Polityka bezpieczeństwa informacji
Polityka bezpieczeństwa informacji Akademii EITCA
Niniejszy dokument określa politykę bezpieczeństwa informacji (ISP) Europejskiego Instytutu Certyfikacji IT, która jest regularnie przeglądana i aktualizowana w celu zapewnienia jej skuteczności i przydatności. Ostatnia aktualizacja Polityki Bezpieczeństwa Informacji EITCI miała miejsce 7 stycznia 2023 r.
Część 1. Wprowadzenie i Polityka bezpieczeństwa informacji
1.1. Wstęp
Europejski Instytut Certyfikacji IT uznaje znaczenie bezpieczeństwa informacji dla zachowania poufności, integralności i dostępności informacji oraz zaufania naszych interesariuszy. Zobowiązujemy się do ochrony informacji wrażliwych, w tym danych osobowych, przed nieautoryzowanym dostępem, ujawnieniem, zmianą i zniszczeniem. Utrzymujemy skuteczną Politykę Bezpieczeństwa Informacji, aby wspierać naszą misję świadczenia naszym klientom niezawodnych i bezstronnych usług certyfikacyjnych. Polityka bezpieczeństwa informacji określa nasze zobowiązanie do ochrony aktywów informacyjnych i wypełniania naszych zobowiązań prawnych, regulacyjnych i umownych. Nasza polityka opiera się na zasadach ISO 27001 i ISO 17024, wiodących międzynarodowych norm zarządzania bezpieczeństwem informacji i standardów działania jednostek certyfikujących.
1.2. Zasady prywatności
Europejski Instytut Certyfikacji IT zobowiązuje się do:
- Ochrona poufności, integralności i dostępności zasobów informacyjnych,
- Przestrzeganie zobowiązań prawnych, regulacyjnych i umownych związanych z bezpieczeństwem informacji i przetwarzaniem danych, wdrażanie procesów i operacji certyfikacyjnych,
- Ciągłe doskonalenie polityki bezpieczeństwa informacji i związanego z nią systemu zarządzania,
- Zapewnienie odpowiedniego szkolenia i świadomości pracowników, kontrahentów i uczestników,
- Zaangażowanie wszystkich pracowników i kontrahentów we wdrażanie i utrzymywanie polityki bezpieczeństwa informacji oraz związanego z nią systemu zarządzania bezpieczeństwem informacji.
1.3. Zakres
Niniejsza polityka dotyczy wszystkich zasobów informacyjnych posiadanych, kontrolowanych lub przetwarzanych przez Europejski Instytut Certyfikacji IT. Obejmuje to wszystkie cyfrowe i fizyczne zasoby informacyjne, takie jak systemy, sieci, oprogramowanie, dane i dokumentację. Niniejsza polityka dotyczy również wszystkich pracowników, kontrahentów i zewnętrznych usługodawców uzyskujących dostęp do naszych zasobów informacyjnych.
1.4. Spełnienie
Europejski Instytut Certyfikacji IT zobowiązuje się do przestrzegania odpowiednich norm bezpieczeństwa informacji, w tym ISO 27001 i ISO 17024. Regularnie przeglądamy i aktualizujemy niniejszą politykę, aby zapewnić jej stałą aktualność i zgodność z tymi normami.
Część 2. Bezpieczeństwo organizacji
2.1. Cele bezpieczeństwa organizacji
Wdrażając organizacyjne środki bezpieczeństwa, dążymy do zapewnienia, że nasze informacje, aktywa oraz praktyki i procedury przetwarzania danych są prowadzone z zachowaniem najwyższego poziomu bezpieczeństwa i integralności oraz że przestrzegamy odpowiednich przepisów i standardów prawnych.
2.2. Role i obowiązki w zakresie bezpieczeństwa informacji
Europejski Instytut Certyfikacji IT definiuje i komunikuje role i obowiązki w zakresie bezpieczeństwa informacji w całej organizacji. Obejmuje to przypisanie wyraźnej własności zasobów informacyjnych w kontekście bezpieczeństwa informacji, ustanowienie struktury zarządzania i zdefiniowanie konkretnych obowiązków dla różnych ról i działów w całej organizacji.
2.3 Zarządzanie ryzykiem
Przeprowadzamy regularne oceny ryzyka w celu identyfikacji i priorytetyzacji zagrożeń dla bezpieczeństwa informacji organizacji, w tym zagrożeń związanych z przetwarzaniem danych osobowych. Ustanawiamy odpowiednie kontrole w celu ograniczenia tych zagrożeń oraz regularnie przeglądamy i aktualizujemy nasze podejście do zarządzania ryzykiem w oparciu o zmiany w środowisku biznesowym i krajobrazie zagrożeń.
2.4. Zasady i procedury bezpieczeństwa informacji
Ustanawiamy i utrzymujemy zestaw polityk i procedur bezpieczeństwa informacji, które są oparte na najlepszych praktykach branżowych i są zgodne z odpowiednimi przepisami i normami. Te zasady i procedury obejmują wszystkie aspekty bezpieczeństwa informacji, w tym przetwarzanie danych osobowych, i są regularnie przeglądane i aktualizowane w celu zapewnienia ich skuteczności.
2.5. Świadomość bezpieczeństwa i szkolenia
Zapewniamy regularne programy uświadamiające i szkoleniowe w zakresie bezpieczeństwa wszystkim pracownikom, wykonawcom i partnerom zewnętrznym, którzy mają dostęp do danych osobowych lub innych poufnych informacji. To szkolenie obejmuje takie tematy, jak phishing, inżynieria społeczna, higiena haseł i inne najlepsze praktyki w zakresie bezpieczeństwa informacji.
2.6. Bezpieczeństwo fizyczne i środowiskowe
Wdrażamy odpowiednie środki bezpieczeństwa fizycznego i środowiskowego w celu ochrony przed nieupoważnionym dostępem, uszkodzeniem lub ingerencją w nasze obiekty i systemy informatyczne. Obejmuje to takie środki, jak kontrola dostępu, nadzór, monitorowanie oraz rezerwowe systemy zasilania i chłodzenia.
2.7. Zarządzanie incydentami związanymi z bezpieczeństwem informacji
Ustanowiliśmy proces zarządzania incydentami, który pozwala nam szybko i skutecznie reagować na wszelkie incydenty związane z bezpieczeństwem informacji, które mogą wystąpić. Obejmuje to procedury zgłaszania, eskalacji, badania i rozwiązywania incydentów, a także środki zapobiegające ich ponownemu wystąpieniu i poprawiające nasze możliwości reagowania na incydenty.
2.8. Ciągłość operacyjna i odzyskiwanie po awarii
Opracowaliśmy i przetestowaliśmy plany ciągłości operacyjnej i przywracania po awarii, które umożliwiają nam utrzymanie naszych krytycznych funkcji operacyjnych i usług w przypadku zakłócenia lub katastrofy. Plany te obejmują procedury tworzenia kopii zapasowych i odzyskiwania danych i systemów oraz środki zapewniające dostępność i integralność danych osobowych.
2.9. Zarządzanie przez osoby trzecie
Ustanawiamy i utrzymujemy odpowiednie kontrole zarządzania ryzykiem związanym z partnerami zewnętrznymi, którzy mają dostęp do danych osobowych lub innych poufnych informacji. Obejmuje to środki takie jak należyta staranność, zobowiązania umowne, monitorowanie i audyty, a także środki służące rozwiązaniu partnerstwa w razie potrzeby.
Część 3. Bezpieczeństwo zasobów ludzkich
3.1. Badanie zatrudnienia
Europejski Instytut Certyfikacji IT ustanowił proces sprawdzania zatrudnienia, aby upewnić się, że osoby mające dostęp do poufnych informacji są godne zaufania i posiadają niezbędne umiejętności i kwalifikacje.
3.2. Kontrola dostępu
Ustanowiliśmy zasady i procedury kontroli dostępu, aby zapewnić, że pracownicy mają dostęp tylko do informacji niezbędnych do wykonywania ich obowiązków służbowych. Prawa dostępu są regularnie przeglądane i aktualizowane, aby zapewnić pracownikom dostęp tylko do potrzebnych im informacji.
3.3. Świadomość i szkolenie w zakresie bezpieczeństwa informacji
Regularnie przeprowadzamy szkolenia w zakresie świadomości bezpieczeństwa informacji dla wszystkich pracowników. Szkolenie obejmuje takie tematy, jak bezpieczeństwo haseł, ataki phishingowe, socjotechnika i inne aspekty cyberbezpieczeństwa.
3.4. Dopuszczalne użycie
Ustanowiliśmy zasady dopuszczalnego użytkowania, które określają dopuszczalne wykorzystanie systemów i zasobów informatycznych, w tym urządzeń osobistych używanych do celów służbowych.
3.5. Bezpieczeństwo urządzeń mobilnych
Ustaliliśmy zasady i procedury dotyczące bezpiecznego korzystania z urządzeń mobilnych, w tym stosowania kodów dostępu, szyfrowania i funkcji zdalnego wymazywania danych.
3.6. Procedury zakończenia
Europejski Instytut Certyfikacji IT ustanowił procedury rozwiązania stosunku pracy lub umowy, aby zapewnić szybkie i bezpieczne cofnięcie dostępu do informacji wrażliwych.
3.7. Personel strony trzeciej
Ustanowiliśmy procedury zarządzania personelem strony trzeciej, który ma dostęp do informacji wrażliwych. Zasady te obejmują badania przesiewowe, kontrolę dostępu i szkolenie w zakresie świadomości bezpieczeństwa informacji.
3.8. Zgłaszanie incydentów
Ustanowiliśmy zasady i procedury zgłaszania incydentów lub obaw związanych z bezpieczeństwem informacji odpowiedniemu personelowi lub władzom.
3.9. Umowy o zachowaniu poufności
Europejski Instytut Certyfikacji IT wymaga od pracowników i kontrahentów podpisania umów o zachowaniu poufności w celu ochrony poufnych informacji przed nieupoważnionym ujawnieniem.
3.10. Działania dyscyplinarne
Europejski Instytut Certyfikacji IT ustanowił zasady i procedury postępowania dyscyplinarnego w przypadku naruszenia polityki bezpieczeństwa informacji przez pracowników lub kontrahentów.
Część 4. Ocena i zarządzanie ryzykiem
4.1. Ocena ryzyka
Przeprowadzamy okresowe oceny ryzyka w celu zidentyfikowania potencjalnych zagrożeń i słabych punktów w naszych zasobach informacyjnych. Stosujemy ustrukturyzowane podejście do identyfikowania, analizowania, oceny i ustalania priorytetów ryzyka w oparciu o ich prawdopodobieństwo i potencjalny wpływ. Oceniamy ryzyko związane z naszymi zasobami informacyjnymi, w tym systemami, sieciami, oprogramowaniem, danymi i dokumentacją.
4.2. Leczenie ryzyka
Stosujemy proces postępowania z ryzykiem w celu złagodzenia lub ograniczenia ryzyka do akceptowalnego poziomu. Proces postępowania z ryzykiem obejmuje wybór odpowiednich kontroli, wdrożenie kontroli oraz monitorowanie skuteczności kontroli. Priorytetowo traktujemy wdrażanie kontroli w oparciu o poziom ryzyka, dostępne zasoby i priorytety biznesowe.
4.3. Monitorowanie i przegląd ryzyka
Regularnie monitorujemy i dokonujemy przeglądu skuteczności naszego procesu zarządzania ryzykiem, aby zapewnić, że pozostaje on odpowiedni i skuteczny. Używamy mierników i wskaźników do mierzenia wydajności naszego procesu zarządzania ryzykiem i identyfikowania możliwości poprawy. Dokonujemy również przeglądu naszego procesu zarządzania ryzykiem w ramach okresowych przeglądów zarządzania, aby zapewnić jego ciągłą przydatność, adekwatność i skuteczność.
4.4. Planowanie reakcji na ryzyko
Posiadamy plan reagowania na ryzyko, aby zapewnić skuteczną reakcję na wszelkie zidentyfikowane ryzyka. Plan ten obejmuje procedury identyfikowania i raportowania ryzyk, a także procesy oceny potencjalnego wpływu każdego ryzyka i określania odpowiednich działań reagowania. Posiadamy również plany awaryjne w celu zapewnienia ciągłości działania w przypadku wystąpienia znaczącego zdarzenia ryzyka.
4.5. Analiza wpływu operacyjnego
Przeprowadzamy okresowe analizy wpływu na działalność biznesową, aby zidentyfikować potencjalny wpływ zakłóceń na naszą działalność biznesową. Analiza ta obejmuje ocenę krytyczności naszych funkcji biznesowych, systemów i danych, a także ocenę potencjalnego wpływu zakłóceń na naszych klientów, pracowników i innych interesariuszy.
4.6. Zarządzanie ryzykiem strony trzeciej
Posiadamy program zarządzania ryzykiem stron trzecich, aby zapewnić, że nasi dostawcy i inni zewnętrzni usługodawcy również odpowiednio zarządzają ryzykiem. Program ten obejmuje kontrole należytej staranności przed podjęciem współpracy ze stronami trzecimi, bieżące monitorowanie działań osób trzecich oraz okresowe oceny praktyk zarządzania ryzykiem osób trzecich.
4.7. Reagowanie na incydenty i zarządzanie nimi
Posiadamy plan reagowania na incydenty i zarządzania nimi, aby zapewnić skuteczną reakcję na wszelkie incydenty związane z bezpieczeństwem. Plan ten obejmuje procedury identyfikacji i zgłaszania incydentów, a także procesy oceny wpływu każdego incydentu i określania odpowiednich działań reagowania. Posiadamy również plan ciągłości działania, który zapewnia kontynuację krytycznych funkcji biznesowych w przypadku poważnego incydentu.
Część 5. Bezpieczeństwo fizyczne i środowiskowe
5.1. Obwód bezpieczeństwa fizycznego
Ustanowiliśmy fizyczne środki bezpieczeństwa, aby chronić fizyczne obiekty i poufne informacje przed nieautoryzowanym dostępem.
5.2. Kontrola dostępu
Ustanowiliśmy zasady i procedury kontroli dostępu do obiektów fizycznych, aby zapewnić, że tylko upoważniony personel ma dostęp do poufnych informacji.
5.3. Bezpieczeństwo sprzętu
Zapewniamy, że cały sprzęt zawierający poufne informacje jest fizycznie zabezpieczony, a dostęp do tego sprzętu jest ograniczony wyłącznie do upoważnionego personelu.
5.4. Bezpieczna utylizacja
Ustanowiliśmy procedury bezpiecznego usuwania informacji wrażliwych, w tym dokumentów papierowych, nośników elektronicznych i sprzętu.
5.5. Środowisko fizyczne
Zapewniamy, że fizyczne środowisko pomieszczeń, w tym temperatura, wilgotność i oświetlenie, jest odpowiednie do ochrony poufnych informacji.
5.6. Zasilacz
Dbamy o to, aby zasilanie lokalu było niezawodne i zabezpieczone przed przerwami w dostawie prądu czy przepięciami.
5.7. Ochrona przeciwpożarowa
Ustaliliśmy zasady i procedury ochrony przeciwpożarowej, w tym instalację i konserwację systemów wykrywania i gaszenia pożaru.
5.8. Ochrona przed szkodami wodnymi
Ustanowiliśmy zasady i procedury ochrony poufnych informacji przed szkodami spowodowanymi przez wodę, w tym instalację i konserwację systemów wykrywania i zapobiegania powodziom.
5.9. Konserwacja sprzętu
Ustanowiliśmy procedury konserwacji sprzętu, w tym kontroli sprzętu pod kątem oznak manipulacji lub nieautoryzowanego dostępu.
5.10. Dopuszczalne użycie
Ustanowiliśmy politykę dopuszczalnego użytkowania, która określa dopuszczalne wykorzystanie zasobów fizycznych i obiektów.
5.11. Zdalny dostęp
Ustaliliśmy zasady i procedury dotyczące zdalnego dostępu do informacji wrażliwych, w tym korzystania z bezpiecznych połączeń i szyfrowania.
5.12. Monitorowanie i nadzór
Ustanowiliśmy zasady i procedury monitorowania i nadzoru fizycznych pomieszczeń i sprzętu w celu wykrywania i zapobiegania nieautoryzowanemu dostępowi lub manipulacjom.
Część. 6. Bezpieczeństwo komunikacji i operacji
6.1. Zarządzanie bezpieczeństwem sieci
Ustaliliśmy zasady i procedury zarządzania bezpieczeństwem sieci, w tym stosowanie zapór ogniowych, systemów wykrywania i zapobiegania włamaniom oraz regularne audyty bezpieczeństwa.
6.2. Transfer informacji
Ustanowiliśmy zasady i procedury bezpiecznego przesyłania poufnych informacji, w tym stosowanie szyfrowania i bezpiecznych protokołów przesyłania plików.
6.3. Komunikacja osób trzecich
Ustanowiliśmy zasady i procedury dotyczące bezpiecznej wymiany poufnych informacji z organizacjami zewnętrznymi, w tym korzystania z bezpiecznych połączeń i szyfrowania.
6.4. Obsługa mediów
Ustanowiliśmy procedury postępowania z informacjami wrażliwymi w różnych formach nośników, w tym w dokumentach papierowych, mediach elektronicznych i przenośnych urządzeniach pamięci masowej.
6.5. Rozwój i utrzymanie systemów informatycznych
Ustanowiliśmy zasady i procedury dotyczące rozwoju i utrzymania systemów informatycznych, w tym stosowania praktyk bezpiecznego kodowania, regularnych aktualizacji oprogramowania i zarządzania poprawkami.
6.6. Ochrona przed złośliwym oprogramowaniem i wirusami
Ustanowiliśmy zasady i procedury ochrony systemów informatycznych przed złośliwym oprogramowaniem i wirusami, w tym stosowanie oprogramowania antywirusowego i regularne aktualizacje zabezpieczeń.
6.7. Tworzenie kopii zapasowych i przywracanie
Ustanowiliśmy zasady i procedury dotyczące tworzenia kopii zapasowych i przywracania poufnych informacji, aby zapobiec utracie lub uszkodzeniu danych.
6.8. Zarządzanie wydarzeniami
Ustanowiliśmy zasady i procedury dotyczące identyfikacji, badania i rozwiązywania incydentów i zdarzeń związanych z bezpieczeństwem.
6.9. Zarządzanie lukami w zabezpieczeniach
Ustanowiliśmy zasady i procedury zarządzania lukami w systemie informatycznym, w tym regularne oceny podatności i zarządzanie poprawkami.
6.10. Kontrola dostępu
Ustanowiliśmy zasady i procedury zarządzania dostępem użytkowników do systemów informatycznych, w tym stosowanie kontroli dostępu, uwierzytelnianie użytkowników i regularne przeglądy dostępu.
6.11. Monitorowanie i rejestrowanie
Ustanowiliśmy zasady i procedury dotyczące monitorowania i rejestrowania działań systemu informatycznego, w tym korzystania ze ścieżek audytu i rejestrowania incydentów bezpieczeństwa.
Część 7. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych
7.1. Wymagania
Ustanowiliśmy zasady i procedury dotyczące identyfikacji wymagań systemu informatycznego, w tym wymagań biznesowych, wymagań prawnych i regulacyjnych oraz wymagań dotyczących bezpieczeństwa.
7.2. Relacje z dostawcami
Ustanowiliśmy zasady i procedury dotyczące zarządzania relacjami z zewnętrznymi dostawcami systemów i usług informatycznych, w tym oceny praktyk bezpieczeństwa dostawców.
7.3. Rozwój systemu
Ustanowiliśmy zasady i procedury bezpiecznego rozwoju systemów informatycznych, w tym stosowanie praktyk bezpiecznego kodowania, regularne testowanie i zapewnianie jakości.
7.4. Testowanie systemu
Ustaliliśmy zasady i procedury dotyczące testowania systemów informatycznych, w tym testowania funkcjonalności, testowania wydajności i testowania bezpieczeństwa.
7.5. Akceptacja systemu
Ustanowiliśmy zasady i procedury akceptacji systemów informatycznych, w tym zatwierdzania wyników testów, ocen bezpieczeństwa i testów akceptacyjnych użytkowników.
7.6. Konserwacja systemu
Ustaliliśmy zasady i procedury dotyczące konserwacji systemów informatycznych, w tym regularnych aktualizacji, poprawek bezpieczeństwa i tworzenia kopii zapasowych systemu.
7.7. Wycofanie systemu
Ustanowiliśmy zasady i procedury wycofywania systemów informatycznych, w tym bezpieczne usuwanie sprzętu i danych.
7.8. Zatrzymywanie danych
Ustanowiliśmy zasady i procedury dotyczące przechowywania danych zgodnie z wymogami prawnymi i regulacyjnymi, w tym bezpiecznego przechowywania i usuwania danych wrażliwych.
7.9. Wymagania bezpieczeństwa dla systemów informatycznych
Ustanowiliśmy zasady i procedury dotyczące identyfikacji i wdrażania wymagań bezpieczeństwa dla systemów informatycznych, w tym kontroli dostępu, szyfrowania i ochrony danych.
7.10. Bezpieczne środowiska programistyczne
Ustanowiliśmy zasady i procedury dotyczące bezpiecznych środowisk programistycznych dla systemów informatycznych, w tym stosowanie bezpiecznych praktyk programistycznych, kontroli dostępu i bezpiecznych konfiguracji sieciowych.
7.11. Ochrona środowisk testowych
Ustanowiliśmy zasady i procedury ochrony środowisk testowych dla systemów informatycznych, w tym stosowanie bezpiecznych konfiguracji, kontroli dostępu i regularnych testów bezpieczeństwa.
7.12. Zasady bezpiecznej inżynierii systemów
Ustanowiliśmy zasady i procedury wdrażania zasad inżynierii bezpiecznych systemów dla systemów informatycznych, w tym stosowania architektur bezpieczeństwa, modelowania zagrożeń i praktyk bezpiecznego kodowania.
7.13. Bezpieczne wytyczne dotyczące kodowania
Ustanowiliśmy zasady i procedury dotyczące wdrażania wytycznych dotyczących bezpiecznego kodowania systemów informatycznych, w tym stosowania standardów kodowania, przeglądów kodu i testów automatycznych.
Część 8. Pozyskiwanie sprzętu
8.1. Przestrzeganie standardów
Przestrzegamy normy ISO 27001 dotyczącej systemu zarządzania bezpieczeństwem informacji (ISMS), aby zapewnić, że zakup zasobów sprzętowych jest zgodny z naszymi wymogami bezpieczeństwa.
8.2. Ocena ryzyka
Przed zakupem zasobów sprzętowych przeprowadzamy ocenę ryzyka, aby zidentyfikować potencjalne zagrożenia bezpieczeństwa i upewnić się, że wybrany sprzęt spełnia wymagania bezpieczeństwa.
8.3. Wybór dostawców
Zaopatrujemy się w zasoby sprzętowe wyłącznie od zaufanych dostawców, którzy mają udokumentowane doświadczenie w dostarczaniu bezpiecznych produktów. Sprawdzamy zasady i praktyki bezpieczeństwa dostawców i wymagamy od nich zapewnienia, że ich produkty spełniają nasze wymagania bezpieczeństwa.
8.4. Bezpieczny transport
Zapewniamy, że zasoby sprzętowe są bezpiecznie transportowane do naszych obiektów, aby zapobiec manipulacjom, uszkodzeniom lub kradzieży podczas transportu.
8.5. Weryfikacja autentyczności
Weryfikujemy autentyczność zasobów sprzętowych w momencie dostawy, aby upewnić się, że nie są one podrobione lub naruszone.
8.6. Kontrole fizyczne i środowiskowe
Wdrażamy odpowiednie środki kontroli fizycznej i środowiskowej, aby chronić zasoby sprzętowe przed nieautoryzowanym dostępem, kradzieżą lub uszkodzeniem.
8.7. Instalacja sprzętu
Zapewniamy, że wszystkie zasoby sprzętowe są konfigurowane i instalowane zgodnie z ustalonymi standardami i wytycznymi bezpieczeństwa.
8.8. Recenzje sprzętu
Przeprowadzamy okresowe przeglądy zasobów sprzętowych, aby upewnić się, że nadal spełniają one nasze wymagania dotyczące bezpieczeństwa i są na bieżąco z najnowszymi poprawkami i aktualizacjami zabezpieczeń.
8.9. Utylizacja sprzętu
Dysponujemy zasobami sprzętowymi w bezpieczny sposób, aby zapobiec nieautoryzowanemu dostępowi do poufnych informacji.
Część 9. Ochrona przed złośliwym oprogramowaniem i wirusami
9.1. Zasady aktualizacji oprogramowania
Utrzymujemy aktualne oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem na wszystkich systemach informatycznych używanych przez Europejski Instytut Certyfikacji IT, w tym na serwerach, stacjach roboczych, laptopach i urządzeniach mobilnych. Zapewniamy, że oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem jest skonfigurowane w taki sposób, że regularnie aktualizuje pliki definicji wirusów i wersje oprogramowania oraz że proces ten jest regularnie testowany.
9.2. Skanowanie antywirusowe i złośliwe oprogramowanie
Regularnie skanujemy wszystkie systemy informatyczne, w tym serwery, stacje robocze, laptopy i urządzenia mobilne, aby wykryć i usunąć wszelkie wirusy lub złośliwe oprogramowanie.
9.3. Zasady zakazu wyłączania i wprowadzania zmian
Egzekwujemy zasady, które zabraniają użytkownikom wyłączania lub modyfikowania oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem w jakimkolwiek systemie informatycznym.
9.4. Monitorowanie
Monitorujemy alerty i dzienniki naszego oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, aby zidentyfikować wszelkie przypadki infekcji wirusami lub złośliwym oprogramowaniem i odpowiednio na nie reagować.
9.5. Prowadzenie ewidencji
Prowadzimy rejestry konfiguracji, aktualizacji i skanowań oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, a także wszelkie przypadki infekcji wirusami lub złośliwym oprogramowaniem do celów audytu.
9.6. Recenzje oprogramowania
Przeprowadzamy okresowe przeglądy naszego oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, aby upewnić się, że spełnia ono aktualne standardy branżowe i jest adekwatne do naszych potrzeb.
9.7. Szkolenie i świadomość
Zapewniamy szkolenia i programy uświadamiające, aby edukować wszystkich pracowników w zakresie ochrony przed wirusami i złośliwym oprogramowaniem oraz w jaki sposób rozpoznawać i zgłaszać wszelkie podejrzane działania lub incydenty.
Część 10. Zarządzanie zasobami informacyjnymi
10.1. Inwentaryzacja zasobów informacyjnych
Europejski Instytut Certyfikacji IT prowadzi wykaz zasobów informacyjnych, który obejmuje wszystkie cyfrowe i fizyczne zasoby informacyjne, takie jak systemy, sieci, oprogramowanie, dane i dokumentację. Klasyfikujemy zasoby informacyjne na podstawie ich krytyczności i wrażliwości, aby zapewnić wdrożenie odpowiednich środków ochrony.
10.2. Obsługa zasobów informacyjnych
Wdrażamy odpowiednie środki w celu ochrony zasobów informacyjnych w oparciu o ich klasyfikację, w tym poufność, integralność i dostępność. Zapewniamy, że wszystkie zasoby informacyjne są obsługiwane zgodnie z obowiązującymi przepisami prawa, regulacjami i wymogami umownymi. Zapewniamy również, że wszystkie zasoby informacyjne są odpowiednio przechowywane, chronione i usuwane, gdy nie są już potrzebne.
10.3. Własność zasobów informacyjnych
Przypisujemy własność zasobów informacyjnych osobom lub działom odpowiedzialnym za zarządzanie zasobami informacyjnymi i ich ochronę. Zapewniamy również, że właściciele zasobów informacyjnych rozumieją swoje obowiązki i odpowiedzialność za ochronę zasobów informacyjnych.
10.4. Ochrona zasobów informacyjnych
W celu ochrony zasobów informacyjnych stosujemy różnorodne środki ochrony, w tym fizyczne kontrole, kontrolę dostępu, szyfrowanie oraz procesy tworzenia kopii zapasowych i odzyskiwania. Zapewniamy również, że wszystkie zasoby informacyjne są chronione przed nieautoryzowanym dostępem, modyfikacją lub zniszczeniem.
Część 11. Kontrola dostępu
11.1. Zasady kontroli dostępu
Europejski Instytut Certyfikacji IT posiada Politykę kontroli dostępu, która określa wymagania dotyczące przyznawania, modyfikowania i cofania dostępu do zasobów informacyjnych. Kontrola dostępu jest kluczowym elementem naszego systemu zarządzania bezpieczeństwem informacji i wdrażamy ją w celu zapewnienia, że tylko upoważnione osoby mają dostęp do naszych zasobów informacyjnych.
11.2. Implementacja kontroli dostępu
Wdrażamy środki kontroli dostępu w oparciu o zasadę najmniejszych uprawnień, co oznacza, że osoby mają dostęp tylko do zasobów informacyjnych niezbędnych do wykonywania ich funkcji służbowych. Używamy różnych środków kontroli dostępu, w tym uwierzytelniania, autoryzacji i rozliczania (AAA). Używamy również list kontroli dostępu (ACL) i uprawnień do kontrolowania dostępu do zasobów informacyjnych.
11.3. Zasady dotyczące haseł
Europejski Instytut Certyfikacji IT posiada Zasady dotyczące haseł, które określają wymagania dotyczące tworzenia haseł i zarządzania nimi. Wymagamy silnych haseł składających się z co najmniej 8 znaków, zawierających kombinację wielkich i małych liter, cyfr i znaków specjalnych. Wymagamy również okresowej zmiany hasła i zabraniamy ponownego wykorzystywania poprzednich haseł.
11.4. Zarządzanie użytkownikami
Mamy proces zarządzania użytkownikami, który obejmuje tworzenie, modyfikowanie i usuwanie kont użytkowników. Konta użytkowników są tworzone w oparciu o zasadę najmniejszych uprawnień, a dostęp jest przyznawany tylko do zasobów informacyjnych niezbędnych do wykonywania funkcji służbowych danej osoby. Regularnie sprawdzamy również konta użytkowników i usuwamy konta, które nie są już potrzebne.
Część 12. Zarządzanie incydentami związanymi z bezpieczeństwem informacji
12.1. Zasady zarządzania incydentami
Europejski Instytut Certyfikacji IT posiada Politykę zarządzania incydentami, która określa wymagania dotyczące wykrywania, zgłaszania, oceny i reagowania na incydenty bezpieczeństwa. Incydenty związane z bezpieczeństwem definiujemy jako każde zdarzenie, które zagraża poufności, integralności lub dostępności zasobów informacyjnych lub systemów.
12.2. Wykrywanie incydentów i raportowanie
Wdrażamy środki w celu szybkiego wykrywania i zgłaszania incydentów bezpieczeństwa. Używamy różnych metod wykrywania incydentów związanych z bezpieczeństwem, w tym systemów wykrywania włamań (IDS), oprogramowania antywirusowego i raportowania użytkowników. Dbamy również o to, aby wszyscy pracownicy byli świadomi procedur zgłaszania incydentów bezpieczeństwa i zachęcamy do zgłaszania wszystkich podejrzewanych incydentów.
12.3. Ocena incydentu i reakcja
Mamy proces oceny incydentów bezpieczeństwa i reagowania na nie w oparciu o ich wagę i wpływ. Priorytetujemy incydenty na podstawie ich potencjalnego wpływu na zasoby informacyjne lub systemy i przydzielamy odpowiednie zasoby, aby na nie reagować. Posiadamy również plan reagowania, który obejmuje procedury identyfikowania, powstrzymywania, analizowania, eliminowania i usuwania incydentów związanych z bezpieczeństwem, a także powiadamiania odpowiednich stron i przeprowadzania przeglądów po incydencie. Nasze procedury reagowania na incydenty mają na celu zapewnienie szybkiej i skutecznej reakcji do incydentów bezpieczeństwa. Procedury są regularnie przeglądane i aktualizowane w celu zapewnienia ich skuteczności i przydatności.
12.4. Zespół Reagowania na Incydenty
Mamy zespół reagowania na incydenty (IRT), który jest odpowiedzialny za reagowanie na incydenty związane z bezpieczeństwem. IRT składa się z przedstawicieli różnych jednostek i jest kierowany przez Inspektora Bezpieczeństwa Informacji (ISO). IRT jest odpowiedzialny za ocenę wagi incydentów, powstrzymanie incydentu i zainicjowanie odpowiednich procedur reagowania.
12.5. Zgłaszanie i przegląd incydentów
Ustanowiliśmy procedury zgłaszania incydentów bezpieczeństwa odpowiednim stronom, w tym klientom, organom regulacyjnym i organom ścigania, zgodnie z obowiązującymi przepisami prawa i regulacjami. Utrzymujemy również komunikację z zainteresowanymi stronami w trakcie całego procesu reagowania na incydenty, dostarczając aktualnych informacji o stanie incydentu i wszelkich działaniach podejmowanych w celu złagodzenia jego skutków. Przeprowadzamy również przegląd wszystkich incydentów związanych z bezpieczeństwem, aby zidentyfikować ich przyczynę i zapobiec występowaniu podobnych incydentów w przyszłości.
Część 13. Zarządzanie ciągłością działania i odzyskiwanie po awarii
13.1. Planowanie ciągłości działania
Chociaż Europejski Instytut Certyfikacji IT jest organizacją non-profit, posiada plan ciągłości działania (BCP), który określa procedury zapewniające ciągłość jego działania w przypadku zakłócającego incydentu. BCP obejmuje wszystkie krytyczne procesy operacyjne i identyfikuje zasoby wymagane do utrzymania operacji podczas i po zakłóceniowym incydencie. Przedstawia również procedury utrzymania działalności biznesowej podczas zakłócenia lub katastrofy, ocenę wpływu zakłóceń, identyfikację najbardziej krytycznych procesów operacyjnych w kontekście konkretnego zakłócającego incydentu oraz opracowanie procedur reagowania i odzyskiwania.
13.2. Planowanie odzyskiwania po awarii
Europejski Instytut Certyfikacji IT posiada plan odzyskiwania po awarii (DRP), który określa procedury przywracania naszych systemów informatycznych w przypadku zakłócenia lub katastrofy. DRP obejmuje procedury tworzenia kopii zapasowych danych, przywracania danych i odzyskiwania systemu. DRP jest regularnie testowany i aktualizowany, aby zapewnić jego skuteczność.
13.3. Analiza wpływu na biznes
Przeprowadzamy analizę wpływu na biznes (BIA), aby zidentyfikować krytyczne procesy operacyjne i zasoby wymagane do ich utrzymania. BIA pomaga nam ustalać priorytety naszych działań naprawczych i odpowiednio przydzielać zasoby.
13.4. Strategia ciągłości biznesowej
Na podstawie wyników BIA opracowujemy Strategię Ciągłości Działania, która określa procedury reagowania na zakłócający incydent. Strategia zawiera procedury uruchamiania BCP, przywracania krytycznych procesów operacyjnych oraz komunikowania się z odpowiednimi interesariuszami.
13.5. Testowanie i konserwacja
Regularnie testujemy i utrzymujemy nasze BCP i DRP, aby zapewnić ich skuteczność i przydatność. Przeprowadzamy regularne testy w celu walidacji BCP/DRP i identyfikacji obszarów wymagających poprawy. W razie potrzeby aktualizujemy również BCP i DRP, aby odzwierciedlić zmiany w naszej działalności lub krajobrazie zagrożeń. Testowanie obejmuje ćwiczenia stacjonarne, symulacje i testowanie procedur na żywo. Dokonujemy również przeglądu i aktualizacji naszych planów na podstawie wyników testów i wyciągniętych wniosków.
13.6. Alternatywne miejsca przetwarzania
Utrzymujemy alternatywne witryny przetwarzania online, które można wykorzystać do kontynuowania działalności biznesowej w przypadku zakłócenia lub katastrofy. Alternatywne miejsca przetwarzania są wyposażone w niezbędną infrastrukturę i systemy i mogą być wykorzystywane do obsługi krytycznych procesów biznesowych.
Część 14. Zgodność i audyt
14.1. Zgodność z prawem i regulacjami
Europejski Instytut Certyfikacji IT zobowiązuje się do przestrzegania wszystkich obowiązujących praw i przepisów związanych z bezpieczeństwem informacji i prywatnością, w tym przepisów o ochronie danych, standardów branżowych i zobowiązań umownych. Regularnie przeglądamy i aktualizujemy nasze zasady, procedury i kontrole, aby zapewnić zgodność ze wszystkimi odpowiednimi wymaganiami i standardami. Główne standardy i ramy, którymi się kierujemy w kontekście bezpieczeństwa informacji, obejmują:
- Norma ISO/IEC 27001 zawierająca wytyczne dotyczące wdrażania i zarządzania systemem zarządzania bezpieczeństwem informacji (ISMS), którego kluczowym elementem jest zarządzanie podatnościami na zagrożenia. Zapewnia ramy referencyjne do wdrażania i utrzymywania naszego systemu zarządzania bezpieczeństwem informacji (ISMS), w tym zarządzania podatnościami na zagrożenia. Zgodnie z postanowieniami tego standardu identyfikujemy, oceniamy i zarządzamy zagrożeniami dla bezpieczeństwa informacji, w tym słabymi punktami.
- Ramy bezpieczeństwa cybernetycznego amerykańskiego Narodowego Instytutu Standardów i Technologii (NIST) zawierające wytyczne dotyczące identyfikowania, oceny i zarządzania zagrożeniami dla bezpieczeństwa cybernetycznego, w tym zarządzania lukami w zabezpieczeniach.
- Ramy bezpieczeństwa cybernetycznego Narodowego Instytutu Standardów i Technologii (NIST) w celu poprawy zarządzania ryzykiem cybernetycznym, z podstawowym zestawem funkcji, w tym zarządzaniem lukami w zabezpieczeniach, których przestrzegamy, aby zarządzać naszymi zagrożeniami cybernetycznymi.
- SANS Critical Security Controls zawiera zestaw 20 kontroli bezpieczeństwa w celu poprawy bezpieczeństwa cybernetycznego, obejmujących szereg obszarów, w tym zarządzanie lukami w zabezpieczeniach, dostarczanie szczegółowych wskazówek dotyczących skanowania luk w zabezpieczeniach, zarządzania poprawkami i innych aspektów zarządzania lukami w zabezpieczeniach.
- Payment Card Industry Data Security Standard (PCI DSS), wymagający obsługi informacji o kartach kredytowych w odniesieniu do zarządzania lukami w tym kontekście.
- Centrum Kontroli Bezpieczeństwa w Internecie (CIS), w tym zarządzanie lukami w zabezpieczeniach, jako jeden z kluczowych mechanizmów zapewniających bezpieczną konfigurację naszych systemów informatycznych.
- Open Web Application Security Project (OWASP) z listą 10 najbardziej krytycznych zagrożeń bezpieczeństwa aplikacji internetowych, w tym oceną podatności, takich jak wstrzykiwanie ataków, zepsute uwierzytelnianie i zarządzanie sesją, cross-site scripting (XSS) itp. Używamy OWASP Top 10, aby nadać priorytet naszym wysiłkom związanym z zarządzaniem lukami w zabezpieczeniach i skoncentrować się na najbardziej krytycznych zagrożeniach związanych z naszymi systemami internetowymi.
14.2. Audyt wewnętrzny
Przeprowadzamy regularne audyty wewnętrzne, aby ocenić skuteczność naszego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i upewnić się, że nasze zasady, procedury i kontrole są przestrzegane. Proces audytu wewnętrznego obejmuje identyfikację niezgodności, opracowanie działań korygujących oraz śledzenie działań naprawczych.
14.3. Audyt zewnętrzny
Okresowo współpracujemy z zewnętrznymi audytorami, aby zweryfikować naszą zgodność z obowiązującymi przepisami prawa, regulacjami i standardami branżowymi. Zapewniamy audytorom dostęp do naszych obiektów, systemów i dokumentacji zgodnie z wymaganiami w celu sprawdzenia zgodności z przepisami. Współpracujemy również z audytorami zewnętrznymi w celu uwzględnienia wszelkich ustaleń lub zaleceń zidentyfikowanych podczas procesu audytu.
14.4. Monitorowanie zgodności
Na bieżąco monitorujemy naszą zgodność z obowiązującymi przepisami, regulacjami i standardami branżowymi. Stosujemy różne metody monitorowania zgodności, w tym okresowe oceny, audyty i przeglądy dostawców zewnętrznych. Regularnie przeglądamy i aktualizujemy nasze zasady, procedury i kontrole, aby zapewnić ciągłą zgodność ze wszystkimi odpowiednimi wymaganiami.
Część 15. Zarządzanie zewnętrzne
15.1. Zasady zarządzania stronami trzecimi
Europejski Instytut Certyfikacji IT posiada Politykę zarządzania podmiotami zewnętrznymi, która określa wymagania dotyczące wyboru, oceny i monitorowania dostawców zewnętrznych, którzy mają dostęp do naszych zasobów informacyjnych lub systemów. Zasady dotyczą wszystkich zewnętrznych dostawców, w tym dostawców usług w chmurze, dostawców i wykonawców.
15.2. Wybór i ocena strony trzeciej
Przed nawiązaniem współpracy z zewnętrznymi dostawcami przeprowadzamy analizę due diligence, aby upewnić się, że stosują oni odpowiednie środki kontroli bezpieczeństwa w celu ochrony naszych zasobów informacyjnych lub systemów. Oceniamy również zgodność dostawców zewnętrznych z obowiązującymi przepisami prawa i regulacjami dotyczącymi bezpieczeństwa informacji i prywatności.
15.3. Monitorowanie stron trzecich
Na bieżąco monitorujemy dostawców zewnętrznych, aby upewnić się, że nadal spełniają nasze wymagania dotyczące bezpieczeństwa informacji i prywatności. Używamy różnych metod monitorowania zewnętrznych dostawców, w tym okresowych ocen, audytów i przeglądów raportów o incydentach związanych z bezpieczeństwem.
15.4. Wymagania umowne
We wszystkich umowach z dostawcami zewnętrznymi uwzględniamy wymagania umowne związane z bezpieczeństwem informacji i prywatnością. Wymagania te obejmują przepisy dotyczące ochrony danych, kontroli bezpieczeństwa, zarządzania incydentami i monitorowania zgodności. Zawieramy również zapisy dotyczące rozwiązania umów w przypadku incydentu bezpieczeństwa lub niezgodności.
Część 16. Bezpieczeństwo informacji w procesach certyfikacji
16.1 Bezpieczeństwo procesów certyfikacji
Podejmujemy odpowiednie i systemowe działania w celu zapewnienia bezpieczeństwa wszystkich informacji związanych z naszymi procesami certyfikacyjnymi, w tym danych osobowych osób ubiegających się o certyfikację. Obejmuje to kontrole dostępu, przechowywania i przesyłania wszystkich informacji związanych z certyfikacją. Wdrażając te działania, dążymy do tego, aby procesy certyfikacji przebiegały z zachowaniem najwyższego poziomu bezpieczeństwa i integralności, a dane osobowe osób ubiegających się o certyfikację były chronione zgodnie z odpowiednimi przepisami i standardami.
16.2. Uwierzytelnianie i autoryzacja
Używamy kontroli uwierzytelniania i autoryzacji, aby zapewnić, że tylko upoważniony personel ma dostęp do informacji certyfikacyjnych. Kontrole dostępu są regularnie przeglądane i aktualizowane w oparciu o zmiany ról i obowiązków personelu.
16.3. Ochrona danych
Chronimy dane osobowe przez cały proces certyfikacji, wdrażając odpowiednie środki techniczne i organizacyjne w celu zapewnienia poufności, integralności i dostępności danych. Obejmuje to takie środki, jak szyfrowanie, kontrola dostępu i regularne tworzenie kopii zapasowych.
16.4. Bezpieczeństwo procesów egzaminacyjnych
Zapewniamy bezpieczeństwo procesów egzaminacyjnych poprzez wdrażanie odpowiednich środków zapobiegających oszukiwaniu, monitorowanie i kontrolę środowiska egzaminacyjnego. Zachowujemy również integralność i poufność materiałów egzaminacyjnych dzięki bezpiecznym procedurom przechowywania.
16.5. Bezpieczeństwo treści egzaminacyjnych
Zapewniamy bezpieczeństwo treści egzaminacyjnych poprzez wdrożenie odpowiednich środków w celu ochrony przed nieupoważnionym dostępem, zmianą lub ujawnieniem treści. Obejmuje to korzystanie z bezpiecznego przechowywania, szyfrowania i kontroli dostępu do treści egzaminów, a także kontrole zapobiegające nieautoryzowanej dystrybucji lub rozpowszechnianiu treści egzaminów.
16.6. Bezpieczeństwo dostarczania egzaminów
Zapewniamy bezpieczeństwo dostarczania egzaminów poprzez wdrażanie odpowiednich środków zapobiegających nieautoryzowanemu dostępowi do środowiska egzaminacyjnego lub manipulacji nim. Obejmuje to takie środki, jak monitorowanie, audyt i kontrola środowiska egzaminacyjnego oraz poszczególnych metod egzaminacyjnych, aby zapobiec oszukiwaniu lub innym naruszeniom bezpieczeństwa.
16.7. Bezpieczeństwo wyników egzaminów
Zapewniamy bezpieczeństwo wyników badań poprzez wdrożenie odpowiednich środków zabezpieczających przed nieupoważnionym dostępem, zmianą lub ujawnieniem wyników. Obejmuje to korzystanie z bezpiecznego przechowywania, szyfrowania i kontroli dostępu do wyników egzaminów, a także kontrole zapobiegające nieautoryzowanej dystrybucji lub rozpowszechnianiu wyników egzaminów.
16.8. Bezpieczeństwo wydawania certyfikatów
Zapewniamy bezpieczeństwo wydawania certyfikatów poprzez wdrażanie odpowiednich środków zapobiegających oszustwom i nieuprawnionemu wystawianiu certyfikatów. Obejmuje to kontrole weryfikujące tożsamość osób otrzymujących certyfikaty oraz procedury bezpiecznego przechowywania i wydawania.
16.9. Reklamacje i odwołania
Ustaliliśmy procedury zarządzania reklamacjami i odwołaniami związanymi z procesem certyfikacji. Procedury te obejmują środki zapewniające poufność i bezstronność procesu oraz bezpieczeństwo informacji związanych ze skargami i odwołaniami.
16.10. Procesy Certyfikacji Zarządzanie Jakością
Wdrożyliśmy System Zarządzania Jakością (SZJ) dla procesów certyfikacji, który obejmuje środki zapewniające skuteczność, wydajność i bezpieczeństwo procesów. SZJ obejmuje regularne audyty i przeglądy procesów oraz ich kontroli bezpieczeństwa.
16.11. Ciągłe doskonalenie bezpieczeństwa procesów certyfikacji
Zobowiązujemy się do ciągłego doskonalenia naszych procesów certyfikacji i ich kontroli bezpieczeństwa. Obejmuje to regularne przeglądy i aktualizacje polityk i procedur związanych z certyfikacją bezpieczeństwa w oparciu o zmiany w środowisku biznesowym, wymaganiach regulacyjnych i najlepszych praktykach w zarządzaniu bezpieczeństwem informacji, zgodnie z normą ISO 27001 dotyczącą zarządzania bezpieczeństwem informacji, a także z normą ISO Standard operacyjny 17024 jednostek certyfikujących.
Część 17. Postanowienia końcowe
17.1. Przegląd i aktualizacja zasad
Niniejsza Polityka bezpieczeństwa informacji jest żywym dokumentem, który podlega ciągłym przeglądom i aktualizacjom w oparciu o zmiany w naszych wymaganiach operacyjnych, wymaganiach regulacyjnych lub najlepszych praktykach w zakresie zarządzania bezpieczeństwem informacji.
17.2. Monitorowanie zgodności
Ustanowiliśmy procedury monitorowania zgodności z niniejszą Polityką bezpieczeństwa informacji i powiązanymi środkami kontroli bezpieczeństwa. Monitorowanie zgodności obejmuje regularne audyty, oceny i przeglądy zabezpieczeń oraz ich skuteczność w osiąganiu celów niniejszej polityki.
17.3. Zgłaszanie incydentów bezpieczeństwa
Ustanowiliśmy procedury zgłaszania incydentów bezpieczeństwa związanych z naszymi systemami informatycznymi, w tym dotyczących danych osobowych osób fizycznych. Zachęcamy pracowników, wykonawców i inne zainteresowane strony do jak najszybszego zgłaszania wszelkich incydentów związanych z bezpieczeństwem lub podejrzewanych incydentów wyznaczonemu zespołowi ds. bezpieczeństwa.
17.4. Szkolenie i świadomość
Zapewniamy regularne szkolenia i programy uświadamiające dla pracowników, kontrahentów i innych interesariuszy, aby upewnić się, że są oni świadomi swoich obowiązków i obowiązków związanych z bezpieczeństwem informacji. Obejmuje to szkolenia w zakresie zasad i procedur bezpieczeństwa oraz środków ochrony danych osobowych osób fizycznych.
17.5. Odpowiedzialność i odpowiedzialność
Pociągamy wszystkich pracowników, kontrahentów i innych interesariuszy do odpowiedzialności za przestrzeganie niniejszej Polityki bezpieczeństwa informacji i związanych z nią środków kontroli bezpieczeństwa. Pociągamy również kierownictwo do odpowiedzialności za zapewnienie alokacji odpowiednich zasobów na wdrażanie i utrzymywanie skutecznych środków kontroli bezpieczeństwa informacji.
Niniejsza Polityka Bezpieczeństwa Informacji jest kluczowym elementem ram zarządzania bezpieczeństwem informacji Europejskiego Instytutu Certyfikacji IT i pokazuje nasze zaangażowanie w ochronę aktywów informacyjnych i przetwarzanych danych, zapewnienie poufności, prywatności, integralności i dostępności informacji oraz przestrzeganie wymogów regulacyjnych i umownych.