Informācijas drošības politika

EITCA akadēmijas informācijas drošības politika

Šis dokuments nosaka Eiropas IT sertifikācijas institūta informācijas drošības politiku (ISP), kas tiek regulāri pārskatīta un atjaunināta, lai nodrošinātu tās efektivitāti un atbilstību. Pēdējais EITCI informācijas drošības politikas atjauninājums tika veikts 7. gada 2023. janvārī.

1. daļa. Ievads un informācijas drošības politikas paziņojums

1.1. Ievads

Eiropas IT sertifikācijas institūts atzīst informācijas drošības nozīmi informācijas konfidencialitātes, integritātes un pieejamības un mūsu ieinteresēto pušu uzticības saglabāšanā. Mēs esam apņēmušies aizsargāt sensitīvu informāciju, tostarp personas datus, no nesankcionētas piekļuves, izpaušanas, pārveidošanas un iznīcināšanas. Mēs uzturam efektīvu informācijas drošības politiku, lai atbalstītu mūsu misiju nodrošināt uzticamus un objektīvus sertifikācijas pakalpojumus saviem klientiem. Informācijas drošības politikā ir izklāstīta mūsu apņemšanās aizsargāt informācijas aktīvus un izpildīt mūsu juridiskās, reglamentējošās un līgumsaistības. Mūsu politika ir balstīta uz ISO 27001 un ISO 17024 principiem, vadošajiem starptautiskajiem informācijas drošības pārvaldības un sertifikācijas iestāžu darbības standartiem.

1.2. Paziņojums par politiku

Eiropas IT sertifikācijas institūts ir apņēmies:

  • Aizsargāt informācijas līdzekļu konfidencialitāti, integritāti un pieejamību,
  • Ievērojot juridiskās, regulējošās un līgumiskās saistības, kas saistītas ar informācijas drošību un datu apstrādi, īstenojot sertifikācijas procesus un darbības,
  • Nepārtraukti pilnveidojot savu informācijas drošības politiku un saistīto pārvaldības sistēmu,
  • Nodrošinot atbilstošu apmācību un informētību darbiniekiem, darbuzņēmējiem un dalībniekiem,
  • Visu darbinieku un darbuzņēmēju iesaistīšana informācijas drošības politikas un ar to saistītās informācijas drošības pārvaldības sistēmas ieviešanā un uzturēšanā.

1.3. Darbības joma

Šī politika attiecas uz visiem informācijas aktīviem, kas pieder, ko kontrolē vai apstrādā Eiropas IT sertifikācijas institūts. Tas ietver visus digitālos un fiziskos informācijas līdzekļus, piemēram, sistēmas, tīklus, programmatūru, datus un dokumentāciju. Šī politika attiecas arī uz visiem darbiniekiem, darbuzņēmējiem un trešo pušu pakalpojumu sniedzējiem, kuri piekļūst mūsu informācijas līdzekļiem.

1.4. Atbilstība

Eiropas IT sertifikācijas institūts ir apņēmies ievērot attiecīgos informācijas drošības standartus, tostarp ISO 27001 un ISO 17024. Mēs regulāri pārskatām un atjauninām šo politiku, lai nodrošinātu tās pastāvīgu atbilstību un atbilstību šiem standartiem.

2. daļa. Organizācijas drošība

2.1. Organizācijas drošības mērķi

Ieviešot organizatoriskos drošības pasākumus, mūsu mērķis ir nodrošināt, lai mūsu informācijas un datu apstrādes prakse un procedūras tiktu veiktas ar visaugstāko drošības un integritātes līmeni un lai mēs ievērotu attiecīgos tiesību aktus un standartus.

2.2. Informācijas drošības pienākumi un pienākumi

Eiropas IT sertifikācijas institūts nosaka un paziņo lomas un pienākumus informācijas drošības jomā visā organizācijā. Tas ietver skaidru īpašumtiesību piešķiršanu informācijas aktīviem saistībā ar informācijas drošību, pārvaldības struktūras izveidi un īpašu pienākumu noteikšanu dažādām lomām un departamentiem visā organizācijā.

2.3. Riska vadība

Mēs veicam regulāru riska novērtējumu, lai identificētu un prioritizētu informācijas drošības riskus organizācijai, tostarp riskus, kas saistīti ar personas datu apstrādi. Mēs izveidojam atbilstošas ​​kontroles, lai mazinātu šos riskus, un regulāri pārskatām un atjauninām savu riska pārvaldības pieeju, pamatojoties uz izmaiņām uzņēmējdarbības vidē un draudu vidē.

2.4. Informācijas drošības politikas un procedūras

Mēs izveidojam un uzturam informācijas drošības politiku un procedūru kopumu, kas balstās uz nozares labāko praksi un atbilst attiecīgajiem noteikumiem un standartiem. Šīs politikas un procedūras aptver visus informācijas drošības aspektus, tostarp personas datu apstrādi, un tiek regulāri pārskatītas un atjauninātas, lai nodrošinātu to efektivitāti.

2.5. Drošības izpratne un apmācība

Mēs nodrošinām regulāras drošības izpratnes un apmācību programmas visiem darbiniekiem, darbuzņēmējiem un trešo pušu partneriem, kuriem ir piekļuve personas datiem vai citai sensitīvai informācijai. Šajā apmācībā tiek apskatītas tādas tēmas kā pikšķerēšana, sociālā inženierija, paroļu higiēna un citas informācijas drošības paraugprakses.

2.6. Fiziskā un vides drošība

Mēs ieviešam atbilstošus fiziskās un vides drošības kontroles pasākumus, lai aizsargātu pret nesankcionētu piekļuvi mūsu iekārtām un informācijas sistēmām, bojājumiem vai traucējumiem. Tas ietver tādus pasākumus kā piekļuves kontrole, novērošana, uzraudzība un rezerves barošanas un dzesēšanas sistēmas.

2.7. Informācijas drošības incidentu vadība

Mēs esam izveidojuši incidentu pārvaldības procesu, kas ļauj ātri un efektīvi reaģēt uz visiem informācijas drošības incidentiem, kas var rasties. Tas ietver procedūras ziņošanai, incidentu eskalācijai, izmeklēšanai un atrisināšanai, kā arī pasākumus, lai novērstu incidentu atkārtošanos un uzlabotu mūsu reaģēšanas spējas.

2.8. Darbības nepārtrauktība un avārijas seku likvidēšana

Mēs esam izveidojuši un pārbaudījuši darbības nepārtrauktības un avārijas seku novēršanas plānus, kas ļauj mums uzturēt mūsu kritiskās darbības funkcijas un pakalpojumus traucējumu vai katastrofu gadījumā. Šajos plānos ir iekļautas datu un sistēmu dublēšanas un atkopšanas procedūras, kā arī pasākumi personas datu pieejamības un integritātes nodrošināšanai.

2.9. Trešās puses pārvaldība

Mēs izveidojam un uzturam atbilstošas ​​kontroles, lai pārvaldītu riskus, kas saistīti ar trešo pušu partneriem, kuriem ir piekļuve personas datiem vai citai sensitīvai informācijai. Tas ietver tādus pasākumus kā uzticamības pārbaude, līgumsaistības, uzraudzība un revīzijas, kā arī pasākumi partnerattiecību izbeigšanai, ja nepieciešams.

3. daļa. Cilvēkresursu drošība

3.1. Nodarbinātības skrīnings

Eiropas IT sertifikācijas institūts ir izveidojis nodarbinātības pārbaudes procesu, lai nodrošinātu, ka personas, kurām ir piekļuve sensitīvai informācijai, ir uzticamas un tām ir nepieciešamās prasmes un kvalifikācija.

3.2. Piekļuves kontrole

Mēs esam izveidojuši piekļuves kontroles politiku un procedūras, lai nodrošinātu, ka darbiniekiem ir pieejama tikai informācija, kas nepieciešama viņu darba pienākumu veikšanai. Piekļuves tiesības tiek regulāri pārskatītas un atjauninātas, lai nodrošinātu, ka darbiniekiem ir pieejama tikai viņiem nepieciešamā informācija.

3.3. Informācijas drošības izpratne un apmācība

Mēs regulāri nodrošinām informācijas drošības izpratnes apmācības visiem darbiniekiem. Šajā apmācībā tiek apskatītas tādas tēmas kā paroļu drošība, pikšķerēšanas uzbrukumi, sociālā inženierija un citi kiberdrošības aspekti.

3.4. Pieņemams lietojums

Mēs esam izveidojuši pieņemamas lietošanas politiku, kas nosaka informācijas sistēmu un resursu, tostarp darba vajadzībām izmantoto personisko ierīču, pieņemamu izmantošanu.

3.5. Mobilo ierīču drošība

Mēs esam izveidojuši politikas un procedūras mobilo ierīču drošai lietošanai, tostarp piekļuves kodu izmantošanai, šifrēšanai un attālās dzēšanas iespējām.

3.6. Izbeigšanas procedūras

Eiropas IT sertifikācijas institūts ir noteicis procedūras darba vai līguma izbeigšanai, lai nodrošinātu, ka piekļuve sensitīvai informācijai tiek nekavējoties un droši atsaukta.

3.7. Trešās puses personāls

Mēs esam izveidojuši procedūras trešo pušu personāla pārvaldībai, kuriem ir piekļuve sensitīvai informācijai. Šīs politikas ietver pārbaudi, piekļuves kontroli un informācijas drošības izpratnes apmācību.

3.8. Ziņošana par incidentiem

Mēs esam izveidojuši politiku un procedūras, lai ziņotu par informācijas drošības incidentiem vai bažām attiecīgajam personālam vai iestādēm.

3.9. Konfidencialitātes līgumi

Eiropas IT sertifikācijas institūts pieprasa darbiniekiem un darbuzņēmējiem parakstīt konfidencialitātes līgumus, lai aizsargātu sensitīvu informāciju no nesankcionētas izpaušanas.

3.10. Disciplinārās darbības

Eiropas IT sertifikācijas institūts ir noteicis politiku un procedūras disciplinārai rīcībai gadījumos, kad darbinieki vai līgumslēdzēji pārkāpj informācijas drošības politiku.

4. daļa. Riska novērtēšana un vadība

4.1. Riska novērtējums

Mēs periodiski veicam riska novērtējumus, lai identificētu mūsu informācijas līdzekļu iespējamos draudus un ievainojamības. Mēs izmantojam strukturētu pieeju, lai identificētu, analizētu, novērtētu un noteiktu prioritāti riskus, pamatojoties uz to iespējamību un iespējamo ietekmi. Mēs novērtējam riskus, kas saistīti ar mūsu informācijas līdzekļiem, tostarp sistēmām, tīkliem, programmatūru, datiem un dokumentāciju.

4.2. Riska ārstēšana

Mēs izmantojam riska apstrādes procesu, lai mazinātu vai samazinātu riskus līdz pieņemamam līmenim. Riska apstrādes process ietver atbilstošu kontroles mehānismu izvēli, kontroles ieviešanu un kontroles efektivitātes uzraudzību. Mēs izvirzām prioritāti kontroles ieviešanu, pamatojoties uz riska līmeni, pieejamajiem resursiem un biznesa prioritātēm.

4.3. Riska uzraudzība un pārskatīšana

Mēs regulāri uzraugām un pārskatām mūsu riska pārvaldības procesa efektivitāti, lai nodrošinātu, ka tas joprojām ir būtisks un efektīvs. Mēs izmantojam metriku un rādītājus, lai novērtētu mūsu riska pārvaldības procesa veiktspēju un identificētu uzlabojumu iespējas. Mēs arī pārskatām savu riska pārvaldības procesu kā daļu no mūsu periodiskajām vadības pārbaudēm, lai nodrošinātu tā pastāvīgu piemērotību, atbilstību un efektivitāti.

4.4. Riska reakcijas plānošana

Mums ir izstrādāts riska reaģēšanas plāns, lai nodrošinātu, ka varam efektīvi reaģēt uz visiem identificētajiem riskiem. Šis plāns ietver procedūras risku identificēšanai un ziņošanai par to, kā arī procesus katra riska iespējamās ietekmes novērtēšanai un atbilstošu reaģēšanas darbību noteikšanai. Mums ir arī izstrādāti ārkārtas rīcības plāni, lai nodrošinātu darbības nepārtrauktību nozīmīga riska notikuma gadījumā.

4.5. Darbības ietekmes analīze

Mēs periodiski veicam uzņēmējdarbības ietekmes analīzi, lai noteiktu iespējamo traucējumu ietekmi uz mūsu uzņēmējdarbību. Šī analīze ietver mūsu biznesa funkciju, sistēmu un datu kritiskuma novērtējumu, kā arī traucējumu potenciālās ietekmes uz mūsu klientiem, darbiniekiem un citām ieinteresētajām personām novērtējumu.

4.6. Trešās puses riska pārvaldība

Mums ir trešās puses riska pārvaldības programma, lai nodrošinātu, ka arī mūsu pārdevēji un citi trešo pušu pakalpojumu sniedzēji pienācīgi pārvalda riskus. Šī programma ietver uzticamības pārbaudes pirms sadarbošanās ar trešajām pusēm, pastāvīgu trešo pušu darbību uzraudzību un periodisku trešo pušu riska pārvaldības prakses novērtēšanu.

4.7. Negadījumu reaģēšana un pārvaldība

Mums ir incidentu reaģēšanas un pārvaldības plāns, lai nodrošinātu, ka varam efektīvi reaģēt uz visiem drošības incidentiem. Šis plāns ietver procedūras incidentu identificēšanai un ziņošanai par tiem, kā arī procesus katra incidenta ietekmes novērtēšanai un atbilstošu reaģēšanas darbību noteikšanai. Mums ir arī darbības nepārtrauktības plāns, lai nodrošinātu, ka nozīmīgas negadījuma gadījumā var turpināt svarīgas biznesa funkcijas.

5. daļa. Fiziskā un vides drošība

5.1. Fiziskās drošības perimetrs

Esam noteikuši fiziskās drošības pasākumus, lai aizsargātu fiziskās telpas un sensitīvu informāciju no nesankcionētas piekļuves.

5.2. Piekļuves kontrole

Mēs esam izveidojuši piekļuves kontroles politiku un procedūras fiziskajām telpām, lai nodrošinātu, ka tikai pilnvarots personāls var piekļūt sensitīvai informācijai.

5.3. Aprīkojuma drošība

Mēs nodrošinām, ka viss aprīkojums, kas satur sensitīvu informāciju, ir fiziski aizsargāts, un piekļuve šim aprīkojumam ir ierobežota tikai pilnvarotam personālam.

5.4. Droša iznīcināšana

Mēs esam izveidojuši procedūras sensitīvas informācijas, tostarp papīra dokumentu, elektronisko datu nesēju un aparatūras drošai iznīcināšanai.

5.5. Fiziskā vide

Mēs nodrošinām, ka telpu fiziskā vide, tostarp temperatūra, mitrums un apgaismojums, ir piemērota sensitīvas informācijas aizsardzībai.

5.6. Barošanas avots

Mēs nodrošinām, lai telpās būtu uzticama elektroapgāde un aizsargāta pret strāvas padeves pārtraukumiem vai pārspriegumiem.

5.7. Ugunsdrošība

Mēs esam izveidojuši ugunsdrošības politiku un procedūras, tostarp ugunsgrēka atklāšanas un dzēšanas sistēmu uzstādīšanu un apkopi.

5.8. Aizsardzība pret ūdens bojājumiem

Mēs esam izveidojuši politiku un procedūras sensitīvas informācijas aizsardzībai pret ūdens bojājumiem, tostarp plūdu noteikšanas un novēršanas sistēmu uzstādīšanu un apkopi.

5.9. Iekārtu apkope

Esam noteikuši iekārtu apkopes kārtību, tai skaitā iekārtu pārbaudi, vai nav konstatētas manipulācijas vai nesankcionētas piekļuves pazīmes.

5.10. Pieņemams lietojums

Mēs esam izveidojuši pieņemamas lietošanas politiku, kas nosaka fizisko resursu un telpu pieņemamu izmantošanu.

5.11. Attālā piekļuve

Mēs esam izveidojuši politikas un procedūras attālai piekļuvei sensitīvai informācijai, tostarp drošu savienojumu un šifrēšanas izmantošanai.

5.12. Uzraudzība un uzraudzība

Mēs esam izveidojuši politiku un procedūras fizisko telpu un aprīkojuma uzraudzībai un uzraudzībai, lai atklātu un novērstu nesankcionētu piekļuvi vai iejaukšanos.

daļa. 6. Sakaru un operāciju drošība

6.1. Tīkla drošības pārvaldība

Mēs esam izveidojuši politikas un procedūras tīkla drošības pārvaldībai, tostarp ugunsmūru izmantošanai, ielaušanās atklāšanas un novēršanas sistēmām, kā arī regulārām drošības revīzijām.

6.2. Informācijas pārsūtīšana

Mēs esam izveidojuši politikas un procedūras sensitīvas informācijas drošai pārsūtīšanai, tostarp šifrēšanas un drošas failu pārsūtīšanas protokolu izmantošanai.

6.3. Trešo pušu sakari

Mēs esam izveidojuši politikas un procedūras drošai sensitīvas informācijas apmaiņai ar trešo pušu organizācijām, tostarp drošu savienojumu un šifrēšanas izmantošanai.

6.4. Multivides apstrāde

Mēs esam izveidojuši procedūras sensitīvas informācijas apstrādei dažādos plašsaziņas līdzekļos, tostarp papīra dokumentos, elektroniskajos datu nesējos un pārnēsājamās datu glabāšanas ierīcēs.

6.5. Informācijas sistēmu izstrāde un uzturēšana

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu izstrādei un uzturēšanai, tostarp drošas kodēšanas praksei, regulāriem programmatūras atjauninājumiem un ielāpu pārvaldībai.

6.6. Aizsardzība pret ļaunprātīgu programmatūru un vīrusiem

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu aizsardzībai pret ļaunprātīgu programmatūru un vīrusiem, tostarp pretvīrusu programmatūras izmantošanu un regulārus drošības atjauninājumus.

6.7. Dublēšana un atjaunošana

Mēs esam izveidojuši politiku un procedūras sensitīvas informācijas dublēšanai un atjaunošanai, lai novērstu datu zudumu vai sabojāšanu.

6.8. Notikumu vadīšana

Mēs esam izveidojuši politikas un procedūras drošības incidentu un notikumu identificēšanai, izmeklēšanai un risināšanai.

6.9. Ievainojamības pārvaldība

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu ievainojamību pārvaldībai, tostarp regulāras ievainojamības novērtēšanas un ielāpu pārvaldības izmantošanai.

6.10. Piekļuves kontrole

Mēs esam izveidojuši politikas un procedūras lietotāju piekļuves informācijas sistēmām pārvaldībai, tostarp piekļuves kontroles, lietotāju autentifikācijas un regulāras piekļuves pārskatīšanas izmantošanai.

6.11. Uzraudzība un mežizstrāde

Mēs esam izveidojuši politikas un procedūras informācijas sistēmas darbību uzraudzībai un reģistrēšanai, tostarp audita pēdu izmantošanai un drošības incidentu reģistrēšanai.

7. daļa. Informācijas sistēmu iegāde, izstrāde un uzturēšana

7.1. Prasības

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu prasību identificēšanai, tostarp biznesa prasībām, juridiskajām un normatīvajām prasībām un drošības prasībām.

7.2. Piegādātāju attiecības

Mēs esam izveidojuši politikas un procedūras attiecību pārvaldībai ar trešo pušu informācijas sistēmu un pakalpojumu piegādātājiem, tostarp piegādātāju drošības prakses novērtēšanai.

7.3. Sistēmas izstrāde

Mēs esam izveidojuši politikas un procedūras drošai informācijas sistēmu izstrādei, tostarp drošas kodēšanas praksei, regulārai testēšanai un kvalitātes nodrošināšanai.

7.4. Sistēmas testēšana

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu testēšanai, tostarp funkcionalitātes pārbaudei, veiktspējas pārbaudei un drošības pārbaudei.

7.5. Sistēmas pieņemšana

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu pieņemšanai, tostarp testēšanas rezultātu apstiprināšanai, drošības novērtējumiem un lietotāju pieņemšanas testiem.

7.6. Sistēmas uzturēšana

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu uzturēšanai, ieskaitot regulārus atjauninājumus, drošības ielāpus un sistēmas dublējumus.

7.7. Sistēmas pensionēšanās

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu izbeigšanai, tostarp drošai aparatūras un datu iznīcināšanai.

7.8. Datu saglabāšana

Mēs esam izveidojuši politikas un procedūras datu saglabāšanai atbilstoši juridiskajām un normatīvajām prasībām, tostarp konfidenciālu datu drošai glabāšanai un iznīcināšanai.

7.9. Drošības prasības informācijas sistēmām

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu drošības prasību identificēšanai un ieviešanai, tostarp piekļuves kontrolei, šifrēšanai un datu aizsardzībai.

7.10. Drošas attīstības vide

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu drošai izstrādes videi, tostarp drošas izstrādes prakses, piekļuves kontroles un droša tīkla konfigurāciju izmantošanai.

7.11. Testēšanas vides aizsardzība

Mēs esam izveidojuši politikas un procedūras informācijas sistēmu testēšanas vides aizsardzībai, tostarp drošas konfigurācijas izmantošanai, piekļuves kontrolei un regulārai drošības pārbaudei.

7.12. Drošas sistēmas inženierijas principi

Mēs esam izveidojuši politikas un procedūras drošu sistēmu inženierijas principu ieviešanai informācijas sistēmām, tostarp drošības arhitektūru izmantošanai, draudu modelēšanai un drošas kodēšanas praksei.

7.13. Drošas kodēšanas vadlīnijas

Mēs esam izveidojuši politikas un procedūras drošas kodēšanas vadlīniju ieviešanai informācijas sistēmām, tostarp kodēšanas standartu izmantošanai, kodu pārskatīšanai un automatizētai testēšanai.

8. daļa. Aparatūras iegāde

8.1. Standartu ievērošana

Mēs ievērojam ISO 27001 informācijas drošības pārvaldības sistēmas (ISMS) standartu, lai nodrošinātu, ka aparatūras līdzekļi tiek iegādāti atbilstoši mūsu drošības prasībām.

8.2. Riska novērtējums

Pirms aparatūras līdzekļu iegādes veicam riska novērtējumu, lai identificētu iespējamos drošības riskus un nodrošinātu, ka izvēlētā aparatūra atbilst drošības prasībām.

8.3. Pārdevēju atlase

Mēs iegādājamies aparatūras līdzekļus tikai no uzticamiem pārdevējiem, kuriem ir pierādīta pieredze drošu produktu piegādē. Mēs pārskatām pārdevēja drošības politikas un praksi un pieprasām, lai tie nodrošinātu, ka viņu produkti atbilst mūsu drošības prasībām.

8.4. Drošs transports

Mēs nodrošinām, ka aparatūras līdzekļi tiek droši transportēti uz mūsu telpām, lai pārvadāšanas laikā novērstu manipulācijas, bojājumus vai zādzību.

8.5. Autentiskuma pārbaude

Mēs pārbaudām aparatūras līdzekļu autentiskumu piegādes brīdī, lai nodrošinātu, ka tie nav viltoti vai bojāti.

8.6. Fiziskā un vides kontrole

Mēs īstenojam atbilstošu fizisko un vides kontroli, lai aizsargātu aparatūras līdzekļus no nesankcionētas piekļuves, zādzības vai bojājumiem.

8.7. Aparatūras instalēšana

Mēs nodrošinām, ka visi aparatūras līdzekļi ir konfigurēti un instalēti saskaņā ar noteiktajiem drošības standartiem un vadlīnijām.

8.8. Aparatūras apskati

Mēs periodiski veicam aparatūras līdzekļu pārskatīšanu, lai nodrošinātu, ka tie joprojām atbilst mūsu drošības prasībām un ir atjaunināti ar jaunākajiem drošības ielāpiem un atjauninājumiem.

8.9. Aparatūras likvidēšana

Mēs atsavinām aparatūras līdzekļus drošā veidā, lai novērstu nesankcionētu piekļuvi sensitīvai informācijai.

9. daļa. Aizsardzība pret ļaunprātīgu programmatūru un vīrusiem

9.1. Programmatūras atjaunināšanas politika

Mēs uzturam atjauninātu pretvīrusu un ļaunprātīgas programmatūras aizsardzības programmatūru visās Eiropas IT sertifikācijas institūta izmantotajās informācijas sistēmās, tostarp serveros, darbstacijās, klēpjdatoros un mobilajās ierīcēs. Mēs nodrošinām, ka pretvīrusu un ļaunprātīgas programmatūras aizsardzības programmatūra ir konfigurēta tā, lai tā regulāri atjauninātu vīrusu definīcijas failus un programmatūras versijas, un šis process tiek regulāri pārbaudīts.

9.2. Pretvīrusu un ļaunprātīgas programmatūras skenēšana

Mēs regulāri veicam visu informācijas sistēmu, tostarp serveru, darbstaciju, klēpjdatoru un mobilo ierīču skenēšanu, lai atklātu un noņemtu jebkādus vīrusus vai ļaunprātīgu programmatūru.

9.3. Politika bez atspējošanas un izmaiņām

Mēs ieviešam politikas, kas aizliedz lietotājiem jebkurā informācijas sistēmā atspējot vai mainīt pretvīrusu un ļaunprātīgas programmatūras aizsardzības programmatūru.

9.4. Uzraudzība

Mēs uzraugām mūsu pretvīrusu un ļaunprātīgas programmatūras aizsardzības programmatūras brīdinājumus un žurnālus, lai identificētu jebkādus vīrusu vai ļaunprātīgas programmatūras inficēšanās gadījumus un laicīgi reaģētu uz šādiem incidentiem.

9.5. Ierakstu uzturēšana

Mēs veicam ierakstus par pretvīrusu un ļaunprātīgas programmatūras aizsardzības programmatūras konfigurāciju, atjauninājumiem un skenēšanu, kā arī par jebkādiem vīrusu vai ļaunprātīgas programmatūras inficēšanās gadījumiem audita nolūkos.

9.6. Programmatūras apskati

Mēs periodiski veicam mūsu pretvīrusu un ļaunprātīgas programmatūras aizsardzības programmatūras pārskatīšanu, lai nodrošinātu, ka tā atbilst pašreizējiem nozares standartiem un atbilst mūsu vajadzībām.

9.7. Apmācība un izpratne

Mēs piedāvājam apmācības un izpratnes veidošanas programmas, lai izglītotu visus darbiniekus par aizsardzību pret vīrusiem un ļaunprātīgu programmatūru, kā arī par to, kā atpazīt un ziņot par aizdomīgām darbībām vai incidentiem.

10. daļa. Informācijas līdzekļu pārvaldība

10.1. Informācijas līdzekļu inventarizācija

Eiropas IT sertifikācijas institūts uztur informācijas līdzekļu uzskaiti, kas ietver visus digitālos un fiziskos informācijas līdzekļus, piemēram, sistēmas, tīklus, programmatūru, datus un dokumentāciju. Mēs klasificējam informācijas līdzekļus, pamatojoties uz to kritiskumu un jutīgumu, lai nodrošinātu atbilstošu aizsardzības pasākumu īstenošanu.

10.2. Informācijas līdzekļu apstrāde

Mēs īstenojam atbilstošus pasākumus, lai aizsargātu informācijas līdzekļus, pamatojoties uz to klasifikāciju, tostarp konfidencialitāti, integritāti un pieejamību. Mēs nodrošinām, ka visi informācijas līdzekļi tiek apstrādāti saskaņā ar piemērojamiem likumiem, noteikumiem un līguma prasībām. Mēs arī nodrošinām, ka visi informācijas līdzekļi tiek pareizi uzglabāti, aizsargāti un iznīcināti, kad tie vairs nav nepieciešami.

10.3. Informācijas līdzekļu īpašumtiesības

Mēs piešķiram informācijas līdzekļu īpašumtiesības personām vai departamentiem, kas ir atbildīgi par informācijas līdzekļu pārvaldību un aizsardzību. Mēs arī nodrošinām, ka informācijas līdzekļu īpašnieki izprot savus pienākumus un atbildību par informācijas līdzekļu aizsardzību.

10.4. Informācijas līdzekļu aizsardzība

Mēs izmantojam dažādus aizsardzības pasākumus, lai aizsargātu informācijas aktīvus, tostarp fizisko kontroli, piekļuves kontroli, šifrēšanu, kā arī dublēšanas un atkopšanas procesus. Mēs arī nodrošinām, ka visi informācijas līdzekļi ir aizsargāti pret nesankcionētu piekļuvi, pārveidošanu vai iznīcināšanu.

11. daļa. Piekļuves kontrole

11.1. Piekļuves kontroles politika

Eiropas IT sertifikācijas institūtam ir piekļuves kontroles politika, kas nosaka prasības piekļuves piešķiršanai, pārveidošanai un atsaukšanai informācijas līdzekļiem. Piekļuves kontrole ir būtiska mūsu informācijas drošības pārvaldības sistēmas sastāvdaļa, un mēs to ieviešam, lai nodrošinātu, ka tikai pilnvarotām personām ir piekļuve mūsu informācijas līdzekļiem.

11.2. Piekļuves kontroles ieviešana

Piekļuves kontroles pasākumus īstenojam pēc mazāko privilēģiju principa, kas nozīmē, ka personām ir pieejami tikai tie informācijas līdzekļi, kas nepieciešami viņu darba funkciju veikšanai. Mēs izmantojam dažādus piekļuves kontroles pasākumus, tostarp autentifikāciju, autorizāciju un uzskaiti (AAA). Mēs arī izmantojam piekļuves kontroles sarakstus (ACL) un atļaujas, lai kontrolētu piekļuvi informācijas līdzekļiem.

11.3. Paroles politika

Eiropas IT sertifikācijas institūtam ir paroles politika, kas nosaka prasības paroļu izveidei un pārvaldībai. Mums ir nepieciešamas spēcīgas paroles, kas ir vismaz 8 rakstzīmes garas ar lielo un mazo burtu, ciparu un speciālo rakstzīmju kombināciju. Mēs arī pieprasām periodiskas paroles maiņas un aizliedzam iepriekšējo paroļu atkārtotu izmantošanu.

11.4. Lietotāju pārvaldība

Mums ir lietotāju pārvaldības process, kas ietver lietotāju kontu izveidi, modificēšanu un dzēšanu. Lietotāju konti tiek veidoti pēc mazāko privilēģiju principa, un piekļuve tiek piešķirta tikai tiem informācijas līdzekļiem, kas nepieciešami personas darba funkciju veikšanai. Mēs arī regulāri pārskatām lietotāju kontus un noņemam kontus, kas vairs nav vajadzīgi.

12. daļa. Informācijas drošības incidentu vadība

12.1. Incidentu pārvaldības politika

Eiropas IT sertifikācijas institūtam ir incidentu pārvaldības politika, kas nosaka prasības drošības incidentu atklāšanai, ziņošanai, novērtēšanai un reaģēšanai uz tiem. Mēs definējam drošības incidentus kā jebkuru notikumu, kas apdraud informācijas līdzekļu vai sistēmu konfidencialitāti, integritāti vai pieejamību.

12.2. Negadījumu atklāšana un ziņošana

Mēs īstenojam pasākumus, lai nekavējoties atklātu drošības incidentus un ziņotu par tiem. Mēs izmantojam dažādas metodes, lai atklātu drošības incidentus, tostarp ielaušanās atklāšanas sistēmas (IDS), pretvīrusu programmatūru un lietotāju ziņošanu. Mēs arī nodrošinām, ka visi darbinieki ir informēti par procedūrām ziņošanai par drošības incidentiem un mudinām ziņot par visiem iespējamiem incidentiem.

12.3. Negadījumu novērtējums un reaģēšana

Mums ir drošības incidentu novērtēšanas un reaģēšanas process, pamatojoties uz to nopietnību un ietekmi. Mēs piešķiram incidentiem prioritāti, pamatojoties uz to iespējamo ietekmi uz informācijas līdzekļiem vai sistēmām, un piešķiram atbilstošus resursus, lai uz tiem reaģētu. Mums ir arī reaģēšanas plāns, kas ietver procedūras drošības incidentu identificēšanai, ierobežošanai, analīzei, izskaušanai un atkopšanai no tiem, kā arī attiecīgo pušu informēšanai un pēcincidentu pārskatīšanai. Mūsu reaģēšanas procedūras uz incidentiem ir izstrādātas, lai nodrošinātu ātru un efektīvu reaģēšanu. drošības incidentiem. Procedūras tiek regulāri pārskatītas un atjauninātas, lai nodrošinātu to efektivitāti un atbilstību.

12.4. Negadījumu reaģēšanas komanda

Mums ir incidentu reaģēšanas komanda (IRT), kas ir atbildīga par reaģēšanu uz drošības incidentiem. IRT sastāv no dažādu vienību pārstāvjiem, un to vada informācijas drošības speciālists (ISO). IRT ir atbildīga par incidentu smaguma novērtēšanu, incidenta ierobežošanu un atbilstošu reaģēšanas procedūru uzsākšanu.

12.5. Ziņošana par incidentiem un to pārskatīšana

Mēs esam izveidojuši procedūras ziņošanai par drošības incidentiem attiecīgajām pusēm, tostarp klientiem, regulatīvajām iestādēm un tiesībaizsardzības iestādēm, kā to pieprasa piemērojamie likumi un noteikumi. Mēs arī uzturam saziņu ar ietekmētajām pusēm visā incidenta reaģēšanas procesa laikā, sniedzot savlaicīgu informāciju par incidenta statusu un visām darbībām, kas tiek veiktas, lai mazinātu tā ietekmi. Mēs arī veicam visu drošības incidentu pārskatīšanu, lai noteiktu galveno cēloni un novērstu līdzīgu incidentu rašanos nākotnē.

13. daļa. Darbības nepārtrauktības pārvaldība un seku likvidēšana

13.1. Darbības nepārtrauktības plānošana

Lai gan Eiropas IT sertifikācijas institūts ir bezpeļņas organizācija, tam ir darbības nepārtrauktības plāns (BCP), kurā izklāstītas procedūras, kā nodrošināt tā darbības nepārtrauktību traucējumu gadījumā. BCP aptver visus kritiskos darbības procesus un identificē resursus, kas nepieciešami darbību uzturēšanai traucējoša incidenta laikā un pēc tā. Tajā ir arī izklāstītas procedūras uzņēmējdarbības uzturēšanai pārtraukuma vai katastrofas laikā, traucējumu ietekmes novērtēšanai, svarīgāko darbības procesu identificēšanai konkrēta traucējoša incidenta kontekstā un reaģēšanas un atkopšanas procedūru izstrādei.

13.2. Katastrofu seku novēršanas plānošana

Eiropas IT sertifikācijas institūtam ir katastrofu seku novēršanas plāns (DRP), kurā ir izklāstītas mūsu informācijas sistēmu atkopšanas procedūras traucējumu vai katastrofas gadījumā. DRP ietver procedūras datu dublēšanai, datu atjaunošanai un sistēmas atkopšanai. DRP tiek regulāri pārbaudīts un atjaunināts, lai nodrošinātu tā efektivitāti.

13.3. Uzņēmējdarbības ietekmes analīze

Mēs veicam biznesa ietekmes analīzi (BIA), lai noteiktu kritiskos darbības procesus un to uzturēšanai nepieciešamos resursus. BSA palīdz mums noteikt atkopšanas centienu prioritātes un atbilstoši piešķirt resursus.

13.4. Uzņēmējdarbības nepārtrauktības stratēģija

Pamatojoties uz BSA rezultātiem, mēs izstrādājam darbības nepārtrauktības stratēģiju, kurā izklāstītas procedūras, kā reaģēt uz traucējošu incidentu. Stratēģija ietver procedūras BCP aktivizēšanai, kritisko darbības procesu atjaunošanai un saziņai ar attiecīgajām ieinteresētajām pusēm.

13.5. Testēšana un apkope

Mēs regulāri pārbaudām un uzturam savus BCP un DRP, lai nodrošinātu to efektivitāti un atbilstību. Mēs veicam regulāras pārbaudes, lai apstiprinātu BCP/DRP un noteiktu jomas, kurās ir nepieciešami uzlabojumi. Mēs arī atjauninām BCP un DRP, ja nepieciešams, lai atspoguļotu izmaiņas mūsu darbībās vai draudu vidē. Pārbaudē ietilpst galda vingrinājumi, simulācijas un procedūru tiešraides testēšana. Mēs arī pārskatām un atjauninām savus plānus, pamatojoties uz testu rezultātiem un gūtajām atziņām.

13.6. Alternatīvas apstrādes vietnes

Mēs uzturam alternatīvas tiešsaistes apstrādes vietnes, kuras var izmantot, lai turpinātu uzņēmējdarbību traucējumu vai katastrofas gadījumā. Alternatīvās apstrādes vietas ir aprīkotas ar nepieciešamo infrastruktūru un sistēmām, un tās var izmantot kritisko biznesa procesu atbalstam.

14. daļa. Atbilstība un audits

14.1. Likumu un noteikumu ievērošana

Eiropas IT sertifikācijas institūts ir apņēmies ievērot visus piemērojamos tiesību aktus un noteikumus, kas saistīti ar informācijas drošību un privātumu, tostarp datu aizsardzības likumus, nozares standartus un līgumsaistības. Mēs regulāri pārskatām un atjauninām savas politikas, procedūras un kontroles, lai nodrošinātu atbilstību visām attiecīgajām prasībām un standartiem. Galvenie standarti un ietvari, kurus mēs ievērojam informācijas drošības kontekstā, ir šādi:

  1. ISO/IEC 27001 standarts, kas sniedz vadlīnijas informācijas drošības pārvaldības sistēmas (ISMS) ieviešanai un pārvaldībai, kas ietver ievainojamības pārvaldību kā galveno komponentu. Tas nodrošina atsauces sistēmu mūsu informācijas drošības pārvaldības sistēmas (ISMS) ieviešanai un uzturēšanai, tostarp ievainojamību pārvaldībai. Saskaņā ar šī standarta noteikumiem mēs identificējam, novērtējam un pārvaldām informācijas drošības riskus, tostarp ievainojamības.
  2. ASV Nacionālā standartu un tehnoloģiju institūta (NIST) kiberdrošības sistēma, kas sniedz vadlīnijas kiberdrošības risku identificēšanai, novērtēšanai un pārvaldībai, tostarp ievainojamības pārvaldībai.
  3. Nacionālā standartu un tehnoloģiju institūta (NIST) kiberdrošības sistēma kiberdrošības riska pārvaldības uzlabošanai ar galveno funkciju kopumu, tostarp ievainojamības pārvaldību, ko mēs ievērojam, lai pārvaldītu savus kiberdrošības riskus.
  4. SANS Critical Security Controls, kas satur 20 drošības vadīklu komplektu, lai uzlabotu kiberdrošību, aptverot dažādas jomas, tostarp ievainojamības pārvaldību, sniedzot īpašus norādījumus par ievainojamību skenēšanu, ielāpu pārvaldību un citiem ievainojamības pārvaldības aspektiem.
  5. Maksājumu karšu nozares datu drošības standarts (PCI DSS), kas nosaka kredītkaršu informācijas apstrādi saistībā ar ievainojamības pārvaldību šajā kontekstā.
  6. Interneta drošības kontroles (CIS) centrs, tostarp ievainojamību pārvaldība kā viena no galvenajām vadīklām, lai nodrošinātu mūsu informācijas sistēmu drošas konfigurācijas.
  7. Atvērto tīmekļa lietojumprogrammu drošības projekts (OWASP) ar viskritiskāko tīmekļa lietojumprogrammu drošības risku top 10 sarakstu, tostarp ievainojamību novērtējums, piemēram, injekcijas uzbrukumi, bojāta autentifikācija un sesiju pārvaldība, starpvietņu skriptēšana (XSS) utt. OWASP Top 10, lai piešķirtu prioritāti mūsu ievainojamības pārvaldības centieniem un koncentrētos uz vissvarīgākajiem riskiem saistībā ar mūsu tīmekļa sistēmām.

14.2. Iekšējais audits

Mēs veicam regulārus iekšējos auditus, lai novērtētu mūsu Informācijas drošības pārvaldības sistēmas (ISMS) efektivitāti un nodrošinātu, ka tiek ievērotas mūsu politikas, procedūras un kontroles. Iekšējā audita process ietver neatbilstību noteikšanu, korektīvo darbību izstrādi un sanācijas pasākumu izsekošanu.

14.3. Ārējais audits

Mēs periodiski sadarbojamies ar ārējiem auditoriem, lai apstiprinātu mūsu atbilstību piemērojamajiem likumiem, noteikumiem un nozares standartiem. Mēs nodrošinām auditoriem piekļuvi mūsu telpām, sistēmām un dokumentācijai, kas nepieciešama, lai apstiprinātu mūsu atbilstību. Mēs arī sadarbojamies ar ārējiem auditoriem, lai risinātu visus audita procesā konstatētos konstatējumus vai ieteikumus.

14.4. Atbilstības uzraudzība

Mēs pastāvīgi uzraugām savu atbilstību piemērojamajiem likumiem, noteikumiem un nozares standartiem. Mēs izmantojam dažādas metodes, lai uzraudzītu atbilstību, tostarp periodiskus novērtējumus, auditus un trešo pušu pakalpojumu sniedzēju pārskatus. Mēs arī regulāri pārskatām un atjauninām savas politikas, procedūras un kontroles, lai nodrošinātu pastāvīgu atbilstību visām attiecīgajām prasībām.

15. daļa. Trešās puses pārvaldība

15.1. Trešās puses pārvaldības politika

Eiropas IT sertifikācijas institūtam ir trešās puses pārvaldības politika, kas nosaka prasības trešo pušu pakalpojumu sniedzēju atlasei, novērtēšanai un uzraudzībai, kuriem ir piekļuve mūsu informācijas līdzekļiem vai sistēmām. Politika attiecas uz visiem trešo pušu pakalpojumu sniedzējiem, tostarp mākoņpakalpojumu sniedzējiem, piegādātājiem un darbuzņēmējiem.

15.2. Trešās puses atlase un novērtēšana

Pirms sadarbošanās ar trešo pušu pakalpojumu sniedzējiem mēs veicam uzticamības pārbaudi, lai nodrošinātu, ka tiem ir piemērotas drošības kontroles mūsu informācijas līdzekļu vai sistēmu aizsardzībai. Mēs arī novērtējam trešo pušu pakalpojumu sniedzēju atbilstību piemērojamajiem tiesību aktiem un noteikumiem, kas saistīti ar informācijas drošību un privātumu.

15.3. Trešās puses uzraudzība

Mēs pastāvīgi uzraugām trešo pušu pakalpojumu sniedzējus, lai nodrošinātu, ka tie joprojām atbilst mūsu prasībām attiecībā uz informācijas drošību un privātumu. Mēs izmantojam dažādas metodes, lai uzraudzītu trešo pušu pakalpojumu sniedzējus, tostarp periodiskus novērtējumus, auditus un ziņojumu par drošības incidentiem pārskatīšanu.

15.4. Līguma prasības

Mēs iekļaujam līgumiskās prasības saistībā ar informācijas drošību un privātumu visos līgumos ar trešo pušu pakalpojumu sniedzējiem. Šīs prasības ietver noteikumus par datu aizsardzību, drošības kontroli, incidentu pārvaldību un atbilstības uzraudzību. Mēs arī iekļaujam noteikumus par līgumu pārtraukšanu drošības incidenta vai neatbilstības gadījumā.

16. daļa. Informācijas drošība sertifikācijas procesos

16.1. Sertifikācijas procesu drošība

Mēs veicam adekvātus un sistēmiskus pasākumus, lai nodrošinātu visas ar mūsu sertifikācijas procesiem saistītās informācijas, tostarp to personu personas datu drošību, kuras vēlas saņemt sertifikāciju. Tas ietver visas ar sertifikāciju saistītās informācijas piekļuves, glabāšanas un pārsūtīšanas vadīklas. Ieviešot šos pasākumus, mūsu mērķis ir nodrošināt, lai sertifikācijas procesi tiktu veikti ar visaugstāko drošības un integritātes līmeni, un to personu personas dati, kas vēlas iegūt sertifikāciju, tiek aizsargāti atbilstoši attiecīgajiem noteikumiem un standartiem.

16.2. Autentifikācija un autorizācija

Mēs izmantojam autentifikācijas un autorizācijas vadīklas, lai nodrošinātu, ka tikai pilnvarotam personālam ir piekļuve sertifikācijas informācijai. Piekļuves kontroles tiek regulāri pārskatītas un atjauninātas, pamatojoties uz izmaiņām personāla lomās un pienākumos.

16.3. Datu aizsardzība

Mēs aizsargājam personas datus visā sertifikācijas procesā, ieviešot atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu datu konfidencialitāti, integritāti un pieejamību. Tas ietver tādus pasākumus kā šifrēšana, piekļuves kontrole un regulāra dublēšana.

16.4. Pārbaudes procesu drošība

Eksāmenu procesu drošību nodrošinām, ieviešot atbilstošus pasākumus krāpšanās novēršanai, uzraugām un kontrolējam eksaminācijas vidi. Mēs arī saglabājam pārbaudes materiālu integritāti un konfidencialitāti, izmantojot drošas uzglabāšanas procedūras.

16.5. Eksāmenu satura drošība

Mēs nodrošinām pārbaudes satura drošību, ieviešot atbilstošus pasākumus, lai aizsargātu pret nesankcionētu piekļuvi, pārveidošanu vai satura izpaušanu. Tas ietver pārbaudes satura drošas glabāšanas, šifrēšanas un piekļuves kontroles izmantošanu, kā arī pārbaudes, lai novērstu izmeklējuma satura neatļautu izplatīšanu.

16.6. Eksāmenu piegādes drošība

Mēs nodrošinām eksāmenu piegādes drošību, ieviešot atbilstošus pasākumus, lai novērstu nesankcionētu piekļuvi eksāmenu videi vai manipulācijas ar to. Tas ietver tādus pasākumus kā pārbaudes vides uzraudzība, audits un kontrole, kā arī īpašas pārbaudes pieejas, lai novērstu krāpšanos vai citus drošības pārkāpumus.

16.7. Eksāmenu rezultātu drošība

Mēs nodrošinām pārbaudes rezultātu drošību, ieviešot atbilstošus pasākumus, lai aizsargātu pret nesankcionētu piekļuvi, pārveidošanu vai rezultātu izpaušanu. Tas ietver pārbaudes rezultātu drošas glabāšanas, šifrēšanas un piekļuves kontroles izmantošanu, kā arī pārbaudes, lai novērstu izmeklējumu rezultātu neatļautu izplatīšanu vai izplatīšanu.

16.8. Sertifikātu izsniegšanas drošība

Mēs nodrošinām sertifikātu izsniegšanas drošību, ieviešot atbilstošus pasākumus, lai novērstu krāpšanu un neatļautu sertifikātu izsniegšanu. Tas ietver kontroli, lai pārbaudītu to personu identitāti, kuras saņem sertifikātus, un drošas uzglabāšanas un izdošanas procedūras.

16.9. Sūdzības un apelācijas

Esam noteikuši procedūras ar sertifikācijas procesu saistīto sūdzību un apelāciju izskatīšanai. Šīs procedūras ietver pasākumus, lai nodrošinātu procesa konfidencialitāti un objektivitāti, kā arī ar sūdzībām un pārsūdzībām saistītās informācijas drošību.

16.10. Sertifikācijas procesi Kvalitātes vadība

Sertifikācijas procesiem esam izveidojuši kvalitātes vadības sistēmu (QMS), kas ietver pasākumus procesu efektivitātes, efektivitātes un drošības nodrošināšanai. KVS ietver regulārus procesu un to drošības kontroles auditus un pārskatus.

16.11. Sertifikācijas procesu drošības nepārtraukta uzlabošana

Mēs esam apņēmušies nepārtraukti uzlabot mūsu sertifikācijas procesus un to drošības kontroles. Tas ietver regulāru ar sertifikāciju saistīto politiku un procedūru drošības pārskatīšanu un atjaunināšanu, pamatojoties uz izmaiņām uzņēmējdarbības vidē, normatīvajām prasībām un informācijas drošības pārvaldības labāko praksi, saskaņā ar ISO 27001 informācijas drošības pārvaldības standartu, kā arī ar ISO. 17024 sertifikācijas iestāžu darbības standarts.

17. daļa. Noslēguma noteikumi

17.1. Politikas pārskatīšana un atjaunināšana

Šī informācijas drošības politika ir aktuāls dokuments, kas tiek nepārtraukti pārskatīts un atjaunināts, pamatojoties uz izmaiņām mūsu darbības prasībās, normatīvajās prasībās vai informācijas drošības pārvaldības paraugpraksē.

17.2. Atbilstības uzraudzība

Mēs esam izveidojuši procedūras, lai uzraudzītu atbilstību šai Informācijas drošības politikai un saistītajām drošības kontrolēm. Atbilstības uzraudzība ietver regulārus auditus, novērtējumus un drošības kontroles un to efektivitātes šīs politikas mērķu sasniegšanā pārskatīšanu.

17.3. Ziņošana par drošības incidentiem

Mēs esam izveidojuši procedūras, kā ziņot par drošības incidentiem, kas saistīti ar mūsu informācijas sistēmām, tostarp tiem, kas saistīti ar personu personas datiem. Darbinieki, darbuzņēmēji un citas ieinteresētās personas tiek aicinātas pēc iespējas ātrāk ziņot norādītajai drošības komandai par visiem drošības incidentiem vai iespējamiem incidentiem.

17.4. Apmācība un izpratne

Mēs nodrošinām regulāras apmācības un informēšanas programmas darbiniekiem, darbuzņēmējiem un citām ieinteresētajām pusēm, lai nodrošinātu, ka viņi apzinās savus pienākumus un pienākumus saistībā ar informācijas drošību. Tas ietver apmācību par drošības politiku un procedūrām, kā arī fizisku personu personas datu aizsardzības pasākumiem.

17.5. Atbildība un atbildība

Mēs uzskatām, ka visi darbinieki, darbuzņēmēji un citas ieinteresētās personas ir atbildīgas par šīs informācijas drošības politikas un saistīto drošības kontroles pasākumu ievērošanu. Mēs arī uzskatām, ka vadība ir atbildīga par atbilstošu resursu piešķiršanu efektīvas informācijas drošības kontroles ieviešanai un uzturēšanai.

Šī Informācijas drošības politika ir būtiska Eiropas IT sertifikācijas institūta informācijas drošības pārvaldības sistēmas sastāvdaļa un parāda mūsu apņemšanos aizsargāt informācijas aktīvus un apstrādātos datus, nodrošināt informācijas konfidencialitāti, privātumu, integritāti un pieejamību, kā arī ievērot normatīvās un līgumiskās prasības.