Informationssikkerhedspolitik
EITCA Academy informationssikkerhedspolitik
Dette dokument specificerer det europæiske IT-certificeringsinstituts informationssikkerhedspolitik (ISP), som regelmæssigt gennemgås og opdateres for at sikre dens effektivitet og relevans. Den sidste opdatering af EITCI's informationssikkerhedspolitik blev foretaget den 7. januar 2023.
Del 1. Introduktion og erklæring om informationssikkerhed
1.1. Introduktion
Det Europæiske IT-certificeringsinstitut anerkender vigtigheden af informationssikkerhed for at opretholde fortroligheden, integriteten og tilgængeligheden af information og tilliden hos vores interessenter. Vi er forpligtet til at beskytte følsomme oplysninger, herunder personlige data, mod uautoriseret adgang, offentliggørelse, ændring og ødelæggelse. Vi opretholder en effektiv informationssikkerhedspolitik for at understøtte vores mission om at levere pålidelige og upartiske certificeringstjenester til vores kunder. Informationssikkerhedspolitikken beskriver vores forpligtelse til at beskytte informationsaktiver og opfylde vores juridiske, regulatoriske og kontraktlige forpligtelser. Vores politik er baseret på principperne i ISO 27001 og ISO 17024, de førende internationale standarder for informationssikkerhedsstyring og certificeringsorganers driftsstandarder.
1.2. Politisk erklæring
Det Europæiske IT-certificeringsinstitut er forpligtet til at:
- Beskyttelse af fortroligheden, integriteten og tilgængeligheden af informationsaktiver,
- Overholdelse af juridiske, regulatoriske og kontraktlige forpligtelser i forbindelse med informationssikkerhed og behandling af data, der implementerer dets certificeringsprocesser og operationer,
- Løbende forbedring af sin informationssikkerhedspolitik og tilhørende ledelsessystem,
- Tilvejebringelse af tilstrækkelig uddannelse og bevidsthed til medarbejdere, entreprenører og deltagere,
- Inddragelse af alle medarbejdere og entreprenører i implementering og vedligeholdelse af informationssikkerhedspolitikken og det tilhørende informationssikkerhedsstyringssystem.
1.3. Anvendelsesområde
Denne politik gælder for alle informationsaktiver, der ejes, kontrolleres eller behandles af European IT Certification Institute. Dette omfatter alle digitale og fysiske informationsaktiver, såsom systemer, netværk, software, data og dokumentation. Denne politik gælder også for alle medarbejdere, entreprenører og tredjepartstjenesteudbydere, der har adgang til vores informationsaktiver.
1.4. Overholdelse
European IT Certification Institute er forpligtet til at overholde relevante informationssikkerhedsstandarder, herunder ISO 27001 og ISO 17024. Vi gennemgår og opdaterer regelmæssigt denne politik for at sikre dens løbende relevans og overholdelse af disse standarder.
Del 2. Organisatorisk sikkerhed
2.1. Organisationens sikkerhedsmål
Ved at implementere organisatoriske sikkerhedsforanstaltninger sigter vi mod at sikre, at vores informationsaktiver og databehandlingspraksis og -procedurer udføres med det højeste niveau af sikkerhed og integritet, og at vi overholder relevante lovbestemmelser og standarder.
2.2. Informationssikkerhedsroller og -ansvar
European IT Certification Institute definerer og kommunikerer roller og ansvar for informationssikkerhed på tværs af organisationen. Dette omfatter tildeling af tydeligt ejerskab til informationsaktiver i forbindelse med informationssikkerheden, etablering af en styringsstruktur og definering af specifikke ansvarsområder for forskellige roller og afdelinger på tværs af organisationen.
2.3. Risikostyring
Vi udfører regelmæssige risikovurderinger for at identificere og prioritere informationssikkerhedsrisici for organisationen, herunder risici relateret til behandling af personoplysninger. Vi etablerer passende kontroller for at mindske disse risici og gennemgår og opdaterer regelmæssigt vores risikostyringstilgang baseret på ændringer i forretningsmiljøet og trusselslandskabet.
2.4. Informationssikkerhedspolitikker og -procedurer
Vi etablerer og vedligeholder et sæt informationssikkerhedspolitikker og -procedurer, der er baseret på industriens bedste praksis og overholder relevante regler og standarder. Disse politikker og procedurer dækker alle aspekter af informationssikkerhed, herunder behandling af personoplysninger, og bliver regelmæssigt gennemgået og opdateret for at sikre deres effektivitet.
2.5. Sikkerhedsbevidsthed og træning
Vi leverer regelmæssige sikkerhedsbevidsthed og træningsprogrammer til alle medarbejdere, entreprenører og tredjepartspartnere, som har adgang til personlige data eller andre følsomme oplysninger. Denne uddannelse dækker emner som phishing, social engineering, adgangskodehygiejne og andre bedste praksisser for informationssikkerhed.
2.6. Fysisk og miljømæssig sikkerhed
Vi implementerer passende fysiske og miljømæssige sikkerhedskontroller for at beskytte mod uautoriseret adgang, beskadigelse eller interferens med vores faciliteter og informationssystemer. Dette omfatter foranstaltninger såsom adgangskontrol, overvågning, overvågning og backup strøm- og kølesystemer.
2.7. Informationssikkerhed Incident Management
Vi har etableret en hændelseshåndteringsproces, der gør os i stand til at reagere hurtigt og effektivt på eventuelle informationssikkerhedshændelser, der måtte opstå. Dette omfatter procedurer for rapportering, eskalering, undersøgelse og løsning af hændelser samt foranstaltninger til at forhindre gentagelse og forbedre vores hændelsesreaktionskapacitet.
2.8. Operationel kontinuitet og disaster recovery
Vi har etableret og testet operationelle kontinuitets- og katastrofeberedskabsplaner, der gør os i stand til at opretholde vores kritiske driftsfunktioner og -tjenester i tilfælde af en afbrydelse eller katastrofe. Disse planer omfatter procedurer for backup og gendannelse af data og systemer og foranstaltninger til at sikre tilgængeligheden og integriteten af personlige data.
2.9. Tredjepartsledelse
Vi etablerer og vedligeholder passende kontroller til styring af risici forbundet med tredjepartspartnere, som har adgang til persondata eller andre følsomme oplysninger. Dette omfatter foranstaltninger som due diligence, kontraktlige forpligtelser, overvågning og revisioner, samt foranstaltninger til at afslutte partnerskaber, når det er nødvendigt.
Del 3. Sikkerhed for menneskelige ressourcer
3.1. Beskæftigelsesscreening
Det Europæiske IT-certificeringsinstitut har etableret en proces for ansættelsesscreening for at sikre, at personer med adgang til følsomme oplysninger er troværdige og har de nødvendige færdigheder og kvalifikationer.
3.2. Adgangskontrol
Vi har etableret adgangskontrolpolitikker og -procedurer for at sikre, at medarbejdere kun har adgang til de oplysninger, der er nødvendige for deres jobansvar. Adgangsrettighederne gennemgås og opdateres løbende for at sikre, at medarbejderne kun har adgang til de oplysninger, de har brug for.
3.3. Informationssikkerhedsbevidsthed og uddannelse
Vi tilbyder regelmæssigt informationssikkerhedsbevidsthedstræning til alle medarbejdere. Denne uddannelse dækker emner som adgangskodesikkerhed, phishing-angreb, social engineering og andre aspekter af cybersikkerhed.
3.4. Acceptabel brug
Vi har etableret en politik for acceptabel brug, der beskriver den acceptable brug af informationssystemer og ressourcer, herunder personlige enheder, der bruges til arbejdsformål.
3.5. Mobil enhedssikkerhed
Vi har etableret politikker og procedurer for sikker brug af mobile enheder, herunder brug af adgangskoder, kryptering og fjernsletning.
3.6. Opsigelsesprocedurer
Det Europæiske IT-certificeringsinstitut har etableret procedurer for opsigelse af ansættelse eller kontrakt for at sikre, at adgang til følsomme oplysninger tilbagekaldes hurtigt og sikkert.
3.7. Tredjeparts personale
Vi har etableret procedurer for styring af tredjepartspersonale, som har adgang til følsomme oplysninger. Disse politikker involverer screening, adgangskontrol og træning i informationssikkerhed.
3.8. Indberetning af hændelser
Vi har etableret politikker og procedurer for rapportering af informationssikkerhedshændelser eller bekymringer til det relevante personale eller de relevante myndigheder.
3.9. Fortrolighedsaftaler
European IT Certification Institute kræver, at medarbejdere og entreprenører underskriver fortrolighedsaftaler for at beskytte følsomme oplysninger mod uautoriseret videregivelse.
3.10. Disciplinære handlinger
Det Europæiske IT-certificeringsinstitut har etableret politikker og procedurer for disciplinære handlinger i tilfælde af overtrædelser af informationssikkerhedspolitikken fra medarbejderes eller kontrahenters side.
Del 4. Risikovurdering og styring
4.1. Risikovurdering
Vi udfører periodiske risikovurderinger for at identificere potentielle trusler og sårbarheder for vores informationsaktiver. Vi bruger en struktureret tilgang til at identificere, analysere, evaluere og prioritere risici baseret på deres sandsynlighed og potentielle påvirkning. Vi vurderer risici forbundet med vores informationsaktiver, herunder systemer, netværk, software, data og dokumentation.
4.2. Risikobehandling
Vi bruger en risikobehandlingsproces til at mindske eller reducere risici til et acceptabelt niveau. Risikobehandlingsprocessen omfatter valg af passende kontroller, implementering af kontroller og overvågning af effektiviteten af kontroller. Vi prioriterer implementering af kontroller baseret på risikoniveau, tilgængelige ressourcer og forretningsprioriteter.
4.3. Risikoovervågning og gennemgang
Vi overvåger og gennemgår regelmæssigt effektiviteten af vores risikostyringsproces for at sikre, at den forbliver relevant og effektiv. Vi bruger målinger og indikatorer til at måle ydeevnen af vores risikostyringsproces og identificere muligheder for forbedringer. Vi gennemgår også vores risikostyringsproces som en del af vores periodiske ledelsesgennemgange for at sikre dens løbende egnethed, tilstrækkelighed og effektivitet.
4.4. Risk Response Planning
Vi har en risikoresponsplan på plads for at sikre, at vi kan reagere effektivt på eventuelle identificerede risici. Denne plan omfatter procedurer til at identificere og rapportere risici samt processer til at vurdere den potentielle påvirkning af hver risiko og fastlægge passende reaktionshandlinger. Vi har også beredskabsplaner på plads for at sikre forretningskontinuitet i tilfælde af en væsentlig risikohændelse.
4.5. Operationel konsekvensanalyse
Vi udfører periodiske forretningskonsekvensanalyser for at identificere den potentielle indvirkning af forstyrrelser på vores forretningsdrift. Denne analyse omfatter en vurdering af kritikaliteten af vores forretningsfunktioner, systemer og data, samt en evaluering af den potentielle indvirkning af forstyrrelser på vores kunder, medarbejdere og andre interessenter.
4.6. Tredjeparts risikostyring
Vi har et tredjeparts risikostyringsprogram på plads for at sikre, at vores leverandører og andre tredjepartstjenesteudbydere også håndterer risici korrekt. Dette program omfatter due diligence-tjek, før man samarbejder med tredjeparter, løbende overvågning af tredjepartsaktiviteter og periodiske vurderinger af tredjeparters risikostyringspraksis.
4.7. Incident Response og Management
Vi har en hændelsesberedskab og en ledelsesplan på plads for at sikre, at vi kan reagere effektivt på eventuelle sikkerhedshændelser. Denne plan omfatter procedurer til at identificere og rapportere hændelser samt processer til at vurdere virkningen af hver hændelse og fastlægge passende reaktionshandlinger. Vi har også en forretningskontinuitetsplan på plads for at sikre, at kritiske forretningsfunktioner kan fortsætte i tilfælde af en væsentlig hændelse.
Del 5. Fysisk og miljømæssig sikkerhed
5.1. Fysisk sikkerhed perimeter
Vi har etableret fysiske sikkerhedsforanstaltninger for at beskytte de fysiske lokaler og følsomme oplysninger mod uautoriseret adgang.
5.2. Adgangskontrol
Vi har etableret adgangskontrolpolitikker og -procedurer for de fysiske lokaler for at sikre, at kun autoriseret personale har adgang til følsomme oplysninger.
5.3. Udstyr Sikkerhed
Vi sikrer, at alt udstyr, der indeholder følsomme oplysninger, er fysisk sikret, og adgang til dette udstyr er begrænset til kun autoriseret personale.
5.4. Sikker bortskaffelse
Vi har etableret procedurer for sikker bortskaffelse af følsomme oplysninger, herunder papirdokumenter, elektroniske medier og hardware.
5.5. Fysisk miljø
Vi sikrer, at det fysiske miljø i lokalerne, herunder temperatur, luftfugtighed og belysning, er passende til beskyttelse af følsomme oplysninger.
5.6. Strømforsyning
Vi sikrer, at strømforsyningen til lokalerne er pålidelig og beskyttet mod strømafbrydelser eller overspændinger.
5.7. Brandsikring
Vi har etableret brandbeskyttelsespolitikker og -procedurer, herunder installation og vedligeholdelse af branddetekterings- og slukningssystemer.
5.8. Vandskadebeskyttelse
Vi har etableret politikker og procedurer til at beskytte følsomme oplysninger mod vandskader, herunder installation og vedligeholdelse af oversvømmelsesdetektions- og forebyggelsessystemer.
5.9. Vedligeholdelse af udstyr
Vi har etableret procedurer for vedligeholdelse af udstyr, herunder inspektion af udstyr for tegn på manipulation eller uautoriseret adgang.
5.10. Acceptabel brug
Vi har etableret en acceptabel brugspolitik, der skitserer den acceptable brug af fysiske ressourcer og faciliteter.
5.11. Fjernadgang
Vi har etableret politikker og procedurer for fjernadgang til følsomme oplysninger, herunder brug af sikre forbindelser og kryptering.
5.12. Overvågning og Overvågning
Vi har etableret politikker og procedurer for overvågning og overvågning af de fysiske lokaler og udstyr for at opdage og forhindre uautoriseret adgang eller manipulation.
En del. 6. Kommunikations- og driftssikkerhed
6.1. Netværkssikkerhedsstyring
Vi har etableret politikker og procedurer for styring af netværkssikkerhed, herunder brug af firewalls, indtrængningsdetektion og -forebyggelsessystemer og regelmæssige sikkerhedsaudits.
6.2. Informationsoverførsel
Vi har etableret politikker og procedurer for sikker overførsel af følsomme oplysninger, herunder brug af kryptering og sikre filoverførselsprotokoller.
6.3. Tredjepartskommunikation
Vi har etableret politikker og procedurer for sikker udveksling af følsomme oplysninger med tredjepartsorganisationer, herunder brug af sikre forbindelser og kryptering.
6.4. Mediehåndtering
Vi har etableret procedurer for håndtering af følsomme oplysninger i forskellige former for medier, herunder papirdokumenter, elektroniske medier og bærbare lagerenheder.
6.5. Udvikling og vedligeholdelse af informationssystemer
Vi har etableret politikker og procedurer for udvikling og vedligeholdelse af informationssystemer, herunder brug af sikker kodningspraksis, regelmæssige softwareopdateringer og patch management.
6.6. Beskyttelse mod malware og virus
Vi har etableret politikker og procedurer til at beskytte informationssystemer mod malware og vira, herunder brug af antivirussoftware og regelmæssige sikkerhedsopdateringer.
6.7. Sikkerhedskopiering og gendannelse
Vi har etableret politikker og procedurer for sikkerhedskopiering og gendannelse af følsomme oplysninger for at forhindre tab af data eller korruption.
6.8. Event Management
Vi har etableret politikker og procedurer for identifikation, undersøgelse og løsning af sikkerhedshændelser og hændelser.
6.9. Sårbarhedshåndtering
Vi har etableret politikker og procedurer for håndtering af informationssystemers sårbarheder, herunder brug af regelmæssige sårbarhedsvurderinger og patch management.
6.10. Adgangskontrol
Vi har etableret politikker og procedurer for styring af brugeradgang til informationssystemer, herunder brug af adgangskontrol, brugergodkendelse og regelmæssige adgangsgennemgange.
6.11. Overvågning og logning
Vi har etableret politikker og procedurer for overvågning og logning af informationssystemaktiviteter, herunder brug af revisionsspor og logning af sikkerhedshændelser.
Del 7. Anskaffelse, udvikling og vedligeholdelse af informationssystemer
7.1. Krav
Vi har etableret politikker og procedurer for identifikation af informationssystemkrav, herunder forretningskrav, lovmæssige og regulatoriske krav og sikkerhedskrav.
7.2. Leverandørforhold
Vi har etableret politikker og procedurer for styring af relationer med tredjepartsleverandører af informationssystemer og tjenester, herunder evaluering af leverandørers sikkerhedspraksis.
7.3. Systemudvikling
Vi har etableret politikker og procedurer for sikker udvikling af informationssystemer, herunder brug af sikker kodningspraksis, regelmæssig testning og kvalitetssikring.
7.4. Systemtest
Vi har etableret politikker og procedurer for test af informationssystemer, herunder funktionstest, ydeevnetest og sikkerhedstest.
7.5. Systemaccept
Vi har etableret politikker og procedurer for accept af informationssystemer, herunder godkendelse af testresultater, sikkerhedsvurderinger og brugeraccepttest.
7.6. Systemvedligeholdelse
Vi har etableret politikker og procedurer for vedligeholdelse af informationssystemer, herunder regelmæssige opdateringer, sikkerhedsrettelser og systemsikkerhedskopiering.
7.7. Systempensionering
Vi har etableret politikker og procedurer for tilbagetrækning af informationssystemer, herunder sikker bortskaffelse af hardware og data.
7.8. Datalagring
Vi har etableret politikker og procedurer for opbevaring af data i overensstemmelse med lovmæssige og regulatoriske krav, herunder sikker opbevaring og bortskaffelse af følsomme data.
7.9. Sikkerhedskrav til informationssystemer
Vi har etableret politikker og procedurer for identifikation og implementering af sikkerhedskrav til informationssystemer, herunder adgangskontrol, kryptering og databeskyttelse.
7.10. Sikre udviklingsmiljøer
Vi har etableret politikker og procedurer for de sikre udviklingsmiljøer for informationssystemer, herunder brugen af sikker udviklingspraksis, adgangskontrol og sikre netværkskonfigurationer.
7.11. Beskyttelse af testmiljøer
Vi har etableret politikker og procedurer til beskyttelse af testmiljøer for informationssystemer, herunder brug af sikre konfigurationer, adgangskontrol og regelmæssig sikkerhedstest.
7.12. Sikker System Engineering Principper
Vi har etableret politikker og procedurer for implementering af sikre systemkonstruktionsprincipper for informationssystemer, herunder brugen af sikkerhedsarkitekturer, trusselsmodellering og sikker kodningspraksis.
7.13. Retningslinjer for sikker kodning
Vi har etableret politikker og procedurer for implementering af sikre kodningsretningslinjer for informationssystemer, herunder brug af kodningsstandarder, kodegennemgange og automatiseret test.
Del 8. Hardwareanskaffelse
8.1. Overholdelse af standarder
Vi overholder ISO 27001-standarden for informationssikkerhedsstyringssystem (ISMS) for at sikre, at hardwareaktiver anskaffes i overensstemmelse med vores sikkerhedskrav.
8.2. Risikovurdering
Vi foretager risikovurdering, før vi anskaffer hardwareaktiver for at identificere potentielle sikkerhedsrisici og sikre, at den valgte hardware opfylder sikkerhedskravene.
8.3. Udvalg af leverandører
Vi anskaffer kun hardwareaktiver fra betroede leverandører, som har en dokumenteret track record i at levere sikre produkter. Vi gennemgår leverandørens sikkerhedspolitikker og -praksis og kræver, at de giver sikkerhed for, at deres produkter opfylder vores sikkerhedskrav.
8.4. Sikker transport
Vi sikrer, at hardwareaktiver transporteres sikkert til vores lokaler for at forhindre manipulation, beskadigelse eller tyveri under transport.
8.5. Autenticitetsbekræftelse
Vi verificerer ægtheden af hardwareaktiver ved levering for at sikre, at de ikke er forfalskede eller manipuleret med.
8.6. Fysisk og miljømæssig kontrol
Vi implementerer passende fysiske og miljømæssige kontroller for at beskytte hardwareaktiver mod uautoriseret adgang, tyveri eller beskadigelse.
8.7. Installation af hardware
Vi sikrer, at alle hardwareaktiver er konfigureret og installeret i overensstemmelse med etablerede sikkerhedsstandarder og retningslinjer.
8.8. Hardware anmeldelser
Vi udfører periodiske gennemgange af hardwareaktiver for at sikre, at de fortsat opfylder vores sikkerhedskrav og er opdateret med de seneste sikkerhedsrettelser og opdateringer.
8.9. Bortskaffelse af hardware
Vi bortskaffer hardwareaktiver på en sikker måde for at forhindre uautoriseret adgang til følsomme oplysninger.
Del 9. Beskyttelse mod malware og virus
9.1. Softwareopdateringspolitik
Vi opretholder opdateret antivirus- og malwarebeskyttelsessoftware på alle informationssystemer, der bruges af European IT Certification Institute, herunder servere, arbejdsstationer, bærbare computere og mobile enheder. Vi sikrer, at antivirus- og malwarebeskyttelsessoftwaren er konfigureret til automatisk at opdatere sine virusdefinitionsfiler og softwareversioner regelmæssigt, og at denne proces testes regelmæssigt.
9.2. Scanning af antivirus og malware
Vi udfører regelmæssige scanninger af alle informationssystemer, inklusive servere, arbejdsstationer, bærbare computere og mobile enheder, for at opdage og fjerne eventuelle vira eller malware.
9.3. Politik om ikke-deaktivering og ingen ændring
Vi håndhæver politikker, der forbyder brugere at deaktivere eller ændre antivirus- og malwarebeskyttelsessoftware på ethvert informationssystem.
9.4. Overvågning
Vi overvåger vores antivirus- og malwarebeskyttelsessoftwareadvarsler og -logfiler for at identificere eventuelle hændelser med virus- eller malwareinfektioner og reagerer på sådanne hændelser rettidigt.
9.5. Vedligeholdelse af journaler
Vi opbevarer fortegnelser over antivirus- og malwarebeskyttelsessoftwarekonfigurationer, opdateringer og scanninger samt eventuelle hændelser med virus- eller malwareinfektioner til revisionsformål.
9.6. Software anmeldelser
Vi udfører periodiske gennemgange af vores antivirus- og malwarebeskyttelsessoftware for at sikre, at den opfylder de nuværende industristandarder og er tilstrækkelig til vores behov.
9.7. Træning og bevidsthed
Vi tilbyder trænings- og oplysningsprogrammer for at uddanne alle medarbejdere om vigtigheden af virus- og malwarebeskyttelse, og hvordan man genkender og rapporterer mistænkelige aktiviteter eller hændelser.
Del 10. Information Asset Management
10.1. Oplysninger om aktivbeholdning
European IT Certification Institute vedligeholder en fortegnelse over informationsaktiver, der omfatter alle digitale og fysiske informationsaktiver, såsom systemer, netværk, software, data og dokumentation. Vi klassificerer informationsaktiver baseret på deres kritikalitet og følsomhed for at sikre, at passende beskyttelsesforanstaltninger implementeres.
10.2. Håndtering af informationsaktiver
Vi implementerer passende foranstaltninger til at beskytte informationsaktiver baseret på deres klassificering, herunder fortrolighed, integritet og tilgængelighed. Vi sikrer, at alle informationsaktiver håndteres i overensstemmelse med gældende love, regler og kontraktmæssige krav. Vi sikrer også, at alle informationsaktiver opbevares korrekt, beskyttes og bortskaffes, når de ikke længere er nødvendige.
10.3. Ejerskab af informationsaktiver
Vi tildeler ejerskab af informationsaktiver til enkeltpersoner eller afdelinger, der er ansvarlige for at administrere og beskytte informationsaktiver. Vi sikrer også, at ejere af informationsaktiver forstår deres ansvar og ansvar for at beskytte informationsaktiver.
10.4. Beskyttelse af informationsaktiver
Vi bruger en række beskyttelsesforanstaltninger til at beskytte informationsaktiver, herunder fysiske kontroller, adgangskontroller, kryptering og backup- og gendannelsesprocesser. Vi sikrer også, at alle informationsaktiver er beskyttet mod uautoriseret adgang, ændring eller ødelæggelse.
Del 11. Adgangskontrol
11.1. Adgangskontrolpolitik
Det Europæiske IT-certificeringsinstitut har en adgangskontrolpolitik, der beskriver kravene for tildeling, ændring og tilbagekaldelse af adgang til informationsaktiver. Adgangskontrol er en kritisk komponent i vores informationssikkerhedsstyringssystem, og vi implementerer det for at sikre, at kun autoriserede personer har adgang til vores informationsaktiver.
11.2. Implementering af adgangskontrol
Vi implementerer adgangskontrolforanstaltninger baseret på princippet om mindste privilegium, hvilket betyder, at enkeltpersoner kun har adgang til de informationsaktiver, der er nødvendige for at udføre deres jobfunktioner. Vi bruger en række adgangskontrolforanstaltninger, herunder autentificering, autorisation og regnskab (AAA). Vi bruger også adgangskontrollister (ACL'er) og tilladelser til at kontrollere adgangen til informationsaktiver.
11.3. Adgangskodepolitik
European IT Certification Institute har en adgangskodepolitik, der beskriver kravene til oprettelse og håndtering af adgangskoder. Vi kræver stærke adgangskoder, der er mindst 8 tegn lange, med en kombination af store og små bogstaver, tal og specialtegn. Vi kræver også periodiske ændringer af adgangskoder og forbyder genbrug af tidligere adgangskoder.
11.4. Brugeradministration
Vi har en brugeradministrationsproces, der omfatter oprettelse, ændring og sletning af brugerkonti. Brugerkonti oprettes ud fra princippet om mindste privilegium, og der gives kun adgang til de informationsaktiver, der er nødvendige for at udføre den enkeltes jobfunktioner. Vi gennemgår også regelmæssigt brugerkonti og fjerner konti, der ikke længere er nødvendige.
Del 12. Informationssikkerhed Incident Management
12.1. Hændelsesstyringspolitik
European IT Certification Institute har en Incident Management Policy, der beskriver kravene til at opdage, rapportere, vurdere og reagere på sikkerhedshændelser. Vi definerer sikkerhedshændelser som enhver begivenhed, der kompromitterer fortroligheden, integriteten eller tilgængeligheden af informationsaktiver eller -systemer.
12.2. Opdagelse og rapportering af hændelser
Vi implementerer foranstaltninger til at opdage og rapportere sikkerhedshændelser omgående. Vi bruger en række forskellige metoder til at opdage sikkerhedshændelser, herunder indtrængendetekteringssystemer (IDS), antivirussoftware og brugerrapportering. Vi sikrer også, at alle medarbejdere er opmærksomme på procedurerne for rapportering af sikkerhedshændelser og opfordrer til indberetning af alle formodede hændelser.
12.3. Hændelsesvurdering og -respons
Vi har en proces til at vurdere og reagere på sikkerhedshændelser baseret på deres alvor og virkning. Vi prioriterer hændelser baseret på deres potentielle indvirkning på informationsaktiver eller -systemer og tildeler passende ressourcer til at reagere på dem. Vi har også en responsplan, der omfatter procedurer til identificering, indeslutning, analyse, udryddelse og genopretning efter sikkerhedshændelser, samt underretning af relevante parter og gennemførelse af gennemgange efter hændelsen. Vores hændelsesprocedurer er designet til at sikre en hurtig og effektiv reaktion til sikkerhedshændelser. Procedurerne bliver løbende gennemgået og opdateret for at sikre deres effektivitet og relevans.
12.4. Incident Response Team
Vi har et Incident Response Team (IRT), der er ansvarligt for at reagere på sikkerhedshændelser. IRT er sammensat af repræsentanter fra forskellige enheder og ledes af Information Security Officer (ISO). IRT er ansvarlig for at vurdere sværhedsgraden af hændelser, indeholde hændelsen og igangsætte passende reaktionsprocedurer.
12.5. Hændelsesrapportering og gennemgang
Vi har etableret procedurer for rapportering af sikkerhedshændelser til relevante parter, herunder kunder, regulerende myndigheder og retshåndhævende myndigheder, som krævet af gældende love og regler. Vi opretholder også kommunikation med de berørte parter gennem hele hændelsens reaktionsproces, og giver rettidige opdateringer om hændelsens status og eventuelle handlinger, der træffes for at afbøde dens virkning. Vi foretager også en gennemgang af alle sikkerhedshændelser for at identificere årsagen og forhindre lignende hændelser i at opstå i fremtiden.
Del 13. Business Continuity Management og Disaster Recovery
13.1. Business Continuity Planning
Selvom European IT Certification Institute er en non-profit organisation, har det en Business Continuity Plan (BCP), der beskriver procedurerne for at sikre kontinuiteten i dets drift i tilfælde af en forstyrrende hændelse. BCP'en dækker alle kritiske driftsprocesser og identificerer de ressourcer, der er nødvendige for at opretholde driften under og efter en forstyrrende hændelse. Den skitserer også procedurerne for opretholdelse af forretningsdrift under en afbrydelse eller katastrofe, vurdering af virkningen af forstyrrelser, identificering af de mest kritiske driftsprocesser i forbindelse med en bestemt forstyrrende hændelse og udvikling af reaktions- og genopretningsprocedurer.
13.2. Disaster Recovery Planning
European IT Certification Institute har en Disaster Recovery Plan (DRP), der beskriver procedurerne for gendannelse af vores informationssystemer i tilfælde af en afbrydelse eller katastrofe. DRP omfatter procedurer til sikkerhedskopiering af data, datagendannelse og systemgendannelse. DRP testes og opdateres regelmæssigt for at sikre dens effektivitet.
13.3. Business Impact Analyse
Vi udfører en Business Impact Analysis (BIA) for at identificere de kritiske driftsprocesser og de ressourcer, der kræves for at vedligeholde dem. BIA hjælper os med at prioritere vores genopretningsindsats og allokere ressourcer i overensstemmelse hermed.
13.4. Forretningskontinuitetsstrategi
Baseret på resultaterne af BIA udvikler vi en Business Continuity Strategy, der skitserer procedurerne for at reagere på en forstyrrende hændelse. Strategien omfatter procedurer for aktivering af BCP, gendannelse af kritiske driftsprocesser og kommunikation med relevante interessenter.
13.5. Test og vedligeholdelse
Vi tester og vedligeholder regelmæssigt vores BCP og DRP for at sikre deres effektivitet og relevans. Vi udfører regelmæssige tests for at validere BCP/DRP og identificere områder til forbedring. Vi opdaterer også BCP og DRP efter behov for at afspejle ændringer i vores operationer eller trusselslandskabet. Test inkluderer bordpladeøvelser, simuleringer og live test af procedurer. Vi gennemgår og opdaterer også vores planer baseret på resultaterne af test og erfaringer.
13.6. Alternative behandlingssteder
Vi opretholder alternative online-behandlingssider, der kan bruges til at fortsætte forretningsdriften i tilfælde af en afbrydelse eller katastrofe. De alternative behandlingssteder er udstyret med de nødvendige infrastrukturer og systemer og kan bruges til at understøtte kritiske forretningsprocesser.
Del 14. Overholdelse og revision
14.1. Overholdelse af love og regler
European IT Certification Institute er forpligtet til at overholde alle gældende love og regler relateret til informationssikkerhed og privatliv, herunder databeskyttelseslove, industristandarder og kontraktlige forpligtelser. Vi gennemgår og opdaterer regelmæssigt vores politikker, procedurer og kontroller for at sikre overholdelse af alle relevante krav og standarder. De vigtigste standarder og rammer, vi følger i informationssikkerhedssammenhæng, omfatter:
- ISO/IEC 27001-standarden giver retningslinjer for implementering og styring af et Information Security Management System (ISMS), som omfatter sårbarhedsstyring som en nøglekomponent. Det giver en referenceramme for implementering og vedligeholdelse af vores informationssikkerhedsstyringssystem (ISMS), herunder sårbarhedsstyring. I overensstemmelse med disse standardbestemmelser identificerer, vurderer og administrerer vi informationssikkerhedsrisici, herunder sårbarheder.
- Det amerikanske National Institute of Standards and Technology (NIST) Cybersecurity Framework giver retningslinjer for identifikation, vurdering og styring af cybersikkerhedsrisici, herunder sårbarhedshåndtering.
- National Institute of Standards and Technology (NIST) Cybersikkerhedsramme til forbedring af cybersikkerhedsrisikostyring med et kernesæt af funktioner, herunder sårbarhedsstyring, som vi overholder for at styre vores cybersikkerhedsrisici.
- SANS Critical Security Controls, der indeholder et sæt af 20 sikkerhedskontroller til forbedring af cybersikkerhed, og dækker en række områder, herunder sårbarhedshåndtering, der giver specifik vejledning om sårbarhedsscanning, patch-håndtering og andre aspekter af sårbarhedshåndtering.
- Payment Card Industry Data Security Standard (PCI DSS), der kræver håndtering af kreditkortoplysninger i forbindelse med sårbarhedshåndtering i denne sammenhæng.
- Center for Internet Security Controls (CIS) inklusive sårbarhedsstyring som en af de vigtigste kontroller for at sikre sikre konfigurationer af vores informationssystemer.
- Open Web Application Security Project (OWASP) med sin Top 10-liste over de mest kritiske webapplikationssikkerhedsrisici, herunder vurdering af sårbarheder såsom injektionsangreb, brudt godkendelse og sessionsstyring, cross-site scripting (XSS) osv. Vi bruger OWASP Top 10 for at prioritere vores indsats for sårbarhedshåndtering og fokusere på de mest kritiske risici i forhold til vores websystemer.
14.2. Intern revision
Vi udfører regelmæssige interne revisioner for at vurdere effektiviteten af vores Information Security Management System (ISMS) og sikre, at vores politikker, procedurer og kontroller bliver fulgt. Den interne revisionsproces omfatter identifikation af afvigelser, udvikling af korrigerende handlinger og sporing af afhjælpningsindsatser.
14.3. Ekstern revision
Vi samarbejder med jævne mellemrum med eksterne revisorer for at validere vores overholdelse af gældende love, regler og industristandarder. Vi giver revisorer adgang til vores faciliteter, systemer og dokumentation efter behov for at validere vores overholdelse. Vi samarbejder også med eksterne revisorer for at behandle eventuelle fund eller anbefalinger, der er identificeret under revisionsprocessen.
14.4. Overvågning af overholdelse
Vi overvåger vores overholdelse af gældende love, regler og industristandarder løbende. Vi bruger en række forskellige metoder til at overvåge overholdelse, herunder periodiske vurderinger, revisioner og anmeldelser af tredjepartsudbydere. Vi gennemgår og opdaterer også regelmæssigt vores politikker, procedurer og kontroller for at sikre løbende overholdelse af alle relevante krav.
Del 15. Tredjepartsledelse
15.1. Tredjepartsstyringspolitik
Det Europæiske IT-certificeringsinstitut har en tredjepartsstyringspolitik, der beskriver kravene til udvælgelse, vurdering og overvågning af tredjepartsudbydere, der har adgang til vores informationsaktiver eller -systemer. Politikken gælder for alle tredjepartsudbydere, herunder cloud-tjenesteudbydere, leverandører og entreprenører.
15.2. Tredjeparts udvælgelse og vurdering
Vi udfører due diligence, før vi engagerer os med tredjepartsudbydere for at sikre, at de har tilstrækkelig sikkerhedskontrol på plads for at beskytte vores informationsaktiver eller -systemer. Vi vurderer også tredjepartsudbydernes overholdelse af gældende love og regler relateret til informationssikkerhed og privatliv.
15.3. Tredjepartsovervågning
Vi overvåger løbende tredjepartsudbydere for at sikre, at de fortsat opfylder vores krav til informationssikkerhed og privatliv. Vi bruger en række forskellige metoder til at overvåge tredjepartsudbydere, herunder periodiske vurderinger, revisioner og gennemgange af rapporter om sikkerhedshændelser.
15.4. Kontraktkrav
Vi inkluderer kontraktlige krav relateret til informationssikkerhed og privatliv i alle kontrakter med tredjepartsudbydere. Disse krav omfatter bestemmelser om databeskyttelse, sikkerhedskontrol, hændelsesstyring og overholdelsesovervågning. Vi medtager også bestemmelser om opsigelse af kontrakter i tilfælde af en sikkerhedshændelse eller manglende overholdelse.
Del 16. Informationssikkerhed i certificeringsprocesser
16.1 Sikkerhed for certificeringsprocesser
Vi træffer passende og systemiske foranstaltninger for at sikre sikkerheden af alle oplysninger, der er relateret til vores certificeringsprocesser, herunder personoplysninger om personer, der søger certificering. Dette omfatter kontroller for adgang, lagring og transmission af alle certificeringsrelaterede oplysninger. Ved at implementere disse foranstaltninger sigter vi mod at sikre, at certificeringsprocesserne udføres med det højeste niveau af sikkerhed og integritet, og at personoplysningerne for personer, der søger certificering, er beskyttet i overensstemmelse med relevante regler og standarder.
16.2. Autentificering og autorisation
Vi bruger godkendelses- og autorisationskontroller til at sikre, at kun autoriseret personale har adgang til certificeringsoplysninger. Adgangskontroller bliver regelmæssigt gennemgået og opdateret baseret på ændringer i personaleroller og -ansvar.
16.3. Data beskyttelse
Vi beskytter personlige data gennem hele certificeringsprocessen ved at implementere passende tekniske og organisatoriske foranstaltninger for at sikre fortrolighed, integritet og tilgængelighed af dataene. Dette omfatter foranstaltninger såsom kryptering, adgangskontrol og regelmæssige sikkerhedskopier.
16.4. Sikkerhed af eksamensprocesser
Vi sikrer sikkerheden i undersøgelsesprocesserne ved at implementere passende foranstaltninger til at forhindre snyd, overvåge og kontrollere undersøgelsesmiljøet. Vi opretholder også integriteten og fortroligheden af undersøgelsesmaterialer gennem sikre opbevaringsprocedurer.
16.5. Sikkerhed for eksamensindhold
Vi sikrer sikkerheden for undersøgelsesindhold ved at implementere passende foranstaltninger for at beskytte mod uautoriseret adgang, ændring eller videregivelse af indholdet. Dette omfatter brugen af sikker lagring, kryptering og adgangskontrol til eksamensindhold, samt kontroller til at forhindre uautoriseret distribution eller spredning af eksamensindhold.
16.6. Sikkerhed ved levering af eksamen
Vi sikrer sikkerheden ved levering af undersøgelser ved at implementere passende foranstaltninger for at forhindre uautoriseret adgang til eller manipulation af undersøgelsesmiljøet. Dette omfatter foranstaltninger såsom overvågning, revision og kontrol af undersøgelsesmiljøet og særlige undersøgelsestilgange for at forhindre snyd eller andre sikkerhedsbrud.
16.7. Sikkerhed for eksamensresultater
Vi sikrer sikkerheden for undersøgelsesresultater ved at implementere passende foranstaltninger for at beskytte mod uautoriseret adgang, ændring eller offentliggørelse af resultaterne. Dette omfatter brugen af sikker opbevaring, kryptering og adgangskontrol til eksamensresultater, samt kontroller til at forhindre uautoriseret distribution eller spredning af eksamensresultater.
16.8. Sikkerhed ved udstedelse af certifikater
Vi sikrer sikkerheden ved udstedelse af certifikater ved at implementere passende foranstaltninger for at forhindre svindel og uautoriseret udstedelse af certifikater. Dette omfatter kontroller til at verificere identiteten af personer, der modtager certifikater, og sikre opbevarings- og udstedelsesprocedurer.
16.9. Klager og klager
Vi har etableret procedurer for håndtering af klager og klager i forbindelse med certificeringsprocessen. Disse procedurer omfatter foranstaltninger til at sikre fortrolighed og upartiskhed i processen og sikkerheden af oplysninger i forbindelse med klager og klager.
16.10. Certificeringsprocesser Kvalitetsstyring
Vi har etableret et kvalitetsstyringssystem (QMS) for certificeringsprocesserne, der omfatter foranstaltninger til at sikre effektiviteten, effektiviteten og sikkerheden af processerne. QMS omfatter regelmæssige audits og gennemgange af processerne og deres sikkerhedskontroller.
16.11. Kontinuerlig forbedring af certificeringsprocessernes sikkerhed
Vi er forpligtet til løbende at forbedre vores certificeringsprocesser og deres sikkerhedskontrol. Dette omfatter regelmæssige gennemgange og opdateringer af certificeringsrelaterede politikker og procedurers sikkerhed baseret på ændringer i forretningsmiljøet, regulatoriske krav og bedste praksis inden for informationssikkerhedsstyring, i overensstemmelse med ISO 27001-standarden for informationssikkerhedsstyring, samt med ISO 17024 certificeringsorganer driftsstandard.
Del 17. Afsluttende bestemmelser
17.1. Politikgennemgang og opdatering
Denne informationssikkerhedspolitik er et levende dokument, der gennemgår løbende anmeldelser og opdateringer baseret på ændringer i vores operationelle krav, lovgivningsmæssige krav eller bedste praksis inden for informationssikkerhedsstyring.
17.2. Overvågning af overholdelse
Vi har etableret procedurer til overvågning af overholdelse af denne informationssikkerhedspolitik og relaterede sikkerhedskontroller. Overvågning af overholdelse omfatter regelmæssige audits, vurderinger og gennemgange af sikkerhedskontroller og deres effektivitet med hensyn til at nå målene i denne politik.
17.3. Indberetning af sikkerhedshændelser
Vi har etableret procedurer for rapportering af sikkerhedshændelser relateret til vores informationssystemer, herunder dem, der er relateret til personoplysninger om enkeltpersoner. Medarbejdere, entreprenører og andre interessenter opfordres til at rapportere alle sikkerhedshændelser eller formodede hændelser til det udpegede sikkerhedsteam så hurtigt som muligt.
17.4. Træning og bevidsthed
Vi tilbyder regelmæssige trænings- og oplysningsprogrammer til medarbejdere, kontrahenter og andre interessenter for at sikre, at de er bevidste om deres ansvar og forpligtelser i forbindelse med informationssikkerhed. Dette inkluderer træning i sikkerhedspolitikker og -procedurer og foranstaltninger til beskyttelse af enkeltpersoners personlige data.
17.5. Ansvar og ansvarlighed
Vi holder alle medarbejdere, entreprenører og andre interessenter ansvarlige og ansvarlige for at overholde denne informationssikkerhedspolitik og relaterede sikkerhedskontroller. Vi holder også ledelsen ansvarlig for at sikre, at passende ressourcer er allokeret til implementering og vedligeholdelse af effektive informationssikkerhedskontroller.
Denne informationssikkerhedspolitik er en kritisk komponent i Euroepan IT Certification Institutes informationssikkerhedsstyringsramme og demonstrerer vores forpligtelse til at beskytte informationsaktiver og behandlede data, sikre fortroligheden, privatlivets fred, integriteten og tilgængeligheden af informationer og overholde lovmæssige og kontraktmæssige krav.