Politika sigurnosti informacija
Politika sigurnosti informacija EITCA Akademije
Ovaj dokument specificira Politiku sigurnosti informacija (ISP) Evropskog instituta za IT sertifikaciju, koja se redovno pregleda i ažurira kako bi se osigurala efikasnost i relevantnost. Posljednje ažuriranje EITCI politike sigurnosti informacija napravljeno je 7. januara 2023.
Dio 1. Uvod i izjava o politici sigurnosti informacija
1.1. uvod
Evropski institut za IT sertifikaciju prepoznaje važnost informacione bezbednosti u održavanju poverljivosti, integriteta i dostupnosti informacija i poverenja naših zainteresovanih strana. Posvećeni smo zaštiti osjetljivih informacija, uključujući lične podatke, od neovlaštenog pristupa, otkrivanja, izmjene i uništenja. Održavamo efikasnu politiku sigurnosti informacija kako bismo podržali našu misiju pružanja pouzdanih i nepristrasnih usluga sertifikacije našim klijentima. Politika informacione sigurnosti ističe našu posvećenost zaštiti informacijske imovine i ispunjavanju naših zakonskih, regulatornih i ugovornih obaveza. Naša politika se zasniva na principima ISO 27001 i ISO 17024, vodećih međunarodnih standarda za upravljanje bezbednošću informacija i standardima rada sertifikacionih tela.
1.2. Izjava o politici
Evropski institut za IT sertifikaciju je posvećen:
- Zaštita povjerljivosti, integriteta i dostupnosti informacijskih sredstava,
- Usklađenost sa zakonskim, regulatornim i ugovornim obavezama u vezi sa sigurnošću informacija i obradom podataka implementirajući svoje procese i operacije sertifikacije,
- Kontinuirano poboljšava svoju politiku sigurnosti informacija i srodni sistem upravljanja,
- Pružanje adekvatne obuke i svijesti zaposlenima, izvođačima i učesnicima,
- Uključivanje svih zaposlenih i izvođača u implementaciju i održavanje politike informacione bezbednosti i sistema upravljanja bezbednošću informacija.
1.3. Scope
Ova politika se primjenjuje na svu informacijsku imovinu koju posjeduje, kontroliše ili obrađuje Evropski IT institut za sertifikaciju. Ovo uključuje svu digitalnu i fizičku informacijsku imovinu, kao što su sistemi, mreže, softver, podaci i dokumentacija. Ova politika se također primjenjuje na sve zaposlenike, izvođače radova i pružaoce usluga trećih strana koji pristupaju našim informacijskim sredstvima.
1.4. Usklađenost
Evropski institut za IT sertifikaciju posvećen je poštovanju relevantnih standarda za bezbednost informacija, uključujući ISO 27001 i ISO 17024. Redovno pregledavamo i ažuriramo ovu politiku kako bismo osigurali njenu stalnu relevantnost i usklađenost sa ovim standardima.
Dio 2. Organizacijska sigurnost
2.1. Sigurnosni ciljevi organizacije
Sprovođenjem organizacionih bezbednosnih mera, cilj nam je da obezbedimo da se naša informaciona sredstva i prakse i procedure obrade podataka sprovode sa najvišim nivoom bezbednosti i integriteta, kao i da budemo u skladu sa relevantnim zakonskim propisima i standardima.
2.2. Uloge i odgovornosti za sigurnost informacija
Evropski institut za IT sertifikaciju definiše i saopštava uloge i odgovornosti za bezbednost informacija u celoj organizaciji. Ovo uključuje dodelu jasnog vlasništva nad informacijskom imovinom u vezi sa sigurnošću informacija, uspostavljanje strukture upravljanja i definisanje specifičnih odgovornosti za različite uloge i odeljenja u celoj organizaciji.
2.3. Upravljanje rizikom
Vršimo redovne procene rizika kako bismo identifikovali i odredili prioritete bezbednosnih rizika za organizaciju, uključujući rizike vezane za obradu ličnih podataka. Uspostavljamo odgovarajuće kontrole za ublažavanje ovih rizika i redovno pregledamo i ažuriramo naš pristup upravljanju rizicima na osnovu promena u poslovnom okruženju i okruženju pretnji.
2.4. Politika i procedure informacione sigurnosti
Mi uspostavljamo i održavamo skup politika i procedura za sigurnost informacija koje su zasnovane na najboljim industrijskim praksama i usklađene sa relevantnim propisima i standardima. Ove politike i procedure pokrivaju sve aspekte sigurnosti informacija, uključujući obradu ličnih podataka, i redovno se pregledavaju i ažuriraju kako bi se osigurala njihova efikasnost.
2.5. Sigurnosna svijest i obuka
Pružamo redovne programe podizanja svijesti o sigurnosti i obuke za sve zaposlenike, izvođače radova i treće strane partnere koji imaju pristup ličnim podacima ili drugim osjetljivim informacijama. Ova obuka pokriva teme kao što su krađa identiteta, društveni inženjering, higijena lozinki i druge najbolje prakse za sigurnost informacija.
2.6. Fizička i ekološka sigurnost
Mi implementiramo odgovarajuće fizičke i ekološke sigurnosne kontrole kako bismo zaštitili od neovlaštenog pristupa, oštećenja ili ometanja naših objekata i informacionih sistema. Ovo uključuje mjere kao što su kontrola pristupa, nadzor, nadzor i rezervni sistemi napajanja i hlađenja.
2.7. Upravljanje incidentima u sigurnosti informacija
Uspostavili smo proces upravljanja incidentima koji nam omogućava da brzo i efikasno reagujemo na sve incidente u oblasti bezbednosti informacija koji se mogu desiti. Ovo uključuje procedure za prijavljivanje, eskalaciju, istragu i rješavanje incidenata, kao i mjere za sprečavanje ponavljanja i poboljšanje naših sposobnosti reagovanja na incidente.
2.8. Kontinuitet rada i oporavak od katastrofe
Uspostavili smo i testirali kontinuitet rada i planove oporavka od katastrofe koji nam omogućavaju da zadržimo naše kritične operativne funkcije i usluge u slučaju prekida ili katastrofe. Ovi planovi uključuju procedure za pravljenje rezervnih kopija i oporavak podataka i sistema, te mjere za osiguranje dostupnosti i integriteta ličnih podataka.
2.9. Upravljanje trećim stranama
Uspostavljamo i održavamo odgovarajuće kontrole za upravljanje rizicima povezanim sa trećim partnerima koji imaju pristup ličnim podacima ili drugim osjetljivim informacijama. Ovo uključuje mjere kao što su dužna pažnja, ugovorne obaveze, praćenje i revizije, kao i mjere za raskid partnerstva kada je to potrebno.
Dio 3. Sigurnost ljudskih resursa
3.1. Employment Screening
Evropski institut za IT sertifikaciju uspostavio je proces provjere zapošljavanja kako bi osigurao da su pojedinci s pristupom osjetljivim informacijama od povjerenja i da imaju potrebne vještine i kvalifikacije.
3.2. Kontrola pristupa
Uspostavili smo politike i procedure kontrole pristupa kako bismo osigurali da zaposleni imaju pristup samo informacijama neophodnim za njihove poslovne obaveze. Prava pristupa se redovno pregledavaju i ažuriraju kako bi se osiguralo da zaposleni imaju pristup samo informacijama koje su im potrebne.
3.3. Svijest o informacijskoj sigurnosti i obuka
Svim zaposlenima redovno pružamo obuku o informacionoj sigurnosti. Ova obuka pokriva teme kao što su sigurnost lozinki, phishing napadi, društveni inženjering i drugi aspekti sajber sigurnosti.
3.4. Prihvatljiva upotreba
Uspostavili smo politiku prihvatljive upotrebe koja navodi prihvatljivu upotrebu informacionih sistema i resursa, uključujući lične uređaje koji se koriste u radne svrhe.
3.5. Sigurnost mobilnih uređaja
Uspostavili smo politike i procedure za sigurnu upotrebu mobilnih uređaja, uključujući korištenje lozinki, šifriranje i mogućnosti daljinskog brisanja.
3.6. Procedure raskida
Evropski institut za IT certifikaciju uspostavio je procedure za raskid radnog odnosa ili ugovora kako bi osigurao da pristup osjetljivim informacijama bude brzo i sigurno opozvan.
3.7. Osoblje treće strane
Uspostavili smo procedure za upravljanje osobljem treće strane koje ima pristup osjetljivim informacijama. Ove politike uključuju provjeru, kontrolu pristupa i obuku o informacionoj sigurnosti.
3.8. Prijavljivanje incidenata
Uspostavili smo politike i procedure za prijavljivanje incidenata ili zabrinutosti u vezi sa sigurnošću informacija odgovarajućem osoblju ili vlastima.
3.9. Ugovori o povjerljivosti
Evropski institut za IT sertifikaciju zahteva od zaposlenih i izvođača da potpišu ugovore o poverljivosti kako bi zaštitili osetljive informacije od neovlašćenog otkrivanja.
3.10. Disciplinske mjere
Evropski institut za IT sertifikaciju uspostavio je politike i procedure za disciplinske mere u slučaju kršenja politike bezbednosti informacija od strane zaposlenih ili ugovarača.
Dio 4. Procjena i upravljanje rizikom
4.1. Procjena rizika
Vršimo periodične procene rizika kako bismo identifikovali potencijalne pretnje i ranjivosti naših informacionih sredstava. Koristimo strukturirani pristup da identifikujemo, analiziramo, procenimo i odredimo prioritete rizika na osnovu njihove verovatnoće i potencijalnog uticaja. Procjenjujemo rizike povezane s našom informacijskom imovinom, uključujući sisteme, mreže, softver, podatke i dokumentaciju.
4.2. Risk Treatment
Koristimo proces tretmana rizika da bismo ublažili ili smanjili rizike na prihvatljiv nivo. Proces tretmana rizika uključuje odabir odgovarajućih kontrola, implementaciju kontrola i praćenje efikasnosti kontrola. Dajemo prioritet implementaciji kontrola na osnovu nivoa rizika, raspoloživih resursa i poslovnih prioriteta.
4.3. Praćenje i pregled rizika
Redovno pratimo i revidiramo efikasnost našeg procesa upravljanja rizicima kako bismo osigurali da ostaje relevantan i efikasan. Koristimo metrike i indikatore za mjerenje učinka našeg procesa upravljanja rizicima i identificiranje mogućnosti za poboljšanje. Takođe pregledavamo naš proces upravljanja rizikom kao dio naših periodičnih pregleda menadžmenta kako bismo osigurali njegovu stalnu prikladnost, adekvatnost i djelotvornost.
4.4. Planiranje odgovora na rizik
Imamo uspostavljen plan odgovora na rizik kako bismo osigurali da možemo efikasno odgovoriti na sve identificirane rizike. Ovaj plan uključuje procedure za identifikaciju i izvještavanje o rizicima, kao i procese za procjenu potencijalnog uticaja svakog rizika i određivanje odgovarajućih akcija reagovanja. Takođe imamo planove za vanredne situacije kako bismo osigurali kontinuitet poslovanja u slučaju značajnog rizičnih događaja.
4.5. Operativna analiza uticaja
Vršimo periodične analize uticaja na poslovanje kako bismo identifikovali potencijalni uticaj poremećaja na naše poslovanje. Ova analiza uključuje procjenu kritičnosti naših poslovnih funkcija, sistema i podataka, kao i procjenu potencijalnog utjecaja poremećaja na naše klijente, zaposlenike i druge zainteresirane strane.
4.6. Upravljanje rizikom treće strane
Imamo uspostavljen program upravljanja rizikom treće strane kako bismo osigurali da naši dobavljači i drugi pružaoci usluga trećih strana također upravljaju rizicima na odgovarajući način. Ovaj program uključuje provjere dužne pažnje prije angažovanja s trećim stranama, kontinuirano praćenje aktivnosti trećih strana i periodične procjene praksi upravljanja rizikom trećih strana.
4.7. Odgovor na incidente i upravljanje
Imamo reagovanje na incidente i plan upravljanja kako bismo osigurali da možemo efikasno da odgovorimo na sve bezbednosne incidente. Ovaj plan uključuje procedure za identifikaciju i prijavljivanje incidenata, kao i procese za procjenu uticaja svakog incidenta i određivanje odgovarajućih akcija reagovanja. Također imamo plan kontinuiteta poslovanja kako bismo osigurali da se kritične poslovne funkcije mogu nastaviti u slučaju značajnog incidenta.
Dio 5. Fizička i ekološka sigurnost
5.1. Perimetar fizičke sigurnosti
Uspostavili smo mjere fizičke sigurnosti kako bismo zaštitili fizičke prostorije i osjetljive informacije od neovlaštenog pristupa.
5.2. Kontrola pristupa
Uspostavili smo politike i procedure kontrole pristupa za fizičke prostorije kako bismo osigurali da samo ovlašteno osoblje ima pristup osjetljivim informacijama.
5.3. Sigurnost opreme
Osiguravamo da je sva oprema koja sadrži osjetljive informacije fizički zaštićena, a pristup ovoj opremi je ograničen samo na ovlašteno osoblje.
5.4. Sigurno odlaganje
Uspostavili smo procedure za sigurno odlaganje osjetljivih informacija, uključujući papirnu dokumentaciju, elektronske medije i hardver.
5.5. Fizičko okruženje
Osiguravamo da je fizičko okruženje prostorija, uključujući temperaturu, vlažnost i osvjetljenje, prikladno za zaštitu osjetljivih informacija.
5.6. Napajanje
Osiguravamo pouzdano napajanje u prostorijama i zaštićeno od nestanka struje ili prenapona.
5.7. Zaštita od požara
Uspostavili smo politike i procedure zaštite od požara, uključujući instalaciju i održavanje sistema za detekciju i gašenje požara.
5.8. Zaštita od oštećenja vode
Uspostavili smo politike i procedure za zaštitu osjetljivih informacija od oštećenja vodom, uključujući instalaciju i održavanje sistema za otkrivanje i prevenciju poplava.
5.9. Održavanje opreme
Uspostavili smo procedure za održavanje opreme, uključujući inspekciju opreme na znakove neovlaštenog pristupa ili neovlaštenog pristupa.
5.10. Prihvatljiva upotreba
Uspostavili smo politiku prihvatljivog korištenja koja opisuje prihvatljivo korištenje fizičkih resursa i objekata.
5.11. Udaljeni pristup
Uspostavili smo politike i procedure za daljinski pristup osjetljivim informacijama, uključujući korištenje sigurnih veza i enkripcije.
5.12. Monitoring i nadzor
Uspostavili smo politike i procedure za praćenje i nadzor fizičkih prostorija i opreme kako bismo otkrili i spriječili neovlašteni pristup ili neovlašteni pristup.
dio. 6. Sigurnost komunikacija i operacija
6.1. Upravljanje sigurnošću mreže
Uspostavili smo politike i procedure za upravljanje bezbednošću mreže, uključujući upotrebu zaštitnih zidova, sistema za otkrivanje i prevenciju upada i redovne revizije bezbednosti.
6.2. Transfer informacija
Uspostavili smo politike i procedure za siguran prijenos osjetljivih informacija, uključujući korištenje šifriranja i sigurnog protokola za prijenos datoteka.
6.3. Komunikacije treće strane
Uspostavili smo politike i procedure za sigurnu razmjenu osjetljivih informacija sa organizacijama trećih strana, uključujući korištenje sigurnih veza i enkripcije.
6.4. Rukovanje medijima
Uspostavili smo procedure za rukovanje osjetljivim informacijama u različitim oblicima medija, uključujući papirne dokumente, elektronske medije i prijenosne uređaje za pohranu.
6.5. Razvoj i održavanje informacionih sistema
Uspostavili smo politike i procedure za razvoj i održavanje informacionih sistema, uključujući upotrebu bezbednih praksi kodiranja, redovno ažuriranje softvera i upravljanje zakrpama.
6.6. Zaštita od zlonamjernog softvera i virusa
Uspostavili smo politike i procedure za zaštitu informacionih sistema od malvera i virusa, uključujući upotrebu antivirusnog softvera i redovna bezbednosna ažuriranja.
6.7. Sigurnosna kopija i restauracija
Uspostavili smo politike i procedure za pravljenje rezervnih kopija i obnavljanje osjetljivih informacija kako bismo spriječili gubitak ili oštećenje podataka.
6.8. Upravljanje događajima
Uspostavili smo politike i procedure za identifikaciju, istragu i rješavanje sigurnosnih incidenata i događaja.
6.9. Upravljanje ranjivostima
Uspostavili smo politike i procedure za upravljanje ranjivostima informacionog sistema, uključujući korištenje redovnih procjena ranjivosti i upravljanje zakrpama.
6.10. Kontrola pristupa
Uspostavili smo politike i procedure za upravljanje pristupom korisnika informacionim sistemima, uključujući upotrebu kontrola pristupa, autentifikaciju korisnika i redovne preglede pristupa.
6.11. Monitoring i evidentiranje
Uspostavili smo politike i procedure za praćenje i evidentiranje aktivnosti informacionog sistema, uključujući korištenje revizorskih tragova i evidentiranje sigurnosnih incidenata.
Dio 7. Nabavka, razvoj i održavanje informacionih sistema
7.1. Zahtjevi
Uspostavili smo politike i procedure za identifikaciju zahtjeva informacionog sistema, uključujući poslovne zahtjeve, zakonske i regulatorne zahtjeve i sigurnosne zahtjeve.
7.2. Odnosi sa dobavljačima
Uspostavili smo politike i procedure za upravljanje odnosima sa nezavisnim dobavljačima informacionih sistema i usluga, uključujući procenu bezbednosnih praksi dobavljača.
7.3. Razvoj sistema
Uspostavili smo politike i procedure za siguran razvoj informacionih sistema, uključujući upotrebu bezbednih praksi kodiranja, redovno testiranje i osiguranje kvaliteta.
7.4. Testiranje sistema
Uspostavili smo politike i procedure za testiranje informacionih sistema, uključujući testiranje funkcionalnosti, testiranje performansi i testiranje bezbednosti.
7.5. Prihvatanje sistema
Uspostavili smo politike i procedure za prihvatanje informacionih sistema, uključujući odobravanje rezultata testiranja, bezbednosne procene i testiranje prihvatanja korisnika.
7.6. Održavanje sistema
Uspostavili smo politike i procedure za održavanje informacionih sistema, uključujući redovna ažuriranja, sigurnosne zakrpe i sigurnosne kopije sistema.
7.7. System Retirement
Uspostavili smo politike i procedure za povlačenje informacionih sistema, uključujući sigurno odlaganje hardvera i podataka.
7.8. Zadržavanje podataka
Uspostavili smo politike i procedure za zadržavanje podataka u skladu sa zakonskim i regulatornim zahtjevima, uključujući sigurno skladištenje i odlaganje osjetljivih podataka.
7.9. Sigurnosni zahtjevi za informacione sisteme
Uspostavili smo politike i procedure za identifikaciju i implementaciju sigurnosnih zahtjeva za informacione sisteme, uključujući kontrolu pristupa, šifriranje i zaštitu podataka.
7.10. Sigurno razvojno okruženje
Uspostavili smo politike i procedure za bezbedna razvojna okruženja za informacione sisteme, uključujući upotrebu sigurnih razvojnih praksi, kontrole pristupa i sigurne mrežne konfiguracije.
7.11. Zaštita okruženja za testiranje
Uspostavili smo politike i procedure za zaštitu okruženja za testiranje informacionih sistema, uključujući upotrebu sigurnih konfiguracija, kontrole pristupa i redovno testiranje bezbednosti.
7.12. Principi sigurnog inženjeringa sistema
Uspostavili smo politike i procedure za implementaciju principa bezbednog sistemskog inženjeringa za informacione sisteme, uključujući upotrebu bezbednosnih arhitektura, modeliranje pretnji i prakse bezbednog kodiranja.
7.13. Smjernice za sigurno kodiranje
Uspostavili smo politike i procedure za implementaciju smjernica za sigurno kodiranje za informacione sisteme, uključujući korištenje standarda kodiranja, preglede koda i automatizirano testiranje.
Dio 8. Nabavka hardvera
8.1. Pridržavanje standarda
Pridržavamo se standarda ISO 27001 za sistem upravljanja sigurnošću informacija (ISMS) kako bismo osigurali da se hardverska sredstva nabave u skladu sa našim sigurnosnim zahtjevima.
8.2. Procjena rizika
Vršimo procjenu rizika prije nabavke hardverske imovine kako bismo identifikovali potencijalne sigurnosne rizike i osigurali da odabrani hardver ispunjava sigurnosne zahtjeve.
8.3. Odabir dobavljača
Hardverska sredstva nabavljamo samo od provjerenih dobavljača koji imaju dokazano iskustvo u isporuci sigurnih proizvoda. Pregledavamo bezbednosne politike i prakse dobavljača i zahtevamo od njih da obezbede garanciju da njihovi proizvodi ispunjavaju naše bezbednosne zahteve.
8.4. Secure Transport
Osiguravamo da se hardverska sredstva bezbedno transportuju u naše prostorije kako bismo sprečili neovlašćeno korišćenje, oštećenje ili krađu tokom transporta.
8.5. Provjera autentičnosti
Provjeravamo autentičnost hardverskih sredstava prilikom isporuke kako bismo osigurali da nisu krivotvoreni ili neovlašteni.
8.6. Fizičke kontrole i kontrole životne sredine
Implementiramo odgovarajuće fizičke i ekološke kontrole kako bismo zaštitili hardversku imovinu od neovlaštenog pristupa, krađe ili oštećenja.
8.7. Instalacija hardvera
Osiguravamo da su sva hardverska sredstva konfigurirana i instalirana u skladu sa utvrđenim sigurnosnim standardima i smjernicama.
8.8. Hardware Reviews
Vršimo periodične preglede hardverskih sredstava kako bismo osigurali da i dalje ispunjavaju naše sigurnosne zahtjeve i da su ažurirani s najnovijim sigurnosnim zakrpama i ažuriranjima.
8.9. Odlaganje hardvera
Odlažemo hardversku imovinu na siguran način kako bismo spriječili neovlašteni pristup osjetljivim informacijama.
Dio 9. Zaštita od zlonamjernog softvera i virusa
9.1. Politika ažuriranja softvera
Održavamo ažurni softver za zaštitu od virusa i zlonamjernog softvera na svim informacionim sistemima koje koristi Evropski IT institut za sertifikaciju, uključujući servere, radne stanice, laptopove i mobilne uređaje. Osiguravamo da je softver za zaštitu od virusa i zlonamjernog softvera konfiguriran da automatski ažurira svoje datoteke definicije virusa i verzije softvera na redovnoj osnovi, te da se ovaj proces redovno testira.
9.2. Anti-Virus i Skeniranje zlonamjernog softvera
Vršimo redovno skeniranje svih informacionih sistema, uključujući servere, radne stanice, laptopove i mobilne uređaje, kako bismo otkrili i uklonili sve viruse ili zlonamerni softver.
9.3. Politika bez onemogućavanja i bez mijenjanja
Sprovodimo pravila koja zabranjuju korisnicima da onemogućavaju ili mijenjaju softver za zaštitu od virusa i zlonamjernog softvera na bilo kojem informacionom sistemu.
9.4. Monitoring
Pratimo upozorenja i evidencije našeg softvera za zaštitu od virusa i zlonamjernog softvera kako bismo identificirali sve incidente zaraze virusima ili zlonamjernim softverom i pravovremeno reagirali na takve incidente.
9.5. Održavanje zapisa
Vodimo evidenciju o konfiguraciji softvera za zaštitu od virusa i zlonamjernog softvera, ažuriranjima i skeniranju, kao io svim incidentima virusa ili zaraze zlonamjernim softverom, u svrhu revizije.
9.6. Software Reviews
Vršimo periodične preglede našeg softvera za zaštitu od virusa i zlonamjernog softvera kako bismo osigurali da ispunjava trenutne industrijske standarde i da je adekvatan za naše potrebe.
9.7. Obuka i svijest
Pružamo programe obuke i podizanja svijesti kako bismo sve zaposlenike educirali o važnosti zaštite od virusa i zlonamjernog softvera, te kako prepoznati i prijaviti sve sumnjive aktivnosti ili incidente.
Dio 10. Upravljanje informacijskom imovinom
10.1. Informacijski popis imovine
Evropski institut za IT sertifikaciju održava inventar informacionih sredstava koji uključuje svu digitalnu i fizičku informacijsku imovinu, kao što su sistemi, mreže, softver, podaci i dokumentacija. Informaciona sredstva klasifikujemo na osnovu njihove kritičnosti i osjetljivosti kako bismo osigurali implementaciju odgovarajućih mjera zaštite.
10.2. Rukovanje informacijama o imovini
Sprovodimo odgovarajuće mjere za zaštitu informacijske imovine na osnovu njihove klasifikacije, uključujući povjerljivost, integritet i dostupnost. Osiguravamo da se sa svim informacijskim sredstvima rukuje u skladu sa važećim zakonima, propisima i ugovornim zahtjevima. Također osiguravamo da su sva informacijska sredstva pravilno pohranjena, zaštićena i odložena kada više nisu potrebna.
10.3. Vlasništvo nad informacijskom imovinom
Vlasništvo nad informacijskom imovinom dodjeljujemo pojedincima ili odjelima odgovornim za upravljanje i zaštitu informacijske imovine. Također osiguravamo da vlasnici informacijskih sredstava razumiju svoje odgovornosti i odgovornosti za zaštitu informacijske imovine.
10.4. Zaštita informacijske imovine
Koristimo različite mjere zaštite kako bismo zaštitili informacijsku imovinu, uključujući fizičke kontrole, kontrole pristupa, enkripciju i procese sigurnosnog kopiranja i oporavka. Također osiguravamo da su sva informacijska sredstva zaštićena od neovlaštenog pristupa, modifikacije ili uništenja.
Dio 11. Kontrola pristupa
11.1. Politika kontrole pristupa
Evropski institut za IT sertifikaciju ima Politiku kontrole pristupa koja navodi zahteve za odobravanje, modifikovanje i ukidanje pristupa informacijama. Kontrola pristupa je kritična komponenta našeg sistema upravljanja sigurnošću informacija i implementiramo je kako bismo osigurali da samo ovlašteni pojedinci imaju pristup našim informacijskim sredstvima.
11.2. Implementacija kontrole pristupa
Mjere kontrole pristupa provodimo po principu najmanje privilegija, što znači da pojedinci imaju pristup samo informacijskim sredstvima neophodnim za obavljanje njihovih radnih funkcija. Koristimo razne mjere kontrole pristupa, uključujući autentifikaciju, autorizaciju i računovodstvo (AAA). Također koristimo liste kontrole pristupa (ACL) i dozvole za kontrolu pristupa informacijskim sredstvima.
11.3. Politika lozinke
Evropski institut za IT sertifikaciju ima politiku lozinki koja navodi zahteve za kreiranje i upravljanje lozinkama. Potrebne su nam jake lozinke koje imaju najmanje 8 znakova, sa kombinacijom velikih i malih slova, brojeva i specijalnih znakova. Također zahtijevamo periodične promjene lozinki i zabranjujemo ponovnu upotrebu prethodnih lozinki.
11.4. Upravljanje korisnicima
Imamo proces upravljanja korisnicima koji uključuje kreiranje, modificiranje i brisanje korisničkih računa. Korisnički nalozi se kreiraju na osnovu principa najmanjih privilegija, a pristup se odobrava samo informacijskoj imovini koja je neophodna za obavljanje radnih funkcija pojedinca. Također redovno pregledavamo korisničke račune i uklanjamo naloge koji više nisu potrebni.
Dio 12. Upravljanje incidentima u sigurnosti informacija
12.1. Politika upravljanja incidentima
Evropski institut za IT sertifikaciju ima Politiku upravljanja incidentima koja navodi zahteve za otkrivanje, izveštavanje, procenu i reagovanje na bezbednosne incidente. Sigurnosne incidente definiramo kao svaki događaj koji ugrožava povjerljivost, integritet ili dostupnost informacijskih sredstava ili sistema.
12.2. Otkrivanje incidenata i prijavljivanje
Sprovodimo mjere za blagovremeno otkrivanje i prijavljivanje sigurnosnih incidenata. Koristimo različite metode za otkrivanje sigurnosnih incidenata, uključujući sisteme za otkrivanje upada (IDS), antivirusni softver i prijavljivanje korisnika. Također osiguravamo da su svi zaposleni upoznati sa procedurama za prijavu sigurnosnih incidenata i podstičemo prijavljivanje svih incidenata na koje se sumnja.
12.3. Procjena incidenata i odgovor
Imamo proces procene i reagovanja na bezbednosne incidente na osnovu njihove težine i uticaja. Dajemo prioritet incidentima na osnovu njihovog potencijalnog uticaja na informacionu imovinu ili sisteme i dodeljujemo odgovarajuće resurse da odgovorimo na njih. Imamo i plan reagovanja koji uključuje procedure za identifikaciju, zadržavanje, analizu, iskorjenjivanje i oporavak od sigurnosnih incidenata, kao i obavještavanje relevantnih strana i provođenje pregleda nakon incidenata. na bezbednosne incidente. Procedure se redovno pregledavaju i ažuriraju kako bi se osigurala njihova efikasnost i relevantnost.
12.4. Tim za reagovanje na incidente
Imamo tim za reagovanje na incidente (IRT) koji je odgovoran za reagovanje na bezbednosne incidente. IRT se sastoji od predstavnika različitih jedinica i vodi ga službenik za sigurnost informacija (ISO). IRT je odgovoran za procjenu ozbiljnosti incidenata, obuzdavanje incidenta i pokretanje odgovarajućih procedura reagovanja.
12.5. Izvještavanje i pregled incidenata
Uspostavili smo procedure za prijavljivanje sigurnosnih incidenata relevantnim stranama, uključujući klijente, regulatorna tijela i agencije za provođenje zakona, u skladu sa važećim zakonima i propisima. Takođe održavamo komunikaciju sa pogođenim stranama tokom procesa reagovanja na incident, obezbeđujući pravovremene informacije o statusu incidenta i svim radnjama koje se poduzimaju da bi se ublažio njegov uticaj. Također provodimo pregled svih sigurnosnih incidenata kako bismo identificirali osnovni uzrok i spriječili da se slični incidenti događaju u budućnosti.
Dio 13. Upravljanje kontinuitetom poslovanja i oporavak od katastrofe
13.1. Planiranje kontinuiteta poslovanja
Iako je Evropski institut za IT sertifikaciju neprofitna organizacija, on ima Plan kontinuiteta poslovanja (BCP) koji opisuje procedure za obezbeđivanje kontinuiteta njegovog poslovanja u slučaju remetilačkog incidenta. BCP pokriva sve kritične operativne procese i identifikuje resurse potrebne za održavanje operacija tokom i nakon remetilačkog incidenta. Takođe navodi procedure za održavanje poslovnih operacija tokom poremećaja ili katastrofe, procjenu uticaja poremećaja, identifikaciju najkritičnijih operativnih procesa u kontekstu određenog poremećenog incidenta i razvoj procedura za odgovor i oporavak.
13.2. Planiranje oporavka od katastrofe
Evropski institut za IT sertifikaciju ima Plan oporavka od katastrofe (DRP) koji opisuje procedure za oporavak naših informacionih sistema u slučaju prekida ili katastrofe. DRP uključuje procedure za sigurnosno kopiranje podataka, vraćanje podataka i oporavak sistema. DRP se redovno testira i ažurira kako bi se osigurala njegova efikasnost.
13.3. Analiza uticaja na poslovanje
Sprovodimo analizu uticaja na poslovanje (BIA) kako bismo identifikovali kritične operativne procese i resurse potrebne za njihovo održavanje. BIA nam pomaže da odredimo prioritet naših napora za oporavak i u skladu s tim rasporedimo resurse.
13.4. Strategija kontinuiteta poslovanja
Na osnovu rezultata BIA-e, razvijamo Strategiju kontinuiteta poslovanja koja opisuje procedure za reagovanje na incident koji izaziva poremećaj. Strategija uključuje procedure za aktiviranje graničnog prelaza, obnavljanje kritičnih operativnih procesa i komunikaciju sa relevantnim zainteresovanim stranama.
13.5. Testiranje i održavanje
Redovno testiramo i održavamo naše BCP i DRP kako bismo osigurali njihovu efikasnost i relevantnost. Sprovodimo redovne testove kako bismo potvrdili BCP/DRP i identificirali područja za poboljšanje. Također ažuriramo BCP i DRP po potrebi kako bismo odražavali promjene u našim operacijama ili okruženju prijetnji. Testiranje uključuje stolne vježbe, simulacije i testiranje procedura uživo. Također pregledavamo i ažuriramo naše planove na osnovu rezultata testiranja i naučenih lekcija.
13.6. Alternativne lokacije za obradu
Održavamo alternativne web stranice za online obradu koje se mogu koristiti za nastavak poslovanja u slučaju prekida ili katastrofe. Alternativne lokacije za obradu opremljene su potrebnom infrastrukturom i sistemima i mogu se koristiti za podršku kritičnim poslovnim procesima.
Dio 14. Usklađenost i revizija
14.1. Usklađenost sa zakonima i propisima
Evropski institut za IT sertifikaciju posvećen je poštovanju svih važećih zakona i propisa koji se odnose na bezbednost informacija i privatnost, uključujući zakone o zaštiti podataka, industrijske standarde i ugovorne obaveze. Redovno pregledavamo i ažuriramo naše politike, procedure i kontrole kako bismo osigurali usklađenost sa svim relevantnim zahtjevima i standardima. Glavni standardi i okviri koje slijedimo u kontekstu informacione sigurnosti uključuju:
- Standard ISO/IEC 27001 pruža smjernice za implementaciju i upravljanje Sistemom upravljanja sigurnošću informacija (ISMS) koji uključuje upravljanje ranjivostima kao ključnu komponentu. On pruža referentni okvir za implementaciju i održavanje našeg sistema upravljanja sigurnošću informacija (ISMS) uključujući upravljanje ranjivostima. U skladu sa ovim standardnim odredbama identifikujemo, procenjujemo i upravljamo rizicima bezbednosti informacija, uključujući ranjivosti.
- Okvir za kibernetičku sigurnost američkog Nacionalnog instituta za standarde i tehnologiju (NIST) pruža smjernice za identifikaciju, procjenu i upravljanje rizicima kibernetičke sigurnosti, uključujući upravljanje ranjivostima.
- Okvir za kibernetičku sigurnost Nacionalnog instituta za standarde i tehnologiju (NIST) za poboljšanje upravljanja rizicima kibernetičke sigurnosti, sa osnovnim skupom funkcija uključujući upravljanje ranjivostima kojih se pridržavamo da bismo upravljali našim rizicima kibernetičke sigurnosti.
- SANS-ove kritične sigurnosne kontrole koje sadrže skup od 20 sigurnosnih kontrola za poboljšanje sajber-sigurnosti, pokrivajući niz područja, uključujući upravljanje ranjivostima, pružajući specifične smjernice za skeniranje ranjivosti, upravljanje zakrpama i druge aspekte upravljanja ranjivostima.
- Standard sigurnosti podataka industrije platnih kartica (PCI DSS), koji zahtijeva rukovanje informacijama o kreditnim karticama u pogledu upravljanja ranjivostima u ovom kontekstu.
- Centar za kontrolu internetske sigurnosti (CIS) uključujući upravljanje ranjivostima kao jednu od ključnih kontrola za osiguranje sigurne konfiguracije naših informacionih sistema.
- Projekat sigurnosti otvorenih web aplikacija (OWASP), sa svojom Top 10 listom najkritičnijih sigurnosnih rizika web aplikacija, uključujući procjenu ranjivosti kao što su napadi ubrizgavanjem, pokvarena autentifikacija i upravljanje sesijama, skriptiranje na više lokacija (XSS), itd. Koristimo OWASP Top 10 da damo prioritet našim naporima za upravljanje ranjivostima i fokusiramo se na najkritičnije rizike u vezi sa našim web sistemima.
14.2. Interne revizije
Vršimo redovne interne revizije kako bismo procijenili efikasnost našeg Sistema upravljanja sigurnošću informacija (ISMS) i osigurali da se naše politike, procedure i kontrole poštuju. Proces interne revizije uključuje identifikaciju neusklađenosti, razvoj korektivnih radnji i praćenje napora na sanaciji.
14.3. Eksterna revizija
Povremeno sarađujemo sa eksternim revizorima kako bismo potvrdili našu usklađenost sa važećim zakonima, propisima i industrijskim standardima. Omogućavamo revizorima pristup našim objektima, sistemima i dokumentaciji kako je potrebno da potvrdimo našu usklađenost. Takođe radimo sa spoljnim revizorima da adresiramo sve nalaze ili preporuke identifikovane tokom procesa revizije.
14.4. Praćenje usklađenosti
Kontinuirano pratimo našu usklađenost sa važećim zakonima, propisima i industrijskim standardima. Koristimo različite metode za praćenje usklađenosti, uključujući periodične procjene, revizije i preglede dobavljača trećih strana. Također redovno pregledavamo i ažuriramo naše politike, procedure i kontrole kako bismo osigurali stalnu usklađenost sa svim relevantnim zahtjevima.
Dio 15. Upravljanje trećim stranama
15.1. Politika upravljanja trećim stranama
Evropski institut za IT sertifikaciju ima Politiku upravljanja trećim stranama koja navodi zahteve za odabir, procenu i praćenje dobavljača trećih strana koji imaju pristup našim informacionim sredstvima ili sistemima. Politika se primjenjuje na sve dobavljače trećih strana, uključujući pružatelje usluga u oblaku, dobavljače i izvođače radova.
15.2. Odabir i procjena treće strane
Provodimo dužnu pažnju prije nego što stupimo u kontakt sa dobavljačima trećih strana kako bismo osigurali da oni imaju adekvatne sigurnosne kontrole za zaštitu naših informacijskih sredstava ili sistema. Takođe ocjenjujemo usklađenost dobavljača trećih strana sa važećim zakonima i propisima koji se odnose na sigurnost informacija i privatnost.
15.3. Praćenje treće strane
Mi kontinuirano pratimo dobavljače trećih strana kako bismo osigurali da i dalje ispunjavaju naše zahtjeve za sigurnost informacija i privatnost. Koristimo različite metode za praćenje dobavljača trećih strana, uključujući periodične procjene, revizije i preglede izvještaja o sigurnosnim incidentima.
15.4. Ugovorni zahtjevi
Mi uključujemo ugovorne zahtjeve koji se odnose na sigurnost informacija i privatnost u sve ugovore sa dobavljačima trećih strana. Ovi zahtjevi uključuju odredbe za zaštitu podataka, sigurnosne kontrole, upravljanje incidentima i praćenje usklađenosti. Također uključujemo odredbe za raskid ugovora u slučaju sigurnosnog incidenta ili neusklađenosti.
Dio 16. Sigurnost informacija u procesima sertifikacije
16.1 Sigurnost procesa sertifikacije
Poduzimamo adekvatne i sistemske mjere kako bismo osigurali sigurnost svih informacija u vezi s našim procesima sertifikacije, uključujući lične podatke pojedinaca koji traže sertifikaciju. Ovo uključuje kontrole za pristup, skladištenje i prijenos svih informacija vezanih za certifikaciju. Sprovođenjem ovih mjera, cilj nam je osigurati da se procesi sertifikacije odvijaju uz najviši nivo sigurnosti i integriteta, te da lični podaci pojedinaca koji traže sertifikaciju budu zaštićeni u skladu sa relevantnim propisima i standardima.
16.2. Autentifikacija i autorizacija
Koristimo kontrole autentifikacije i autorizacije kako bismo osigurali da samo ovlašteno osoblje ima pristup informacijama o certifikaciji. Kontrole pristupa se redovno pregledavaju i ažuriraju na osnovu promjena u ulogama i odgovornostima osoblja.
16.3. Zaštita podataka
Štitimo lične podatke tokom cijelog procesa sertifikacije primjenom odgovarajućih tehničkih i organizacijskih mjera kako bismo osigurali povjerljivost, integritet i dostupnost podataka. Ovo uključuje mjere kao što su šifriranje, kontrola pristupa i redovne sigurnosne kopije.
16.4. Sigurnost ispitnih procesa
Osiguravamo sigurnost procesa ispitivanja primjenom odgovarajućih mjera za sprječavanje varanja, praćenje i kontrolu ispitnog okruženja. Takođe održavamo integritet i povjerljivost ispitnih materijala kroz sigurnosne procedure skladištenja.
16.5. Sigurnost ispitnog sadržaja
Osiguravamo sigurnost ispitnog sadržaja primjenom odgovarajućih mjera za zaštitu od neovlaštenog pristupa, izmjene ili otkrivanja sadržaja. Ovo uključuje korištenje sigurnog skladištenja, šifriranja i kontrole pristupa za ispitni sadržaj, kao i kontrole za sprječavanje neovlaštene distribucije ili širenja sadržaja ispita.
16.6. Sigurnost isporuke pregleda
Obezbeđujemo sigurnost isporuke ispita primenom odgovarajućih mera za sprečavanje neovlašćenog pristupa ili manipulacije okolinom ispita. Ovo uključuje mjere kao što su praćenje, revizija i kontrola ispitnog okruženja i posebne pristupe ispitivanju, kako bi se spriječilo varanje ili druga kršenja sigurnosti.
16.7. Sigurnost rezultata ispita
Osiguravamo sigurnost rezultata ispitivanja primjenom odgovarajućih mjera za zaštitu od neovlaštenog pristupa, izmjene ili otkrivanja rezultata. Ovo uključuje korištenje sigurnog skladištenja, šifriranja i kontrole pristupa za rezultate pregleda, kao i kontrole za sprječavanje neovlaštene distribucije ili diseminacije rezultata ispitivanja.
16.8. Sigurnost izdavanja certifikata
Osiguravamo sigurnost izdavanja certifikata primjenom odgovarajućih mjera za sprječavanje prijevara i neovlaštenog izdavanja certifikata. Ovo uključuje kontrole za provjeru identiteta pojedinaca koji primaju certifikate i sigurno skladištenje i procedure izdavanja.
16.9. Žalbe i žalbe
Uspostavili smo procedure za upravljanje žalbama i žalbama koje se odnose na proces certifikacije. Ove procedure uključuju mjere za osiguranje povjerljivosti i nepristrasnosti procesa, te sigurnost informacija u vezi sa pritužbama i žalbama.
16.10. Upravljanje kvalitetom procesa sertifikacije
Uspostavili smo Sistem upravljanja kvalitetom (QMS) za procese sertifikacije koji uključuje mjere za osiguranje efektivnosti, efikasnosti i sigurnosti procesa. QMS uključuje redovne revizije i preglede procesa i njihove sigurnosne kontrole.
16.11. Kontinuirano poboljšanje sigurnosti procesa sertifikacije
Posvećeni smo stalnom poboljšanju naših procesa sertifikacije i njihovih sigurnosnih kontrola. Ovo uključuje redovne preglede i ažuriranja politika i procedura sigurnosti vezanih za sertifikaciju na osnovu promjena u poslovnom okruženju, regulatornih zahtjeva i najboljih praksi u upravljanju sigurnošću informacija, u skladu sa ISO 27001 standardom za upravljanje sigurnošću informacija, kao i sa ISO 17024 standard rada certifikacijskih tijela.
Dio 17. Završne odredbe
17.1. Pregled i ažuriranje politike
Ova Politika informacione sigurnosti je živi dokument koji je podvrgnut stalnim pregledima i ažuriranjima na osnovu promjena u našim operativnim zahtjevima, regulatornim zahtjevima ili najboljim praksama u upravljanju sigurnošću informacija.
17.2. Praćenje usklađenosti
Uspostavili smo procedure za praćenje usklađenosti sa ovom Politikom informacione sigurnosti i povezanim sigurnosnim kontrolama. Praćenje usklađenosti obuhvata redovne revizije, procene i preglede bezbednosnih kontrola i njihove efikasnosti u postizanju ciljeva ove politike.
17.3. Prijavljivanje sigurnosnih incidenata
Uspostavili smo procedure za prijavljivanje sigurnosnih incidenata u vezi sa našim informacionim sistemima, uključujući i one koji se odnose na lične podatke pojedinaca. Zaposleni, ugovarači i druge zainteresirane strane se podstiču da prijave sve sigurnosne incidente ili sumnjive incidente imenovanom sigurnosnom timu što je prije moguće.
17.4. Obuka i svijest
Pružamo redovnu obuku i programe podizanja svijesti zaposlenima, ugovaračima i drugim zainteresiranim stranama kako bismo osigurali da su svjesni svojih odgovornosti i obaveza u vezi sa sigurnošću informacija. Ovo uključuje obuku o sigurnosnim politikama i procedurama, te mjerama za zaštitu ličnih podataka pojedinaca.
17.5. Odgovornost i odgovornost
Smatramo da su svi zaposleni, ugovarači i drugi dionici odgovorni i odgovorni za poštivanje ove Politike sigurnosti informacija i povezanih sigurnosnih kontrola. Takođe držimo menadžment odgovornim za obezbeđivanje da su alocirani odgovarajući resursi za implementaciju i održavanje efektivnih kontrola bezbednosti informacija.
Ova politika sigurnosti informacija je kritična komponenta okvira za upravljanje bezbednošću informacija Evropskog instituta za IT sertifikaciju i pokazuje našu posvećenost zaštiti informacionih sredstava i obrađenih podataka, obezbeđivanju poverljivosti, privatnosti, integriteta i dostupnosti informacija, i usklađenosti sa regulatornim i ugovornim zahtevima.