سیاست امنیت اطلاعات
سیاست امنیت اطلاعات آکادمی EITCA
این سند خط مشی امنیت اطلاعات (ISP) مؤسسه صدور گواهینامه فناوری اطلاعات اروپا را مشخص می کند، که به طور مرتب بررسی و به روز می شود تا از اثربخشی و مرتبط بودن آن اطمینان حاصل شود. آخرین به روز رسانی خط مشی امنیت اطلاعات EITCI در 7 ژانویه 2023 انجام شد.
بخش 1. مقدمه و بیانیه خط مشی امنیت اطلاعات
1.1. معرفی
موسسه صدور گواهینامه فناوری اطلاعات اروپا اهمیت امنیت اطلاعات را در حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات و اعتماد ذینفعان ما به رسمیت می شناسد. ما متعهد به محافظت از اطلاعات حساس، از جمله اطلاعات شخصی، در برابر دسترسی، افشا، تغییر، و تخریب غیرمجاز هستیم. ما یک خط مشی امنیت اطلاعات موثر را برای حمایت از ماموریت خود در ارائه خدمات صدور گواهینامه قابل اعتماد و بی طرف به مشتریان خود حفظ می کنیم. خط مشی امنیت اطلاعات تعهد ما به حفاظت از دارایی های اطلاعاتی و انجام تعهدات قانونی، نظارتی و قراردادی ما را مشخص می کند. خط مشی ما بر اساس اصول ISO 27001 و ISO 17024، استانداردهای بین المللی پیشرو برای مدیریت امنیت اطلاعات و استانداردهای عملیات سازمان های صدور گواهینامه است.
1.2. بیانیه خط مشی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا متعهد به موارد زیر است:
- حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن دارایی های اطلاعاتی،
- پیروی از تعهدات قانونی، مقرراتی و قراردادی مربوط به امنیت اطلاعات و پردازش داده ها در اجرای فرآیندها و عملیات صدور گواهینامه،
- بهبود مستمر خط مشی امنیت اطلاعات و سیستم مدیریت مرتبط،
- ارائه آموزش و آگاهی کافی به کارکنان، پیمانکاران و شرکت کنندگان،
- مشارکت کلیه کارکنان و پیمانکاران در اجرا و نگهداری خط مشی امنیت اطلاعات و سیستم مدیریت امنیت اطلاعات مربوطه.
1.3 محدوده
این خطمشی برای تمام داراییهای اطلاعاتی که توسط مؤسسه صدور گواهینامه فناوری اطلاعات اروپا در اختیار، کنترل یا پردازش میشوند، اعمال میشود. این شامل تمام دارایی های اطلاعات دیجیتالی و فیزیکی مانند سیستم ها، شبکه ها، نرم افزارها، داده ها و اسناد می شود. این خط مشی همچنین برای همه کارمندان، پیمانکاران و ارائه دهندگان خدمات شخص ثالث که به دارایی های اطلاعاتی ما دسترسی دارند، اعمال می شود.
1.4 انطباق
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا متعهد به رعایت استانداردهای امنیت اطلاعات مربوطه، از جمله ISO 27001 و ISO 17024 است. ما به طور منظم این خط مشی را بررسی و به روز می کنیم تا از ارتباط و انطباق مداوم آن با این استانداردها اطمینان حاصل کنیم.
بخش 2. امنیت سازمانی
2.1. اهداف امنیتی سازمان
با اجرای اقدامات امنیتی سازمانی، هدف ما این است که اطمینان حاصل کنیم که داراییهای اطلاعاتی و شیوهها و رویههای پردازش داده ما با بالاترین سطح امنیت و یکپارچگی انجام میشود و از مقررات و استانداردهای قانونی مربوطه پیروی میکنیم.
2.2. نقش ها و مسئولیت های امنیت اطلاعات
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا نقش ها و مسئولیت ها را برای امنیت اطلاعات در سرتاسر سازمان تعریف می کند و با آنها ارتباط برقرار می کند. این شامل تخصیص مالکیت روشن برای دارایی های اطلاعاتی در چارچوب امنیت اطلاعات، ایجاد یک ساختار حاکمیتی، و تعریف مسئولیت های خاص برای نقش ها و بخش های مختلف در سراسر سازمان است.
2.3. مدیریت ریسک
ما ارزیابیهای ریسک منظم را برای شناسایی و اولویتبندی خطرات امنیت اطلاعات برای سازمان، از جمله خطرات مربوط به پردازش دادههای شخصی، انجام میدهیم. ما کنترل های مناسبی را برای کاهش این خطرات ایجاد می کنیم و به طور منظم رویکرد مدیریت ریسک خود را بر اساس تغییرات در محیط کسب و کار و چشم انداز تهدید بررسی و به روز می کنیم.
2.4. سیاست ها و رویه های امنیت اطلاعات
ما مجموعهای از سیاستها و رویههای امنیت اطلاعات را ایجاد و حفظ میکنیم که بر اساس بهترین شیوههای صنعت و مطابق با مقررات و استانداردهای مربوطه است. این خطمشیها و رویهها همه جنبههای امنیت اطلاعات، از جمله پردازش دادههای شخصی را پوشش میدهند و برای اطمینان از اثربخشی آنها، بهطور منظم بررسی و بهروزرسانی میشوند.
2.5. آگاهی و آموزش امنیتی
ما برنامههای آموزشی و آگاهی امنیتی منظم را برای همه کارمندان، پیمانکاران و شرکای شخص ثالثی که به دادههای شخصی یا سایر اطلاعات حساس دسترسی دارند، ارائه میکنیم. این آموزش موضوعاتی مانند فیشینگ، مهندسی اجتماعی، بهداشت رمز عبور و سایر بهترین شیوه های امنیت اطلاعات را پوشش می دهد.
2.6. امنیت فیزیکی و محیطی
ما کنترلهای امنیتی فیزیکی و محیطی مناسبی را برای محافظت در برابر دسترسی، آسیب یا تداخل غیرمجاز به تأسیسات و سیستمهای اطلاعاتی خود اجرا میکنیم. این شامل اقداماتی مانند کنترل های دسترسی، نظارت، نظارت، و سیستم های خنک کننده و برق پشتیبان می شود.
2.7. مدیریت حوادث امنیت اطلاعات
ما یک فرآیند مدیریت حادثه ایجاد کردهایم که به ما امکان میدهد به هر حادثه امنیتی اطلاعاتی که ممکن است رخ دهد سریع و مؤثر پاسخ دهیم. این شامل رویههایی برای گزارش، تشدید، بررسی، و حل و فصل حوادث، و همچنین اقداماتی برای جلوگیری از تکرار و بهبود قابلیتهای واکنش به حادثه است.
2.8. تداوم عملیات و بازیابی بلایا
ما برنامههای تداوم عملیات و بازیابی فاجعه را ایجاد و آزمایش کردهایم که به ما امکان میدهد عملکردها و خدمات حیاتی عملیات خود را در صورت بروز اختلال یا فاجعه حفظ کنیم. این طرحها شامل رویههایی برای پشتیبانگیری و بازیابی دادهها و سیستمها و اقداماتی برای اطمینان از در دسترس بودن و یکپارچگی دادههای شخصی است.
2.9. مدیریت شخص ثالث
ما کنترلهای مناسبی را برای مدیریت خطرات مرتبط با شرکای شخص ثالث که به دادههای شخصی یا سایر اطلاعات حساس دسترسی دارند، ایجاد و حفظ میکنیم. این شامل اقداماتی مانند بررسی دقیق، تعهدات قراردادی، نظارت و ممیزی و همچنین اقداماتی برای خاتمه مشارکت در صورت لزوم می شود.
بخش 3. امنیت منابع انسانی
3.1. غربالگری اشتغال
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا فرآیندی را برای غربالگری اشتغال ایجاد کرده است تا اطمینان حاصل کند که افرادی که به اطلاعات حساس دسترسی دارند قابل اعتماد هستند و از مهارت ها و صلاحیت های لازم برخوردار هستند.
3.2. کنترل دسترسی
ما سیاستها و رویههای کنترل دسترسی را ایجاد کردهایم تا اطمینان حاصل کنیم که کارکنان فقط به اطلاعات لازم برای مسئولیتهای شغلی خود دسترسی دارند. حقوق دسترسی به طور منظم بررسی و به روز می شود تا اطمینان حاصل شود که کارکنان فقط به اطلاعات مورد نیاز خود دسترسی دارند.
3.3. آگاهی و آموزش امنیت اطلاعات
ما آموزش های آگاهی از امنیت اطلاعات را به همه کارکنان به طور منظم ارائه می دهیم. این آموزش موضوعاتی مانند امنیت رمز عبور، حملات فیشینگ، مهندسی اجتماعی و سایر جنبه های امنیت سایبری را پوشش می دهد.
3.4. استفاده قابل قبول
ما یک خطمشی استفاده قابل قبول ایجاد کردهایم که استفاده قابل قبول از سیستمها و منابع اطلاعاتی، از جمله دستگاههای شخصی مورد استفاده برای مقاصد کاری را مشخص میکند.
3.5. امنیت دستگاه موبایل
ما خطمشیها و رویههایی را برای استفاده ایمن از دستگاههای تلفن همراه، از جمله استفاده از رمز عبور، رمزگذاری، و قابلیتهای پاک کردن از راه دور ایجاد کردهایم.
3.6. مراحل فسخ
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا رویه هایی را برای خاتمه کار یا قرارداد ایجاد کرده است تا اطمینان حاصل شود که دسترسی به اطلاعات حساس به سرعت و ایمن لغو می شود.
3.7. پرسنل شخص ثالث
ما رویه هایی را برای مدیریت پرسنل شخص ثالثی که به اطلاعات حساس دسترسی دارند، ایجاد کرده ایم. این سیاست ها شامل غربالگری، کنترل دسترسی و آموزش آگاهی از امنیت اطلاعات است.
3.8. گزارش حوادث
ما خطمشیها و رویههایی را برای گزارش حوادث یا نگرانیهای امنیت اطلاعات به پرسنل یا مقامات مربوطه ایجاد کردهایم.
3.9. قراردادهای محرمانه
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا از کارمندان و پیمانکاران می خواهد که برای محافظت از اطلاعات حساس در برابر افشای غیرمجاز، قراردادهای محرمانه امضا کنند.
3.10. اقدامات انضباطی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا سیاست ها و رویه هایی را برای اقدامات انضباطی در صورت نقض خط مشی امنیت اطلاعات توسط کارکنان یا پیمانکاران ایجاد کرده است.
بخش 4. ارزیابی و مدیریت ریسک
4.1 ارزیابی ریسک
ما ارزیابیهای دورهای ریسک را برای شناسایی تهدیدها و آسیبپذیریهای احتمالی برای داراییهای اطلاعاتی خود انجام میدهیم. ما از یک رویکرد ساختاریافته برای شناسایی، تجزیه و تحلیل، ارزیابی و اولویت بندی ریسک ها بر اساس احتمال و تأثیر بالقوه آنها استفاده می کنیم. ما خطرات مرتبط با دارایی های اطلاعاتی خود، از جمله سیستم ها، شبکه ها، نرم افزار، داده ها و اسناد را ارزیابی می کنیم.
4.2. درمان خطر
ما از فرآیند درمان ریسک برای کاهش یا کاهش خطرات تا سطح قابل قبولی استفاده می کنیم. فرآیند درمان ریسک شامل انتخاب کنترلهای مناسب، اجرای کنترلها و نظارت بر اثربخشی کنترلها است. ما اجرای کنترل ها را بر اساس سطح ریسک، منابع موجود و اولویت های تجاری اولویت بندی می کنیم.
4.3. نظارت و بررسی ریسک
ما به طور منظم اثربخشی فرآیند مدیریت ریسک خود را نظارت و بررسی می کنیم تا اطمینان حاصل کنیم که مرتبط و موثر باقی می ماند. ما از معیارها و شاخصها برای اندازهگیری عملکرد فرآیند مدیریت ریسک و شناسایی فرصتهای بهبود استفاده میکنیم. ما همچنین فرآیند مدیریت ریسک خود را به عنوان بخشی از بررسی های دوره ای مدیریت خود بررسی می کنیم تا از مناسب بودن، کفایت و اثربخشی مداوم آن اطمینان حاصل کنیم.
4.4. برنامه ریزی واکنش به ریسک
ما یک طرح واکنش به ریسک داریم تا اطمینان حاصل کنیم که می توانیم به هر خطر شناسایی شده به طور موثر پاسخ دهیم. این طرح شامل رویه هایی برای شناسایی و گزارش ریسک و همچنین فرآیندهایی برای ارزیابی تأثیر بالقوه هر ریسک و تعیین اقدامات پاسخ مناسب می باشد. ما همچنین برای اطمینان از تداوم کسبوکار در صورت وقوع یک رویداد ریسک مهم، برنامههای اضطراری داریم.
4.5. تحلیل تاثیر عملیاتی
ما تجزیه و تحلیلهای دورهای تأثیر کسبوکار را انجام میدهیم تا تأثیر بالقوه اختلالات را در عملیات تجاری خود شناسایی کنیم. این تجزیه و تحلیل شامل ارزیابی اهمیت عملکردها، سیستمها و دادههای کسبوکار ما و همچنین ارزیابی تأثیر احتمالی اختلالات بر مشتریان، کارمندان و سایر ذینفعان است.
4.6. مدیریت ریسک شخص ثالث
ما یک برنامه مدیریت ریسک شخص ثالث داریم تا اطمینان حاصل کنیم که فروشندگان ما و سایر ارائه دهندگان خدمات شخص ثالث نیز ریسک ها را به درستی مدیریت می کنند. این برنامه شامل بررسیهای دقت لازم قبل از تعامل با اشخاص ثالث، نظارت مستمر بر فعالیتهای شخص ثالث و ارزیابیهای دورهای از شیوههای مدیریت ریسک شخص ثالث است.
4.7. واکنش و مدیریت حوادث
ما یک برنامه مدیریت و واکنش به حادثه داریم تا اطمینان حاصل کنیم که میتوانیم به هر گونه حادثه امنیتی به طور مؤثر پاسخ دهیم. این طرح شامل رویه هایی برای شناسایی و گزارش حوادث و همچنین فرآیندهایی برای ارزیابی تأثیر هر حادثه و تعیین اقدامات واکنش مناسب است. ما همچنین یک طرح تداوم کسب و کار داریم تا اطمینان حاصل کنیم که عملکردهای مهم کسب و کار می توانند در صورت وقوع یک حادثه مهم ادامه پیدا کنند.
بخش 5. امنیت فیزیکی و محیطی
5.1. محیط امنیت فیزیکی
ما اقدامات امنیتی فیزیکی را برای محافظت از اماکن فیزیکی و اطلاعات حساس از دسترسی غیرمجاز ایجاد کردهایم.
5.2. کنترل دسترسی
ما خطمشیها و رویههای کنترل دسترسی را برای اماکن فیزیکی ایجاد کردهایم تا اطمینان حاصل کنیم که فقط پرسنل مجاز به اطلاعات حساس دسترسی دارند.
5.3. امنیت تجهیزات
ما اطمینان میدهیم که تمام تجهیزات حاوی اطلاعات حساس از نظر فیزیکی ایمن هستند و دسترسی به این تجهیزات فقط به پرسنل مجاز محدود میشود.
5.4. دفع ایمن
ما رویه هایی را برای دفع ایمن اطلاعات حساس، از جمله اسناد کاغذی، رسانه های الکترونیکی و سخت افزار ایجاد کرده ایم.
5.5. محیط فیزیکی
ما اطمینان می دهیم که محیط فیزیکی محل، از جمله دما، رطوبت و روشنایی، برای حفاظت از اطلاعات حساس مناسب است.
5.6. منبع تغذیه
ما اطمینان حاصل می کنیم که منبع تغذیه محل قابل اعتماد است و در برابر قطع یا نوسانات برق محافظت می شود.
5.7. حفاظت در برابر آتش
ما سیاستها و رویههای حفاظت از حریق، از جمله نصب و نگهداری سیستمهای تشخیص و اطفاء حریق را ایجاد کردهایم.
5.8. حفاظت از آسیب آب
ما خطمشیها و رویههایی را برای محافظت از اطلاعات حساس در برابر آسیبهای آب، از جمله نصب و نگهداری سیستمهای تشخیص و پیشگیری از سیل ایجاد کردهایم.
5.9. تعمیر و نگهداری تجهیزات
ما رویههایی را برای نگهداری تجهیزات، از جمله بازرسی تجهیزات برای نشانههای دستکاری یا دسترسی غیرمجاز ایجاد کردهایم.
5.10. استفاده قابل قبول
ما یک خط مشی استفاده قابل قبول ایجاد کرده ایم که استفاده قابل قبول از منابع و امکانات فیزیکی را مشخص می کند.
5.11. دسترسی از راه دور
ما خطمشیها و رویههایی را برای دسترسی از راه دور به اطلاعات حساس، از جمله استفاده از اتصالات امن و رمزگذاری، ایجاد کردهایم.
5.12. نظارت و نظارت
ما سیاستها و رویههایی را برای نظارت و نظارت بر اماکن فیزیکی و تجهیزات برای شناسایی و جلوگیری از دسترسی یا دستکاری غیرمجاز ایجاد کردهایم.
قسمت 6. ارتباطات و امنیت عملیات
6.1. مدیریت امنیت شبکه
ما سیاست ها و رویه هایی را برای مدیریت امنیت شبکه، از جمله استفاده از فایروال ها، سیستم های تشخیص نفوذ و پیشگیری، و ممیزی های امنیتی منظم، ایجاد کرده ایم.
6.2. انتقال اطلاعات
ما خطمشیها و رویههایی را برای انتقال امن اطلاعات حساس، از جمله استفاده از رمزگذاری و پروتکلهای انتقال امن فایل، ایجاد کردهایم.
6.3. ارتباطات شخص ثالث
ما خطمشیها و رویههایی را برای تبادل امن اطلاعات حساس با سازمانهای شخص ثالث، از جمله استفاده از اتصالات امن و رمزگذاری، ایجاد کردهایم.
6.4. مدیریت رسانه
ما رویههایی را برای مدیریت اطلاعات حساس در اشکال مختلف رسانه، از جمله اسناد کاغذی، رسانههای الکترونیکی و دستگاههای ذخیرهسازی قابل حمل ایجاد کردهایم.
6.5. توسعه و نگهداری سیستم های اطلاعاتی
ما خطمشیها و رویههایی را برای توسعه و نگهداری سیستمهای اطلاعاتی، از جمله استفاده از شیوههای کدگذاری امن، بهروزرسانیهای منظم نرمافزار و مدیریت وصله ایجاد کردهایم.
6.6. حفاظت از بدافزار و ویروس
ما خطمشیها و رویههایی را برای محافظت از سیستمهای اطلاعاتی در برابر بدافزارها و ویروسها، از جمله استفاده از نرمافزار ضد ویروس و بهروزرسانیهای امنیتی منظم، ایجاد کردهایم.
6.7. پشتیبان گیری و بازیابی
ما خطمشیها و رویههایی را برای پشتیبانگیری و بازیابی اطلاعات حساس ایجاد کردهایم تا از از دست رفتن یا خراب شدن دادهها جلوگیری کنیم.
6.8. مدیریت رویداد
ما خط مشی ها و رویه هایی را برای شناسایی، تحقیق و حل و فصل حوادث و رویدادهای امنیتی ایجاد کرده ایم.
6.9. مدیریت آسیب پذیری
ما خطمشیها و رویههایی را برای مدیریت آسیبپذیریهای سیستم اطلاعاتی، از جمله استفاده از ارزیابیهای آسیبپذیری منظم و مدیریت وصله ایجاد کردهایم.
6.10. کنترل دسترسی
ما خطمشیها و رویههایی را برای مدیریت دسترسی کاربر به سیستمهای اطلاعاتی، از جمله استفاده از کنترلهای دسترسی، احراز هویت کاربر، و بررسیهای دسترسی منظم ایجاد کردهایم.
6.11. نظارت و ثبت
ما خطمشیها و رویههایی را برای نظارت و ثبت فعالیتهای سیستم اطلاعاتی، از جمله استفاده از مسیرهای حسابرسی و ثبت حوادث امنیتی، ایجاد کردهایم.
بخش 7. کسب، توسعه و نگهداری سیستم های اطلاعاتی
7.1 الزامات
ما خطمشیها و رویههایی را برای شناسایی الزامات سیستم اطلاعاتی، از جمله الزامات تجاری، الزامات قانونی و مقرراتی و الزامات امنیتی ایجاد کردهایم.
7.2. روابط تامین کننده
ما خطمشیها و رویههایی را برای مدیریت روابط با تأمینکنندگان شخص ثالث سیستمها و خدمات اطلاعاتی، از جمله ارزیابی شیوههای امنیتی تأمینکنندگان، ایجاد کردهایم.
7.3. توسعه سیستم
ما خطمشیها و رویههایی را برای توسعه امن سیستمهای اطلاعاتی، از جمله استفاده از شیوههای کدگذاری امن، آزمایشهای منظم و تضمین کیفیت ایجاد کردهایم.
7.4. تست سیستم
ما خطمشیها و رویههایی را برای آزمایش سیستمهای اطلاعاتی، از جمله تست عملکرد، تست عملکرد، و تست امنیتی ایجاد کردهایم.
7.5. پذیرش سیستم
ما خطمشیها و رویههایی را برای پذیرش سیستمهای اطلاعاتی، از جمله تأیید نتایج آزمایش، ارزیابیهای امنیتی، و آزمایش پذیرش کاربر، ایجاد کردهایم.
7.6. تعمیر و نگهداری سیستم
ما خطمشیها و رویههایی را برای نگهداری سیستمهای اطلاعاتی، از جمله بهروزرسانیهای منظم، وصلههای امنیتی، و پشتیبانگیری از سیستم ایجاد کردهایم.
7.7. بازنشستگی سیستم
ما سیاستها و رویههایی را برای بازنشستگی سیستمهای اطلاعاتی، از جمله دفع امن سختافزار و دادهها، ایجاد کردهایم.
7.8. حفظ اطلاعات
ما خطمشیها و رویههایی را برای حفظ دادهها در انطباق با الزامات قانونی و مقرراتی، از جمله ذخیرهسازی و دفع امن دادههای حساس، ایجاد کردهایم.
7.9. الزامات امنیتی برای سیستم های اطلاعاتی
ما سیاستها و رویههایی را برای شناسایی و اجرای الزامات امنیتی برای سیستمهای اطلاعاتی، از جمله کنترلهای دسترسی، رمزگذاری، و حفاظت از دادهها ایجاد کردهایم.
7.10. محیط های توسعه ایمن
ما خطمشیها و رویههایی را برای محیطهای توسعه امن برای سیستمهای اطلاعاتی، از جمله استفاده از شیوههای توسعه امن، کنترلهای دسترسی، و پیکربندیهای شبکه ایمن ایجاد کردهایم.
7.11. حفاظت از محیط های آزمایش
ما خطمشیها و رویههایی را برای حفاظت از محیطهای آزمایشی برای سیستمهای اطلاعاتی، از جمله استفاده از پیکربندیهای ایمن، کنترلهای دسترسی، و آزمایشهای امنیتی منظم ایجاد کردهایم.
7.12. اصول مهندسی سیستم امن
ما خطمشیها و رویههایی را برای پیادهسازی اصول مهندسی سیستم امن برای سیستمهای اطلاعاتی، از جمله استفاده از معماریهای امنیتی، مدلسازی تهدید، و شیوههای کدگذاری امن ایجاد کردهایم.
7.13. دستورالعمل های کدگذاری ایمن
ما خطمشیها و رویههایی را برای اجرای دستورالعملهای کدگذاری ایمن برای سیستمهای اطلاعاتی، از جمله استفاده از استانداردهای کدگذاری، بررسی کد، و آزمایش خودکار ایجاد کردهایم.
بخش 8. دستیابی به سخت افزار
8.1. پایبندی به استانداردها
ما به استاندارد ISO 27001 برای سیستم مدیریت امنیت اطلاعات (ISMS) پایبند هستیم تا اطمینان حاصل کنیم که دارایی های سخت افزاری مطابق با الزامات امنیتی ما خریداری می شوند.
8.2 ارزیابی ریسک
ما ارزیابی ریسک را قبل از تهیه دارایی های سخت افزاری انجام می دهیم تا خطرات امنیتی بالقوه را شناسایی کرده و اطمینان حاصل کنیم که سخت افزار انتخاب شده الزامات امنیتی را برآورده می کند.
8.3. انتخاب فروشندگان
ما داراییهای سختافزاری را فقط از فروشندگان قابل اعتمادی تهیه میکنیم که سابقه ارائه محصولات ایمن دارند. ما سیاستها و شیوههای امنیتی فروشنده را بررسی میکنیم و از آنها میخواهیم که اطمینان حاصل کنند که محصولاتشان الزامات امنیتی ما را برآورده میکنند.
8.4. حمل و نقل امن
ما اطمینان می دهیم که دارایی های سخت افزاری به طور ایمن به محل ما منتقل می شوند تا از دستکاری، آسیب یا سرقت در حین حمل و نقل جلوگیری شود.
8.5. تایید اصالت
ما صحت داراییهای سختافزاری را هنگام تحویل تأیید میکنیم تا مطمئن شویم که تقلبی یا دستکاری نشدهاند.
8.6. کنترل های فیزیکی و محیطی
ما کنترل های فیزیکی و محیطی مناسبی را برای محافظت از دارایی های سخت افزاری در برابر دسترسی غیرمجاز، سرقت یا آسیب اجرا می کنیم.
8.7. نصب سخت افزار
ما اطمینان می دهیم که تمام دارایی های سخت افزاری مطابق با استانداردها و دستورالعمل های امنیتی تعیین شده پیکربندی و نصب شده اند.
8.8. بررسی های سخت افزاری
ما بررسی های دوره ای دارایی های سخت افزاری را انجام می دهیم تا اطمینان حاصل کنیم که آنها همچنان نیازمندی های امنیتی ما را برآورده می کنند و با آخرین وصله های امنیتی و به روز رسانی ها به روز هستند.
8.9. دفع سخت افزار
برای جلوگیری از دسترسی غیرمجاز به اطلاعات حساس، داراییهای سختافزاری را به روشی امن دفع میکنیم.
قسمت 9. حفاظت از بدافزار و ویروس
9.1. سیاست به روز رسانی نرم افزار
ما نرمافزارهای بهروز ضد ویروس و محافظت از بدافزار را در تمام سیستمهای اطلاعاتی مورد استفاده توسط مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، از جمله سرورها، ایستگاههای کاری، لپتاپها و دستگاههای تلفن همراه نگهداری میکنیم. ما اطمینان میدهیم که نرمافزار محافظت از ضد ویروس و بدافزار به گونهای پیکربندی شده است که فایلهای تعریف ویروس و نسخههای نرمافزار خود را بهطور خودکار بهروزرسانی میکند و این فرآیند بهطور مرتب آزمایش میشود.
9.2. اسکن آنتی ویروس و بدافزار
ما اسکنهای منظم همه سیستمهای اطلاعاتی، از جمله سرورها، ایستگاههای کاری، لپتاپها و دستگاههای تلفن همراه را برای شناسایی و حذف هر گونه ویروس یا بدافزار انجام میدهیم.
9.3. خط مشی عدم غیرفعال کردن و عدم تغییر
ما خطمشیهایی را اعمال میکنیم که کاربران را از غیرفعال کردن یا تغییر نرمافزارهای محافظت از ضد ویروس و بدافزار در هر سیستم اطلاعاتی منع میکند.
9.4 نظارت بر
ما هشدارها و گزارش های نرم افزار محافظت از آنتی ویروس و بدافزار خود را برای شناسایی هر گونه رویداد آلودگی ویروس یا بدافزار نظارت می کنیم و به موقع به چنین حوادثی پاسخ می دهیم.
9.5. نگهداری سوابق
ما سوابق پیکربندی، بهروزرسانیها و اسکنهای نرمافزار محافظت از آنتیویروس و بدافزار و همچنین هرگونه رویداد آلودگی ویروس یا بدافزار را برای اهداف حسابرسی نگهداری میکنیم.
9.6. بررسی نرم افزار
ما به طور دوره ای نرم افزار محافظت از آنتی ویروس و بدافزار خود را بررسی می کنیم تا مطمئن شویم که استانداردهای فعلی صنعت را برآورده می کند و برای نیازهای ما کافی است.
9.7. آموزش و آگاهی
ما برنامههای آموزشی و آگاهیبخشی را برای آموزش همه کارمندان در مورد اهمیت حفاظت از ویروسها و بدافزارها و نحوه شناسایی و گزارش هرگونه فعالیت یا رویداد مشکوک ارائه میکنیم.
بخش 10. مدیریت دارایی اطلاعات
10.1. موجودی اطلاعات دارایی
موسسه صدور گواهینامه فناوری اطلاعات اروپا فهرستی از دارایی های اطلاعاتی را نگهداری می کند که شامل تمام دارایی های اطلاعات دیجیتالی و فیزیکی مانند سیستم ها، شبکه ها، نرم افزار، داده ها و اسناد می شود. ما دارایی های اطلاعاتی را بر اساس اهمیت و حساسیت آنها طبقه بندی می کنیم تا اطمینان حاصل کنیم که اقدامات حفاظتی مناسب اجرا می شوند.
10.2. مدیریت دارایی اطلاعات
ما اقدامات مناسبی را برای محافظت از دارایی های اطلاعاتی بر اساس طبقه بندی آنها، از جمله محرمانه بودن، یکپارچگی و در دسترس بودن، اجرا می کنیم. ما اطمینان می دهیم که تمام دارایی های اطلاعاتی مطابق با قوانین، مقررات و الزامات قراردادی قابل اجرا است. همچنین اطمینان حاصل می کنیم که تمام دارایی های اطلاعاتی به درستی ذخیره، محافظت شده و در مواقعی که دیگر مورد نیاز نیست، دفع می شوند.
10.3. مالکیت دارایی اطلاعات
ما مالکیت دارایی های اطلاعاتی را به افراد یا بخش هایی که مسئول مدیریت و حفاظت از دارایی های اطلاعاتی هستند، واگذار می کنیم. همچنین اطمینان حاصل می کنیم که صاحبان دارایی های اطلاعاتی مسئولیت ها و مسئولیت های خود را برای حفاظت از دارایی های اطلاعاتی درک می کنند.
10.4. حفاظت از دارایی اطلاعات
ما از انواع اقدامات حفاظتی برای محافظت از دارایی های اطلاعاتی، از جمله کنترل های فیزیکی، کنترل های دسترسی، رمزگذاری، و فرآیندهای پشتیبان گیری و بازیابی استفاده می کنیم. ما همچنین تضمین می کنیم که تمام دارایی های اطلاعاتی در برابر دسترسی، تغییر یا تخریب غیرمجاز محافظت می شوند.
قسمت 11. کنترل دسترسی
11.1. سیاست کنترل دسترسی
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک خط مشی کنترل دسترسی دارد که الزامات اعطا، اصلاح و لغو دسترسی به دارایی های اطلاعاتی را مشخص می کند. کنترل دسترسی جزء حیاتی سیستم مدیریت امنیت اطلاعات ما است و ما آن را پیاده سازی می کنیم تا اطمینان حاصل کنیم که فقط افراد مجاز به دارایی های اطلاعاتی ما دسترسی دارند.
11.2. پیاده سازی کنترل دسترسی
ما اقدامات کنترل دسترسی را بر اساس اصل حداقل امتیاز اجرا می کنیم، به این معنی که افراد فقط به دارایی های اطلاعاتی لازم برای انجام وظایف شغلی خود دسترسی دارند. ما از انواع اقدامات کنترل دسترسی، از جمله احراز هویت، مجوز، و حسابداری (AAA) استفاده می کنیم. ما همچنین از لیست های کنترل دسترسی (ACL) و مجوزها برای کنترل دسترسی به دارایی های اطلاعاتی استفاده می کنیم.
11.3. خط مشی رمز عبور
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک خط مشی رمز عبور دارد که الزامات ایجاد و مدیریت رمزهای عبور را مشخص می کند. ما به رمزهای عبور قوی نیاز داریم که حداقل 8 کاراکتر داشته باشند و ترکیبی از حروف بزرگ و کوچک، اعداد و نویسههای خاص باشد. ما همچنین به تغییرات دوره ای رمز عبور نیاز داریم و استفاده مجدد از رمزهای عبور قبلی را ممنوع می کنیم.
11.4. مدیریت کاربر
ما یک فرآیند مدیریت کاربر داریم که شامل ایجاد، اصلاح و حذف حسابهای کاربری است. حسابهای کاربری بر اساس اصل حداقل امتیاز ایجاد میشوند و دسترسی فقط به داراییهای اطلاعاتی لازم برای انجام وظایف شغلی افراد اعطا میشود. ما همچنین به طور منظم حساب های کاربری را بررسی می کنیم و حساب هایی را که دیگر مورد نیاز نیستند حذف می کنیم.
بخش 12. مدیریت حوادث امنیت اطلاعات
12.1. سیاست مدیریت حوادث
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا دارای یک خط مشی مدیریت حوادث است که الزامات مربوط به شناسایی، گزارش، ارزیابی و پاسخ به حوادث امنیتی را مشخص می کند. ما حوادث امنیتی را به عنوان هر رویدادی تعریف می کنیم که محرمانه بودن، یکپارچگی یا در دسترس بودن دارایی ها یا سیستم های اطلاعاتی را به خطر می اندازد.
12.2. تشخیص و گزارش حوادث
ما اقداماتی را برای شناسایی و گزارش سریع حوادث امنیتی اجرا می کنیم. ما از روشهای مختلفی برای شناسایی حوادث امنیتی استفاده میکنیم، از جمله سیستمهای تشخیص نفوذ (IDS)، نرمافزار آنتی ویروس و گزارشدهی کاربر. ما همچنین اطمینان می دهیم که همه کارمندان از روش های گزارش حوادث امنیتی آگاه هستند و گزارش همه حوادث مشکوک را تشویق می کنیم.
12.3. ارزیابی و پاسخ به حادثه
ما فرآیندی برای ارزیابی و پاسخ به حوادث امنیتی بر اساس شدت و تأثیر آنها داریم. ما حوادث را بر اساس تأثیر بالقوه آنها بر دارایی ها یا سیستم های اطلاعاتی اولویت بندی می کنیم و منابع مناسب را برای پاسخ به آنها تخصیص می دهیم. ما همچنین یک طرح واکنش داریم که شامل رویههایی برای شناسایی، مهار، تجزیه و تحلیل، ریشهکن کردن، و بازیابی از حوادث امنیتی و همچنین اطلاعرسانی به طرفهای مربوطه و انجام بررسیهای پس از حادثه است. به حوادث امنیتی رویه ها به طور مرتب بررسی و به روز می شوند تا از اثربخشی و مرتبط بودن آنها اطمینان حاصل شود.
12.4. تیم واکنش به حوادث
ما یک تیم واکنش به حوادث (IRT) داریم که مسئول پاسخگویی به حوادث امنیتی است. IRT متشکل از نمایندگان واحدهای مختلف است و توسط افسر امنیت اطلاعات (ISO) رهبری می شود. IRT مسئول ارزیابی شدت حوادث، مهار حادثه و آغاز روشهای واکنش مناسب است.
12.5. گزارش و بررسی حوادث
ما رویههایی را برای گزارش حوادث امنیتی به طرفهای مرتبط، از جمله مشتریان، مقامات نظارتی، و سازمانهای مجری قانون، طبق قوانین و مقررات قابل اجرا ایجاد کردهایم. ما همچنین ارتباط خود را با طرفهای آسیبدیده در طول فرآیند واکنش به حادثه حفظ میکنیم و بهروزرسانیهای به موقع در مورد وضعیت حادثه و هرگونه اقدامی که برای کاهش تأثیر آن انجام میشود، ارائه میکنیم. ما همچنین بررسی همه حوادث امنیتی را برای شناسایی علت اصلی و جلوگیری از وقوع حوادث مشابه در آینده انجام می دهیم.
بخش 13. مدیریت تداوم کسب و کار و بازیابی بلایا
13.1. برنامهریزی تداوم کسبوکار
اگرچه مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک سازمان غیرانتفاعی است، اما دارای یک طرح تداوم کسب و کار (BCP) است که رویه هایی را برای اطمینان از تداوم عملیات خود در صورت بروز یک حادثه مخرب ترسیم می کند. BCP تمام فرآیندهای عملیاتی حیاتی را پوشش می دهد و منابع مورد نیاز برای حفظ عملیات را در طول و بعد از یک حادثه مخرب شناسایی می کند. همچنین رویههای حفظ عملیات تجاری در طول یک اختلال یا فاجعه، ارزیابی تأثیر اختلالات، شناسایی بیشتر فرآیندهای عملیاتی حیاتی در زمینه یک حادثه مخرب خاص، و توسعه روشهای واکنش و بازیابی را تشریح میکند.
13.2. برنامه ریزی بازیابی بلایا
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک طرح بازیابی بلایا (DRP) دارد که مراحل بازیابی سیستم های اطلاعاتی ما را در صورت بروز اختلال یا فاجعه مشخص می کند. DRP شامل رویه هایی برای پشتیبان گیری از داده ها، بازیابی داده ها و بازیابی سیستم است. DRP به طور مرتب آزمایش و به روز می شود تا از اثربخشی آن اطمینان حاصل شود.
13.3. تجزیه و تحلیل تاثیر کسب و کار
ما یک تجزیه و تحلیل تأثیر تجاری (BIA) برای شناسایی فرآیندهای عملیات حیاتی و منابع مورد نیاز برای حفظ آنها انجام می دهیم. BIA به ما کمک می کند تا تلاش های بازیابی خود را اولویت بندی کنیم و منابع را بر اساس آن تخصیص دهیم.
13.4. استراتژی تداوم کسب و کار
بر اساس نتایج BIA، ما یک استراتژی تداوم کسب و کار را توسعه میدهیم که رویههای واکنش به یک حادثه مخرب را تشریح میکند. این استراتژی شامل رویههایی برای فعالسازی BCP، بازیابی فرآیندهای عملیات حیاتی، و ارتباط با ذینفعان مربوطه است.
13.5. تست و نگهداری
ما به طور منظم BCP و DRP خود را آزمایش و نگهداری می کنیم تا از اثربخشی و مرتبط بودن آنها اطمینان حاصل کنیم. ما آزمایشهای منظمی را برای اعتبارسنجی BCP/DRP و شناسایی مناطق برای بهبود انجام میدهیم. ما همچنین BCP و DRP را در صورت لزوم به روز می کنیم تا تغییرات در عملیات یا چشم انداز تهدیدات را منعکس کند. تست شامل تمرینات روی میز، شبیه سازی و تست زنده رویه ها می شود. ما همچنین برنامه های خود را بر اساس نتایج تست ها و درس های آموخته شده بررسی و به روز می کنیم.
13.6. سایت های پردازش جایگزین
ما سایتهای پردازش آنلاین جایگزینی را نگهداری میکنیم که میتوان از آنها برای ادامه عملیات تجاری در صورت بروز اختلال یا فاجعه استفاده کرد. سایت های پردازش جایگزین به زیرساخت ها و سیستم های لازم مجهز هستند و می توانند برای پشتیبانی از فرآیندهای تجاری حیاتی مورد استفاده قرار گیرند.
بخش 14. انطباق و حسابرسی
14.1. رعایت قوانین و مقررات
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا متعهد به رعایت کلیه قوانین و مقررات مربوط به امنیت اطلاعات و حریم خصوصی است، از جمله قوانین حفاظت از داده ها، استانداردهای صنعت و تعهدات قراردادی. ما به طور منظم خطمشیها، رویهها و کنترلهای خود را بررسی و به روز میکنیم تا از انطباق با تمام الزامات و استانداردهای مربوطه اطمینان حاصل کنیم. استانداردها و چارچوب های اصلی که در زمینه امنیت اطلاعات دنبال می کنیم عبارتند از:
- استاندارد ISO/IEC 27001 دستورالعمل هایی را برای پیاده سازی و مدیریت یک سیستم مدیریت امنیت اطلاعات (ISMS) ارائه می دهد که شامل مدیریت آسیب پذیری به عنوان یک جزء کلیدی است. این یک چارچوب مرجع برای پیاده سازی و حفظ سیستم مدیریت امنیت اطلاعات (ISMS) از جمله مدیریت آسیب پذیری ارائه می دهد. مطابق با این مفاد استاندارد، ما خطرات امنیت اطلاعات از جمله آسیب پذیری ها را شناسایی، ارزیابی و مدیریت می کنیم.
- چارچوب امنیت سایبری مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) دستورالعمل هایی را برای شناسایی، ارزیابی و مدیریت خطرات امنیت سایبری، از جمله مدیریت آسیب پذیری ارائه می دهد.
- چارچوب امنیت سایبری مؤسسه ملی استانداردها و فناوری (NIST) برای بهبود مدیریت ریسک امنیت سایبری، با مجموعه ای اصلی از عملکردها از جمله مدیریت آسیب پذیری که برای مدیریت ریسک های امنیت سایبری خود به آن پایبند هستیم.
- کنترلهای امنیتی حیاتی SANS شامل مجموعهای از 20 کنترل امنیتی برای بهبود امنیت سایبری است که طیف وسیعی از حوزهها از جمله مدیریت آسیبپذیری، ارائه راهنماییهای خاص در مورد اسکن آسیبپذیری، مدیریت وصلهها و سایر جنبههای مدیریت آسیبپذیری را پوشش میدهد.
- استاندارد امنیت دادههای صنعت کارت پرداخت (PCI DSS) که نیاز به مدیریت اطلاعات کارت اعتباری در رابطه با مدیریت آسیبپذیری در این زمینه دارد.
- مرکز کنترلهای امنیت اینترنت (CIS) از جمله مدیریت آسیبپذیری به عنوان یکی از کنترلهای کلیدی برای اطمینان از تنظیمات ایمن سیستمهای اطلاعاتی ما.
- پروژه Open Web Application Security Project (OWASP)، با لیست 10 برتر از مهم ترین خطرات امنیتی برنامه های وب، از جمله ارزیابی آسیب پذیری ها مانند حملات تزریق، احراز هویت شکسته و مدیریت جلسه، اسکریپت بین سایتی (XSS) و غیره. 10 OWASP برتر برای اولویت بندی تلاش های مدیریت آسیب پذیری و تمرکز بر بحرانی ترین خطرات در مورد سیستم های وب ما.
14.2. حسابرسی داخلی
ما به طور منظم ممیزی داخلی انجام می دهیم تا اثربخشی سیستم مدیریت امنیت اطلاعات (ISMS) خود را ارزیابی کنیم و اطمینان حاصل کنیم که از سیاست ها، رویه ها و کنترل های ما پیروی می شود. فرآیند حسابرسی داخلی شامل شناسایی موارد عدم انطباق، توسعه اقدامات اصلاحی، و پیگیری تلاشهای اصلاحی است.
14.3. حسابرسی خارجی
ما به طور دوره ای با حسابرسان خارجی در ارتباط هستیم تا انطباق خود با قوانین، مقررات و استانداردهای صنعت قابل اجرا را تأیید کنیم. ما به حسابرسان دسترسی به امکانات، سیستمها و اسناد خود را در صورت نیاز برای تأیید انطباق خود فراهم میکنیم. ما همچنین با حسابرسان خارجی کار می کنیم تا به یافته ها یا توصیه های شناسایی شده در طول فرآیند حسابرسی رسیدگی کنیم.
14.4. نظارت بر انطباق
ما انطباق خود را با قوانین، مقررات و استانداردهای صنعت قابل اجرا به صورت مستمر نظارت می کنیم. ما از روشهای مختلفی برای نظارت بر انطباق استفاده میکنیم، از جمله ارزیابیهای دورهای، ممیزیها و بررسیهای ارائهدهندگان شخص ثالث. ما همچنین به طور منظم خطمشیها، رویهها و کنترلهای خود را بررسی و به روز میکنیم تا از انطباق مداوم با تمام الزامات مربوطه اطمینان حاصل کنیم.
قسمت 15. مدیریت شخص ثالث
15.1. سیاست مدیریت شخص ثالث
مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک خط مشی مدیریت شخص ثالث دارد که الزامات انتخاب، ارزیابی و نظارت بر ارائه دهندگان شخص ثالثی را که به دارایی ها یا سیستم های اطلاعاتی ما دسترسی دارند، مشخص می کند. این خطمشی برای همه ارائهدهندگان شخص ثالث، از جمله ارائهدهندگان خدمات ابری، فروشندگان، و پیمانکاران اعمال میشود.
15.2. انتخاب و ارزیابی شخص ثالث
ما قبل از تعامل با ارائه دهندگان شخص ثالث، دقت لازم را انجام می دهیم تا اطمینان حاصل کنیم که آنها کنترل های امنیتی کافی برای محافظت از دارایی های اطلاعاتی یا سیستم های ما دارند. ما همچنین مطابقت ارائه دهندگان شخص ثالث با قوانین و مقررات مربوط به امنیت اطلاعات و حریم خصوصی را ارزیابی می کنیم.
15.3. نظارت شخص ثالث
ما ارائهدهندگان شخص ثالث را بهطور مستمر نظارت میکنیم تا اطمینان حاصل کنیم که آنها همچنان به الزامات ما برای امنیت اطلاعات و حریم خصوصی پاسخ میدهند. ما از روشهای مختلفی برای نظارت بر ارائهدهندگان شخص ثالث، از جمله ارزیابیهای دورهای، ممیزی و بررسی گزارشهای حوادث امنیتی استفاده میکنیم.
15.4. الزامات قراردادی
ما الزامات قراردادی مربوط به امنیت اطلاعات و حریم خصوصی را در همه قراردادها با ارائه دهندگان شخص ثالث لحاظ می کنیم. این الزامات شامل مقررات حفاظت از داده ها، کنترل های امنیتی، مدیریت حوادث و نظارت بر انطباق است. ما همچنین مقرراتی را برای فسخ قراردادها در صورت بروز یک حادثه امنیتی یا عدم رعایت آنها لحاظ می کنیم.
بخش 16. امنیت اطلاعات در فرآیندهای صدور گواهینامه
16.1 امنیت فرآیندهای صدور گواهینامه
ما اقدامات کافی و سیستمی را برای اطمینان از امنیت تمام اطلاعات مربوط به فرآیندهای صدور گواهینامه خود، از جمله اطلاعات شخصی افرادی که به دنبال صدور گواهینامه هستند، انجام می دهیم. این شامل کنترلهایی برای دسترسی، ذخیرهسازی و انتقال تمام اطلاعات مربوط به گواهینامه است. با اجرای این اقدامات، هدف ما این است که اطمینان حاصل کنیم که فرآیندهای صدور گواهینامه با بالاترین سطح امنیت و یکپارچگی انجام می شود و اطلاعات شخصی افرادی که به دنبال صدور گواهینامه هستند مطابق با مقررات و استانداردهای مربوطه محافظت می شود.
16.2. احراز هویت و مجوز
ما از کنترلهای احراز هویت و مجوز استفاده میکنیم تا اطمینان حاصل کنیم که فقط پرسنل مجاز به اطلاعات گواهی دسترسی دارند. کنترل های دسترسی به طور مرتب بر اساس تغییرات در نقش ها و مسئولیت های پرسنل بررسی و به روز می شوند.
16.3 حفاظت اطلاعات
ما از داده های شخصی در طول فرآیند صدور گواهینامه با اجرای اقدامات فنی و سازمانی مناسب برای اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن داده ها محافظت می کنیم. این شامل اقداماتی مانند رمزگذاری، کنترل های دسترسی، و پشتیبان گیری منظم است.
16.4. امنیت فرآیندهای امتحانی
ما با اجرای اقدامات مناسب برای جلوگیری از تقلب، نظارت و کنترل محیط امتحان، امنیت فرآیندهای امتحانی را تضمین می کنیم. ما همچنین یکپارچگی و محرمانه بودن مواد معاینه را از طریق روش های ذخیره سازی ایمن حفظ می کنیم.
16.5. امنیت محتوای آزمون
ما امنیت محتوای امتحان را با اجرای اقدامات مناسب برای محافظت در برابر دسترسی، تغییر یا افشای غیرمجاز محتوا تضمین می کنیم. این شامل استفاده از ذخیرهسازی امن، رمزگذاری، و کنترلهای دسترسی برای محتوای امتحان، و همچنین کنترلهایی برای جلوگیری از توزیع یا انتشار غیرمجاز محتوای امتحان میشود.
16.6. امنیت تحویل آزمون
ما امنیت ارائه معاینه را با اجرای اقدامات مناسب برای جلوگیری از دسترسی غیرمجاز یا دستکاری در محیط امتحان تضمین می کنیم. این شامل اقداماتی مانند نظارت، ممیزی و کنترل محیط معاینه و رویکردهای خاص معاینه برای جلوگیری از تقلب یا سایر موارد نقض امنیتی است.
16.7. امنیت نتایج آزمون
ما با اجرای اقدامات مناسب برای محافظت در برابر دسترسی غیرمجاز، تغییر یا افشای نتایج، امنیت نتایج بررسی را تضمین می کنیم. این شامل استفاده از ذخیرهسازی امن، رمزگذاری، و کنترلهای دسترسی برای نتایج معاینه و همچنین کنترلهایی برای جلوگیری از توزیع یا انتشار غیرمجاز نتایج معاینه میشود.
16.8. امنیت صدور گواهینامه ها
ما امنیت صدور گواهی ها را با اجرای اقدامات مناسب برای جلوگیری از تقلب و صدور غیرمجاز گواهی تضمین می کنیم. این شامل کنترل هایی برای تأیید هویت افراد دریافت کننده گواهینامه و ذخیره سازی ایمن و روش های صدور است.
16.9. شکایات و تجدید نظر
ما رویه هایی را برای مدیریت شکایات و درخواست های مربوط به فرآیند صدور گواهینامه ایجاد کرده ایم. این رویه ها شامل اقداماتی برای اطمینان از محرمانه بودن و بی طرفی فرآیند و امنیت اطلاعات مربوط به شکایات و تجدید نظرها می باشد.
16.10. مدیریت کیفیت فرآیندهای صدور گواهینامه
ما یک سیستم مدیریت کیفیت (QMS) را برای فرآیندهای صدور گواهینامه ایجاد کرده ایم که شامل اقداماتی برای اطمینان از اثربخشی، کارایی و امنیت فرآیندها است. QMS شامل ممیزی و بازبینی منظم فرآیندها و کنترل های امنیتی آنها می باشد.
16.11. بهبود مستمر امنیت فرآیندهای صدور گواهینامه
ما متعهد به بهبود مستمر فرآیندهای صدور گواهینامه و کنترل های امنیتی آنها هستیم. این شامل بررسیها و بهروزرسانیهای منظم سیاستها و رویههای مربوط به صدور گواهینامه بر اساس تغییرات در محیط کسبوکار، الزامات قانونی، و بهترین شیوهها در مدیریت امنیت اطلاعات، مطابق با استاندارد ISO 27001 برای مدیریت امنیت اطلاعات، و همچنین با ISO است. 17024 نهادهای صدور گواهینامه استاندارد عامل.
قسمت 17. مقررات پایانی
17.1. بررسی و به روز رسانی سیاست
این خطمشی امنیت اطلاعات یک سند زنده است که بر اساس تغییرات در الزامات عملیاتی، الزامات نظارتی یا بهترین شیوهها در مدیریت امنیت اطلاعات، تحت بررسیها و بهروزرسانیهای مداوم قرار میگیرد.
17.2. نظارت بر انطباق
ما رویه هایی را برای نظارت بر انطباق با این خط مشی امنیت اطلاعات و کنترل های امنیتی مرتبط ایجاد کرده ایم. نظارت بر انطباق شامل ممیزیها، ارزیابیها و بررسیهای منظم کنترلهای امنیتی و اثربخشی آنها در دستیابی به اهداف این سیاست است.
17.3. گزارش حوادث امنیتی
ما رویه هایی را برای گزارش حوادث امنیتی مربوط به سیستم های اطلاعاتی خود، از جمله موارد مربوط به داده های شخصی افراد، ایجاد کرده ایم. کارمندان، پیمانکاران و سایر ذینفعان تشویق می شوند که هر گونه حادثه امنیتی یا حوادث مشکوک را در اسرع وقت به تیم امنیتی تعیین شده گزارش دهند.
17.4. آموزش و آگاهی
ما برنامه های آموزشی و آگاه سازی منظمی را برای کارکنان، پیمانکاران و سایر ذینفعان ارائه می دهیم تا اطمینان حاصل کنیم که آنها از مسئولیت ها و تعهدات خود در رابطه با امنیت اطلاعات آگاه هستند. این شامل آموزش در مورد سیاست ها و رویه های امنیتی و اقداماتی برای محافظت از داده های شخصی افراد است.
17.5. مسئولیت پذیری و مسئولیت پذیری
ما همه کارمندان، پیمانکاران و سایر ذینفعان را در قبال رعایت این خطمشی امنیت اطلاعات و کنترلهای امنیتی مرتبط مسئول و پاسخگو میدانیم. ما همچنین مدیریت را برای اطمینان از تخصیص منابع مناسب برای پیادهسازی و حفظ کنترلهای مؤثر امنیت اطلاعات مسئول میدانیم.
این خط مشی امنیت اطلاعات یک جزء حیاتی از چارچوب مدیریت امنیت اطلاعات مؤسسه صدور گواهینامه فناوری اطلاعات اروپا است و تعهد ما به حفاظت از دارایی های اطلاعاتی و داده های پردازش شده، اطمینان از محرمانه بودن، حفظ حریم خصوصی، یکپارچگی و در دسترس بودن اطلاعات و رعایت الزامات قانونی و قراردادی را نشان می دهد.