Dasar Keselamatan Maklumat
Dasar Keselamatan Maklumat Akademi EITCA
Dokumen ini menyatakan Dasar Keselamatan Maklumat (ISP) Institut Pensijilan IT Eropah, yang sentiasa disemak dan dikemas kini untuk memastikan keberkesanan dan kaitannya. Kemas kini terakhir kepada Dasar Keselamatan Maklumat EITCI telah dibuat pada 7 Januari 2023.
Bahagian 1. Pengenalan dan Pernyataan Dasar Keselamatan Maklumat
1.1. Pengenalan
Institut Pensijilan IT Eropah mengiktiraf kepentingan keselamatan maklumat dalam mengekalkan kerahsiaan, integriti dan ketersediaan maklumat serta kepercayaan pihak berkepentingan kami. Kami komited untuk melindungi maklumat sensitif, termasuk data peribadi, daripada akses, pendedahan, pengubahan dan pemusnahan yang tidak dibenarkan. Kami mengekalkan Dasar Keselamatan Maklumat yang berkesan untuk menyokong misi kami menyediakan perkhidmatan pensijilan yang boleh dipercayai dan saksama kepada pelanggan kami. Dasar Keselamatan Maklumat menggariskan komitmen kami untuk melindungi aset maklumat dan memenuhi kewajipan undang-undang, kawal selia dan kontrak kami. Dasar kami adalah berdasarkan prinsip ISO 27001 dan ISO 17024, piawaian antarabangsa terkemuka untuk pengurusan keselamatan maklumat dan piawaian operasi badan pensijilan.
1.2. Kenyataan dasar
Institut Pensijilan IT Eropah komited untuk:
- Melindungi kerahsiaan, integriti dan ketersediaan aset maklumat,
- Mematuhi kewajipan undang-undang, kawal selia dan kontrak yang berkaitan dengan keselamatan maklumat dan pemprosesan data yang melaksanakan proses dan operasi pensijilannya,
- Terus menambah baik dasar keselamatan maklumat dan sistem pengurusan yang berkaitan,
- Memberi latihan dan kesedaran yang mencukupi kepada pekerja, kontraktor dan peserta,
- Melibatkan semua pekerja dan kontraktor dalam pelaksanaan dan penyelenggaraan dasar keselamatan maklumat dan sistem pengurusan keselamatan maklumat yang berkaitan.
1.3. Skop
Dasar ini digunakan untuk semua aset maklumat yang dimiliki, dikawal atau diproses oleh Institut Pensijilan IT Eropah. Ini termasuk semua aset maklumat digital dan fizikal, seperti sistem, rangkaian, perisian, data dan dokumentasi. Dasar ini juga terpakai kepada semua pekerja, kontraktor dan penyedia perkhidmatan pihak ketiga yang mengakses aset maklumat kami.
1.4. Pematuhan
Institut Pensijilan IT Eropah komited untuk mematuhi piawaian keselamatan maklumat yang berkaitan, termasuk ISO 27001 dan ISO 17024. Kami sentiasa menyemak dan mengemas kini dasar ini untuk memastikan perkaitan dan pematuhan berterusan dengan piawaian ini.
Bahagian 2. Keselamatan Organisasi
2.1. Matlamat Keselamatan Organisasi
Dengan melaksanakan langkah keselamatan organisasi, kami menyasarkan untuk memastikan bahawa aset maklumat dan amalan dan prosedur pemprosesan data kami dijalankan dengan tahap keselamatan dan integriti tertinggi, dan kami mematuhi peraturan dan piawaian undang-undang yang berkaitan.
2.2. Peranan dan Tanggungjawab Keselamatan Maklumat
Institut Pensijilan IT Eropah mentakrifkan dan menyampaikan peranan dan tanggungjawab untuk keselamatan maklumat di seluruh organisasi. Ini termasuk memberikan pemilikan yang jelas untuk aset maklumat yang berkaitan dengan keselamatan maklumat, mewujudkan struktur tadbir urus dan mentakrifkan tanggungjawab khusus untuk pelbagai peranan dan jabatan di seluruh organisasi.
2.3. Pengurusan Risiko
Kami menjalankan penilaian risiko secara tetap untuk mengenal pasti dan mengutamakan risiko keselamatan maklumat kepada organisasi, termasuk risiko yang berkaitan dengan pemprosesan data peribadi. Kami mewujudkan kawalan yang sesuai untuk mengurangkan risiko ini, dan sentiasa menyemak dan mengemas kini pendekatan pengurusan risiko kami berdasarkan perubahan dalam persekitaran perniagaan dan landskap ancaman.
2.4. Dasar dan Prosedur Keselamatan Maklumat
Kami mewujudkan dan mengekalkan satu set dasar dan prosedur keselamatan maklumat yang berdasarkan amalan terbaik industri dan mematuhi peraturan dan piawaian yang berkaitan. Dasar dan prosedur ini merangkumi semua aspek keselamatan maklumat, termasuk pemprosesan data peribadi, dan disemak dan dikemas kini secara berkala untuk memastikan keberkesanannya.
2.5. Kesedaran dan Latihan Keselamatan
Kami menyediakan program latihan dan kesedaran keselamatan yang kerap kepada semua pekerja, kontraktor dan rakan kongsi pihak ketiga yang mempunyai akses kepada data peribadi atau maklumat sensitif lain. Latihan ini merangkumi topik seperti pancingan data, kejuruteraan sosial, kebersihan kata laluan dan amalan terbaik keselamatan maklumat yang lain.
2.6. Keselamatan Fizikal dan Alam Sekitar
Kami melaksanakan kawalan keselamatan fizikal dan alam sekitar yang sesuai untuk melindungi daripada capaian yang tidak dibenarkan, kerosakan atau gangguan kepada kemudahan dan sistem maklumat kami. Ini termasuk langkah-langkah seperti kawalan akses, pengawasan, pemantauan dan kuasa sandaran dan sistem penyejukan.
2.7. Pengurusan Insiden Keselamatan Maklumat
Kami telah mewujudkan proses pengurusan insiden yang membolehkan kami bertindak balas dengan cepat dan berkesan kepada sebarang insiden keselamatan maklumat yang mungkin berlaku. Ini termasuk prosedur untuk melaporkan, peningkatan, penyiasatan dan penyelesaian insiden, serta langkah untuk mencegah berulang dan meningkatkan keupayaan tindak balas insiden kami.
2.8. Kesinambungan Operasi dan Pemulihan Bencana
Kami telah mewujudkan dan menguji pelan kesinambungan operasi dan pemulihan bencana yang membolehkan kami mengekalkan fungsi dan perkhidmatan operasi kritikal kami sekiranya berlaku gangguan atau bencana. Pelan ini termasuk prosedur untuk sandaran dan pemulihan data dan sistem, dan langkah-langkah untuk memastikan ketersediaan dan integriti data peribadi.
2.9. Pengurusan Pihak Ketiga
Kami mewujudkan dan mengekalkan kawalan yang sesuai untuk mengurus risiko yang berkaitan dengan rakan kongsi pihak ketiga yang mempunyai akses kepada data peribadi atau maklumat sensitif lain. Ini termasuk langkah-langkah seperti usaha wajar, kewajipan kontrak, pemantauan dan audit, serta langkah-langkah untuk menamatkan perkongsian apabila perlu.
Bahagian 3. Keselamatan Sumber Manusia
3.1. Pemeriksaan Pekerjaan
Institut Pensijilan IT Eropah telah mewujudkan proses untuk pemeriksaan pekerjaan untuk memastikan individu yang mempunyai akses kepada maklumat sensitif boleh dipercayai dan mempunyai kemahiran dan kelayakan yang diperlukan.
3.2. Kawalan Akses
Kami telah menetapkan dasar dan prosedur kawalan akses untuk memastikan bahawa pekerja hanya mempunyai akses kepada maklumat yang diperlukan untuk tanggungjawab kerja mereka. Hak akses disemak dan dikemas kini secara berkala untuk memastikan pekerja mempunyai akses kepada maklumat yang mereka perlukan sahaja.
3.3. Kesedaran dan Latihan Keselamatan Maklumat
Kami menyediakan latihan kesedaran keselamatan maklumat kepada semua pekerja secara berkala. Latihan ini merangkumi topik seperti keselamatan kata laluan, serangan pancingan data, kejuruteraan sosial dan aspek keselamatan siber yang lain.
3.4. Penggunaan Boleh Diterima
Kami telah menetapkan dasar penggunaan yang boleh diterima yang menggariskan penggunaan sistem dan sumber maklumat yang boleh diterima, termasuk peranti peribadi yang digunakan untuk tujuan kerja.
3.5. Keselamatan Peranti Mudah Alih
Kami telah menetapkan dasar dan prosedur untuk penggunaan selamat peranti mudah alih, termasuk penggunaan kod laluan, penyulitan dan keupayaan mengelap jauh.
3.6. Prosedur Penamatan
Institut Pensijilan IT Eropah telah menetapkan prosedur untuk penamatan pekerjaan atau kontrak untuk memastikan akses kepada maklumat sensitif dibatalkan dengan segera dan selamat.
3.7. Kakitangan Pihak Ketiga
Kami telah menetapkan prosedur untuk pengurusan kakitangan pihak ketiga yang mempunyai akses kepada maklumat sensitif. Dasar ini melibatkan pemeriksaan, kawalan akses dan latihan kesedaran keselamatan maklumat.
3.8. Melaporkan Insiden
Kami telah menetapkan dasar dan prosedur untuk melaporkan insiden atau kebimbangan keselamatan maklumat kepada kakitangan atau pihak berkuasa yang berkenaan.
3.9. Perjanjian Kerahsiaan
Institut Pensijilan IT Eropah memerlukan pekerja dan kontraktor menandatangani perjanjian kerahsiaan untuk melindungi maklumat sensitif daripada pendedahan yang tidak dibenarkan.
3.10. Tindakan Tatatertib
Institut Pensijilan IT Eropah telah menetapkan dasar dan prosedur untuk tindakan tatatertib sekiranya berlaku pelanggaran dasar keselamatan maklumat oleh pekerja atau kontraktor.
Bahagian 4. Penilaian dan Pengurusan Risiko
4.1. Penilaian Risiko
Kami menjalankan penilaian risiko berkala untuk mengenal pasti potensi ancaman dan kelemahan kepada aset maklumat kami. Kami menggunakan pendekatan berstruktur untuk mengenal pasti, menganalisis, menilai dan mengutamakan risiko berdasarkan kemungkinan dan potensi kesannya. Kami menilai risiko yang berkaitan dengan aset maklumat kami, termasuk sistem, rangkaian, perisian, data dan dokumentasi.
4.2. Rawatan Risiko
Kami menggunakan proses rawatan risiko untuk mengurangkan atau mengurangkan risiko ke tahap yang boleh diterima. Proses rawatan risiko termasuk memilih kawalan yang sesuai, melaksanakan kawalan, dan memantau keberkesanan kawalan. Kami mengutamakan pelaksanaan kawalan berdasarkan tahap risiko, sumber yang ada dan keutamaan perniagaan.
4.3. Pemantauan dan Semakan Risiko
Kami sentiasa memantau dan menyemak keberkesanan proses pengurusan risiko kami untuk memastikan ia kekal relevan dan berkesan. Kami menggunakan metrik dan penunjuk untuk mengukur prestasi proses pengurusan risiko kami dan mengenal pasti peluang untuk penambahbaikan. Kami juga menyemak proses pengurusan risiko kami sebagai sebahagian daripada semakan pengurusan berkala kami untuk memastikan kesesuaian, kecukupan dan keberkesanannya yang berterusan.
4.4. Perancangan Tindak Balas Risiko
Kami mempunyai pelan tindak balas risiko untuk memastikan bahawa kami boleh bertindak balas dengan berkesan kepada sebarang risiko yang dikenal pasti. Pelan ini termasuk prosedur untuk mengenal pasti dan melaporkan risiko, serta proses untuk menilai potensi kesan setiap risiko dan menentukan tindakan tindak balas yang sesuai. Kami juga mempunyai pelan kontingensi untuk memastikan kesinambungan perniagaan sekiranya berlaku peristiwa risiko yang ketara.
4.5. Analisis Kesan Operasi
Kami menjalankan analisis kesan perniagaan secara berkala untuk mengenal pasti potensi kesan gangguan terhadap operasi perniagaan kami. Analisis ini termasuk penilaian tentang tahap kritikal fungsi, sistem dan data perniagaan kami, serta penilaian potensi kesan gangguan terhadap pelanggan, pekerja dan pihak berkepentingan kami yang lain.
4.6. Pengurusan Risiko Pihak Ketiga
Kami mempunyai program pengurusan risiko pihak ketiga untuk memastikan vendor kami dan penyedia perkhidmatan pihak ketiga yang lain turut menguruskan risiko dengan sewajarnya. Program ini termasuk semakan usaha wajar sebelum melibatkan diri dengan pihak ketiga, pemantauan berterusan aktiviti pihak ketiga dan penilaian berkala terhadap amalan pengurusan risiko pihak ketiga.
4.7. Tindakan dan Pengurusan Insiden
Kami mempunyai respons insiden dan pelan pengurusan disediakan untuk memastikan kami dapat bertindak balas dengan berkesan terhadap sebarang insiden keselamatan. Pelan ini termasuk prosedur untuk mengenal pasti dan melaporkan insiden, serta proses untuk menilai kesan setiap insiden dan menentukan tindakan tindak balas yang sesuai. Kami juga mempunyai pelan kesinambungan perniagaan untuk memastikan fungsi perniagaan yang kritikal dapat diteruskan sekiranya berlaku insiden penting.
Bahagian 5. Keselamatan Fizikal dan Persekitaran
5.1. Perimeter Keselamatan Fizikal
Kami telah menetapkan langkah keselamatan fizikal untuk melindungi premis fizikal dan maklumat sensitif daripada akses yang tidak dibenarkan.
5.2. Kawalan Akses
Kami telah menetapkan dasar dan prosedur kawalan akses untuk premis fizikal untuk memastikan bahawa hanya kakitangan yang diberi kuasa mempunyai akses kepada maklumat sensitif.
5.3. Keselamatan Peralatan
Kami memastikan bahawa semua peralatan yang mengandungi maklumat sensitif dilindungi secara fizikal, dan akses kepada peralatan ini dihadkan kepada kakitangan yang diberi kuasa sahaja.
5.4. Pelupusan Selamat
Kami telah menetapkan prosedur untuk pelupusan selamat maklumat sensitif, termasuk dokumen kertas, media elektronik dan perkakasan.
5.5. Persekitaran Fizikal
Kami memastikan bahawa persekitaran fizikal premis, termasuk suhu, kelembapan dan pencahayaan, adalah sesuai untuk perlindungan maklumat sensitif.
5.6. Bekalan Kuasa
Kami memastikan bahawa bekalan kuasa ke premis boleh dipercayai dan dilindungi daripada gangguan bekalan elektrik atau lonjakan.
5.7. Perlindungan Kebakaran
Kami telah menetapkan dasar dan prosedur perlindungan kebakaran, termasuk pemasangan dan penyelenggaraan sistem pengesanan dan penindasan kebakaran.
5.8. Perlindungan Kerosakan Air
Kami telah menetapkan dasar dan prosedur untuk melindungi maklumat sensitif daripada kerosakan air, termasuk pemasangan dan penyelenggaraan sistem pengesanan dan pencegahan banjir.
5.9. Penyelenggaraan Peralatan
Kami telah menetapkan prosedur untuk penyelenggaraan peralatan, termasuk pemeriksaan peralatan untuk tanda-tanda gangguan atau akses tanpa kebenaran.
5.10. Penggunaan Boleh Diterima
Kami telah menetapkan dasar penggunaan yang boleh diterima yang menggariskan penggunaan sumber dan kemudahan fizikal yang boleh diterima.
5.11. Akses Jauh
Kami telah menetapkan dasar dan prosedur untuk akses jauh kepada maklumat sensitif, termasuk penggunaan sambungan dan penyulitan selamat.
5.12. Pemantauan dan Pengawasan
Kami telah menetapkan dasar dan prosedur untuk pemantauan dan pengawasan premis fizikal dan peralatan untuk mengesan dan mencegah akses atau gangguan yang tidak dibenarkan.
Bahagian. 6. Keselamatan Komunikasi dan Operasi
6.1. Pengurusan Keselamatan Rangkaian
Kami telah menetapkan dasar dan prosedur untuk pengurusan keselamatan rangkaian, termasuk penggunaan tembok api, sistem pengesanan dan pencegahan pencerobohan, dan audit keselamatan tetap.
6.2. Pemindahan Maklumat
Kami telah menetapkan dasar dan prosedur untuk pemindahan selamat maklumat sensitif, termasuk penggunaan penyulitan dan protokol pemindahan fail selamat.
6.3. Komunikasi Pihak Ketiga
Kami telah menetapkan dasar dan prosedur untuk pertukaran selamat maklumat sensitif dengan organisasi pihak ketiga, termasuk penggunaan sambungan dan penyulitan selamat.
6.4. Pengendalian Media
Kami telah menetapkan prosedur untuk pengendalian maklumat sensitif dalam pelbagai bentuk media, termasuk dokumen kertas, media elektronik dan peranti storan mudah alih.
6.5. Pembangunan dan Penyelenggaraan Sistem Maklumat
Kami telah menetapkan dasar dan prosedur untuk pembangunan dan penyelenggaraan sistem maklumat, termasuk penggunaan amalan pengekodan selamat, kemas kini perisian biasa dan pengurusan tampalan.
6.6. Perlindungan Peribadi dan Virus
Kami telah menetapkan dasar dan prosedur untuk melindungi sistem maklumat daripada perisian hasad dan virus, termasuk penggunaan perisian anti-virus dan kemas kini keselamatan biasa.
6.7. Sandaran dan Pemulihan
Kami telah menetapkan dasar dan prosedur untuk sandaran dan pemulihan maklumat sensitif untuk mengelakkan kehilangan data atau rasuah.
6.8. Pengurusan Acara
Kami telah menetapkan dasar dan prosedur untuk pengenalpastian, penyiasatan dan penyelesaian insiden dan peristiwa keselamatan.
6.9. Pengurusan Keterdedahan
Kami telah menetapkan dasar dan prosedur untuk pengurusan kelemahan sistem maklumat, termasuk penggunaan penilaian kerentanan biasa dan pengurusan tampalan.
6.10. Kawalan Akses
Kami telah menetapkan dasar dan prosedur untuk pengurusan capaian pengguna kepada sistem maklumat, termasuk penggunaan kawalan capaian, pengesahan pengguna dan semakan akses tetap.
6.11. Pemantauan dan Pembalakan
Kami telah menetapkan dasar dan prosedur untuk pemantauan dan pengelogan aktiviti sistem maklumat, termasuk penggunaan jejak audit dan pengelogan insiden keselamatan.
Bahagian 7. Pemerolehan, Pembangunan dan Penyelenggaraan Sistem Maklumat
7.1. Keperluan
Kami telah menetapkan dasar dan prosedur untuk mengenal pasti keperluan sistem maklumat, termasuk keperluan perniagaan, keperluan undang-undang dan peraturan serta keperluan keselamatan.
7.2. Hubungan Pembekal
Kami telah menetapkan dasar dan prosedur untuk pengurusan perhubungan dengan pembekal sistem maklumat dan perkhidmatan pihak ketiga, termasuk penilaian amalan keselamatan pembekal.
7.3. Pembangunan Sistem
Kami telah menetapkan dasar dan prosedur untuk pembangunan sistem maklumat yang selamat, termasuk penggunaan amalan pengekodan selamat, ujian tetap dan jaminan kualiti.
7.4. Pengujian Sistem
Kami telah menetapkan dasar dan prosedur untuk ujian sistem maklumat, termasuk ujian kefungsian, ujian prestasi dan ujian keselamatan.
7.5. Penerimaan Sistem
Kami telah menetapkan dasar dan prosedur untuk penerimaan sistem maklumat, termasuk kelulusan keputusan ujian, penilaian keselamatan dan ujian penerimaan pengguna.
7.6. Penyelenggaraan Sistem
Kami telah menetapkan dasar dan prosedur untuk penyelenggaraan sistem maklumat, termasuk kemas kini biasa, tampalan keselamatan dan sandaran sistem.
7.7. Persaraan Sistem
Kami telah menetapkan dasar dan prosedur untuk persaraan sistem maklumat, termasuk pelupusan selamat perkakasan dan data.
7.8. Penyimpanan Data
Kami telah menetapkan dasar dan prosedur untuk pengekalan data dengan mematuhi keperluan undang-undang dan peraturan, termasuk penyimpanan selamat dan pelupusan data sensitif.
7.9. Keperluan Keselamatan untuk Sistem Maklumat
Kami telah menetapkan dasar dan prosedur untuk pengenalpastian dan pelaksanaan keperluan keselamatan untuk sistem maklumat, termasuk kawalan akses, penyulitan dan perlindungan data.
7.10. Persekitaran Pembangunan Selamat
Kami telah menetapkan dasar dan prosedur untuk persekitaran pembangunan selamat untuk sistem maklumat, termasuk penggunaan amalan pembangunan selamat, kawalan akses dan konfigurasi rangkaian selamat.
7.11. Perlindungan Persekitaran Pengujian
Kami telah menetapkan dasar dan prosedur untuk perlindungan persekitaran ujian untuk sistem maklumat, termasuk penggunaan konfigurasi selamat, kawalan akses dan ujian keselamatan biasa.
7.12. Prinsip Kejuruteraan Sistem Selamat
Kami telah menetapkan dasar dan prosedur untuk pelaksanaan prinsip kejuruteraan sistem selamat untuk sistem maklumat, termasuk penggunaan seni bina keselamatan, pemodelan ancaman dan amalan pengekodan selamat.
7.13. Garis Panduan Pengekodan Selamat
Kami telah menetapkan dasar dan prosedur untuk pelaksanaan garis panduan pengekodan selamat untuk sistem maklumat, termasuk penggunaan piawaian pengekodan, semakan kod dan ujian automatik.
Bahagian 8. Perolehan Perkakasan
8.1. Pematuhan kepada Piawaian
Kami mematuhi piawaian ISO 27001 untuk sistem pengurusan keselamatan maklumat (ISMS) untuk memastikan aset perkakasan diperoleh mengikut keperluan keselamatan kami.
8.2. Penilaian Risiko
Kami menjalankan penilaian risiko sebelum mendapatkan aset perkakasan untuk mengenal pasti potensi risiko keselamatan dan memastikan perkakasan yang dipilih memenuhi keperluan keselamatan.
8.3. Pemilihan Vendor
Kami memperoleh aset perkakasan hanya daripada vendor yang dipercayai yang mempunyai rekod prestasi yang terbukti dalam menyampaikan produk selamat. Kami menyemak dasar dan amalan keselamatan vendor, dan memerlukan mereka memberikan jaminan bahawa produk mereka memenuhi keperluan keselamatan kami.
8.4. Pengangkutan Selamat
Kami memastikan aset perkakasan diangkut dengan selamat ke premis kami untuk mengelakkan gangguan, kerosakan atau kecurian semasa transit.
8.5. Pengesahan Ketulenan
Kami mengesahkan ketulenan aset perkakasan semasa penghantaran untuk memastikan ia tidak palsu atau diusik.
8.6. Kawalan Fizikal dan Persekitaran
Kami melaksanakan kawalan fizikal dan persekitaran yang sesuai untuk melindungi aset perkakasan daripada akses, kecurian atau kerosakan yang tidak dibenarkan.
8.7. Pemasangan Perkakasan
Kami memastikan semua aset perkakasan dikonfigurasikan dan dipasang mengikut piawaian dan garis panduan keselamatan yang ditetapkan.
8.8. Ulasan Perkakasan
Kami menjalankan semakan berkala ke atas aset perkakasan untuk memastikan ia terus memenuhi keperluan keselamatan kami dan dikemas kini dengan tampung dan kemas kini keselamatan terkini.
8.9. Pelupusan Perkakasan
Kami melupuskan aset perkakasan dengan cara yang selamat untuk menghalang akses tanpa kebenaran kepada maklumat sensitif.
Bahagian 9. Perlindungan Hasad dan Virus
9.1. Dasar Kemas Kini Perisian
Kami mengekalkan perisian perlindungan anti-virus dan perisian hasad yang terkini pada semua sistem maklumat yang digunakan oleh Institut Pensijilan IT Eropah, termasuk pelayan, stesen kerja, komputer riba dan peranti mudah alih. Kami memastikan bahawa perisian perlindungan anti-virus dan perisian hasad dikonfigurasikan untuk mengemas kini fail definisi virus dan versi perisiannya secara automatik secara tetap, dan bahawa proses ini diuji dengan kerap.
9.2. Pengimbasan Anti-Virus dan Perisian Hasad
Kami melakukan imbasan tetap bagi semua sistem maklumat, termasuk pelayan, stesen kerja, komputer riba dan peranti mudah alih, untuk mengesan dan mengalih keluar sebarang virus atau perisian hasad.
9.3. Polisi Tanpa Lumpuh dan Tanpa Ubah
Kami menguatkuasakan dasar yang melarang pengguna daripada melumpuhkan atau mengubah perisian perlindungan anti-virus dan perisian hasad pada mana-mana sistem maklumat.
9.4. Pemantauan
Kami memantau makluman dan log perisian perlindungan anti-virus dan perisian hasad kami untuk mengenal pasti sebarang insiden jangkitan virus atau perisian hasad, dan bertindak balas terhadap insiden tersebut tepat pada masanya.
9.5. Penyelenggaraan Rekod
Kami mengekalkan rekod konfigurasi perisian perlindungan anti-virus dan perisian hasad, kemas kini dan imbasan, serta sebarang kejadian jangkitan virus atau perisian hasad, untuk tujuan pengauditan.
9.6. Ulasan Perisian
Kami menjalankan semakan berkala terhadap perisian perlindungan anti-virus dan perisian hasad kami untuk memastikan ia memenuhi piawaian industri semasa dan mencukupi untuk keperluan kami.
9.7. Latihan dan Kesedaran
Kami menyediakan program latihan dan kesedaran untuk mendidik semua pekerja tentang kepentingan perlindungan virus dan perisian hasad, dan cara mengenali dan melaporkan sebarang aktiviti atau insiden yang mencurigakan.
Bahagian 10. Pengurusan Aset Maklumat
10.1. Inventori Aset Maklumat
Institut Pensijilan IT Eropah mengekalkan inventori aset maklumat yang merangkumi semua aset maklumat digital dan fizikal, seperti sistem, rangkaian, perisian, data dan dokumentasi. Kami mengklasifikasikan aset maklumat berdasarkan kritikal dan sensitivitinya untuk memastikan langkah perlindungan yang sesuai dilaksanakan.
10.2. Pengendalian Aset Maklumat
Kami melaksanakan langkah yang sesuai untuk melindungi aset maklumat berdasarkan klasifikasinya, termasuk kerahsiaan, integriti dan ketersediaan. Kami memastikan semua aset maklumat dikendalikan mengikut undang-undang, peraturan dan keperluan kontrak yang berkenaan. Kami juga memastikan semua aset maklumat disimpan, dilindungi dan dilupuskan dengan betul apabila tidak diperlukan lagi.
10.3. Pemilikan Aset Maklumat
Kami menyerahkan pemilikan aset maklumat kepada individu atau jabatan yang bertanggungjawab mengurus dan melindungi aset maklumat. Kami juga memastikan bahawa pemilik aset maklumat memahami tanggungjawab dan akauntabiliti mereka untuk melindungi aset maklumat.
10.4. Perlindungan Aset Maklumat
Kami menggunakan pelbagai langkah perlindungan untuk melindungi aset maklumat, termasuk kawalan fizikal, kawalan akses, penyulitan dan proses sandaran dan pemulihan. Kami juga memastikan semua aset maklumat dilindungi daripada akses, pengubahsuaian atau pemusnahan yang tidak dibenarkan.
Bahagian 11. Kawalan Akses
11.1. Dasar Kawalan Akses
Institut Pensijilan IT Eropah mempunyai Dasar Kawalan Akses yang menggariskan keperluan untuk memberikan, mengubah suai dan membatalkan akses kepada aset maklumat. Kawalan capaian ialah komponen penting dalam sistem pengurusan keselamatan maklumat kami, dan kami melaksanakannya untuk memastikan bahawa hanya individu yang diberi kuasa mempunyai akses kepada aset maklumat kami.
11.2. Pelaksanaan Kawalan Akses
Kami melaksanakan langkah kawalan capaian berdasarkan prinsip keistimewaan paling rendah, yang bermaksud bahawa individu hanya mempunyai akses kepada aset maklumat yang diperlukan untuk melaksanakan fungsi kerja mereka. Kami menggunakan pelbagai langkah kawalan akses, termasuk pengesahan, kebenaran dan perakaunan (AAA). Kami juga menggunakan senarai kawalan akses (ACL) dan kebenaran untuk mengawal akses kepada aset maklumat.
11.3. Dasar Kata Laluan
Institut Pensijilan IT Eropah mempunyai Dasar Kata Laluan yang menggariskan keperluan untuk mencipta dan mengurus kata laluan. Kami memerlukan kata laluan yang kukuh yang sekurang-kurangnya 8 aksara panjang, dengan gabungan huruf besar dan huruf kecil, nombor dan aksara khas. Kami juga memerlukan perubahan kata laluan berkala dan melarang penggunaan semula kata laluan sebelumnya.
11.4. Pengurusan Pengguna
Kami mempunyai proses pengurusan pengguna yang termasuk membuat, mengubah suai dan memadam akaun pengguna. Akaun pengguna dicipta berdasarkan prinsip keistimewaan paling rendah, dan akses hanya diberikan kepada aset maklumat yang diperlukan untuk melaksanakan fungsi tugas individu. Kami juga kerap menyemak akaun pengguna dan mengalih keluar akaun yang tidak diperlukan lagi.
Bahagian 12. Pengurusan Insiden Keselamatan Maklumat
12.1. Dasar Pengurusan Insiden
Institut Pensijilan IT Eropah mempunyai Dasar Pengurusan Insiden yang menggariskan keperluan untuk mengesan, melaporkan, menilai dan bertindak balas terhadap insiden keselamatan. Kami mentakrifkan insiden keselamatan sebagai sebarang peristiwa yang menjejaskan kerahsiaan, integriti atau ketersediaan aset atau sistem maklumat.
12.2. Pengesanan dan Pelaporan Insiden
Kami melaksanakan langkah-langkah untuk mengesan dan melaporkan insiden keselamatan dengan segera. Kami menggunakan pelbagai kaedah untuk mengesan insiden keselamatan, termasuk sistem pengesanan pencerobohan (IDS), perisian antivirus dan pelaporan pengguna. Kami juga memastikan bahawa semua pekerja mengetahui prosedur untuk melaporkan insiden keselamatan dan menggalakkan pelaporan semua insiden yang disyaki.
12.3. Penilaian dan Tindak Balas Insiden
Kami mempunyai proses untuk menilai dan bertindak balas terhadap insiden keselamatan berdasarkan keterukan dan kesannya. Kami mengutamakan insiden berdasarkan potensi kesannya terhadap aset atau sistem maklumat dan memperuntukkan sumber yang sesuai untuk bertindak balas terhadapnya. Kami juga mempunyai pelan tindak balas yang merangkumi prosedur untuk mengenal pasti, mengandungi, menganalisis, membasmi dan memulihkan daripada insiden keselamatan, serta memaklumkan pihak yang berkaitan, dan menjalankan semakan selepas insiden Prosedur tindak balas insiden kami direka untuk memastikan tindak balas yang pantas dan berkesan. kepada insiden keselamatan. Prosedur ini sentiasa disemak dan dikemas kini untuk memastikan keberkesanan dan kaitannya.
12.4. Pasukan Tindak Balas Insiden
Kami mempunyai Pasukan Tindak Balas Insiden (IRT) yang bertanggungjawab untuk bertindak balas terhadap insiden keselamatan. IRT dianggotai oleh wakil daripada pelbagai unit dan diketuai oleh Pegawai Keselamatan Maklumat (ISO). IRT bertanggungjawab untuk menilai tahap keterukan insiden, mengandungi insiden, dan memulakan prosedur tindak balas yang sesuai.
12.5. Pelaporan dan Semakan Insiden
Kami telah menetapkan prosedur untuk melaporkan insiden keselamatan kepada pihak yang berkaitan, termasuk pelanggan, pihak berkuasa kawal selia dan agensi penguatkuasaan undang-undang, seperti yang dikehendaki oleh undang-undang dan peraturan yang berkenaan. Kami juga mengekalkan komunikasi dengan pihak yang terjejas sepanjang proses tindak balas insiden, menyediakan kemas kini tepat pada masanya tentang status kejadian dan sebarang tindakan yang diambil untuk mengurangkan kesannya. Kami juga menjalankan semakan ke atas semua insiden keselamatan untuk mengenal pasti punca dan mengelakkan insiden serupa daripada berlaku pada masa hadapan.
Bahagian 13. Pengurusan Kesinambungan Perniagaan dan Pemulihan Bencana
13.1. Perancangan Kesinambungan Perniagaan
Walaupun Institut Pensijilan IT Eropah ialah organisasi bukan untung, ia mempunyai Pelan Kesinambungan Perniagaan (BCP) yang menggariskan prosedur untuk memastikan kesinambungan operasinya sekiranya berlaku insiden yang mengganggu. BCP meliputi semua proses operasi kritikal dan mengenal pasti sumber yang diperlukan untuk mengekalkan operasi semasa dan selepas kejadian yang mengganggu. Ia juga menggariskan prosedur untuk mengekalkan operasi perniagaan semasa gangguan atau bencana, menilai kesan gangguan, mengenal pasti proses operasi yang paling kritikal dalam konteks insiden gangguan tertentu, dan membangunkan prosedur tindak balas dan pemulihan.
13.2. Perancangan Pemulihan Bencana
Institut Pensijilan IT Eropah mempunyai Pelan Pemulihan Bencana (DRP) yang menggariskan prosedur untuk memulihkan sistem maklumat kami sekiranya berlaku gangguan atau bencana. DRP termasuk prosedur untuk sandaran data, pemulihan data dan pemulihan sistem. DRP diuji dan dikemas kini secara berkala untuk memastikan keberkesanannya.
13.3. Analisis Kesan Perniagaan
Kami menjalankan Analisis Kesan Perniagaan (BIA) untuk mengenal pasti proses operasi kritikal dan sumber yang diperlukan untuk mengekalkannya. BIA membantu kami mengutamakan usaha pemulihan kami dan memperuntukkan sumber sewajarnya.
13.4. Strategi Kesinambungan Perniagaan
Berdasarkan keputusan BIA, kami membangunkan Strategi Kesinambungan Perniagaan yang menggariskan prosedur untuk bertindak balas terhadap insiden yang mengganggu. Strategi ini termasuk prosedur untuk mengaktifkan BCP, memulihkan proses operasi kritikal, dan berkomunikasi dengan pihak berkepentingan yang berkaitan.
13.5. Pengujian dan Penyelenggaraan
Kami sentiasa menguji dan mengekalkan BCP dan DRP kami untuk memastikan keberkesanan dan kaitannya. Kami menjalankan ujian tetap untuk mengesahkan BCP/DRP dan mengenal pasti bidang untuk penambahbaikan. Kami juga mengemas kini BCP dan DRP sekiranya perlu untuk mencerminkan perubahan dalam operasi kami atau landskap ancaman. Ujian termasuk latihan atas meja, simulasi dan ujian langsung prosedur. Kami juga menyemak dan mengemas kini rancangan kami berdasarkan hasil ujian dan pengajaran yang dipelajari.
13.6. Tapak Pemprosesan Ganti
Kami mengekalkan tapak pemprosesan dalam talian alternatif yang boleh digunakan untuk meneruskan operasi perniagaan sekiranya berlaku gangguan atau bencana. Tapak pemprosesan alternatif dilengkapi dengan infrastruktur dan sistem yang diperlukan, dan boleh digunakan untuk menyokong proses perniagaan yang kritikal.
Bahagian 14. Pematuhan dan Audit
14.1. Pematuhan Undang-undang dan Peraturan
Institut Pensijilan IT Eropah komited untuk mematuhi semua undang-undang dan peraturan yang berkaitan dengan keselamatan dan privasi maklumat, termasuk undang-undang perlindungan data, piawaian industri dan kewajipan kontrak. Kami sentiasa menyemak dan mengemas kini dasar, prosedur dan kawalan kami untuk memastikan pematuhan dengan semua keperluan dan standard yang berkaitan. Piawaian dan rangka kerja utama yang kami ikuti dalam konteks keselamatan maklumat termasuk:
- Piawaian ISO/IEC 27001 menyediakan garis panduan untuk pelaksanaan dan pengurusan Sistem Pengurusan Keselamatan Maklumat (ISMS) yang merangkumi pengurusan kelemahan sebagai komponen utama. Ia menyediakan rangka kerja rujukan untuk melaksanakan dan mengekalkan sistem pengurusan keselamatan maklumat (ISMS) kami termasuk pengurusan kelemahan. Selaras dengan peruntukan standard ini, kami mengenal pasti, menilai dan mengurus risiko keselamatan maklumat, termasuk kelemahan.
- Rangka Kerja Keselamatan Siber Institut Piawaian dan Teknologi Kebangsaan (NIST) AS menyediakan garis panduan untuk mengenal pasti, menilai dan mengurus risiko keselamatan siber, termasuk pengurusan kerentanan.
- Rangka Kerja Keselamatan Siber Institut Piawaian dan Teknologi Kebangsaan (NIST) untuk menambah baik pengurusan risiko keselamatan siber, dengan set fungsi teras termasuk pengurusan kerentanan yang kami patuhi untuk mengurus risiko keselamatan siber kami.
- Kawalan Keselamatan Kritikal SANS mengandungi satu set 20 kawalan keselamatan untuk meningkatkan keselamatan siber, meliputi pelbagai bidang, termasuk pengurusan kerentanan, menyediakan panduan khusus tentang pengimbasan kerentanan, pengurusan tampalan dan aspek pengurusan kerentanan yang lain.
- Piawaian Keselamatan Data Industri Kad Pembayaran (PCI DSS), memerlukan pengendalian maklumat kad kredit berkaitan pengurusan kerentanan dalam konteks ini.
- Pusat Kawalan Keselamatan Internet (CIS) termasuk pengurusan kerentanan sebagai salah satu kawalan utama untuk memastikan konfigurasi sistem maklumat kami yang selamat.
- Projek Keselamatan Aplikasi Web Terbuka (OWASP), dengan senarai Top 10 risiko keselamatan aplikasi web yang paling kritikal, termasuk penilaian kelemahan seperti serangan suntikan, pengesahan yang rosak dan pengurusan sesi, skrip merentas tapak (XSS), dll. Kami menggunakan 10 Teratas OWASP untuk mengutamakan usaha pengurusan kerentanan kami dan memberi tumpuan kepada risiko paling kritikal berkaitan sistem web kami.
14.2. Audit dalaman
Kami menjalankan audit dalaman yang kerap untuk menilai keberkesanan Sistem Pengurusan Keselamatan Maklumat (ISMS) kami dan memastikan dasar, prosedur dan kawalan kami dipatuhi. Proses audit dalaman termasuk pengenalpastian ketidakpatuhan, pembangunan tindakan pembetulan, dan penjejakan usaha pemulihan.
14.3. Audit Luar
Kami terlibat secara berkala dengan juruaudit luar untuk mengesahkan pematuhan kami terhadap undang-undang, peraturan dan piawaian industri yang berkenaan. Kami menyediakan juruaudit akses kepada kemudahan, sistem dan dokumentasi kami seperti yang diperlukan untuk mengesahkan pematuhan kami. Kami juga bekerjasama dengan juruaudit luar untuk menangani sebarang penemuan atau cadangan yang dikenal pasti semasa proses audit.
14.4. Pemantauan Pematuhan
Kami memantau pematuhan kami terhadap undang-undang, peraturan dan piawaian industri yang berkenaan secara berterusan. Kami menggunakan pelbagai kaedah untuk memantau pematuhan, termasuk penilaian berkala, audit dan semakan penyedia pihak ketiga. Kami juga sentiasa menyemak dan mengemas kini dasar, prosedur dan kawalan kami untuk memastikan pematuhan berterusan terhadap semua keperluan yang berkaitan.
Bahagian 15. Pengurusan Pihak Ketiga
15.1. Dasar Pengurusan Pihak Ketiga
Institut Pensijilan IT Eropah mempunyai Dasar Pengurusan Pihak Ketiga yang menggariskan keperluan untuk memilih, menilai dan memantau penyedia pihak ketiga yang mempunyai akses kepada aset atau sistem maklumat kami. Dasar ini terpakai kepada semua penyedia pihak ketiga, termasuk penyedia perkhidmatan awan, vendor dan kontraktor.
15.2. Pemilihan dan Penilaian Pihak Ketiga
Kami menjalankan usaha wajar sebelum melibatkan diri dengan penyedia pihak ketiga untuk memastikan mereka mempunyai kawalan keselamatan yang mencukupi untuk melindungi aset atau sistem maklumat kami. Kami juga menilai pematuhan penyedia pihak ketiga terhadap undang-undang dan peraturan yang berkaitan dengan keselamatan maklumat dan privasi.
15.3. Pemantauan Pihak Ketiga
Kami memantau penyedia pihak ketiga secara berterusan untuk memastikan bahawa mereka terus memenuhi keperluan kami untuk keselamatan maklumat dan privasi. Kami menggunakan pelbagai kaedah untuk memantau penyedia pihak ketiga, termasuk penilaian berkala, audit dan semakan laporan insiden keselamatan.
15.4. Keperluan Kontrak
Kami menyertakan keperluan kontrak yang berkaitan dengan keselamatan maklumat dan privasi dalam semua kontrak dengan penyedia pihak ketiga. Keperluan ini termasuk peruntukan untuk perlindungan data, kawalan keselamatan, pengurusan insiden dan pemantauan pematuhan. Kami juga menyertakan peruntukan untuk penamatan kontrak sekiranya berlaku insiden keselamatan atau ketidakpatuhan.
Bahagian 16. Keselamatan Maklumat dalam Proses Pensijilan
16.1 Keselamatan Proses Pensijilan
Kami mengambil langkah yang mencukupi dan sistemik untuk memastikan keselamatan semua maklumat yang berkaitan dengan proses pensijilan kami, termasuk data peribadi individu yang ingin mendapatkan pensijilan. Ini termasuk kawalan untuk akses, penyimpanan dan penghantaran semua maklumat berkaitan pensijilan. Dengan melaksanakan langkah-langkah ini, kami menyasarkan untuk memastikan proses pensijilan dijalankan dengan tahap keselamatan dan integriti tertinggi, dan data peribadi individu yang ingin mendapatkan pensijilan dilindungi dengan mematuhi peraturan dan piawaian yang berkaitan.
16.2. Pengesahan dan Keizinan
Kami menggunakan kawalan pengesahan dan kebenaran untuk memastikan bahawa hanya kakitangan yang diberi kuasa mempunyai akses kepada maklumat pensijilan. Kawalan akses kerap disemak dan dikemas kini berdasarkan perubahan dalam peranan dan tanggungjawab kakitangan.
16.3. Perlindungan Data
Kami melindungi data peribadi sepanjang proses pensijilan dengan melaksanakan langkah teknikal dan organisasi yang sesuai untuk memastikan kerahsiaan, integriti dan ketersediaan data. Ini termasuk langkah seperti penyulitan, kawalan akses dan sandaran biasa.
16.4. Keselamatan Proses Peperiksaan
Kami memastikan keselamatan proses peperiksaan dengan melaksanakan langkah yang sesuai untuk mencegah penipuan, memantau dan mengawal persekitaran peperiksaan. Kami juga mengekalkan integriti dan kerahsiaan bahan peperiksaan melalui prosedur penyimpanan yang selamat.
16.5. Keselamatan Kandungan Peperiksaan
Kami memastikan keselamatan kandungan peperiksaan dengan melaksanakan langkah yang sesuai untuk melindungi daripada akses, pengubahan atau pendedahan kandungan yang tidak dibenarkan. Ini termasuk penggunaan storan selamat, penyulitan dan kawalan akses untuk kandungan peperiksaan, serta kawalan untuk menghalang pengedaran atau penyebaran kandungan peperiksaan yang tidak dibenarkan.
16.6. Keselamatan Penyampaian Peperiksaan
Kami memastikan keselamatan penyampaian peperiksaan dengan melaksanakan langkah-langkah yang sesuai untuk menghalang akses tanpa kebenaran kepada, atau manipulasi, persekitaran peperiksaan. Ini termasuk langkah-langkah seperti pemantauan, pengauditan dan kawalan persekitaran peperiksaan dan pendekatan peperiksaan tertentu, untuk mencegah penipuan atau pelanggaran keselamatan lain.
16.7. Keselamatan Keputusan Peperiksaan
Kami memastikan keselamatan keputusan peperiksaan dengan melaksanakan langkah-langkah yang sesuai untuk melindungi daripada akses, pengubahan atau pendedahan keputusan yang tidak dibenarkan. Ini termasuk penggunaan storan selamat, penyulitan dan kawalan capaian untuk keputusan peperiksaan, serta kawalan untuk mencegah pengedaran atau penyebaran keputusan peperiksaan yang tidak dibenarkan.
16.8. Keselamatan Pengeluaran Sijil
Kami memastikan keselamatan pengeluaran sijil dengan melaksanakan langkah yang sesuai untuk mencegah penipuan dan pengeluaran sijil tanpa kebenaran. Ini termasuk kawalan untuk mengesahkan identiti individu yang menerima sijil dan penyimpanan selamat dan prosedur pengeluaran.
16.9. Aduan dan Rayuan
Kami telah menetapkan prosedur untuk menguruskan aduan dan rayuan yang berkaitan dengan proses pensijilan. Prosedur ini termasuk langkah untuk memastikan kerahsiaan dan kesaksamaan proses, dan keselamatan maklumat yang berkaitan dengan aduan dan rayuan.
16.10. Pengurusan Kualiti Proses Pensijilan
Kami telah mewujudkan Sistem Pengurusan Kualiti (QMS) untuk proses pensijilan yang merangkumi langkah-langkah untuk memastikan keberkesanan, kecekapan dan keselamatan proses. QMS termasuk audit tetap dan semakan proses dan kawalan keselamatan mereka.
16.11. Penambahbaikan Berterusan Keselamatan Proses Pensijilan
Kami komited untuk penambahbaikan berterusan proses pensijilan kami dan kawalan keselamatan mereka. Ini termasuk semakan biasa dan kemas kini polisi dan prosedur berkaitan pensijilan berdasarkan perubahan dalam persekitaran perniagaan, keperluan kawal selia dan amalan terbaik dalam pengurusan keselamatan maklumat, selaras dengan piawaian ISO 27001 untuk pengurusan keselamatan maklumat, serta dengan ISO 17024 badan pensijilan standard operasi.
Bahagian 17. Peruntukan Penutup
17.1. Semakan dan Kemas Kini Dasar
Dasar Keselamatan Maklumat ini ialah dokumen hidup yang menjalani semakan dan kemas kini berterusan berdasarkan perubahan dalam keperluan operasi kami, keperluan kawal selia atau amalan terbaik dalam pengurusan keselamatan maklumat.
17.2. Pemantauan Pematuhan
Kami telah menetapkan prosedur untuk memantau pematuhan dengan Dasar Keselamatan Maklumat ini dan kawalan keselamatan yang berkaitan. Pemantauan pematuhan termasuk audit tetap, penilaian dan semakan kawalan keselamatan, dan keberkesanannya dalam mencapai objektif dasar ini.
17.3. Melaporkan Insiden Keselamatan
Kami telah menetapkan prosedur untuk melaporkan insiden keselamatan yang berkaitan dengan sistem maklumat kami, termasuk yang berkaitan dengan data peribadi individu. Pekerja, kontraktor dan pihak berkepentingan lain digalakkan untuk melaporkan sebarang insiden keselamatan atau insiden yang disyaki kepada pasukan keselamatan yang ditetapkan secepat mungkin.
17.4. Latihan dan Kesedaran
Kami menyediakan program latihan dan kesedaran yang kerap kepada pekerja, kontraktor dan pihak berkepentingan lain untuk memastikan mereka sedar akan tanggungjawab dan kewajipan mereka berkaitan keselamatan maklumat. Ini termasuk latihan mengenai dasar dan prosedur keselamatan, dan langkah untuk melindungi data peribadi individu.
17.5. Tanggungjawab dan Akauntabiliti
Kami memegang semua pekerja, kontraktor dan pihak berkepentingan lain yang bertanggungjawab dan bertanggungjawab untuk mematuhi Dasar Keselamatan Maklumat ini dan kawalan keselamatan yang berkaitan. Kami juga mempertanggungjawabkan pengurusan untuk memastikan sumber yang sesuai diperuntukkan untuk melaksanakan dan mengekalkan kawalan keselamatan maklumat yang berkesan.
Dasar Keselamatan Maklumat ini merupakan komponen penting dalam rangka kerja pengurusan keselamatan maklumat Institut Pensijilan IT Eropah dan menunjukkan komitmen kami untuk melindungi aset maklumat dan data yang diproses, memastikan kerahsiaan, privasi, integriti dan ketersediaan maklumat, serta mematuhi keperluan peraturan dan kontrak.