ინფორმაციის უსაფრთხოების პოლიტიკა
EITCA აკადემიის საინფორმაციო უსაფრთხოების პოლიტიკა
ეს დოკუმენტი განსაზღვრავს ევროპის IT სერტიფიკაციის ინსტიტუტის ინფორმაციული უსაფრთხოების პოლიტიკას (ISP), რომელიც რეგულარულად განიხილება და განახლდება მისი ეფექტურობისა და შესაბამისობის უზრუნველსაყოფად. EITCI ინფორმაციის უსაფრთხოების პოლიტიკის ბოლო განახლება განხორციელდა 7 წლის 2023 იანვარს.
ნაწილი 1. შესავალი და ინფორმაციული უსაფრთხოების პოლიტიკის განცხადება
1.1. შესავალი
ევროპის IT სერტიფიცირების ინსტიტუტი აცნობიერებს ინფორმაციის უსაფრთხოების მნიშვნელობას ინფორმაციის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის შენარჩუნებისა და ჩვენი დაინტერესებული მხარეების ნდობის შესანარჩუნებლად. ჩვენ მზად ვართ დავიცვათ სენსიტიური ინფორმაცია, მათ შორის პერსონალური მონაცემები, არასანქცირებული წვდომისგან, გამჟღავნებისგან, შეცვლისა და განადგურებისგან. ჩვენ ვიცავთ საინფორმაციო უსაფრთხოების ეფექტურ პოლიტიკას, რათა მხარი დავუჭიროთ ჩვენს მისიას, მივაწოდოთ საიმედო და მიუკერძოებელი სერტიფიცირების სერვისები ჩვენი კლიენტებისთვის. ინფორმაციის უსაფრთხოების პოლიტიკა ასახავს ჩვენს ვალდებულებას, დავიცვათ ინფორმაციული აქტივები და შევასრულოთ ჩვენი სამართლებრივი, მარეგულირებელი და სახელშეკრულებო ვალდებულებები. ჩვენი პოლიტიკა ეფუძნება ISO 27001 და ISO 17024 პრინციპებს, წამყვანი საერთაშორისო სტანდარტები ინფორმაციის უსაფრთხოების მართვისა და სერტიფიცირების ორგანოების ოპერაციების სტანდარტებს.
1.2. პოლიტიკის განცხადება
ევროპის IT სერტიფიკაციის ინსტიტუტი ვალდებულია:
- ინფორმაციის აქტივების კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის დაცვა,
- ინფორმაციულ უსაფრთხოებასთან და მონაცემთა დამუშავებასთან დაკავშირებული სამართლებრივი, მარეგულირებელი და სახელშეკრულებო ვალდებულებების შესრულება მისი სერტიფიცირების პროცესებისა და ოპერაციების განხორციელებისას,
- მუდმივად აუმჯობესებს ინფორმაციული უსაფრთხოების პოლიტიკას და მასთან დაკავშირებულ მართვის სისტემას,
- თანამშრომლებისთვის, კონტრაქტორებისთვის და მონაწილეებისთვის ადექვატური ტრენინგისა და ინფორმირებულობის უზრუნველყოფა,
- ყველა თანამშრომლისა და კონტრაქტორის ჩართვა ინფორმაციული უსაფრთხოების პოლიტიკის და მასთან დაკავშირებული ინფორმაციული უსაფრთხოების მართვის სისტემის განხორციელებასა და შენარჩუნებაში.
1.3. მასშტაბი
ეს პოლიტიკა ვრცელდება ყველა ინფორმაციულ აქტივზე, რომელსაც ფლობს, აკონტროლებს ან მუშავდება ევროპის IT სერტიფიკაციის ინსტიტუტი. ეს მოიცავს ყველა ციფრულ და ფიზიკურ ინფორმაციას, როგორიცაა სისტემები, ქსელები, პროგრამული უზრუნველყოფა, მონაცემები და დოკუმენტაცია. ეს პოლიტიკა ასევე ვრცელდება ყველა თანამშრომელზე, კონტრაქტორზე და მესამე მხარის სერვისის პროვაიდერებზე, რომლებსაც აქვთ წვდომა ჩვენს საინფორმაციო აქტივებზე.
1.4. შესაბამისობა
ევროპის IT სერტიფიცირების ინსტიტუტი ვალდებულია დაიცვას შესაბამისი ინფორმაციული უსაფრთხოების სტანდარტები, მათ შორის ISO 27001 და ISO 17024. ჩვენ რეგულარულად განვიხილავთ და ვაახლებთ ამ პოლიტიკას, რათა უზრუნველვყოთ მისი მუდმივი შესაბამისობა და შესაბამისობა ამ სტანდარტებთან.
ნაწილი 2. ორგანიზაციული უსაფრთხოება
2.1. ორგანიზაციის უსაფრთხოების მიზნები
ორგანიზაციული უსაფრთხოების ზომების განხორციელებით, ჩვენ მიზნად ისახავს უზრუნველვყოთ ჩვენი ინფორმაციის აქტივები და მონაცემთა დამუშავების პრაქტიკა და პროცედურები უსაფრთხოებისა და მთლიანობის უმაღლესი დონით, და რომ ჩვენ ვიცავთ შესაბამის საკანონმდებლო რეგულაციებსა და სტანდარტებს.
2.2. ინფორმაციის უსაფრთხოების როლები და პასუხისმგებლობები
ევროპის IT სერტიფიცირების ინსტიტუტი განსაზღვრავს და აწვდის როლებსა და პასუხისმგებლობებს ორგანიზაციის ინფორმაციული უსაფრთხოებისთვის. ეს მოიცავს ინფორმაციული აქტივების მკაფიო საკუთრების მინიჭებას ინფორმაციული უსაფრთხოების კონტექსტში, მმართველობითი სტრუქტურის ჩამოყალიბებასა და ორგანიზაციის სხვადასხვა როლებისა და დეპარტამენტებისთვის სპეციფიკური პასუხისმგებლობის განსაზღვრას.
2.3. Რისკების მართვა
ჩვენ ვატარებთ რეგულარულ რისკების შეფასებას ორგანიზაციისთვის ინფორმაციული უსაფრთხოების რისკების იდენტიფიცირებისა და პრიორიტეტის დასადგენად, პერსონალური მონაცემების დამუშავებასთან დაკავშირებული რისკების ჩათვლით. ჩვენ ვადგენთ შესაბამის კონტროლს ამ რისკების შესამცირებლად და რეგულარულად განვიხილავთ და ვაახლებთ რისკების მართვის მიდგომას ბიზნეს გარემოსა და საფრთხეების ლანდშაფტის ცვლილებებზე დაყრდნობით.
2.4. ინფორმაციის უსაფრთხოების პოლიტიკა და პროცედურები
ჩვენ ვადგენთ და ვინარჩუნებთ ინფორმაციული უსაფრთხოების პოლიტიკისა და პროცედურების ერთობლიობას, რომელიც ეფუძნება ინდუსტრიის საუკეთესო პრაქტიკას და შეესაბამება შესაბამის რეგულაციებსა და სტანდარტებს. ეს პოლიტიკა და პროცედურები მოიცავს ინფორმაციის უსაფრთხოების ყველა ასპექტს, პერსონალური მონაცემების დამუშავების ჩათვლით, და რეგულარულად განიხილება და განახლდება მათი ეფექტურობის უზრუნველსაყოფად.
2.5. უსაფრთხოების ცნობიერება და ტრენინგი
ჩვენ უზრუნველვყოფთ რეგულარულად უსაფრთხოების ინფორმირებულობისა და ტრენინგ პროგრამებს ყველა თანამშრომელს, კონტრაქტორს და მესამე მხარის პარტნიორებს, რომლებსაც აქვთ წვდომა პერსონალურ მონაცემებზე ან სხვა სენსიტიურ ინფორმაციაზე. ეს ტრენინგი მოიცავს ისეთ თემებს, როგორიცაა ფიშინგი, სოციალური ინჟინერია, პაროლის ჰიგიენა და ინფორმაციის უსაფრთხოების სხვა საუკეთესო პრაქტიკა.
2.6. ფიზიკური და გარემოს დაცვა
ჩვენ ვახორციელებთ შესაბამის ფიზიკურ და გარემოს უსაფრთხოების კონტროლს, რათა დავიცვათ ჩვენი ობიექტებისა და საინფორმაციო სისტემების არასანქცირებული წვდომისგან, დაზიანებისგან ან ჩარევისგან. ეს მოიცავს ისეთ ზომებს, როგორიცაა წვდომის კონტროლი, მეთვალყურეობა, მონიტორინგი და სარეზერვო დენის და გაგრილების სისტემები.
2.7. ინფორმაციული უსაფრთხოების ინციდენტების მართვა
ჩვენ ჩამოვაყალიბეთ ინციდენტების მართვის პროცესი, რომელიც საშუალებას გვაძლევს სწრაფად და ეფექტურად ვუპასუხოთ ინფორმაციული უსაფრთხოების ნებისმიერ ინციდენტს, რომელიც შეიძლება მოხდეს. ეს მოიცავს ინციდენტების მოხსენების, ესკალაციის, გამოძიების და გადაწყვეტის პროცედურებს, ასევე ზომებს განმეორების თავიდან აცილებისა და ინციდენტებზე რეაგირების შესაძლებლობების გასაუმჯობესებლად.
2.8. ოპერაციული უწყვეტობა და კატასტროფის აღდგენა
ჩვენ დავადგინეთ და გამოვცადეთ ოპერაციული უწყვეტობის და კატასტროფის აღდგენის გეგმები, რომლებიც საშუალებას გვაძლევს შევინარჩუნოთ ჩვენი კრიტიკული ოპერაციების ფუნქციები და სერვისები შეფერხების ან კატასტროფის შემთხვევაში. ეს გეგმები მოიცავს მონაცემთა და სისტემების სარეზერვო და აღდგენის პროცედურებს და პერსონალური მონაცემების ხელმისაწვდომობისა და მთლიანობის უზრუნველყოფის ზომებს.
2.9. მესამე მხარის მენეჯმენტი
ჩვენ ვქმნით და ვინარჩუნებთ შესაბამის კონტროლს მესამე მხარის პარტნიორებთან დაკავშირებული რისკების მართვისთვის, რომლებსაც აქვთ წვდომა პერსონალურ მონაცემებზე ან სხვა სენსიტიურ ინფორმაციაზე. ეს მოიცავს ისეთ ზომებს, როგორიცაა სათანადო შესწავლა, სახელშეკრულებო ვალდებულებები, მონიტორინგი და აუდიტი, ასევე საჭიროების შემთხვევაში პარტნიორობის შეწყვეტის ზომებს.
ნაწილი 3. ადამიანური რესურსების უსაფრთხოება
3.1. დასაქმების სკრინინგი
ევროპის IT სერტიფიკაციის ინსტიტუტმა ჩამოაყალიბა დასაქმების სკრინინგის პროცესი, რათა უზრუნველყოს, რომ სენსიტიურ ინფორმაციაზე წვდომის მქონე პირები არიან სანდო და ჰქონდეთ საჭირო უნარები და კვალიფიკაცია.
3.2. წვდომის კონტროლი
ჩვენ ჩამოვაყალიბეთ წვდომის კონტროლის პოლიტიკა და პროცედურები, რათა უზრუნველვყოთ, რომ თანამშრომლებს ჰქონდეთ წვდომა მხოლოდ იმ ინფორმაციაზე, რომელიც აუცილებელია მათი სამუშაო პასუხისმგებლობებისთვის. ხელმისაწვდომობის უფლებები რეგულარულად განიხილება და განახლდება, რათა თანამშრომლებს ჰქონდეთ წვდომა მხოლოდ მათთვის საჭირო ინფორმაციაზე.
3.3. ინფორმაციული უსაფრთხოების ინფორმირებულობა და ტრენინგი
ჩვენ რეგულარულად ვუწევთ ტრენინგს ინფორმაციული უსაფრთხოების შესახებ ყველა თანამშრომელს. ეს ტრენინგი მოიცავს ისეთ თემებს, როგორიცაა პაროლის უსაფრთხოება, ფიშინგის შეტევები, სოციალური ინჟინერია და კიბერუსაფრთხოების სხვა ასპექტები.
3.4. მისაღები გამოყენება
ჩვენ ჩამოვაყალიბეთ მისაღები გამოყენების პოლიტიკა, რომელიც ასახავს საინფორმაციო სისტემებისა და რესურსების, მათ შორის სამუშაო მიზნებისთვის გამოყენებული პერსონალური მოწყობილობების მისაღები გამოყენებას.
3.5. მობილური მოწყობილობის უსაფრთხოება
ჩვენ ჩამოვაყალიბეთ პოლიტიკები და პროცედურები მობილური მოწყობილობების უსაფრთხო გამოყენებისთვის, მათ შორის საიდუმლო კოდების გამოყენება, დაშიფვრა და დისტანციური წაშლის შესაძლებლობები.
3.6. შეწყვეტის პროცედურები
ევროპის IT სერტიფიკაციის ინსტიტუტმა დაადგინა შრომითი ან ხელშეკრულების შეწყვეტის პროცედურები, რათა უზრუნველყოს მგრძნობიარე ინფორმაციაზე წვდომის დროულად და უსაფრთხოდ გაუქმება.
3.7. მესამე მხარის პერსონალი
ჩვენ დავადგინეთ პროცედურები მესამე მხარის პერსონალის მენეჯმენტისთვის, რომლებსაც აქვთ წვდომა სენსიტიურ ინფორმაციაზე. ეს პოლიტიკა მოიცავს სკრინინგს, წვდომის კონტროლს და ინფორმაციის უსაფრთხოების ცნობიერების ამაღლების ტრენინგს.
3.8. ინციდენტების მოხსენება
ჩვენ ჩამოვაყალიბეთ პოლიტიკები და პროცედურები ინფორმაციული უსაფრთხოების ინციდენტების ან პრობლემების შესახებ შესაბამისი პერსონალისთვის ან ორგანოებისთვის შეტყობინებისთვის.
3.9. კონფიდენციალურობის ხელშეკრულებები
ევროპის IT სერტიფიკაციის ინსტიტუტი მოითხოვს თანამშრომლებს და კონტრაქტორებს ხელი მოაწერონ კონფიდენციალურობის ხელშეკრულებებს, რათა დაიცვან სენსიტიური ინფორმაცია არაავტორიზებული გამჟღავნებისაგან.
3.10. დისციპლინური მოქმედებები
ევროპის IT სერტიფიცირების ინსტიტუტმა დაადგინა დისციპლინური ზომების პოლიტიკა და პროცედურები თანამშრომლების ან კონტრაქტორების მიერ ინფორმაციის უსაფრთხოების პოლიტიკის დარღვევის შემთხვევაში.
ნაწილი 4. რისკის შეფასება და მართვა
4.1. რისკის შეფასება
ჩვენ ვატარებთ პერიოდულ რისკების შეფასებებს ჩვენი საინფორმაციო აქტივების პოტენციური საფრთხეებისა და დაუცველობის გამოსავლენად. ჩვენ ვიყენებთ სტრუქტურირებულ მიდგომას რისკების იდენტიფიცირებისთვის, ანალიზისთვის, შეფასებისთვის და პრიორიტეტებისთვის მათი ალბათობისა და პოტენციური გავლენის საფუძველზე. ჩვენ ვაფასებთ ჩვენს საინფორმაციო აქტივებთან დაკავშირებულ რისკებს, მათ შორის სისტემებს, ქსელებს, პროგრამულ უზრუნველყოფას, მონაცემებსა და დოკუმენტაციას.
4.2. რისკის მკურნალობა
ჩვენ ვიყენებთ რისკის მკურნალობის პროცესს რისკების შესამცირებლად ან მისაღებ დონეზე შესამცირებლად. რისკის მკურნალობის პროცესი მოიცავს შესაბამისი კონტროლის არჩევას, კონტროლის განხორციელებას და კონტროლის ეფექტურობის მონიტორინგს. ჩვენ პრიორიტეტულად ვანიჭებთ კონტროლის განხორციელებას რისკის დონის, არსებული რესურსების და ბიზნეს პრიორიტეტების მიხედვით.
4.3. რისკის მონიტორინგი და მიმოხილვა
ჩვენ რეგულარულად ვაკვირდებით და განვიხილავთ ჩვენი რისკების მართვის პროცესის ეფექტურობას, რათა დავრწმუნდეთ, რომ ის რჩება შესაბამისი და ეფექტური. ჩვენ ვიყენებთ მეტრიკასა და ინდიკატორებს რისკების მართვის პროცესის შესრულების გასაზომად და გაუმჯობესების შესაძლებლობების გამოსავლენად. ჩვენ ასევე განვიხილავთ რისკების მართვის პროცესს, როგორც ჩვენი პერიოდული მენეჯმენტის მიმოხილვის ნაწილი, რათა უზრუნველვყოთ მისი მუდმივი ვარგისიანობა, ადეკვატურობა და ეფექტურობა.
4.4. რისკზე რეაგირების დაგეგმვა
ჩვენ გვაქვს რისკებზე რეაგირების გეგმა, რათა დავრწმუნდეთ, რომ ჩვენ შეგვიძლია ეფექტურად ვუპასუხოთ ნებისმიერ გამოვლენილ რისკს. ეს გეგმა მოიცავს რისკების იდენტიფიცირებისა და ანგარიშგების პროცედურებს, ასევე, თითოეული რისკის პოტენციური ზემოქმედების შეფასების და შესაბამისი რეაგირების ქმედებების განსაზღვრის პროცესებს. ჩვენ ასევე გვაქვს საგანგებო გეგმები, რათა უზრუნველვყოთ ბიზნესის უწყვეტობა მნიშვნელოვანი რისკის მოვლენის შემთხვევაში.
4.5. ოპერაციული ზემოქმედების ანალიზი
ჩვენ ვატარებთ პერიოდულ ბიზნესზე ზემოქმედების ანალიზს, რათა განვსაზღვროთ შეფერხებების პოტენციური გავლენა ჩვენს ბიზნეს ოპერაციებზე. ეს ანალიზი მოიცავს ჩვენი ბიზნეს ფუნქციების, სისტემებისა და მონაცემების კრიტიკულობის შეფასებას, ასევე ჩვენს კლიენტებზე, თანამშრომლებსა და სხვა დაინტერესებულ მხარეებზე შეფერხებების პოტენციური გავლენის შეფასებას.
4.6. მესამე მხარის რისკების მართვა
ჩვენ გვაქვს მესამე მხარის რისკის მართვის პროგრამა, რათა უზრუნველვყოთ, რომ ჩვენი მოვაჭრეები და სხვა მესამე მხარის სერვისის პროვაიდერები ასევე მართავენ რისკებს სათანადოდ. ეს პროგრამა მოიცავს სათანადო გულმოდგინების შემოწმებას მესამე მხარეებთან ურთიერთობამდე, მესამე მხარის საქმიანობის მუდმივ მონიტორინგს და მესამე მხარის რისკის მართვის პრაქტიკის პერიოდულ შეფასებას.
4.7. ინციდენტზე რეაგირება და მართვა
ჩვენ გვაქვს ინციდენტზე რეაგირების და მენეჯმენტის გეგმა, რათა უზრუნველვყოთ ეფექტური რეაგირება უსაფრთხოების ნებისმიერ ინციდენტზე. ეს გეგმა მოიცავს ინციდენტების იდენტიფიცირებისა და მოხსენების პროცედურებს, ასევე, თითოეული ინციდენტის გავლენის შეფასების და შესაბამისი რეაგირების ქმედებების განსაზღვრის პროცესებს. ჩვენ ასევე გვაქვს ბიზნესის უწყვეტობის გეგმა, რათა უზრუნველვყოთ მნიშვნელოვანი ბიზნეს ფუნქციების გაგრძელება მნიშვნელოვანი ინციდენტის შემთხვევაში.
ნაწილი 5. ფიზიკური და გარემოსდაცვითი უსაფრთხოება
5.1. ფიზიკური უსაფრთხოების პერიმეტრი
ჩვენ დავამყარეთ ფიზიკური უსაფრთხოების ზომები, რათა დავიცვათ ფიზიკური ნაგებობები და სენსიტიური ინფორმაცია არაავტორიზებული წვდომისგან.
5.2. წვდომის კონტროლი
ჩვენ ჩამოვაყალიბეთ წვდომის კონტროლის პოლიტიკა და პროცედურები ფიზიკური შენობისთვის, რათა უზრუნველყოფილი იყოს მხოლოდ ავტორიზებულ პერსონალს ჰქონდეს წვდომა სენსიტიურ ინფორმაციაზე.
5.3. აღჭურვილობის უსაფრთხოება
ჩვენ უზრუნველვყოფთ, რომ სენსიტიური ინფორმაციის შემცველი ყველა მოწყობილობა ფიზიკურად დაცულია და ამ აღჭურვილობაზე წვდომა შეზღუდულია მხოლოდ ავტორიზებული პერსონალისთვის.
5.4. უსაფრთხო განკარგვა
ჩვენ დავადგინეთ პროცედურები სენსიტიური ინფორმაციის, მათ შორის ქაღალდის დოკუმენტების, ელექტრონული მედიისა და აპარატურის უსაფრთხო განკარგვისთვის.
5.5. ფიზიკური გარემო
ჩვენ უზრუნველვყოფთ, რომ შენობის ფიზიკური გარემო, მათ შორის ტემპერატურა, ტენიანობა და განათება, შესაბამისია მგრძნობიარე ინფორმაციის დასაცავად.
5.6. ელექტრომომარაგება
ჩვენ უზრუნველვყოფთ, რომ შენობის ელექტრომომარაგება იყოს საიმედო და დაცული ელექტროენერგიის გათიშვისგან ან ძაბვისგან.
5.7. ხანძარსაწინააღმდეგო
ჩვენ ჩამოვაყალიბეთ ხანძარსაწინააღმდეგო პოლიტიკა და პროცედურები, მათ შორის ხანძარსაწინააღმდეგო და ჩახშობის სისტემების დაყენება და ტექნიკური მომსახურება.
5.8. წყლის დაზიანებისგან დაცვა
ჩვენ ჩამოვაყალიბეთ პოლიტიკები და პროცედურები მგრძნობიარე ინფორმაციის წყლის დაზიანებისგან დასაცავად, მათ შორის წყალდიდობის აღმოჩენისა და პრევენციის სისტემების ინსტალაციასა და შენარჩუნებას.
5.9. აღჭურვილობის მოვლა
ჩვენ დავაწესეთ პროცედურები აღჭურვილობის მოვლა-პატრონობისთვის, მათ შორის აღჭურვილობის შემოწმება გაყალბების ან არასანქცირებული წვდომის ნიშნებისთვის.
5.10. მისაღები გამოყენება
ჩვენ ჩამოვაყალიბეთ მისაღები გამოყენების პოლიტიკა, რომელიც ასახავს ფიზიკური რესურსებისა და საშუალებების მისაღები გამოყენებას.
5.11. დისტანციური წვდომა
ჩვენ ჩამოვაყალიბეთ სენსიტიურ ინფორმაციაზე დისტანციური წვდომის წესები და პროცედურები, მათ შორის უსაფრთხო კავშირებისა და დაშიფვრის გამოყენება.
5.12. მონიტორინგი და მეთვალყურეობა
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები ფიზიკური შენობებისა და აღჭურვილობის მონიტორინგისა და ზედამხედველობისთვის, რათა აღმოვაჩინოთ და თავიდან ავიცილოთ არასანქცირებული წვდომა ან ხელყოფა.
ნაწილი. 6. კომუნიკაციებისა და ოპერაციების უსაფრთხოება
6.1. ქსელის უსაფრთხოების მენეჯმენტი
ჩვენ ჩამოვაყალიბეთ პოლიტიკები და პროცედურები ქსელის უსაფრთხოების მართვისთვის, მათ შორის ფეიერვოლების გამოყენება, შეჭრის აღმოჩენისა და პრევენციის სისტემები და რეგულარული უსაფრთხოების აუდიტი.
6.2. ინფორმაციის გადაცემა
ჩვენ შევქმენით სენსიტიური ინფორმაციის უსაფრთხო გადაცემის წესები და პროცედურები, მათ შორის დაშიფვრისა და ფაილების უსაფრთხო გადაცემის პროტოკოლების გამოყენება.
6.3. მესამე მხარის კომუნიკაციები
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები მესამე მხარის ორგანიზაციებთან მგრძნობიარე ინფორმაციის უსაფრთხო გაცვლისთვის, მათ შორის უსაფრთხო კავშირებისა და დაშიფვრის გამოყენებისთვის.
6.4. მედიის მართვა
ჩვენ დავამყარეთ პროცედურები სენსიტიური ინფორმაციის დამუშავებისთვის მედიის სხვადასხვა ფორმაში, მათ შორის ქაღალდის დოკუმენტებში, ელექტრონულ მედიაში და პორტატულ შესანახ მოწყობილობებში.
6.5. საინფორმაციო სისტემების განვითარება და ტექნიკური მომსახურება
ჩვენ ჩამოვაყალიბეთ პოლიტიკები და პროცედურები საინფორმაციო სისტემების შემუშავებისა და შენარჩუნებისთვის, მათ შორის კოდირების უსაფრთხო პრაქტიკის გამოყენება, რეგულარული პროგრამული განახლებები და პაჩების მართვა.
6.6. მავნე პროგრამებისა და ვირუსებისგან დაცვა
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემების მავნე პროგრამებისა და ვირუსებისგან დაცვის მიზნით, მათ შორის ანტივირუსული პროგრამული უზრუნველყოფის გამოყენება და უსაფრთხოების რეგულარული განახლებები.
6.7. სარეზერვო და აღდგენა
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები სენსიტიური ინფორმაციის სარეზერვო ასლისა და აღდგენისთვის, რათა თავიდან ავიცილოთ მონაცემების დაკარგვა ან კორუფცია.
6.8. ღონისძიების მენეჯმენტი
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები უსაფრთხოების ინციდენტებისა და მოვლენების იდენტიფიკაციის, გამოძიებისა და გადაწყვეტისთვის.
6.9. დაუცველობის მართვა
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემის მოწყვლადობის მართვისთვის, მათ შორის მოწყვლადობის რეგულარული შეფასებებისა და პაჩების მენეჯმენტის გამოყენებას.
6.10. წვდომის კონტროლი
ჩვენ ჩამოვაყალიბეთ წესები და პროცედურები მომხმარებლის წვდომის საინფორმაციო სისტემებზე მართვისთვის, მათ შორის წვდომის კონტროლის, მომხმარებლის ავტორიზაციისა და წვდომის რეგულარული მიმოხილვის ჩათვლით.
6.11. მონიტორინგი და შესვლა
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემის საქმიანობის მონიტორინგისა და აღრიცხვისთვის, მათ შორის აუდიტის ბილიკების გამოყენებისა და უსაფრთხოების ინციდენტების აღრიცხვისთვის.
ნაწილი 7. საინფორმაციო სისტემების შეძენა, განვითარება და ტექნიკური მომსახურება
7.1. მოთხოვნები
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემის მოთხოვნების იდენტიფიკაციისთვის, მათ შორის ბიზნეს მოთხოვნების, სამართლებრივი და მარეგულირებელი მოთხოვნებისა და უსაფრთხოების მოთხოვნების ჩათვლით.
7.2. მიმწოდებლის ურთიერთობები
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემებისა და სერვისების მესამე მხარის მომწოდებლებთან ურთიერთობის მართვისთვის, მომწოდებლების უსაფრთხოების პრაქტიკის შეფასების ჩათვლით.
7.3. სისტემის განვითარება
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემების უსაფრთხო განვითარებისათვის, მათ შორის კოდირების უსაფრთხო პრაქტიკის გამოყენება, რეგულარული ტესტირება და ხარისხის უზრუნველყოფა.
7.4. სისტემის ტესტირება
ჩვენ ჩამოვაყალიბეთ საინფორმაციო სისტემების ტესტირების პოლიტიკა და პროცედურები, მათ შორის ფუნქციონალური ტესტირება, შესრულების ტესტირება და უსაფრთხოების ტესტირება.
7.5. სისტემის მიღება
ჩვენ ჩამოვაყალიბეთ საინფორმაციო სისტემების მიღების პოლიტიკა და პროცედურები, მათ შორის ტესტირების შედეგების დამტკიცება, უსაფრთხოების შეფასებები და მომხმარებლის მიღების ტესტირება.
7.6. სისტემის მოვლა
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემების შესანარჩუნებლად, მათ შორის რეგულარული განახლებები, უსაფრთხოების პატჩები და სისტემის სარეზერვო ასლები.
7.7. სისტემის პენსიაზე გასვლა
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემების ამოღების მიზნით, მათ შორის ტექნიკისა და მონაცემების უსაფრთხო განკარგვა.
7.8. მონაცემთა შენარჩუნება
ჩვენ ჩამოვაყალიბეთ პოლიტიკები და პროცედურები მონაცემთა შესანახად სამართლებრივი და მარეგულირებელი მოთხოვნების შესაბამისად, მათ შორის სენსიტიური მონაცემების უსაფრთხო შენახვისა და განკარგვის ჩათვლით.
7.9. უსაფრთხოების მოთხოვნები საინფორმაციო სისტემებისთვის
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემების უსაფრთხოების მოთხოვნების იდენტიფიკაციისა და განხორციელებისთვის, მათ შორის წვდომის კონტროლის, დაშიფვრისა და მონაცემთა დაცვის შესახებ.
7.10. უსაფრთხო განვითარების გარემო
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემების განვითარების უსაფრთხო გარემოსთვის, მათ შორის უსაფრთხო განვითარების პრაქტიკის, წვდომის კონტროლისა და უსაფრთხო ქსელის კონფიგურაციების გამოყენებას.
7.11. სატესტო გარემოს დაცვა
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემების სატესტო გარემოს დაცვისთვის, მათ შორის უსაფრთხო კონფიგურაციების გამოყენება, წვდომის კონტროლი და უსაფრთხოების რეგულარული ტესტირება.
7.12. უსაფრთხო სისტემის საინჟინრო პრინციპები
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემებისთვის უსაფრთხო სისტემების ინჟინერიის პრინციპების განსახორციელებლად, მათ შორის უსაფრთხოების არქიტექტურის, საფრთხის მოდელირებისა და კოდირების უსაფრთხო პრაქტიკის გამოყენებით.
7.13. უსაფრთხო კოდირების სახელმძღვანელო მითითებები
ჩვენ ჩამოვაყალიბეთ პოლიტიკა და პროცედურები საინფორმაციო სისტემებისთვის უსაფრთხო კოდირების სახელმძღვანელო პრინციპების განსახორციელებლად, მათ შორის კოდირების სტანდარტების გამოყენება, კოდების მიმოხილვა და ავტომატური ტესტირება.
ნაწილი 8. ტექნიკის შეძენა
8.1. სტანდარტების დაცვა
ჩვენ ვიცავთ ISO 27001 სტანდარტს ინფორმაციული უსაფრთხოების მართვის სისტემისთვის (ISMS), რათა უზრუნველვყოთ ტექნიკის აქტივების შესყიდვა ჩვენი უსაფრთხოების მოთხოვნების შესაბამისად.
8.2. რისკის შეფასება
ჩვენ ვატარებთ რისკების შეფასებას აპარატურული აქტივების შესყიდვამდე, რათა განვსაზღვროთ უსაფრთხოების პოტენციური რისკები და დავრწმუნდეთ, რომ შერჩეული აპარატურა აკმაყოფილებს უსაფრთხოების მოთხოვნებს.
8.3. გამყიდველების შერჩევა
ჩვენ ვყიდულობთ ტექნიკის აქტივებს მხოლოდ სანდო მოვაჭრეებისგან, რომლებსაც აქვთ უსაფრთხო პროდუქტების მიწოდების დადასტურებული გამოცდილება. ჩვენ განვიხილავთ გამყიდველის უსაფრთხოების პოლიტიკას და პრაქტიკას და ვთხოვთ მათ უზრუნველყონ გარანტია, რომ მათი პროდუქტები აკმაყოფილებს ჩვენს უსაფრთხოების მოთხოვნებს.
8.4. უსაფრთხო ტრანსპორტი
ჩვენ უზრუნველვყოფთ, რომ ტექნიკის აქტივები უსაფრთხოდ ტრანსპორტირდება ჩვენს შენობაში, რათა თავიდან ავიცილოთ ხელყოფა, დაზიანება ან ქურდობა ტრანსპორტის დროს.
8.5. ავთენტურობის შემოწმება
ჩვენ ვამოწმებთ ტექნიკის აქტივების ავთენტურობას მიწოდებისთანავე, რათა დავრწმუნდეთ, რომ ისინი არ არის ყალბი ან გაყალბებული.
8.6. ფიზიკური და გარემოსდაცვითი კონტროლი
ჩვენ ვახორციელებთ შესაბამის ფიზიკურ და გარემოს კონტროლს, რათა დავიცვათ ტექნიკის აქტივები არაავტორიზებული წვდომისგან, ქურდობისგან ან დაზიანებისგან.
8.7. აპარატურის ინსტალაცია
ჩვენ უზრუნველვყოფთ, რომ ყველა ტექნიკის აქტივი კონფიგურირებული და დაინსტალირებულია უსაფრთხოების დადგენილი სტანდარტებისა და სახელმძღვანელო პრინციპების შესაბამისად.
8.8. ტექნიკის მიმოხილვები
ჩვენ ვატარებთ ტექნიკის აქტივების პერიოდულ მიმოხილვას, რათა დავრწმუნდეთ, რომ ისინი კვლავ აკმაყოფილებენ ჩვენს უსაფრთხოების მოთხოვნებს და განახლებულნი არიან უსაფრთხოების უახლეს პატჩებთან და განახლებებთან.
8.9. ტექნიკის განკარგვა
ჩვენ განვკარგავთ აპარატურულ აქტივებს უსაფრთხოდ, რათა თავიდან ავიცილოთ არაავტორიზებული წვდომა სენსიტიურ ინფორმაციაზე.
ნაწილი 9. მავნე პროგრამებისა და ვირუსებისგან დაცვა
9.1. პროგრამული უზრუნველყოფის განახლების პოლიტიკა
ჩვენ ვინახავთ განახლებულ ანტივირუსულ და მავნე პროგრამულ უზრუნველყოფას ყველა საინფორმაციო სისტემაზე, რომელსაც იყენებს ევროპის IT სერტიფიკაციის ინსტიტუტი, სერვერების, სამუშაო სადგურების, ლეპტოპების და მობილური მოწყობილობების ჩათვლით. ჩვენ უზრუნველვყოფთ, რომ ანტივირუსული და მავნე პროგრამების დაცვის პროგრამული უზრუნველყოფა არის კონფიგურირებული, რათა ავტომატურად განაახლოს მისი ვირუსის განსაზღვრის ფაილები და პროგრამული უზრუნველყოფის ვერსიები რეგულარულად, და რომ ეს პროცესი რეგულარულად შემოწმდეს.
9.2. ანტივირუსული და მავნე პროგრამების სკანირება
ჩვენ რეგულარულად ვასრულებთ ყველა საინფორმაციო სისტემის სკანირებას, სერვერების, სამუშაო სადგურების, ლეპტოპების და მობილური მოწყობილობების ჩათვლით, ნებისმიერი ვირუსის ან მავნე პროგრამის აღმოსაჩენად და მოსაშორებლად.
9.3. არ გამორთვა და არ შეცვლის პოლიტიკა
ჩვენ აღვასრულებთ პოლიტიკას, რომელიც კრძალავს მომხმარებლებს გამორთონ ან შეცვალონ ანტივირუსული და მავნე პროგრამების დაცვის პროგრამული უზრუნველყოფა ნებისმიერ საინფორმაციო სისტემაზე.
9.4. მონიტორინგი
ჩვენ ვაკვირდებით ჩვენი ანტივირუსული და მავნე პროგრამების დაცვის პროგრამული უზრუნველყოფის გაფრთხილებებს და ჟურნალებს ვირუსის ან მავნე პროგრამის ინფექციების ნებისმიერი ინციდენტის დასადგენად და ასეთ ინციდენტებზე დროულად რეაგირებას.
9.5. ჩანაწერების შენარჩუნება
ჩვენ ვინახავთ ჩანაწერებს ანტივირუსული და მავნე პროგრამების დაცვის პროგრამული უზრუნველყოფის კონფიგურაციის, განახლებებისა და სკანირების შესახებ, ისევე როგორც ვირუსის ან მავნე პროგრამების ინფექციების ნებისმიერ ინციდენტს აუდიტის მიზნებისთვის.
9.6. პროგრამული უზრუნველყოფის მიმოხილვები
ჩვენ ვაწარმოებთ პერიოდულ მიმოხილვას ჩვენი ანტივირუსული და მავნე პროგრამების დაცვის პროგრამული უზრუნველყოფის შესახებ, რათა დავრწმუნდეთ, რომ იგი აკმაყოფილებს მიმდინარე ინდუსტრიის სტანდარტებს და ადეკვატურია ჩვენი საჭიროებისთვის.
9.7. ტრენინგი და ინფორმირებულობა
ჩვენ გთავაზობთ ტრენინგს და ცნობიერების ამაღლების პროგრამებს, რათა ყველა თანამშრომელს ვასწავლოთ ვირუსებისა და მავნე პროგრამების დაცვის მნიშვნელობა და როგორ ამოიცნონ და შეატყობინონ ნებისმიერი საეჭვო აქტივობა ან ინციდენტი.
ნაწილი 10. საინფორმაციო აქტივების მართვა
10.1. ინფორმაციის აქტივების ინვენტარი
ევროპის IT სერტიფიცირების ინსტიტუტი აწარმოებს ინფორმაციული აქტივების ინვენტარს, რომელიც მოიცავს ყველა ციფრულ და ფიზიკურ ინფორმაციას, როგორიცაა სისტემები, ქსელები, პროგრამული უზრუნველყოფა, მონაცემები და დოკუმენტაცია. ჩვენ ვახარისხებთ საინფორმაციო აქტივებს მათი კრიტიკულობისა და სენსიტიურობის მიხედვით, რათა უზრუნველყოფილ იქნას შესაბამისი დაცვის ზომების განხორციელება.
10.2. ინფორმაციის აქტივების მართვა
ჩვენ ვახორციელებთ შესაბამის ზომებს საინფორმაციო აქტივების დასაცავად მათი კლასიფიკაციის საფუძველზე, კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის ჩათვლით. ჩვენ უზრუნველვყოფთ, რომ ყველა საინფორმაციო აქტივი დამუშავდეს მოქმედი კანონების, რეგულაციებისა და სახელშეკრულებო მოთხოვნების შესაბამისად. ჩვენ ასევე უზრუნველვყოფთ, რომ ყველა საინფორმაციო აქტივი სათანადოდ იყოს შენახული, დაცული და განადგურდეს, როცა აღარ არის საჭირო.
10.3. ინფორმაცია აქტივების საკუთრება
ჩვენ ვაძლევთ საინფორმაციო აქტივების მფლობელობას ინდივიდებს ან განყოფილებებს, რომლებიც პასუხისმგებელნი არიან ინფორმაციული აქტივების მართვასა და დაცვაზე. ჩვენ ასევე უზრუნველვყოფთ, რომ საინფორმაციო აქტივების მფლობელებმა გააცნობიერონ თავიანთი პასუხისმგებლობა და ანგარიშვალდებულება ინფორმაციული აქტივების დასაცავად.
10.4. ინფორმაციის აქტივების დაცვა
ჩვენ ვიყენებთ დაცვის სხვადასხვა ზომებს ინფორმაციის აქტივების დასაცავად, მათ შორის ფიზიკური კონტროლი, წვდომის კონტროლი, დაშიფვრა და სარეზერვო და აღდგენის პროცესები. ჩვენ ასევე უზრუნველვყოფთ, რომ ყველა საინფორმაციო აქტივი დაცულია არაავტორიზებული წვდომისგან, მოდიფიკაციის ან განადგურებისგან.
ნაწილი 11. წვდომის კონტროლი
11.1. წვდომის კონტროლის პოლიტიკა
ევროპის IT სერტიფიცირების ინსტიტუტს აქვს წვდომის კონტროლის პოლიტიკა, რომელიც ასახავს მოთხოვნებს საინფორმაციო აქტივებზე წვდომის მინიჭების, შეცვლისა და გაუქმების შესახებ. წვდომის კონტროლი ჩვენი ინფორმაციული უსაფრთხოების მართვის სისტემის მნიშვნელოვანი კომპონენტია და ჩვენ მას ვახორციელებთ იმისთვის, რომ მხოლოდ უფლებამოსილ პირებს ჰქონდეთ წვდომა ჩვენს საინფორმაციო აქტივებზე.
11.2. წვდომის კონტროლის განხორციელება
ჩვენ ვახორციელებთ წვდომის კონტროლის ზომებს მინიმალური პრივილეგიის პრინციპზე დაყრდნობით, რაც ნიშნავს, რომ პირებს აქვთ წვდომა მხოლოდ იმ საინფორმაციო აქტივებზე, რომლებიც აუცილებელია მათი სამუშაო ფუნქციების შესასრულებლად. ჩვენ ვიყენებთ წვდომის კონტროლის სხვადასხვა ზომას, მათ შორის ავთენტიფიკაციას, ავტორიზაციას და აღრიცხვას (AAA). ჩვენ ასევე ვიყენებთ წვდომის კონტროლის სიებს (ACL) და ნებართვებს ინფორმაციის აქტივებზე წვდომის გასაკონტროლებლად.
11.3. პაროლის პოლიტიკა
ევროპის IT სერტიფიცირების ინსტიტუტს აქვს პაროლის პოლიტიკა, რომელიც ასახავს პაროლების შექმნისა და მართვის მოთხოვნებს. ჩვენ გვჭირდება ძლიერი პაროლები, რომლებიც შედგება მინიმუმ 8 სიმბოლოსგან, დიდი და პატარა ასოების, ციფრებისა და სპეციალური სიმბოლოების კომბინაციით. ჩვენ ასევე ვითხოვთ პაროლის პერიოდულ ცვლილებას და კრძალავს წინა პაროლების ხელახლა გამოყენებას.
11.4. მომხმარებლის მენეჯმენტი
ჩვენ გვაქვს მომხმარებლის მართვის პროცესი, რომელიც მოიცავს მომხმარებლის ანგარიშების შექმნას, შეცვლას და წაშლას. მომხმარებლის ანგარიშები იქმნება მინიმალური პრივილეგიის პრინციპზე და წვდომა ენიჭება მხოლოდ იმ ინფორმაციულ აქტივებს, რომლებიც აუცილებელია ინდივიდის სამუშაო ფუნქციების შესასრულებლად. ჩვენ ასევე რეგულარულად განვიხილავთ მომხმარებლის ანგარიშებს და ვშლით ანგარიშებს, რომლებიც აღარ არის საჭირო.
ნაწილი 12. ინფორმაციული უსაფრთხოების ინციდენტების მართვა
12.1. ინციდენტების მართვის პოლიტიკა
ევროპის IT სერტიფიკაციის ინსტიტუტს აქვს ინციდენტების მართვის პოლიტიკა, რომელიც ასახავს მოთხოვნებს უსაფრთხოების ინციდენტების გამოვლენის, მოხსენების, შეფასებისა და რეაგირებისთვის. ჩვენ განვსაზღვრავთ უსაფრთხოების ინციდენტს, როგორც ნებისმიერ მოვლენას, რომელიც აყენებს კომპრომისს საინფორმაციო აქტივების ან სისტემების კონფიდენციალურობას, მთლიანობას ან ხელმისაწვდომობას.
12.2. ინციდენტის გამოვლენა და მოხსენება
ჩვენ ვატარებთ ზომებს უსაფრთხოების ინციდენტების აღმოსაჩენად და დროულად შესატყობინებლად. ჩვენ ვიყენებთ სხვადასხვა მეთოდს უსაფრთხოების ინციდენტების გამოსავლენად, მათ შორის შეჭრის აღმოჩენის სისტემები (IDS), ანტივირუსული პროგრამული უზრუნველყოფა და მომხმარებლის მოხსენება. ჩვენ ასევე უზრუნველვყოფთ, რომ ყველა თანამშრომელმა იცოდეს უსაფრთხოების ინციდენტების მოხსენების პროცედურები და წაახალისოს ყველა საეჭვო ინციდენტის მოხსენება.
12.3. ინციდენტის შეფასება და რეაგირება
ჩვენ გვაქვს უსაფრთხოების ინციდენტების შეფასებისა და რეაგირების პროცესი მათი სიმძიმისა და გავლენის მიხედვით. ჩვენ ვანიჭებთ პრიორიტეტს ინციდენტებს საინფორმაციო აქტივებზე ან სისტემებზე მათი პოტენციური ზემოქმედების საფუძველზე და გამოვყოფთ შესაბამის რესურსებს მათზე რეაგირებისთვის. ჩვენ ასევე გვაქვს რეაგირების გეგმა, რომელიც მოიცავს პროცედურებს უსაფრთხოების ინციდენტების იდენტიფიკაციის, შეკავების, ანალიზის, აღმოფხვრისა და აღდგენის პროცედურებს, ასევე შესაბამისი მხარეების შეტყობინებას და ინციდენტის შემდგომი მიმოხილვის ჩატარებას ჩვენი ინციდენტის რეაგირების პროცედურები შექმნილია სწრაფი და ეფექტური რეაგირების უზრუნველსაყოფად. უსაფრთხოების ინციდენტებზე. პროცედურები რეგულარულად განიხილება და განახლდება მათი ეფექტურობისა და შესაბამისობის უზრუნველსაყოფად.
12.4. ინციდენტებზე რეაგირების ჯგუფი
ჩვენ გვყავს ინციდენტების რეაგირების ჯგუფი (IRT), რომელიც პასუხისმგებელია უსაფრთხოების ინციდენტებზე რეაგირებაზე. IRT შედგება სხვადასხვა განყოფილების წარმომადგენლებისგან და მას ხელმძღვანელობს ინფორმაციის უსაფრთხოების ოფიცერი (ISO). IRT პასუხისმგებელია ინციდენტების სიმძიმის შეფასებაზე, ინციდენტის შემცველობაზე და შესაბამისი რეაგირების პროცედურების დაწყებაზე.
12.5. ინციდენტის მოხსენება და მიმოხილვა
ჩვენ დავამყარეთ პროცედურები უსაფრთხოების ინციდენტების შესახებ შესაბამისი მხარეებისთვის, მათ შორის კლიენტებისთვის, მარეგულირებელი ორგანოებისთვის და სამართალდამცავი ორგანოებისთვის, როგორც ამას მოქმედი კანონები და რეგულაციები მოითხოვს. ჩვენ ასევე ვინარჩუნებთ კომუნიკაციას დაზარალებულ მხარეებთან ინციდენტის რეაგირების პროცესის განმავლობაში, ვაწვდით დროულ განახლებებს ინციდენტის სტატუსზე და მის ზემოქმედების შესამცირებლად განხორციელებულ ყველა ქმედებაზე. ჩვენ ასევე ვატარებთ უსაფრთხოების ყველა ინციდენტის მიმოხილვას, რათა დადგინდეს ძირითადი მიზეზი და თავიდან ავიცილოთ მსგავსი ინციდენტები მომავალში.
ნაწილი 13. ბიზნესის უწყვეტობის მართვა და კატასტროფის აღდგენა
13.1. ბიზნესის უწყვეტობის დაგეგმვა
მიუხედავად იმისა, რომ ევროპის IT სერტიფიცირების ინსტიტუტი არის არაკომერციული ორგანიზაცია, მას აქვს ბიზნესის უწყვეტობის გეგმა (BCP), რომელიც ასახავს პროცედურებს მისი ოპერაციების უწყვეტობის უზრუნველსაყოფად დამრღვევი ინციდენტის შემთხვევაში. BCP მოიცავს ყველა კრიტიკულ საოპერაციო პროცესს და განსაზღვრავს რესურსებს, რომლებიც საჭიროა ოპერაციების შესანარჩუნებლად დამრღვევი ინციდენტის დროს და მის შემდეგ. იგი ასევე ასახავს პროცედურებს ბიზნეს ოპერაციების შესანარჩუნებლად შეფერხების ან კატასტროფის დროს, შეფერხების გავლენის შეფასების, ყველაზე კრიტიკული საოპერაციო პროცესების იდენტიფიცირების კონკრეტული დამღუპველი ინციდენტის კონტექსტში და რეაგირებისა და აღდგენის პროცედურების შემუშავებას.
13.2. კატასტროფის აღდგენის დაგეგმვა
ევროპის IT სერტიფიცირების ინსტიტუტს აქვს კატასტროფის აღდგენის გეგმა (DRP), რომელიც ასახავს ჩვენი საინფორმაციო სისტემების აღდგენის პროცედურებს შეფერხების ან კატასტროფის შემთხვევაში. DRP მოიცავს მონაცემთა სარეზერვო, მონაცემთა აღდგენისა და სისტემის აღდგენის პროცედურებს. DRP რეგულარულად ტესტირება და განახლება ხდება მისი ეფექტურობის უზრუნველსაყოფად.
13.3. ბიზნესის გავლენის ანალიზი
ჩვენ ვატარებთ ბიზნესზე ზემოქმედების ანალიზს (BIA), რათა განვსაზღვროთ კრიტიკული საოპერაციო პროცესები და მათ შესანარჩუნებლად საჭირო რესურსები. BIA გვეხმარება აღდგენის მცდელობების პრიორიტეტიზაციაში და შესაბამისად რესურსების გამოყოფაში.
13.4. ბიზნესის უწყვეტობის სტრატეგია
BIA-ს შედეგებზე დაყრდნობით, ჩვენ ვამუშავებთ ბიზნესის უწყვეტობის სტრატეგიას, რომელიც ასახავს პროცედურებს მარღვეველ ინციდენტზე რეაგირებისთვის. სტრატეგია მოიცავს BCP-ის გააქტიურების, კრიტიკული საოპერაციო პროცესების აღდგენისა და შესაბამის დაინტერესებულ მხარეებთან კომუნიკაციის პროცედურებს.
13.5. ტესტირება და მოვლა
ჩვენ რეგულარულად ვამოწმებთ და ვინარჩუნებთ ჩვენს BCP და DRP-ს, რათა უზრუნველვყოთ მათი ეფექტურობა და შესაბამისობა. ჩვენ ვატარებთ რეგულარულ ტესტებს BCP/DRP-ის დასადასტურებლად და გაუმჯობესების სფეროების გამოსავლენად. ჩვენ ასევე ვაახლებთ BCP-ს და DRP-ს, საჭიროებისამებრ, რათა ასახოს ცვლილებები ჩვენს ოპერაციებში ან საფრთხეების ლანდშაფტში. ტესტირება მოიცავს მაგიდის სავარჯიშოებს, სიმულაციას და პროცედურების პირდაპირ ტესტირებას. ჩვენ ასევე განვიხილავთ და ვაახლებთ ჩვენს გეგმებს ტესტირების შედეგებისა და მიღებული გაკვეთილების საფუძველზე.
13.6. ალტერნატიული დამუშავების ადგილები
ჩვენ ვაწარმოებთ ალტერნატიულ ონლაინ დამუშავების საიტებს, რომლებიც შეიძლება გამოყენებულ იქნას ბიზნეს ოპერაციების გასაგრძელებლად შეფერხების ან კატასტროფის შემთხვევაში. ალტერნატიული გადამუშავების ადგილები აღჭურვილია საჭირო ინფრასტრუქტურითა და სისტემებით და შეიძლება გამოყენებულ იქნას კრიტიკული ბიზნეს პროცესების მხარდასაჭერად.
ნაწილი 14. შესაბამისობა და აუდიტი
14.1. კანონებთან და დებულებებთან შესაბამისობა
ევროპის IT სერტიფიცირების ინსტიტუტი ვალდებულია დაიცვას ყველა მოქმედი კანონი და რეგულაცია, რომელიც დაკავშირებულია ინფორმაციის უსაფრთხოებასა და კონფიდენციალურობასთან, მონაცემთა დაცვის კანონების, ინდუსტრიის სტანდარტებისა და სახელშეკრულებო ვალდებულებების ჩათვლით. ჩვენ რეგულარულად განვიხილავთ და ვაახლებთ ჩვენს პოლიტიკას, პროცედურებსა და კონტროლს, რათა უზრუნველვყოთ შესაბამისობა ყველა შესაბამის მოთხოვნასთან და სტანდარტთან. ძირითადი სტანდარტები და ჩარჩოები, რომლებსაც ჩვენ მივყვებით ინფორმაციის უსაფრთხოების კონტექსტში, მოიცავს:
- ISO/IEC 27001 სტანდარტი უზრუნველყოფს სახელმძღვანელო მითითებებს ინფორმაციული უსაფრთხოების მართვის სისტემის (ISMS) დანერგვისა და მართვისთვის, რომელიც მოიცავს დაუცველობის მართვას, როგორც ძირითად კომპონენტს. ის უზრუნველყოფს საცნობარო ჩარჩოს ჩვენი ინფორმაციული უსაფრთხოების მართვის სისტემის (ISMS) დანერგვისა და შესანარჩუნებლად, მოწყვლადობის მართვის ჩათვლით. ამ სტანდარტის დებულებების შესაბამისად, ჩვენ იდენტიფიცირებთ, ვაფასებთ და ვმართავთ ინფორმაციული უსაფრთხოების რისკებს, მათ შორის მოწყვლადობას.
- აშშ-ს სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტი (NIST) კიბერუსაფრთხოების ჩარჩო, რომელიც უზრუნველყოფს სახელმძღვანელო მითითებებს კიბერუსაფრთხოების რისკების იდენტიფიცირების, შეფასებისა და მართვისთვის, მათ შორის დაუცველობის მართვისთვის.
- სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტის (NIST) კიბერუსაფრთხოების ჩარჩო კიბერუსაფრთხოების რისკის მართვის გასაუმჯობესებლად, ფუნქციების ძირითადი ნაკრებით დაუცველობის მართვის ჩათვლით, რომელსაც ჩვენ ვიცავთ ჩვენი კიბერუსაფრთხოების რისკების სამართავად.
- SANS Critical Security Controls შეიცავს 20 უსაფრთხოების კონტროლის კომპლექტს კიბერუსაფრთხოების გასაუმჯობესებლად, რომელიც მოიცავს მთელ რიგ სფეროებს, მათ შორის დაუცველობის მენეჯმენტს, უზრუნველყოფს სპეციფიკურ მითითებებს დაუცველობის სკანირებაზე, პატჩის მენეჯმენტზე და დაუცველობის მართვის სხვა ასპექტებზე.
- გადახდის ბარათების ინდუსტრიის მონაცემთა უსაფრთხოების სტანდარტი (PCI DSS), რომელიც მოითხოვს საკრედიტო ბარათის ინფორმაციის დამუშავებას ამ კონტექსტში დაუცველობის მართვის შესახებ.
- ინტერნეტ უსაფრთხოების კონტროლის ცენტრი (CIS) მოწყვლადობის მართვის ჩათვლით, როგორც ერთ-ერთი მთავარი კონტროლი ჩვენი საინფორმაციო სისტემების უსაფრთხო კონფიგურაციის უზრუნველსაყოფად.
- ღია ვებ აპლიკაციის უსაფრთხოების პროექტი (OWASP), ვებ აპლიკაციის უსაფრთხოების ყველაზე კრიტიკული რისკების ტოპ 10 სიით, მათ შორის დაუცველობის შეფასება, როგორიცაა ინექციის შეტევები, გატეხილი ავტორიზაცია და სესიების მართვა, სკრიპტებს შორის (XSS) და ა.შ. ჩვენ ვიყენებთ OWASP ტოპ 10, რათა პრიორიტეტული იყოს ჩვენი დაუცველობის მართვის ძალისხმევა და ფოკუსირება ყველაზე კრიტიკულ რისკებზე ჩვენი ვებ სისტემების მიმართ.
14.2. Შიდა აუდიტის
ჩვენ ვატარებთ რეგულარულ შიდა აუდიტს, რათა შევაფასოთ ჩვენი ინფორმაციული უსაფრთხოების მართვის სისტემის (ISMS) ეფექტურობა და დავრწმუნდეთ, რომ დაცულია ჩვენი პოლიტიკა, პროცედურები და კონტროლი. შიდა აუდიტის პროცესი მოიცავს შეუსაბამობების იდენტიფიცირებას, მაკორექტირებელი ქმედებების შემუშავებას და გამოსწორების მცდელობებს თვალყურის დევნებას.
14.3. გარე აუდიტი
ჩვენ პერიოდულად ვთანამშრომლობთ გარე აუდიტორებთან, რათა გადავამოწმოთ ჩვენი შესაბამისობა მოქმედ კანონებთან, რეგულაციებთან და ინდუსტრიის სტანდარტებთან. ჩვენ ვაძლევთ აუდიტორებს წვდომას ჩვენს ობიექტებზე, სისტემებსა და დოკუმენტაციაზე, როგორც ეს საჭიროა ჩვენი შესაბამისობის დასადასტურებლად. ჩვენ ასევე ვმუშაობთ გარე აუდიტორებთან, რათა მივმართოთ აუდიტის პროცესში გამოვლენილ ნებისმიერ აღმოჩენას ან რეკომენდაციას.
14.4. შესაბამისობის მონიტორინგი
ჩვენ მუდმივად ვაკვირდებით ჩვენს შესაბამისობას მოქმედ კანონებთან, რეგულაციებთან და ინდუსტრიის სტანდარტებთან. ჩვენ ვიყენებთ სხვადასხვა მეთოდს შესაბამისობის მონიტორინგისთვის, მათ შორის პერიოდული შეფასებები, აუდიტები და მესამე მხარის პროვაიდერების მიმოხილვები. ჩვენ ასევე რეგულარულად განვიხილავთ და ვაახლებთ ჩვენს პოლიტიკას, პროცედურებსა და კონტროლს, რათა უზრუნველვყოთ მუდმივი შესაბამისობა ყველა შესაბამის მოთხოვნასთან.
ნაწილი 15. მესამე მხარის მენეჯმენტი
15.1. მესამე მხარის მართვის პოლიტიკა
ევროპის IT სერტიფიკაციის ინსტიტუტს აქვს მესამე მხარის მართვის პოლიტიკა, რომელიც ასახავს მესამე მხარის პროვაიდერების შერჩევის, შეფასების და მონიტორინგის მოთხოვნებს, რომლებსაც აქვთ წვდომა ჩვენს საინფორმაციო აქტივებსა თუ სისტემებზე. პოლიტიკა ვრცელდება ყველა მესამე მხარის პროვაიდერზე, ღრუბლოვანი სერვისის პროვაიდერებზე, მომწოდებლებზე და კონტრაქტორებზე.
15.2. მესამე მხარის შერჩევა და შეფასება
მესამე მხარის პროვაიდერებთან ჩართვამდე ჩვენ ვატარებთ სათანადო დილიგიას, რათა უზრუნველვყოთ, რომ მათ აქვთ უსაფრთხოების ადეკვატური კონტროლი ჩვენი საინფორმაციო აქტივების ან სისტემების დასაცავად. ჩვენ ასევე ვაფასებთ მესამე მხარის პროვაიდერების შესაბამისობას ინფორმაციის უსაფრთხოებასა და კონფიდენციალურობასთან დაკავშირებულ მოქმედ კანონებსა და რეგულაციების მიმართ.
15.3. მესამე მხარის მონიტორინგი
ჩვენ მუდმივად ვაკვირდებით მესამე მხარის პროვაიდერებს, რათა უზრუნველვყოთ, რომ ისინი კვლავ აკმაყოფილებენ ჩვენს მოთხოვნებს ინფორმაციის უსაფრთხოებისა და კონფიდენციალურობის შესახებ. ჩვენ ვიყენებთ სხვადასხვა მეთოდს მესამე მხარის პროვაიდერების მონიტორინგისთვის, მათ შორის პერიოდული შეფასებები, აუდიტები და უსაფრთხოების ინციდენტების ანგარიშების მიმოხილვა.
15.4. სახელშეკრულებო მოთხოვნები
მესამე მხარის პროვაიდერებთან ყველა კონტრაქტში ჩვენ ვიცავთ საკონტრაქტო მოთხოვნებს ინფორმაციის უსაფრთხოებასა და კონფიდენციალურობასთან დაკავშირებით. ეს მოთხოვნები მოიცავს დებულებებს მონაცემთა დაცვის, უსაფრთხოების კონტროლის, ინციდენტების მართვისა და შესაბამისობის მონიტორინგის შესახებ. ჩვენ ასევე მოიცავს დებულებებს კონტრაქტების შეწყვეტის შესახებ უსაფრთხოების ინციდენტის ან შეუსრულებლობის შემთხვევაში.
ნაწილი 16. ინფორმაციის უსაფრთხოება სერტიფიცირების პროცესებში
16.1 სერტიფიცირების პროცესების უსაფრთხოება
ჩვენ ვიღებთ ადეკვატურ და სისტემურ ზომებს, რათა უზრუნველვყოთ ჩვენი სერტიფიცირების პროცესებთან დაკავშირებული ყველა ინფორმაციის უსაფრთხოება, მათ შორის სერტიფიცირების მსურველი პირების პერსონალური მონაცემები. ეს მოიცავს ყველა სერტიფიცირებასთან დაკავშირებული ინფორმაციის წვდომის, შენახვისა და გადაცემის კონტროლს. ამ ზომების განხორციელებით, ჩვენ მიზნად ისახავს უზრუნველვყოთ სერტიფიცირების პროცესები უსაფრთხოებისა და მთლიანობის უმაღლესი დონით, და რომ სერტიფიცირების მსურველი პირების პერსონალური მონაცემები დაცული იყოს შესაბამისი რეგულაციებისა და სტანდარტების შესაბამისად.
16.2. ავტორიზაცია და ავტორიზაცია
ჩვენ ვიყენებთ ავთენტიფიკაციისა და ავტორიზაციის კონტროლს, რათა დავრწმუნდეთ, რომ მხოლოდ უფლებამოსილ პერსონალს აქვს წვდომა სერტიფიცირების ინფორმაციაზე. წვდომის კონტროლი რეგულარულად განიხილება და განახლდება პერსონალის როლებსა და პასუხისმგებლობებში ცვლილებების საფუძველზე.
16.3. მონაცემთა დაცვა
ჩვენ ვიცავთ პერსონალურ მონაცემებს სერტიფიცირების მთელი პროცესის განმავლობაში შესაბამისი ტექნიკური და ორგანიზაციული ზომების განხორციელებით მონაცემთა კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის უზრუნველსაყოფად. ეს მოიცავს ზომებს, როგორიცაა დაშიფვრა, წვდომის კონტროლი და რეგულარული სარეზერვო ასლები.
16.4. საგამოცდო პროცესების უსაფრთხოება
ჩვენ უზრუნველვყოფთ საგამოცდო პროცესების უსაფრთხოებას მოტყუების თავიდან აცილების შესაბამისი ზომების გატარებით, საგამოცდო გარემოს მონიტორინგისა და კონტროლის გზით. ჩვენ ასევე ვინარჩუნებთ საგამოცდო მასალების მთლიანობასა და კონფიდენციალურობას უსაფრთხო შენახვის პროცედურების მეშვეობით.
16.5. გამოცდის შინაარსის უსაფრთხოება
ჩვენ უზრუნველვყოფთ საგამოცდო შინაარსის უსაფრთხოებას კონტენტის არაავტორიზებული წვდომისგან, ცვლილების ან გამჟღავნებისგან დასაცავად შესაბამისი ზომების გატარებით. ეს მოიცავს საგამოცდო შინაარსის უსაფრთხო შენახვის, დაშიფვრის და წვდომის კონტროლის გამოყენებას, ასევე საგამოცდო შინაარსის არაავტორიზებული გავრცელების ან გავრცელების პრევენციის კონტროლს.
16.6. საგამოცდო მიწოდების უსაფრთხოება
ჩვენ უზრუნველვყოფთ გამოცდის ჩატარების უსაფრთხოებას შესაბამისი ზომების განხორციელებით, რათა თავიდან ავიცილოთ საგამოცდო გარემოში არაავტორიზებული წვდომა ან მანიპულირება. ეს მოიცავს ისეთ ზომებს, როგორიცაა საგამოცდო გარემოს მონიტორინგი, აუდიტი და კონტროლი და კონკრეტული გამოკვლევის მიდგომები, რათა თავიდან იქნას აცილებული თაღლითობა ან უსაფრთხოების სხვა დარღვევები.
16.7. გამოცდის შედეგების უსაფრთხოება
ჩვენ უზრუნველვყოფთ ექსპერტიზის შედეგების უსაფრთხოებას შესაბამისი ზომების გატარებით, რათა დავიცვათ შედეგების არასანქცირებული წვდომა, შეცვლა ან გამჟღავნება. ეს მოიცავს გამოკვლევის შედეგების უსაფრთხო შენახვის, დაშიფვრის და წვდომის კონტროლის გამოყენებას, ასევე კონტროლს ექსპერტიზის შედეგების არაავტორიზებული გავრცელების ან გავრცელების თავიდან ასაცილებლად.
16.8. სერტიფიკატების გაცემის უსაფრთხოება
ჩვენ უზრუნველვყოფთ სერტიფიკატების გაცემის უსაფრთხოებას თაღლითობისა და სერტიფიკატების არასანქცირებული გაცემის თავიდან ასაცილებლად შესაბამისი ზომების გატარებით. ეს მოიცავს კონტროლს სერტიფიკატების მიმღები პირების ვინაობის დასადასტურებლად და უსაფრთხო შენახვისა და გაცემის პროცედურებს.
16.9. საჩივრები და აპელაციები
ჩვენ დავადგინეთ სერტიფიცირების პროცესთან დაკავშირებული საჩივრებისა და აპელაციების მართვის პროცედურები. ეს პროცედურები მოიცავს ზომებს პროცესის კონფიდენციალურობისა და მიუკერძოებლობის უზრუნველსაყოფად და საჩივრებთან და გასაჩივრებებთან დაკავშირებული ინფორმაციის უსაფრთხოების უზრუნველსაყოფად.
16.10. სერტიფიცირების პროცესების ხარისხის მართვა
ჩვენ დავამკვიდრეთ ხარისხის მართვის სისტემა (QMS) სერტიფიცირების პროცესებისთვის, რომელიც მოიცავს ზომებს პროცესების ეფექტურობის, ეფექტურობისა და უსაფრთხოების უზრუნველსაყოფად. QMS მოიცავს პროცესების რეგულარულ აუდიტს და მიმოხილვას და მათ უსაფრთხოების კონტროლს.
16.11. სერტიფიცირების პროცესების უსაფრთხოების უწყვეტი გაუმჯობესება
ჩვენ მზად ვართ გავაუმჯობესოთ ჩვენი სერტიფიცირების პროცესები და მათი უსაფრთხოების კონტროლი. ეს მოიცავს რეგულარულ მიმოხილვას და განახლებებს სერტიფიცირებასთან დაკავშირებული პოლიტიკისა და პროცედურების უსაფრთხოების შესახებ, რომელიც ეფუძნება ბიზნეს გარემოში არსებულ ცვლილებებს, მარეგულირებელ მოთხოვნებს და ინფორმაციული უსაფრთხოების მართვის საუკეთესო პრაქტიკას, ინფორმაციული უსაფრთხოების მართვის ISO 27001 სტანდარტის შესაბამისად, ისევე როგორც ISO. 17024 სასერტიფიკაციო ორგანოების მოქმედი სტანდარტი.
ნაწილი 17. დასკვნითი დებულებები
17.1. პოლიტიკის განხილვა და განახლება
ინფორმაციული უსაფრთხოების ეს პოლიტიკა არის ცოცხალი დოკუმენტი, რომელიც გადის უწყვეტ მიმოხილვებსა და განახლებებს, რომელიც ეფუძნება ჩვენს საოპერაციო მოთხოვნებს, მარეგულირებელ მოთხოვნებს ან ინფორმაციული უსაფრთხოების მართვის საუკეთესო პრაქტიკას.
17.2. შესაბამისობის მონიტორინგი
ჩვენ შევქმენით პროცედურები ამ ინფორმაციული უსაფრთხოების პოლიტიკასთან შესაბამისობის მონიტორინგისთვის და უსაფრთხოების შესაბამისი კონტროლისთვის. შესაბამისობის მონიტორინგი მოიცავს უსაფრთხოების კონტროლის რეგულარულ აუდიტს, შეფასებას და მიმოხილვას და მათ ეფექტურობას ამ პოლიტიკის მიზნების მისაღწევად.
17.3. უსაფრთხოების ინციდენტების მოხსენება
ჩვენ დავამყარეთ პროცედურები უსაფრთხოების ინციდენტების შესახებ, რომლებიც დაკავშირებულია ჩვენს საინფორმაციო სისტემებთან, მათ შორის პირთა პერსონალურ მონაცემებთან დაკავშირებული ინციდენტების შესახებ. თანამშრომლებს, კონტრაქტორებს და სხვა დაინტერესებულ მხარეებს მოუწოდებენ შეატყობინონ უსაფრთხოების ნებისმიერი ინციდენტის ან საეჭვო ინციდენტის შესახებ დანიშნულ უსაფრთხოების ჯგუფს რაც შეიძლება მალე.
17.4. ტრენინგი და ინფორმირებულობა
ჩვენ უზრუნველვყოფთ რეგულარულ ტრენინგს და ცნობიერების ამაღლების პროგრამებს თანამშრომლებისთვის, კონტრაქტორებისთვის და სხვა დაინტერესებული მხარეებისთვის, რათა მათ იცოდნენ ინფორმაციული უსაფრთხოებასთან დაკავშირებული თავიანთი პასუხისმგებლობები და ვალდებულებები. ეს მოიცავს ტრენინგს უსაფრთხოების პოლიტიკისა და პროცედურების შესახებ და ზომებს პირთა პერსონალური მონაცემების დასაცავად.
17.5. პასუხისმგებლობა და ანგარიშვალდებულება
ჩვენ ყველა თანამშრომელს, კონტრაქტორს და სხვა დაინტერესებულ მხარეს ვაყენებთ პასუხისმგებელ და ანგარიშვალდებულს ინფორმაციის უსაფრთხოების პოლიტიკის და მასთან დაკავშირებული უსაფრთხოების კონტროლთან დაკავშირებით. ჩვენ ასევე პასუხისმგებელნი ვართ მენეჯმენტისთვის იმის უზრუნველსაყოფად, რომ სათანადო რესურსები გამოიყოფა ინფორმაციული უსაფრთხოების ეფექტური კონტროლის განსახორციელებლად და შესანარჩუნებლად.
ინფორმაციული უსაფრთხოების ეს პოლიტიკა წარმოადგენს ევროპის IT სერტიფიკაციის ინსტიტუტის ინფორმაციის უსაფრთხოების მართვის ჩარჩოს კრიტიკულ კომპონენტს და აჩვენებს ჩვენს ერთგულებას ინფორმაციული აქტივებისა და დამუშავებული მონაცემების დაცვაზე, ინფორმაციის კონფიდენციალურობის, კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის უზრუნველსაყოფად და მარეგულირებელ და სახელშეკრულებო მოთხოვნებთან შესაბამისობაში.