Információbiztonsági szabályzat
EITCA Akadémia információbiztonsági szabályzata
Ez a dokumentum meghatározza az Európai IT Tanúsító Intézet információbiztonsági politikáját (ISP), amelyet rendszeresen felülvizsgálnak és frissítenek hatékonyságának és relevanciájának biztosítása érdekében. Az EITCI információbiztonsági szabályzatának legutóbbi frissítése 7. január 2023-én történt.
1. rész. Bevezetés és információbiztonsági nyilatkozat
1.1. Bevezetés
Az Európai IT Tanúsító Intézet elismeri az információbiztonság fontosságát az információk bizalmasságának, integritásának és elérhetőségének, valamint az érdekelt felek bizalmának megőrzésében. Elkötelezettek vagyunk amellett, hogy megvédjük az érzékeny információkat, beleértve a személyes adatokat is, a jogosulatlan hozzáféréstől, nyilvánosságra hozataltól, megváltoztatástól és megsemmisítéstől. Hatékony információbiztonsági politikát tartunk fenn, hogy támogassa küldetésünket, hogy megbízható és pártatlan tanúsítási szolgáltatásokat nyújtsunk ügyfeleinknek. Az információbiztonsági szabályzat felvázolja elkötelezettségünket az információs vagyon védelme és jogi, szabályozási és szerződéses kötelezettségeink teljesítése mellett. Irányelvünk az ISO 27001 és ISO 17024 elvein alapul, amelyek az információbiztonsági menedzsment és a tanúsító testületek működési szabványainak vezető nemzetközi szabványai.
1.2. Politikai nyilatkozat
Az Európai IT Tanúsító Intézet elkötelezett a következők mellett:
- Az információs eszközök bizalmasságának, integritásának és elérhetőségének védelme,
- Az információbiztonsággal és az adatkezeléssel kapcsolatos jogi, szabályozási és szerződéses kötelezettségek betartása tanúsítási folyamatait és műveleteit végrehajtva,
- Információbiztonsági politikájának és a kapcsolódó irányítási rendszerének folyamatos fejlesztése,
- Megfelelő képzés és tudatosság biztosítása az alkalmazottak, vállalkozók és résztvevők számára,
- Valamennyi munkavállaló és vállalkozó bevonása az információbiztonsági politika és a kapcsolódó információbiztonsági irányítási rendszer megvalósításába, karbantartásába.
1.3. terület
Ez a szabályzat az Európai IT Tanúsító Intézet tulajdonában lévő, általa ellenőrzött vagy feldolgozott összes információs eszközre vonatkozik. Ez magában foglalja az összes digitális és fizikai információs eszközt, például rendszereket, hálózatokat, szoftvereket, adatokat és dokumentációkat. Ez a szabályzat minden alkalmazottra, vállalkozóra és harmadik fél szolgáltatóra is vonatkozik, aki hozzáfér az információs eszközeinkhez.
1.4. teljesítés
Az Európai IT Tanúsító Intézet elkötelezett a vonatkozó információbiztonsági szabványok betartása mellett, beleértve az ISO 27001 és ISO 17024 szabványokat. Rendszeresen felülvizsgáljuk és frissítjük ezt a szabályzatot, hogy biztosítsuk annak folyamatos relevanciáját és megfelelését ezen szabványoknak.
2. rész Szervezeti biztonság
2.1. A szervezet biztonsági céljai
A szervezeti biztonsági intézkedések megvalósításával arra törekszünk, hogy információink és eszközeink, valamint adatfeldolgozási gyakorlataink és eljárásaink a legmagasabb szintű biztonsággal és integritással történjenek, és megfeleljünk a vonatkozó jogszabályi előírásoknak és szabványoknak.
2.2. Információbiztonsági szerepek és felelősségek
Az Európai IT Tanúsító Intézet meghatározza és kommunikálja az információbiztonsággal kapcsolatos szerepeket és felelősségeket az egész szervezeten belül. Ez magában foglalja az információbiztonsággal összefüggő információs eszközök egyértelmű tulajdonjogának kijelölését, az irányítási struktúra létrehozását, valamint a különböző szerepkörök és részlegek konkrét felelősségeinek meghatározását a szervezeten belül.
2.3. Kockázat kezelés
Rendszeres kockázatértékelést végzünk a szervezetet érintő információbiztonsági kockázatok azonosítása és rangsorolása érdekében, beleértve a személyes adatok feldolgozásával kapcsolatos kockázatokat is. Megfelelő kontrollokat hozunk létre e kockázatok mérséklése érdekében, és rendszeresen felülvizsgáljuk és frissítjük kockázatkezelési megközelítésünket az üzleti környezet és a fenyegetettségi környezet változásai alapján.
2.4. Információbiztonsági szabályzatok és eljárások
Információbiztonsági irányelveket és eljárásokat hozunk létre és tartunk fenn, amelyek az iparág legjobb gyakorlatain alapulnak, és megfelelnek a vonatkozó szabályozásoknak és szabványoknak. Ezek az irányelvek és eljárások az információbiztonság minden aspektusára kiterjednek, beleértve a személyes adatok feldolgozását is, és hatékonyságuk biztosítása érdekében rendszeresen felülvizsgálják és frissítik.
2.5. Biztonsági tudatosság és képzés
Rendszeres biztonsági tudatosító és képzési programokat biztosítunk minden alkalmazottnak, vállalkozónak és harmadik félnek, aki hozzáfér személyes adatokhoz vagy más érzékeny információkhoz. Ez a képzés olyan témákkal foglalkozik, mint az adathalászat, a social engineering, a jelszóhigiénia és más információbiztonsági bevált gyakorlatok.
2.6. Fizikai és környezeti biztonság
Megfelelő fizikai és környezeti biztonsági ellenőrzéseket alkalmazunk, hogy megvédjük létesítményeinket és információs rendszereinket az illetéktelen hozzáféréstől, sérülésektől vagy beavatkozásoktól. Ez magában foglalja az olyan intézkedéseket, mint a hozzáférés-ellenőrzés, a felügyelet, a felügyelet, valamint a tartalék energia- és hűtési rendszerek.
2.7. Információbiztonsági események kezelése
Létrehoztunk egy incidenskezelési folyamatot, amely lehetővé teszi, hogy gyorsan és hatékonyan reagáljunk az esetlegesen előforduló információbiztonsági incidensekre. Ez magában foglalja az incidensek jelentésére, eszkalálására, kivizsgálására és megoldására vonatkozó eljárásokat, valamint az ismétlődés megelőzésére és az incidensekre való reagálási képességeink fejlesztésére szolgáló intézkedéseket.
2.8. Működési folytonosság és katasztrófa utáni helyreállítás
Működési folytonossági és katasztrófa-helyreállítási terveket állítottunk össze és teszteltünk, amelyek lehetővé teszik számunkra, hogy fennakadás vagy katasztrófa esetén fenntartsuk kritikus működési funkcióinkat és szolgáltatásainkat. Ezek a tervek tartalmazzák az adatok és rendszerek biztonsági mentésére és helyreállítására vonatkozó eljárásokat, valamint a személyes adatok elérhetőségét és integritását biztosító intézkedéseket.
2.9. Harmadik fél menedzsmentje
Megfelelő ellenőrzéseket hozunk létre és tartunk fenn a személyes adatokhoz vagy más érzékeny információkhoz hozzáféréssel rendelkező harmadik fél partnerekkel kapcsolatos kockázatok kezelésére. Ez magában foglalja az olyan intézkedéseket, mint a kellő gondosság, a szerződéses kötelezettségek, a nyomon követés és az auditok, valamint a partnerségek szükség esetén megszüntetésére irányuló intézkedések.
3. rész: Humánerőforrás-biztonság
3.1. Foglalkoztatási szűrés
Az Európai Informatikai Tanúsítási Intézet kialakított egy eljárást a foglalkoztatási szűrésre annak biztosítása érdekében, hogy az érzékeny információkhoz hozzáféréssel rendelkező személyek megbízhatóak legyenek, és rendelkezzenek a szükséges készségekkel és képesítésekkel.
3.2. Hozzáférés-vezérlés
Hozzáférés-szabályozási szabályzatokat és eljárásokat alakítottunk ki annak biztosítására, hogy az alkalmazottak csak a munkaköri kötelezettségeikhez szükséges információkhoz férhessenek hozzá. A hozzáférési jogokat rendszeresen felülvizsgálják és frissítik annak biztosítása érdekében, hogy az alkalmazottak csak a szükséges információkhoz férhessenek hozzá.
3.3. Információbiztonsági tudatosság és képzés
Rendszeresen tartunk információbiztonsági tudatosítási tréninget minden munkatársunk számára. Ez a képzés olyan témákkal foglalkozik, mint a jelszavas biztonság, az adathalász támadások, a social engineering és a kiberbiztonság egyéb vonatkozásai.
3.4. Elfogadható használat
Elfogadható felhasználási szabályzatot alakítottunk ki, amely felvázolja az információs rendszerek és erőforrások elfogadható használatát, beleértve a munkahelyi célokra használt személyes eszközöket is.
3.5. Mobileszköz-biztonság
Irányelveket és eljárásokat dolgoztunk ki a mobileszközök biztonságos használatára, beleértve a jelkódok használatát, a titkosítást és a távoli törlési képességeket.
3.6. Felmondási eljárások
Az Európai Informatikai Tanúsító Intézet eljárásokat dolgozott ki a munkaviszony vagy a szerződés felmondására, hogy biztosítsa az érzékeny információkhoz való hozzáférés azonnali és biztonságos visszavonását.
3.7. Harmadik fél személyzete
Eljárásokat dolgoztunk ki az érzékeny információkhoz hozzáférő, harmadik felektől származó személyzet kezelésére. Ezek a szabályzatok magukban foglalják az átvilágítást, a hozzáférés-ellenőrzést és az információbiztonsági tudatosság képzését.
3.8. Incidensek jelentése
Irányelveket és eljárásokat dolgoztunk ki az információbiztonsági incidensek vagy aggályok jelentésére a megfelelő személyzetnek vagy hatóságoknak.
3.9. Titoktartási megállapodások
Az Európai IT Tanúsító Intézet megköveteli az alkalmazottaktól és a vállalkozóktól, hogy írjanak alá titoktartási megállapodást, hogy megvédjék az érzékeny információkat a jogosulatlan nyilvánosságra hozataltól.
3.10. Fegyelmi intézkedések
Az Európai IT Tanúsító Intézet szabályzatokat és eljárásokat dolgozott ki az információbiztonsági irányelvek alkalmazottak vagy vállalkozók általi megsértése esetén alkalmazandó fegyelmi intézkedésekre.
4. rész Kockázatértékelés és -kezelés
4.1. Kockázatértékelés
Rendszeres kockázatértékelést végzünk, hogy azonosítsuk információs eszközeinket fenyegető potenciális veszélyeket és sebezhetőségeket. Strukturált megközelítést alkalmazunk a kockázatok azonosítására, elemzésére, értékelésére és rangsorolására azok valószínűsége és lehetséges hatása alapján. Felmérjük az információs eszközeinkkel kapcsolatos kockázatokat, beleértve a rendszereket, hálózatokat, szoftvereket, adatokat és dokumentációkat.
4.2. Kockázatkezelés
Kockázatkezelési eljárást alkalmazunk a kockázatok mérséklésére vagy elfogadható szintre csökkentésére. A kockázatkezelési folyamat magában foglalja a megfelelő kontrollok kiválasztását, a kontrollok végrehajtását és a kontrollok hatékonyságának nyomon követését. A kockázati szint, a rendelkezésre álló erőforrások és az üzleti prioritások alapján kiemelten kezeljük a kontrollok megvalósítását.
4.3. Kockázatfigyelés és felülvizsgálat
Rendszeresen nyomon követjük és felülvizsgáljuk kockázatkezelési folyamatunk hatékonyságát annak biztosítása érdekében, hogy az releváns és hatékony maradjon. Mérőszámokat és mutatókat használunk kockázatkezelési folyamatunk teljesítményének mérésére és a fejlesztési lehetőségek azonosítására. Rendszeres vezetői felülvizsgálataink részeként felülvizsgáljuk kockázatkezelési folyamatunkat is, hogy biztosítsuk annak folyamatos alkalmasságát, megfelelőségét és hatékonyságát.
4.4. Kockázat-válasz tervezés
Van egy kockázatkezelési tervünk annak biztosítására, hogy hatékonyan tudjunk reagálni minden azonosított kockázatra. Ez a terv magában foglalja a kockázatok azonosítására és jelentésére szolgáló eljárásokat, valamint az egyes kockázatok lehetséges hatásának felmérésére és a megfelelő válaszlépések meghatározására szolgáló folyamatokat. Készenléti terveink is vannak az üzletmenet folytonosságának biztosítására egy jelentős kockázati esemény esetén.
4.5. Működési hatáselemzés
Rendszeres időközönként üzleti hatáselemzéseket végzünk, hogy azonosítsuk az üzleti tevékenységünkre gyakorolt zavarok lehetséges hatását. Ez az elemzés magában foglalja az üzleti funkcióink, rendszereink és adataink kritikusságának értékelését, valamint az üzemzavarok ügyfeleinkre, alkalmazottainkra és más érdekelt felekre gyakorolt lehetséges hatásainak értékelését.
4.6. Harmadik fél kockázatkezelése
Harmadik féltől származó kockázatkezelési programunk van annak biztosítására, hogy szállítóink és más külső szolgáltatóink is megfelelően kezeljék a kockázatokat. Ez a program magában foglalja a kellő gondossági ellenőrzéseket a harmadik felekkel való kapcsolatfelvétel előtt, a harmadik felek tevékenységeinek folyamatos nyomon követését, valamint a harmadik felek kockázatkezelési gyakorlatának időszakos értékelését.
4.7. Eseményreagálás és -kezelés
Rendelkezünk egy incidensreagálási és kezelési tervvel, amely biztosítja, hogy hatékonyan tudjunk reagálni bármilyen biztonsági incidensre. Ez a terv tartalmazza az események azonosítására és jelentésére szolgáló eljárásokat, valamint az egyes események hatásának felmérésére és a megfelelő válaszlépések meghatározására szolgáló folyamatokat. Rendelkezünk egy üzletmenet-folytonossági tervvel is, amely biztosítja, hogy a kritikus üzleti funkciók folytatódhassanak jelentős incidens esetén.
5. rész. Fizikai és környezeti biztonság
5.1. Fizikai biztonsági kerület
Fizikai biztonsági intézkedéseket vezettünk be, hogy megvédjük a fizikai helyiségeket és az érzékeny információkat az illetéktelen hozzáféréstől.
5.2. Hozzáférés-vezérlés
Belépés-szabályozási szabályzatokat és eljárásokat hoztunk létre a fizikai helyiségekre vonatkozóan, hogy biztosítsuk, hogy csak az arra jogosult személyzet férhessen hozzá az érzékeny információkhoz.
5.3. Berendezésbiztonság
Gondoskodunk arról, hogy minden érzékeny információkat tartalmazó berendezés fizikailag védett legyen, és ehhez a berendezéshez csak az arra jogosult személyzet férhessen hozzá.
5.4. Biztonságos ártalmatlanítás
Eljárásokat dolgoztunk ki az érzékeny információk biztonságos megsemmisítésére, beleértve a papíralapú dokumentumokat, az elektronikus adathordozókat és a hardvert.
5.5. Fizikai környezet
Gondoskodunk arról, hogy a helyiség fizikai környezete, beleértve a hőmérsékletet, a páratartalmat és a világítást, megfelelő legyen az érzékeny információk védelmére.
5.6. Tápegység
Gondoskodunk arról, hogy a helyiségek áramellátása megbízható legyen, és védve legyen az áramkimaradás vagy túlfeszültség ellen.
5.7. Tűzvédelem
Tűzvédelmi szabályzatokat és eljárásokat dolgoztunk ki, beleértve a tűzérzékelő és -oltó rendszerek telepítését és karbantartását.
5.8. Vízkár elleni védelem
Irányelveket és eljárásokat dolgoztunk ki az érzékeny információk vízkárok elleni védelmére, beleértve az árvízészlelő és -megelőzési rendszerek telepítését és karbantartását.
5.9. Berendezések karbantartása
Eljárásokat dolgoztunk ki a berendezések karbantartására vonatkozóan, ideértve a berendezés ellenőrzését a manipuláció vagy az illetéktelen hozzáférés jelei szempontjából.
5.10. Elfogadható használat
Létrehoztunk egy elfogadható használati szabályzatot, amely felvázolja a fizikai erőforrások és létesítmények elfogadható használatát.
5.11. Távoli hozzáférés
Irányelveket és eljárásokat dolgoztunk ki az érzékeny információk távoli elérésére, beleértve a biztonságos kapcsolatok és a titkosítás használatát.
5.12. Monitoring és felügyelet
Irányelveket és eljárásokat dolgoztunk ki a fizikai helyiségek és berendezések megfigyelésére és felügyeletére, hogy észleljük és megakadályozzuk az illetéktelen hozzáférést vagy manipulációt.
Rész. 6. Kommunikációs és működési biztonság
6.1. Hálózatbiztonsági menedzsment
Irányelveket és eljárásokat dolgoztunk ki a hálózat biztonságának kezelésére, beleértve a tűzfalak használatát, a behatolásjelző és -megelőzési rendszereket, valamint a rendszeres biztonsági auditokat.
6.2. Információ átadás
Irányelveket és eljárásokat dolgoztunk ki az érzékeny információk biztonságos továbbítására, beleértve a titkosítás és a biztonságos fájlátviteli protokollok használatát.
6.3. Harmadik felek kommunikációja
Irányelveket és eljárásokat dolgoztunk ki az érzékeny információk harmadik fél szervezetekkel való biztonságos cseréjére, beleértve a biztonságos kapcsolatok és a titkosítás használatát.
6.4. Médiakezelés
Eljárásokat dolgoztunk ki az érzékeny információk kezelésére különféle adathordozókon, beleértve a papíralapú dokumentumokat, az elektronikus adathordozókat és a hordozható tárolóeszközöket.
6.5. Információs rendszerek fejlesztése és karbantartása
Irányelveket és eljárásokat alakítottunk ki az információs rendszerek fejlesztésére és karbantartására vonatkozóan, beleértve a biztonságos kódolási gyakorlatok használatát, a rendszeres szoftverfrissítéseket és a javítások kezelését.
6.6. Rosszindulatú programok és vírusok elleni védelem
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek rosszindulatú programok és vírusok elleni védelmére, beleértve a vírusirtó szoftverek használatát és a rendszeres biztonsági frissítéseket.
6.7. Biztonsági mentés és visszaállítás
Irányelveket és eljárásokat dolgoztunk ki az érzékeny információk biztonsági mentésére és visszaállítására, hogy megakadályozzuk az adatvesztést vagy -sérülést.
6.8. Eseménykezelés
Irányelveket és eljárásokat dolgoztunk ki a biztonsági incidensek és események azonosítására, kivizsgálására és megoldására.
6.9. Sebezhetőség kezelése
Irányelveket és eljárásokat alakítottunk ki az információs rendszerek sebezhetőségeinek kezelésére, beleértve a rendszeres sebezhetőség-felmérést és a javítások kezelését.
6.10. Hozzáférés-vezérlés
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek felhasználói hozzáférésének kezelésére, beleértve a hozzáférés-szabályozás használatát, a felhasználói hitelesítést és a rendszeres hozzáférés-ellenőrzést.
6.11. Monitoring és naplózás
Irányelveket és eljárásokat dolgoztunk ki az információs rendszer tevékenységeinek megfigyelésére és naplózására, beleértve az audit nyomvonalak használatát és a biztonsági események naplózását.
7. rész Információs rendszerek beszerzése, fejlesztése és karbantartása
7.1. követelmények
Irányelveket és eljárásokat dolgoztunk ki az információs rendszer követelményeinek azonosítására, beleértve az üzleti követelményeket, a jogi és szabályozási követelményeket, valamint a biztonsági követelményeket.
7.2. Szállítói kapcsolatok
Irányelveket és eljárásokat alakítottunk ki az információs rendszereket és szolgáltatásokat nyújtó harmadik felekkel fenntartott kapcsolatok kezelésére, beleértve a szállítók biztonsági gyakorlatának értékelését.
7.3. Rendszerfejlesztés
Irányelveket és eljárásokat alakítottunk ki az információs rendszerek biztonságos fejlesztésére, beleértve a biztonságos kódolási gyakorlatok használatát, a rendszeres tesztelést és a minőségbiztosítást.
7.4. Rendszertesztelés
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek tesztelésére, beleértve a funkcionalitástesztet, a teljesítménytesztet és a biztonsági tesztelést.
7.5. Rendszer elfogadása
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek elfogadására, beleértve a tesztelési eredmények jóváhagyását, a biztonsági értékeléseket és a felhasználói elfogadási teszteket.
7.6. Rendszerkarbantartás
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek karbantartására vonatkozóan, beleértve a rendszeres frissítéseket, biztonsági javításokat és rendszermentéseket.
7.7. Rendszer nyugdíjba vonulása
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek megszüntetésére, beleértve a hardver és az adatok biztonságos selejtezését.
7.8. Adatmegőrzés
Irányelveket és eljárásokat alakítottunk ki az adatok megőrzésére a törvényi és szabályozási követelményeknek megfelelően, beleértve az érzékeny adatok biztonságos tárolását és selejtezését.
7.9. Információs rendszerek biztonsági követelményei
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek biztonsági követelményeinek azonosítására és végrehajtására, beleértve a hozzáférés-szabályozást, a titkosítást és az adatvédelmet.
7.10. Biztonságos fejlesztési környezet
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek biztonságos fejlesztési környezetére vonatkozóan, beleértve a biztonságos fejlesztési gyakorlatok, a hozzáférés-szabályozások és a biztonságos hálózati konfigurációk használatát.
7.11. A tesztelési környezet védelme
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek tesztelési környezeteinek védelmére, beleértve a biztonságos konfigurációk használatát, a hozzáférés-szabályozást és a rendszeres biztonsági tesztelést.
7.12. Biztonságos rendszertervezési alapelvek
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek biztonságos rendszertervezési elveinek megvalósítására, beleértve a biztonsági architektúrák használatát, a fenyegetés modellezését és a biztonságos kódolási gyakorlatokat.
7.13. Biztonságos kódolási irányelvek
Irányelveket és eljárásokat dolgoztunk ki az információs rendszerek biztonságos kódolási irányelveinek megvalósítására, beleértve a kódolási szabványok használatát, a kódellenőrzéseket és az automatizált tesztelést.
8. rész. Hardverbeszerzés
8.1. Szabványok betartása
Betartjuk az ISO 27001 információbiztonsági irányítási rendszer (ISMS) szabványt annak érdekében, hogy a hardvereszközök beszerzése a biztonsági követelményeinknek megfelelően történjen.
8.2. Kockázatértékelés
A hardvereszközök beszerzése előtt kockázatértékelést végzünk, hogy azonosítsuk a lehetséges biztonsági kockázatokat, és biztosítsuk, hogy a kiválasztott hardver megfelel a biztonsági követelményeknek.
8.3. Szállítók kiválasztása
Hardvereszközöket csak olyan megbízható szállítóktól szerezzünk be, akik bizonyítottan biztonságos termékek szállításában. Felülvizsgáljuk a szállító biztonsági irányelveit és gyakorlatait, és megköveteljük tőlük, hogy biztosítsanak, hogy termékeik megfelelnek biztonsági követelményeinknek.
8.4. Biztonságos szállítás
Gondoskodunk arról, hogy a hardvereszközöket biztonságosan szállítsák telephelyünkre, hogy megakadályozzuk a szállítás közbeni manipulációt, sérülést vagy ellopást.
8.5. Eredetiség ellenőrzése
Szállításkor ellenőrizzük a hardvereszközök eredetiségét, hogy megbizonyosodjunk arról, hogy nem hamisítanak vagy manipulálnak.
8.6. Fizikai és környezetvédelmi ellenőrzések
Megfelelő fizikai és környezetvédelmi ellenőrzéseket alkalmazunk, hogy megvédjük a hardvereszközöket az illetéktelen hozzáféréstől, lopástól vagy sérüléstől.
8.7. Hardver telepítése
Biztosítjuk, hogy minden hardvereszköz a megállapított biztonsági szabványoknak és irányelveknek megfelelően legyen konfigurálva és telepítve.
8.8. Hardver vélemények
Rendszeres időközönként felülvizsgáljuk a hardvereszközöket, hogy megbizonyosodjunk arról, hogy továbbra is megfelelnek biztonsági követelményeinknek, és naprakészek a legújabb biztonsági javításokkal és frissítésekkel.
8.9. Hardver ártalmatlanítása
A hardvereszközöket biztonságos módon kezeljük, hogy megakadályozzuk az érzékeny információkhoz való jogosulatlan hozzáférést.
9. rész. Rosszindulatú programok és vírusok elleni védelem
9.1. Szoftverfrissítési szabályzat
Naprakész vírus- és kártevő-védelmi szoftvereket tartunk fenn az Európai IT Tanúsító Intézet által használt összes információs rendszeren, beleértve a szervereket, munkaállomásokat, laptopokat és mobileszközöket. Gondoskodunk arról, hogy a vírus- és kártevő-védelmi szoftver úgy legyen beállítva, hogy rendszeresen frissítse a vírusleíró fájljait és a szoftververzióit, és ezt a folyamatot rendszeresen teszteljük.
9.2. Vírusirtó és rosszindulatú programok vizsgálata
Rendszeresen átvizsgáljuk az összes információs rendszert, beleértve a szervereket, munkaállomásokat, laptopokat és mobileszközöket, hogy észleljünk és eltávolítsunk minden vírust vagy rosszindulatú programot.
9.3. Tilos letiltani és módosítani
Betartatjuk azokat az irányelveket, amelyek megtiltják a felhasználóknak, hogy bármely információs rendszeren letiltsák vagy módosítsák a vírus- és rosszindulatú programok elleni védelmi szoftvereket.
9.4. megfigyelés
Figyelemmel kísérjük vírusirtó és rosszindulatú szoftverek elleni védelmi szoftvereink riasztásait és naplóit, hogy azonosítsuk a vírusok vagy rosszindulatú programok fertőzését, és időben reagáljunk az ilyen esetekre.
9.5. Nyilvántartások karbantartása
Feljegyzéseket vezetünk a vírus- és kártevő-védelmi szoftverek konfigurációjáról, frissítéseiről és vizsgálatairól, valamint minden vírus- vagy rosszindulatú programfertőzésről, auditálás céljából.
9.6. Szoftver vélemények
Vírus- és rosszindulatú programok elleni védelmi szoftvereinket rendszeres időközönként felülvizsgáljuk, hogy megbizonyosodjunk arról, hogy az megfelel a jelenlegi iparági szabványoknak, és megfelel az igényeinknek.
9.7. Képzés és tudatosság
Képzési és figyelemfelkeltő programokat biztosítunk, hogy minden alkalmazottat felvilágosítsunk a vírusok és rosszindulatú programok elleni védelem fontosságáról, valamint arról, hogyan lehet felismerni és jelenteni minden gyanús tevékenységet vagy incidenst.
10. rész Információs vagyonkezelés
10.1. Információs vagyonleltár
Az Európai IT Tanúsító Intézet leltárt vezet az információs eszközökről, amely magában foglalja az összes digitális és fizikai információs vagyont, például rendszereket, hálózatokat, szoftvereket, adatokat és dokumentációt. Az információs eszközöket kritikusságuk és érzékenységük alapján osztályozzuk, hogy biztosítsuk a megfelelő védelmi intézkedések végrehajtását.
10.2. Információs eszközök kezelése
Megfelelő intézkedéseket hajtunk végre az információs eszközök védelmére azok besorolása alapján, beleértve a bizalmasságot, az integritást és a rendelkezésre állást. Gondoskodunk arról, hogy minden információs vagyont a vonatkozó törvényeknek, előírásoknak és szerződéses követelményeknek megfelelően kezeljenek. Gondoskodunk arról is, hogy az összes információs vagyont megfelelően tároljuk, védjük, és megsemmisítjük, ha már nincs rá szükség.
10.3. Információs eszközök tulajdonjoga
Az információs eszközök tulajdonjogát az információs vagyon kezeléséért és védelméért felelős személyekhez vagy osztályokhoz rendeljük. Azt is biztosítjuk, hogy az információvagyon-tulajdonosok megértsék az információs vagyon védelmével kapcsolatos felelősségüket és felelősségüket.
10.4. Információs vagyon védelme
Különféle védelmi intézkedéseket alkalmazunk az információs eszközök védelmére, beleértve a fizikai ellenőrzéseket, a hozzáférés-szabályozást, a titkosítást, valamint a biztonsági mentési és helyreállítási folyamatokat. Gondoskodunk arról is, hogy minden információs vagyon védve legyen a jogosulatlan hozzáférés, módosítás vagy megsemmisítés ellen.
11. rész. Hozzáférés-vezérlés
11.1. Hozzáférés-szabályozási szabályzat
Az Európai Informatikai Tanúsító Intézet Hozzáférés-szabályozási szabályzattal rendelkezik, amely felvázolja az információs eszközökhöz való hozzáférés megadásának, módosításának és visszavonásának követelményeit. A hozzáférés-szabályozás az információbiztonsági irányítási rendszerünk kritikus eleme, és annak biztosítására vezetjük be, hogy csak az arra jogosult személyek férhessenek hozzá információs eszközeinkhez.
11.2. Hozzáférés-vezérlés megvalósítása
A hozzáférés-szabályozási intézkedéseket a legkisebb kiváltság elve alapján valósítjuk meg, ami azt jelenti, hogy az egyének csak a munkaköri feladataik ellátásához szükséges információs eszközökhöz férhetnek hozzá. Számos hozzáférés-ellenőrzési módszert alkalmazunk, beleértve a hitelesítést, engedélyezést és elszámolást (AAA). Hozzáférés-vezérlési listákat (ACL) és engedélyeket is használunk az információs eszközökhöz való hozzáférés szabályozására.
11.3. Jelszóházirend
Az Európai Informatikai Tanúsító Intézet rendelkezik egy jelszószabályzattal, amely felvázolja a jelszavak létrehozásának és kezelésének követelményeit. Erős jelszavakra van szükségünk, amelyek legalább 8 karakter hosszúak, nagy- és kisbetűk, számok és speciális karakterek kombinációjával. Ezenkívül megköveteljük a jelszavak rendszeres megváltoztatását, és megtiltjuk a korábbi jelszavak újrafelhasználását.
11.4. Felhasználókezelés
Van egy felhasználókezelési folyamatunk, amely magában foglalja a felhasználói fiókok létrehozását, módosítását és törlését. A felhasználói fiókok a legkisebb kiváltság elve alapján jönnek létre, és csak az egyén munkaköri funkcióinak ellátásához szükséges információs vagyonhoz férnek hozzá. Ezenkívül rendszeresen felülvizsgáljuk a felhasználói fiókokat, és eltávolítjuk azokat, amelyekre már nincs szükség.
12. rész Információbiztonsági események kezelése
12.1. Eseménykezelési szabályzat
Az Európai IT Tanúsító Intézetnek van egy Incidenskezelési szabályzata, amely felvázolja a biztonsági incidensek észlelésére, jelentésére, értékelésére és reagálására vonatkozó követelményeket. Biztonsági incidensnek minősül minden olyan esemény, amely veszélyezteti az információs eszközök vagy rendszerek bizalmasságát, integritását vagy elérhetőségét.
12.2. Események felderítése és jelentése
Intézkedéseket hajtunk végre a biztonsági események azonnali észlelése és jelentése érdekében. Számos módszert alkalmazunk a biztonsági események észlelésére, beleértve a behatolásérzékelő rendszereket (IDS), a víruskereső szoftvereket és a felhasználói jelentéseket. Gondoskodunk arról is, hogy minden alkalmazott tisztában legyen a biztonsági incidensek jelentésére vonatkozó eljárásokkal, és ösztönözzük az összes feltételezett incidens bejelentését.
12.3. Eseményértékelés és reagálás
Eljárásunk van a biztonsági incidensek értékelésére és reagálására azok súlyossága és hatása alapján. Az incidenseket az információs eszközökre vagy rendszerekre gyakorolt lehetséges hatásuk alapján rangsoroljuk, és megfelelő erőforrásokat rendelünk hozzá a reagáláshoz. Van egy választervünk is, amely magában foglalja a biztonsági incidensek azonosítására, megfékezésére, elemzésére, felszámolására és helyreállítására szolgáló eljárásokat, valamint az érintett felek értesítését, valamint az incidensek utáni felülvizsgálatokat. biztonsági incidensekre. Az eljárásokat rendszeresen felülvizsgálják és frissítik hatékonyságuk és relevanciájuk biztosítása érdekében.
12.4. Eseményreagáló csapat
Van egy Incident Response Team (IRT) csapatunk, amely a biztonsági incidensekre való reagálásért felel. Az IRT különböző egységek képviselőiből áll, és az információbiztonsági tisztviselő (ISO) vezeti. Az IRT feladata az incidensek súlyosságának felmérése, az incidens feltárása és a megfelelő reagálási eljárások kezdeményezése.
12.5. Események jelentése és felülvizsgálata
Eljárásokat dolgoztunk ki a biztonsági eseményeknek az érintett feleknek, köztük ügyfeleknek, szabályozó hatóságoknak és bűnüldöző szerveknek történő bejelentésére, a vonatkozó törvények és rendelkezések előírásai szerint. Ezenkívül az incidensre adott válaszfolyamat során folyamatosan kapcsolatot tartunk az érintett felekkel, és időben tájékoztatjuk az incidens állapotáról és a hatások mérséklése érdekében tett intézkedésekről. Minden biztonsági incidenst felülvizsgálunk, hogy azonosítsuk a kiváltó okot, és megelőzzük a hasonló incidensek jövőbeni előfordulását.
13. rész. Üzletmenet-folytonosság-kezelés és katasztrófa-helyreállítás
13.1. Üzletmenet-folytonossági tervezés
Bár az Európai IT Tanúsító Intézet non-profit szervezet, rendelkezik egy üzletmenet-folytonossági tervvel (BCP), amely felvázolja azokat az eljárásokat, amelyekkel zavaró incidens esetén biztosítható a működése folytonossága. A BCP lefedi az összes kritikus működési folyamatot, és azonosítja a működés fenntartásához szükséges erőforrásokat egy zavaró esemény alatt és után. Felvázolja az üzleti műveletek fennakadás vagy katasztrófa idején történő fenntartására, a zavarok hatásának felmérésére, a legkritikusabb működési folyamatok azonosítására egy adott zavaró incidenssel összefüggésben, valamint a reagálási és helyreállítási eljárások kidolgozására vonatkozó eljárásokat is.
13.2. Katasztrófa utáni helyreállítás tervezése
Az Európai Informatikai Tanúsító Intézet katasztrófa-helyreállítási tervvel (DRP) rendelkezik, amely felvázolja az információs rendszereink üzemzavar vagy katasztrófa esetén történő helyreállításának eljárásait. A DRP magában foglalja az adatmentési, adat-visszaállítási és rendszer-helyreállítási eljárásokat. A DRP-t rendszeresen tesztelik és frissítik hatékonyságának biztosítása érdekében.
13.3. Üzleti hatáselemzés
Üzleti hatáselemzést (BIA) végzünk a kritikus működési folyamatok és a karbantartásukhoz szükséges erőforrások azonosítására. A BIA segít abban, hogy prioritást állítsunk fel helyreállítási erőfeszítéseinken, és ennek megfelelően osztjuk el az erőforrásokat.
13.4. Üzletmenet-folytonossági stratégia
A BIA eredményei alapján üzletmenet-folytonossági stratégiát dolgozunk ki, amely felvázolja a zavaró incidensekre való reagálás eljárásait. A stratégia magában foglalja a BCP aktiválásának, a kritikus működési folyamatok helyreállításának és a releváns érdekeltekkel való kommunikációnak az eljárásait.
13.5. Tesztelés és karbantartás
Rendszeresen teszteljük és karbantartjuk a BCP-t és a DRP-t, hogy biztosítsuk azok hatékonyságát és relevanciáját. Rendszeres teszteket végzünk a BCP/DRP érvényesítésére és a fejlesztendő területek azonosítására. Szükség szerint frissítjük a BCP-t és a DRP-t is, hogy tükrözze a működésünkben vagy a fenyegetések környezetében bekövetkezett változásokat. A tesztelés magában foglalja az asztali gyakorlatokat, a szimulációkat és az eljárások élő tesztelését. Terveinket is felülvizsgáljuk és frissítjük a tesztek eredményei és a levont tanulságok alapján.
13.6. Alternatív feldolgozási helyek
Alternatív online adatfeldolgozó oldalakat tartunk fenn, amelyek segítségével fennakadás vagy katasztrófa esetén folytathatjuk az üzleti tevékenységet. Az alternatív feldolgozó helyek fel vannak szerelve a szükséges infrastruktúrával és rendszerekkel, és a kritikus üzleti folyamatok támogatására használhatók.
14. rész. Megfelelőség és audit
14.1. Törvények és rendeletek betartása
Az Európai IT Tanúsító Intézet elkötelezett amellett, hogy megfeleljen az információbiztonsággal és a magánélettel kapcsolatos valamennyi vonatkozó törvénynek és előírásnak, beleértve az adatvédelmi törvényeket, az iparági szabványokat és a szerződéses kötelezettségeket. Rendszeresen felülvizsgáljuk és frissítjük irányelveinket, eljárásainkat és ellenőrzéseinket, hogy biztosítsuk az összes vonatkozó követelménynek és szabványnak való megfelelést. Az információbiztonság területén követett főbb szabványok és keretrendszerek a következők:
- Az ISO/IEC 27001 szabvány, amely iránymutatást ad az információbiztonsági menedzsment rendszer (ISMS) megvalósításához és kezeléséhez, amely kulcselemként tartalmazza a sebezhetőségek kezelését. Referenciakeretet biztosít az információbiztonság-kezelési rendszerünk (ISMS) megvalósításához és karbantartásához, beleértve a sebezhetőség-kezelést is. E szabvány rendelkezéseinek megfelelően azonosítjuk, értékeljük és kezeljük az információbiztonsági kockázatokat, beleértve a sebezhetőségeket.
- Az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) kiberbiztonsági keretrendszere, amely iránymutatást ad a kiberbiztonsági kockázatok azonosításához, értékeléséhez és kezeléséhez, beleértve a sebezhetőség kezelését is.
- Az Országos Szabványügyi és Technológiai Intézet (NIST) kiberbiztonsági keretrendszere a kiberbiztonsági kockázatkezelés javítására, és olyan alapvető funkciókkal rendelkezik, mint például a sebezhetőség-kezelés, amelyeket a kiberbiztonsági kockázataink kezelése során betartunk.
- A SANS Critical Security Controls 20 biztonsági vezérlőből álló készletet tartalmaz a kiberbiztonság javítása érdekében, számos területet lefedve, beleértve a sebezhetőség-kezelést, konkrét útmutatást adva a sebezhetőségek vizsgálatához, a javítások kezeléséhez és a sebezhetőség-kezelés egyéb vonatkozásaihoz.
- A Payment Card Industry Data Security Standard (PCI DSS), amely előírja a hitelkártya-információk kezelését a sebezhetőségek kezelése érdekében.
- A Center for Internet Security Controls (CIS), beleértve a sebezhetőségek kezelését, mint az egyik legfontosabb vezérlőelemet az információs rendszereink biztonságos konfigurációjának biztosításához.
- Az Open Web Application Security Project (OWASP) a legkritikusabb webalkalmazás-biztonsági kockázatok 10-es listájával, beleértve a sebezhetőségek értékelését, például az injekciós támadásokat, a meghibásodott hitelesítést és a munkamenet-kezelést, a webhelyek közötti parancsfájlokat (XSS) stb. az OWASP Top 10-be, hogy prioritást adjon a sebezhetőség-kezelési erőfeszítéseinknek, és a webrendszereinket érintő legkritikusabb kockázatokra összpontosítson.
14.2. Belső vizsgálat
Rendszeres belső auditokat végzünk információbiztonsági irányítási rendszerünk (ISMS) hatékonyságának felmérése és annak biztosítása érdekében, hogy irányelveinket, eljárásainkat és ellenőrzéseinket betartsák. A belső ellenőrzési folyamat magában foglalja a nem-megfelelőségek azonosítását, a korrekciós intézkedések kidolgozását és a kárelhárítási erőfeszítések nyomon követését.
14.3. Külső ellenőrzés
Rendszeresen együttműködünk külső auditorokkal, hogy ellenőrizzük, hogy megfelelünk-e a vonatkozó törvényeknek, előírásoknak és iparági szabványoknak. Az auditoroknak hozzáférést biztosítunk létesítményeinkhez, rendszereinkhez és dokumentációinkhoz, amelyek szükségesek a megfelelőség ellenőrzéséhez. Külső könyvvizsgálókkal is együttműködünk az ellenőrzési folyamat során feltárt megállapítások vagy javaslatok megoldása érdekében.
14.4. Megfelelőségi felügyelet
Folyamatosan ellenőrizzük, hogy megfelelünk-e a vonatkozó törvényeknek, előírásoknak és iparági szabványoknak. Számos módszert alkalmazunk a megfelelőség ellenőrzésére, ideértve a rendszeres értékeléseket, auditokat és a külső szolgáltatók felülvizsgálatát. Rendszeresen felülvizsgáljuk és frissítjük irányelveinket, eljárásainkat és ellenőrzéseinket is, hogy biztosítsuk az összes vonatkozó követelménynek való folyamatos megfelelést.
15. rész. Harmadik felek kezelése
15.1. Harmadik felekre vonatkozó kezelési szabályzat
Az Európai Informatikai Tanúsító Intézet harmadik felekre vonatkozó felügyeleti szabályzattal rendelkezik, amely meghatározza az információs eszközeinkhez vagy rendszereinkhez hozzáféréssel rendelkező külső szolgáltatók kiválasztására, értékelésére és felügyeletére vonatkozó követelményeket. A szabályzat minden harmadik fél szolgáltatóra vonatkozik, beleértve a felhőszolgáltatókat, szállítókat és vállalkozókat.
15.2. Harmadik fél kiválasztása és értékelése
A harmadik fél szolgáltatókkal való kapcsolatfelvétel előtt kellő gondossággal járunk el annak biztosítására, hogy megfelelő biztonsági ellenőrzésekkel rendelkezzenek információs eszközeink vagy rendszereink védelme érdekében. Azt is értékeljük, hogy a külső szolgáltatók megfelelnek-e az információbiztonsággal és adatvédelemmel kapcsolatos vonatkozó törvényeknek és előírásoknak.
15.3. Harmadik fél megfigyelése
Folyamatosan figyelemmel kísérjük a külső szolgáltatókat annak biztosítása érdekében, hogy továbbra is megfeleljenek az információbiztonságra és adatvédelemre vonatkozó követelményeinknek. Számos módszert alkalmazunk a külső szolgáltatók megfigyelésére, ideértve az időszakos értékeléseket, auditokat és a biztonsági eseményekről szóló jelentések áttekintését.
15.4. Szerződéses követelmények
Minden harmadik fél szolgáltatóval kötött szerződésbe belefoglaljuk az információbiztonsággal és az adatvédelemmel kapcsolatos szerződéses követelményeket. Ezek a követelmények magukban foglalják az adatvédelemre, a biztonsági ellenőrzésekre, az incidenskezelésre és a megfelelőség figyelésére vonatkozó rendelkezéseket. Rendelkezünk a szerződések felmondásáról is biztonsági incidens vagy nem megfelelőség esetén.
16. rész: Információbiztonság a tanúsítási folyamatokban
16.1 A tanúsítási folyamatok biztonsága
Megfelelő és rendszerszintű intézkedéseket teszünk a tanúsítási folyamatainkkal kapcsolatos összes információ biztonságának biztosítására, beleértve a tanúsítást kérő személyek személyes adatait is. Ez magában foglalja az összes tanúsítvánnyal kapcsolatos információ hozzáférésének, tárolásának és továbbításának ellenőrzését. Ezen intézkedések végrehajtásával arra törekszünk, hogy a tanúsítási folyamatok a legmagasabb szintű biztonsággal és sértetlenséggel menjenek végbe, valamint hogy a tanúsítást kérő személyek személyes adatai a vonatkozó előírásoknak és szabványoknak megfelelően védve legyenek.
16.2. Hitelesítés és engedélyezés
Hitelesítési és engedélyezési vezérlőket használunk annak biztosítására, hogy csak az arra jogosult személyzet férhessen hozzá a tanúsítási információkhoz. A hozzáférés-szabályozást rendszeresen felülvizsgálják és frissítik a személyi szerepkörök és felelősségi körök változásai alapján.
16.3. Adat védelem
A személyes adatokat a tanúsítási folyamat során a megfelelő technikai és szervezési intézkedések végrehajtásával védjük az adatok bizalmas kezelésének, integritásának és elérhetőségének biztosítása érdekében. Ez magában foglalja az olyan intézkedéseket, mint a titkosítás, a hozzáférés-szabályozás és a rendszeres biztonsági mentés.
16.4. A vizsgálati folyamatok biztonsága
A vizsgáztatási folyamatok biztonságát a csalás megelőzése érdekében megfelelő intézkedésekkel, a vizsgakörnyezet monitorozásával és ellenőrzésével biztosítjuk. A vizsgálati anyagok sértetlenségét és bizalmasságát is biztonságos tárolási eljárásokkal megőrizzük.
16.5. A vizsgatartalom biztonsága
A vizsga tartalmának biztonságát megfelelő intézkedések megtételével biztosítjuk a tartalom jogosulatlan hozzáférése, megváltoztatása vagy nyilvánosságra hozatala elleni védelem érdekében. Ez magában foglalja a biztonságos tárolás, titkosítás és hozzáférés-szabályozások használatát a vizsgálati tartalmakhoz, valamint a vizsgálati tartalmak jogosulatlan terjesztésének vagy terjesztésének megakadályozására szolgáló vezérlőket.
16.6. A vizsga kézbesítésének biztonsága
A vizsgaleadás biztonságát megfelelő intézkedések megtételével biztosítjuk, hogy megakadályozzuk a vizsgakörnyezethez való jogosulatlan hozzáférést vagy annak manipulálását. Ez magában foglalja az olyan intézkedéseket, mint a vizsgakörnyezet megfigyelése, auditálása és ellenőrzése, valamint bizonyos vizsgálati megközelítések a csalás vagy más biztonsági megsértések megelőzésére.
16.7. A vizsgálati eredmények biztonsága
A vizsgálati eredmények biztonságát megfelelő intézkedések megtételével biztosítjuk az eredmények jogosulatlan hozzáférése, megváltoztatása vagy nyilvánosságra hozatala ellen. Ez magában foglalja a biztonságos tárolás, titkosítás és hozzáférés-ellenőrzések használatát a vizsgálati eredményekhez, valamint a vizsgálati eredmények jogosulatlan terjesztését vagy terjesztését megakadályozó vezérlőket.
16.8. Tanúsítványkiadás biztonsága
A tanúsítványok kibocsátásának biztonságát megfelelő intézkedések megtételével biztosítjuk a csalások és a jogosulatlan tanúsítványkiadás megelőzésére. Ez magában foglalja a tanúsítványokat kapó személyek személyazonosságának ellenőrzésére szolgáló ellenőrzéseket, valamint a biztonságos tárolási és kiadási eljárásokat.
16.9. Panaszok és fellebbezések
Eljárásokat dolgoztunk ki a tanúsítási folyamattal kapcsolatos panaszok és fellebbezések kezelésére. Ezek az eljárások magukban foglalják az eljárás titkosságát és pártatlanságát, valamint a panaszokkal és fellebbezésekkel kapcsolatos információk biztonságát biztosító intézkedéseket.
16.10. Tanúsítási folyamatok Minőségirányítás
Minőségirányítási rendszert (QMS) hoztunk létre a tanúsítási folyamatokhoz, amely intézkedéseket tartalmaz a folyamatok hatékonyságának, hatékonyságának és biztonságának biztosítására. A QMS rendszeres auditokat és felülvizsgálatokat tartalmaz a folyamatokról és biztonsági ellenőrzéseikről.
16.11. A tanúsítási folyamatok biztonságának folyamatos fejlesztése
Elkötelezettek vagyunk tanúsítási folyamataink és biztonsági ellenőrzéseik folyamatos fejlesztése mellett. Ez magában foglalja a tanúsítással kapcsolatos irányelvek és eljárások biztonságának rendszeres felülvizsgálatát és frissítését az üzleti környezet változásain, a szabályozási követelményeken és az információbiztonsági menedzsment legjobb gyakorlatain alapulva, összhangban az ISO 27001 információbiztonsági menedzsment szabványsal, valamint az ISO-val. 17024 tanúsító szervezetek működési szabványa.
17. rész. Záró rendelkezések
17.1. Szabályzat felülvizsgálata és frissítése
Ez az információbiztonsági szabályzat egy élő dokumentum, amely folyamatos felülvizsgálaton és frissítésen esik át működési követelményeink, szabályozási követelményeink vagy az információbiztonság-kezelés bevált gyakorlatainak változásai alapján.
17.2. Megfelelőségi felügyelet
Eljárásokat dolgoztunk ki az információbiztonsági szabályzat és a kapcsolódó biztonsági ellenőrzések betartásának ellenőrzésére. A megfelelőség ellenőrzése magában foglalja a biztonsági ellenőrzések rendszeres auditját, értékelését és felülvizsgálatát, valamint a szabályzat céljainak elérésében való hatékonyságukat.
17.3. Biztonsági incidensek jelentése
Eljárásokat dolgoztunk ki az információs rendszereinkkel kapcsolatos biztonsági incidensek bejelentésére, beleértve az egyének személyes adataival kapcsolatosakat is. Az alkalmazottakat, vállalkozókat és más érdekelt feleket arra biztatjuk, hogy a lehető leghamarabb jelentsék a biztonsági incidenseket vagy feltételezett incidenseket a kijelölt biztonsági csoportnak.
17.4. Képzés és tudatosság
Rendszeres képzési és figyelemfelkeltő programokat biztosítunk az alkalmazottaknak, a vállalkozóknak és más érdekelt feleknek annak érdekében, hogy tisztában legyenek az információbiztonsággal kapcsolatos felelősségükkel és kötelezettségeikkel. Ez magában foglalja a biztonsági politikákkal és eljárásokkal kapcsolatos képzést, valamint az egyének személyes adatainak védelmét szolgáló intézkedéseket.
17.5. Felelősség és elszámoltathatóság
Minden alkalmazottat, vállalkozót és más érdekelt felet felelősséggel és elszámoltathatónak tartunk az információbiztonsági szabályzat és a kapcsolódó biztonsági ellenőrzések betartásáért. A vezetést felelősségre vonjuk azért is, hogy biztosítsák a megfelelő erőforrások elkülönítését a hatékony információbiztonsági ellenőrzések végrehajtásához és fenntartásához.
Ez az információbiztonsági szabályzat az Euroepan IT Certification Institute információbiztonsági menedzsment keretrendszerének kritikus eleme, és bizonyítja elkötelezettségünket az információs vagyon és a feldolgozott adatok védelme, az információk bizalmasságának, adatvédelmének, integritásának és elérhetőségének biztosítása, valamint a szabályozási és szerződéses követelmények betartása mellett.