سیاست امنیت اطلاعات

سیاست امنیت اطلاعات آکادمی EITCA

این سند خط مشی امنیت اطلاعات (ISP) مؤسسه صدور گواهینامه فناوری اطلاعات اروپا را مشخص می کند، که به طور مرتب بررسی و به روز می شود تا از اثربخشی و مرتبط بودن آن اطمینان حاصل شود. آخرین به روز رسانی خط مشی امنیت اطلاعات EITCI در 7 ژانویه 2023 انجام شد.

بخش 1. مقدمه و بیانیه خط مشی امنیت اطلاعات

1.1. معرفی

موسسه صدور گواهینامه فناوری اطلاعات اروپا اهمیت امنیت اطلاعات را در حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات و اعتماد ذینفعان ما به رسمیت می شناسد. ما متعهد به محافظت از اطلاعات حساس، از جمله اطلاعات شخصی، در برابر دسترسی، افشا، تغییر، و تخریب غیرمجاز هستیم. ما یک خط مشی امنیت اطلاعات موثر را برای حمایت از ماموریت خود در ارائه خدمات صدور گواهینامه قابل اعتماد و بی طرف به مشتریان خود حفظ می کنیم. خط مشی امنیت اطلاعات تعهد ما به حفاظت از دارایی های اطلاعاتی و انجام تعهدات قانونی، نظارتی و قراردادی ما را مشخص می کند. خط مشی ما بر اساس اصول ISO 27001 و ISO 17024، استانداردهای بین المللی پیشرو برای مدیریت امنیت اطلاعات و استانداردهای عملیات سازمان های صدور گواهینامه است.

1.2. بیانیه خط مشی

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا متعهد به موارد زیر است:

  • حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن دارایی های اطلاعاتی،
  • پیروی از تعهدات قانونی، مقرراتی و قراردادی مربوط به امنیت اطلاعات و پردازش داده ها در اجرای فرآیندها و عملیات صدور گواهینامه،
  • بهبود مستمر خط مشی امنیت اطلاعات و سیستم مدیریت مرتبط،
  • ارائه آموزش و آگاهی کافی به کارکنان، پیمانکاران و شرکت کنندگان،
  • مشارکت کلیه کارکنان و پیمانکاران در اجرا و نگهداری خط مشی امنیت اطلاعات و سیستم مدیریت امنیت اطلاعات مربوطه.

1.3 محدوده

این خط‌مشی برای تمام دارایی‌های اطلاعاتی که توسط مؤسسه صدور گواهینامه فناوری اطلاعات اروپا در اختیار، کنترل یا پردازش می‌شوند، اعمال می‌شود. این شامل تمام دارایی های اطلاعات دیجیتالی و فیزیکی مانند سیستم ها، شبکه ها، نرم افزارها، داده ها و اسناد می شود. این خط مشی همچنین برای همه کارمندان، پیمانکاران و ارائه دهندگان خدمات شخص ثالث که به دارایی های اطلاعاتی ما دسترسی دارند، اعمال می شود.

1.4 انطباق

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا متعهد به رعایت استانداردهای امنیت اطلاعات مربوطه، از جمله ISO 27001 و ISO 17024 است. ما به طور منظم این خط مشی را بررسی و به روز می کنیم تا از ارتباط و انطباق مداوم آن با این استانداردها اطمینان حاصل کنیم.

بخش 2. امنیت سازمانی

2.1. اهداف امنیتی سازمان

با اجرای اقدامات امنیتی سازمانی، هدف ما این است که اطمینان حاصل کنیم که دارایی‌های اطلاعاتی و شیوه‌ها و رویه‌های پردازش داده ما با بالاترین سطح امنیت و یکپارچگی انجام می‌شود و از مقررات و استانداردهای قانونی مربوطه پیروی می‌کنیم.

2.2. نقش ها و مسئولیت های امنیت اطلاعات

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا نقش ها و مسئولیت ها را برای امنیت اطلاعات در سرتاسر سازمان تعریف می کند و با آنها ارتباط برقرار می کند. این شامل تخصیص مالکیت روشن برای دارایی های اطلاعاتی در چارچوب امنیت اطلاعات، ایجاد یک ساختار حاکمیتی، و تعریف مسئولیت های خاص برای نقش ها و بخش های مختلف در سراسر سازمان است.

2.3. مدیریت ریسک

ما ارزیابی‌های ریسک منظم را برای شناسایی و اولویت‌بندی خطرات امنیت اطلاعات برای سازمان، از جمله خطرات مربوط به پردازش داده‌های شخصی، انجام می‌دهیم. ما کنترل های مناسبی را برای کاهش این خطرات ایجاد می کنیم و به طور منظم رویکرد مدیریت ریسک خود را بر اساس تغییرات در محیط کسب و کار و چشم انداز تهدید بررسی و به روز می کنیم.

2.4. سیاست ها و رویه های امنیت اطلاعات

ما مجموعه‌ای از سیاست‌ها و رویه‌های امنیت اطلاعات را ایجاد و حفظ می‌کنیم که بر اساس بهترین شیوه‌های صنعت و مطابق با مقررات و استانداردهای مربوطه است. این خط‌مشی‌ها و رویه‌ها همه جنبه‌های امنیت اطلاعات، از جمله پردازش داده‌های شخصی را پوشش می‌دهند و برای اطمینان از اثربخشی آن‌ها، به‌طور منظم بررسی و به‌روزرسانی می‌شوند.

2.5. آگاهی و آموزش امنیتی

ما برنامه‌های آموزشی و آگاهی امنیتی منظم را برای همه کارمندان، پیمانکاران و شرکای شخص ثالثی که به داده‌های شخصی یا سایر اطلاعات حساس دسترسی دارند، ارائه می‌کنیم. این آموزش موضوعاتی مانند فیشینگ، مهندسی اجتماعی، بهداشت رمز عبور و سایر بهترین شیوه های امنیت اطلاعات را پوشش می دهد.

2.6. امنیت فیزیکی و محیطی

ما کنترل‌های امنیتی فیزیکی و محیطی مناسبی را برای محافظت در برابر دسترسی، آسیب یا تداخل غیرمجاز به تأسیسات و سیستم‌های اطلاعاتی خود اجرا می‌کنیم. این شامل اقداماتی مانند کنترل های دسترسی، نظارت، نظارت، و سیستم های خنک کننده و برق پشتیبان می شود.

2.7. مدیریت حوادث امنیت اطلاعات

ما یک فرآیند مدیریت حادثه ایجاد کرده‌ایم که به ما امکان می‌دهد به هر حادثه امنیتی اطلاعاتی که ممکن است رخ دهد سریع و مؤثر پاسخ دهیم. این شامل رویه‌هایی برای گزارش، تشدید، بررسی، و حل و فصل حوادث، و همچنین اقداماتی برای جلوگیری از تکرار و بهبود قابلیت‌های واکنش به حادثه است.

2.8. تداوم عملیات و بازیابی بلایا

ما برنامه‌های تداوم عملیات و بازیابی فاجعه را ایجاد و آزمایش کرده‌ایم که به ما امکان می‌دهد عملکردها و خدمات حیاتی عملیات خود را در صورت بروز اختلال یا فاجعه حفظ کنیم. این طرح‌ها شامل رویه‌هایی برای پشتیبان‌گیری و بازیابی داده‌ها و سیستم‌ها و اقداماتی برای اطمینان از در دسترس بودن و یکپارچگی داده‌های شخصی است.

2.9. مدیریت شخص ثالث

ما کنترل‌های مناسبی را برای مدیریت خطرات مرتبط با شرکای شخص ثالث که به داده‌های شخصی یا سایر اطلاعات حساس دسترسی دارند، ایجاد و حفظ می‌کنیم. این شامل اقداماتی مانند بررسی دقیق، تعهدات قراردادی، نظارت و ممیزی و همچنین اقداماتی برای خاتمه مشارکت در صورت لزوم می شود.

بخش 3. امنیت منابع انسانی

3.1. غربالگری اشتغال

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا فرآیندی را برای غربالگری اشتغال ایجاد کرده است تا اطمینان حاصل کند که افرادی که به اطلاعات حساس دسترسی دارند قابل اعتماد هستند و از مهارت ها و صلاحیت های لازم برخوردار هستند.

3.2. کنترل دسترسی

ما سیاست‌ها و رویه‌های کنترل دسترسی را ایجاد کرده‌ایم تا اطمینان حاصل کنیم که کارکنان فقط به اطلاعات لازم برای مسئولیت‌های شغلی خود دسترسی دارند. حقوق دسترسی به طور منظم بررسی و به روز می شود تا اطمینان حاصل شود که کارکنان فقط به اطلاعات مورد نیاز خود دسترسی دارند.

3.3. آگاهی و آموزش امنیت اطلاعات

ما آموزش های آگاهی از امنیت اطلاعات را به همه کارکنان به طور منظم ارائه می دهیم. این آموزش موضوعاتی مانند امنیت رمز عبور، حملات فیشینگ، مهندسی اجتماعی و سایر جنبه های امنیت سایبری را پوشش می دهد.

3.4. استفاده قابل قبول

ما یک خط‌مشی استفاده قابل قبول ایجاد کرده‌ایم که استفاده قابل قبول از سیستم‌ها و منابع اطلاعاتی، از جمله دستگاه‌های شخصی مورد استفاده برای مقاصد کاری را مشخص می‌کند.

3.5. امنیت دستگاه موبایل

ما خط‌مشی‌ها و رویه‌هایی را برای استفاده ایمن از دستگاه‌های تلفن همراه، از جمله استفاده از رمز عبور، رمزگذاری، و قابلیت‌های پاک کردن از راه دور ایجاد کرده‌ایم.

3.6. مراحل فسخ

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا رویه هایی را برای خاتمه کار یا قرارداد ایجاد کرده است تا اطمینان حاصل شود که دسترسی به اطلاعات حساس به سرعت و ایمن لغو می شود.

3.7. پرسنل شخص ثالث

ما رویه هایی را برای مدیریت پرسنل شخص ثالثی که به اطلاعات حساس دسترسی دارند، ایجاد کرده ایم. این سیاست ها شامل غربالگری، کنترل دسترسی و آموزش آگاهی از امنیت اطلاعات است.

3.8. گزارش حوادث

ما خط‌مشی‌ها و رویه‌هایی را برای گزارش حوادث یا نگرانی‌های امنیت اطلاعات به پرسنل یا مقامات مربوطه ایجاد کرده‌ایم.

3.9. قراردادهای محرمانه

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا از کارمندان و پیمانکاران می خواهد که برای محافظت از اطلاعات حساس در برابر افشای غیرمجاز، قراردادهای محرمانه امضا کنند.

3.10. اقدامات انضباطی

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا سیاست ها و رویه هایی را برای اقدامات انضباطی در صورت نقض خط مشی امنیت اطلاعات توسط کارکنان یا پیمانکاران ایجاد کرده است.

بخش 4. ارزیابی و مدیریت ریسک

4.1 ارزیابی ریسک

ما ارزیابی‌های دوره‌ای ریسک را برای شناسایی تهدیدها و آسیب‌پذیری‌های احتمالی برای دارایی‌های اطلاعاتی خود انجام می‌دهیم. ما از یک رویکرد ساختاریافته برای شناسایی، تجزیه و تحلیل، ارزیابی و اولویت بندی ریسک ها بر اساس احتمال و تأثیر بالقوه آنها استفاده می کنیم. ما خطرات مرتبط با دارایی های اطلاعاتی خود، از جمله سیستم ها، شبکه ها، نرم افزار، داده ها و اسناد را ارزیابی می کنیم.

4.2. درمان خطر

ما از فرآیند درمان ریسک برای کاهش یا کاهش خطرات تا سطح قابل قبولی استفاده می کنیم. فرآیند درمان ریسک شامل انتخاب کنترل‌های مناسب، اجرای کنترل‌ها و نظارت بر اثربخشی کنترل‌ها است. ما اجرای کنترل ها را بر اساس سطح ریسک، منابع موجود و اولویت های تجاری اولویت بندی می کنیم.

4.3. نظارت و بررسی ریسک

ما به طور منظم اثربخشی فرآیند مدیریت ریسک خود را نظارت و بررسی می کنیم تا اطمینان حاصل کنیم که مرتبط و موثر باقی می ماند. ما از معیارها و شاخص‌ها برای اندازه‌گیری عملکرد فرآیند مدیریت ریسک و شناسایی فرصت‌های بهبود استفاده می‌کنیم. ما همچنین فرآیند مدیریت ریسک خود را به عنوان بخشی از بررسی های دوره ای مدیریت خود بررسی می کنیم تا از مناسب بودن، کفایت و اثربخشی مداوم آن اطمینان حاصل کنیم.

4.4. برنامه ریزی واکنش به ریسک

ما یک طرح واکنش به ریسک داریم تا اطمینان حاصل کنیم که می توانیم به هر خطر شناسایی شده به طور موثر پاسخ دهیم. این طرح شامل رویه هایی برای شناسایی و گزارش ریسک و همچنین فرآیندهایی برای ارزیابی تأثیر بالقوه هر ریسک و تعیین اقدامات پاسخ مناسب می باشد. ما همچنین برای اطمینان از تداوم کسب‌وکار در صورت وقوع یک رویداد ریسک مهم، برنامه‌های اضطراری داریم.

4.5. تحلیل تاثیر عملیاتی

ما تجزیه و تحلیل‌های دوره‌ای تأثیر کسب‌وکار را انجام می‌دهیم تا تأثیر بالقوه اختلالات را در عملیات تجاری خود شناسایی کنیم. این تجزیه و تحلیل شامل ارزیابی اهمیت عملکردها، سیستم‌ها و داده‌های کسب‌وکار ما و همچنین ارزیابی تأثیر احتمالی اختلالات بر مشتریان، کارمندان و سایر ذینفعان است.

4.6. مدیریت ریسک شخص ثالث

ما یک برنامه مدیریت ریسک شخص ثالث داریم تا اطمینان حاصل کنیم که فروشندگان ما و سایر ارائه دهندگان خدمات شخص ثالث نیز ریسک ها را به درستی مدیریت می کنند. این برنامه شامل بررسی‌های دقت لازم قبل از تعامل با اشخاص ثالث، نظارت مستمر بر فعالیت‌های شخص ثالث و ارزیابی‌های دوره‌ای از شیوه‌های مدیریت ریسک شخص ثالث است.

4.7. واکنش و مدیریت حوادث

ما یک برنامه مدیریت و واکنش به حادثه داریم تا اطمینان حاصل کنیم که می‌توانیم به هر گونه حادثه امنیتی به طور مؤثر پاسخ دهیم. این طرح شامل رویه هایی برای شناسایی و گزارش حوادث و همچنین فرآیندهایی برای ارزیابی تأثیر هر حادثه و تعیین اقدامات واکنش مناسب است. ما همچنین یک طرح تداوم کسب و کار داریم تا اطمینان حاصل کنیم که عملکردهای مهم کسب و کار می توانند در صورت وقوع یک حادثه مهم ادامه پیدا کنند.

بخش 5. امنیت فیزیکی و محیطی

5.1. محیط امنیت فیزیکی

ما اقدامات امنیتی فیزیکی را برای محافظت از اماکن فیزیکی و اطلاعات حساس از دسترسی غیرمجاز ایجاد کرده‌ایم.

5.2. کنترل دسترسی

ما خط‌مشی‌ها و رویه‌های کنترل دسترسی را برای اماکن فیزیکی ایجاد کرده‌ایم تا اطمینان حاصل کنیم که فقط پرسنل مجاز به اطلاعات حساس دسترسی دارند.

5.3. امنیت تجهیزات

ما اطمینان می‌دهیم که تمام تجهیزات حاوی اطلاعات حساس از نظر فیزیکی ایمن هستند و دسترسی به این تجهیزات فقط به پرسنل مجاز محدود می‌شود.

5.4. دفع ایمن

ما رویه هایی را برای دفع ایمن اطلاعات حساس، از جمله اسناد کاغذی، رسانه های الکترونیکی و سخت افزار ایجاد کرده ایم.

5.5. محیط فیزیکی

ما اطمینان می دهیم که محیط فیزیکی محل، از جمله دما، رطوبت و روشنایی، برای حفاظت از اطلاعات حساس مناسب است.

5.6. منبع تغذیه

ما اطمینان حاصل می کنیم که منبع تغذیه محل قابل اعتماد است و در برابر قطع یا نوسانات برق محافظت می شود.

5.7. حفاظت در برابر آتش

ما سیاست‌ها و رویه‌های حفاظت از حریق، از جمله نصب و نگهداری سیستم‌های تشخیص و اطفاء حریق را ایجاد کرده‌ایم.

5.8. حفاظت از آسیب آب

ما خط‌مشی‌ها و رویه‌هایی را برای محافظت از اطلاعات حساس در برابر آسیب‌های آب، از جمله نصب و نگهداری سیستم‌های تشخیص و پیشگیری از سیل ایجاد کرده‌ایم.

5.9. تعمیر و نگهداری تجهیزات

ما رویه‌هایی را برای نگهداری تجهیزات، از جمله بازرسی تجهیزات برای نشانه‌های دستکاری یا دسترسی غیرمجاز ایجاد کرده‌ایم.

5.10. استفاده قابل قبول

ما یک خط مشی استفاده قابل قبول ایجاد کرده ایم که استفاده قابل قبول از منابع و امکانات فیزیکی را مشخص می کند.

5.11. دسترسی از راه دور

ما خط‌مشی‌ها و رویه‌هایی را برای دسترسی از راه دور به اطلاعات حساس، از جمله استفاده از اتصالات امن و رمزگذاری، ایجاد کرده‌ایم.

5.12. نظارت و نظارت

ما سیاست‌ها و رویه‌هایی را برای نظارت و نظارت بر اماکن فیزیکی و تجهیزات برای شناسایی و جلوگیری از دسترسی یا دستکاری غیرمجاز ایجاد کرده‌ایم.

قسمت 6. ارتباطات و امنیت عملیات

6.1. مدیریت امنیت شبکه

ما سیاست ها و رویه هایی را برای مدیریت امنیت شبکه، از جمله استفاده از فایروال ها، سیستم های تشخیص نفوذ و پیشگیری، و ممیزی های امنیتی منظم، ایجاد کرده ایم.

6.2. انتقال اطلاعات

ما خط‌مشی‌ها و رویه‌هایی را برای انتقال امن اطلاعات حساس، از جمله استفاده از رمزگذاری و پروتکل‌های انتقال امن فایل، ایجاد کرده‌ایم.

6.3. ارتباطات شخص ثالث

ما خط‌مشی‌ها و رویه‌هایی را برای تبادل امن اطلاعات حساس با سازمان‌های شخص ثالث، از جمله استفاده از اتصالات امن و رمزگذاری، ایجاد کرده‌ایم.

6.4. مدیریت رسانه

ما رویه‌هایی را برای مدیریت اطلاعات حساس در اشکال مختلف رسانه، از جمله اسناد کاغذی، رسانه‌های الکترونیکی و دستگاه‌های ذخیره‌سازی قابل حمل ایجاد کرده‌ایم.

6.5. توسعه و نگهداری سیستم های اطلاعاتی

ما خط‌مشی‌ها و رویه‌هایی را برای توسعه و نگهداری سیستم‌های اطلاعاتی، از جمله استفاده از شیوه‌های کدگذاری امن، به‌روزرسانی‌های منظم نرم‌افزار و مدیریت وصله ایجاد کرده‌ایم.

6.6. حفاظت از بدافزار و ویروس

ما خط‌مشی‌ها و رویه‌هایی را برای محافظت از سیستم‌های اطلاعاتی در برابر بدافزارها و ویروس‌ها، از جمله استفاده از نرم‌افزار ضد ویروس و به‌روزرسانی‌های امنیتی منظم، ایجاد کرده‌ایم.

6.7. پشتیبان گیری و بازیابی

ما خط‌مشی‌ها و رویه‌هایی را برای پشتیبان‌گیری و بازیابی اطلاعات حساس ایجاد کرده‌ایم تا از از دست رفتن یا خراب شدن داده‌ها جلوگیری کنیم.

6.8. مدیریت رویداد

ما خط مشی ها و رویه هایی را برای شناسایی، تحقیق و حل و فصل حوادث و رویدادهای امنیتی ایجاد کرده ایم.

6.9. مدیریت آسیب پذیری

ما خط‌مشی‌ها و رویه‌هایی را برای مدیریت آسیب‌پذیری‌های سیستم اطلاعاتی، از جمله استفاده از ارزیابی‌های آسیب‌پذیری منظم و مدیریت وصله ایجاد کرده‌ایم.

6.10. کنترل دسترسی

ما خط‌مشی‌ها و رویه‌هایی را برای مدیریت دسترسی کاربر به سیستم‌های اطلاعاتی، از جمله استفاده از کنترل‌های دسترسی، احراز هویت کاربر، و بررسی‌های دسترسی منظم ایجاد کرده‌ایم.

6.11. نظارت و ثبت

ما خط‌مشی‌ها و رویه‌هایی را برای نظارت و ثبت فعالیت‌های سیستم اطلاعاتی، از جمله استفاده از مسیرهای حسابرسی و ثبت حوادث امنیتی، ایجاد کرده‌ایم.

بخش 7. کسب، توسعه و نگهداری سیستم های اطلاعاتی

7.1 الزامات

ما خط‌مشی‌ها و رویه‌هایی را برای شناسایی الزامات سیستم اطلاعاتی، از جمله الزامات تجاری، الزامات قانونی و مقرراتی و الزامات امنیتی ایجاد کرده‌ایم.

7.2. روابط تامین کننده

ما خط‌مشی‌ها و رویه‌هایی را برای مدیریت روابط با تأمین‌کنندگان شخص ثالث سیستم‌ها و خدمات اطلاعاتی، از جمله ارزیابی شیوه‌های امنیتی تأمین‌کنندگان، ایجاد کرده‌ایم.

7.3. توسعه سیستم

ما خط‌مشی‌ها و رویه‌هایی را برای توسعه امن سیستم‌های اطلاعاتی، از جمله استفاده از شیوه‌های کدگذاری امن، آزمایش‌های منظم و تضمین کیفیت ایجاد کرده‌ایم.

7.4. تست سیستم

ما خط‌مشی‌ها و رویه‌هایی را برای آزمایش سیستم‌های اطلاعاتی، از جمله تست عملکرد، تست عملکرد، و تست امنیتی ایجاد کرده‌ایم.

7.5. پذیرش سیستم

ما خط‌مشی‌ها و رویه‌هایی را برای پذیرش سیستم‌های اطلاعاتی، از جمله تأیید نتایج آزمایش، ارزیابی‌های امنیتی، و آزمایش پذیرش کاربر، ایجاد کرده‌ایم.

7.6. تعمیر و نگهداری سیستم

ما خط‌مشی‌ها و رویه‌هایی را برای نگهداری سیستم‌های اطلاعاتی، از جمله به‌روزرسانی‌های منظم، وصله‌های امنیتی، و پشتیبان‌گیری از سیستم ایجاد کرده‌ایم.

7.7. بازنشستگی سیستم

ما سیاست‌ها و رویه‌هایی را برای بازنشستگی سیستم‌های اطلاعاتی، از جمله دفع امن سخت‌افزار و داده‌ها، ایجاد کرده‌ایم.

7.8. حفظ اطلاعات

ما خط‌مشی‌ها و رویه‌هایی را برای حفظ داده‌ها در انطباق با الزامات قانونی و مقرراتی، از جمله ذخیره‌سازی و دفع امن داده‌های حساس، ایجاد کرده‌ایم.

7.9. الزامات امنیتی برای سیستم های اطلاعاتی

ما سیاست‌ها و رویه‌هایی را برای شناسایی و اجرای الزامات امنیتی برای سیستم‌های اطلاعاتی، از جمله کنترل‌های دسترسی، رمزگذاری، و حفاظت از داده‌ها ایجاد کرده‌ایم.

7.10. محیط های توسعه ایمن

ما خط‌مشی‌ها و رویه‌هایی را برای محیط‌های توسعه امن برای سیستم‌های اطلاعاتی، از جمله استفاده از شیوه‌های توسعه امن، کنترل‌های دسترسی، و پیکربندی‌های شبکه ایمن ایجاد کرده‌ایم.

7.11. حفاظت از محیط های آزمایش

ما خط‌مشی‌ها و رویه‌هایی را برای حفاظت از محیط‌های آزمایشی برای سیستم‌های اطلاعاتی، از جمله استفاده از پیکربندی‌های ایمن، کنترل‌های دسترسی، و آزمایش‌های امنیتی منظم ایجاد کرده‌ایم.

7.12. اصول مهندسی سیستم امن

ما خط‌مشی‌ها و رویه‌هایی را برای پیاده‌سازی اصول مهندسی سیستم امن برای سیستم‌های اطلاعاتی، از جمله استفاده از معماری‌های امنیتی، مدل‌سازی تهدید، و شیوه‌های کدگذاری امن ایجاد کرده‌ایم.

7.13. دستورالعمل های کدگذاری ایمن

ما خط‌مشی‌ها و رویه‌هایی را برای اجرای دستورالعمل‌های کدگذاری ایمن برای سیستم‌های اطلاعاتی، از جمله استفاده از استانداردهای کدگذاری، بررسی کد، و آزمایش خودکار ایجاد کرده‌ایم.

بخش 8. دستیابی به سخت افزار

8.1. پایبندی به استانداردها

ما به استاندارد ISO 27001 برای سیستم مدیریت امنیت اطلاعات (ISMS) پایبند هستیم تا اطمینان حاصل کنیم که دارایی های سخت افزاری مطابق با الزامات امنیتی ما خریداری می شوند.

8.2 ارزیابی ریسک

ما ارزیابی ریسک را قبل از تهیه دارایی های سخت افزاری انجام می دهیم تا خطرات امنیتی بالقوه را شناسایی کرده و اطمینان حاصل کنیم که سخت افزار انتخاب شده الزامات امنیتی را برآورده می کند.

8.3. انتخاب فروشندگان

ما دارایی‌های سخت‌افزاری را فقط از فروشندگان قابل اعتمادی تهیه می‌کنیم که سابقه ارائه محصولات ایمن دارند. ما سیاست‌ها و شیوه‌های امنیتی فروشنده را بررسی می‌کنیم و از آنها می‌خواهیم که اطمینان حاصل کنند که محصولاتشان الزامات امنیتی ما را برآورده می‌کنند.

8.4. حمل و نقل امن

ما اطمینان می دهیم که دارایی های سخت افزاری به طور ایمن به محل ما منتقل می شوند تا از دستکاری، آسیب یا سرقت در حین حمل و نقل جلوگیری شود.

8.5. تایید اصالت

ما صحت دارایی‌های سخت‌افزاری را هنگام تحویل تأیید می‌کنیم تا مطمئن شویم که تقلبی یا دستکاری نشده‌اند.

8.6. کنترل های فیزیکی و محیطی

ما کنترل های فیزیکی و محیطی مناسبی را برای محافظت از دارایی های سخت افزاری در برابر دسترسی غیرمجاز، سرقت یا آسیب اجرا می کنیم.

8.7. نصب سخت افزار

ما اطمینان می دهیم که تمام دارایی های سخت افزاری مطابق با استانداردها و دستورالعمل های امنیتی تعیین شده پیکربندی و نصب شده اند.

8.8. بررسی های سخت افزاری

ما بررسی های دوره ای دارایی های سخت افزاری را انجام می دهیم تا اطمینان حاصل کنیم که آنها همچنان نیازمندی های امنیتی ما را برآورده می کنند و با آخرین وصله های امنیتی و به روز رسانی ها به روز هستند.

8.9. دفع سخت افزار

برای جلوگیری از دسترسی غیرمجاز به اطلاعات حساس، دارایی‌های سخت‌افزاری را به روشی امن دفع می‌کنیم.

قسمت 9. حفاظت از بدافزار و ویروس

9.1. سیاست به روز رسانی نرم افزار

ما نرم‌افزارهای به‌روز ضد ویروس و محافظت از بدافزار را در تمام سیستم‌های اطلاعاتی مورد استفاده توسط مؤسسه صدور گواهینامه فناوری اطلاعات اروپا، از جمله سرورها، ایستگاه‌های کاری، لپ‌تاپ‌ها و دستگاه‌های تلفن همراه نگهداری می‌کنیم. ما اطمینان می‌دهیم که نرم‌افزار محافظت از ضد ویروس و بدافزار به گونه‌ای پیکربندی شده است که فایل‌های تعریف ویروس و نسخه‌های نرم‌افزار خود را به‌طور خودکار به‌روزرسانی می‌کند و این فرآیند به‌طور مرتب آزمایش می‌شود.

9.2. اسکن آنتی ویروس و بدافزار

ما اسکن‌های منظم همه سیستم‌های اطلاعاتی، از جمله سرورها، ایستگاه‌های کاری، لپ‌تاپ‌ها و دستگاه‌های تلفن همراه را برای شناسایی و حذف هر گونه ویروس یا بدافزار انجام می‌دهیم.

9.3. خط مشی عدم غیرفعال کردن و عدم تغییر

ما خط‌مشی‌هایی را اعمال می‌کنیم که کاربران را از غیرفعال کردن یا تغییر نرم‌افزارهای محافظت از ضد ویروس و بدافزار در هر سیستم اطلاعاتی منع می‌کند.

9.4 نظارت بر

ما هشدارها و گزارش های نرم افزار محافظت از آنتی ویروس و بدافزار خود را برای شناسایی هر گونه رویداد آلودگی ویروس یا بدافزار نظارت می کنیم و به موقع به چنین حوادثی پاسخ می دهیم.

9.5. نگهداری سوابق

ما سوابق پیکربندی، به‌روزرسانی‌ها و اسکن‌های نرم‌افزار محافظت از آنتی‌ویروس و بدافزار و همچنین هرگونه رویداد آلودگی ویروس یا بدافزار را برای اهداف حسابرسی نگهداری می‌کنیم.

9.6. بررسی نرم افزار

ما به طور دوره ای نرم افزار محافظت از آنتی ویروس و بدافزار خود را بررسی می کنیم تا مطمئن شویم که استانداردهای فعلی صنعت را برآورده می کند و برای نیازهای ما کافی است.

9.7. آموزش و آگاهی

ما برنامه‌های آموزشی و آگاهی‌بخشی را برای آموزش همه کارمندان در مورد اهمیت حفاظت از ویروس‌ها و بدافزارها و نحوه شناسایی و گزارش هرگونه فعالیت یا رویداد مشکوک ارائه می‌کنیم.

بخش 10. مدیریت دارایی اطلاعات

10.1. موجودی اطلاعات دارایی

موسسه صدور گواهینامه فناوری اطلاعات اروپا فهرستی از دارایی های اطلاعاتی را نگهداری می کند که شامل تمام دارایی های اطلاعات دیجیتالی و فیزیکی مانند سیستم ها، شبکه ها، نرم افزار، داده ها و اسناد می شود. ما دارایی های اطلاعاتی را بر اساس اهمیت و حساسیت آنها طبقه بندی می کنیم تا اطمینان حاصل کنیم که اقدامات حفاظتی مناسب اجرا می شوند.

10.2. مدیریت دارایی اطلاعات

ما اقدامات مناسبی را برای محافظت از دارایی های اطلاعاتی بر اساس طبقه بندی آنها، از جمله محرمانه بودن، یکپارچگی و در دسترس بودن، اجرا می کنیم. ما اطمینان می دهیم که تمام دارایی های اطلاعاتی مطابق با قوانین، مقررات و الزامات قراردادی قابل اجرا است. همچنین اطمینان حاصل می کنیم که تمام دارایی های اطلاعاتی به درستی ذخیره، محافظت شده و در مواقعی که دیگر مورد نیاز نیست، دفع می شوند.

10.3. مالکیت دارایی اطلاعات

ما مالکیت دارایی های اطلاعاتی را به افراد یا بخش هایی که مسئول مدیریت و حفاظت از دارایی های اطلاعاتی هستند، واگذار می کنیم. همچنین اطمینان حاصل می کنیم که صاحبان دارایی های اطلاعاتی مسئولیت ها و مسئولیت های خود را برای حفاظت از دارایی های اطلاعاتی درک می کنند.

10.4. حفاظت از دارایی اطلاعات

ما از انواع اقدامات حفاظتی برای محافظت از دارایی های اطلاعاتی، از جمله کنترل های فیزیکی، کنترل های دسترسی، رمزگذاری، و فرآیندهای پشتیبان گیری و بازیابی استفاده می کنیم. ما همچنین تضمین می کنیم که تمام دارایی های اطلاعاتی در برابر دسترسی، تغییر یا تخریب غیرمجاز محافظت می شوند.

قسمت 11. کنترل دسترسی

11.1. سیاست کنترل دسترسی

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک خط مشی کنترل دسترسی دارد که الزامات اعطا، اصلاح و لغو دسترسی به دارایی های اطلاعاتی را مشخص می کند. کنترل دسترسی جزء حیاتی سیستم مدیریت امنیت اطلاعات ما است و ما آن را پیاده سازی می کنیم تا اطمینان حاصل کنیم که فقط افراد مجاز به دارایی های اطلاعاتی ما دسترسی دارند.

11.2. پیاده سازی کنترل دسترسی

ما اقدامات کنترل دسترسی را بر اساس اصل حداقل امتیاز اجرا می کنیم، به این معنی که افراد فقط به دارایی های اطلاعاتی لازم برای انجام وظایف شغلی خود دسترسی دارند. ما از انواع اقدامات کنترل دسترسی، از جمله احراز هویت، مجوز، و حسابداری (AAA) استفاده می کنیم. ما همچنین از لیست های کنترل دسترسی (ACL) و مجوزها برای کنترل دسترسی به دارایی های اطلاعاتی استفاده می کنیم.

11.3. خط مشی رمز عبور

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک خط مشی رمز عبور دارد که الزامات ایجاد و مدیریت رمزهای عبور را مشخص می کند. ما به رمزهای عبور قوی نیاز داریم که حداقل 8 کاراکتر داشته باشند و ترکیبی از حروف بزرگ و کوچک، اعداد و نویسه‌های خاص باشد. ما همچنین به تغییرات دوره ای رمز عبور نیاز داریم و استفاده مجدد از رمزهای عبور قبلی را ممنوع می کنیم.

11.4. مدیریت کاربر

ما یک فرآیند مدیریت کاربر داریم که شامل ایجاد، اصلاح و حذف حساب‌های کاربری است. حساب‌های کاربری بر اساس اصل حداقل امتیاز ایجاد می‌شوند و دسترسی فقط به دارایی‌های اطلاعاتی لازم برای انجام وظایف شغلی افراد اعطا می‌شود. ما همچنین به طور منظم حساب های کاربری را بررسی می کنیم و حساب هایی را که دیگر مورد نیاز نیستند حذف می کنیم.

بخش 12. مدیریت حوادث امنیت اطلاعات

12.1. سیاست مدیریت حوادث

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا دارای یک خط مشی مدیریت حوادث است که الزامات مربوط به شناسایی، گزارش، ارزیابی و پاسخ به حوادث امنیتی را مشخص می کند. ما حوادث امنیتی را به عنوان هر رویدادی تعریف می کنیم که محرمانه بودن، یکپارچگی یا در دسترس بودن دارایی ها یا سیستم های اطلاعاتی را به خطر می اندازد.

12.2. تشخیص و گزارش حوادث

ما اقداماتی را برای شناسایی و گزارش سریع حوادث امنیتی اجرا می کنیم. ما از روش‌های مختلفی برای شناسایی حوادث امنیتی استفاده می‌کنیم، از جمله سیستم‌های تشخیص نفوذ (IDS)، نرم‌افزار آنتی ویروس و گزارش‌دهی کاربر. ما همچنین اطمینان می دهیم که همه کارمندان از روش های گزارش حوادث امنیتی آگاه هستند و گزارش همه حوادث مشکوک را تشویق می کنیم.

12.3. ارزیابی و پاسخ به حادثه

ما فرآیندی برای ارزیابی و پاسخ به حوادث امنیتی بر اساس شدت و تأثیر آنها داریم. ما حوادث را بر اساس تأثیر بالقوه آنها بر دارایی ها یا سیستم های اطلاعاتی اولویت بندی می کنیم و منابع مناسب را برای پاسخ به آنها تخصیص می دهیم. ما همچنین یک طرح واکنش داریم که شامل رویه‌هایی برای شناسایی، مهار، تجزیه و تحلیل، ریشه‌کن کردن، و بازیابی از حوادث امنیتی و همچنین اطلاع‌رسانی به طرف‌های مربوطه و انجام بررسی‌های پس از حادثه است. به حوادث امنیتی رویه ها به طور مرتب بررسی و به روز می شوند تا از اثربخشی و مرتبط بودن آنها اطمینان حاصل شود.

12.4. تیم واکنش به حوادث

ما یک تیم واکنش به حوادث (IRT) داریم که مسئول پاسخگویی به حوادث امنیتی است. IRT متشکل از نمایندگان واحدهای مختلف است و توسط افسر امنیت اطلاعات (ISO) رهبری می شود. IRT مسئول ارزیابی شدت حوادث، مهار حادثه و آغاز روش‌های واکنش مناسب است.

12.5. گزارش و بررسی حوادث

ما رویه‌هایی را برای گزارش حوادث امنیتی به طرف‌های مرتبط، از جمله مشتریان، مقامات نظارتی، و سازمان‌های مجری قانون، طبق قوانین و مقررات قابل اجرا ایجاد کرده‌ایم. ما همچنین ارتباط خود را با طرف‌های آسیب‌دیده در طول فرآیند واکنش به حادثه حفظ می‌کنیم و به‌روزرسانی‌های به موقع در مورد وضعیت حادثه و هرگونه اقدامی که برای کاهش تأثیر آن انجام می‌شود، ارائه می‌کنیم. ما همچنین بررسی همه حوادث امنیتی را برای شناسایی علت اصلی و جلوگیری از وقوع حوادث مشابه در آینده انجام می دهیم.

بخش 13. مدیریت تداوم کسب و کار و بازیابی بلایا

13.1. برنامهریزی تداوم کسبوکار

اگرچه مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک سازمان غیرانتفاعی است، اما دارای یک طرح تداوم کسب و کار (BCP) است که رویه هایی را برای اطمینان از تداوم عملیات خود در صورت بروز یک حادثه مخرب ترسیم می کند. BCP تمام فرآیندهای عملیاتی حیاتی را پوشش می دهد و منابع مورد نیاز برای حفظ عملیات را در طول و بعد از یک حادثه مخرب شناسایی می کند. همچنین رویه‌های حفظ عملیات تجاری در طول یک اختلال یا فاجعه، ارزیابی تأثیر اختلالات، شناسایی بیشتر فرآیندهای عملیاتی حیاتی در زمینه یک حادثه مخرب خاص، و توسعه روش‌های واکنش و بازیابی را تشریح می‌کند.

13.2. برنامه ریزی بازیابی بلایا

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک طرح بازیابی بلایا (DRP) دارد که مراحل بازیابی سیستم های اطلاعاتی ما را در صورت بروز اختلال یا فاجعه مشخص می کند. DRP شامل رویه هایی برای پشتیبان گیری از داده ها، بازیابی داده ها و بازیابی سیستم است. DRP به طور مرتب آزمایش و به روز می شود تا از اثربخشی آن اطمینان حاصل شود.

13.3. تجزیه و تحلیل تاثیر کسب و کار

ما یک تجزیه و تحلیل تأثیر تجاری (BIA) برای شناسایی فرآیندهای عملیات حیاتی و منابع مورد نیاز برای حفظ آنها انجام می دهیم. BIA به ما کمک می کند تا تلاش های بازیابی خود را اولویت بندی کنیم و منابع را بر اساس آن تخصیص دهیم.

13.4. استراتژی تداوم کسب و کار

بر اساس نتایج BIA، ما یک استراتژی تداوم کسب و کار را توسعه می‌دهیم که رویه‌های واکنش به یک حادثه مخرب را تشریح می‌کند. این استراتژی شامل رویه‌هایی برای فعال‌سازی BCP، بازیابی فرآیندهای عملیات حیاتی، و ارتباط با ذینفعان مربوطه است.

13.5. تست و نگهداری

ما به طور منظم BCP و DRP خود را آزمایش و نگهداری می کنیم تا از اثربخشی و مرتبط بودن آنها اطمینان حاصل کنیم. ما آزمایش‌های منظمی را برای اعتبارسنجی BCP/DRP و شناسایی مناطق برای بهبود انجام می‌دهیم. ما همچنین BCP و DRP را در صورت لزوم به روز می کنیم تا تغییرات در عملیات یا چشم انداز تهدیدات را منعکس کند. تست شامل تمرینات روی میز، شبیه سازی و تست زنده رویه ها می شود. ما همچنین برنامه های خود را بر اساس نتایج تست ها و درس های آموخته شده بررسی و به روز می کنیم.

13.6. سایت های پردازش جایگزین

ما سایت‌های پردازش آنلاین جایگزینی را نگهداری می‌کنیم که می‌توان از آنها برای ادامه عملیات تجاری در صورت بروز اختلال یا فاجعه استفاده کرد. سایت های پردازش جایگزین به زیرساخت ها و سیستم های لازم مجهز هستند و می توانند برای پشتیبانی از فرآیندهای تجاری حیاتی مورد استفاده قرار گیرند.

بخش 14. انطباق و حسابرسی

14.1. رعایت قوانین و مقررات

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا متعهد به رعایت کلیه قوانین و مقررات مربوط به امنیت اطلاعات و حریم خصوصی است، از جمله قوانین حفاظت از داده ها، استانداردهای صنعت و تعهدات قراردادی. ما به طور منظم خط‌مشی‌ها، رویه‌ها و کنترل‌های خود را بررسی و به روز می‌کنیم تا از انطباق با تمام الزامات و استانداردهای مربوطه اطمینان حاصل کنیم. استانداردها و چارچوب های اصلی که در زمینه امنیت اطلاعات دنبال می کنیم عبارتند از:

  1. استاندارد ISO/IEC 27001 دستورالعمل هایی را برای پیاده سازی و مدیریت یک سیستم مدیریت امنیت اطلاعات (ISMS) ارائه می دهد که شامل مدیریت آسیب پذیری به عنوان یک جزء کلیدی است. این یک چارچوب مرجع برای پیاده سازی و حفظ سیستم مدیریت امنیت اطلاعات (ISMS) از جمله مدیریت آسیب پذیری ارائه می دهد. مطابق با این مفاد استاندارد، ما خطرات امنیت اطلاعات از جمله آسیب پذیری ها را شناسایی، ارزیابی و مدیریت می کنیم.
  2. چارچوب امنیت سایبری مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) دستورالعمل هایی را برای شناسایی، ارزیابی و مدیریت خطرات امنیت سایبری، از جمله مدیریت آسیب پذیری ارائه می دهد.
  3. چارچوب امنیت سایبری مؤسسه ملی استانداردها و فناوری (NIST) برای بهبود مدیریت ریسک امنیت سایبری، با مجموعه ای اصلی از عملکردها از جمله مدیریت آسیب پذیری که برای مدیریت ریسک های امنیت سایبری خود به آن پایبند هستیم.
  4. کنترل‌های امنیتی حیاتی SANS شامل مجموعه‌ای از 20 کنترل امنیتی برای بهبود امنیت سایبری است که طیف وسیعی از حوزه‌ها از جمله مدیریت آسیب‌پذیری، ارائه راهنمایی‌های خاص در مورد اسکن آسیب‌پذیری، مدیریت وصله‌ها و سایر جنبه‌های مدیریت آسیب‌پذیری را پوشش می‌دهد.
  5. استاندارد امنیت داده‌های صنعت کارت پرداخت (PCI DSS) که نیاز به مدیریت اطلاعات کارت اعتباری در رابطه با مدیریت آسیب‌پذیری در این زمینه دارد.
  6. مرکز کنترل‌های امنیت اینترنت (CIS) از جمله مدیریت آسیب‌پذیری به عنوان یکی از کنترل‌های کلیدی برای اطمینان از تنظیمات ایمن سیستم‌های اطلاعاتی ما.
  7. پروژه Open Web Application Security Project (OWASP)، با لیست 10 برتر از مهم ترین خطرات امنیتی برنامه های وب، از جمله ارزیابی آسیب پذیری ها مانند حملات تزریق، احراز هویت شکسته و مدیریت جلسه، اسکریپت بین سایتی (XSS) و غیره. 10 OWASP برتر برای اولویت بندی تلاش های مدیریت آسیب پذیری و تمرکز بر بحرانی ترین خطرات در مورد سیستم های وب ما.

14.2. حسابرسی داخلی

ما به طور منظم ممیزی داخلی انجام می دهیم تا اثربخشی سیستم مدیریت امنیت اطلاعات (ISMS) خود را ارزیابی کنیم و اطمینان حاصل کنیم که از سیاست ها، رویه ها و کنترل های ما پیروی می شود. فرآیند حسابرسی داخلی شامل شناسایی موارد عدم انطباق، توسعه اقدامات اصلاحی، و پیگیری تلاش‌های اصلاحی است.

14.3. حسابرسی خارجی

ما به طور دوره ای با حسابرسان خارجی در ارتباط هستیم تا انطباق خود با قوانین، مقررات و استانداردهای صنعت قابل اجرا را تأیید کنیم. ما به حسابرسان دسترسی به امکانات، سیستم‌ها و اسناد خود را در صورت نیاز برای تأیید انطباق خود فراهم می‌کنیم. ما همچنین با حسابرسان خارجی کار می کنیم تا به یافته ها یا توصیه های شناسایی شده در طول فرآیند حسابرسی رسیدگی کنیم.

14.4. نظارت بر انطباق

ما انطباق خود را با قوانین، مقررات و استانداردهای صنعت قابل اجرا به صورت مستمر نظارت می کنیم. ما از روش‌های مختلفی برای نظارت بر انطباق استفاده می‌کنیم، از جمله ارزیابی‌های دوره‌ای، ممیزی‌ها و بررسی‌های ارائه‌دهندگان شخص ثالث. ما همچنین به طور منظم خط‌مشی‌ها، رویه‌ها و کنترل‌های خود را بررسی و به روز می‌کنیم تا از انطباق مداوم با تمام الزامات مربوطه اطمینان حاصل کنیم.

قسمت 15. مدیریت شخص ثالث

15.1. سیاست مدیریت شخص ثالث

مؤسسه صدور گواهینامه فناوری اطلاعات اروپا یک خط مشی مدیریت شخص ثالث دارد که الزامات انتخاب، ارزیابی و نظارت بر ارائه دهندگان شخص ثالثی را که به دارایی ها یا سیستم های اطلاعاتی ما دسترسی دارند، مشخص می کند. این خط‌مشی برای همه ارائه‌دهندگان شخص ثالث، از جمله ارائه‌دهندگان خدمات ابری، فروشندگان، و پیمانکاران اعمال می‌شود.

15.2. انتخاب و ارزیابی شخص ثالث

ما قبل از تعامل با ارائه دهندگان شخص ثالث، دقت لازم را انجام می دهیم تا اطمینان حاصل کنیم که آنها کنترل های امنیتی کافی برای محافظت از دارایی های اطلاعاتی یا سیستم های ما دارند. ما همچنین مطابقت ارائه دهندگان شخص ثالث با قوانین و مقررات مربوط به امنیت اطلاعات و حریم خصوصی را ارزیابی می کنیم.

15.3. نظارت شخص ثالث

ما ارائه‌دهندگان شخص ثالث را به‌طور مستمر نظارت می‌کنیم تا اطمینان حاصل کنیم که آنها همچنان به الزامات ما برای امنیت اطلاعات و حریم خصوصی پاسخ می‌دهند. ما از روش‌های مختلفی برای نظارت بر ارائه‌دهندگان شخص ثالث، از جمله ارزیابی‌های دوره‌ای، ممیزی و بررسی گزارش‌های حوادث امنیتی استفاده می‌کنیم.

15.4. الزامات قراردادی

ما الزامات قراردادی مربوط به امنیت اطلاعات و حریم خصوصی را در همه قراردادها با ارائه دهندگان شخص ثالث لحاظ می کنیم. این الزامات شامل مقررات حفاظت از داده ها، کنترل های امنیتی، مدیریت حوادث و نظارت بر انطباق است. ما همچنین مقرراتی را برای فسخ قراردادها در صورت بروز یک حادثه امنیتی یا عدم رعایت آنها لحاظ می کنیم.

بخش 16. امنیت اطلاعات در فرآیندهای صدور گواهینامه

16.1 امنیت فرآیندهای صدور گواهینامه

ما اقدامات کافی و سیستمی را برای اطمینان از امنیت تمام اطلاعات مربوط به فرآیندهای صدور گواهینامه خود، از جمله اطلاعات شخصی افرادی که به دنبال صدور گواهینامه هستند، انجام می دهیم. این شامل کنترل‌هایی برای دسترسی، ذخیره‌سازی و انتقال تمام اطلاعات مربوط به گواهینامه است. با اجرای این اقدامات، هدف ما این است که اطمینان حاصل کنیم که فرآیندهای صدور گواهینامه با بالاترین سطح امنیت و یکپارچگی انجام می شود و اطلاعات شخصی افرادی که به دنبال صدور گواهینامه هستند مطابق با مقررات و استانداردهای مربوطه محافظت می شود.

16.2. احراز هویت و مجوز

ما از کنترل‌های احراز هویت و مجوز استفاده می‌کنیم تا اطمینان حاصل کنیم که فقط پرسنل مجاز به اطلاعات گواهی دسترسی دارند. کنترل های دسترسی به طور مرتب بر اساس تغییرات در نقش ها و مسئولیت های پرسنل بررسی و به روز می شوند.

16.3 حفاظت اطلاعات

ما از داده های شخصی در طول فرآیند صدور گواهینامه با اجرای اقدامات فنی و سازمانی مناسب برای اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن داده ها محافظت می کنیم. این شامل اقداماتی مانند رمزگذاری، کنترل های دسترسی، و پشتیبان گیری منظم است.

16.4. امنیت فرآیندهای امتحانی

ما با اجرای اقدامات مناسب برای جلوگیری از تقلب، نظارت و کنترل محیط امتحان، امنیت فرآیندهای امتحانی را تضمین می کنیم. ما همچنین یکپارچگی و محرمانه بودن مواد معاینه را از طریق روش های ذخیره سازی ایمن حفظ می کنیم.

16.5. امنیت محتوای آزمون

ما امنیت محتوای امتحان را با اجرای اقدامات مناسب برای محافظت در برابر دسترسی، تغییر یا افشای غیرمجاز محتوا تضمین می کنیم. این شامل استفاده از ذخیره‌سازی امن، رمزگذاری، و کنترل‌های دسترسی برای محتوای امتحان، و همچنین کنترل‌هایی برای جلوگیری از توزیع یا انتشار غیرمجاز محتوای امتحان می‌شود.

16.6. امنیت تحویل آزمون

ما امنیت ارائه معاینه را با اجرای اقدامات مناسب برای جلوگیری از دسترسی غیرمجاز یا دستکاری در محیط امتحان تضمین می کنیم. این شامل اقداماتی مانند نظارت، ممیزی و کنترل محیط معاینه و رویکردهای خاص معاینه برای جلوگیری از تقلب یا سایر موارد نقض امنیتی است.

16.7. امنیت نتایج آزمون

ما با اجرای اقدامات مناسب برای محافظت در برابر دسترسی غیرمجاز، تغییر یا افشای نتایج، امنیت نتایج بررسی را تضمین می کنیم. این شامل استفاده از ذخیره‌سازی امن، رمزگذاری، و کنترل‌های دسترسی برای نتایج معاینه و همچنین کنترل‌هایی برای جلوگیری از توزیع یا انتشار غیرمجاز نتایج معاینه می‌شود.

16.8. امنیت صدور گواهینامه ها

ما امنیت صدور گواهی ها را با اجرای اقدامات مناسب برای جلوگیری از تقلب و صدور غیرمجاز گواهی تضمین می کنیم. این شامل کنترل هایی برای تأیید هویت افراد دریافت کننده گواهینامه و ذخیره سازی ایمن و روش های صدور است.

16.9. شکایات و تجدید نظر

ما رویه هایی را برای مدیریت شکایات و درخواست های مربوط به فرآیند صدور گواهینامه ایجاد کرده ایم. این رویه ها شامل اقداماتی برای اطمینان از محرمانه بودن و بی طرفی فرآیند و امنیت اطلاعات مربوط به شکایات و تجدید نظرها می باشد.

16.10. مدیریت کیفیت فرآیندهای صدور گواهینامه

ما یک سیستم مدیریت کیفیت (QMS) را برای فرآیندهای صدور گواهینامه ایجاد کرده ایم که شامل اقداماتی برای اطمینان از اثربخشی، کارایی و امنیت فرآیندها است. QMS شامل ممیزی و بازبینی منظم فرآیندها و کنترل های امنیتی آنها می باشد.

16.11. بهبود مستمر امنیت فرآیندهای صدور گواهینامه

ما متعهد به بهبود مستمر فرآیندهای صدور گواهینامه و کنترل های امنیتی آنها هستیم. این شامل بررسی‌ها و به‌روزرسانی‌های منظم سیاست‌ها و رویه‌های مربوط به صدور گواهینامه بر اساس تغییرات در محیط کسب‌وکار، الزامات قانونی، و بهترین شیوه‌ها در مدیریت امنیت اطلاعات، مطابق با استاندارد ISO 27001 برای مدیریت امنیت اطلاعات، و همچنین با ISO است. 17024 نهادهای صدور گواهینامه استاندارد عامل.

قسمت 17. مقررات پایانی

17.1. بررسی و به روز رسانی سیاست

این خط‌مشی امنیت اطلاعات یک سند زنده است که بر اساس تغییرات در الزامات عملیاتی، الزامات نظارتی یا بهترین شیوه‌ها در مدیریت امنیت اطلاعات، تحت بررسی‌ها و به‌روزرسانی‌های مداوم قرار می‌گیرد.

17.2. نظارت بر انطباق

ما رویه هایی را برای نظارت بر انطباق با این خط مشی امنیت اطلاعات و کنترل های امنیتی مرتبط ایجاد کرده ایم. نظارت بر انطباق شامل ممیزی‌ها، ارزیابی‌ها و بررسی‌های منظم کنترل‌های امنیتی و اثربخشی آنها در دستیابی به اهداف این سیاست است.

17.3. گزارش حوادث امنیتی

ما رویه هایی را برای گزارش حوادث امنیتی مربوط به سیستم های اطلاعاتی خود، از جمله موارد مربوط به داده های شخصی افراد، ایجاد کرده ایم. کارمندان، پیمانکاران و سایر ذینفعان تشویق می شوند که هر گونه حادثه امنیتی یا حوادث مشکوک را در اسرع وقت به تیم امنیتی تعیین شده گزارش دهند.

17.4. آموزش و آگاهی

ما برنامه های آموزشی و آگاه سازی منظمی را برای کارکنان، پیمانکاران و سایر ذینفعان ارائه می دهیم تا اطمینان حاصل کنیم که آنها از مسئولیت ها و تعهدات خود در رابطه با امنیت اطلاعات آگاه هستند. این شامل آموزش در مورد سیاست ها و رویه های امنیتی و اقداماتی برای محافظت از داده های شخصی افراد است.

17.5. مسئولیت پذیری و مسئولیت پذیری

ما همه کارمندان، پیمانکاران و سایر ذینفعان را در قبال رعایت این خط‌مشی امنیت اطلاعات و کنترل‌های امنیتی مرتبط مسئول و پاسخگو می‌دانیم. ما همچنین مدیریت را برای اطمینان از تخصیص منابع مناسب برای پیاده‌سازی و حفظ کنترل‌های مؤثر امنیت اطلاعات مسئول می‌دانیم.

این خط مشی امنیت اطلاعات یک جزء حیاتی از چارچوب مدیریت امنیت اطلاعات مؤسسه صدور گواهینامه فناوری اطلاعات اروپا است و تعهد ما به حفاظت از دارایی های اطلاعاتی و داده های پردازش شده، اطمینان از محرمانه بودن، حفظ حریم خصوصی، یکپارچگی و در دسترس بودن اطلاعات و رعایت الزامات قانونی و قراردادی را نشان می دهد.