŭ plej bonaj praktikoj en administrado pri informa sekureco.

17.2. Monitorado de Konformeco

Ni establis procedurojn por kontroli la plenumon de ĉi tiu Politiko pri Informo pri Sekureco kaj rilatajn sekurecajn kontrolojn. Monitorado de Konformeco inkluzivas regulajn reviziojn, taksojn kaj recenzojn de sekurecaj kontroloj, kaj ilian efikecon por atingi la celojn de ĉi tiu politiko.

17.3. Raportado de Sekurecaj Okazaĵoj

Ni establis procedurojn por raporti sekurecajn okazaĵojn rilatajn al niaj informsistemoj, inkluzive de tiuj rilataj al personaj datumoj de individuoj. Dungitoj, entreprenistoj kaj aliaj koncernatoj estas kuraĝigitaj raporti ajnajn sekurecajn okazaĵojn aŭ ŝajnajn okazaĵojn al la elektita sekureca teamo kiel eble plej baldaŭ.

17.4. Trejnado kaj Konscio

Ni provizas regulajn programojn pri trejnado kaj konscio al dungitoj, entreprenistoj kaj aliaj koncernatoj por certigi, ke ili konscias pri siaj respondecoj kaj devoj rilate al informa sekureco. Ĉi tio inkluzivas trejnadon pri sekurecaj politikoj kaj proceduroj, kaj mezuroj por protekti personajn datumojn de individuoj.

17.5. Respondeco kaj Respondigebleco

Ni tenas ĉiujn dungitojn, entreprenistojn kaj aliajn koncernatojn respondecaj kaj respondecaj pri plenumado de ĉi tiu Politiko pri Informo pri Sekureco kaj rilataj sekurecaj kontroloj. Ni ankaŭ respondecas pri administrado pri certigado, ke taŭgaj rimedoj estas asignitaj por efektivigi kaj konservi efikajn informsekurecajn kontrolojn.

Ĉi tiu Politiko pri Informa Sekureco estas kritika komponanto de la kadro pri administrado pri informa sekureco de la Euroepan IT Certification Institute kaj pruvas nian sindevontigon protekti informajn aktivojn kaj prilaboritajn datumojn, certigante la konfidencon, privatecon, integrecon kaj haveblecon de informoj kaj plenumante reguligajn kaj kontraktajn postulojn.