Tietoturvapolitiikka
EITCA Academyn tietoturvapolitiikka
Tämä asiakirja määrittelee Euroopan IT-sertifiointiinstituutin tietoturvapolitiikan (ISP), jota tarkistetaan ja päivitetään säännöllisesti sen tehokkuuden ja merkityksen varmistamiseksi. Viimeisin päivitys EITCI:n tietoturvakäytäntöön tehtiin 7. tammikuuta 2023.
Osa 1. Johdanto ja tietoturvapolitiikkalausunto
1.1. Esittely
European IT Certification Institute tunnustaa tietoturvan merkityksen tietojen luottamuksellisuuden, eheyden ja saatavuuden sekä sidosryhmiemme luottamuksen ylläpitämisessä. Olemme sitoutuneet suojaamaan arkaluonteisia tietoja, mukaan lukien henkilötiedot, luvattomalta käytöltä, paljastamiselta, muuttamiselta ja tuhoamiselta. Ylläpidämme tehokasta tietoturvapolitiikkaa, joka tukee tavoitettamme tarjota asiakkaillemme luotettavia ja puolueettomia sertifiointipalveluita. Tietoturvapolitiikka määrittelee sitoutumisemme tietovarojen suojaamiseen ja lakisääteisten, säädösten ja sopimusvelvoitteiden täyttämiseen. Toimintalinjamme perustuu ISO 27001 ja ISO 17024 periaatteisiin, jotka ovat johtavia kansainvälisiä tietoturvajohtamisen standardeja ja sertifiointielinten toimintastandardeja.
1.2. Politiikkalausunto
Euroopan IT-sertifiointiinstituutti on sitoutunut:
- Tietovarojen luottamuksellisuuden, eheyden ja saatavuuden suojaaminen,
- Tietoturvaan ja tietojen käsittelyyn liittyvien laki-, säädös- ja sopimusvelvoitteiden noudattaminen toteuttaessaan sertifiointiprosessejaan ja -toimintojaan,
- Jatkuvasti parantaa tietoturvapolitiikkaansa ja siihen liittyvää hallintajärjestelmää,
- riittävän koulutuksen ja tietoisuuden tarjoaminen työntekijöille, urakoitsijoille ja osallistujille,
- Ottaa kaikki työntekijät ja urakoitsijat mukaan tietoturvapolitiikan ja siihen liittyvän tietoturvan hallintajärjestelmän toteuttamiseen ja ylläpitoon.
1.3. laajuus
Tämä käytäntö koskee kaikkia Euroopan IT-sertifiointiinstituutin omistamia, hallitsemia tai käsittelemiä tietoresursseja. Tämä sisältää kaikki digitaaliset ja fyysiset tietovarat, kuten järjestelmät, verkot, ohjelmistot, tiedot ja dokumentaatiot. Tämä käytäntö koskee myös kaikkia työntekijöitä, urakoitsijoita ja ulkopuolisia palveluntarjoajia, jotka käyttävät tietoresurssejamme.
1.4. noudattaminen
European IT Certification Institute on sitoutunut noudattamaan asiaankuuluvia tietoturvastandardeja, mukaan lukien ISO 27001 ja ISO 17024. Tarkistamme ja päivitämme tätä käytäntöä säännöllisesti varmistaaksemme sen jatkuvan merkityksen ja näiden standardien noudattamisen.
Osa 2. Organisaation turvallisuus
2.1. Organisaation turvallisuustavoitteet
Organisaation turvatoimia toteuttamalla pyrimme varmistamaan, että tietovaramme ja tietojenkäsittelykäytännöt ja -menettelyt toteutetaan korkeimmalla turvallisuus- ja eheystasolla ja että noudatamme asiaankuuluvia lakeja ja standardeja.
2.2. Tietoturvan roolit ja vastuut
European IT Certification Institute määrittelee ja välittää tietoturvan roolit ja vastuut koko organisaatiossa. Tämä sisältää selkeän omistajuuden määrittämisen tietovaroihin liittyen tietoturvaan, hallintorakenteen luomista ja erityisten vastuiden määrittelyä eri rooleille ja osastoille koko organisaatiossa.
2.3. Riskienhallinta
Teemme säännöllisesti riskiarviointeja tunnistaaksemme ja priorisoidaksemme organisaation tietoturvariskit, mukaan lukien henkilötietojen käsittelyyn liittyvät riskit. Luomme asianmukaiset kontrollit näiden riskien vähentämiseksi ja tarkistamme ja päivitämme säännöllisesti riskienhallintatapaamme liiketoimintaympäristön ja uhkamaiseman muutoksiin perustuen.
2.4. Tietoturvakäytännöt ja -menettelyt
Luomme ja ylläpidämme tietoturvakäytäntöjä ja -menettelyjä, jotka perustuvat alan parhaisiin käytäntöihin ja noudattavat asiaankuuluvia säännöksiä ja standardeja. Nämä käytännöt ja menettelyt kattavat kaikki tietoturvaan liittyvät näkökohdat, mukaan lukien henkilötietojen käsittely, ja niitä tarkistetaan ja päivitetään säännöllisesti niiden tehokkuuden varmistamiseksi.
2.5. Turvallisuustietoisuus ja koulutus
Tarjoamme säännöllisiä tietoturva- ja koulutusohjelmia kaikille työntekijöille, urakoitsijoille ja kolmansien osapuolien kumppaneille, joilla on pääsy henkilötietoihin tai muihin arkaluonteisiin tietoihin. Tämä koulutus kattaa aiheita, kuten tietojenkalastelu, sosiaalinen manipulointi, salasanahygienia ja muut tietoturvan parhaat käytännöt.
2.6. Fyysinen ja ympäristöturvallisuus
Toteutamme asianmukaisia fyysisiä ja ympäristöllisiä turvatoimia suojataksemme tilojemme ja tietojärjestelmiemme luvattomalta pääsyltä, vaurioilta tai häiriöiltä. Tämä sisältää toimenpiteitä, kuten kulunvalvonta-, valvonta-, valvonta- ja varavirta- ja jäähdytysjärjestelmät.
2.7. Tietoturvahäiriöiden hallinta
Olemme luoneet tapaustenhallintaprosessin, jonka avulla voimme reagoida nopeasti ja tehokkaasti kaikkiin mahdollisiin tietoturvaloukkauksiin. Tämä sisältää menettelyt onnettomuuksien raportoimiseksi, eskaloimiseksi, tutkimiseksi ja ratkaisemiseksi sekä toimenpiteet toistumisen estämiseksi ja toimintakykymme parantamiseksi.
2.8. Toiminnan jatkuvuus ja katastrofipalautus
Olemme laatineet ja testanneet toiminnan jatkuvuus- ja katastrofipalautussuunnitelmat, joiden avulla voimme ylläpitää kriittisiä toimintatoimintojamme ja palveluitamme häiriö- tai katastrofitilanteessa. Nämä suunnitelmat sisältävät menettelyt tietojen ja järjestelmien varmuuskopioimiseksi ja palauttamiseksi sekä toimenpiteet henkilötietojen saatavuuden ja eheyden varmistamiseksi.
2.9. Kolmannen osapuolen hallinta
Luomme ja ylläpidämme asianmukaisia valvontajärjestelmiä sellaisten kolmansien osapuolien riskien hallitsemiseksi, joilla on pääsy henkilötietoihin tai muihin arkaluonteisiin tietoihin. Tämä sisältää toimenpiteet, kuten due diligence, sopimusvelvoitteet, seuranta ja auditoinnit sekä toimenpiteet kumppanuuksien irtisanomiseksi tarvittaessa.
Osa 3. Henkilöstöturva
3.1. Työllisyyden seulonta
Euroopan IT-sertifiointiinstituutti on perustanut työllisyyden seulontaprosessin varmistaakseen, että henkilöt, joilla on pääsy arkaluonteisiin tietoihin, ovat luotettavia ja heillä on tarvittavat taidot ja pätevyys.
3.2. Kulunvalvonta
Olemme laatineet kulunvalvontakäytännöt ja -menettelyt varmistaaksemme, että työntekijöillä on pääsy vain niihin tietoihin, jotka ovat tarpeen heidän työtehtäviensä hoitamiseksi. Käyttöoikeudet tarkistetaan ja päivitetään säännöllisesti sen varmistamiseksi, että työntekijöillä on käytettävissään vain tarvitsemansa tiedot.
3.3. Tietoturvatietoisuus ja koulutus
Järjestämme kaikille työntekijöille säännöllisesti tietoturvatietoisuuskoulutusta. Tämä koulutus kattaa aiheita, kuten salasanaturvallisuuden, tietojenkalasteluhyökkäykset, sosiaalisen manipuloinnin ja muut kyberturvallisuuden näkökohdat.
3.4. Hyväksyttävä käyttö
Olemme laatineet hyväksyttävän käytön käytännön, joka määrittelee tietojärjestelmien ja resurssien, mukaan lukien työtarkoituksiin käytettävien henkilökohtaisten laitteiden, hyväksyttävän käytön.
3.5. Mobiililaitteiden suojaus
Olemme luoneet käytännöt ja menettelyt mobiililaitteiden turvalliselle käytölle, mukaan lukien pääsykoodien käyttö, salaus ja etäpyyhkimisominaisuudet.
3.6. Irtisanomismenettelyt
Euroopan IT-sertifiointiinstituutti on laatinut menettelyt työsuhteen tai sopimuksen irtisanomiseksi varmistaakseen, että pääsy arkaluonteisiin tietoihin peruutetaan nopeasti ja turvallisesti.
3.7. Kolmannen osapuolen henkilöstö
Olemme luoneet menettelyt sellaisen kolmannen osapuolen henkilöstön hallintaan, jolla on pääsy arkaluonteisiin tietoihin. Näihin käytäntöihin sisältyy turvatarkastus, kulunvalvonta ja tietoturvatietoisuuskoulutus.
3.8. Tapausten ilmoittaminen
Olemme laatineet käytännöt ja menettelytavat tietoturvaloukkausten tai -huolien raportoimiseksi asianmukaiselle henkilöstölle tai viranomaisille.
3.9. Luottamuksellisuussopimukset
European IT Certification Institute vaatii työntekijöitä ja urakoitsijoita allekirjoittamaan luottamuksellisuussopimukset arkaluonteisten tietojen suojaamiseksi luvattomalta paljastamiselta.
3.10. Kurinpitotoimenpiteet
Euroopan IT-sertifiointiinstituutti on laatinut käytännöt ja menettelyt kurinpitotoimia varten, jos työntekijät tai urakoitsijat rikkovat tietoturvakäytäntöjä.
Osa 4. Riskien arviointi ja hallinta
4.1. Riskinarviointi
Teemme määräajoin riskiarviointeja tunnistaaksemme mahdolliset uhat ja haavoittuvuudet tietoresursseihimme. Käytämme jäsenneltyä lähestymistapaa riskien tunnistamiseen, analysoimiseen, arvioimiseen ja priorisoimiseen niiden todennäköisyyden ja mahdollisen vaikutuksen perusteella. Arvioimme tietovaroihin, mukaan lukien järjestelmät, verkot, ohjelmistot, tiedot ja dokumentaatio, liittyvät riskit.
4.2. Riskihoito
Käytämme riskienhallintaprosessia riskien vähentämiseksi tai vähentämiseksi hyväksyttävälle tasolle. Riskienkäsittelyprosessi sisältää asianmukaisten kontrollien valinnan, kontrollien toteuttamisen ja kontrollien tehokkuuden seurannan. Priorisoimme kontrollien toteuttamisen riskitason, käytettävissä olevien resurssien ja liiketoiminnan prioriteettien perusteella.
4.3. Riskien seuranta ja arviointi
Seuraamme ja arvioimme säännöllisesti riskienhallintaprosessimme tehokkuutta varmistaaksemme, että se pysyy relevanttina ja tehokkaana. Käytämme mittareita ja indikaattoreita riskienhallintaprosessimme tehokkuuden mittaamiseen ja parannusmahdollisuuksien tunnistamiseen. Tarkistamme myös riskienhallintaprosessimme osana määräaikaisia johdon arviointeja varmistaaksemme sen jatkuvan soveltuvuuden, riittävyyden ja tehokkuuden.
4.4 Riskivastauksen suunnittelu
Meillä on riskienhallintasuunnitelma, jonka avulla voimme varmistaa, että voimme reagoida tehokkaasti tunnistettuihin riskeihin. Tämä suunnitelma sisältää menettelyt riskien tunnistamiseksi ja raportoimiseksi sekä prosessit kunkin riskin mahdollisten vaikutusten arvioimiseksi ja asianmukaisten reagointitoimenpiteiden määrittämiseksi. Meillä on myös valmiussuunnitelmat, joilla varmistetaan liiketoiminnan jatkuvuus merkittävän riskitapahtuman sattuessa.
4.5. Operatiivisten vaikutusten analyysi
Teemme ajoittain liiketoimintavaikutusten analyyseja tunnistaaksemme häiriöiden mahdolliset vaikutukset liiketoimintaamme. Tämä analyysi sisältää arvion liiketoimintatoimintojemme, järjestelmiemme ja tietojemme kriittisyydestä sekä arvion häiriöiden mahdollisista vaikutuksista asiakkaisiimme, työntekijöihimme ja muihin sidosryhmiimme.
4.6. Kolmannen osapuolen riskienhallinta
Meillä on käytössä kolmannen osapuolen riskienhallintaohjelma varmistaaksemme, että myös toimittajamme ja muut kolmannen osapuolen palveluntarjoajat hallitsevat riskejä asianmukaisesti. Tämä ohjelma sisältää due diligence -tarkastukset ennen kolmansien osapuolten kanssakäymistä, kolmansien osapuolien toimintojen jatkuvaa seurantaa ja kolmansien osapuolien riskienhallintakäytäntöjen säännöllisiä arviointeja.
4.7. Tapahtumat ja niiden hallinta
Meillä on häiriötilanteiden hallinta- ja hallintasuunnitelma, jonka avulla voimme varmistaa, että voimme reagoida tehokkaasti kaikkiin tietoturvaloukkauksiin. Tämä suunnitelma sisältää menettelyt tapausten tunnistamiseksi ja raportoimiseksi sekä prosessit kunkin tapahtuman vaikutusten arvioimiseksi ja asianmukaisten reagointitoimenpiteiden määrittämiseksi. Meillä on myös toiminnan jatkuvuussuunnitelma, jolla varmistetaan, että liiketoiminnan kriittiset toiminnot voivat jatkua merkittävän tapahtuman sattuessa.
Osa 5. Fyysinen ja ympäristöturvallisuus
5.1. Fyysinen suojakehä
Olemme ottaneet käyttöön fyysisiä turvatoimia fyysisten tilojen ja arkaluonteisten tietojen suojaamiseksi luvattomalta käytöltä.
5.2. Kulunvalvonta
Olemme luoneet fyysisiin tiloihin kulunvalvontakäytännöt ja -menettelyt varmistaaksemme, että vain valtuutetulla henkilökunnalla on pääsy arkaluonteisiin tietoihin.
5.3. Laitteiden turvallisuus
Varmistamme, että kaikki arkaluontoisia tietoja sisältävät laitteet on fyysisesti suojattu, ja näihin laitteisiin pääsevät vain valtuutetut henkilöt.
5.4. Turvallinen hävittäminen
Olemme luoneet menettelyt arkaluonteisten tietojen, mukaan lukien paperiasiakirjojen, sähköisten tietovälineiden ja laitteistojen, turvalliseen hävittämiseen.
5.5. Fyysinen ympäristö
Varmistamme, että tilojen fyysinen ympäristö, mukaan lukien lämpötila, kosteus ja valaistus, on sopiva arkaluonteisten tietojen suojaamiseen.
5.6. Virtalähde
Varmistamme, että tilojen sähkönsyöttö on luotettava ja suojattu sähkökatkoilta tai ylijännitepiikkeiltä.
5.7. Palontorjunta
Olemme laatineet palontorjuntapolitiikat ja -menettelyt, mukaan lukien palonhavaitsemis- ja sammutusjärjestelmien asennuksen ja huollon.
5.8. Suojaus vesivahingoilta
Olemme laatineet käytännöt ja menettelyt arkaluonteisten tietojen suojaamiseksi vesivahingoilta, mukaan lukien tulvien havaitsemis- ja ehkäisyjärjestelmien asentaminen ja ylläpito.
5.9. Laitteiden huolto
Olemme laatineet menettelyt laitteiden huoltoa varten, mukaan lukien laitteiden tarkastukset peukaloinnin tai luvattoman käytön varalta.
5.10. Hyväksyttävä käyttö
Olemme laatineet hyväksyttävän käytön käytännön, joka määrittelee fyysisten resurssien ja tilojen hyväksyttävän käytön.
5.11. Etäkäyttö
Olemme luoneet käytännöt ja menettelyt arkaluonteisten tietojen etäkäyttöä varten, mukaan lukien suojattujen yhteyksien ja salauksen käyttö.
5.12 Seuranta ja valvonta
Olemme laatineet käytännöt ja menettelyt fyysisten tilojen ja laitteiden valvontaa ja valvontaa varten luvattoman pääsyn tai peukaloinnin havaitsemiseksi ja estämiseksi.
Osa. 6. Viestintä- ja käyttöturvallisuus
6.1. Verkkoturvallisuuden hallinta
Olemme laatineet käytännöt ja menettelyt verkkoturvallisuuden hallintaan, mukaan lukien palomuurien käyttö, tunkeutumisen havainnointi- ja estojärjestelmät sekä säännölliset tietoturvatarkastukset.
6.2. Tietojen siirto
Olemme luoneet käytännöt ja menettelyt arkaluonteisten tietojen turvalliselle siirrolle, mukaan lukien salauksen ja suojattujen tiedostonsiirtoprotokollien käyttö.
6.3. Kolmannen osapuolen viestintä
Olemme luoneet käytännöt ja menettelyt arkaluonteisten tietojen turvalliselle vaihdolle kolmansien osapuolien organisaatioiden kanssa, mukaan lukien suojattujen yhteyksien ja salauksen käyttö.
6.4 Median käsittely
Olemme luoneet menettelyt arkaluonteisten tietojen käsittelyyn eri muodoissa, mukaan lukien paperiasiakirjat, sähköiset tiedotusvälineet ja kannettavat tallennusvälineet.
6.5. Tietojärjestelmien kehittäminen ja ylläpito
Olemme luoneet tietojärjestelmien kehittämiseen ja ylläpitoon liittyvät käytännöt ja menettelytavat, mukaan lukien turvallisten koodauskäytäntöjen käyttö, säännölliset ohjelmistopäivitykset ja korjaustiedostojen hallinta.
6.6. Suojaus haittaohjelmilta ja viruksilta
Olemme laatineet käytännöt ja menettelytavat tietojärjestelmien suojaamiseksi haittaohjelmilta ja viruksilta, mukaan lukien virustorjuntaohjelmistojen käyttö ja säännölliset tietoturvapäivitykset.
6.7. Varmuuskopiointi ja palautus
Olemme luoneet käytännöt ja menettelyt arkaluonteisten tietojen varmuuskopiointia ja palauttamista varten tietojen katoamisen tai korruption estämiseksi.
6.8. Tapahtumahallinta
Olemme laatineet käytännöt ja menettelyt tietoturvaloukkausten ja -tapahtumien tunnistamiseksi, tutkimiseksi ja ratkaisemiseksi.
6.9 Haavoittuvuuden hallinta
Olemme laatineet tietojärjestelmän haavoittuvuuksien hallintaa koskevat käytännöt ja menettelytavat, mukaan lukien säännölliset haavoittuvuusarvioinnit ja korjaustiedostojen hallinta.
6.10. Kulunvalvonta
Olemme laatineet käytännöt ja menettelytavat käyttäjien pääsyn hallintaan tietojärjestelmiin, mukaan lukien kulunvalvonta, käyttäjien todennus ja säännölliset pääsytarkastukset.
6.11. Valvonta ja kirjaaminen
Olemme laatineet käytännöt ja menettelytavat tietojärjestelmätoimintojen seurantaan ja kirjaamiseen, mukaan lukien kirjausketjujen ja tietoturvapoikkeamien kirjaaminen.
Osa 7. Tietojärjestelmien hankinta, kehittäminen ja ylläpito
7.1. vaatimukset
Olemme laatineet käytännöt ja menettelyt tietojärjestelmävaatimusten tunnistamiseksi, mukaan lukien liiketoimintavaatimukset, laki- ja säädösvaatimukset sekä turvallisuusvaatimukset.
7.2. Toimittajasuhteet
Olemme laatineet politiikkoja ja menettelytapoja kolmansien osapuolien tietojärjestelmien ja palveluiden toimittajien suhteiden hallintaan, mukaan lukien toimittajien turvallisuuskäytäntöjen arviointi.
7.3. Järjestelmän kehittäminen
Olemme luoneet tietojärjestelmien turvallista kehittämistä koskevat periaatteet ja menettelytavat, mukaan lukien turvallisten koodauskäytäntöjen käyttö, säännöllinen testaus ja laadunvarmistus.
7.4 Järjestelmän testaus
Olemme laatineet käytännöt ja menettelytavat tietojärjestelmien testaamista varten, mukaan lukien toiminnallisuustestaus, suorituskykytestaus ja tietoturvatestaus.
7.5 Järjestelmän hyväksyntä
Olemme laatineet tietojärjestelmien hyväksymistä koskevat periaatteet ja menettelytavat, mukaan lukien testaustulosten hyväksyminen, tietoturva-arvioinnit ja käyttäjien hyväksyntätestaukset.
7.6. Järjestelmän ylläpito
Olemme luoneet tietojärjestelmien ylläpitoa varten käytännöt ja menettelytavat, mukaan lukien säännölliset päivitykset, tietoturvakorjaukset ja järjestelmän varmuuskopiot.
7.7. Järjestelmän eläkkeelle siirtyminen
Olemme laatineet käytännöt ja menettelytavat tietojärjestelmien käytöstä poistamiseksi, mukaan lukien laitteistojen ja tietojen turvallinen hävittäminen.
7.8. Tietojen säilyttäminen
Olemme luoneet käytännöt ja menettelyt tietojen säilyttämiselle lain ja säädösten vaatimusten mukaisesti, mukaan lukien arkaluonteisten tietojen turvallinen säilytys ja hävittäminen.
7.9. Tietojärjestelmien turvallisuusvaatimukset
Olemme laatineet käytännöt ja menettelyt tietojärjestelmien tietoturvavaatimusten tunnistamiseksi ja toteuttamiseksi, mukaan lukien pääsynvalvonta, salaus ja tietosuoja.
7.10. Turvalliset kehitysympäristöt
Olemme luoneet tietojärjestelmien turvallisia kehitysympäristöjä koskevat käytännöt ja menettelytavat, mukaan lukien turvallisten kehityskäytäntöjen, kulunvalvonta- ja verkkokonfiguraatioiden käytön.
7.11 Testausympäristöjen suojaus
Olemme luoneet käytännöt ja menettelyt tietojärjestelmien testausympäristöjen suojaamiseksi, mukaan lukien suojattujen konfiguraatioiden käyttö, kulunvalvonta ja säännöllinen tietoturvatestaus.
7.12 Turvallisen järjestelmäsuunnittelun periaatteet
Olemme laatineet käytännöt ja menettelytavat tietojärjestelmien turvallisten järjestelmäsuunnitteluperiaatteiden toteuttamiseksi, mukaan lukien tietoturva-arkkitehtuurien käyttö, uhkamallinnus ja suojatut koodauskäytännöt.
7.13. Turvallisen koodauksen ohjeet
Olemme laatineet käytännöt ja menettelyt tietojärjestelmien suojatun koodausohjeiden toteuttamiseksi, mukaan lukien koodausstandardien käyttö, koodien tarkistukset ja automaattinen testaus.
Osa 8. Laitteiston hankinta
8.1. Standardien noudattaminen
Noudatamme ISO 27001 -standardia tietoturvan hallintajärjestelmälle (ISMS) varmistaaksemme, että laitteistot hankitaan turvallisuusvaatimustemme mukaisesti.
8.2. Riskinarviointi
Suoritamme riskiarvioinnin ennen laitteiston hankintaa tunnistaaksemme mahdolliset tietoturvariskit ja varmistaaksemme, että valittu laitteisto täyttää turvallisuusvaatimukset.
8.3 Myyjien valinta
Hankimme laitteiston vain luotettavilta toimittajilta, joilla on todistettu kokemus turvallisten tuotteiden toimittamisesta. Tarkistamme toimittajan tietoturvakäytännöt ja -käytännöt ja vaadimme niitä takaamaan, että heidän tuotteensa täyttävät tietoturvavaatimukset.
8.4 Turvallinen kuljetus
Varmistamme, että laitteiston omaisuus kuljetetaan turvallisesti tiloihimme, jotta estetään peukalointi, vahingoittuminen tai varkaudet kuljetuksen aikana.
8.5 Aitouden vahvistus
Tarkistamme laitteiston aitouden toimituksen yhteydessä varmistaaksemme, että niitä ei ole väärennetty tai peukaloitu.
8.6. Fysikaaliset ja ympäristövalvonta
Suojelemme laitteistoa luvattomalta käytöltä, varkaudelta tai vaurioilta.
8.7. Laitteiston asennus
Varmistamme, että kaikki laitteistoomaisuudet on konfiguroitu ja asennettu vahvistettujen turvallisuusstandardien ja ohjeiden mukaisesti.
8.8 Laitteistoarvostelut
Suoritamme laitteiston säännöllisiä tarkastuksia varmistaaksemme, että ne vastaavat edelleen tietoturvavaatimuksiamme ja ovat ajan tasalla uusimpien tietoturvakorjausten ja -päivitysten kanssa.
8.9. Laitteiston hävittäminen
Hävitämme laitteistoomaisuuden turvallisella tavalla estääksemme luvattoman pääsyn arkaluontoisiin tietoihin.
Osa 9. Suojaus haittaohjelmilta ja viruksilta
9.1. Ohjelmiston päivityskäytäntö
Ylläpidämme ajan tasalla olevia virus- ja haittaohjelmien torjuntaohjelmistoja kaikissa Euroopan IT-sertifiointiinstituutin käyttämissä tietojärjestelmissä, mukaan lukien palvelimissa, työasemissa, kannettavissa tietokoneissa ja mobiililaitteissa. Varmistamme, että virustentorjunta- ja haittaohjelmien torjuntaohjelmistot on määritetty päivittämään automaattisesti virustunnistetiedostonsa ja ohjelmistoversionsa säännöllisesti ja että tämä prosessi testataan säännöllisesti.
9.2. Virustorjunta- ja haittaohjelmien tarkistus
Tarkistamme säännöllisesti kaikki tietojärjestelmät, mukaan lukien palvelimet, työasemat, kannettavat tietokoneet ja mobiililaitteet, virusten ja haittaohjelmien havaitsemiseksi ja poistamiseksi.
9.3. Ei-käytöstä ja muuttamattomasta käytännöstä
Noudatamme käytäntöjä, jotka kieltävät käyttäjiä poistamasta tai muuttamasta virustorjunta- ja haittaohjelmien suojausohjelmistoja missä tahansa tietojärjestelmässä.
9.4. seuranta
Valvomme virustentorjunta- ja haittaohjelmasuojausohjelmistomme hälytyksiä ja lokeja tunnistaaksemme mahdolliset virus- tai haittaohjelmatartuntatapaukset ja reagoimme niihin ajoissa.
9.5 Tietueiden ylläpito
Pidämme kirjaa virus- ja haittaohjelmasuojausohjelmiston määrityksistä, päivityksistä ja tarkistuksista sekä kaikista virus- tai haittaohjelmatartuntatapauksista auditointia varten.
9.6. Ohjelmistoarvostelut
Tarkistamme säännöllisesti virustentorjunta- ja haittaohjelmien suojausohjelmistomme varmistaaksemme, että se täyttää alan nykyiset standardit ja on riittävä tarpeisiimme.
9.7. Koulutus ja tietoisuus
Tarjoamme koulutus- ja tiedotusohjelmia, joilla koulutetaan kaikkia työntekijöitä virus- ja haittaohjelmasuojauksen tärkeydestä sekä siitä, kuinka tunnistaa ja ilmoittaa epäilyttävät toiminnot tai tapahtumat.
Osa 10. Tietoomaisuuden hallinta
10.1. Tietovarasto
European IT Certification Institute ylläpitää tietovarastoa, joka sisältää kaikki digitaaliset ja fyysiset tietovarat, kuten järjestelmät, verkot, ohjelmistot, tiedot ja dokumentaatiot. Luokittelemme tietovarat niiden kriittisyyden ja herkkyyden perusteella varmistaaksemme, että asianmukaiset suojatoimenpiteet toteutetaan.
10.2. Tietovarantojen käsittely
Toteutamme asianmukaisia toimenpiteitä tietovarojen suojaamiseksi niiden luokituksen perusteella, mukaan lukien luottamuksellisuus, eheys ja saatavuus. Varmistamme, että kaikkea tietovarallisuutta käsitellään sovellettavien lakien, määräysten ja sopimusvaatimusten mukaisesti. Varmistamme myös, että kaikki tietovarat säilytetään, suojataan ja hävitetään, kun niitä ei enää tarvita.
10.3. Tietojen omistusoikeus
Annamme tietoresurssien omistajuuden henkilöille tai osastoille, jotka ovat vastuussa tietovarojen hallinnasta ja suojaamisesta. Varmistamme myös, että tietovarojen omistajat ymmärtävät vastuunsa ja vastuunsa tietovarojen suojaamisesta.
10.4 Tietojen suojaus
Käytämme erilaisia suojaustoimenpiteitä tietovarojen suojaamiseen, mukaan lukien fyysiset hallintalaitteet, pääsynvalvonta, salaus sekä varmuuskopiointi- ja palautusprosessit. Varmistamme myös, että kaikki tietovarat on suojattu luvattomalta käytöltä, muuttamiselta tai tuhoutumiselta.
Osa 11. Kulunvalvonta
11.1. Kulunvalvontakäytäntö
Euroopan IT-sertifiointiinstituutilla on pääsynvalvontakäytäntö, joka määrittelee tietoresurssien käyttöoikeuden myöntämisen, muuttamisen ja peruuttamisen vaatimukset. Kulunvalvonta on kriittinen osa tietoturvan hallintajärjestelmäämme, ja otamme sen käyttöön varmistaaksemme, että vain valtuutetut henkilöt pääsevät käsiksi tietoresursseihimme.
11.2. Kulunvalvonnan toteutus
Toteutamme kulunvalvontatoimenpiteitä vähiten etuoikeusperiaatteella, mikä tarkoittaa, että henkilöillä on pääsy vain työtehtäviensä suorittamiseen tarvittaviin tietovaroihin. Käytämme erilaisia kulunvalvontamenetelmiä, mukaan lukien todennus, valtuutus ja kirjanpito (AAA). Käytämme myös pääsynhallintaluetteloita (ACL) ja käyttöoikeuksia hallitaksemme pääsyä tietoresursseihin.
11.3. Salasanakäytäntö
Euroopan IT-sertifiointiinstituutilla on salasanakäytäntö, joka määrittelee salasanojen luomisen ja hallinnan vaatimukset. Edellytämme vahvoja salasanoja, jotka ovat vähintään 8 merkin pituisia ja joissa on yhdistelmä isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Vaadimme myös salasanojen säännöllisiä muutoksia ja kiellämme aiempien salasanojen uudelleenkäytön.
11.4. Käyttäjien hallinta
Meillä on käyttäjien hallintaprosessi, joka sisältää käyttäjätilien luomisen, muokkaamisen ja poistamisen. Käyttäjätilit luodaan vähiten etuoikeuksien periaatteella ja pääsy myönnetään vain henkilöiden työtehtävien suorittamiseen tarvittaviin tietovaroihin. Tarkistamme myös säännöllisesti käyttäjätilit ja poistamme tilit, joita ei enää tarvita.
Osa 12. Tietoturvahäiriöiden hallinta
12.1. Tapahtumanhallintapolitiikka
Euroopan IT-sertifiointiinstituutilla on tapaustenhallintapolitiikka, joka määrittelee turvallisuushäiriöiden havaitsemisen, raportoinnin, arvioinnin ja niihin reagoimisen vaatimukset. Määrittelemme tietoturvaloukkauksiksi kaikki tapahtumat, jotka vaarantavat tietoresurssien tai järjestelmien luottamuksellisuuden, eheyden tai saatavuuden.
12.2. Tapahtuman havaitseminen ja raportointi
Toteutamme toimenpiteitä turvallisuushäiriöiden havaitsemiseksi ja raportoimiseksi ripeästi. Käytämme erilaisia menetelmiä tietoturvahäiriöiden havaitsemiseen, mukaan lukien tunkeutumisen havaitsemisjärjestelmät (IDS), virustorjuntaohjelmistot ja käyttäjäraportointi. Varmistamme myös, että kaikki työntekijät ovat tietoisia tietoturvapoikkeamien ilmoittamista koskevista menettelyistä ja kannustamme raportoimaan kaikista epäillyistä tapauksista.
12.3. Tapahtuman arviointi ja niihin reagointi
Meillä on prosessi tietoturvahäiriöiden arvioimiseksi ja niihin reagoimiseksi niiden vakavuuden ja vaikutuksen perusteella. Priorisoimme tapaukset sen perusteella, miten ne vaikuttavat tietovaroihin tai järjestelmiin, ja varaamme asianmukaiset resurssit niihin reagoimiseen. Meillä on myös reagointisuunnitelma, joka sisältää menettelyt turvavälikohtausten tunnistamiseksi, hillitsemiseksi, analysoimiseksi, hävittämiseksi ja niistä toipumiseksi sekä asianomaisille osapuolille ilmoittamiseksi ja tapahtuman jälkeisten arvioiden suorittamiseksi. Hätätilanteisiin reagointimenettelymme on suunniteltu varmistamaan nopea ja tehokas reagointi. turvallisuustilanteisiin. Menettelyjä tarkistetaan ja päivitetään säännöllisesti niiden tehokkuuden ja tarkoituksenmukaisuuden varmistamiseksi.
12.4. Tapahtumavalvontaryhmä
Meillä on IRT-ryhmä, joka vastaa tietoturvaloukkauksiin reagoimisesta. IRT koostuu eri yksiköiden edustajista, ja sitä johtaa tietoturvavastaava (ISO). IRT on vastuussa vaaratilanteiden vakavuuden arvioinnista, tapahtuman rajoittamisesta ja asianmukaisten reagointimenettelyjen käynnistämisestä.
12.5. Tapahtumaraportointi ja -arviointi
Olemme luoneet menettelyt tietoturvaloukkausten raportoimiseksi asiaankuuluville osapuolille, mukaan lukien asiakkaat, valvontaviranomaiset ja lainvalvontaviranomaiset, soveltuvien lakien ja määräysten mukaisesti. Ylläpidämme myös yhteydenpitoa asianomaisten osapuolten kanssa koko häiriöntorjuntaprosessin ajan ja toimitamme oikea-aikaiset päivitykset tapahtuman tilasta ja sen vaikutusten lieventämiseksi toteutetuista toimenpiteistä. Tarkistamme myös kaikki tietoturvahäiriöt tunnistaaksemme perimmäisen syyn ja estääksemme vastaavien tapausten esiintymisen tulevaisuudessa.
Osa 13. Toiminnan jatkuvuuden hallinta ja katastrofipalautus
13.1. Liiketoiminnan jatkuvuuden suunnittelu
Vaikka European IT Certification Institute on voittoa tavoittelematon organisaatio, sillä on liiketoiminnan jatkuvuussuunnitelma (BCP), joka hahmottaa menettelyt sen toiminnan jatkuvuuden varmistamiseksi häiriötilanteessa. BCP kattaa kaikki kriittiset toimintaprosessit ja tunnistaa resurssit, joita tarvitaan toiminnan ylläpitämiseen häiritsevän tapahtuman aikana ja sen jälkeen. Siinä hahmotellaan myös menettelyt liiketoiminnan ylläpitämiseksi häiriön tai katastrofin aikana, häiriöiden vaikutusten arvioimiseksi, kriittisimpien toimintaprosessien tunnistamiseksi tietyn häiritsevän tapahtuman yhteydessä sekä reagointi- ja palautusmenettelyjen kehittämiseen.
13.2. Katastrofipalautussuunnittelu
Euroopan IT-sertifiointiinstituutilla on Disaster Recovery Plan (DRP), joka määrittelee menettelyt tietojärjestelmien palauttamiseksi häiriön tai katastrofin sattuessa. DRP sisältää menettelyt tietojen varmuuskopiointiin, tietojen palauttamiseen ja järjestelmän palautukseen. DRP testataan ja päivitetään säännöllisesti sen tehokkuuden varmistamiseksi.
13.3. Liiketoiminnan vaikutusten analyysi
Teemme liiketoimintavaikutusanalyysin (BIA) tunnistaaksemme kriittiset toimintaprosessit ja niiden ylläpitoon tarvittavat resurssit. BIA auttaa meitä priorisoimaan palautuspyrkimyksemme ja jakamaan resursseja sen mukaisesti.
13.4. Liiketoiminnan jatkuvuusstrategia
Kehitämme BIA:n tulosten perusteella toiminnan jatkuvuusstrategian, joka hahmottelee toimintatavat häiriötilanteeseen reagoimiseksi. Strategia sisältää menettelyt BCP:n aktivoimiseksi, kriittisten toimintaprosessien palauttamiseksi ja kommunikointiin asiaankuuluvien sidosryhmien kanssa.
13.5. Testaus ja huolto
Testaamme ja ylläpidämme säännöllisesti BCP:tä ja DRP:tä varmistaaksemme niiden tehokkuuden ja merkityksen. Suoritamme säännöllisesti testejä vahvistaaksemme BCP/DRP:n ja tunnistaaksemme parannettavat alueet. Päivitämme myös BCP:tä ja DRP:tä tarpeen mukaan heijastamaan muutoksia toiminnassamme tai uhkaympäristössä. Testaus sisältää pöytäharjoituksia, simulaatioita ja toimenpiteiden live-testausta. Tarkastelemme ja päivitämme myös suunnitelmiamme testaustulosten ja oppituntien perusteella.
13.6. Vaihtoehtoiset käsittelysivustot
Ylläpidämme vaihtoehtoisia online-käsittelysivustoja, joita voidaan käyttää liiketoiminnan jatkamiseen häiriön tai katastrofin sattuessa. Vaihtoehtoiset käsittelypaikat on varustettu tarvittavilla infrastruktuureilla ja järjestelmillä, ja niitä voidaan käyttää kriittisten liiketoimintaprosessien tukemiseen.
Osa 14. Vaatimustenmukaisuus ja tarkastus
14.1. Lakien ja määräysten noudattaminen
Euroopan IT-sertifiointiinstituutti on sitoutunut noudattamaan kaikkia soveltuvia tietoturvaan ja yksityisyyteen liittyviä lakeja ja määräyksiä, mukaan lukien tietosuojalait, alan standardit ja sopimusvelvoitteet. Tarkistamme ja päivitämme säännöllisesti käytäntöjämme, menettelyjämme ja valvontatoimiamme varmistaaksemme kaikkien asiaankuuluvien vaatimusten ja standardien noudattamisen. Tärkeimmät standardit ja viitekehykset, joita noudatamme tietoturvan yhteydessä, ovat:
- ISO/IEC 27001 -standardi, joka sisältää ohjeet tietoturvan hallintajärjestelmän (ISMS) käyttöönotolle ja hallintaan. Haavoittuvuuksien hallinta on keskeinen osa. Se tarjoaa viitekehyksen tietoturvan hallintajärjestelmämme (ISMS) käyttöönotolle ja ylläpitämiselle, mukaan lukien haavoittuvuuksien hallinta. Tämän standardin säännösten mukaisesti tunnistamme, arvioimme ja hallitsemme tietoturvariskejä, mukaan lukien haavoittuvuudet.
- Yhdysvaltain kansallisen standardi- ja teknologiainstituutin (NIST) kyberturvallisuuskehys, joka tarjoaa ohjeita kyberturvallisuusriskien tunnistamiseen, arvioimiseen ja hallintaan, mukaan lukien haavoittuvuuksien hallinta.
- National Institute of Standards and Technology (NIST) kyberturvallisuuskehys kyberturvallisuusriskien hallinnan parantamiseksi, ja siinä on ydintoimintoja, mukaan lukien haavoittuvuuksien hallinta, joita noudatamme kyberturvallisuusriskejemme hallinnassa.
- SANS Critical Security Controls sisältää 20 suojauksen joukon kyberturvallisuuden parantamiseksi, ja ne kattavat useita alueita, mukaan lukien haavoittuvuuksien hallinnan, tarjoavat erityisiä ohjeita haavoittuvuuksien tarkistamisesta, korjaustiedostojen hallinnasta ja muista haavoittuvuuksien hallinnan näkökohdista.
- Maksukorttialan tietoturvastandardi (PCI DSS), joka edellyttää luottokorttitietojen käsittelyä haavoittuvuuksien hallinnassa tässä yhteydessä.
- Center for Internet Security Controls (CIS), mukaan lukien haavoittuvuuksien hallinta yhtenä tärkeimmistä hallintatyökaluista tietojärjestelmiemme suojattujen kokoonpanojen varmistamiseksi.
- Open Web Application Security Project (OWASP), jossa on top 10 -lista kriittisimmistä verkkosovellusten tietoturvariskeistä, mukaan lukien haavoittuvuuksien arvioinnit, kuten injektiohyökkäykset, rikki todennuksen ja istunnon hallinta, sivustojen välinen komentosarja (XSS) jne. Käytämme OWASP Top 10 -listalla priorisoimaan haavoittuvuuksien hallintatyömme ja keskittymään kriittisimpiin verkkojärjestelmiimme liittyviin riskeihin.
14.2. Sisäinen tarkastus
Suoritamme säännöllisiä sisäisiä tarkastuksia arvioidaksemme tietoturvan hallintajärjestelmämme (ISMS) tehokkuutta ja varmistaaksemme, että käytäntöjämme, menettelyjämme ja valvontaamme noudatetaan. Sisäisen tarkastuksen prosessi sisältää poikkeamien tunnistamisen, korjaavien toimenpiteiden kehittämisen ja korjaustoimien seurannan.
14.3. Ulkoinen tarkastus
Teemme ajoittain yhteistyötä ulkoisten tilintarkastajien kanssa vahvistaaksemme, että noudatamme sovellettavia lakeja, määräyksiä ja alan standardeja. Tarjoamme tarkastajille pääsyn tiloihin, järjestelmiimme ja asiakirjoihin, joita tarvitaan vaatimustenmukaisuuden vahvistamiseksi. Työskentelemme myös ulkopuolisten tarkastajien kanssa tarkastusprosessin aikana havaittujen havaintojen tai suositusten käsittelemiseksi.
14.4. Vaatimustenmukaisuuden valvonta
Valvomme jatkuvasti, että noudatamme soveltuvia lakeja, määräyksiä ja alan standardeja. Käytämme erilaisia menetelmiä noudattamisen valvontaan, mukaan lukien määräajoin suoritettavat arvioinnit, auditoinnit ja kolmannen osapuolen palveluntarjoajien tarkastelut. Tarkistamme ja päivitämme myös säännöllisesti käytäntöjämme, menettelyjämme ja valvontatoimiamme varmistaaksemme kaikkien asiaankuuluvien vaatimusten jatkuvan noudattamisen.
Osa 15. Kolmannen osapuolen hallinta
15.1. Kolmannen osapuolen hallintakäytäntö
Euroopan IT-sertifiointiinstituutilla on kolmannen osapuolen hallintakäytäntö, joka määrittelee vaatimukset sellaisten kolmannen osapuolen palveluntarjoajien valitsemiselle, arvioimiselle ja valvonnalle, joilla on pääsy tietovaroihin tai järjestelmiimme. Käytäntö koskee kaikkia kolmannen osapuolen tarjoajia, mukaan lukien pilvipalveluntarjoajat, toimittajat ja urakoitsijat.
15.2. Kolmannen osapuolen valinta ja arviointi
Suoritamme due diligence -tarkastuksen ennen yhteydenottoa ulkopuolisten palveluntarjoajien kanssa varmistaaksemme, että heillä on käytössään riittävät tietoturvatarkastukset tietoomaisuutemme tai järjestelmiemme suojaamiseksi. Arvioimme myös kolmannen osapuolen palveluntarjoajien noudattavan soveltuvia tietoturvaan ja yksityisyyteen liittyviä lakeja ja määräyksiä.
15.3. Kolmannen osapuolen valvonta
Valvomme kolmansien osapuolien palveluntarjoajia jatkuvasti varmistaaksemme, että ne täyttävät edelleen tietoturvaa ja yksityisyyttä koskevat vaatimukset. Käytämme erilaisia menetelmiä valvoaksemme kolmannen osapuolen palveluntarjoajia, mukaan lukien määräajoin suoritettavat arvioinnit, auditoinnit ja tietoturvahäiriöraporttien tarkistukset.
15.4. Sopimusvaatimukset
Sisällytämme tietoturvaan ja yksityisyyteen liittyvät sopimusvaatimukset kaikkiin sopimuksiin kolmansien osapuolien kanssa. Nämä vaatimukset sisältävät tietosuojaa, turvavalvontaa, tapausten hallintaa ja vaatimustenmukaisuuden valvontaa koskevia määräyksiä. Sisällytämme myös määräyksiä sopimusten irtisanomisesta turvallisuushäiriön tai vaatimusten noudattamatta jättämisen sattuessa.
Osa 16. Tietoturva sertifiointiprosessissa
16.1 Sertifiointiprosessien turvallisuus
Toteutamme riittäviä ja järjestelmällisiä toimenpiteitä varmistaaksemme kaikkien sertifiointiprosesseihimme liittyvien tietojen turvallisuuden, mukaan lukien sertifiointia hakevien henkilöiden henkilötiedot. Tämä sisältää kaikkien sertifiointiin liittyvien tietojen pääsyn, tallennuksen ja siirron hallinnan. Toteuttamalla näitä toimenpiteitä pyrimme varmistamaan, että sertifiointiprosessit suoritetaan korkeimmalla turvallisuus- ja eheystasolla ja että sertifiointia hakevien henkilöiden henkilötiedot suojataan asiaankuuluvien määräysten ja standardien mukaisesti.
16.2. Todennus ja valtuutus
Käytämme todennus- ja valtuutusvalvontaa varmistaaksemme, että vain valtuutetulla henkilökunnalla on pääsy sertifiointitietoihin. Kulunvalvontaa tarkistetaan ja päivitetään säännöllisesti henkilöstön rooleissa ja vastuissa tapahtuvien muutosten perusteella.
16.3. Datan suojelu
Suojaamme henkilötietoja koko sertifiointiprosessin ajan toteuttamalla asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistaaksemme tietojen luottamuksellisuuden, eheyden ja saatavuuden. Tämä sisältää esimerkiksi salauksen, pääsynhallinnan ja säännölliset varmuuskopiot.
16.4. Tutkimusprosessien turvallisuus
Varmistamme koeprosessien turvallisuuden toteuttamalla asianmukaisia toimenpiteitä huijaamisen estämiseksi, valvomalla ja valvomalla koeympäristöä. Säilytämme myös tutkimusmateriaalien eheyden ja luottamuksellisuuden turvallisten säilytysmenetelmien avulla.
16.5. Tutkimuksen sisällön turvallisuus
Varmistamme tutkimussisällön turvallisuuden toteuttamalla asianmukaisia toimenpiteitä suojataksemme sisällön luvattomalta käytöltä, muuttamiselta tai paljastamiselta. Tämä sisältää suojatun tallennuksen, salauksen ja pääsynhallinnan käytön tutkimussisällölle sekä valvontaa tutkimussisällön luvattoman levittämisen tai levittämisen estämiseksi.
16.6. Tutkimuksen toimituksen turvallisuus
Varmistamme tutkimusten toimittamisen turvallisuuden toteuttamalla asianmukaisia toimenpiteitä, joilla estetään luvaton pääsy koeympäristöön tai sen manipulointi. Tämä sisältää toimenpiteitä, kuten koeympäristön seurantaa, auditointia ja valvontaa sekä erityisiä tutkimusmenetelmiä, joilla estetään huijaus tai muut tietoturvaloukkaukset.
16.7. Tutkimustulosten turvallisuus
Varmistamme tutkimustulosten turvallisuuden toteuttamalla asianmukaisia toimenpiteitä suojautuaksemme tulosten luvattomalta pääsyltä, muuttamiselta tai paljastamiselta. Tämä sisältää suojatun tallennuksen, salauksen ja pääsynvalvontatoimintojen käytön tutkimustuloksiin sekä valvontaa, jolla estetään tutkimustulosten luvaton jakaminen tai levittäminen.
16.8. Varmenteiden myöntämisen turvallisuus
Varmistamme varmenteiden myöntämisen turvallisuuden toteuttamalla asianmukaiset toimenpiteet petosten ja luvattomien varmenteiden myöntämisen estämiseksi. Tämä sisältää tarkastukset varmenteita vastaanottavien henkilöiden henkilöllisyyden tarkistamiseksi sekä suojatut tallennus- ja myöntämismenettelyt.
16.9. Valitukset ja valitukset
Olemme laatineet menettelyt sertifiointiprosessiin liittyvien valitusten ja valitusten käsittelemiseksi. Näihin menettelyihin kuuluu toimenpiteitä, joilla varmistetaan prosessin luottamuksellisuus ja puolueettomuus sekä valituksiin ja valituksiin liittyvien tietojen turvallisuus.
16.10. Sertifiointiprosessit Laadunhallinta
Olemme perustaneet sertifiointiprosesseille laadunhallintajärjestelmän (Quality Management System, QMS), joka sisältää toimenpiteet prosessien tehokkuuden, tehokkuuden ja turvallisuuden varmistamiseksi. QMS sisältää prosessien ja niiden turvatoimien säännöllisiä auditointeja ja katsauksia.
16.11. Sertifiointiprosessien turvallisuuden jatkuva parantaminen
Olemme sitoutuneet parantamaan jatkuvasti sertifiointiprosessejamme ja niiden turvavalvontaa. Tämä sisältää sertifiointiin liittyvien käytäntöjen ja menettelyjen turvallisuuden säännölliset tarkistukset ja päivitykset, jotka perustuvat liiketoimintaympäristön muutoksiin, viranomaisvaatimuksiin ja tietoturvajohtamisen parhaisiin käytäntöihin tietoturvallisuuden hallinnan ISO 27001 -standardin sekä ISO:n mukaisesti. 17024 sertifiointielinten toimintastandardi.
Osa 17. Päätösehdot
17.1. Käytäntöjen tarkistus ja päivitys
Tämä tietoturvakäytäntö on elävä asiakirja, jota tarkistetaan ja päivitetään jatkuvasti toimintavaatimustemme, viranomaisvaatimustemme tai tietoturvanhallinnan parhaiden käytäntöjen muutosten perusteella.
17.2. Vaatimustenmukaisuuden valvonta
Olemme laatineet menettelyt tämän tietoturvapolitiikan ja siihen liittyvien suojaustoimenpiteiden noudattamisen valvomiseksi. Vaatimustenmukaisuuden valvonta sisältää säännöllisiä turvatoimien tarkastuksia, arviointeja ja tarkastuksia sekä niiden tehokkuutta tämän politiikan tavoitteiden saavuttamisessa.
17.3. Tietoturvatapahtumien ilmoittaminen
Olemme luoneet menettelyt tietojärjestelmiimme liittyvien turvallisuuspoikkeamien ilmoittamiseen, mukaan lukien henkilötietoihin liittyvät tietoturvaloukkaukset. Työntekijöitä, urakoitsijoita ja muita sidosryhmiä rohkaistaan ilmoittamaan kaikista turvallisuushäiriöistä tai epäillyistä vaaratilanteista nimetylle turvallisuustiimille mahdollisimman pian.
17.4. Koulutus ja tietoisuus
Järjestämme työntekijöille, urakoitsijoille ja muille sidosryhmille säännöllisesti koulutus- ja tiedotusohjelmia varmistaaksemme, että he ovat tietoisia tietoturvaan liittyvistä vastuistaan ja velvollisuuksistaan. Tämä sisältää koulutusta turvallisuuspolitiikoista ja -menettelyistä sekä toimenpiteistä yksilöiden henkilötietojen suojaamiseksi.
17.5. Vastuu ja vastuullisuus
Pidämme kaikkia työntekijöitä, urakoitsijoita ja muita sidosryhmiä vastuullisina ja tilivelvollisina tämän tietoturvapolitiikan ja siihen liittyvien turvatoimien noudattamisesta. Pidämme myös johtoa vastuussa siitä, että tehokkaan tietoturvavalvonnan toteuttamiseen ja ylläpitoon osoitetaan asianmukaiset resurssit.
Tämä tietoturvakäytäntö on kriittinen osa Euroepan IT Certification Instituten tietoturvan hallintakehystä ja osoittaa sitoutumisemme tietovarojen ja käsiteltyjen tietojen suojaamiseen, tietojen luottamuksellisuuden, yksityisyyden, eheyden ja saatavuuden varmistamiseen sekä säädösten ja sopimusten vaatimusten noudattamiseen.