Zásady bezpečnosti informací
Zásady informační bezpečnosti Akademie EITCA
Tento dokument specifikuje politiku informační bezpečnosti (ISP) Evropského institutu pro certifikaci IT, která je pravidelně revidována a aktualizována, aby byla zajištěna její účinnost a relevantnost. Poslední aktualizace zásad bezpečnosti informací EITCI byla provedena 7. ledna 2023.
Část 1. Úvod a prohlášení o politice informační bezpečnosti
1.1. Úvod
Evropský institut pro certifikaci IT uznává důležitost bezpečnosti informací pro zachování důvěrnosti, integrity a dostupnosti informací a důvěry našich zúčastněných stran. Zavázali jsme se chránit citlivé informace, včetně osobních údajů, před neoprávněným přístupem, zveřejněním, pozměněním a zničením. Udržujeme účinnou politiku zabezpečení informací, abychom podpořili naše poslání poskytovat našim klientům spolehlivé a nestranné certifikační služby. Zásady bezpečnosti informací nastiňují náš závazek chránit informační aktiva a plnit naše právní, regulační a smluvní závazky. Naše politika je založena na principech ISO 27001 a ISO 17024, předních mezinárodních standardů pro řízení bezpečnosti informací a provozních standardů certifikačních orgánů.
1.2. Prohlášení o politice
Evropský institut pro certifikaci IT se zavázal:
- Ochrana důvěrnosti, integrity a dostupnosti informačních aktiv,
- dodržování zákonných, regulačních a smluvních závazků souvisejících s bezpečností informací a zpracováním dat implementujících její certifikační procesy a operace,
- neustále zlepšovat svou politiku zabezpečení informací a související systém řízení,
- Poskytování přiměřeného školení a informovanosti zaměstnanců, dodavatelů a účastníků,
- Zapojení všech zaměstnanců a dodavatelů do implementace a údržby politiky bezpečnosti informací a souvisejícího systému řízení bezpečnosti informací.
1.3. Rozsah
Tyto zásady se vztahují na všechna informační aktiva, která vlastní, kontroluje nebo zpracovává Evropský institut pro certifikaci IT. To zahrnuje všechna digitální a fyzická informační aktiva, jako jsou systémy, sítě, software, data a dokumentace. Tato politika se vztahuje také na všechny zaměstnance, dodavatele a poskytovatele služeb třetích stran, kteří mají přístup k našim informačním aktivům.
1.4. Dodržování
Evropský institut pro certifikaci IT se zavázal dodržovat příslušné normy bezpečnosti informací, včetně ISO 27001 a ISO 17024. Tyto zásady pravidelně přezkoumáváme a aktualizujeme, abychom zajistili jejich trvalou relevanci a shodu s těmito normami.
Část 2. Organizační zabezpečení
2.1. Bezpečnostní cíle organizace
Zavedením organizačních bezpečnostních opatření se snažíme zajistit, aby naše informační aktiva a postupy a postupy zpracování dat byly prováděny s nejvyšší úrovní bezpečnosti a integrity a abychom dodržovali příslušné právní předpisy a normy.
2.2. Role a odpovědnosti v oblasti informační bezpečnosti
Evropský institut pro certifikaci IT definuje a komunikuje role a odpovědnosti za bezpečnost informací v celé organizaci. To zahrnuje přiřazení jasného vlastnictví pro informační aktiva v souvislosti s informační bezpečností, vytvoření struktury řízení a definování konkrétní odpovědnosti pro různé role a oddělení v celé organizaci.
2.3. Řízení rizik
Provádíme pravidelná hodnocení rizik, abychom identifikovali a upřednostnili rizika informační bezpečnosti pro organizaci, včetně rizik souvisejících se zpracováním osobních údajů. Zavádíme vhodné kontroly ke zmírnění těchto rizik a pravidelně přezkoumáváme a aktualizujeme náš přístup k řízení rizik na základě změn v podnikatelském prostředí a prostředí hrozeb.
2.4. Zásady a postupy bezpečnosti informací
Vytváříme a udržujeme soubor zásad a postupů pro bezpečnost informací, které jsou založeny na osvědčených postupech v oboru a jsou v souladu s příslušnými předpisy a standardy. Tyto zásady a postupy pokrývají všechny aspekty zabezpečení informací, včetně zpracování osobních údajů, a jsou pravidelně revidovány a aktualizovány, aby byla zajištěna jejich účinnost.
2.5. Povědomí o bezpečnosti a školení
Všem zaměstnancům, smluvním partnerům a partnerům z řad třetích stran, kteří mají přístup k osobním údajům nebo jiným citlivým informacím, poskytujeme pravidelné programy zaměřené na zvyšování bezpečnosti a školení. Toto školení pokrývá témata, jako je phishing, sociální inženýrství, hygiena hesel a další osvědčené postupy zabezpečení informací.
2.6. Fyzická a environmentální bezpečnost
Zavádíme vhodné fyzické a environmentální bezpečnostní kontroly na ochranu před neoprávněným přístupem, poškozením nebo zásahem do našich zařízení a informačních systémů. To zahrnuje opatření, jako jsou kontroly přístupu, dohled, monitorování a záložní systémy napájení a chlazení.
2.7. Správa incidentů zabezpečení informací
Zavedli jsme proces řízení incidentů, který nám umožňuje rychle a efektivně reagovat na jakékoli incidenty zabezpečení informací, které mohou nastat. To zahrnuje postupy pro hlášení, eskalaci, vyšetřování a řešení incidentů, stejně jako opatření pro prevenci opakování a zlepšení našich schopností reagovat na incidenty.
2.8. Provozní kontinuita a obnova po havárii
Vytvořili jsme a otestovali plány provozní kontinuity a obnovy po havárii, které nám umožňují zachovat naše kritické provozní funkce a služby v případě narušení nebo katastrofy. Tyto plány zahrnují postupy pro zálohování a obnovu dat a systémů a opatření pro zajištění dostupnosti a integrity osobních údajů.
2.9. Správa třetí strany
Zavádíme a udržujeme vhodné kontroly pro řízení rizik spojených s partnery třetích stran, kteří mají přístup k osobním údajům nebo jiným citlivým informacím. To zahrnuje opatření, jako je due diligence, smluvní závazky, monitorování a audity, stejně jako opatření pro ukončení partnerství v případě potřeby.
Část 3. Bezpečnost lidských zdrojů
3.1. Zaměstnanostní screening
Evropský institut pro certifikaci IT zavedl proces prověřování zaměstnání, aby zajistil, že jednotlivci s přístupem k citlivým informacím jsou důvěryhodní a mají potřebné dovednosti a kvalifikaci.
3.2. Kontrola přístupu
Zavedli jsme zásady a postupy řízení přístupu, abychom zajistili, že zaměstnanci budou mít přístup pouze k informacím nezbytným pro plnění jejich pracovních povinností. Přístupová práva jsou pravidelně revidována a aktualizována, aby bylo zajištěno, že zaměstnanci budou mít přístup pouze k těm informacím, které potřebují.
3.3. Povědomí o bezpečnosti informací a školení
Všem zaměstnancům pravidelně poskytujeme školení o povědomí o informační bezpečnosti. Toto školení pokrývá témata, jako je zabezpečení hesel, phishingové útoky, sociální inženýrství a další aspekty kybernetické bezpečnosti.
3.4. Přijatelné použití
Zavedli jsme zásady přijatelného používání, které nastiňují přijatelné používání informačních systémů a zdrojů, včetně osobních zařízení používaných pro pracovní účely.
3.5. Zabezpečení mobilních zařízení
Zavedli jsme zásady a postupy pro bezpečné používání mobilních zařízení, včetně použití přístupových kódů, šifrování a možností vzdáleného vymazání.
3.6. Ukončovací procedury
Evropský institut pro certifikaci IT zavedl postupy pro ukončení pracovního poměru nebo smlouvy, aby zajistil, že přístup k citlivým informacím bude rychle a bezpečně zrušen.
3.7. Personál třetí strany
Zavedli jsme postupy pro řízení pracovníků třetích stran, kteří mají přístup k citlivým informacím. Tyto zásady zahrnují prověřování, řízení přístupu a školení povědomí o bezpečnosti informací.
3.8. Hlášení incidentů
Zavedli jsme zásady a postupy pro hlášení incidentů nebo obav souvisejících s bezpečností informací příslušným pracovníkům nebo úřadům.
3.9. Dohody o mlčenlivosti
Evropský institut pro certifikaci IT vyžaduje, aby zaměstnanci a dodavatelé podepsali dohody o mlčenlivosti, aby byly citlivé informace chráněny před neoprávněným zveřejněním.
3.10. Disciplinární opatření
Evropský institut pro certifikaci IT zavedl zásady a postupy pro disciplinární řízení v případě porušení zásad bezpečnosti informací zaměstnanci nebo dodavateli.
Část 4. Hodnocení a řízení rizik
4.1. Posouzení rizik
Provádíme pravidelné hodnocení rizik, abychom identifikovali potenciální hrozby a zranitelnosti našich informačních aktiv. Používáme strukturovaný přístup k identifikaci, analýze, hodnocení a prioritizaci rizik na základě jejich pravděpodobnosti a potenciálního dopadu. Posuzujeme rizika spojená s našimi informačními aktivy, včetně systémů, sítí, softwaru, dat a dokumentace.
4.2. Léčba rizik
Ke zmírnění nebo snížení rizik na přijatelnou úroveň používáme proces zpracování rizik. Proces zpracování rizik zahrnuje výběr vhodných kontrol, implementaci kontrol a sledování účinnosti kontrol. Upřednostňujeme implementaci kontrol na základě úrovně rizika, dostupných zdrojů a obchodních priorit.
4.3. Sledování a kontrola rizik
Pravidelně monitorujeme a přezkoumáváme efektivitu našeho procesu řízení rizik, abychom zajistili, že zůstane relevantní a efektivní. K měření výkonnosti našeho procesu řízení rizik a identifikaci příležitostí ke zlepšení používáme metriky a ukazatele. Také přezkoumáváme náš proces řízení rizik jako součást našich pravidelných kontrol managementu, abychom zajistili jeho průběžnou vhodnost, přiměřenost a efektivitu.
4.4. Plánování reakce na rizika
Máme připravený plán reakce na rizika, abychom zajistili, že budeme schopni účinně reagovat na všechna identifikovaná rizika. Tento plán zahrnuje postupy pro identifikaci a vykazování rizik, stejně jako procesy pro posouzení potenciálního dopadu každého rizika a stanovení vhodných reakcí. Máme také připraveny pohotovostní plány, abychom zajistili kontinuitu podnikání v případě významné rizikové události.
4.5. Analýza provozních dopadů
Provádíme pravidelné analýzy obchodního dopadu, abychom identifikovali potenciální dopad narušení našich obchodních operací. Tato analýza zahrnuje posouzení kritičnosti našich obchodních funkcí, systémů a dat a také vyhodnocení potenciálního dopadu narušení na naše zákazníky, zaměstnance a další zúčastněné strany.
4.6. Řízení rizik třetích stran
Máme zaveden program řízení rizik třetích stran, abychom zajistili, že naši prodejci a další poskytovatelé služeb třetích stran také řídí rizika odpovídajícím způsobem. Tento program zahrnuje kontroly due diligence před navázáním kontaktu se třetími stranami, průběžné monitorování aktivit třetích stran a pravidelné hodnocení postupů řízení rizik třetích stran.
4.7. Reakce na incidenty a řízení
Máme zavedený plán reakce na incidenty a plán řízení, abychom zajistili, že budeme schopni efektivně reagovat na jakékoli bezpečnostní incidenty. Tento plán zahrnuje postupy pro identifikaci a hlášení incidentů, stejně jako procesy pro posouzení dopadu každého incidentu a stanovení vhodných akcí reakce. Máme také zaveden plán kontinuity provozu, abychom zajistili, že kritické obchodní funkce mohou pokračovat v případě významného incidentu.
Část 5. Fyzická a environmentální bezpečnost
5.1. Fyzický bezpečnostní perimetr
Zavedli jsme opatření fyzické bezpečnosti, abychom ochránili fyzické prostory a citlivé informace před neoprávněným přístupem.
5.2. Kontrola přístupu
Zavedli jsme zásady a postupy řízení přístupu do fyzických prostor, abychom zajistili, že k citlivým informacím budou mít přístup pouze oprávnění pracovníci.
5.3. Zabezpečení zařízení
Zajišťujeme, aby všechna zařízení obsahující citlivé informace byla fyzicky zabezpečena a přístup k tomuto zařízení je omezen pouze na oprávněné osoby.
5.4. Bezpečná likvidace
Zavedli jsme postupy pro bezpečnou likvidaci citlivých informací, včetně papírových dokumentů, elektronických médií a hardwaru.
5.5. Fyzikální prostředí
Zajišťujeme, aby fyzické prostředí prostor, včetně teploty, vlhkosti a osvětlení, bylo vhodné pro ochranu citlivých informací.
5.6. Zdroj napájení
Zajišťujeme, aby dodávka elektřiny do areálu byla spolehlivá a chráněná proti výpadkům nebo přepětí.
5.7. Požární ochrana
Zavedli jsme zásady a postupy požární ochrany, včetně instalace a údržby systémů detekce a potlačení požáru.
5.8. Ochrana před poškozením vodou
Zavedli jsme zásady a postupy pro ochranu citlivých informací před škodami způsobenými vodou, včetně instalace a údržby systémů detekce a prevence povodní.
5.9. Údržba zařízení
Zavedli jsme postupy pro údržbu zařízení, včetně kontroly zařízení, zda nevykazuje známky manipulace nebo neoprávněného přístupu.
5.10. Přijatelné použití
Zavedli jsme zásady přijatelného použití, které nastiňují přijatelné využití fyzických zdrojů a zařízení.
5.11. Vzdálený přístup
Zavedli jsme zásady a postupy pro vzdálený přístup k citlivým informacím, včetně použití zabezpečených připojení a šifrování.
5.12. Monitorování a dohled
Zavedli jsme zásady a postupy pro monitorování a dohled nad fyzickými prostory a vybavením, abychom odhalili a zabránili neoprávněnému přístupu nebo manipulaci.
Část. 6. Bezpečnost komunikace a provozu
6.1. Správa zabezpečení sítě
Zavedli jsme zásady a postupy pro správu zabezpečení sítě, včetně používání firewallů, systémů detekce a prevence narušení a pravidelných bezpečnostních auditů.
6.2. Přenos informací
Zavedli jsme zásady a postupy pro bezpečný přenos citlivých informací, včetně použití šifrování a protokolů pro bezpečný přenos souborů.
6.3. Komunikace třetích stran
Zavedli jsme zásady a postupy pro bezpečnou výměnu citlivých informací s organizacemi třetích stran, včetně používání zabezpečených připojení a šifrování.
6.4. Manipulace s médii
Zavedli jsme postupy pro nakládání s citlivými informacemi v různých formách médií, včetně papírových dokumentů, elektronických médií a přenosných paměťových zařízení.
6.5. Vývoj a údržba informačních systémů
Zavedli jsme zásady a postupy pro vývoj a údržbu informačních systémů, včetně používání postupů bezpečného kódování, pravidelných aktualizací softwaru a správy oprav.
6.6. Ochrana proti malwaru a virům
Zavedli jsme zásady a postupy pro ochranu informačních systémů před malwarem a viry, včetně používání antivirového softwaru a pravidelných aktualizací zabezpečení.
6.7. Zálohování a obnova
Zavedli jsme zásady a postupy pro zálohování a obnovu citlivých informací, abychom zabránili ztrátě nebo poškození dat.
6.8. Správa událostí
Zavedli jsme zásady a postupy pro identifikaci, vyšetřování a řešení bezpečnostních incidentů a událostí.
6.9. Správa zranitelnosti
Zavedli jsme zásady a postupy pro správu zranitelností informačních systémů, včetně používání pravidelného hodnocení zranitelnosti a správy oprav.
6.10. Kontrola přístupu
Zavedli jsme zásady a postupy pro řízení přístupu uživatelů k informačním systémům, včetně používání řízení přístupu, ověřování uživatelů a pravidelných kontrol přístupu.
6.11. Monitorování a protokolování
Zavedli jsme zásady a postupy pro monitorování a protokolování činností informačního systému, včetně používání auditních stop a protokolování bezpečnostních incidentů.
Část 7. Pořízení, vývoj a údržba informačních systémů
7.1. Požadavky
Zavedli jsme zásady a postupy pro identifikaci požadavků na informační systém, včetně obchodních požadavků, právních a regulačních požadavků a požadavků na bezpečnost.
7.2. Dodavatelské vztahy
Zavedli jsme zásady a postupy pro řízení vztahů s externími dodavateli informačních systémů a služeb, včetně vyhodnocování bezpečnostních postupů dodavatelů.
7.3. Vývoj systému
Zavedli jsme zásady a postupy pro bezpečný vývoj informačních systémů, včetně používání postupů bezpečného kódování, pravidelného testování a zajišťování kvality.
7.4. Testování systému
Zavedli jsme zásady a postupy pro testování informačních systémů, včetně testování funkčnosti, testování výkonu a testování bezpečnosti.
7.5. Přijetí systému
Zavedli jsme zásady a postupy pro akceptaci informačních systémů, včetně schvalování výsledků testování, hodnocení bezpečnosti a testování akceptace uživateli.
7.6. Údržba systému
Zavedli jsme zásady a postupy pro údržbu informačních systémů, včetně pravidelných aktualizací, bezpečnostních záplat a záloh systému.
7.7. Systémový odchod do důchodu
Zavedli jsme zásady a postupy pro vyřazení informačních systémů, včetně bezpečné likvidace hardwaru a dat.
7.8. Uchovávání údajů
Zavedli jsme zásady a postupy pro uchovávání údajů v souladu s právními a regulačními požadavky, včetně bezpečného ukládání a likvidace citlivých údajů.
7.9. Bezpečnostní požadavky na informační systémy
Zavedli jsme zásady a postupy pro identifikaci a implementaci bezpečnostních požadavků na informační systémy, včetně řízení přístupu, šifrování a ochrany dat.
7.10. Bezpečná vývojová prostředí
Zavedli jsme zásady a postupy pro zabezpečená vývojová prostředí pro informační systémy, včetně používání postupů bezpečného vývoje, řízení přístupu a konfigurací zabezpečené sítě.
7.11. Ochrana testovacího prostředí
Zavedli jsme zásady a postupy pro ochranu testovacích prostředí pro informační systémy, včetně používání bezpečných konfigurací, řízení přístupu a pravidelného testování zabezpečení.
7.12. Principy bezpečného systémového inženýrství
Zavedli jsme zásady a postupy pro implementaci principů bezpečného systémového inženýrství pro informační systémy, včetně použití bezpečnostních architektur, modelování hrozeb a praktik bezpečného kódování.
7.13. Pokyny pro bezpečné kódování
Zavedli jsme zásady a postupy pro implementaci pokynů pro bezpečné kódování pro informační systémy, včetně používání standardů kódování, kontroly kódu a automatizovaného testování.
Část 8. Pořízení hardwaru
8.1. Dodržování standardů
Dodržujeme normu ISO 27001 pro systém řízení bezpečnosti informací (ISMS), abychom zajistili, že hardwarová aktiva jsou pořizována v souladu s našimi požadavky na bezpečnost.
8.2. Posouzení rizik
Před pořízením hardwarových aktiv provádíme hodnocení rizik, abychom identifikovali potenciální bezpečnostní rizika a zajistili, že vybraný hardware splňuje bezpečnostní požadavky.
8.3. Výběr prodejců
Hardwarové prostředky pořizujeme pouze od důvěryhodných prodejců, kteří mají prokazatelné zkušenosti s poskytováním bezpečných produktů. Kontrolujeme bezpečnostní zásady a postupy dodavatele a požadujeme, aby poskytli záruku, že jejich produkty splňují naše bezpečnostní požadavky.
8.4. Bezpečná doprava
Zajišťujeme, aby byl hardwarový majetek bezpečně přepravován do našich prostor, aby se zabránilo manipulaci, poškození nebo krádeži během přepravy.
8.5. Ověření pravosti
Ověřujeme pravost hardwarových aktiv při dodání, abychom se ujistili, že nejsou padělané nebo s nimi manipulováno.
8.6. Fyzikální a environmentální kontroly
Implementujeme vhodné fyzické a environmentální kontroly k ochraně hardwarových aktiv před neoprávněným přístupem, krádeží nebo poškozením.
8.7. Instalace hardwaru
Zajišťujeme, aby všechna hardwarová aktiva byla nakonfigurována a nainstalována v souladu se zavedenými bezpečnostními standardy a pokyny.
8.8. Recenze hardwaru
Provádíme pravidelné kontroly hardwarových aktiv, abychom zajistili, že i nadále splňují naše bezpečnostní požadavky a jsou aktuální s nejnovějšími bezpečnostními záplatami a aktualizacemi.
8.9. Likvidace hardwaru
Hardwarová aktiva likvidujeme bezpečným způsobem, abychom zabránili neoprávněnému přístupu k citlivým informacím.
Část 9. Ochrana před malwarem a viry
9.1. Zásady aktualizace softwaru
Na všech informačních systémech používaných Evropským institutem pro certifikaci IT, včetně serverů, pracovních stanic, notebooků a mobilních zařízení, udržujeme aktuální software na ochranu před viry a malwarem. Zajišťujeme, aby byl software na ochranu před viry a malwarem nakonfigurován tak, aby pravidelně automaticky aktualizoval své soubory s definicemi virů a verze softwaru, a aby byl tento proces pravidelně testován.
9.2. Antivirové a malwarové skenování
Provádíme pravidelné kontroly všech informačních systémů, včetně serverů, pracovních stanic, notebooků a mobilních zařízení, abychom detekovali a odstranili případné viry nebo malware.
9.3. Zásady zákazu deaktivace a změny
Prosazujeme zásady, které uživatelům zakazují deaktivovat nebo upravovat antivirový a malwarový ochranný software v jakémkoli informačním systému.
9.4. Monitorování
Monitorujeme výstrahy a protokoly našeho softwaru na ochranu před viry a malwarem, abychom identifikovali jakékoli incidenty virové nebo malwarové infekce a včas na takové incidenty reagovali.
9.5. Vedení záznamů
Pro účely auditu uchováváme záznamy o konfiguraci, aktualizacích a prověřování softwaru ochrany před viry a malwarem a také o všech incidentech virových nebo malwarových infekcí.
9.6. Softwarové recenze
Provádíme pravidelné kontroly našeho softwaru na ochranu proti virům a malwaru, abychom se ujistili, že splňuje aktuální průmyslové standardy a je přiměřený našim potřebám.
9.7. Školení a povědomí
Poskytujeme školicí a osvětové programy, abychom všechny zaměstnance poučili o důležitosti ochrany před viry a malwarem ao tom, jak rozpoznat a nahlásit jakékoli podezřelé aktivity nebo incidenty.
Část 10. Správa informačních aktiv
10.1. Inventář informačního majetku
Evropský institut pro certifikaci IT vede inventář informačních aktiv, který zahrnuje všechna digitální a fyzická informační aktiva, jako jsou systémy, sítě, software, data a dokumentace. Informační aktiva klasifikujeme na základě jejich kritičnosti a citlivosti, abychom zajistili implementaci vhodných ochranných opatření.
10.2. Manipulace s informačním majetkem
Zavádíme vhodná opatření k ochraně informačních aktiv na základě jejich klasifikace, včetně důvěrnosti, integrity a dostupnosti. Zajišťujeme, aby se se všemi informačními aktivy nakládalo v souladu s platnými zákony, předpisy a smluvními požadavky. Zajišťujeme také, aby veškerá informační aktiva byla řádně uložena, chráněna a likvidována, když již nejsou potřeba.
10.3. Vlastnictví informačních aktiv
Vlastnictví informačních aktiv přidělujeme jednotlivcům nebo oddělením odpovědným za správu a ochranu informačních aktiv. Zajišťujeme také, aby vlastníci informačních aktiv rozuměli své odpovědnosti a odpovědnosti za ochranu informačních aktiv.
10.4. Ochrana informačního majetku
K ochraně informačních aktiv používáme řadu ochranných opatření, včetně fyzických kontrol, řízení přístupu, šifrování a procesů zálohování a obnovy. Zajišťujeme také, aby veškerá informační aktiva byla chráněna proti neoprávněnému přístupu, úpravě nebo zničení.
Část 11. Kontrola přístupu
11.1. Zásady řízení přístupu
Evropský institut pro certifikaci IT má politiku řízení přístupu, která nastiňuje požadavky na udělování, úpravy a odebírání přístupu k informačním aktivům. Řízení přístupu je kritickou součástí našeho systému řízení bezpečnosti informací a implementujeme ho, abychom zajistili, že k našim informačním aktivům budou mít přístup pouze oprávněné osoby.
11.2. Implementace řízení přístupu
Zavádíme opatření kontroly přístupu založená na principu nejmenšího privilegia, což znamená, že jednotlivci mají přístup pouze k informačním aktivům nezbytným pro výkon jejich pracovních funkcí. Používáme řadu opatření pro řízení přístupu, včetně ověřování, autorizace a účtování (AAA). Ke kontrole přístupu k informačním aktivům také používáme seznamy řízení přístupu (ACL) a oprávnění.
11.3. Zásady hesel
Evropský institut pro certifikaci IT má zásady pro hesla, které nastiňují požadavky na vytváření a správu hesel. Požadujeme silná hesla o délce alespoň 8 znaků s kombinací velkých a malých písmen, číslic a speciálních znaků. Požadujeme také pravidelné změny hesel a zakazujeme opětovné použití předchozích hesel.
11.4. Správa uživatelů
Máme proces správy uživatelů, který zahrnuje vytváření, úpravy a mazání uživatelských účtů. Uživatelské účty jsou vytvářeny na základě principu nejmenšího privilegia a přístup je udělen pouze k informačním aktivům nezbytným k plnění pracovních funkcí jednotlivce. Pravidelně také kontrolujeme uživatelské účty a odstraňujeme účty, které již nejsou potřeba.
Část 12. Řízení incidentů bezpečnosti informací
12.1. Zásady řízení incidentů
Evropský institut pro certifikaci IT má politiku řízení incidentů, která nastiňuje požadavky na zjišťování, hlášení, hodnocení a reakci na bezpečnostní incidenty. Bezpečnostní incidenty definujeme jako jakoukoli událost, která narušuje důvěrnost, integritu nebo dostupnost informačních aktiv nebo systémů.
12.2. Detekce a hlášení incidentů
Zavádíme opatření k rychlé detekci a hlášení bezpečnostních incidentů. K detekci bezpečnostních incidentů používáme různé metody, včetně systémů detekce narušení (IDS), antivirového softwaru a hlášení uživatelů. Zajišťujeme také, aby si všichni zaměstnanci byli vědomi postupů pro hlášení bezpečnostních incidentů, a podporujeme hlášení všech podezřelých incidentů.
12.3. Posouzení a reakce na incident
Máme proces hodnocení a reakce na bezpečnostní incidenty na základě jejich závažnosti a dopadu. Upřednostňujeme incidenty na základě jejich potenciálního dopadu na informační aktiva nebo systémy a přidělujeme vhodné zdroje, abychom na ně mohli reagovat. Máme také plán reakce, který zahrnuje postupy pro identifikaci, zadržování, analýzu, vymýcení a zotavení se z bezpečnostních incidentů, jakož i informování příslušných stran a provádění kontrol po incidentu Naše postupy reakce na incidenty jsou navrženy tak, aby zajistily rychlou a efektivní reakci. na bezpečnostní incidenty. Postupy jsou pravidelně revidovány a aktualizovány, aby byla zajištěna jejich účinnost a relevantnost.
12.4. Tým pro reakci na incidenty
Máme tým pro reakci na incidenty (IRT), který je odpovědný za reakci na bezpečnostní incidenty. IRT se skládá ze zástupců různých jednotek a vede ji úředník pro bezpečnost informací (ISO). IRT je odpovědné za posouzení závažnosti incidentů, za zabránění incidentu a za zahájení příslušných postupů reakce.
12.5. Hlášení a kontrola incidentů
Zavedli jsme postupy pro hlášení bezpečnostních incidentů příslušným stranám, včetně klientů, regulačních orgánů a donucovacích orgánů, jak to vyžadují platné zákony a předpisy. Také udržujeme komunikaci s dotčenými stranami během procesu reakce na incident a poskytujeme včasné aktualizace o stavu incidentu a veškerých opatřeních přijatých ke zmírnění jeho dopadu. Provádíme také revizi všech bezpečnostních incidentů, abychom identifikovali hlavní příčinu a předešli podobným incidentům v budoucnu.
Část 13. Řízení kontinuity provozu a obnova po havárii
13.1. Plánování kontinuity podnikání
Přestože je European IT Certification Institute nezisková organizace, má plán kontinuity podnikání (BCP), který nastiňuje postupy pro zajištění kontinuity jeho provozu v případě rušivého incidentu. BCP pokrývá všechny kritické provozní procesy a identifikuje zdroje potřebné k udržení provozu během a po rušivém incidentu. Nastiňuje také postupy pro udržování obchodních operací během narušení nebo katastrofy, hodnocení dopadu přerušení, identifikaci nejkritičtějších provozních procesů v kontextu konkrétního narušujícího incidentu a vývoj postupů reakce a obnovy.
13.2. Plánování obnovy po havárii
Evropský institut pro certifikaci IT má Plán obnovy po havárii (DRP), který nastiňuje postupy obnovy našich informačních systémů v případě poruchy nebo katastrofy. DRP zahrnuje postupy pro zálohování dat, obnovu dat a obnovu systému. DRP je pravidelně testován a aktualizován, aby byla zajištěna jeho účinnost.
13.3. Analýza obchodního dopadu
Provádíme analýzu obchodního dopadu (BIA), abychom identifikovali kritické provozní procesy a zdroje potřebné k jejich údržbě. BIA nám pomáhá upřednostňovat naše úsilí o obnovu a podle toho přidělovat zdroje.
13.4. Strategie kontinuity podnikání
Na základě výsledků BIA vyvíjíme strategii kontinuity podnikání, která nastiňuje postupy pro reakci na rušivý incident. Strategie zahrnuje postupy pro aktivaci BCP, obnovení kritických provozních procesů a komunikaci s příslušnými zainteresovanými stranami.
13.5. Testování a údržba
Naše BCP a DRP pravidelně testujeme a udržujeme, abychom zajistili jejich účinnost a relevanci. Provádíme pravidelné testy, abychom ověřili BCP/DRP a identifikovali oblasti pro zlepšení. Podle potřeby také aktualizujeme BCP a DRP, aby odrážely změny v našich operacích nebo v prostředí hrozeb. Testování zahrnuje stolní cvičení, simulace a živé testování postupů. Také kontrolujeme a aktualizujeme naše plány na základě výsledků testování a získaných zkušeností.
13.6. Alternativní místa zpracování
Udržujeme alternativní online stránky pro zpracování, které lze použít k pokračování obchodních operací v případě narušení nebo katastrofy. Alternativní zpracovatelská místa jsou vybavena nezbytnou infrastrukturou a systémy a lze je použít k podpoře kritických obchodních procesů.
Část 14. Soulad a audit
14.1. Dodržování zákonů a předpisů
Evropský institut pro certifikaci IT se zavázal dodržovat všechny platné zákony a předpisy týkající se bezpečnosti informací a soukromí, včetně zákonů na ochranu dat, průmyslových standardů a smluvních závazků. Naše zásady, postupy a kontroly pravidelně kontrolujeme a aktualizujeme, abychom zajistili soulad se všemi relevantními požadavky a normami. Mezi hlavní standardy a rámce, kterými se řídíme v kontextu informační bezpečnosti, patří:
- Norma ISO/IEC 27001 poskytující pokyny pro implementaci a správu systému řízení bezpečnosti informací (ISMS), jehož klíčovou součástí je řízení zranitelnosti. Poskytuje referenční rámec pro implementaci a údržbu našeho systému řízení bezpečnosti informací (ISMS) včetně správy zranitelnosti. V souladu s tímto standardním ustanovením identifikujeme, hodnotíme a řídíme rizika informační bezpečnosti, včetně zranitelností.
- Rámec kybernetické bezpečnosti amerického Národního institutu pro standardy a technologie (NIST) poskytuje pokyny pro identifikaci, hodnocení a řízení rizik kybernetické bezpečnosti, včetně správy zranitelnosti.
- Rámec kybernetické bezpečnosti Národního institutu pro standardy a technologie (NIST) pro zlepšení řízení rizik kybernetické bezpečnosti se základní sadou funkcí včetně správy zranitelnosti, kterou dodržujeme při řízení našich rizik kybernetické bezpečnosti.
- SANS Critical Security Controls obsahující sadu 20 bezpečnostních kontrol pro zlepšení kybernetické bezpečnosti, pokrývající řadu oblastí, včetně správy zranitelnosti, poskytující konkrétní pokyny pro skenování zranitelnosti, správu oprav a další aspekty správy zranitelnosti.
- Standard pro zabezpečení dat v odvětví platebních karet (PCI DSS), který v této souvislosti vyžaduje zpracování informací o kreditních kartách s ohledem na správu zranitelnosti.
- Centrum pro kontrolu zabezpečení internetu (CIS) včetně správy zranitelnosti jako jedné z klíčových kontrol pro zajištění bezpečných konfigurací našich informačních systémů.
- Open Web Application Security Project (OWASP) se seznamem Top 10 nejkritičtějších bezpečnostních rizik webových aplikací, včetně hodnocení zranitelnosti, jako jsou injekční útoky, nefunkční autentizace a správa relací, cross-site scripting (XSS) atd. OWASP Top 10, abychom upřednostnili naše úsilí v oblasti správy zranitelnosti a zaměřili se na nejkritičtější rizika s ohledem na naše webové systémy.
14.2. Interní audit
Provádíme pravidelné interní audity, abychom vyhodnotili efektivitu našeho systému řízení bezpečnosti informací (ISMS) a zajistili, že naše zásady, postupy a kontroly jsou dodržovány. Proces interního auditu zahrnuje identifikaci neshod, vypracování nápravných opatření a sledování úsilí o nápravu.
14.3. Externí audit
Pravidelně spolupracujeme s externími auditory, abychom ověřili naši shodu s platnými zákony, předpisy a průmyslovými standardy. Auditorům poskytujeme přístup k našim zařízením, systémům a dokumentaci, jak je požadováno k ověření našeho souladu. Spolupracujeme také s externími auditory při řešení jakýchkoli zjištění nebo doporučení zjištěných během procesu auditu.
14.4. Sledování souladu
Průběžně sledujeme naše dodržování platných zákonů, nařízení a průmyslových standardů. Ke sledování souladu používáme různé metody, včetně pravidelných hodnocení, auditů a kontrol poskytovatelů třetích stran. Také pravidelně kontrolujeme a aktualizujeme naše zásady, postupy a kontroly, abychom zajistili průběžné dodržování všech relevantních požadavků.
Část 15. Správa třetí strany
15.1. Zásady správy třetích stran
Evropský institut pro certifikaci IT má zásady správy třetích stran, které nastiňují požadavky na výběr, hodnocení a sledování poskytovatelů třetích stran, kteří mají přístup k našim informačním aktivům nebo systémům. Zásady se vztahují na všechny poskytovatele třetích stran, včetně poskytovatelů cloudových služeb, prodejců a dodavatelů.
15.2. Výběr a hodnocení třetí stranou
Před navázáním kontaktu s poskytovateli třetích stran provádíme náležitou péči, abychom zajistili, že mají zavedeny odpovídající bezpečnostní kontroly k ochraně našich informačních aktiv nebo systémů. Posuzujeme také, zda poskytovatelé třetích stran dodržují platné zákony a předpisy týkající se bezpečnosti informací a soukromí.
15.3. Sledování třetí stranou
Průběžně monitorujeme poskytovatele třetích stran, abychom zajistili, že i nadále splňují naše požadavky na bezpečnost informací a soukromí. K monitorování poskytovatelů třetích stran používáme různé metody, včetně pravidelných hodnocení, auditů a kontrol zpráv o bezpečnostních incidentech.
15.4. Smluvní požadavky
Do všech smluv s poskytovateli třetích stran zahrnujeme smluvní požadavky týkající se bezpečnosti informací a soukromí. Tyto požadavky zahrnují ustanovení pro ochranu dat, bezpečnostní kontroly, správu incidentů a sledování souladu. Zahrnujeme také ustanovení o ukončení smluv v případě bezpečnostního incidentu nebo nedodržení.
Část 16. Bezpečnost informací v certifikačních procesech
16.1 Zabezpečení certifikačních procesů
Přijímáme adekvátní a systémová opatření, abychom zajistili bezpečnost všech informací souvisejících s našimi certifikačními procesy, včetně osobních údajů fyzických osob žádajících o certifikaci. To zahrnuje kontroly přístupu, ukládání a přenosu všech informací souvisejících s certifikací. Zavedením těchto opatření se snažíme zajistit, aby certifikační procesy byly prováděny s nejvyšší úrovní bezpečnosti a integrity a aby byly osobní údaje jednotlivců žádajících o certifikaci chráněny v souladu s příslušnými předpisy a standardy.
16.2. Autentizace a autorizace
Používáme kontroly ověřování a autorizace, abychom zajistili, že k informacím o certifikaci budou mít přístup pouze oprávnění pracovníci. Kontroly přístupu jsou pravidelně revidovány a aktualizovány na základě změn v personálních rolích a odpovědnostech.
16.3. Ochrana dat
Osobní údaje chráníme během celého procesu certifikace zavedením vhodných technických a organizačních opatření k zajištění důvěrnosti, integrity a dostupnosti údajů. To zahrnuje opatření, jako je šifrování, řízení přístupu a pravidelné zálohování.
16.4. Bezpečnost zkušebních procesů
Zajišťujeme bezpečnost zkušebních procesů implementací vhodných opatření k zamezení podvádění, sledování a kontroly zkušebního prostředí. Zachováváme také integritu a důvěrnost vyšetřovacích materiálů prostřednictvím postupů bezpečného skladování.
16.5. Bezpečnost obsahu zkoušky
Zabezpečení obsahu zkoušek zajišťujeme implementací vhodných opatření na ochranu před neoprávněným přístupem, pozměněním nebo zveřejněním obsahu. To zahrnuje použití bezpečného úložiště, šifrování a řízení přístupu k obsahu vyšetření, jakož i kontroly zabraňující neoprávněné distribuci nebo šíření obsahu vyšetření.
16.6. Bezpečnost doručení zkoušky
Zabezpečení doručení vyšetření zajišťujeme zavedením vhodných opatření, abychom zabránili neoprávněnému přístupu do prostředí vyšetření nebo manipulaci s ním. To zahrnuje opatření, jako je monitorování, audit a kontrola zkušebního prostředí a konkrétní přístupy ke zkoumání, aby se zabránilo podvádění nebo jinému narušení bezpečnosti.
16.7. Zabezpečení výsledků vyšetření
Zabezpečení výsledků vyšetření zajišťujeme zavedením vhodných opatření na ochranu před neoprávněným přístupem, pozměněním nebo zveřejněním výsledků. To zahrnuje použití bezpečného úložiště, šifrování a řízení přístupu k výsledkům vyšetření a také kontroly zabraňující neoprávněné distribuci nebo šíření výsledků vyšetření.
16.8. Zabezpečení vydávání certifikátů
Zabezpečení vydávání certifikátů zajišťujeme zavedením vhodných opatření, abychom zabránili podvodům a neoprávněnému vydávání certifikátů. To zahrnuje kontroly pro ověřování identity jednotlivců přijímajících certifikáty a postupy bezpečného ukládání a vydávání.
16.9. Stížnosti a odvolání
Zavedli jsme postupy pro řízení stížností a odvolání souvisejících s procesem certifikace. Tyto postupy zahrnují opatření k zajištění důvěrnosti a nestrannosti procesu a bezpečnosti informací souvisejících se stížnostmi a odvoláními.
16.10. Certifikační procesy Management kvality
Pro certifikační procesy jsme zavedli systém managementu kvality (QMS), který zahrnuje opatření pro zajištění účinnosti, efektivity a bezpečnosti procesů. Součástí QMS jsou pravidelné audity a revize procesů a jejich bezpečnostních kontrol.
16.11. Neustálé zlepšování bezpečnosti certifikačních procesů
Jsme odhodláni neustále zlepšovat naše certifikační procesy a jejich bezpečnostní kontroly. To zahrnuje pravidelné revize a aktualizace zásad a bezpečnostních postupů souvisejících s certifikací na základě změn v obchodním prostředí, regulačních požadavků a osvědčených postupů v řízení bezpečnosti informací v souladu s normou ISO 27001 pro řízení bezpečnosti informací a také s ISO 17024 provozní standard certifikačních orgánů.
Část 17. Závěrečná ustanovení
17.1. Kontrola a aktualizace zásad
Tyto zásady zabezpečení informací jsou živým dokumentem, který prochází neustálými kontrolami a aktualizacemi na základě změn v našich provozních požadavcích, regulačních požadavcích nebo osvědčených postupech v oblasti správy zabezpečení informací.
17.2. Sledování souladu
Zavedli jsme postupy pro sledování souladu s touto politikou zabezpečení informací a souvisejícími bezpečnostními kontrolami. Sledování souladu zahrnuje pravidelné audity, hodnocení a přezkumy bezpečnostních kontrol a jejich účinnosti při dosahování cílů této politiky.
17.3. Hlášení bezpečnostních incidentů
Zavedli jsme postupy pro hlášení bezpečnostních incidentů souvisejících s našimi informačními systémy, včetně těch, které se týkají osobních údajů fyzických osob. Zaměstnanci, dodavatelé a další zúčastněné strany se vyzývají, aby co nejdříve hlásili jakékoli bezpečnostní incidenty nebo podezření na incidenty určenému bezpečnostnímu týmu.
17.4. Školení a povědomí
Zaměstnancům, dodavatelům a dalším zainteresovaným stranám poskytujeme pravidelná školení a programy zvyšování povědomí, abychom zajistili, že si budou vědomi své odpovědnosti a povinností souvisejících s bezpečností informací. To zahrnuje školení o bezpečnostních zásadách a postupech a opatřeních na ochranu osobních údajů jednotlivců.
17.5. Odpovědnost a odpovědnost
Všechny zaměstnance, dodavatele a další zúčastněné strany činíme odpovědnými a odpovědnými za dodržování těchto zásad zabezpečení informací a souvisejících bezpečnostních kontrol. Vedení také odpovídáme za zajištění toho, aby byly přiděleny vhodné zdroje pro implementaci a udržování účinných kontrol bezpečnosti informací.
Tato politika zabezpečení informací je kritickou součástí rámce řízení bezpečnosti informací Evropského institutu pro certifikaci IT a demonstruje náš závazek chránit informační aktiva a zpracovávaná data, zajistit důvěrnost, soukromí, integritu a dostupnost informací a dodržovat regulační a smluvní požadavky.