Πολιτική Ασφάλειας Πληροφοριών
Πολιτική Ασφάλειας Πληροφοριών της Ακαδημίας EITCA
Αυτό το έγγραφο καθορίζει την Πολιτική Ασφάλειας Πληροφοριών (ISP) του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής, η οποία επανεξετάζεται και ενημερώνεται τακτικά για να διασφαλίζεται η αποτελεσματικότητα και η συνάφειά της. Η τελευταία ενημέρωση της Πολιτικής Ασφάλειας Πληροφοριών EITCI έγινε στις 7 Ιανουαρίου 2023.
Μέρος 1. Εισαγωγή και Δήλωση Πολιτικής Ασφάλειας Πληροφοριών
1.1. Εισαγωγή
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής αναγνωρίζει τη σημασία της ασφάλειας των πληροφοριών για τη διατήρηση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών και της εμπιστοσύνης των ενδιαφερομένων μας. Δεσμευόμαστε να προστατεύουμε ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των προσωπικών δεδομένων, από μη εξουσιοδοτημένη πρόσβαση, αποκάλυψη, τροποποίηση και καταστροφή. Διατηρούμε μια αποτελεσματική Πολιτική Ασφάλειας Πληροφοριών για να υποστηρίξουμε την αποστολή μας να παρέχουμε αξιόπιστες και αμερόληπτες υπηρεσίες πιστοποίησης στους πελάτες μας. Η Πολιτική Ασφάλειας Πληροφοριών περιγράφει τη δέσμευσή μας να προστατεύουμε τα περιουσιακά στοιχεία των πληροφοριών και να εκπληρώνουμε τις νομικές, κανονιστικές και συμβατικές υποχρεώσεις μας. Η πολιτική μας βασίζεται στις αρχές του ISO 27001 και του ISO 17024, των κορυφαίων διεθνών προτύπων για τη διαχείριση της ασφάλειας πληροφοριών και τα πρότυπα λειτουργίας των φορέων πιστοποίησης.
1.2. Δήλωση Πολιτικής
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής δεσμεύεται να:
- Προστασία του απορρήτου, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών,
- Συμμόρφωση με νομικές, ρυθμιστικές και συμβατικές υποχρεώσεις που σχετίζονται με την ασφάλεια των πληροφοριών και την επεξεργασία δεδομένων κατά την εφαρμογή των διαδικασιών και των λειτουργιών πιστοποίησης,
- Συνεχής βελτίωση της πολιτικής ασφάλειας πληροφοριών και του σχετικού συστήματος διαχείρισης,
- Παροχή κατάλληλης εκπαίδευσης και ευαισθητοποίησης σε εργαζόμενους, εργολάβους και συμμετέχοντες,
- Συμμετοχή όλων των εργαζομένων και των εργολάβων στην εφαρμογή και διατήρηση της πολιτικής ασφάλειας πληροφοριών και του σχετικού συστήματος διαχείρισης ασφάλειας πληροφοριών.
1.3. Πεδίο Εφαρμογής
Αυτή η πολιτική ισχύει για όλα τα στοιχεία ενεργητικού που ανήκουν, ελέγχονται ή υποβάλλονται σε επεξεργασία από το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής. Αυτό περιλαμβάνει όλα τα στοιχεία ψηφιακών και φυσικών πληροφοριών, όπως συστήματα, δίκτυα, λογισμικό, δεδομένα και τεκμηρίωση. Αυτή η πολιτική ισχύει επίσης για όλους τους υπαλλήλους, τους εργολάβους και τους τρίτους παρόχους υπηρεσιών που έχουν πρόσβαση στα στοιχεία πληροφοριών μας.
1.4. Συμμόρφωση
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής έχει δεσμευτεί να συμμορφώνεται με τα σχετικά πρότυπα ασφάλειας πληροφοριών, συμπεριλαμβανομένων των ISO 27001 και ISO 17024. Επανεξετάζουμε και ενημερώνουμε τακτικά αυτήν την πολιτική για να διασφαλίσουμε τη διαρκή συνάφειά της και τη συμμόρφωσή της με αυτά τα πρότυπα.
Μέρος 2. Οργανωτική ασφάλεια
2.1. Στόχοι Ασφάλειας Οργανισμού
Εφαρμόζοντας οργανωτικά μέτρα ασφαλείας, στοχεύουμε να διασφαλίσουμε ότι οι πρακτικές και οι διαδικασίες επεξεργασίας των πληροφοριών μας και των δεδομένων μας διεξάγονται με το υψηλότερο επίπεδο ασφάλειας και ακεραιότητας και ότι συμμορφωνόμαστε με τους σχετικούς νομικούς κανονισμούς και πρότυπα.
2.2. Ρόλοι και Ευθύνες Ασφάλειας Πληροφοριών
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής καθορίζει και κοινοποιεί ρόλους και ευθύνες για την ασφάλεια των πληροφοριών σε ολόκληρο τον οργανισμό. Αυτό περιλαμβάνει την ανάθεση σαφούς ιδιοκτησίας για στοιχεία ενεργητικού στο πλαίσιο της ασφάλειας των πληροφοριών, τη δημιουργία μιας δομής διακυβέρνησης και τον καθορισμό συγκεκριμένων ευθυνών για διάφορους ρόλους και τμήματα σε ολόκληρο τον οργανισμό.
2.3. Διαχείριση κινδύνου
Διενεργούμε τακτικές αξιολογήσεις κινδύνου για τον εντοπισμό και την ιεράρχηση των κινδύνων για την ασφάλεια των πληροφοριών για τον οργανισμό, συμπεριλαμβανομένων των κινδύνων που σχετίζονται με την επεξεργασία προσωπικών δεδομένων. Καθιερώνουμε κατάλληλους ελέγχους για τον μετριασμό αυτών των κινδύνων και επανεξετάζουμε και ενημερώνουμε τακτικά την προσέγγισή μας για τη διαχείριση κινδύνων με βάση τις αλλαγές στο επιχειρηματικό περιβάλλον και το τοπίο απειλών.
2.4. Πολιτικές και Διαδικασίες Ασφάλειας Πληροφοριών
Καθιερώνουμε και διατηρούμε ένα σύνολο πολιτικών και διαδικασιών ασφάλειας πληροφοριών που βασίζονται στις βέλτιστες πρακτικές του κλάδου και συμμορφώνονται με τους σχετικούς κανονισμούς και πρότυπα. Αυτές οι πολιτικές και διαδικασίες καλύπτουν όλες τις πτυχές της ασφάλειας των πληροφοριών, συμπεριλαμβανομένης της επεξεργασίας προσωπικών δεδομένων, και επανεξετάζονται και ενημερώνονται τακτικά για να διασφαλίζεται η αποτελεσματικότητά τους.
2.5. Ευαισθητοποίηση και Εκπαίδευση Ασφαλείας
Παρέχουμε τακτικά προγράμματα ευαισθητοποίησης και εκπαίδευσης για την ασφάλεια σε όλους τους υπαλλήλους, τους εργολάβους και τους τρίτους συνεργάτες που έχουν πρόσβαση σε προσωπικά δεδομένα ή άλλες ευαίσθητες πληροφορίες. Αυτή η εκπαίδευση καλύπτει θέματα όπως το phishing, η κοινωνική μηχανική, η υγιεινή του κωδικού πρόσβασης και άλλες βέλτιστες πρακτικές ασφάλειας πληροφοριών.
2.6. Φυσική και Περιβαλλοντική Ασφάλεια
Εφαρμόζουμε κατάλληλους φυσικούς και περιβαλλοντικούς ελέγχους ασφάλειας για την προστασία από μη εξουσιοδοτημένη πρόσβαση, ζημιά ή παρεμβολές στις εγκαταστάσεις και τα συστήματα πληροφοριών μας. Αυτό περιλαμβάνει μέτρα όπως έλεγχοι πρόσβασης, επιτήρηση, παρακολούθηση και εφεδρική τροφοδοσία και συστήματα ψύξης.
2.7. Διαχείριση περιστατικών ασφάλειας πληροφοριών
Έχουμε δημιουργήσει μια διαδικασία διαχείρισης συμβάντων που μας δίνει τη δυνατότητα να ανταποκρινόμαστε γρήγορα και αποτελεσματικά σε τυχόν περιστατικά ασφάλειας πληροφοριών που ενδέχεται να προκύψουν. Αυτό περιλαμβάνει διαδικασίες για την αναφορά, την κλιμάκωση, τη διερεύνηση και την επίλυση συμβάντων, καθώς και μέτρα για την πρόληψη της επανάληψης και τη βελτίωση των δυνατοτήτων μας απόκρισης περιστατικών.
2.8. Συνέχεια λειτουργίας και αποκατάσταση καταστροφών
Έχουμε δημιουργήσει και δοκιμάσει σχέδια λειτουργικής συνέχειας και αποκατάστασης από καταστροφές που μας επιτρέπουν να διατηρήσουμε τις κρίσιμες λειτουργίες και τις υπηρεσίες μας σε περίπτωση διακοπής ή καταστροφής. Αυτά τα σχέδια περιλαμβάνουν διαδικασίες για δημιουργία αντιγράφων ασφαλείας και ανάκτηση δεδομένων και συστημάτων, καθώς και μέτρα για τη διασφάλιση της διαθεσιμότητας και της ακεραιότητας των προσωπικών δεδομένων.
2.9. Διαχείριση τρίτων
Καθιερώνουμε και διατηρούμε κατάλληλους ελέγχους για τη διαχείριση των κινδύνων που σχετίζονται με τρίτους συνεργάτες που έχουν πρόσβαση σε προσωπικά δεδομένα ή άλλες ευαίσθητες πληροφορίες. Αυτό περιλαμβάνει μέτρα όπως η δέουσα επιμέλεια, οι συμβατικές υποχρεώσεις, η παρακολούθηση και οι έλεγχοι, καθώς και μέτρα για τον τερματισμό των συνεργασιών όταν είναι απαραίτητο.
Μέρος 3. Ασφάλεια Ανθρώπινου Δυναμικού
3.1. Έλεγχος Απασχόλησης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής έχει καθιερώσει μια διαδικασία για τον έλεγχο της απασχόλησης για να διασφαλίσει ότι τα άτομα με πρόσβαση σε ευαίσθητες πληροφορίες είναι αξιόπιστα και διαθέτουν τις απαραίτητες δεξιότητες και προσόντα.
3.2. Έλεγχος πρόσβασης
Έχουμε θεσπίσει πολιτικές και διαδικασίες ελέγχου πρόσβασης για να διασφαλίσουμε ότι οι εργαζόμενοι έχουν πρόσβαση μόνο στις πληροφορίες που είναι απαραίτητες για τις εργασιακές τους ευθύνες. Τα δικαιώματα πρόσβασης ελέγχονται και ενημερώνονται τακτικά για να διασφαλίζεται ότι οι εργαζόμενοι έχουν πρόσβαση μόνο στις πληροφορίες που χρειάζονται.
3.3. Ευαισθητοποίηση και Εκπαίδευση για την Ασφάλεια Πληροφοριών
Παρέχουμε εκπαίδευση ευαισθητοποίησης για την ασφάλεια των πληροφοριών σε όλους τους υπαλλήλους σε τακτική βάση. Αυτή η εκπαίδευση καλύπτει θέματα όπως η ασφάλεια κωδικού πρόσβασης, οι επιθέσεις phishing, η κοινωνική μηχανική και άλλες πτυχές της ασφάλειας στον κυβερνοχώρο.
3.4. Αποδεκτή χρήση
Έχουμε δημιουργήσει μια πολιτική αποδεκτής χρήσης που περιγράφει την αποδεκτή χρήση πληροφοριακών συστημάτων και πόρων, συμπεριλαμβανομένων των προσωπικών συσκευών που χρησιμοποιούνται για εργασιακούς σκοπούς.
3.5. Ασφάλεια φορητών συσκευών
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την ασφαλή χρήση κινητών συσκευών, συμπεριλαμβανομένης της χρήσης κωδικών πρόσβασης, κρυπτογράφησης και δυνατοτήτων απομακρυσμένου σκουπίσματος.
3.6. Διαδικασίες τερματισμού
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής έχει θεσπίσει διαδικασίες για τον τερματισμό της απασχόλησης ή της σύμβασης για να διασφαλίσει ότι η πρόσβαση σε ευαίσθητες πληροφορίες ανακαλείται άμεσα και με ασφάλεια.
3.7. Προσωπικό Τρίτων
Έχουμε καθιερώσει διαδικασίες για τη διαχείριση του προσωπικού τρίτων που έχει πρόσβαση σε ευαίσθητες πληροφορίες. Αυτές οι πολιτικές περιλαμβάνουν έλεγχο, έλεγχο πρόσβασης και εκπαίδευση ευαισθητοποίησης για την ασφάλεια των πληροφοριών.
3.8. Αναφορά περιστατικών
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την αναφορά περιστατικών ασφάλειας πληροφοριών ή ανησυχιών στο κατάλληλο προσωπικό ή αρχές.
3.9. Συμφωνίες εμπιστευτικότητας
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής απαιτεί από τους υπαλλήλους και τους εργολάβους να υπογράφουν συμφωνίες εμπιστευτικότητας για την προστασία ευαίσθητων πληροφοριών από μη εξουσιοδοτημένη αποκάλυψη.
3.10. Πειθαρχικές ενέργειες
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής έχει θεσπίσει πολιτικές και διαδικασίες για πειθαρχικά μέτρα σε περίπτωση παραβιάσεων της πολιτικής ασφάλειας πληροφοριών από υπαλλήλους ή εργολάβους.
Μέρος 4. Εκτίμηση και Διαχείριση Κινδύνων
4.1. Αξιολόγηση κινδύνου
Διεξάγουμε περιοδικές αξιολογήσεις κινδύνου για τον εντοπισμό πιθανών απειλών και τρωτών σημείων για τα πληροφοριακά μας στοιχεία. Χρησιμοποιούμε μια δομημένη προσέγγιση για τον εντοπισμό, την ανάλυση, την αξιολόγηση και την ιεράρχηση των κινδύνων με βάση την πιθανότητα και τον πιθανό αντίκτυπό τους. Αξιολογούμε τους κινδύνους που σχετίζονται με τα στοιχεία των πληροφοριών μας, συμπεριλαμβανομένων συστημάτων, δικτύων, λογισμικού, δεδομένων και τεκμηρίωσης.
4.2. Θεραπεία κινδύνου
Χρησιμοποιούμε μια διαδικασία αντιμετώπισης κινδύνου για τον μετριασμό ή τη μείωση των κινδύνων σε ένα αποδεκτό επίπεδο. Η διαδικασία αντιμετώπισης κινδύνου περιλαμβάνει την επιλογή κατάλληλων ελέγχων, την εφαρμογή ελέγχων και την παρακολούθηση της αποτελεσματικότητας των ελέγχων. Δίνουμε προτεραιότητα στην εφαρμογή ελέγχων με βάση το επίπεδο κινδύνου, τους διαθέσιμους πόρους και τις επιχειρηματικές προτεραιότητες.
4.3. Παρακολούθηση και Ανασκόπηση Κινδύνων
Παρακολουθούμε και εξετάζουμε τακτικά την αποτελεσματικότητα της διαδικασίας διαχείρισης κινδύνων μας για να διασφαλίσουμε ότι παραμένει σχετική και αποτελεσματική. Χρησιμοποιούμε μετρήσεις και δείκτες για να μετρήσουμε την απόδοση της διαδικασίας διαχείρισης κινδύνου και να εντοπίσουμε ευκαιρίες για βελτίωση. Εξετάζουμε επίσης τη διαδικασία διαχείρισης κινδύνου ως μέρος των περιοδικών ελέγχων διαχείρισης για να διασφαλίσουμε τη συνεχή καταλληλότητα, επάρκεια και αποτελεσματικότητά της.
4.4. Σχεδιασμός Αντιμετώπισης Κινδύνων
Διαθέτουμε ένα σχέδιο αντιμετώπισης κινδύνων για να διασφαλίσουμε ότι μπορούμε να ανταποκριθούμε αποτελεσματικά σε τυχόν εντοπισμένους κινδύνους. Αυτό το σχέδιο περιλαμβάνει διαδικασίες για τον εντοπισμό και την αναφορά κινδύνων, καθώς και διαδικασίες για την αξιολόγηση των πιθανών επιπτώσεων κάθε κινδύνου και τον καθορισμό κατάλληλων ενεργειών αντιμετώπισης. Έχουμε επίσης σχέδια έκτακτης ανάγκης για να διασφαλίσουμε τη συνέχεια της επιχείρησης σε περίπτωση σημαντικού γεγονότος κινδύνου.
4.5. Λειτουργική Ανάλυση Επιπτώσεων
Διεξάγουμε περιοδικές αναλύσεις επιχειρηματικών επιπτώσεων για να εντοπίσουμε τον πιθανό αντίκτυπο των διαταραχών στις επιχειρηματικές μας δραστηριότητες. Αυτή η ανάλυση περιλαμβάνει αξιολόγηση της κρισιμότητας των επιχειρηματικών λειτουργιών, συστημάτων και δεδομένων μας, καθώς και αξιολόγηση του πιθανού αντίκτυπου των διακοπών στους πελάτες, τους υπαλλήλους και άλλους ενδιαφερόμενους φορείς.
4.6. Διαχείριση Κινδύνων Τρίτων
Διαθέτουμε ένα πρόγραμμα διαχείρισης κινδύνου τρίτων για να διασφαλίσουμε ότι οι προμηθευτές μας και άλλοι τρίτοι πάροχοι υπηρεσιών διαχειρίζονται επίσης τους κινδύνους κατάλληλα. Αυτό το πρόγραμμα περιλαμβάνει ελέγχους δέουσας επιμέλειας πριν από την επαφή με τρίτους, συνεχή παρακολούθηση δραστηριοτήτων τρίτων και περιοδικές αξιολογήσεις πρακτικών διαχείρισης κινδύνου τρίτων.
4.7. Αντιμετώπιση και Διαχείριση Συμβάντων
Διαθέτουμε σχέδιο αντιμετώπισης συμβάντων και διαχείρισης για να διασφαλίσουμε ότι μπορούμε να ανταποκριθούμε αποτελεσματικά σε τυχόν περιστατικά ασφαλείας. Αυτό το σχέδιο περιλαμβάνει διαδικασίες για τον εντοπισμό και την αναφορά συμβάντων, καθώς και διαδικασίες για την αξιολόγηση του αντίκτυπου κάθε περιστατικού και τον καθορισμό κατάλληλων ενεργειών αντιμετώπισης. Έχουμε επίσης ένα σχέδιο επιχειρηματικής συνέχειας σε εφαρμογή για να διασφαλίσουμε ότι οι κρίσιμες επιχειρηματικές λειτουργίες μπορούν να συνεχιστούν σε περίπτωση σημαντικού περιστατικού.
Μέρος 5. Φυσική και Περιβαλλοντική Ασφάλεια
5.1. Περίμετρος Φυσικής Ασφάλειας
Έχουμε θεσπίσει μέτρα φυσικής ασφάλειας για την προστασία των φυσικών χώρων και των ευαίσθητων πληροφοριών από μη εξουσιοδοτημένη πρόσβαση.
5.2. Έλεγχος πρόσβασης
Έχουμε θεσπίσει πολιτικές και διαδικασίες ελέγχου πρόσβασης για τις φυσικές εγκαταστάσεις για να διασφαλίσουμε ότι μόνο εξουσιοδοτημένο προσωπικό έχει πρόσβαση σε ευαίσθητες πληροφορίες.
5.3. Ασφάλεια Εξοπλισμού
Διασφαλίζουμε ότι όλος ο εξοπλισμός που περιέχει ευαίσθητες πληροφορίες είναι φυσικά ασφαλής και η πρόσβαση σε αυτόν τον εξοπλισμό περιορίζεται μόνο σε εξουσιοδοτημένο προσωπικό.
5.4. Ασφαλής Απόρριψη
Έχουμε θεσπίσει διαδικασίες για την ασφαλή διάθεση ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των έντυπων εγγράφων, των ηλεκτρονικών μέσων και του υλικού.
5.5. Φυσικό Περιβάλλον
Διασφαλίζουμε ότι το φυσικό περιβάλλον των χώρων, συμπεριλαμβανομένης της θερμοκρασίας, της υγρασίας και του φωτισμού, είναι κατάλληλο για την προστασία ευαίσθητων πληροφοριών.
5.6. Παροχή ηλεκτρικού ρεύματος
Διασφαλίζουμε ότι η παροχή ρεύματος στις εγκαταστάσεις είναι αξιόπιστη και προστατευμένη από διακοπές ρεύματος ή υπερτάσεις.
5.7. Πυροπροστασία
Έχουμε θεσπίσει πολιτικές και διαδικασίες πυροπροστασίας, συμπεριλαμβανομένης της εγκατάστασης και συντήρησης συστημάτων πυρανίχνευσης και καταστολής.
5.8. Προστασία από φθορές νερού
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την προστασία ευαίσθητων πληροφοριών από ζημιές στο νερό, συμπεριλαμβανομένης της εγκατάστασης και συντήρησης συστημάτων ανίχνευσης και πρόληψης πλημμύρας.
5.9. Συντήρηση εξοπλισμού
Έχουμε θεσπίσει διαδικασίες για τη συντήρηση του εξοπλισμού, συμπεριλαμβανομένης της επιθεώρησης του εξοπλισμού για ενδείξεις παραποίησης ή μη εξουσιοδοτημένης πρόσβασης.
5.10. Αποδεκτή χρήση
Έχουμε δημιουργήσει μια αποδεκτή πολιτική χρήσης που περιγράφει την αποδεκτή χρήση φυσικών πόρων και εγκαταστάσεων.
5.11. Απομακρυσμένη πρόσβαση
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την απομακρυσμένη πρόσβαση σε ευαίσθητες πληροφορίες, συμπεριλαμβανομένης της χρήσης ασφαλών συνδέσεων και κρυπτογράφησης.
5.12. Παρακολούθηση και Επιτήρηση
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την παρακολούθηση και την επιτήρηση των φυσικών χώρων και του εξοπλισμού για τον εντοπισμό και την πρόληψη μη εξουσιοδοτημένης πρόσβασης ή παραβίασης.
Μέρος. 6. Ασφάλεια Επικοινωνιών και Λειτουργιών
6.1. Διαχείριση Ασφάλειας Δικτύων
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τη διαχείριση της ασφάλειας του δικτύου, συμπεριλαμβανομένης της χρήσης τείχους προστασίας, συστημάτων ανίχνευσης και πρόληψης εισβολών και τακτικών ελέγχων ασφαλείας.
6.2. Μεταφορά Πληροφοριών
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την ασφαλή μεταφορά ευαίσθητων πληροφοριών, συμπεριλαμβανομένης της χρήσης πρωτοκόλλων κρυπτογράφησης και ασφαλούς μεταφοράς αρχείων.
6.3. Επικοινωνίες Τρίτων
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την ασφαλή ανταλλαγή ευαίσθητων πληροφοριών με τρίτους οργανισμούς, συμπεριλαμβανομένης της χρήσης ασφαλών συνδέσεων και κρυπτογράφησης.
6.4. Χειρισμός μέσων
Έχουμε καθιερώσει διαδικασίες για το χειρισμό ευαίσθητων πληροφοριών σε διάφορες μορφές μέσων, συμπεριλαμβανομένων των έντυπων εγγράφων, των ηλεκτρονικών μέσων και των φορητών συσκευών αποθήκευσης.
6.5. Ανάπτυξη και Συντήρηση Πληροφοριακών Συστημάτων
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την ανάπτυξη και τη συντήρηση πληροφοριακών συστημάτων, συμπεριλαμβανομένης της χρήσης ασφαλών πρακτικών κωδικοποίησης, τακτικών ενημερώσεων λογισμικού και διαχείρισης ενημερώσεων κώδικα.
6.6. Προστασία από κακόβουλο λογισμικό και ιούς
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την προστασία των πληροφοριακών συστημάτων από κακόβουλο λογισμικό και ιούς, συμπεριλαμβανομένης της χρήσης λογισμικού προστασίας από ιούς και τακτικών ενημερώσεων ασφαλείας.
6.7. Δημιουργία αντιγράφων ασφαλείας και αποκατάσταση
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τη δημιουργία αντιγράφων ασφαλείας και την αποκατάσταση ευαίσθητων πληροφοριών για την αποφυγή απώλειας ή καταστροφής δεδομένων.
6.8. Διαχείριση συμβάντων
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τον εντοπισμό, τη διερεύνηση και την επίλυση συμβάντων και συμβάντων ασφαλείας.
6.9. Διαχείριση ευπάθειας
Έχουμε καθιερώσει πολιτικές και διαδικασίες για τη διαχείριση των τρωτών σημείων του συστήματος πληροφοριών, συμπεριλαμβανομένης της χρήσης τακτικών αξιολογήσεων ευπάθειας και διαχείρισης ενημερώσεων κώδικα.
6.10. Έλεγχος πρόσβασης
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τη διαχείριση της πρόσβασης των χρηστών σε συστήματα πληροφοριών, συμπεριλαμβανομένης της χρήσης ελέγχων πρόσβασης, του ελέγχου ταυτότητας χρήστη και των τακτικών ελέγχων πρόσβασης.
6.11. Παρακολούθηση και Καταγραφή
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την παρακολούθηση και την καταγραφή των δραστηριοτήτων του πληροφοριακού συστήματος, συμπεριλαμβανομένης της χρήσης ιχνών ελέγχου και της καταγραφής συμβάντων ασφαλείας.
Μέρος 7. Απόκτηση, Ανάπτυξη και Συντήρηση Πληροφοριακών Συστημάτων
7.1. Απαιτήσεις
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τον προσδιορισμό των απαιτήσεων του συστήματος πληροφοριών, συμπεριλαμβανομένων των επιχειρηματικών απαιτήσεων, των νομικών και κανονιστικών απαιτήσεων και των απαιτήσεων ασφάλειας.
7.2. Σχέσεις με προμηθευτές
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τη διαχείριση των σχέσεων με τρίτους προμηθευτές συστημάτων και υπηρεσιών πληροφοριών, συμπεριλαμβανομένης της αξιολόγησης των πρακτικών ασφαλείας των προμηθευτών.
7.3. Ανάπτυξη Συστήματος
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την ασφαλή ανάπτυξη πληροφοριακών συστημάτων, συμπεριλαμβανομένης της χρήσης ασφαλών πρακτικών κωδικοποίησης, τακτικών δοκιμών και διασφάλισης ποιότητας.
7.4. Δοκιμή συστήματος
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τη δοκιμή συστημάτων πληροφοριών, συμπεριλαμβανομένων των δοκιμών λειτουργικότητας, των δοκιμών απόδοσης και των δοκιμών ασφαλείας.
7.5. Αποδοχή συστήματος
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την αποδοχή πληροφοριακών συστημάτων, συμπεριλαμβανομένης της έγκρισης των αποτελεσμάτων δοκιμών, των αξιολογήσεων ασφαλείας και των δοκιμών αποδοχής από τους χρήστες.
7.6. Συντήρηση Συστήματος
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τη συντήρηση συστημάτων πληροφοριών, συμπεριλαμβανομένων τακτικών ενημερώσεων, ενημερώσεων κώδικα ασφαλείας και δημιουργίας αντιγράφων ασφαλείας συστήματος.
7.7. Συνταξιοδότηση συστήματος
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την απόσυρση των πληροφοριακών συστημάτων, συμπεριλαμβανομένης της ασφαλούς διάθεσης υλικού και δεδομένων.
7.8. Διατήρηση δεδομένων
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τη διατήρηση δεδομένων σε συμμόρφωση με νομικές και κανονιστικές απαιτήσεις, συμπεριλαμβανομένης της ασφαλούς αποθήκευσης και διάθεσης ευαίσθητων δεδομένων.
7.9. Απαιτήσεις Ασφαλείας Πληροφοριακών Συστημάτων
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τον προσδιορισμό και την εφαρμογή απαιτήσεων ασφαλείας για συστήματα πληροφοριών, συμπεριλαμβανομένων των ελέγχων πρόσβασης, της κρυπτογράφησης και της προστασίας δεδομένων.
7.10. Ασφαλή Περιβάλλοντα Ανάπτυξης
Έχουμε θεσπίσει πολιτικές και διαδικασίες για τα ασφαλή περιβάλλοντα ανάπτυξης συστημάτων πληροφοριών, συμπεριλαμβανομένης της χρήσης ασφαλών πρακτικών ανάπτυξης, ελέγχων πρόσβασης και ασφαλών διαμορφώσεων δικτύου.
7.11. Προστασία Περιβάλλοντος Δοκιμών
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την προστασία περιβαλλόντων δοκιμών για συστήματα πληροφοριών, συμπεριλαμβανομένης της χρήσης ασφαλών διαμορφώσεων, ελέγχων πρόσβασης και τακτικών δοκιμών ασφαλείας.
7.12. Αρχές Μηχανικής Ασφαλούς Συστήματος
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την εφαρμογή αρχών ασφαλούς μηχανικής συστημάτων για συστήματα πληροφοριών, συμπεριλαμβανομένης της χρήσης αρχιτεκτονικών ασφαλείας, μοντελοποίησης απειλών και πρακτικών ασφαλούς κωδικοποίησης.
7.13. Οδηγίες Ασφαλούς Κωδικοποίησης
Έχουμε θεσπίσει πολιτικές και διαδικασίες για την εφαρμογή κατευθυντήριων γραμμών ασφαλούς κωδικοποίησης για συστήματα πληροφοριών, συμπεριλαμβανομένης της χρήσης προτύπων κωδικοποίησης, ελέγχων κώδικα και αυτοματοποιημένων δοκιμών.
Μέρος 8. Απόκτηση υλικού
8.1. Τήρηση Προτύπων
Τηρούμε το πρότυπο ISO 27001 για το σύστημα διαχείρισης ασφάλειας πληροφοριών (ISMS) για να διασφαλίσουμε ότι τα στοιχεία υλικού προμηθεύονται σύμφωνα με τις απαιτήσεις ασφαλείας μας.
8.2. Αξιολόγηση κινδύνου
Διενεργούμε αξιολόγηση κινδύνου πριν από την προμήθεια στοιχείων υλικού για να εντοπίσουμε πιθανούς κινδύνους ασφαλείας και να διασφαλίσουμε ότι το επιλεγμένο υλικό πληροί τις απαιτήσεις ασφαλείας.
8.3. Επιλογή προμηθευτών
Προμηθεύουμε στοιχεία υλικού μόνο από αξιόπιστους προμηθευτές που έχουν αποδεδειγμένο ιστορικό παράδοσης ασφαλών προϊόντων. Εξετάζουμε τις πολιτικές και τις πρακτικές ασφαλείας των προμηθευτών και απαιτούμε από αυτούς να παρέχουν διαβεβαίωση ότι τα προϊόντα τους πληρούν τις απαιτήσεις ασφαλείας μας.
8.4. Ασφαλής Μεταφορά
Διασφαλίζουμε ότι τα περιουσιακά στοιχεία υλικού μεταφέρονται με ασφάλεια στις εγκαταστάσεις μας για την αποφυγή παραβίασης, ζημιάς ή κλοπής κατά τη μεταφορά.
8.5. Επαλήθευση γνησιότητας
Επαληθεύουμε τη γνησιότητα των στοιχείων υλικού κατά την παράδοση για να διασφαλίσουμε ότι δεν είναι πλαστά ή παραποιημένα.
8.6. Φυσικοί και Περιβαλλοντικοί Έλεγχοι
Εφαρμόζουμε κατάλληλους φυσικούς και περιβαλλοντικούς ελέγχους για την προστασία των στοιχείων υλικού από μη εξουσιοδοτημένη πρόσβαση, κλοπή ή ζημιά.
8.7. Εγκατάσταση υλικού
Διασφαλίζουμε ότι όλα τα στοιχεία υλικού διαμορφώνονται και εγκαθίστανται σύμφωνα με καθιερωμένα πρότυπα και οδηγίες ασφαλείας.
8.8. Κριτικές υλικού
Διενεργούμε περιοδικούς ελέγχους των στοιχείων υλικού για να διασφαλίσουμε ότι συνεχίζουν να πληρούν τις απαιτήσεις ασφαλείας μας και ότι είναι ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα και ενημερώσεις ασφαλείας.
8.9. Απόρριψη υλικού
Διαθέτουμε περιουσιακά στοιχεία υλικού με ασφαλή τρόπο για να αποτρέψουμε τη μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες.
Μέρος 9. Προστασία από κακόβουλο λογισμικό και ιούς
9.1. Πολιτική ενημέρωσης λογισμικού
Διατηρούμε ενημερωμένο λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό σε όλα τα συστήματα πληροφοριών που χρησιμοποιούνται από το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής, συμπεριλαμβανομένων διακομιστών, σταθμών εργασίας, φορητών υπολογιστών και φορητών συσκευών. Διασφαλίζουμε ότι το λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό έχει ρυθμιστεί ώστε να ενημερώνει αυτόματα τα αρχεία ορισμού ιών και τις εκδόσεις λογισμικού του σε τακτική βάση και ότι αυτή η διαδικασία ελέγχεται τακτικά.
9.2. Σάρωση προστασίας από ιούς και κακόβουλο λογισμικό
Πραγματοποιούμε τακτικές σαρώσεις όλων των συστημάτων πληροφοριών, συμπεριλαμβανομένων των διακομιστών, των σταθμών εργασίας, των φορητών υπολογιστών και των φορητών συσκευών, για να εντοπίσουμε και να αφαιρέσουμε τυχόν ιούς ή κακόβουλο λογισμικό.
9.3. Πολιτική μη απενεργοποίησης και μη αλλαγής
Εφαρμόζουμε πολιτικές που απαγορεύουν στους χρήστες να απενεργοποιούν ή να τροποποιούν λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό σε οποιοδήποτε σύστημα πληροφοριών.
9.4. Παρακολούθηση
Παρακολουθούμε τις ειδοποιήσεις και τα αρχεία καταγραφής του λογισμικού προστασίας από ιούς και κακόβουλου λογισμικού για να εντοπίσουμε τυχόν περιστατικά μολύνσεων από ιούς ή κακόβουλο λογισμικό και να ανταποκρινόμαστε σε τέτοια περιστατικά εγκαίρως.
9.5. Διατήρηση Αρχείων
Διατηρούμε αρχεία για τις ρυθμίσεις παραμέτρων λογισμικού προστασίας από ιούς και κακόβουλο λογισμικό, ενημερώσεις και σαρώσεις, καθώς και τυχόν περιστατικά μολύνσεων από ιούς ή κακόβουλο λογισμικό, για σκοπούς ελέγχου.
9.6. Κριτικές λογισμικού
Διενεργούμε περιοδικές αναθεωρήσεις του λογισμικού προστασίας από ιούς και κακόβουλου λογισμικού για να διασφαλίσουμε ότι πληροί τα τρέχοντα βιομηχανικά πρότυπα και είναι επαρκές για τις ανάγκες μας.
9.7. Κατάρτιση και Ευαισθητοποίηση
Παρέχουμε προγράμματα εκπαίδευσης και ευαισθητοποίησης για να εκπαιδεύσουμε όλους τους υπαλλήλους σχετικά με τη σημασία της προστασίας από ιούς και κακόβουλο λογισμικό και πώς να αναγνωρίζουν και να αναφέρουν τυχόν ύποπτες δραστηριότητες ή περιστατικά.
Μέρος 10. Διαχείριση στοιχείων ενεργητικού
10.1. Πληροφορίες Απογραφή περιουσιακών στοιχείων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης ΤΠ διατηρεί έναν κατάλογο στοιχείων ενεργητικού που περιλαμβάνει όλα τα ψηφιακά και φυσικά στοιχεία πληροφοριών, όπως συστήματα, δίκτυα, λογισμικό, δεδομένα και τεκμηρίωση. Ταξινομούμε τα περιουσιακά στοιχεία πληροφοριών με βάση την κρισιμότητα και την ευαισθησία τους για να διασφαλίσουμε ότι εφαρμόζονται τα κατάλληλα μέτρα προστασίας.
10.2. Διαχείριση στοιχείων ενεργητικού
Εφαρμόζουμε κατάλληλα μέτρα για την προστασία των στοιχείων ενεργητικού βάσει της ταξινόμησής τους, συμπεριλαμβανομένης της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας. Διασφαλίζουμε ότι ο χειρισμός όλων των στοιχείων ενεργητικού γίνεται σύμφωνα με τους ισχύοντες νόμους, κανονισμούς και συμβατικές απαιτήσεις. Διασφαλίζουμε επίσης ότι όλα τα στοιχεία ενεργητικού αποθηκεύονται σωστά, προστατεύονται και απορρίπτονται όταν δεν χρειάζονται πλέον.
10.3. Πληροφορίες ιδιοκτησίας περιουσιακών στοιχείων
Αναθέτουμε την ιδιοκτησία των στοιχείων σε άτομα ή τμήματα που είναι υπεύθυνα για τη διαχείριση και την προστασία των περιουσιακών στοιχείων πληροφοριών. Διασφαλίζουμε επίσης ότι οι ιδιοκτήτες περιουσιακών στοιχείων πληροφοριών κατανοούν τις ευθύνες και τις υποχρεώσεις τους για την προστασία των στοιχείων ενεργητικού.
10.4. Προστασία περιουσιακών στοιχείων πληροφοριών
Χρησιμοποιούμε μια ποικιλία μέτρων προστασίας για την προστασία των στοιχείων του ενεργητικού, συμπεριλαμβανομένων των φυσικών ελέγχων, των ελέγχων πρόσβασης, της κρυπτογράφησης και των διαδικασιών δημιουργίας αντιγράφων ασφαλείας και ανάκτησης. Διασφαλίζουμε επίσης ότι όλα τα περιουσιακά στοιχεία πληροφοριών προστατεύονται από μη εξουσιοδοτημένη πρόσβαση, τροποποίηση ή καταστροφή.
Μέρος 11. Έλεγχος πρόσβασης
11.1. Πολιτική ελέγχου πρόσβασης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής έχει μια Πολιτική Ελέγχου Πρόσβασης που περιγράφει τις απαιτήσεις για τη χορήγηση, την τροποποίηση και την ανάκληση της πρόσβασης σε περιουσιακά στοιχεία πληροφοριών. Ο έλεγχος πρόσβασης είναι ένα κρίσιμο στοιχείο του συστήματος διαχείρισης ασφάλειας πληροφοριών και το εφαρμόζουμε για να διασφαλίσουμε ότι μόνο εξουσιοδοτημένα άτομα έχουν πρόσβαση στα στοιχεία των πληροφοριών μας.
11.2. Εφαρμογή ελέγχου πρόσβασης
Εφαρμόζουμε μέτρα ελέγχου πρόσβασης με βάση την αρχή των ελάχιστων προνομίων, που σημαίνει ότι τα άτομα έχουν πρόσβαση μόνο στις πληροφορίες που είναι απαραίτητες για την εκτέλεση των εργασιακών τους λειτουργιών. Χρησιμοποιούμε μια ποικιλία μέτρων ελέγχου πρόσβασης, συμπεριλαμβανομένου του ελέγχου ταυτότητας, της εξουσιοδότησης και της λογιστικής (AAA). Χρησιμοποιούμε επίσης λίστες ελέγχου πρόσβασης (ACL) και άδειες για τον έλεγχο της πρόσβασης σε στοιχεία στοιχείων.
11.3. Πολιτική κωδικού πρόσβασης
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής έχει μια Πολιτική κωδικών πρόσβασης που περιγράφει τις απαιτήσεις για τη δημιουργία και τη διαχείριση κωδικών πρόσβασης. Χρειαζόμαστε ισχυρούς κωδικούς πρόσβασης με μήκος τουλάχιστον 8 χαρακτήρων, με συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων. Απαιτούμε επίσης περιοδικές αλλαγές κωδικών πρόσβασης και απαγορεύουμε την επαναχρησιμοποίηση προηγούμενων κωδικών πρόσβασης.
11.4. Διαχείριση χρηστών
Έχουμε μια διαδικασία διαχείρισης χρηστών που περιλαμβάνει τη δημιουργία, την τροποποίηση και τη διαγραφή λογαριασμών χρηστών. Οι λογαριασμοί χρηστών δημιουργούνται με βάση την αρχή των ελάχιστων προνομίων και η πρόσβαση παρέχεται μόνο στα στοιχεία που είναι απαραίτητα για την εκτέλεση των εργασιακών λειτουργιών του ατόμου. Επίσης, ελέγχουμε τακτικά λογαριασμούς χρηστών και αφαιρούμε λογαριασμούς που δεν χρειάζονται πλέον.
Μέρος 12. Διαχείριση περιστατικών ασφάλειας πληροφοριών
12.1. Πολιτική διαχείρισης συμβάντων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής διαθέτει Πολιτική Διαχείρισης Συμβάντων που περιγράφει τις απαιτήσεις για τον εντοπισμό, την αναφορά, την αξιολόγηση και την απόκριση σε συμβάντα ασφαλείας. Ως συμβάντα ασφαλείας ορίζουμε κάθε συμβάν που θέτει σε κίνδυνο την εμπιστευτικότητα, την ακεραιότητα ή τη διαθεσιμότητα στοιχείων ή συστημάτων πληροφοριών.
12.2. Ανίχνευση και αναφορά συμβάντων
Εφαρμόζουμε μέτρα για τον εντοπισμό και την έγκαιρη αναφορά περιστατικών ασφαλείας. Χρησιμοποιούμε μια ποικιλία μεθόδων για τον εντοπισμό συμβάντων ασφαλείας, συμπεριλαμβανομένων των συστημάτων ανίχνευσης εισβολής (IDS), του λογισμικού προστασίας από ιούς και της αναφοράς χρηστών. Διασφαλίζουμε επίσης ότι όλοι οι εργαζόμενοι γνωρίζουν τις διαδικασίες για την αναφορά περιστατικών ασφαλείας και ενθαρρύνουμε την αναφορά όλων των ύποπτων συμβάντων.
12.3. Εκτίμηση και Αντιμετώπιση Συμβάντων
Έχουμε μια διαδικασία αξιολόγησης και ανταπόκρισης σε συμβάντα ασφαλείας με βάση τη σοβαρότητα και τον αντίκτυπό τους. Δίνουμε προτεραιότητα στα συμβάντα με βάση τον πιθανό αντίκτυπό τους σε στοιχεία ή συστήματα πληροφοριών και διαθέτουμε κατάλληλους πόρους για να ανταποκριθούμε σε αυτά. Διαθέτουμε επίσης ένα σχέδιο απόκρισης που περιλαμβάνει διαδικασίες για τον εντοπισμό, τον περιορισμό, την ανάλυση, την εξάλειψη και την ανάκτηση από συμβάντα ασφαλείας, καθώς και την ειδοποίηση των σχετικών μερών και τη διεξαγωγή ελέγχων μετά το περιστατικό Οι διαδικασίες μας απόκρισης συμβάντων έχουν σχεδιαστεί για να διασφαλίζουν ταχεία και αποτελεσματική απόκριση σε περιστατικά ασφαλείας. Οι διαδικασίες επανεξετάζονται και ενημερώνονται τακτικά για να διασφαλίζεται η αποτελεσματικότητα και η συνάφειά τους.
12.4. Ομάδα Αντιμετώπισης Συμβάντων
Έχουμε μια Ομάδα Αντιμετώπισης Συμβάντων (IRT) που είναι υπεύθυνη για την ανταπόκριση σε συμβάντα ασφαλείας. Το IRT αποτελείται από εκπροσώπους από διάφορες μονάδες και διευθύνεται από τον Υπεύθυνο Ασφάλειας Πληροφοριών (ISO). Το IRT είναι υπεύθυνο για την αξιολόγηση της σοβαρότητας των περιστατικών, τον περιορισμό του συμβάντος και την έναρξη των κατάλληλων διαδικασιών αντιμετώπισης.
12.5. Αναφορά και επανεξέταση περιστατικών
Έχουμε θεσπίσει διαδικασίες για την αναφορά περιστατικών ασφαλείας σε σχετικά μέρη, συμπεριλαμβανομένων των πελατών, των ρυθμιστικών αρχών και των υπηρεσιών επιβολής του νόμου, όπως απαιτείται από τους ισχύοντες νόμους και κανονισμούς. Διατηρούμε επίσης επικοινωνία με τα επηρεαζόμενα μέρη καθ' όλη τη διάρκεια της διαδικασίας αντιμετώπισης του συμβάντος, παρέχοντας έγκαιρες ενημερώσεις σχετικά με την κατάσταση του συμβάντος και τυχόν ενέργειες που λαμβάνονται για τον μετριασμό των επιπτώσεών του. Πραγματοποιούμε επίσης μια ανασκόπηση όλων των συμβάντων ασφαλείας για να εντοπίσουμε τη βασική αιτία και να αποτρέψουμε παρόμοια συμβάντα στο μέλλον.
Μέρος 13. Διαχείριση επιχειρησιακής συνέχειας και αποκατάσταση από καταστροφές
13.1. Σχεδιασμός Επιχειρησιακής Συνέχειας
Παρόλο που το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής είναι ένας μη κερδοσκοπικός οργανισμός, έχει ένα Σχέδιο Συνέχειας Επιχειρήσεων (BCP) που περιγράφει τις διαδικασίες για τη διασφάλιση της συνέχειας των εργασιών του σε περίπτωση ανατρεπτικού συμβάντος. Το BCP καλύπτει όλες τις κρίσιμες λειτουργικές διαδικασίες και προσδιορίζει τους πόρους που απαιτούνται για τη διατήρηση των λειτουργιών κατά τη διάρκεια και μετά από ένα περιστατικό αναστάτωσης. Περιγράφει επίσης τις διαδικασίες για τη διατήρηση των επιχειρηματικών λειτουργιών κατά τη διάρκεια μιας διακοπής ή καταστροφής, την αξιολόγηση του αντίκτυπου των διακοπών, τον εντοπισμό των πιο κρίσιμων λειτουργικών διαδικασιών στο πλαίσιο ενός συγκεκριμένου περιστατικού διαταραχής και την ανάπτυξη διαδικασιών απόκρισης και ανάκτησης.
13.2. Σχεδιασμός αποκατάστασης καταστροφών
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής έχει ένα Σχέδιο Ανάκτησης Καταστροφών (DRP) που περιγράφει τις διαδικασίες για την ανάκτηση των συστημάτων πληροφοριών μας σε περίπτωση διακοπής ή καταστροφής. Το DRP περιλαμβάνει διαδικασίες για δημιουργία αντιγράφων ασφαλείας δεδομένων, επαναφορά δεδομένων και ανάκτηση συστήματος. Το DRP ελέγχεται και ενημερώνεται τακτικά για να διασφαλίζεται η αποτελεσματικότητά του.
13.3. Ανάλυση επιχειρηματικών επιπτώσεων
Διεξάγουμε μια Ανάλυση Επιχειρηματικών Επιπτώσεων (BIA) για να προσδιορίσουμε τις κρίσιμες διαδικασίες λειτουργίας και τους πόρους που απαιτούνται για τη διατήρησή τους. Η BIA μας βοηθά να δώσουμε προτεραιότητα στις προσπάθειές μας για ανάκαμψη και να διαθέσουμε πόρους ανάλογα.
13.4. Στρατηγική Επιχειρησιακής Συνέχειας
Με βάση τα αποτελέσματα της BIA, αναπτύσσουμε μια Στρατηγική Επιχειρησιακής Συνέχειας που περιγράφει τις διαδικασίες για την αντιμετώπιση ενός περιστατικού που προκαλεί αναστάτωση. Η στρατηγική περιλαμβάνει διαδικασίες για την ενεργοποίηση του BCP, την αποκατάσταση κρίσιμων διαδικασιών λειτουργίας και την επικοινωνία με τα σχετικά ενδιαφερόμενα μέρη.
13.5. Δοκιμές και Συντήρηση
Δοκιμάζουμε και διατηρούμε τακτικά το BCP και το DRP για να διασφαλίσουμε την αποτελεσματικότητα και τη συνάφειά τους. Πραγματοποιούμε τακτικές δοκιμές για την επικύρωση του BCP/DRP και τον εντοπισμό περιοχών προς βελτίωση. Ενημερώνουμε επίσης το BCP και το DRP, όπως απαιτείται, ώστε να αντικατοπτρίζονται οι αλλαγές στις λειτουργίες μας ή στο τοπίο των απειλών. Η δοκιμή περιλαμβάνει επιτραπέζιες ασκήσεις, προσομοιώσεις και ζωντανή δοκιμή διαδικασιών. Επίσης, εξετάζουμε και ενημερώνουμε τα σχέδιά μας με βάση τα αποτελέσματα των δοκιμών και τα διδάγματα που αντλήθηκαν.
13.6. Εναλλακτικές τοποθεσίες επεξεργασίας
Διατηρούμε εναλλακτικούς διαδικτυακούς ιστότοπους επεξεργασίας που μπορούν να χρησιμοποιηθούν για τη συνέχιση των επιχειρηματικών δραστηριοτήτων σε περίπτωση διακοπής ή καταστροφής. Οι εναλλακτικοί χώροι επεξεργασίας είναι εξοπλισμένοι με τις απαραίτητες υποδομές και συστήματα και μπορούν να χρησιμοποιηθούν για την υποστήριξη κρίσιμων επιχειρηματικών διαδικασιών.
Μέρος 14. Συμμόρφωση και Έλεγχος
14.1. Συμμόρφωση με Νόμους και Κανονισμούς
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής δεσμεύεται να συμμορφώνεται με όλους τους ισχύοντες νόμους και κανονισμούς που σχετίζονται με την ασφάλεια των πληροφοριών και το απόρρητο, συμπεριλαμβανομένων των νόμων προστασίας δεδομένων, των βιομηχανικών προτύπων και των συμβατικών υποχρεώσεων. Εξετάζουμε και ενημερώνουμε τακτικά τις πολιτικές, τις διαδικασίες και τους ελέγχους μας για να διασφαλίσουμε τη συμμόρφωση με όλες τις σχετικές απαιτήσεις και πρότυπα. Τα κύρια πρότυπα και πλαίσια που ακολουθούμε στο πλαίσιο της ασφάλειας πληροφοριών περιλαμβάνουν:
- Το πρότυπο ISO/IEC 27001 παρέχει κατευθυντήριες γραμμές για την εφαρμογή και τη διαχείριση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) που περιλαμβάνει τη διαχείριση ευπάθειας ως βασικό στοιχείο. Παρέχει ένα πλαίσιο αναφοράς για την εφαρμογή και τη συντήρηση του συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS), συμπεριλαμβανομένης της διαχείρισης ευπάθειας. Σε συμμόρφωση με αυτές τις πρότυπες διατάξεις, εντοπίζουμε, αξιολογούμε και διαχειριζόμαστε κινδύνους για την ασφάλεια των πληροφοριών, συμπεριλαμβανομένων των τρωτών σημείων.
- Το Πλαίσιο Κυβερνοασφάλειας του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας των ΗΠΑ (NIST) παρέχει κατευθυντήριες γραμμές για τον εντοπισμό, την αξιολόγηση και τη διαχείριση κινδύνων κυβερνοασφάλειας, συμπεριλαμβανομένης της διαχείρισης ευπάθειας.
- Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) Πλαίσιο Ασφάλειας στον κυβερνοχώρο για τη βελτίωση της διαχείρισης κινδύνων στον κυβερνοχώρο, με ένα βασικό σύνολο λειτουργιών, συμπεριλαμβανομένης της διαχείρισης τρωτών σημείων που τηρούμε για τη διαχείριση των κινδύνων μας στον κυβερνοχώρο.
- Το SANS Critical Security Controls περιέχει ένα σύνολο 20 ελέγχων ασφαλείας για τη βελτίωση της ασφάλειας στον κυβερνοχώρο, καλύπτοντας μια σειρά τομέων, συμπεριλαμβανομένης της διαχείρισης ευπάθειας, την παροχή ειδικής καθοδήγησης για τη σάρωση ευπάθειας, τη διαχείριση ενημερώσεων κώδικα και άλλες πτυχές της διαχείρισης ευπάθειας.
- Το Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Καρτών Πληρωμής (PCI DSS), που απαιτεί χειρισμό πληροφοριών πιστωτικών καρτών όσον αφορά τη διαχείριση ευπάθειας σε αυτό το πλαίσιο.
- Το Κέντρο Ελέγχων Ασφάλειας Διαδικτύου (CIS) συμπεριλαμβανομένης της διαχείρισης ευπάθειας ως ενός από τους βασικούς ελέγχους για τη διασφάλιση ασφαλών διαμορφώσεων των συστημάτων πληροφοριών μας.
- Το Open Web Application Security Project (OWASP), με τη λίστα Top 10 των πιο κρίσιμων κινδύνων ασφαλείας εφαρμογών ιστού, συμπεριλαμβανομένης της αξιολόγησης τρωτών σημείων όπως επιθέσεις injection, κατεστραμμένος έλεγχος ταυτότητας και διαχείριση περιόδου σύνδεσης, δέσμες ενεργειών μεταξύ τοποθεσιών (XSS) κ.λπ. το OWASP Top 10 για να δώσουμε προτεραιότητα στις προσπάθειές μας για τη διαχείριση ευπάθειας και να επικεντρωθούμε στους πιο κρίσιμους κινδύνους όσον αφορά τα διαδικτυακά μας συστήματα.
14.2. Εσωτερικός λογιστικός έλεγχος
Διενεργούμε τακτικούς εσωτερικούς ελέγχους για να αξιολογήσουμε την αποτελεσματικότητα του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS) και να διασφαλίσουμε ότι ακολουθούνται οι πολιτικές, οι διαδικασίες και οι έλεγχοι μας. Η διαδικασία εσωτερικού ελέγχου περιλαμβάνει τον εντοπισμό των μη συμμορφώσεων, την ανάπτυξη διορθωτικών ενεργειών και την παρακολούθηση των προσπαθειών αποκατάστασης.
14.3. Εξωτερικός Έλεγχος
Συνεργαζόμαστε περιοδικά με εξωτερικούς ελεγκτές για να επικυρώνουμε τη συμμόρφωσή μας με τους ισχύοντες νόμους, κανονισμούς και βιομηχανικά πρότυπα. Παρέχουμε στους ελεγκτές πρόσβαση στις εγκαταστάσεις, τα συστήματα και την τεκμηρίωσή μας, όπως απαιτείται για την επικύρωση της συμμόρφωσής μας. Συνεργαζόμαστε επίσης με εξωτερικούς ελεγκτές για την αντιμετώπιση τυχόν ευρημάτων ή συστάσεων που εντοπίστηκαν κατά τη διαδικασία ελέγχου.
14.4. Παρακολούθηση Συμμόρφωσης
Παρακολουθούμε τη συμμόρφωσή μας με τους ισχύοντες νόμους, κανονισμούς και πρότυπα του κλάδου σε συνεχή βάση. Χρησιμοποιούμε μια ποικιλία μεθόδων για την παρακολούθηση της συμμόρφωσης, συμπεριλαμβανομένων περιοδικών αξιολογήσεων, ελέγχων και αναθεωρήσεων τρίτων παρόχων. Επίσης, επανεξετάζουμε και ενημερώνουμε τακτικά τις πολιτικές, τις διαδικασίες και τους ελέγχους μας για να διασφαλίσουμε τη συνεχή συμμόρφωση με όλες τις σχετικές απαιτήσεις.
Μέρος 15. Διαχείριση τρίτων
15.1. Πολιτική διαχείρισης τρίτων
Το Ευρωπαϊκό Ινστιτούτο Πιστοποίησης Πληροφορικής έχει μια Πολιτική Διαχείρισης Τρίτων που περιγράφει τις απαιτήσεις για την επιλογή, την αξιολόγηση και την παρακολούθηση τρίτων παρόχων που έχουν πρόσβαση στα στοιχεία ή τα συστήματά μας πληροφοριών. Η πολιτική ισχύει για όλους τους τρίτους παρόχους, συμπεριλαμβανομένων των παρόχων υπηρεσιών cloud, των προμηθευτών και των εργολάβων.
15.2. Επιλογή και Αξιολόγηση Τρίτων
Διεξάγουμε τη δέουσα επιμέλεια πριν από τη συνεννόηση με τρίτους παρόχους για να διασφαλίσουμε ότι διαθέτουν επαρκείς ελέγχους ασφαλείας για την προστασία των στοιχείων ή των συστημάτων μας πληροφοριών. Αξιολογούμε επίσης τη συμμόρφωση των τρίτων παρόχων με τους ισχύοντες νόμους και κανονισμούς που σχετίζονται με την ασφάλεια των πληροφοριών και το απόρρητο.
15.3. Παρακολούθηση από τρίτους
Παρακολουθούμε τους τρίτους παρόχους σε συνεχή βάση για να διασφαλίσουμε ότι συνεχίζουν να πληρούν τις απαιτήσεις μας για την ασφάλεια των πληροφοριών και το απόρρητο. Χρησιμοποιούμε μια ποικιλία μεθόδων για την παρακολούθηση τρίτων παρόχων, συμπεριλαμβανομένων περιοδικών αξιολογήσεων, ελέγχων και αναθεωρήσεων αναφορών συμβάντων ασφαλείας.
15.4. Συμβατικές απαιτήσεις
Περιλαμβάνουμε συμβατικές απαιτήσεις που σχετίζονται με την ασφάλεια των πληροφοριών και το απόρρητο σε όλες τις συμβάσεις με τρίτους παρόχους. Αυτές οι απαιτήσεις περιλαμβάνουν διατάξεις για την προστασία δεδομένων, τους ελέγχους ασφαλείας, τη διαχείριση συμβάντων και την παρακολούθηση της συμμόρφωσης. Περιλαμβάνουμε επίσης διατάξεις για καταγγελία συμβάσεων σε περίπτωση συμβάντος ασφάλειας ή μη συμμόρφωσης.
Μέρος 16. Ασφάλεια Πληροφοριών στις Διαδικασίες Πιστοποίησης
16.1 Ασφάλεια Διαδικασιών Πιστοποίησης
Λαμβάνουμε επαρκή και συστημικά μέτρα για να διασφαλίσουμε την ασφάλεια όλων των πληροφοριών που σχετίζονται με τις διαδικασίες πιστοποίησής μας, συμπεριλαμβανομένων των προσωπικών δεδομένων των ατόμων που αναζητούν πιστοποίηση. Αυτό περιλαμβάνει ελέγχους για την πρόσβαση, την αποθήκευση και τη μετάδοση όλων των πληροφοριών που σχετίζονται με την πιστοποίηση. Με την εφαρμογή αυτών των μέτρων, στοχεύουμε να διασφαλίσουμε ότι οι διαδικασίες πιστοποίησης διεξάγονται με το υψηλότερο επίπεδο ασφάλειας και ακεραιότητας και ότι τα προσωπικά δεδομένα των ατόμων που αναζητούν πιστοποίηση προστατεύονται σε συμμόρφωση με τους σχετικούς κανονισμούς και πρότυπα.
16.2. Έλεγχος ταυτότητας και εξουσιοδότηση
Χρησιμοποιούμε στοιχεία ελέγχου ταυτότητας και εξουσιοδότησης για να διασφαλίσουμε ότι μόνο εξουσιοδοτημένο προσωπικό έχει πρόσβαση στις πληροφορίες πιστοποίησης. Οι έλεγχοι πρόσβασης επανεξετάζονται και ενημερώνονται τακτικά με βάση τις αλλαγές στους ρόλους και τις αρμοδιότητες του προσωπικού.
16.3. Προστασία δεδομένων
Προστατεύουμε τα προσωπικά δεδομένα καθ' όλη τη διάρκεια της διαδικασίας πιστοποίησης εφαρμόζοντας κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων. Αυτό περιλαμβάνει μέτρα όπως κρυπτογράφηση, έλεγχοι πρόσβασης και τακτικά αντίγραφα ασφαλείας.
16.4. Ασφάλεια Εξεταστικών Διαδικασιών
Διασφαλίζουμε την ασφάλεια των διαδικασιών εξέτασης εφαρμόζοντας κατάλληλα μέτρα για την αποφυγή εξαπάτησης, παρακολούθηση και έλεγχο του περιβάλλοντος εξέτασης. Διατηρούμε επίσης την ακεραιότητα και την εμπιστευτικότητα του υλικού εξέτασης μέσω διαδικασιών ασφαλούς αποθήκευσης.
16.5. Ασφάλεια του περιεχομένου της εξέτασης
Διασφαλίζουμε την ασφάλεια του περιεχομένου της εξέτασης εφαρμόζοντας κατάλληλα μέτρα για την προστασία από μη εξουσιοδοτημένη πρόσβαση, τροποποίηση ή αποκάλυψη του περιεχομένου. Αυτό περιλαμβάνει τη χρήση ασφαλούς αποθήκευσης, κρυπτογράφησης και ελέγχου πρόσβασης για το περιεχόμενο της εξέτασης, καθώς και ελέγχους για την αποτροπή μη εξουσιοδοτημένης διανομής ή διάδοσης περιεχομένου εξέτασης.
16.6. Ασφάλεια Παράδοσης Εξετάσεων
Διασφαλίζουμε την ασφάλεια της παράδοσης των εξετάσεων εφαρμόζοντας κατάλληλα μέτρα για την αποτροπή μη εξουσιοδοτημένης πρόσβασης ή χειραγώγησης του περιβάλλοντος εξέτασης. Αυτό περιλαμβάνει μέτρα όπως η παρακολούθηση, ο έλεγχος και ο έλεγχος του περιβάλλοντος εξέτασης και συγκεκριμένες προσεγγίσεις εξέτασης, για την αποτροπή εξαπάτησης ή άλλων παραβιάσεων ασφάλειας.
16.7. Ασφάλεια Αποτελεσμάτων Εξετάσεων
Διασφαλίζουμε την ασφάλεια των αποτελεσμάτων των εξετάσεων εφαρμόζοντας κατάλληλα μέτρα για την προστασία από μη εξουσιοδοτημένη πρόσβαση, τροποποίηση ή αποκάλυψη των αποτελεσμάτων. Αυτό περιλαμβάνει τη χρήση ασφαλούς αποθήκευσης, κρυπτογράφησης και ελέγχου πρόσβασης για τα αποτελέσματα των εξετάσεων, καθώς και ελέγχους για την αποτροπή μη εξουσιοδοτημένης διανομής ή διάδοσης των αποτελεσμάτων των εξετάσεων.
16.8. Ασφάλεια Έκδοσης Πιστοποιητικών
Διασφαλίζουμε την ασφάλεια της έκδοσης πιστοποιητικών εφαρμόζοντας κατάλληλα μέτρα για την αποτροπή απάτης και μη εξουσιοδοτημένης έκδοσης πιστοποιητικών. Αυτό περιλαμβάνει ελέγχους για την επαλήθευση της ταυτότητας ατόμων που λαμβάνουν πιστοποιητικά και ασφαλείς διαδικασίες αποθήκευσης και έκδοσης.
16.9. Καταγγελίες και προσφυγές
Έχουμε θεσπίσει διαδικασίες για τη διαχείριση παραπόνων και προσφυγών που σχετίζονται με τη διαδικασία πιστοποίησης. Αυτές οι διαδικασίες περιλαμβάνουν μέτρα για τη διασφάλιση του απορρήτου και της αμεροληψίας της διαδικασίας, καθώς και την ασφάλεια των πληροφοριών που σχετίζονται με τις καταγγελίες και τις προσφυγές.
16.10. Διαχείριση Ποιότητας Διαδικασιών Πιστοποίησης
Έχουμε δημιουργήσει ένα Σύστημα Διαχείρισης Ποιότητας (ΣΔΠ) για τις διαδικασίες πιστοποίησης που περιλαμβάνει μέτρα για τη διασφάλιση της αποτελεσματικότητας, της αποδοτικότητας και της ασφάλειας των διαδικασιών. Το QMS περιλαμβάνει τακτικούς ελέγχους και αναθεωρήσεις των διαδικασιών και των ελέγχων ασφαλείας τους.
16.11. Συνεχής Βελτίωση Ασφάλειας Διαδικασιών Πιστοποίησης
Δεσμευόμαστε για συνεχή βελτίωση των διαδικασιών πιστοποίησης και των ελέγχων ασφαλείας τους. Αυτό περιλαμβάνει τακτικές αναθεωρήσεις και ενημερώσεις των πολιτικών και διαδικασιών ασφάλειας που σχετίζονται με την πιστοποίηση με βάση τις αλλαγές στο επιχειρηματικό περιβάλλον, τις κανονιστικές απαιτήσεις και τις βέλτιστες πρακτικές στη διαχείριση της ασφάλειας πληροφοριών, σε συμμόρφωση με το πρότυπο ISO 27001 για τη διαχείριση ασφάλειας πληροφοριών, καθώς και με το ISO Πρότυπο λειτουργίας φορέων πιστοποίησης 17024.
Μέρος 17. Διατάξεις κλεισίματος
17.1. Αναθεώρηση και ενημέρωση πολιτικής
Αυτή η Πολιτική Ασφάλειας Πληροφοριών είναι ένα ζωντανό έγγραφο που υπόκειται σε συνεχείς ελέγχους και ενημερώσεις με βάση τις αλλαγές στις λειτουργικές απαιτήσεις, τις κανονιστικές απαιτήσεις ή τις βέλτιστες πρακτικές στη διαχείριση της ασφάλειας πληροφοριών.
17.2. Παρακολούθηση Συμμόρφωσης
Έχουμε θεσπίσει διαδικασίες για την παρακολούθηση της συμμόρφωσης με την παρούσα Πολιτική Ασφάλειας Πληροφοριών και τους σχετικούς ελέγχους ασφαλείας. Η παρακολούθηση της συμμόρφωσης περιλαμβάνει τακτικούς ελέγχους, αξιολογήσεις και αναθεωρήσεις των ελέγχων ασφαλείας και την αποτελεσματικότητά τους για την επίτευξη των στόχων αυτής της πολιτικής.
17.3. Αναφορά περιστατικών ασφαλείας
Έχουμε θεσπίσει διαδικασίες για την αναφορά περιστατικών ασφαλείας που σχετίζονται με τα πληροφοριακά μας συστήματα, συμπεριλαμβανομένων εκείνων που σχετίζονται με προσωπικά δεδομένα ατόμων. Οι εργαζόμενοι, οι εργολάβοι και άλλοι ενδιαφερόμενοι ενθαρρύνονται να αναφέρουν τυχόν περιστατικά ασφαλείας ή ύποπτα περιστατικά στην καθορισμένη ομάδα ασφαλείας το συντομότερο δυνατό.
17.4. Κατάρτιση και Ευαισθητοποίηση
Παρέχουμε τακτικά προγράμματα εκπαίδευσης και ευαισθητοποίησης σε υπαλλήλους, εργολάβους και άλλους ενδιαφερόμενους για να διασφαλίσουμε ότι γνωρίζουν τις ευθύνες και τις υποχρεώσεις τους σχετικά με την ασφάλεια των πληροφοριών. Αυτό περιλαμβάνει εκπαίδευση σχετικά με τις πολιτικές και τις διαδικασίες ασφαλείας, καθώς και μέτρα για την προστασία των προσωπικών δεδομένων των ατόμων.
17.5. Ευθύνη και λογοδοσία
Θεωρούμε υπεύθυνους και υπεύθυνους όλους τους υπαλλήλους, τους εργολάβους και άλλους ενδιαφερόμενους για τη συμμόρφωση με την παρούσα Πολιτική Ασφάλειας Πληροφοριών και τους σχετικούς ελέγχους ασφαλείας. Θεωρούμε επίσης τη διοίκηση υπεύθυνη για τη διασφάλιση της κατανομής των κατάλληλων πόρων για την εφαρμογή και τη διατήρηση αποτελεσματικών ελέγχων ασφάλειας πληροφοριών.
Αυτή η Πολιτική Ασφάλειας Πληροφοριών αποτελεί κρίσιμο στοιχείο του πλαισίου διαχείρισης ασφάλειας πληροφοριών του Ευρωπαϊκού Ινστιτούτου Πιστοποίησης Πληροφορικής και καταδεικνύει τη δέσμευσή μας να προστατεύουμε περιουσιακά στοιχεία πληροφοριών και επεξεργασμένα δεδομένα, διασφαλίζοντας την εμπιστευτικότητα, το απόρρητο, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών και τη συμμόρφωση με κανονιστικές και συμβατικές απαιτήσεις.