Палітыка інфармацыйнай бяспекі
Палітыка інфармацыйнай бяспекі Акадэміі EITCA
Гэты дакумент вызначае палітыку інфармацыйнай бяспекі (ISP) Еўрапейскага інстытута сертыфікацыі ІТ, якая рэгулярна пераглядаецца і абнаўляецца для забеспячэння яе эфектыўнасці і актуальнасці. Апошняе абнаўленне Палітыкі інфармацыйнай бяспекі EITCI было зроблена 7 студзеня 2023 г.
Частка 1. Уводзіны і Палітыка інфармацыйнай бяспекі
1.1. Увядзенне
Еўрапейскі інстытут сертыфікацыі ІТ прызнае важнасць інфармацыйнай бяспекі для падтрымання канфідэнцыяльнасці, цэласнасці і даступнасці інфармацыі і даверу нашых зацікаўленых бакоў. Мы імкнемся абараняць канфідэнцыйную інфармацыю, у тым ліку асабістыя даныя, ад несанкцыянаванага доступу, раскрыцця, змены і знішчэння. Мы падтрымліваем дзейсную палітыку інфармацыйнай бяспекі, каб падтрымаць нашу місію па прадастаўленні надзейных і бесстаронніх паслуг па сертыфікацыі нашым кліентам. Палітыка інфармацыйнай бяспекі акрэслівае нашу прыхільнасць абароне інфармацыйных актываў і выкананню нашых юрыдычных, нарматыўных і дагаворных абавязацельстваў. Наша палітыка заснавана на прынцыпах ISO 27001 і ISO 17024, вядучых міжнародных стандартаў кіравання інфармацыйнай бяспекай і стандартаў дзейнасці органаў па сертыфікацыі.
1.2. Палітычная заява
Еўрапейскі інстытут сертыфікацыі ІТ імкнецца:
- Абарона канфідэнцыяльнасці, цэласнасці і даступнасці інфармацыйных актываў,
- Выконваючы заканадаўчыя, нарматыўныя і дагаворныя абавязацельствы, звязаныя з інфармацыйнай бяспекай і апрацоўкай даных, рэалізуючы працэсы сертыфікацыі і аперацыі,
- Пастаянна ўдасканальваючы палітыку інфармацыйнай бяспекі і адпаведную сістэму кіравання,
- Забеспячэнне належнага навучання і інфармаванасці супрацоўнікаў, падрадчыкаў і ўдзельнікаў,
- Прыцягненне ўсіх супрацоўнікаў і падрадчыкаў да ўкаранення і падтрымання палітыкі інфармацыйнай бяспекі і адпаведнай сістэмы кіравання інфармацыйнай бяспекай.
1.3. Сфера дзейнасці
Гэтая палітыка распаўсюджваецца на ўсе інфармацыйныя актывы, якія належаць, кантралююцца або апрацоўваюцца Еўрапейскім інстытутам сертыфікацыі ІТ. Гэта ўключае ў сябе ўсе лічбавыя і фізічныя інфармацыйныя актывы, такія як сістэмы, сеткі, праграмнае забеспячэнне, дадзеныя і дакументацыя. Гэтая палітыка таксама распаўсюджваецца на ўсіх супрацоўнікаў, падрадчыкаў і старонніх пастаўшчыкоў паслуг, якія маюць доступ да нашых інфармацыйных актываў.
1.4. Адпаведнасць
Еўрапейскі інстытут сертыфікацыі ІТ імкнецца выконваць адпаведныя стандарты інфармацыйнай бяспекі, уключаючы ISO 27001 і ISO 17024. Мы рэгулярна пераглядаем і абнаўляем гэтую палітыку, каб гарантаваць яе пастаянную актуальнасць і адпаведнасць гэтым стандартам.
Частка 2. Арганізацыйная бяспека
2.1. Мэты бяспекі арганізацыі
Ужываючы арганізацыйныя меры бяспекі, мы імкнемся гарантаваць, што нашы інфармацыйныя актывы і метады і працэдуры апрацоўкі даных праводзяцца з найвышэйшым узроўнем бяспекі і цэласнасці, і што мы адпавядаем адпаведным прававым нормам і стандартам.
2.2. Ролі і абавязкі ў галіне інфармацыйнай бяспекі
Еўрапейскі інстытут сертыфікацыі ІТ вызначае і паведамляе аб ролях і адказнасці за інфармацыйную бяспеку ва ўсёй арганізацыі. Гэта ўключае ў сябе прызначэнне выразнага права ўласнасці на інфармацыйныя актывы ў сувязі з інфармацыйнай бяспекай, стварэнне структуры кіравання і вызначэнне канкрэтных абавязкаў для розных роляў і аддзелаў у арганізацыі.
2.3. Кіраванне рызыкамі
Мы праводзім рэгулярныя ацэнкі рызык, каб вызначыць і вызначыць прыярытэты рызык інфармацыйнай бяспекі арганізацыі, у тым ліку рызык, звязаных з апрацоўкай персанальных даных. Мы ўсталёўваем належныя сродкі кантролю для зніжэння гэтых рызык і рэгулярна пераглядаем і абнаўляем наш падыход да кіравання рызыкамі, заснаваны на зменах у бізнес-асяроддзі і ландшафте пагроз.
2.4. Палітыка і працэдуры інфармацыйнай бяспекі
Мы ўсталёўваем і падтрымліваем набор палітык і працэдур інфармацыйнай бяспекі, якія заснаваны на перадавой галіновай практыцы і адпавядаюць адпаведным нормам і стандартам. Гэтыя палітыкі і працэдуры ахопліваюць усе аспекты інфармацыйнай бяспекі, уключаючы апрацоўку персанальных даных, і рэгулярна пераглядаюцца і абнаўляюцца для забеспячэння іх эфектыўнасці.
2.5. Інфармаванасць і навучанне бяспецы
Мы праводзім рэгулярныя праграмы павышэння дасведчанасці аб бяспецы і навучальныя праграмы для ўсіх супрацоўнікаў, падрадчыкаў і старонніх партнёраў, якія маюць доступ да асабістых даных або іншай канфідэнцыйнай інфармацыі. Гэты трэнінг ахоплівае такія тэмы, як фішынг, сацыяльная інжынерыя, гігіена пароляў і іншыя лепшыя практыкі інфармацыйнай бяспекі.
2.6. Фізічная і экалагічная бяспека
Мы ўкараняем адпаведныя меры кантролю фізічнай і экалагічнай бяспекі для абароны ад несанкцыянаванага доступу, пашкоджання або ўмяшання ў нашы аб'екты і інфармацыйныя сістэмы. Гэта ўключае ў сябе такія меры, як кантроль доступу, назіранне, маніторынг і рэзервовае харчаванне і сістэмы астуджэння.
2.7. Кіраванне інцыдэнтамі інфармацыйнай бяспекі
Мы ўсталявалі працэс кіравання інцыдэнтамі, які дазваляе хутка і эфектыўна рэагаваць на любыя інцыдэнты бяспекі інфармацыі, якія могуць адбыцца. Гэта ўключае ў сябе працэдуры справаздачнасці, эскалацыі, расследавання і вырашэння інцыдэнтаў, а таксама меры для прадухілення паўтарэння і паляпшэння нашых магчымасцей рэагавання на інцыдэнты.
2.8. Бесперапыннасць працы і аварыйнае аднаўленне
Мы стварылі і пратэставалі планы забеспячэння бесперапыннасці працы і аварыйнага аднаўлення, якія дазваляюць нам падтрымліваць нашы важныя аперацыйныя функцыі і паслугі ў выпадку збояў або катастрофы. Гэтыя планы ўключаюць працэдуры рэзервовага капіравання і аднаўлення даных і сістэм, а таксама меры па забеспячэнні даступнасці і цэласнасці асабістых даных.
2.9. Кіраванне трэцімі асобамі
Мы ўсталёўваем і падтрымліваем адпаведныя сродкі кантролю для кіравання рызыкамі, звязанымі са староннімі партнёрамі, якія маюць доступ да асабістых даных або іншай канфідэнцыйнай інфармацыі. Гэта ўключае ў сябе такія меры, як належная абачлівасць, кантрактныя абавязацельствы, маніторынг і аўдыт, а таксама меры па спыненні партнёрства ў выпадку неабходнасці.
Частка 3. Кадравая бяспека
3.1. Скрынінг занятасці
Еўрапейскі інстытут сертыфікацыі ІТ усталяваў працэс праверкі занятасці, каб пераканацца, што асобы, якія маюць доступ да канфідэнцыйнай інфармацыі, заслугоўваюць даверу і валодаюць неабходнымі навыкамі і кваліфікацыяй.
3.2. Кантроль доступу
Мы ўстанавілі палітыку і працэдуры кантролю доступу, каб гарантаваць, што супрацоўнікі маюць доступ толькі да інфармацыі, неабходнай для выканання іх службовых абавязкаў. Правы доступу рэгулярна праглядаюцца і абнаўляюцца, каб супрацоўнікі мелі доступ толькі да той інфармацыі, якая ім патрэбна.
3.3. Інфармацыйная бяспека і навучанне
Мы рэгулярна праводзім навучанне па інфармацыйнай бяспецы для ўсіх супрацоўнікаў. Гэты трэнінг ахоплівае такія тэмы, як бяспека пароляў, фішынгавыя атакі, сацыяльная інжынерыя і іншыя аспекты кібербяспекі.
3.4. Дапушчальнае выкарыстанне
Мы стварылі палітыку дапушчальнага выкарыстання, якая апісвае прымальнае выкарыстанне інфармацыйных сістэм і рэсурсаў, у тым ліку персанальных прылад, якія выкарыстоўваюцца ў працоўных мэтах.
3.5. Бяспека мабільных прылад
Мы ўстанавілі палітыку і працэдуры для бяспечнага выкарыстання мабільных прылад, уключаючы выкарыстанне пароляў, шыфраванне і магчымасці аддаленага выдалення.
3.6. Працэдуры спынення
Еўрапейскі інстытут сертыфікацыі ІТ усталяваў працэдуры спынення працоўных адносін або кантрактаў, каб гарантаваць, што доступ да канфідэнцыйнай інфармацыі будзе ануляваны хутка і бяспечна.
3.7. Персанал трэціх асоб
Мы ўсталявалі працэдуры для кіравання персаналам трэціх асоб, якія маюць доступ да канфідэнцыйнай інфармацыі. Гэтыя палітыкі ўключаюць праверку, кантроль доступу і навучанне інфармацыйнай бяспецы.
3.8. Паведамленне аб інцыдэнтах
Мы ўстанавілі палітыку і працэдуры для паведамлення аб інцыдэнтах і праблемах інфармацыйнай бяспекі адпаведнаму персаналу або ўладам.
3.9. Пагадненні аб канфідэнцыяльнасці
Еўрапейскі інстытут сертыфікацыі ІТ патрабуе ад супрацоўнікаў і падрадчыкаў падпісання пагадненняў аб канфідэнцыяльнасці для абароны канфідэнцыйнай інфармацыі ад несанкцыянаванага раскрыцця.
3.10. Дысцыплінарныя спагнанні
Еўрапейскі інстытут сертыфікацыі ІТ усталяваў палітыку і працэдуры дысцыплінарных мер у выпадку парушэння палітыкі інфармацыйнай бяспекі супрацоўнікамі або падрадчыкамі.
Частка 4. Ацэнка і кіраванне рызыкамі
4.1. ацэнка рызыкі
Мы праводзім перыядычныя ацэнкі рызык, каб вызначыць магчымыя пагрозы і ўразлівасці для нашых інфармацыйных актываў. Мы выкарыстоўваем структураваны падыход для выяўлення, аналізу, ацэнкі і расстаноўкі прыярытэтаў рызык на аснове іх верагоднасці і патэнцыйнага ўздзеяння. Мы ацэньваем рызыкі, звязаныя з нашымі інфармацыйнымі актывамі, уключаючы сістэмы, сеткі, праграмнае забеспячэнне, дадзеныя і дакументацыю.
4.2. Лячэнне рызыкі
Мы выкарыстоўваем працэс апрацоўкі рызыкі, каб змякчыць або паменшыць рызыкі да прымальнага ўзроўню. Працэс апрацоўкі рызыкі ўключае выбар адпаведных сродкаў кантролю, укараненне сродкаў кантролю і маніторынг эфектыўнасці сродкаў кантролю. Мы вызначаем прыярытэты ўкаранення сродкаў кантролю ў залежнасці ад узроўню рызыкі, даступных рэсурсаў і прыярытэтаў бізнесу.
4.3. Маніторынг і агляд рызык
Мы рэгулярна кантралюем і разглядаем эфектыўнасць нашага працэсу кіравання рызыкамі, каб пераканацца, што ён застаецца актуальным і эфектыўным. Мы выкарыстоўваем паказчыкі і паказчыкі для вымярэння эфектыўнасці нашага працэсу кіравання рызыкамі і выяўлення магчымасцей для паляпшэння. Мы таксама разглядаем наш працэс кіравання рызыкамі ў рамках перыядычных аглядаў кіраўніцтва, каб пераканацца ў яго пастаяннай прыдатнасці, адэкватнасці і эфектыўнасці.
4.4. Планаванне рэагавання на рызыкі
У нас ёсць план рэагавання на рызыкі, які гарантуе, што мы можам эфектыўна рэагаваць на любыя выяўленыя рызыкі. Гэты план уключае працэдуры выяўлення рызык і паведамлення аб іх, а таксама працэсы ацэнкі патэнцыйнага ўздзеяння кожнай рызыкі і вызначэння адпаведных мер рэагавання. У нас таксама ёсць планы на выпадак надзвычайных сітуацый для забеспячэння бесперапыннасці бізнесу ў выпадку значнай рызыкі.
4.5. Аналіз аператыўнага ўздзеяння
Мы праводзім перыядычны аналіз уплыву на бізнес, каб вызначыць патэнцыйны ўплыў збояў на нашы бізнес-аперацыі. Гэты аналіз уключае ацэнку важнасці нашых бізнес-функцый, сістэм і даных, а таксама ацэнку патэнцыйнага ўздзеяння збояў на нашых кліентаў, супрацоўнікаў і іншых зацікаўленых бакоў.
4.6. Кіраванне рызыкамі трэціх асоб
У нас ёсць праграма кіравання рызыкамі трэцяга боку, каб гарантаваць, што нашы пастаўшчыкі і іншыя пастаўшчыкі паслуг трэцяга боку таксама належным чынам кіруюць рызыкамі. Гэтая праграма ўключае праверку належнай абачлівасці перад узаемадзеяннем з трэцімі асобамі, пастаянны маніторынг дзейнасці трэціх асоб і перыядычную ацэнку практыкі кіравання рызыкамі трэціх асоб.
4.7. Рэагаванне на інцыдэнты і кіраванне
У нас ёсць план рэагавання на інцыдэнты і план кіравання, каб мы маглі эфектыўна рэагаваць на любыя інцыдэнты бяспекі. Гэты план уключае працэдуры выяўлення інцыдэнтаў і паведамлення аб іх, а таксама працэсы ацэнкі наступстваў кожнага інцыдэнту і вызначэння адпаведных мер рэагавання. У нас таксама ёсць план забеспячэння бесперапыннасці бізнесу, каб гарантаваць, што важныя бізнес-функцыі могуць працягвацца ў выпадку значнага інцыдэнту.
Частка 5. Фізічная і экалагічная бяспека
5.1. Перыметр фізічнай бяспекі
Мы ўсталявалі меры фізічнай бяспекі для абароны фізічных памяшканняў і канфідэнцыйнай інфармацыі ад несанкцыянаванага доступу.
5.2. Кантроль доступу
Мы ўсталявалі палітыку і працэдуры кантролю доступу для фізічных памяшканняў, каб гарантаваць, што толькі ўпаўнаважаны персанал мае доступ да канфідэнцыйнай інфармацыі.
5.3. Бяспека абсталявання
Мы гарантуем, што ўсё абсталяванне, якое змяшчае канфідэнцыйную інфармацыю, фізічна абаронена, і доступ да гэтага абсталявання абмежаваны толькі ўпаўнаважаным персаналам.
5.4. Бяспечная ўтылізацыя
Мы ўсталявалі працэдуры бяспечнай утылізацыі канфідэнцыйнай інфармацыі, у тым ліку папяровых дакументаў, электронных носьбітаў і абсталявання.
5.5. Фізічнае асяроддзе
Мы гарантуем, што фізічнае асяроддзе ў памяшканнях, уключаючы тэмпературу, вільготнасць і асвятленне, адпавядае абароне канфідэнцыйнай інфармацыі.
5.6. Блок харчавання
Мы гарантуем, што электразабеспячэнне памяшканняў будзе надзейным і абароненым ад перабояў і скокаў электрычнасці.
5.7. Супрацьпажарная ахова
Мы ўстанавілі палітыку і працэдуры супрацьпажарнай абароны, уключаючы ўстаноўку і абслугоўванне сістэм выяўлення і пажаратушэння.
5.8. Абарона ад пашкоджанняў вадой
Мы ўстанавілі палітыку і працэдуры абароны канфідэнцыйнай інфармацыі ад пашкоджання вадой, уключаючы ўстаноўку і абслугоўванне сістэм выяўлення і прадухілення паводак.
5.9. Абслугоўванне абсталявання
Мы ўстанавілі працэдуры тэхнічнага абслугоўвання абсталявання, уключаючы праверку абсталявання на наяўнасць прыкмет фальсіфікацыі або несанкцыянаванага доступу.
5.10. Дапушчальнае выкарыстанне
Мы стварылі палітыку прымальнага выкарыстання, якая вызначае прымальнае выкарыстанне фізічных рэсурсаў і збудаванняў.
5.11. Аддалены доступ
Мы ўсталявалі палітыку і працэдуры аддаленага доступу да канфідэнцыйнай інфармацыі, уключаючы выкарыстанне бяспечных злучэнняў і шыфравання.
5.12. Маніторынг і назіранне
Мы ўсталявалі палітыку і працэдуры маніторынгу і назірання за фізічнымі памяшканнямі і абсталяваннем для выяўлення і прадухілення несанкцыянаванага доступу або маніпуляцый.
частка. 6. Бяспека сувязі і аперацый
6.1. Кіраванне сеткавай бяспекай
Мы ўсталявалі палітыку і працэдуры для кіравання сеткавай бяспекай, уключаючы выкарыстанне брандмаўэраў, сістэм выяўлення і прадухілення ўварванняў, а таксама рэгулярныя аўдыты бяспекі.
6.2. Перадача інфармацыі
Мы ўсталявалі палітыку і працэдуры для бяспечнай перадачы канфідэнцыйнай інфармацыі, уключаючы выкарыстанне шыфравання і бяспечных пратаколаў перадачы файлаў.
6.3. Камунікацыі трэціх асоб
Мы ўстанавілі палітыку і працэдуры бяспечнага абмену канфідэнцыйнай інфармацыяй са староннімі арганізацыямі, уключаючы выкарыстанне бяспечных злучэнняў і шыфравання.
6.4. Апрацоўка носьбітаў
Мы ўстанавілі працэдуры апрацоўкі канфідэнцыйнай інфармацыі на розных носьбітах, уключаючы папяровыя дакументы, электронныя носьбіты і партатыўныя прылады захоўвання дадзеных.
6.5. Распрацоўка і абслугоўванне інфармацыйных сістэм
Мы ўстанавілі палітыку і працэдуры для распрацоўкі і абслугоўвання інфармацыйных сістэм, уключаючы выкарыстанне метадаў бяспечнага кадавання, рэгулярнае абнаўленне праграмнага забеспячэння і кіраванне выпраўленнямі.
6.6. Абарона ад шкоднасных праграм і вірусаў
Мы ўстанавілі палітыку і працэдуры абароны інфармацыйных сістэм ад шкоднасных праграм і вірусаў, уключаючы выкарыстанне антывіруснага праграмнага забеспячэння і рэгулярныя абнаўленні бяспекі.
6.7. Рэзервовае капіраванне і аднаўленне
Мы ўсталявалі палітыку і працэдуры для рэзервовага капіявання і аднаўлення канфідэнцыйнай інфармацыі, каб прадухіліць страту або пашкоджанне даных.
6.8. кіраванне падзеямі
Мы ўсталявалі палітыку і працэдуры для выяўлення, расследавання і вырашэння інцыдэнтаў і падзей бяспекі.
6.9. Кіраванне ўразлівасцямі
Мы ўсталявалі палітыку і працэдуры для кіравання ўразлівасцямі інфармацыйнай сістэмы, уключаючы выкарыстанне рэгулярных ацэнак уразлівасцяў і кіравання выпраўленнямі.
6.10. Кантроль доступу
Мы ўсталявалі палітыку і працэдуры для кіравання доступам карыстальнікаў да інфармацыйных сістэм, уключаючы выкарыстанне кантролю доступу, аўтэнтыфікацыю карыстальнікаў і рэгулярныя праверкі доступу.
6.11. Маніторынг і запіс
Мы ўсталявалі палітыку і працэдуры для маніторынгу і рэгістрацыі дзейнасці інфармацыйнай сістэмы, уключаючы выкарыстанне аўдытарскіх слядоў і рэгістрацыю інцыдэнтаў бяспекі.
Частка 7. Набыццё, развіццё і суправаджэнне інфармацыйных сістэм
7.1. патрабаванні
Мы ўсталявалі палітыку і працэдуры для ідэнтыфікацыі патрабаванняў да інфармацыйнай сістэмы, у тым ліку бізнес-патрабаванняў, прававых і нарматыўных патрабаванняў і патрабаванняў бяспекі.
7.2. Адносіны з пастаўшчыкамі
Мы ўсталявалі палітыку і працэдуры для кіравання ўзаемаадносінамі са староннімі пастаўшчыкамі інфармацыйных сістэм і паслуг, уключаючы ацэнку метадаў бяспекі пастаўшчыкоў.
7.3. Распрацоўка сістэмы
Мы ўстанавілі палітыку і працэдуры для бяспечнай распрацоўкі інфармацыйных сістэм, уключаючы выкарыстанне метадаў бяспечнага кадавання, рэгулярнае тэставанне і забеспячэнне якасці.
7.4. Тэставанне сістэмы
Мы ўстанавілі палітыку і працэдуры для тэсціравання інфармацыйных сістэм, уключаючы тэставанне функцыянальнасці, прадукцыйнасці і бяспекі.
7.5. Прыняцце сістэмы
Мы ўстанавілі палітыку і працэдуры для прыняцця інфармацыйных сістэм, уключаючы зацвярджэнне вынікаў тэсціравання, ацэнку бяспекі і прыёмачнае тэсціраванне карыстальнікам.
7.6. Абслугоўванне сістэмы
Мы ўсталявалі палітыку і працэдуры абслугоўвання інфармацыйных сістэм, уключаючы рэгулярныя абнаўленні, патчы бяспекі і рэзервовае капіраванне сістэмы.
7.7. Сістэмны выхад на пенсію
Мы ўстанавілі палітыку і працэдуры спынення інфармацыйных сістэм, уключаючы бяспечную ўтылізацыю абсталявання і даных.
7.8. Захоўванне дадзеных
Мы ўсталявалі палітыку і працэдуры захавання даных у адпаведнасці з заканадаўчымі і нарматыўнымі патрабаваннямі, уключаючы бяспечнае захоўванне і выдаленне канфідэнцыяльных даных.
7.9. Патрабаванні да бяспекі інфармацыйных сістэм
Мы ўсталявалі палітыку і працэдуры для ідэнтыфікацыі і выканання патрабаванняў бяспекі для інфармацыйных сістэм, уключаючы кантроль доступу, шыфраванне і абарону даных.
7.10. Бяспечныя асяроддзя распрацоўкі
Мы ўсталявалі палітыку і працэдуры для бяспечных асяроддзяў распрацоўкі інфармацыйных сістэм, уключаючы выкарыстанне бяспечных практык распрацоўкі, кантроль доступу і бяспечныя канфігурацыі сеткі.
7.11. Абарона асяроддзя тэставання
Мы ўсталявалі палітыку і працэдуры для абароны тэставых асяроддзяў для інфармацыйных сістэм, уключаючы выкарыстанне бяспечных канфігурацый, кантроль доступу і рэгулярнае тэсціраванне бяспекі.
7.12. Прынцыпы бяспечнай сістэмы інжынерыі
Мы ўсталявалі палітыку і працэдуры для ўкаранення прынцыпаў бяспечнай сістэмнай інжынерыі для інфармацыйных сістэм, уключаючы выкарыстанне архітэктур бяспекі, мадэлявання пагроз і метадаў бяспечнага кадавання.
7.13. Кіраўніцтва па бяспечным кадаванні
Мы ўстанавілі палітыку і працэдуры для ўкаранення рэкамендацый па бяспечным кадаванні для інфармацыйных сістэм, уключаючы выкарыстанне стандартаў кадавання, праверкі кода і аўтаматызаванае тэставанне.
Частка 8. Набыццё абсталявання
8.1. Прытрымліванне стандартам
Мы прытрымліваемся стандарту ISO 27001 для сістэмы кіравання інфармацыйнай бяспекай (ISMS), каб гарантаваць, што абсталяванне набываецца ў адпаведнасці з нашымі патрабаваннямі бяспекі.
8.2. ацэнка рызыкі
Мы праводзім ацэнку рызыкі перад закупкай апаратных сродкаў, каб вызначыць патэнцыйныя рызыкі бяспекі і пераканацца, што абранае абсталяванне адпавядае патрабаванням бяспекі.
8.3. Выбар пастаўшчыкоў
Мы набываем абсталяванне толькі ў правераных пастаўшчыкоў, якія маюць даказаны вопыт пастаўкі бяспечных прадуктаў. Мы разглядаем палітыку і практыку бяспекі пастаўшчыкоў і патрабуем ад іх упэўненасці, што іх прадукты адпавядаюць нашым патрабаванням бяспекі.
8.4. Бяспечны транспарт
Мы гарантуем, што апаратныя сродкі бяспечна транспартуюцца ў нашы памяшканні, каб прадухіліць фальсіфікацыю, пашкоджанне або крадзеж падчас транспарціроўкі.
8.5. Праверка сапраўднасці
Мы правяраем сапраўднасць апаратных сродкаў пасля дастаўкі, каб пераканацца, што яны не падробленыя і не падробленыя.
8.6. Фізічны і экалагічны кантроль
Мы ўкараняем адпаведныя меры фізічнага і навакольнага асяроддзя, каб абараніць абсталяванне ад несанкцыянаванага доступу, крадзяжу або пашкоджання.
8.7. Усталёўка апаратнага забеспячэння
Мы гарантуем, што ўсе апаратныя сродкі настроены і ўсталяваны ў адпаведнасці з устаноўленымі стандартамі бяспекі і інструкцыямі.
8.8. Агляды абсталявання
Мы праводзім перыядычныя праверкі апаратных сродкаў, каб гарантаваць, што яны працягваюць адпавядаць нашым патрабаванням бяспекі і абнаўляюцца апошнімі патчамі бяспекі і абнаўленнямі.
8.9. Утылізацыя абсталявання
Мы бяспечна выдаляем апаратныя сродкі, каб прадухіліць несанкцыянаваны доступ да канфідэнцыйнай інфармацыі.
Частка 9. Абарона ад шкоднасных праграм і вірусаў
9.1. Палітыка абнаўлення праграмнага забеспячэння
Мы падтрымліваем актуальнае праграмнае забеспячэнне для абароны ад вірусаў і шкоднасных праграм ва ўсіх інфармацыйных сістэмах, якія выкарыстоўваюцца Еўрапейскім інстытутам сертыфікацыі ІТ, уключаючы серверы, працоўныя станцыі, ноўтбукі і мабільныя прылады. Мы гарантуем, што праграмнае забеспячэнне для абароны ад вірусаў і шкоднасных праграм настроена на аўтаматычнае абнаўленне файлаў азначэнняў вірусаў і версій праграмнага забеспячэння на рэгулярнай аснове, і што гэты працэс рэгулярна тэстуецца.
9.2. Антывірус і праверка на шкоднасныя праграмы
Мы рэгулярна правяраем усе інфармацыйныя сістэмы, уключаючы серверы, працоўныя станцыі, ноўтбукі і мабільныя прылады, каб выяўляць і выдаляць любыя вірусы і шкоднасныя праграмы.
9.3. Палітыка забароны адключэння і змены
Мы праводзім палітыку, якая забараняе карыстальнікам адключаць або змяняць антывіруснае і шкоднаснае праграмнае забеспячэнне ў любой інфармацыйнай сістэме.
9.4. маніторынг
Мы адсочваем папярэджанні і журналы нашых праграм для абароны ад вірусаў і шкоднасных праграм, каб выяўляць любыя выпадкі заражэння вірусамі або шкоднаснымі праграмамі, і своечасова рэагуем на такія інцыдэнты.
9.5. Вядзенне запісаў
Мы захоўваем запісы аб канфігурацыі праграмнага забеспячэння для абароны ад вірусаў і шкоднасных праграм, абнаўленнях і сканаваннях, а таксама аб любых выпадках заражэння вірусамі або шкоднаснымі праграмамі ў мэтах аўдыту.
9.6. Агляды праграмнага забеспячэння
Мы праводзім перыядычныя праверкі нашага антывіруснага і шкоднаснага праграмнага забеспячэння, каб пераканацца, што яно адпавядае дзеючым галіновым стандартам і адпавядае нашым патрэбам.
9.7. Навучанне і інфармаванасць
Мы праводзім праграмы навучання і інфармавання, каб навучыць усіх супрацоўнікаў важнасці абароны ад вірусаў і шкоднасных праграм, а таксама таму, як распазнаваць любыя падазроныя дзеянні або інцыдэнты і паведамляць пра іх.
Частка 10. Кіраванне інфармацыйнымі актывамі
10.1. Кадастр інфармацыйных актываў
Еўрапейскі інстытут сертыфікацыі ІТ вядзе пералік інфармацыйных актываў, які ўключае ўсе лічбавыя і фізічныя інфармацыйныя актывы, такія як сістэмы, сеткі, праграмнае забеспячэнне, даныя і дакументацыя. Мы класіфікуем інфармацыйныя актывы на аснове іх важнасці і адчувальнасці, каб гарантаваць прымяненне належных мер абароны.
10.2. Апрацоўка інфармацыйных актываў
Мы прымаем адпаведныя меры для абароны інфармацыйных актываў на аснове іх класіфікацыі, уключаючы канфідэнцыяльнасць, цэласнасць і даступнасць. Мы гарантуем, што ўсе інфармацыйныя актывы апрацоўваюцца ў адпаведнасці з дзеючымі законамі, правіламі і кантрактнымі патрабаваннямі. Мы таксама гарантуем, што ўсе інфармацыйныя актывы належным чынам захоўваюцца, абараняюцца і ўтылізуюцца, калі яны больш не патрэбныя.
10.3. Права ўласнасці на інфармацыйныя актывы
Мы прызначаем права ўласнасці на інфармацыйныя актывы асобам або аддзелам, якія адказваюць за кіраванне і абарону інфармацыйных актываў. Мы таксама гарантуем, што ўладальнікі інфармацыйных актываў разумеюць сваю адказнасць і адказнасць за абарону інфармацыйных актываў.
10.4. Абарона інфармацыйных актываў
Мы выкарыстоўваем розныя меры абароны для абароны інфармацыйных актываў, уключаючы фізічны кантроль, кантроль доступу, шыфраванне, а таксама працэсы рэзервовага капіявання і аднаўлення. Мы таксама гарантуем, што ўсе інфармацыйныя актывы абаронены ад несанкцыянаванага доступу, мадыфікацыі або знішчэння.
Частка 11. Кантроль доступу
11.1. Палітыка кантролю доступу
Еўрапейскі інстытут сертыфікацыі ІТ мае Палітыку кантролю доступу, якая апісвае патрабаванні да прадастаўлення, змены і адмены доступу да інфармацыйных актываў. Кантроль доступу з'яўляецца найважнейшым кампанентам нашай сістэмы кіравання інфармацыйнай бяспекай, і мы ўкараняем яго, каб гарантаваць, што толькі ўпаўнаважаныя асобы маюць доступ да нашых інфармацыйных актываў.
11.2. Рэалізацыя кантролю доступу
Мы ўкараняем меры кантролю доступу, заснаваныя на прынцыпе найменшых прывілеяў, што азначае, што людзі маюць доступ толькі да інфармацыйных актываў, неабходных для выканання сваіх працоўных функцый. Мы выкарыстоўваем розныя меры кантролю доступу, уключаючы аўтэнтыфікацыю, аўтарызацыю і ўлік (AAA). Мы таксама выкарыстоўваем спісы кантролю доступу (ACL) і дазволы для кантролю доступу да інфармацыйных актываў.
11.3. Палітыка пароляў
Еўрапейскі інстытут сертыфікацыі ІТ мае палітыку пароляў, у якой выкладзены патрабаванні да стварэння пароляў і кіравання імі. Нам патрабуюцца надзейныя паролі даўжынёй не менш за 8 сімвалаў з камбінацыяй вялікіх і малых літар, лічбаў і спецыяльных сімвалаў. Мы таксама патрабуем перыядычнай змены пароля і забараняем паўторнае выкарыстанне папярэдніх пароляў.
11.4. Кіраванне карыстальнікамі
У нас ёсць працэс кіравання карыстальнікамі, які ўключае стварэнне, змяненне і выдаленне ўліковых запісаў карыстальнікаў. Уліковыя запісы карыстальнікаў ствараюцца на аснове прынцыпу найменшых прывілеяў, і доступ прадастаўляецца толькі да інфармацыйных актываў, неабходных для выканання працоўных функцый асобы. Мы таксама рэгулярна правяраем уліковыя запісы карыстальнікаў і выдаляем уліковыя запісы, якія больш не патрэбныя.
Частка 12. Кіраванне інцыдэнтамі інфармацыйнай бяспекі
12.1. Палітыка кіравання інцыдэнтамі
Еўрапейскі інстытут сертыфікацыі ІТ мае Палітыку кіравання інцыдэнтамі, якая апісвае патрабаванні да выяўлення, справаздачнасці, ацэнкі і рэагавання на інцыдэнты бяспекі. Мы вызначаем інцыдэнты бяспекі як любую падзею, якая парушае канфідэнцыяльнасць, цэласнасць або даступнасць інфармацыйных актываў або сістэм.
12.2. Выяўленне інцыдэнтаў і справаздачнасць
Мы прымаем меры для аператыўнага выяўлення інцыдэнтаў бяспекі і паведамлення пра іх. Мы выкарыстоўваем розныя метады для выяўлення інцыдэнтаў бяспекі, у тым ліку сістэмы выяўлення ўварванняў (IDS), антывіруснае праграмнае забеспячэнне і справаздачы карыстальнікаў. Мы таксама гарантуем, што ўсе супрацоўнікі ведаюць аб працэдурах паведамлення аб інцыдэнтах з бяспекай, і заклікаем паведамляць пра ўсе падазраваныя інцыдэнты.
12.3. Ацэнка інцыдэнтаў і рэагаванне
У нас ёсць працэс ацэнкі і рэагавання на інцыдэнты бяспекі на аснове іх сур'ёзнасці і наступстваў. Мы расстаўляем прыярытэты для інцыдэнтаў у залежнасці ад іх патэнцыйнага ўздзеяння на інфармацыйныя актывы або сістэмы і выдзяляем адпаведныя рэсурсы для рэагавання на іх. У нас таксама ёсць план рэагавання, які ўключае працэдуры выяўлення, стрымлівання, аналізу, выкаранення і аднаўлення пасля інцыдэнтаў бяспекі, а таксама апавяшчэнне адпаведных бакоў і правядзенне аглядаў пасля інцыдэнтаў. Нашы працэдуры рэагавання на інцыдэнты прызначаны для забеспячэння хуткага і эфектыўнага рэагавання да інцыдэнтаў бяспекі. Працэдуры рэгулярна пераглядаюцца і абнаўляюцца для забеспячэння іх эфектыўнасці і актуальнасці.
12.4. Група рэагавання на інцыдэнты
У нас ёсць група рэагавання на інцыдэнты (IRT), якая адказвае за рэагаванне на інцыдэнты бяспекі. IRT складаецца з прадстаўнікоў розных падраздзяленняў і ўзначальваецца супрацоўнікам па інфармацыйнай бяспецы (ISO). IRT адказвае за ацэнку сур'ёзнасці інцыдэнтаў, стрымліванне інцыдэнту і ініцыяванне адпаведных працэдур рэагавання.
12.5. Справаздача аб інцыдэнтах і агляд
Мы ўсталявалі працэдуры для паведамлення аб інцыдэнтах бяспекі адпаведным бакам, уключаючы кліентаў, рэгулюючыя органы і праваахоўныя органы, як таго патрабуюць дзеючыя законы і правілы. Мы таксама падтрымліваем сувязь з пацярпелымі бакамі на працягу ўсяго працэсу рэагавання на інцыдэнт, забяспечваючы своечасовую інфармацыю аб стане інцыдэнту і любых дзеяннях, якія прымаюцца для змякчэння яго наступстваў. Мы таксама праводзім агляд усіх інцыдэнтаў з бяспекай, каб вызначыць першапрычыну і прадухіліць узнікненне падобных інцыдэнтаў у будучыні.
Частка 13. Кіраванне бесперапыннасцю бізнесу і аварыйнае аднаўленне
13.1. Планаванне бесперапыннасці бізнесу
Нягледзячы на тое, што Еўрапейскі інстытут сертыфікацыі ІТ з'яўляецца некамерцыйнай арганізацыяй, у яго ёсць План забеспячэння бесперапыннасці бізнесу (BCP), які апісвае працэдуры забеспячэння бесперапыннасці яго дзейнасці ў выпадку разбуральнага інцыдэнту. BCP ахоплівае ўсе важныя аперацыйныя працэсы і вызначае рэсурсы, неабходныя для падтрымання працы падчас і пасля разбуральнага інцыдэнту. У ім таксама апісваюцца працэдуры падтрымання бізнес-аперацый падчас збояў або стыхійных бедстваў, ацэнкі наступстваў збояў, вызначэння найбольш крытычных аперацыйных працэсаў у кантэксце канкрэтнага зрыву інцыдэнту і распрацоўкі працэдур рэагавання і аднаўлення.
13.2. Планаванне аварыйнага аднаўлення
Еўрапейскі інстытут сертыфікацыі ІТ мае план аварыйнага аднаўлення (DRP), які апісвае працэдуры аднаўлення нашых інфармацыйных сістэм у выпадку збою або аварыі. DRP уключае працэдуры рэзервовага капіявання даных, аднаўлення даных і аднаўлення сістэмы. DRP рэгулярна правяраецца і абнаўляецца для забеспячэння яго эфектыўнасці.
13.3. Аналіз уздзеяння на бізнес
Мы праводзім аналіз уздзеяння на бізнес (BIA), каб вызначыць важныя аперацыйныя працэсы і рэсурсы, неабходныя для іх абслугоўвання. BIA дапамагае нам расставіць прыярытэты ў нашых намаганнях па аднаўленні і адпаведна размеркаваць рэсурсы.
13.4. Стратэгія бесперапыннасці бізнесу
На аснове вынікаў BIA мы распрацоўваем стратэгію бесперапыннасці бізнесу, якая апісвае працэдуры рэагавання на разбуральны інцыдэнт. Стратэгія ўключае ў сябе працэдуры для актывацыі BCP, аднаўлення важных працоўных працэсаў і сувязі з адпаведнымі зацікаўленымі бакамі.
13.5. Тэставанне і абслугоўванне
Мы рэгулярна тэстуем і падтрымліваем нашы BCP і DRP, каб гарантаваць іх эфектыўнасць і адпаведнасць. Мы праводзім рэгулярныя тэсты для праверкі BCP/DRP і вызначэння абласцей для паляпшэння. Мы таксама абнаўляем BCP і DRP па меры неабходнасці, каб адлюстраваць змены ў нашых дзеяннях або ландшафте пагроз. Тэставанне ўключае настольныя практыкаванні, мадэляванне і тэставанне працэдур у прамым эфіры. Мы таксама разглядаем і абнаўляем нашы планы на аснове вынікаў тэсціравання і атрыманых урокаў.
13.6. Альтэрнатыўныя сайты апрацоўкі
Мы падтрымліваем альтэрнатыўныя сайты онлайн-апрацоўкі, якія можна выкарыстоўваць для працягу бізнес-аперацый у выпадку збояў або катастрофы. Альтэрнатыўныя сайты апрацоўкі абсталяваны неабходнай інфраструктурай і сістэмамі і могуць выкарыстоўвацца для падтрымкі важных бізнес-працэсаў.
Частка 14. Адпаведнасць і аўдыт
14.1. Выкананне законаў і правілаў
Еўрапейскі інстытут сертыфікацыі ІТ імкнецца выконваць усе прыдатныя законы і правілы, звязаныя з інфармацыйнай бяспекай і прыватнасцю, у тым ліку законы аб абароне даных, галіновыя стандарты і дагаворныя абавязацельствы. Мы рэгулярна пераглядаем і абнаўляем нашу палітыку, працэдуры і сродкі кантролю, каб забяспечыць адпаведнасць усім адпаведным патрабаванням і стандартам. Асноўныя стандарты і структуры, якіх мы прытрымліваемся ў кантэксце інфармацыйнай бяспекі, ўключаюць:
- Стандарт ISO/IEC 27001 змяшчае рэкамендацыі па ўкараненні і кіраванні сістэмай кіравання інфармацыйнай бяспекай (ISMS), якая ўключае кіраванне ўразлівасцямі ў якасці ключавога кампанента. Ён забяспечвае даведачную базу для ўкаранення і падтрымання нашай сістэмы кіравання інфармацыйнай бяспекай (ISMS), уключаючы кіраванне ўразлівасцямі. У адпаведнасці з гэтымі стандартнымі палажэннямі мы вызначаем, ацэньваем і кіруем рызыкамі інфармацыйнай бяспекі, уключаючы ўразлівасці.
- Структура кібербяспекі Нацыянальнага інстытута стандартаў і тэхналогій ЗША (NIST), якая змяшчае рэкамендацыі па выяўленні, ацэнцы і кіраванні рызыкамі кібербяспекі, уключаючы кіраванне ўразлівасцямі.
- Структура кібербяспекі Нацыянальнага інстытута стандартаў і тэхналогій (NIST) для паляпшэння кіравання рызыкамі кібербяспекі з асноўным наборам функцый, уключаючы кіраванне ўразлівасцямі, якіх мы прытрымліваемся для кіравання рызыкамі кібербяспекі.
- Крытычныя элементы кіравання бяспекай SANS, якія змяшчаюць набор з 20 элементаў кіравання бяспекай для паляпшэння кібербяспекі, якія ахопліваюць шэраг абласцей, уключаючы кіраванне ўразлівасцямі, прадастаўленне канкрэтных рэкамендацый па сканаванні ўразлівасцей, кіраванні выпраўленнямі і іншымі аспектамі кіравання ўразлівасцямі.
- Стандарт бяспекі даных плацежных картак (PCI DSS), які патрабуе апрацоўкі інфармацыі крэдытнай карты ў дачыненні да кіравання ўразлівасцямі ў гэтым кантэксце.
- Цэнтр кантролю бяспекі ў Інтэрнэце (CIS), уключаючы кіраванне ўразлівасцямі ў якасці аднаго з ключавых элементаў кантролю для забеспячэння бяспечных канфігурацый нашых інфармацыйных сістэм.
- Open Web Application Security Project (OWASP) са спісам 10 найбольш крытычных рызык бяспекі вэб-прыкладанняў, уключаючы ацэнку такіх уразлівасцей, як атакі ін'екцый, парушаная аўтэнтыфікацыя і кіраванне сесіямі, міжсайтавы сцэнарый (XSS) і г. д. Мы выкарыстоўваем OWASP Top 10, каб расставіць прыярытэты ў нашых намаганнях па кіраванні ўразлівасцямі і засяродзіць увагу на найбольш крытычных рызыках у дачыненні да нашых вэб-сістэм.
14.2. Ўнутраная рэвізія
Мы праводзім рэгулярныя ўнутраныя аўдыты, каб ацаніць эфектыўнасць нашай сістэмы кіравання інфармацыйнай бяспекай (ISMS) і пераканацца, што наша палітыка, працэдуры і сродкі кантролю выконваюцца. Працэс унутранага аўдыту ўключае выяўленне неадпаведнасцей, распрацоўку карэкціруючых дзеянняў і адсочванне намаганняў па выпраўленні.
14.3. Знешні аўдыт
Мы перыядычна ўзаемадзейнічаем са знешнімі аўдытарамі для пацверджання нашай адпаведнасці дзеючым законам, правілам і галіновым стандартам. Мы даем аўдытарам доступ да нашых аб'ектаў, сістэм і дакументацыі, неабходных для праверкі нашай адпаведнасці. Мы таксама працуем са знешнімі аўдытарамі, каб разгледзець любыя высновы або рэкамендацыі, выяўленыя ў працэсе аўдыту.
14.4. Маніторынг адпаведнасці
Мы пастаянна кантралюем нашу адпаведнасць дзеючым законам, правілам і галіновым стандартам. Мы выкарыстоўваем розныя метады кантролю адпаведнасці, у тым ліку перыядычныя ацэнкі, аўдыты і агляды старонніх пастаўшчыкоў. Мы таксама рэгулярна праглядаем і абнаўляем нашу палітыку, працэдуры і сродкі кантролю, каб гарантаваць пастаянную адпаведнасць усім адпаведным патрабаванням.
Частка 15. Кіраванне трэцімі асобамі
15.1. Палітыка кіравання трэцімі асобамі
Еўрапейскі інстытут сертыфікацыі ІТ мае Палітыку кіравання трэцімі асобамі, у якой выкладзены патрабаванні да выбару, ацэнкі і маніторынгу старонніх пастаўшчыкоў, якія маюць доступ да нашых інфармацыйных актываў або сістэм. Палітыка распаўсюджваецца на ўсіх старонніх пастаўшчыкоў, уключаючы пастаўшчыкоў воблачных паслуг, пастаўшчыкоў і падрадчыкаў.
15.2. Выбар і ацэнка трэцім бокам
Мы праводзім належную абачлівасць, перш чым узаемадзейнічаць са староннімі пастаўшчыкамі, каб пераканацца, што ў іх ёсць належныя меры бяспекі для абароны нашых інфармацыйных актываў або сістэм. Мы таксама ацэньваем адпаведнасць старонніх пастаўшчыкоў дзеючым законам і правілам, звязаным з інфармацыйнай бяспекай і прыватнасцю.
15.3. Маніторынг трэціх асоб
Мы пастаянна кантралюем старонніх пастаўшчыкоў, каб гарантаваць, што яны працягваюць адпавядаць нашым патрабаванням па інфармацыйнай бяспецы і прыватнасці. Мы выкарыстоўваем розныя метады для маніторынгу старонніх пастаўшчыкоў, уключаючы перыядычныя ацэнкі, аўдыты і агляды справаздач аб інцыдэнтах бяспекі.
15.4. Дагаворныя патрабаванні
Мы ўключаем кантрактныя патрабаванні, звязаныя з інфармацыйнай бяспекай і прыватнасцю, ва ўсе кантракты са староннімі пастаўшчыкамі. Гэтыя патрабаванні ўключаюць палажэнні аб абароне даных, кантролю бяспекі, кіраванні інцыдэнтамі і маніторынгу адпаведнасці. Мы таксама ўключаем палажэнні аб скасаванні кантрактаў у выпадку інцыдэнту з бяспекай або невыканання патрабаванняў.
Частка 16. Інфармацыйная бяспека ў працэсах сертыфікацыі
16.1 Бяспека працэсаў сертыфікацыі
Мы прымаем адэкватныя і сістэмныя меры для забеспячэння бяспекі ўсёй інфармацыі, звязанай з нашымі працэсамі сертыфікацыі, уключаючы персанальныя даныя асоб, якія жадаюць атрымаць сертыфікацыю. Гэта ўключае ў сябе элементы кіравання доступам, захоўваннем і перадачай усёй інфармацыі, звязанай з сертыфікацыяй. Ужываючы гэтыя меры, мы імкнемся гарантаваць, што працэсы сертыфікацыі праводзяцца з самым высокім узроўнем бяспекі і цэласнасці, а асабістыя даныя асоб, якія жадаюць атрымаць сертыфікацыю, абаронены ў адпаведнасці з адпаведнымі правіламі і стандартамі.
16.2. Аўтэнтыфікацыя і аўтарызацыя
Мы выкарыстоўваем кантроль аўтэнтыфікацыі і аўтарызацыі, каб гарантаваць, што толькі ўпаўнаважаны персанал мае доступ да інфармацыі аб сертыфікацыі. Сродкі кантролю доступу рэгулярна праглядаюцца і абнаўляюцца ў залежнасці ад змяненняў у ролях і абавязках персаналу.
16.3. абарона дадзеных
Мы абараняем персанальныя даныя на працягу ўсяго працэсу сертыфікацыі шляхам укаранення адпаведных тэхнічных і арганізацыйных мер для забеспячэння канфідэнцыяльнасці, цэласнасці і даступнасці даных. Гэта ўключае ў сябе такія меры, як шыфраванне, кантроль доступу і рэгулярнае рэзервовае капіраванне.
16.4. Бяспека экзаменацыйных працэсаў
Мы гарантуем бяспеку экзаменацыйных працэсаў шляхам укаранення адпаведных мер для прадухілення падману, маніторынгу і кантролю асяроддзя экзаменаў. Мы таксама падтрымліваем цэласнасць і канфідэнцыяльнасць экзаменацыйных матэрыялаў з дапамогай працэдур бяспечнага захоўвання.
16.5. Бяспека зместу экзамену
Мы гарантуем бяспеку змесціва экзаменаў шляхам прымянення адпаведных мер для абароны ад несанкцыянаванага доступу, змены або раскрыцця змесціва. Гэта ўключае ў сябе выкарыстанне бяспечнага захоўвання, шыфравання і кантролю доступу да змесціва экзаменаў, а таксама сродкаў кантролю для прадухілення несанкцыянаванага распаўсюджвання або распаўсюджвання змесціва экзаменаў.
16.6. Бяспека здачы экзаменаў
Мы гарантуем бяспеку здачы экзаменаў шляхам прымянення адпаведных мер для прадухілення несанкцыянаванага доступу або маніпуляцый экзаменацыйным асяроддзем. Гэта ўключае ў сябе такія меры, як маніторынг, аўдыт і кантроль экзаменацыйнага асяроддзя і канкрэтных падыходаў да экзамену, каб прадухіліць падман або іншыя парушэнні бяспекі.
16.7. Бяспека вынікаў экзаменаў
Мы забяспечваем бяспеку вынікаў экспертызы шляхам прымянення адпаведных мер для абароны ад несанкцыянаванага доступу, змены або раскрыцця вынікаў. Гэта ўключае ў сябе выкарыстанне бяспечнага захоўвання, шыфравання і кантролю доступу да вынікаў экзаменаў, а таксама сродкаў кантролю для прадухілення несанкцыянаванага распаўсюджвання або распаўсюджвання вынікаў экзаменаў.
16.8. Бяспека выдачы сертыфікатаў
Мы забяспечваем бяспеку выдачы сертыфікатаў шляхам прымянення адпаведных мер па прадухіленні махлярства і несанкцыянаванай выдачы сертыфікатаў. Гэта ўключае ў сябе сродкі кантролю для праверкі асобы асоб, якія атрымліваюць сертыфікаты, і працэдуры бяспечнага захоўвання і выдачы.
16.9. Скаргі і апеляцыі
Мы ўсталявалі працэдуры для разгляду скаргаў і апеляцый, звязаных з працэсам сертыфікацыі. Гэтыя працэдуры ўключаюць меры па забеспячэнні канфідэнцыяльнасці і бесстароннасці працэсу, а таксама бяспекі інфармацыі, звязанай са скаргамі і апеляцыямі.
16.10. Кіраванне якасцю працэсаў сертыфікацыі
Мы стварылі сістэму менеджменту якасці (СМК) для працэсаў сертыфікацыі, якая ўключае меры па забеспячэнні эфектыўнасці, эфектыўнасці і бяспекі працэсаў. СМК ўключае ў сябе рэгулярныя аўдыты і агляды працэсаў і сродкаў кантролю іх бяспекі.
16.11. Пастаяннае ўдасканаленне бяспекі працэсаў сертыфікацыі
Мы імкнемся да пастаяннага ўдасканалення нашых працэсаў сертыфікацыі і кантролю бяспекі. Гэта ўключае ў сябе рэгулярныя агляды і абнаўленні палітыкі і працэдур бяспекі, звязаных з сертыфікацыяй, на аснове змяненняў у бізнес-асяроддзі, нарматыўных патрабаванняў і перадавой практыкі кіравання інфармацыйнай бяспекай у адпаведнасці са стандартам ISO 27001 для кіравання інфармацыйнай бяспекай, а таксама з ISO 17024. Дзеючы стандарт органаў па сертыфікацыі.
Частка 17. Заключныя палажэнні
17.1. Агляд і абнаўленне палітыкі
Гэта Палітыка інфармацыйнай бяспекі з'яўляецца жывым дакументам, які пастаянна разглядаецца і абнаўляецца на аснове змяненняў у нашых аперацыйных патрабаваннях, нарматыўных патрабаваннях або перадавой практыцы кіравання інфармацыйнай бяспекай.
17.2. Маніторынг адпаведнасці
Мы ўстанавілі працэдуры маніторынгу захавання дадзенай Палітыкі інфармацыйнай бяспекі і адпаведных мер бяспекі. Маніторынг адпаведнасці ўключае рэгулярныя аўдыты, ацэнкі і агляды сродкаў кантролю бяспекі і іх эфектыўнасці ў дасягненні мэтаў гэтай палітыкі.
17.3. Паведамленне аб інцыдэнтах бяспекі
Мы ўстанавілі працэдуры паведамлення аб інцыдэнтах бяспекі, звязаных з нашымі інфармацыйнымі сістэмамі, у тым ліку аб інцыдэнтах, звязаных з персанальнымі дадзенымі фізічных асоб. Супрацоўнікам, падрадчыкам і іншым зацікаўленым асобам рэкамендуецца як мага хутчэй паведамляць аб любых інцыдэнтах з бяспекай або меркаваных інцыдэнтах прызначанай групе бяспекі.
17.4. Навучанне і інфармаванасць
Мы праводзім рэгулярныя навучальныя і інфарматыўныя праграмы для супрацоўнікаў, падрадчыкаў і іншых зацікаўленых бакоў, каб гарантаваць, што яны ведаюць пра сваю адказнасць і абавязацельствы, звязаныя з інфармацыйнай бяспекай. Гэта ўключае ў сябе навучанне палітыцы і працэдурам бяспекі, а таксама меры па абароне персанальных даных асоб.
17.5. Адказнасць і адказнасць
Мы лічым, што ўсе супрацоўнікі, падрадчыкі і іншыя зацікаўленыя бакі нясуць адказнасць за захаванне дадзенай Палітыкі інфармацыйнай бяспекі і звязаных з ёй мер бяспекі. Мы таксама нясем адказнасць кіраўніцтва за забеспячэнне выдзялення адпаведных рэсурсаў для ўкаранення і падтрымання эфектыўнага кантролю інфармацыйнай бяспекі.
Гэтая Палітыка інфармацыйнай бяспекі з'яўляецца найважнейшым кампанентам сістэмы кіравання інфармацыйнай бяспекай Еўрапейскага інстытута сертыфікацыі ІТ і дэманструе нашу прыхільнасць абароне інфармацыйных актываў і апрацаваных даных, забеспячэнню канфідэнцыяльнасці, прыватнасці, цэласнасці і даступнасці інфармацыі, а таксама захаванню нарматыўных і дагаворных патрабаванняў.