Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji Akademii EITCA

Niniejszy dokument określa politykę bezpieczeństwa informacji (ISP) Europejskiego Instytutu Certyfikacji IT, która jest regularnie przeglądana i aktualizowana w celu zapewnienia jej skuteczności i przydatności. Ostatnia aktualizacja Polityki Bezpieczeństwa Informacji EITCI miała miejsce 7 stycznia 2023 r.

Część 1. Wprowadzenie i Polityka bezpieczeństwa informacji

1.1. Wstęp

Europejski Instytut Certyfikacji IT uznaje znaczenie bezpieczeństwa informacji dla zachowania poufności, integralności i dostępności informacji oraz zaufania naszych interesariuszy. Zobowiązujemy się do ochrony informacji wrażliwych, w tym danych osobowych, przed nieautoryzowanym dostępem, ujawnieniem, zmianą i zniszczeniem. Utrzymujemy skuteczną Politykę Bezpieczeństwa Informacji, aby wspierać naszą misję świadczenia naszym klientom niezawodnych i bezstronnych usług certyfikacyjnych. Polityka bezpieczeństwa informacji określa nasze zobowiązanie do ochrony aktywów informacyjnych i wypełniania naszych zobowiązań prawnych, regulacyjnych i umownych. Nasza polityka opiera się na zasadach ISO 27001 i ISO 17024, wiodących międzynarodowych norm zarządzania bezpieczeństwem informacji i standardów działania jednostek certyfikujących.

1.2. Zasady prywatności

Europejski Instytut Certyfikacji IT zobowiązuje się do:

  • Ochrona poufności, integralności i dostępności zasobów informacyjnych,
  • Przestrzeganie zobowiązań prawnych, regulacyjnych i umownych związanych z bezpieczeństwem informacji i przetwarzaniem danych, wdrażanie procesów i operacji certyfikacyjnych,
  • Ciągłe doskonalenie polityki bezpieczeństwa informacji i związanego z nią systemu zarządzania,
  • Zapewnienie odpowiedniego szkolenia i świadomości pracowników, kontrahentów i uczestników,
  • Zaangażowanie wszystkich pracowników i kontrahentów we wdrażanie i utrzymywanie polityki bezpieczeństwa informacji oraz związanego z nią systemu zarządzania bezpieczeństwem informacji.

1.3. Zakres

Niniejsza polityka dotyczy wszystkich zasobów informacyjnych posiadanych, kontrolowanych lub przetwarzanych przez Europejski Instytut Certyfikacji IT. Obejmuje to wszystkie cyfrowe i fizyczne zasoby informacyjne, takie jak systemy, sieci, oprogramowanie, dane i dokumentację. Niniejsza polityka dotyczy również wszystkich pracowników, kontrahentów i zewnętrznych usługodawców uzyskujących dostęp do naszych zasobów informacyjnych.

1.4. Spełnienie

Europejski Instytut Certyfikacji IT zobowiązuje się do przestrzegania odpowiednich norm bezpieczeństwa informacji, w tym ISO 27001 i ISO 17024. Regularnie przeglądamy i aktualizujemy niniejszą politykę, aby zapewnić jej stałą aktualność i zgodność z tymi normami.

Część 2. Bezpieczeństwo organizacji

2.1. Cele bezpieczeństwa organizacji

Wdrażając organizacyjne środki bezpieczeństwa, dążymy do zapewnienia, że ​​nasze informacje, aktywa oraz praktyki i procedury przetwarzania danych są prowadzone z zachowaniem najwyższego poziomu bezpieczeństwa i integralności oraz że przestrzegamy odpowiednich przepisów i standardów prawnych.

2.2. Role i obowiązki w zakresie bezpieczeństwa informacji

Europejski Instytut Certyfikacji IT definiuje i komunikuje role i obowiązki w zakresie bezpieczeństwa informacji w całej organizacji. Obejmuje to przypisanie wyraźnej własności zasobów informacyjnych w kontekście bezpieczeństwa informacji, ustanowienie struktury zarządzania i zdefiniowanie konkretnych obowiązków dla różnych ról i działów w całej organizacji.

2.3 Zarządzanie ryzykiem

Przeprowadzamy regularne oceny ryzyka w celu identyfikacji i priorytetyzacji zagrożeń dla bezpieczeństwa informacji organizacji, w tym zagrożeń związanych z przetwarzaniem danych osobowych. Ustanawiamy odpowiednie kontrole w celu ograniczenia tych zagrożeń oraz regularnie przeglądamy i aktualizujemy nasze podejście do zarządzania ryzykiem w oparciu o zmiany w środowisku biznesowym i krajobrazie zagrożeń.

2.4. Zasady i procedury bezpieczeństwa informacji

Ustanawiamy i utrzymujemy zestaw polityk i procedur bezpieczeństwa informacji, które są oparte na najlepszych praktykach branżowych i są zgodne z odpowiednimi przepisami i normami. Te zasady i procedury obejmują wszystkie aspekty bezpieczeństwa informacji, w tym przetwarzanie danych osobowych, i są regularnie przeglądane i aktualizowane w celu zapewnienia ich skuteczności.

2.5. Świadomość bezpieczeństwa i szkolenia

Zapewniamy regularne programy uświadamiające i szkoleniowe w zakresie bezpieczeństwa wszystkim pracownikom, wykonawcom i partnerom zewnętrznym, którzy mają dostęp do danych osobowych lub innych poufnych informacji. To szkolenie obejmuje takie tematy, jak phishing, inżynieria społeczna, higiena haseł i inne najlepsze praktyki w zakresie bezpieczeństwa informacji.

2.6. Bezpieczeństwo fizyczne i środowiskowe

Wdrażamy odpowiednie środki bezpieczeństwa fizycznego i środowiskowego w celu ochrony przed nieupoważnionym dostępem, uszkodzeniem lub ingerencją w nasze obiekty i systemy informatyczne. Obejmuje to takie środki, jak kontrola dostępu, nadzór, monitorowanie oraz rezerwowe systemy zasilania i chłodzenia.

2.7. Zarządzanie incydentami związanymi z bezpieczeństwem informacji

Ustanowiliśmy proces zarządzania incydentami, który pozwala nam szybko i skutecznie reagować na wszelkie incydenty związane z bezpieczeństwem informacji, które mogą wystąpić. Obejmuje to procedury zgłaszania, eskalacji, badania i rozwiązywania incydentów, a także środki zapobiegające ich ponownemu wystąpieniu i poprawiające nasze możliwości reagowania na incydenty.

2.8. Ciągłość operacyjna i odzyskiwanie po awarii

Opracowaliśmy i przetestowaliśmy plany ciągłości operacyjnej i przywracania po awarii, które umożliwiają nam utrzymanie naszych krytycznych funkcji operacyjnych i usług w przypadku zakłócenia lub katastrofy. Plany te obejmują procedury tworzenia kopii zapasowych i odzyskiwania danych i systemów oraz środki zapewniające dostępność i integralność danych osobowych.

2.9. Zarządzanie przez osoby trzecie

Ustanawiamy i utrzymujemy odpowiednie kontrole zarządzania ryzykiem związanym z partnerami zewnętrznymi, którzy mają dostęp do danych osobowych lub innych poufnych informacji. Obejmuje to środki takie jak należyta staranność, zobowiązania umowne, monitorowanie i audyty, a także środki służące rozwiązaniu partnerstwa w razie potrzeby.

Część 3. Bezpieczeństwo zasobów ludzkich

3.1. Badanie zatrudnienia

Europejski Instytut Certyfikacji IT ustanowił proces sprawdzania zatrudnienia, aby upewnić się, że osoby mające dostęp do poufnych informacji są godne zaufania i posiadają niezbędne umiejętności i kwalifikacje.

3.2. Kontrola dostępu

Ustanowiliśmy zasady i procedury kontroli dostępu, aby zapewnić, że pracownicy mają dostęp tylko do informacji niezbędnych do wykonywania ich obowiązków służbowych. Prawa dostępu są regularnie przeglądane i aktualizowane, aby zapewnić pracownikom dostęp tylko do potrzebnych im informacji.

3.3. Świadomość i szkolenie w zakresie bezpieczeństwa informacji

Regularnie przeprowadzamy szkolenia w zakresie świadomości bezpieczeństwa informacji dla wszystkich pracowników. Szkolenie obejmuje takie tematy, jak bezpieczeństwo haseł, ataki phishingowe, socjotechnika i inne aspekty cyberbezpieczeństwa.

3.4. Dopuszczalne użycie

Ustanowiliśmy zasady dopuszczalnego użytkowania, które określają dopuszczalne wykorzystanie systemów i zasobów informatycznych, w tym urządzeń osobistych używanych do celów służbowych.

3.5. Bezpieczeństwo urządzeń mobilnych

Ustaliliśmy zasady i procedury dotyczące bezpiecznego korzystania z urządzeń mobilnych, w tym stosowania kodów dostępu, szyfrowania i funkcji zdalnego wymazywania danych.

3.6. Procedury zakończenia

Europejski Instytut Certyfikacji IT ustanowił procedury rozwiązania stosunku pracy lub umowy, aby zapewnić szybkie i bezpieczne cofnięcie dostępu do informacji wrażliwych.

3.7. Personel strony trzeciej

Ustanowiliśmy procedury zarządzania personelem strony trzeciej, który ma dostęp do informacji wrażliwych. Zasady te obejmują badania przesiewowe, kontrolę dostępu i szkolenie w zakresie świadomości bezpieczeństwa informacji.

3.8. Zgłaszanie incydentów

Ustanowiliśmy zasady i procedury zgłaszania incydentów lub obaw związanych z bezpieczeństwem informacji odpowiedniemu personelowi lub władzom.

3.9. Umowy o zachowaniu poufności

Europejski Instytut Certyfikacji IT wymaga od pracowników i kontrahentów podpisania umów o zachowaniu poufności w celu ochrony poufnych informacji przed nieupoważnionym ujawnieniem.

3.10. Działania dyscyplinarne

Europejski Instytut Certyfikacji IT ustanowił zasady i procedury postępowania dyscyplinarnego w przypadku naruszenia polityki bezpieczeństwa informacji przez pracowników lub kontrahentów.

Część 4. Ocena i zarządzanie ryzykiem

4.1. Ocena ryzyka

Przeprowadzamy okresowe oceny ryzyka w celu zidentyfikowania potencjalnych zagrożeń i słabych punktów w naszych zasobach informacyjnych. Stosujemy ustrukturyzowane podejście do identyfikowania, analizowania, oceny i ustalania priorytetów ryzyka w oparciu o ich prawdopodobieństwo i potencjalny wpływ. Oceniamy ryzyko związane z naszymi zasobami informacyjnymi, w tym systemami, sieciami, oprogramowaniem, danymi i dokumentacją.

4.2. Leczenie ryzyka

Stosujemy proces postępowania z ryzykiem w celu złagodzenia lub ograniczenia ryzyka do akceptowalnego poziomu. Proces postępowania z ryzykiem obejmuje wybór odpowiednich kontroli, wdrożenie kontroli oraz monitorowanie skuteczności kontroli. Priorytetowo traktujemy wdrażanie kontroli w oparciu o poziom ryzyka, dostępne zasoby i priorytety biznesowe.

4.3. Monitorowanie i przegląd ryzyka

Regularnie monitorujemy i dokonujemy przeglądu skuteczności naszego procesu zarządzania ryzykiem, aby zapewnić, że pozostaje on odpowiedni i skuteczny. Używamy mierników i wskaźników do mierzenia wydajności naszego procesu zarządzania ryzykiem i identyfikowania możliwości poprawy. Dokonujemy również przeglądu naszego procesu zarządzania ryzykiem w ramach okresowych przeglądów zarządzania, aby zapewnić jego ciągłą przydatność, adekwatność i skuteczność.

4.4. Planowanie reakcji na ryzyko

Posiadamy plan reagowania na ryzyko, aby zapewnić skuteczną reakcję na wszelkie zidentyfikowane ryzyka. Plan ten obejmuje procedury identyfikowania i raportowania ryzyk, a także procesy oceny potencjalnego wpływu każdego ryzyka i określania odpowiednich działań reagowania. Posiadamy również plany awaryjne w celu zapewnienia ciągłości działania w przypadku wystąpienia znaczącego zdarzenia ryzyka.

4.5. Analiza wpływu operacyjnego

Przeprowadzamy okresowe analizy wpływu na działalność biznesową, aby zidentyfikować potencjalny wpływ zakłóceń na naszą działalność biznesową. Analiza ta obejmuje ocenę krytyczności naszych funkcji biznesowych, systemów i danych, a także ocenę potencjalnego wpływu zakłóceń na naszych klientów, pracowników i innych interesariuszy.

4.6. Zarządzanie ryzykiem strony trzeciej

Posiadamy program zarządzania ryzykiem stron trzecich, aby zapewnić, że nasi dostawcy i inni zewnętrzni usługodawcy również odpowiednio zarządzają ryzykiem. Program ten obejmuje kontrole należytej staranności przed podjęciem współpracy ze stronami trzecimi, bieżące monitorowanie działań osób trzecich oraz okresowe oceny praktyk zarządzania ryzykiem osób trzecich.

4.7. Reagowanie na incydenty i zarządzanie nimi

Posiadamy plan reagowania na incydenty i zarządzania nimi, aby zapewnić skuteczną reakcję na wszelkie incydenty związane z bezpieczeństwem. Plan ten obejmuje procedury identyfikacji i zgłaszania incydentów, a także procesy oceny wpływu każdego incydentu i określania odpowiednich działań reagowania. Posiadamy również plan ciągłości działania, który zapewnia kontynuację krytycznych funkcji biznesowych w przypadku poważnego incydentu.

Część 5. Bezpieczeństwo fizyczne i środowiskowe

5.1. Obwód bezpieczeństwa fizycznego

Ustanowiliśmy fizyczne środki bezpieczeństwa, aby chronić fizyczne obiekty i poufne informacje przed nieautoryzowanym dostępem.

5.2. Kontrola dostępu

Ustanowiliśmy zasady i procedury kontroli dostępu do obiektów fizycznych, aby zapewnić, że tylko upoważniony personel ma dostęp do poufnych informacji.

5.3. Bezpieczeństwo sprzętu

Zapewniamy, że cały sprzęt zawierający poufne informacje jest fizycznie zabezpieczony, a dostęp do tego sprzętu jest ograniczony wyłącznie do upoważnionego personelu.

5.4. Bezpieczna utylizacja

Ustanowiliśmy procedury bezpiecznego usuwania informacji wrażliwych, w tym dokumentów papierowych, nośników elektronicznych i sprzętu.

5.5. Środowisko fizyczne

Zapewniamy, że fizyczne środowisko pomieszczeń, w tym temperatura, wilgotność i oświetlenie, jest odpowiednie do ochrony poufnych informacji.

5.6. Zasilacz

Dbamy o to, aby zasilanie lokalu było niezawodne i zabezpieczone przed przerwami w dostawie prądu czy przepięciami.

5.7. Ochrona przeciwpożarowa

Ustaliliśmy zasady i procedury ochrony przeciwpożarowej, w tym instalację i konserwację systemów wykrywania i gaszenia pożaru.

5.8. Ochrona przed szkodami wodnymi

Ustanowiliśmy zasady i procedury ochrony poufnych informacji przed szkodami spowodowanymi przez wodę, w tym instalację i konserwację systemów wykrywania i zapobiegania powodziom.

5.9. Konserwacja sprzętu

Ustanowiliśmy procedury konserwacji sprzętu, w tym kontroli sprzętu pod kątem oznak manipulacji lub nieautoryzowanego dostępu.

5.10. Dopuszczalne użycie

Ustanowiliśmy politykę dopuszczalnego użytkowania, która określa dopuszczalne wykorzystanie zasobów fizycznych i obiektów.

5.11. Zdalny dostęp

Ustaliliśmy zasady i procedury dotyczące zdalnego dostępu do informacji wrażliwych, w tym korzystania z bezpiecznych połączeń i szyfrowania.

5.12. Monitorowanie i nadzór

Ustanowiliśmy zasady i procedury monitorowania i nadzoru fizycznych pomieszczeń i sprzętu w celu wykrywania i zapobiegania nieautoryzowanemu dostępowi lub manipulacjom.

Część. 6. Bezpieczeństwo komunikacji i operacji

6.1. Zarządzanie bezpieczeństwem sieci

Ustaliliśmy zasady i procedury zarządzania bezpieczeństwem sieci, w tym stosowanie zapór ogniowych, systemów wykrywania i zapobiegania włamaniom oraz regularne audyty bezpieczeństwa.

6.2. Transfer informacji

Ustanowiliśmy zasady i procedury bezpiecznego przesyłania poufnych informacji, w tym stosowanie szyfrowania i bezpiecznych protokołów przesyłania plików.

6.3. Komunikacja osób trzecich

Ustanowiliśmy zasady i procedury dotyczące bezpiecznej wymiany poufnych informacji z organizacjami zewnętrznymi, w tym korzystania z bezpiecznych połączeń i szyfrowania.

6.4. Obsługa mediów

Ustanowiliśmy procedury postępowania z informacjami wrażliwymi w różnych formach nośników, w tym w dokumentach papierowych, mediach elektronicznych i przenośnych urządzeniach pamięci masowej.

6.5. Rozwój i utrzymanie systemów informatycznych

Ustanowiliśmy zasady i procedury dotyczące rozwoju i utrzymania systemów informatycznych, w tym stosowania praktyk bezpiecznego kodowania, regularnych aktualizacji oprogramowania i zarządzania poprawkami.

6.6. Ochrona przed złośliwym oprogramowaniem i wirusami

Ustanowiliśmy zasady i procedury ochrony systemów informatycznych przed złośliwym oprogramowaniem i wirusami, w tym stosowanie oprogramowania antywirusowego i regularne aktualizacje zabezpieczeń.

6.7. Tworzenie kopii zapasowych i przywracanie

Ustanowiliśmy zasady i procedury dotyczące tworzenia kopii zapasowych i przywracania poufnych informacji, aby zapobiec utracie lub uszkodzeniu danych.

6.8. Zarządzanie wydarzeniami

Ustanowiliśmy zasady i procedury dotyczące identyfikacji, badania i rozwiązywania incydentów i zdarzeń związanych z bezpieczeństwem.

6.9. Zarządzanie lukami w zabezpieczeniach

Ustanowiliśmy zasady i procedury zarządzania lukami w systemie informatycznym, w tym regularne oceny podatności i zarządzanie poprawkami.

6.10. Kontrola dostępu

Ustanowiliśmy zasady i procedury zarządzania dostępem użytkowników do systemów informatycznych, w tym stosowanie kontroli dostępu, uwierzytelnianie użytkowników i regularne przeglądy dostępu.

6.11. Monitorowanie i rejestrowanie

Ustanowiliśmy zasady i procedury dotyczące monitorowania i rejestrowania działań systemu informatycznego, w tym korzystania ze ścieżek audytu i rejestrowania incydentów bezpieczeństwa.

Część 7. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych

7.1. Wymagania

Ustanowiliśmy zasady i procedury dotyczące identyfikacji wymagań systemu informatycznego, w tym wymagań biznesowych, wymagań prawnych i regulacyjnych oraz wymagań dotyczących bezpieczeństwa.

7.2. Relacje z dostawcami

Ustanowiliśmy zasady i procedury dotyczące zarządzania relacjami z zewnętrznymi dostawcami systemów i usług informatycznych, w tym oceny praktyk bezpieczeństwa dostawców.

7.3. Rozwój systemu

Ustanowiliśmy zasady i procedury bezpiecznego rozwoju systemów informatycznych, w tym stosowanie praktyk bezpiecznego kodowania, regularne testowanie i zapewnianie jakości.

7.4. Testowanie systemu

Ustaliliśmy zasady i procedury dotyczące testowania systemów informatycznych, w tym testowania funkcjonalności, testowania wydajności i testowania bezpieczeństwa.

7.5. Akceptacja systemu

Ustanowiliśmy zasady i procedury akceptacji systemów informatycznych, w tym zatwierdzania wyników testów, ocen bezpieczeństwa i testów akceptacyjnych użytkowników.

7.6. Konserwacja systemu

Ustaliliśmy zasady i procedury dotyczące konserwacji systemów informatycznych, w tym regularnych aktualizacji, poprawek bezpieczeństwa i tworzenia kopii zapasowych systemu.

7.7. Wycofanie systemu

Ustanowiliśmy zasady i procedury wycofywania systemów informatycznych, w tym bezpieczne usuwanie sprzętu i danych.

7.8. Zatrzymywanie danych

Ustanowiliśmy zasady i procedury dotyczące przechowywania danych zgodnie z wymogami prawnymi i regulacyjnymi, w tym bezpiecznego przechowywania i usuwania danych wrażliwych.

7.9. Wymagania bezpieczeństwa dla systemów informatycznych

Ustanowiliśmy zasady i procedury dotyczące identyfikacji i wdrażania wymagań bezpieczeństwa dla systemów informatycznych, w tym kontroli dostępu, szyfrowania i ochrony danych.

7.10. Bezpieczne środowiska programistyczne

Ustanowiliśmy zasady i procedury dotyczące bezpiecznych środowisk programistycznych dla systemów informatycznych, w tym stosowanie bezpiecznych praktyk programistycznych, kontroli dostępu i bezpiecznych konfiguracji sieciowych.

7.11. Ochrona środowisk testowych

Ustanowiliśmy zasady i procedury ochrony środowisk testowych dla systemów informatycznych, w tym stosowanie bezpiecznych konfiguracji, kontroli dostępu i regularnych testów bezpieczeństwa.

7.12. Zasady bezpiecznej inżynierii systemów

Ustanowiliśmy zasady i procedury wdrażania zasad inżynierii bezpiecznych systemów dla systemów informatycznych, w tym stosowania architektur bezpieczeństwa, modelowania zagrożeń i praktyk bezpiecznego kodowania.

7.13. Bezpieczne wytyczne dotyczące kodowania

Ustanowiliśmy zasady i procedury dotyczące wdrażania wytycznych dotyczących bezpiecznego kodowania systemów informatycznych, w tym stosowania standardów kodowania, przeglądów kodu i testów automatycznych.

Część 8. Pozyskiwanie sprzętu

8.1. Przestrzeganie standardów

Przestrzegamy normy ISO 27001 dotyczącej systemu zarządzania bezpieczeństwem informacji (ISMS), aby zapewnić, że zakup zasobów sprzętowych jest zgodny z naszymi wymogami bezpieczeństwa.

8.2. Ocena ryzyka

Przed zakupem zasobów sprzętowych przeprowadzamy ocenę ryzyka, aby zidentyfikować potencjalne zagrożenia bezpieczeństwa i upewnić się, że wybrany sprzęt spełnia wymagania bezpieczeństwa.

8.3. Wybór dostawców

Zaopatrujemy się w zasoby sprzętowe wyłącznie od zaufanych dostawców, którzy mają udokumentowane doświadczenie w dostarczaniu bezpiecznych produktów. Sprawdzamy zasady i praktyki bezpieczeństwa dostawców i wymagamy od nich zapewnienia, że ​​ich produkty spełniają nasze wymagania bezpieczeństwa.

8.4. Bezpieczny transport

Zapewniamy, że zasoby sprzętowe są bezpiecznie transportowane do naszych obiektów, aby zapobiec manipulacjom, uszkodzeniom lub kradzieży podczas transportu.

8.5. Weryfikacja autentyczności

Weryfikujemy autentyczność zasobów sprzętowych w momencie dostawy, aby upewnić się, że nie są one podrobione lub naruszone.

8.6. Kontrole fizyczne i środowiskowe

Wdrażamy odpowiednie środki kontroli fizycznej i środowiskowej, aby chronić zasoby sprzętowe przed nieautoryzowanym dostępem, kradzieżą lub uszkodzeniem.

8.7. Instalacja sprzętu

Zapewniamy, że wszystkie zasoby sprzętowe są konfigurowane i instalowane zgodnie z ustalonymi standardami i wytycznymi bezpieczeństwa.

8.8. Recenzje sprzętu

Przeprowadzamy okresowe przeglądy zasobów sprzętowych, aby upewnić się, że nadal spełniają one nasze wymagania dotyczące bezpieczeństwa i są na bieżąco z najnowszymi poprawkami i aktualizacjami zabezpieczeń.

8.9. Utylizacja sprzętu

Dysponujemy zasobami sprzętowymi w bezpieczny sposób, aby zapobiec nieautoryzowanemu dostępowi do poufnych informacji.

Część 9. Ochrona przed złośliwym oprogramowaniem i wirusami

9.1. Zasady aktualizacji oprogramowania

Utrzymujemy aktualne oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem na wszystkich systemach informatycznych używanych przez Europejski Instytut Certyfikacji IT, w tym na serwerach, stacjach roboczych, laptopach i urządzeniach mobilnych. Zapewniamy, że oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem jest skonfigurowane w taki sposób, że regularnie aktualizuje pliki definicji wirusów i wersje oprogramowania oraz że proces ten jest regularnie testowany.

9.2. Skanowanie antywirusowe i złośliwe oprogramowanie

Regularnie skanujemy wszystkie systemy informatyczne, w tym serwery, stacje robocze, laptopy i urządzenia mobilne, aby wykryć i usunąć wszelkie wirusy lub złośliwe oprogramowanie.

9.3. Zasady zakazu wyłączania i wprowadzania zmian

Egzekwujemy zasady, które zabraniają użytkownikom wyłączania lub modyfikowania oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem w jakimkolwiek systemie informatycznym.

9.4. Monitorowanie

Monitorujemy alerty i dzienniki naszego oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, aby zidentyfikować wszelkie przypadki infekcji wirusami lub złośliwym oprogramowaniem i odpowiednio na nie reagować.

9.5. Prowadzenie ewidencji

Prowadzimy rejestry konfiguracji, aktualizacji i skanowań oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, a także wszelkie przypadki infekcji wirusami lub złośliwym oprogramowaniem do celów audytu.

9.6. Recenzje oprogramowania

Przeprowadzamy okresowe przeglądy naszego oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, aby upewnić się, że spełnia ono aktualne standardy branżowe i jest adekwatne do naszych potrzeb.

9.7. Szkolenie i świadomość

Zapewniamy szkolenia i programy uświadamiające, aby edukować wszystkich pracowników w zakresie ochrony przed wirusami i złośliwym oprogramowaniem oraz w jaki sposób rozpoznawać i zgłaszać wszelkie podejrzane działania lub incydenty.

Część 10. Zarządzanie zasobami informacyjnymi

10.1. Inwentaryzacja zasobów informacyjnych

Europejski Instytut Certyfikacji IT prowadzi wykaz zasobów informacyjnych, który obejmuje wszystkie cyfrowe i fizyczne zasoby informacyjne, takie jak systemy, sieci, oprogramowanie, dane i dokumentację. Klasyfikujemy zasoby informacyjne na podstawie ich krytyczności i wrażliwości, aby zapewnić wdrożenie odpowiednich środków ochrony.

10.2. Obsługa zasobów informacyjnych

Wdrażamy odpowiednie środki w celu ochrony zasobów informacyjnych w oparciu o ich klasyfikację, w tym poufność, integralność i dostępność. Zapewniamy, że wszystkie zasoby informacyjne są obsługiwane zgodnie z obowiązującymi przepisami prawa, regulacjami i wymogami umownymi. Zapewniamy również, że wszystkie zasoby informacyjne są odpowiednio przechowywane, chronione i usuwane, gdy nie są już potrzebne.

10.3. Własność zasobów informacyjnych

Przypisujemy własność zasobów informacyjnych osobom lub działom odpowiedzialnym za zarządzanie zasobami informacyjnymi i ich ochronę. Zapewniamy również, że właściciele zasobów informacyjnych rozumieją swoje obowiązki i odpowiedzialność za ochronę zasobów informacyjnych.

10.4. Ochrona zasobów informacyjnych

W celu ochrony zasobów informacyjnych stosujemy różnorodne środki ochrony, w tym fizyczne kontrole, kontrolę dostępu, szyfrowanie oraz procesy tworzenia kopii zapasowych i odzyskiwania. Zapewniamy również, że wszystkie zasoby informacyjne są chronione przed nieautoryzowanym dostępem, modyfikacją lub zniszczeniem.

Część 11. Kontrola dostępu

11.1. Zasady kontroli dostępu

Europejski Instytut Certyfikacji IT posiada Politykę kontroli dostępu, która określa wymagania dotyczące przyznawania, modyfikowania i cofania dostępu do zasobów informacyjnych. Kontrola dostępu jest kluczowym elementem naszego systemu zarządzania bezpieczeństwem informacji i wdrażamy ją w celu zapewnienia, że ​​tylko upoważnione osoby mają dostęp do naszych zasobów informacyjnych.

11.2. Implementacja kontroli dostępu

Wdrażamy środki kontroli dostępu w oparciu o zasadę najmniejszych uprawnień, co oznacza, że ​​osoby mają dostęp tylko do zasobów informacyjnych niezbędnych do wykonywania ich funkcji służbowych. Używamy różnych środków kontroli dostępu, w tym uwierzytelniania, autoryzacji i rozliczania (AAA). Używamy również list kontroli dostępu (ACL) i uprawnień do kontrolowania dostępu do zasobów informacyjnych.

11.3. Zasady dotyczące haseł

Europejski Instytut Certyfikacji IT posiada Zasady dotyczące haseł, które określają wymagania dotyczące tworzenia haseł i zarządzania nimi. Wymagamy silnych haseł składających się z co najmniej 8 znaków, zawierających kombinację wielkich i małych liter, cyfr i znaków specjalnych. Wymagamy również okresowej zmiany hasła i zabraniamy ponownego wykorzystywania poprzednich haseł.

11.4. Zarządzanie użytkownikami

Mamy proces zarządzania użytkownikami, który obejmuje tworzenie, modyfikowanie i usuwanie kont użytkowników. Konta użytkowników są tworzone w oparciu o zasadę najmniejszych uprawnień, a dostęp jest przyznawany tylko do zasobów informacyjnych niezbędnych do wykonywania funkcji służbowych danej osoby. Regularnie sprawdzamy również konta użytkowników i usuwamy konta, które nie są już potrzebne.

Część 12. Zarządzanie incydentami związanymi z bezpieczeństwem informacji

12.1. Zasady zarządzania incydentami

Europejski Instytut Certyfikacji IT posiada Politykę zarządzania incydentami, która określa wymagania dotyczące wykrywania, zgłaszania, oceny i reagowania na incydenty bezpieczeństwa. Incydenty związane z bezpieczeństwem definiujemy jako każde zdarzenie, które zagraża poufności, integralności lub dostępności zasobów informacyjnych lub systemów.

12.2. Wykrywanie incydentów i raportowanie

Wdrażamy środki w celu szybkiego wykrywania i zgłaszania incydentów bezpieczeństwa. Używamy różnych metod wykrywania incydentów związanych z bezpieczeństwem, w tym systemów wykrywania włamań (IDS), oprogramowania antywirusowego i raportowania użytkowników. Dbamy również o to, aby wszyscy pracownicy byli świadomi procedur zgłaszania incydentów bezpieczeństwa i zachęcamy do zgłaszania wszystkich podejrzewanych incydentów.

12.3. Ocena incydentu i reakcja

Mamy proces oceny incydentów bezpieczeństwa i reagowania na nie w oparciu o ich wagę i wpływ. Priorytetujemy incydenty na podstawie ich potencjalnego wpływu na zasoby informacyjne lub systemy i przydzielamy odpowiednie zasoby, aby na nie reagować. Posiadamy również plan reagowania, który obejmuje procedury identyfikowania, powstrzymywania, analizowania, eliminowania i usuwania incydentów związanych z bezpieczeństwem, a także powiadamiania odpowiednich stron i przeprowadzania przeglądów po incydencie. Nasze procedury reagowania na incydenty mają na celu zapewnienie szybkiej i skutecznej reakcji do incydentów bezpieczeństwa. Procedury są regularnie przeglądane i aktualizowane w celu zapewnienia ich skuteczności i przydatności.

12.4. Zespół Reagowania na Incydenty

Mamy zespół reagowania na incydenty (IRT), który jest odpowiedzialny za reagowanie na incydenty związane z bezpieczeństwem. IRT składa się z przedstawicieli różnych jednostek i jest kierowany przez Inspektora Bezpieczeństwa Informacji (ISO). IRT jest odpowiedzialny za ocenę wagi incydentów, powstrzymanie incydentu i zainicjowanie odpowiednich procedur reagowania.

12.5. Zgłaszanie i przegląd incydentów

Ustanowiliśmy procedury zgłaszania incydentów bezpieczeństwa odpowiednim stronom, w tym klientom, organom regulacyjnym i organom ścigania, zgodnie z obowiązującymi przepisami prawa i regulacjami. Utrzymujemy również komunikację z zainteresowanymi stronami w trakcie całego procesu reagowania na incydenty, dostarczając aktualnych informacji o stanie incydentu i wszelkich działaniach podejmowanych w celu złagodzenia jego skutków. Przeprowadzamy również przegląd wszystkich incydentów związanych z bezpieczeństwem, aby zidentyfikować ich przyczynę i zapobiec występowaniu podobnych incydentów w przyszłości.

Część 13. Zarządzanie ciągłością działania i odzyskiwanie po awarii

13.1. Planowanie ciągłości działania

Chociaż Europejski Instytut Certyfikacji IT jest organizacją non-profit, posiada plan ciągłości działania (BCP), który określa procedury zapewniające ciągłość jego działania w przypadku zakłócającego incydentu. BCP obejmuje wszystkie krytyczne procesy operacyjne i identyfikuje zasoby wymagane do utrzymania operacji podczas i po zakłóceniowym incydencie. Przedstawia również procedury utrzymania działalności biznesowej podczas zakłócenia lub katastrofy, ocenę wpływu zakłóceń, identyfikację najbardziej krytycznych procesów operacyjnych w kontekście konkretnego zakłócającego incydentu oraz opracowanie procedur reagowania i odzyskiwania.

13.2. Planowanie odzyskiwania po awarii

Europejski Instytut Certyfikacji IT posiada plan odzyskiwania po awarii (DRP), który określa procedury przywracania naszych systemów informatycznych w przypadku zakłócenia lub katastrofy. DRP obejmuje procedury tworzenia kopii zapasowych danych, przywracania danych i odzyskiwania systemu. DRP jest regularnie testowany i aktualizowany, aby zapewnić jego skuteczność.

13.3. Analiza wpływu na biznes

Przeprowadzamy analizę wpływu na biznes (BIA), aby zidentyfikować krytyczne procesy operacyjne i zasoby wymagane do ich utrzymania. BIA pomaga nam ustalać priorytety naszych działań naprawczych i odpowiednio przydzielać zasoby.

13.4. Strategia ciągłości biznesowej

Na podstawie wyników BIA opracowujemy Strategię Ciągłości Działania, która określa procedury reagowania na zakłócający incydent. Strategia zawiera procedury uruchamiania BCP, przywracania krytycznych procesów operacyjnych oraz komunikowania się z odpowiednimi interesariuszami.

13.5. Testowanie i konserwacja

Regularnie testujemy i utrzymujemy nasze BCP i DRP, aby zapewnić ich skuteczność i przydatność. Przeprowadzamy regularne testy w celu walidacji BCP/DRP i identyfikacji obszarów wymagających poprawy. W razie potrzeby aktualizujemy również BCP i DRP, aby odzwierciedlić zmiany w naszej działalności lub krajobrazie zagrożeń. Testowanie obejmuje ćwiczenia stacjonarne, symulacje i testowanie procedur na żywo. Dokonujemy również przeglądu i aktualizacji naszych planów na podstawie wyników testów i wyciągniętych wniosków.

13.6. Alternatywne miejsca przetwarzania

Utrzymujemy alternatywne witryny przetwarzania online, które można wykorzystać do kontynuowania działalności biznesowej w przypadku zakłócenia lub katastrofy. Alternatywne miejsca przetwarzania są wyposażone w niezbędną infrastrukturę i systemy i mogą być wykorzystywane do obsługi krytycznych procesów biznesowych.

Część 14. Zgodność i audyt

14.1. Zgodność z prawem i regulacjami

Europejski Instytut Certyfikacji IT zobowiązuje się do przestrzegania wszystkich obowiązujących praw i przepisów związanych z bezpieczeństwem informacji i prywatnością, w tym przepisów o ochronie danych, standardów branżowych i zobowiązań umownych. Regularnie przeglądamy i aktualizujemy nasze zasady, procedury i kontrole, aby zapewnić zgodność ze wszystkimi odpowiednimi wymaganiami i standardami. Główne standardy i ramy, którymi się kierujemy w kontekście bezpieczeństwa informacji, obejmują:

  1. Norma ISO/IEC 27001 zawierająca wytyczne dotyczące wdrażania i zarządzania systemem zarządzania bezpieczeństwem informacji (ISMS), którego kluczowym elementem jest zarządzanie podatnościami na zagrożenia. Zapewnia ramy referencyjne do wdrażania i utrzymywania naszego systemu zarządzania bezpieczeństwem informacji (ISMS), w tym zarządzania podatnościami na zagrożenia. Zgodnie z postanowieniami tego standardu identyfikujemy, oceniamy i zarządzamy zagrożeniami dla bezpieczeństwa informacji, w tym słabymi punktami.
  2. Ramy bezpieczeństwa cybernetycznego amerykańskiego Narodowego Instytutu Standardów i Technologii (NIST) zawierające wytyczne dotyczące identyfikowania, oceny i zarządzania zagrożeniami dla bezpieczeństwa cybernetycznego, w tym zarządzania lukami w zabezpieczeniach.
  3. Ramy bezpieczeństwa cybernetycznego Narodowego Instytutu Standardów i Technologii (NIST) w celu poprawy zarządzania ryzykiem cybernetycznym, z podstawowym zestawem funkcji, w tym zarządzaniem lukami w zabezpieczeniach, których przestrzegamy, aby zarządzać naszymi zagrożeniami cybernetycznymi.
  4. SANS Critical Security Controls zawiera zestaw 20 kontroli bezpieczeństwa w celu poprawy bezpieczeństwa cybernetycznego, obejmujących szereg obszarów, w tym zarządzanie lukami w zabezpieczeniach, dostarczanie szczegółowych wskazówek dotyczących skanowania luk w zabezpieczeniach, zarządzania poprawkami i innych aspektów zarządzania lukami w zabezpieczeniach.
  5. Payment Card Industry Data Security Standard (PCI DSS), wymagający obsługi informacji o kartach kredytowych w odniesieniu do zarządzania lukami w tym kontekście.
  6. Centrum Kontroli Bezpieczeństwa w Internecie (CIS), w tym zarządzanie lukami w zabezpieczeniach, jako jeden z kluczowych mechanizmów zapewniających bezpieczną konfigurację naszych systemów informatycznych.
  7. Open Web Application Security Project (OWASP) z listą 10 najbardziej krytycznych zagrożeń bezpieczeństwa aplikacji internetowych, w tym oceną podatności, takich jak wstrzykiwanie ataków, zepsute uwierzytelnianie i zarządzanie sesją, cross-site scripting (XSS) itp. Używamy OWASP Top 10, aby nadać priorytet naszym wysiłkom związanym z zarządzaniem lukami w zabezpieczeniach i skoncentrować się na najbardziej krytycznych zagrożeniach związanych z naszymi systemami internetowymi.

14.2. Audyt wewnętrzny

Przeprowadzamy regularne audyty wewnętrzne, aby ocenić skuteczność naszego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i upewnić się, że nasze zasady, procedury i kontrole są przestrzegane. Proces audytu wewnętrznego obejmuje identyfikację niezgodności, opracowanie działań korygujących oraz śledzenie działań naprawczych.

14.3. Audyt zewnętrzny

Okresowo współpracujemy z zewnętrznymi audytorami, aby zweryfikować naszą zgodność z obowiązującymi przepisami prawa, regulacjami i standardami branżowymi. Zapewniamy audytorom dostęp do naszych obiektów, systemów i dokumentacji zgodnie z wymaganiami w celu sprawdzenia zgodności z przepisami. Współpracujemy również z audytorami zewnętrznymi w celu uwzględnienia wszelkich ustaleń lub zaleceń zidentyfikowanych podczas procesu audytu.

14.4. Monitorowanie zgodności

Na bieżąco monitorujemy naszą zgodność z obowiązującymi przepisami, regulacjami i standardami branżowymi. Stosujemy różne metody monitorowania zgodności, w tym okresowe oceny, audyty i przeglądy dostawców zewnętrznych. Regularnie przeglądamy i aktualizujemy nasze zasady, procedury i kontrole, aby zapewnić ciągłą zgodność ze wszystkimi odpowiednimi wymaganiami.

Część 15. Zarządzanie zewnętrzne

15.1. Zasady zarządzania stronami trzecimi

Europejski Instytut Certyfikacji IT posiada Politykę zarządzania podmiotami zewnętrznymi, która określa wymagania dotyczące wyboru, oceny i monitorowania dostawców zewnętrznych, którzy mają dostęp do naszych zasobów informacyjnych lub systemów. Zasady dotyczą wszystkich zewnętrznych dostawców, w tym dostawców usług w chmurze, dostawców i wykonawców.

15.2. Wybór i ocena strony trzeciej

Przed nawiązaniem współpracy z zewnętrznymi dostawcami przeprowadzamy analizę due diligence, aby upewnić się, że stosują oni odpowiednie środki kontroli bezpieczeństwa w celu ochrony naszych zasobów informacyjnych lub systemów. Oceniamy również zgodność dostawców zewnętrznych z obowiązującymi przepisami prawa i regulacjami dotyczącymi bezpieczeństwa informacji i prywatności.

15.3. Monitorowanie stron trzecich

Na bieżąco monitorujemy dostawców zewnętrznych, aby upewnić się, że nadal spełniają nasze wymagania dotyczące bezpieczeństwa informacji i prywatności. Używamy różnych metod monitorowania zewnętrznych dostawców, w tym okresowych ocen, audytów i przeglądów raportów o incydentach związanych z bezpieczeństwem.

15.4. Wymagania umowne

We wszystkich umowach z dostawcami zewnętrznymi uwzględniamy wymagania umowne związane z bezpieczeństwem informacji i prywatnością. Wymagania te obejmują przepisy dotyczące ochrony danych, kontroli bezpieczeństwa, zarządzania incydentami i monitorowania zgodności. Zawieramy również zapisy dotyczące rozwiązania umów w przypadku incydentu bezpieczeństwa lub niezgodności.

Część 16. Bezpieczeństwo informacji w procesach certyfikacji

16.1 Bezpieczeństwo procesów certyfikacji

Podejmujemy odpowiednie i systemowe działania w celu zapewnienia bezpieczeństwa wszystkich informacji związanych z naszymi procesami certyfikacyjnymi, w tym danych osobowych osób ubiegających się o certyfikację. Obejmuje to kontrole dostępu, przechowywania i przesyłania wszystkich informacji związanych z certyfikacją. Wdrażając te działania, dążymy do tego, aby procesy certyfikacji przebiegały z zachowaniem najwyższego poziomu bezpieczeństwa i integralności, a dane osobowe osób ubiegających się o certyfikację były chronione zgodnie z odpowiednimi przepisami i standardami.

16.2. Uwierzytelnianie i autoryzacja

Używamy kontroli uwierzytelniania i autoryzacji, aby zapewnić, że tylko upoważniony personel ma dostęp do informacji certyfikacyjnych. Kontrole dostępu są regularnie przeglądane i aktualizowane w oparciu o zmiany ról i obowiązków personelu.

16.3. Ochrona danych

Chronimy dane osobowe przez cały proces certyfikacji, wdrażając odpowiednie środki techniczne i organizacyjne w celu zapewnienia poufności, integralności i dostępności danych. Obejmuje to takie środki, jak szyfrowanie, kontrola dostępu i regularne tworzenie kopii zapasowych.

16.4. Bezpieczeństwo procesów egzaminacyjnych

Zapewniamy bezpieczeństwo procesów egzaminacyjnych poprzez wdrażanie odpowiednich środków zapobiegających oszukiwaniu, monitorowanie i kontrolę środowiska egzaminacyjnego. Zachowujemy również integralność i poufność materiałów egzaminacyjnych dzięki bezpiecznym procedurom przechowywania.

16.5. Bezpieczeństwo treści egzaminacyjnych

Zapewniamy bezpieczeństwo treści egzaminacyjnych poprzez wdrożenie odpowiednich środków w celu ochrony przed nieupoważnionym dostępem, zmianą lub ujawnieniem treści. Obejmuje to korzystanie z bezpiecznego przechowywania, szyfrowania i kontroli dostępu do treści egzaminów, a także kontrole zapobiegające nieautoryzowanej dystrybucji lub rozpowszechnianiu treści egzaminów.

16.6. Bezpieczeństwo dostarczania egzaminów

Zapewniamy bezpieczeństwo dostarczania egzaminów poprzez wdrażanie odpowiednich środków zapobiegających nieautoryzowanemu dostępowi do środowiska egzaminacyjnego lub manipulacji nim. Obejmuje to takie środki, jak monitorowanie, audyt i kontrola środowiska egzaminacyjnego oraz poszczególnych metod egzaminacyjnych, aby zapobiec oszukiwaniu lub innym naruszeniom bezpieczeństwa.

16.7. Bezpieczeństwo wyników egzaminów

Zapewniamy bezpieczeństwo wyników badań poprzez wdrożenie odpowiednich środków zabezpieczających przed nieupoważnionym dostępem, zmianą lub ujawnieniem wyników. Obejmuje to korzystanie z bezpiecznego przechowywania, szyfrowania i kontroli dostępu do wyników egzaminów, a także kontrole zapobiegające nieautoryzowanej dystrybucji lub rozpowszechnianiu wyników egzaminów.

16.8. Bezpieczeństwo wydawania certyfikatów

Zapewniamy bezpieczeństwo wydawania certyfikatów poprzez wdrażanie odpowiednich środków zapobiegających oszustwom i nieuprawnionemu wystawianiu certyfikatów. Obejmuje to kontrole weryfikujące tożsamość osób otrzymujących certyfikaty oraz procedury bezpiecznego przechowywania i wydawania.

16.9. Reklamacje i odwołania

Ustaliliśmy procedury zarządzania reklamacjami i odwołaniami związanymi z procesem certyfikacji. Procedury te obejmują środki zapewniające poufność i bezstronność procesu oraz bezpieczeństwo informacji związanych ze skargami i odwołaniami.

16.10. Procesy Certyfikacji Zarządzanie Jakością

Wdrożyliśmy System Zarządzania Jakością (SZJ) dla procesów certyfikacji, który obejmuje środki zapewniające skuteczność, wydajność i bezpieczeństwo procesów. SZJ obejmuje regularne audyty i przeglądy procesów oraz ich kontroli bezpieczeństwa.

16.11. Ciągłe doskonalenie bezpieczeństwa procesów certyfikacji

Zobowiązujemy się do ciągłego doskonalenia naszych procesów certyfikacji i ich kontroli bezpieczeństwa. Obejmuje to regularne przeglądy i aktualizacje polityk i procedur związanych z certyfikacją bezpieczeństwa w oparciu o zmiany w środowisku biznesowym, wymaganiach regulacyjnych i najlepszych praktykach w zarządzaniu bezpieczeństwem informacji, zgodnie z normą ISO 27001 dotyczącą zarządzania bezpieczeństwem informacji, a także z normą ISO Standard operacyjny 17024 jednostek certyfikujących.

Część 17. Postanowienia końcowe

17.1. Przegląd i aktualizacja zasad

Niniejsza Polityka bezpieczeństwa informacji jest żywym dokumentem, który podlega ciągłym przeglądom i aktualizacjom w oparciu o zmiany w naszych wymaganiach operacyjnych, wymaganiach regulacyjnych lub najlepszych praktykach w zakresie zarządzania bezpieczeństwem informacji.

17.2. Monitorowanie zgodności

Ustanowiliśmy procedury monitorowania zgodności z niniejszą Polityką bezpieczeństwa informacji i powiązanymi środkami kontroli bezpieczeństwa. Monitorowanie zgodności obejmuje regularne audyty, oceny i przeglądy zabezpieczeń oraz ich skuteczność w osiąganiu celów niniejszej polityki.

17.3. Zgłaszanie incydentów bezpieczeństwa

Ustanowiliśmy procedury zgłaszania incydentów bezpieczeństwa związanych z naszymi systemami informatycznymi, w tym dotyczących danych osobowych osób fizycznych. Zachęcamy pracowników, wykonawców i inne zainteresowane strony do jak najszybszego zgłaszania wszelkich incydentów związanych z bezpieczeństwem lub podejrzewanych incydentów wyznaczonemu zespołowi ds. bezpieczeństwa.

17.4. Szkolenie i świadomość

Zapewniamy regularne szkolenia i programy uświadamiające dla pracowników, kontrahentów i innych interesariuszy, aby upewnić się, że są oni świadomi swoich obowiązków i obowiązków związanych z bezpieczeństwem informacji. Obejmuje to szkolenia w zakresie zasad i procedur bezpieczeństwa oraz środków ochrony danych osobowych osób fizycznych.

17.5. Odpowiedzialność i odpowiedzialność

Pociągamy wszystkich pracowników, kontrahentów i innych interesariuszy do odpowiedzialności za przestrzeganie niniejszej Polityki bezpieczeństwa informacji i związanych z nią środków kontroli bezpieczeństwa. Pociągamy również kierownictwo do odpowiedzialności za zapewnienie alokacji odpowiednich zasobów na wdrażanie i utrzymywanie skutecznych środków kontroli bezpieczeństwa informacji.

Niniejsza Polityka Bezpieczeństwa Informacji jest kluczowym elementem ram zarządzania bezpieczeństwem informacji Europejskiego Instytutu Certyfikacji IT i pokazuje nasze zaangażowanie w ochronę aktywów informacyjnych i przetwarzanych danych, zapewnienie poufności, prywatności, integralności i dostępności informacji oraz przestrzeganie wymogów regulacyjnych i umownych.