Patakaran sa Seguridad ng Impormasyon
Patakaran sa Seguridad ng Impormasyon ng EITCA Academy
Tinutukoy ng dokumentong ito ang Patakaran sa Seguridad ng Impormasyon (ISP) ng European IT Certification Institute, na regular na sinusuri at ina-update upang matiyak ang pagiging epektibo at kaugnayan nito. Ang huling update sa EITCI Information Security Policy ay ginawa noong ika-7 ng Enero 2023.
Bahagi 1. Panimula at Pahayag ng Patakaran sa Seguridad ng Impormasyon
1.1. pagpapakilala
Kinikilala ng European IT Certification Institute ang kahalagahan ng seguridad ng impormasyon sa pagpapanatili ng pagiging kumpidensyal, integridad, at pagkakaroon ng impormasyon at ang tiwala ng aming mga stakeholder. Nakatuon kami sa pagprotekta sa sensitibong impormasyon, kabilang ang personal na data, mula sa hindi awtorisadong pag-access, pagsisiwalat, pagbabago, at pagkasira. Nagpapanatili kami ng isang epektibong Patakaran sa Seguridad ng Impormasyon upang suportahan ang aming misyon ng pagbibigay ng maaasahan at walang kinikilingan na mga serbisyo sa sertipikasyon sa aming mga kliyente. Binabalangkas ng Patakaran sa Seguridad ng Impormasyon ang ating pangako sa pagprotekta sa mga asset ng impormasyon at pagtugon sa ating mga obligasyong legal, regulasyon, at kontraktwal. Ang aming patakaran ay batay sa mga prinsipyo ng ISO 27001 at ISO 17024, ang nangungunang internasyonal na pamantayan para sa pamamahala ng seguridad ng impormasyon at mga pamantayan sa pagpapatakbo ng mga katawan ng sertipikasyon.
1.2. Pahayag ng Patakaran
Ang European IT Certification Institute ay nakatuon sa:
- Pagprotekta sa pagiging kumpidensyal, integridad, at pagkakaroon ng mga asset ng impormasyon,
- Pagsunod sa mga legal, regulasyon, at kontraktwal na obligasyon na may kaugnayan sa seguridad ng impormasyon at pagproseso ng data na nagpapatupad ng mga proseso at operasyon ng sertipikasyon nito,
- Patuloy na pagpapabuti ng patakaran sa seguridad ng impormasyon nito at kaugnay na sistema ng pamamahala,
- Pagbibigay ng sapat na pagsasanay at kamalayan sa mga empleyado, kontratista at kalahok,
- Kinasasangkutan ang lahat ng empleyado at kontratista sa pagpapatupad at pagpapanatili ng patakaran sa seguridad ng impormasyon at ang nauugnay na sistema ng pamamahala ng seguridad ng impormasyon.
1.3. Saklaw
Nalalapat ang patakarang ito sa lahat ng asset ng impormasyon na pagmamay-ari, kinokontrol, o pinoproseso ng European IT Certification Institute. Kabilang dito ang lahat ng asset ng digital at pisikal na impormasyon, gaya ng mga system, network, software, data, at dokumentasyon. Nalalapat din ang patakarang ito sa lahat ng empleyado, kontratista, at third-party na service provider na nag-a-access sa aming mga asset ng impormasyon.
1.4. Pagsunod
Ang European IT Certification Institute ay nakatuon sa pagsunod sa mga nauugnay na pamantayan sa seguridad ng impormasyon, kabilang ang ISO 27001 at ISO 17024. Regular naming sinusuri at ina-update ang patakarang ito upang matiyak ang patuloy na kaugnayan at pagsunod nito sa mga pamantayang ito.
Bahagi 2. Seguridad ng Organisasyon
2.1. Mga Layunin sa Seguridad ng Organisasyon
Sa pamamagitan ng pagpapatupad ng mga hakbang sa seguridad ng organisasyon, nilalayon naming tiyakin na ang aming mga asset ng impormasyon at mga kasanayan at pamamaraan sa pagpoproseso ng data ay isinasagawa nang may pinakamataas na antas ng seguridad at integridad, at na sumusunod kami sa mga nauugnay na legal na regulasyon at pamantayan.
2.2. Mga Tungkulin at Pananagutan sa Seguridad ng Impormasyon
Tinutukoy at ipinapahayag ng European IT Certification Institute ang mga tungkulin at responsibilidad para sa seguridad ng impormasyon sa buong organisasyon. Kabilang dito ang pagtatalaga ng malinaw na pagmamay-ari para sa mga asset ng impormasyon sa contaxt ng seguridad ng impormasyon, pagtatatag ng istruktura ng pamamahala, at pagtukoy ng mga partikular na responsibilidad para sa iba't ibang tungkulin at departamento sa buong organisasyon.
2.3. Pamamahala sa Panganib
Nagsasagawa kami ng mga regular na pagtatasa ng panganib upang matukoy at bigyang-priyoridad ang mga panganib sa seguridad ng impormasyon sa organisasyon, kabilang ang mga panganib na nauugnay sa pagproseso ng personal na data. Nagtatatag kami ng mga naaangkop na kontrol upang mapagaan ang mga panganib na ito, at regular na sinusuri at ina-update ang aming diskarte sa pamamahala sa peligro batay sa mga pagbabago sa kapaligiran ng negosyo at tanawin ng pagbabanta.
2.4. Mga Patakaran at Pamamaraan sa Seguridad ng Impormasyon
Nagtatatag at nagpapanatili kami ng isang hanay ng mga patakaran at pamamaraan sa seguridad ng impormasyon na nakabatay sa pinakamahuhusay na kagawian sa industriya at sumusunod sa mga nauugnay na regulasyon at pamantayan. Saklaw ng mga patakaran at pamamaraang ito ang lahat ng aspeto ng seguridad ng impormasyon, kabilang ang pagpoproseso ng personal na data, at regular na sinusuri at ina-update upang matiyak ang pagiging epektibo ng mga ito.
2.5. Kamalayan at Pagsasanay sa Seguridad
Nagbibigay kami ng regular na kaalaman sa seguridad at mga programa sa pagsasanay sa lahat ng empleyado, kontratista, at third-party na kasosyo na may access sa personal na data o iba pang sensitibong impormasyon. Sinasaklaw ng pagsasanay na ito ang mga paksa tulad ng phishing, social engineering, kalinisan ng password, at iba pang pinakamahuhusay na kagawian sa seguridad ng impormasyon.
2.6. Seguridad sa Pisikal at Pangkapaligiran
Nagpapatupad kami ng naaangkop na pisikal at pangkapaligiran na mga kontrol sa seguridad upang maprotektahan laban sa hindi awtorisadong pag-access, pinsala, o panghihimasok sa aming mga pasilidad at sistema ng impormasyon. Kabilang dito ang mga hakbang tulad ng mga kontrol sa pag-access, pagsubaybay, pagsubaybay, at mga backup na power at cooling system.
2.7. Pamamahala ng Insidente sa Seguridad ng Impormasyon
Nagtatag kami ng proseso ng pamamahala ng insidente na nagbibigay-daan sa amin na tumugon nang mabilis at epektibo sa anumang mga insidente sa seguridad ng impormasyon na maaaring mangyari. Kabilang dito ang mga pamamaraan para sa pag-uulat, pagdami, pagsisiyasat, at paglutas ng mga insidente, pati na rin ang mga hakbang para maiwasan ang pag-ulit at pagpapabuti ng aming mga kakayahan sa pagtugon sa insidente.
2.8. Pagpapatuloy ng Operasyon at Pagbawi ng Sakuna
Nagtatag at sumubok kami ng pagpapatuloy ng pagpapatakbo at mga plano sa pagbawi ng sakuna na nagbibigay-daan sa amin na mapanatili ang aming mga kritikal na paggana at serbisyo sa operasyon kung sakaling magkaroon ng pagkaantala o sakuna. Kasama sa mga planong ito ang mga pamamaraan para sa pag-backup at pagbawi ng data at mga system, at mga hakbang para matiyak ang pagkakaroon at integridad ng personal na data.
2.9. Pangangasiwa ng Third-Party
Nagtatatag at nagpapanatili kami ng mga naaangkop na kontrol para sa pamamahala sa mga panganib na nauugnay sa mga third-party na kasosyo na may access sa personal na data o iba pang sensitibong impormasyon. Kabilang dito ang mga hakbang tulad ng angkop na pagsusumikap, mga obligasyong kontraktwal, pagsubaybay, at mga pag-audit, pati na rin ang mga hakbang para sa pagwawakas ng mga partnership kung kinakailangan.
Bahagi 3. Seguridad ng Human Resources
3.1. Pagsusuri sa Trabaho
Ang European IT Certification Institute ay nagtatag ng isang proseso para sa pagsusuri sa trabaho upang matiyak na ang mga indibidwal na may access sa sensitibong impormasyon ay mapagkakatiwalaan at may mga kinakailangang kasanayan at kwalipikasyon.
3.2. Pagkokontrolado
Nagtatag kami ng mga patakaran at pamamaraan sa pagkontrol sa pag-access upang matiyak na ang mga empleyado ay may access lamang sa impormasyong kinakailangan para sa kanilang mga responsibilidad sa trabaho. Ang mga karapatan sa pag-access ay regular na sinusuri at ina-update upang matiyak na ang mga empleyado ay may access lamang sa impormasyong kailangan nila.
3.3. Kamalayan at Pagsasanay sa Seguridad ng Impormasyon
Nagbibigay kami ng pagsasanay sa kaalaman sa seguridad ng impormasyon sa lahat ng empleyado nang regular. Sinasaklaw ng pagsasanay na ito ang mga paksa tulad ng seguridad ng password, pag-atake sa phishing, social engineering at iba pang aspeto ng cybersecurity.
3.4. Katanggap-tanggap na Paggamit
Nagtatag kami ng isang katanggap-tanggap na patakaran sa paggamit na nagbabalangkas sa katanggap-tanggap na paggamit ng mga sistema at mapagkukunan ng impormasyon, kabilang ang mga personal na device na ginagamit para sa mga layunin ng trabaho.
3.5. Seguridad ng Mobile Device
Nagtatag kami ng mga patakaran at pamamaraan para sa ligtas na paggamit ng mga mobile device, kabilang ang paggamit ng mga passcode, pag-encrypt, at mga kakayahan sa malayuang pag-wipe.
3.6. Mga Pamamaraan sa Pagwawakas
Ang European IT Certification Institute ay nagtatag ng mga pamamaraan para sa pagwawakas ng trabaho o kontrata upang matiyak na ang pag-access sa sensitibong impormasyon ay agad na binawi at ligtas.
3.7. Mga Tauhan ng Third-Party
Nagtatag kami ng mga pamamaraan para sa pamamahala ng mga tauhan ng third-party na may access sa sensitibong impormasyon. Kasama sa mga patakarang ito ang screening, kontrol sa pag-access, at pagsasanay sa kaalaman sa seguridad ng impormasyon.
3.8. Pag-uulat ng mga Insidente
Nagtatag kami ng mga patakaran at pamamaraan para sa pag-uulat ng mga insidente o alalahanin sa seguridad ng impormasyon sa mga naaangkop na tauhan o awtoridad.
3.9. Mga Kasunduan sa Pagiging Kumpidensyal
Ang European IT Certification Institute ay nangangailangan ng mga empleyado at kontratista na pumirma ng mga kasunduan sa pagiging kumpidensyal upang maprotektahan ang sensitibong impormasyon mula sa hindi awtorisadong pagsisiwalat.
3.10. Mga Pagkilos sa Disiplina
Ang European IT Certification Institute ay nagtatag ng mga patakaran at pamamaraan para sa mga aksyong pandisiplina sa kaso ng mga paglabag sa patakaran sa seguridad ng impormasyon ng mga empleyado o kontratista.
Bahagi 4. Pagtatasa at Pamamahala sa Panganib
4.1. Pagtatasa ng Panganib
Nagsasagawa kami ng pana-panahong pagtatasa ng panganib upang matukoy ang mga potensyal na banta at kahinaan sa aming mga asset ng impormasyon. Gumagamit kami ng structured na diskarte para tukuyin, suriin, suriin, at bigyang-priyoridad ang mga panganib batay sa kanilang posibilidad at potensyal na epekto. Tinatasa namin ang mga panganib na nauugnay sa aming mga asset ng impormasyon, kabilang ang mga system, network, software, data, at dokumentasyon.
4.2. Paggamot sa Panganib
Gumagamit kami ng proseso ng paggagamot sa panganib upang pagaanin o bawasan ang mga panganib sa isang katanggap-tanggap na antas. Kasama sa proseso ng paggamot sa panganib ang pagpili ng mga naaangkop na kontrol, pagpapatupad ng mga kontrol, at pagsubaybay sa pagiging epektibo ng mga kontrol. Priyoridad namin ang pagpapatupad ng mga kontrol batay sa antas ng panganib, mga magagamit na mapagkukunan, at mga priyoridad ng negosyo.
4.3. Pagsubaybay at Pagsusuri sa Panganib
Regular naming sinusubaybayan at sinusuri ang pagiging epektibo ng aming proseso ng pamamahala sa peligro upang matiyak na ito ay nananatiling may kaugnayan at epektibo. Gumagamit kami ng mga sukatan at tagapagpahiwatig upang sukatin ang pagganap ng aming proseso ng pamamahala sa peligro at tukuyin ang mga pagkakataon para sa pagpapabuti. Sinusuri din namin ang aming proseso ng pamamahala sa peligro bilang bahagi ng aming mga pana-panahong pagsusuri sa pamamahala upang matiyak ang patuloy na pagiging angkop, kasapatan, at pagiging epektibo nito.
4.4. Pagpaplano ng Pagtugon sa Panganib
Mayroon kaming plano sa pagtugon sa panganib na nakalagay upang matiyak na makakatugon kami nang epektibo sa anumang natukoy na mga panganib. Kasama sa planong ito ang mga pamamaraan para sa pagtukoy at pag-uulat ng mga panganib, pati na rin ang mga proseso para sa pagtatasa ng potensyal na epekto ng bawat panganib at pagtukoy ng naaangkop na mga aksyon sa pagtugon. Mayroon din kaming mga contingency plan na nakalagay upang matiyak ang pagpapatuloy ng negosyo kung sakaling magkaroon ng malaking panganib na kaganapan.
4.5. Pagsusuri ng Epekto sa Operasyon
Nagsasagawa kami ng mga pana-panahong pagsusuri sa epekto ng negosyo upang matukoy ang potensyal na epekto ng mga pagkagambala sa aming mga pagpapatakbo ng negosyo. Kasama sa pagsusuring ito ang pagtatasa ng pagiging kritikal ng mga function, system, at data ng aming negosyo, pati na rin ang pagsusuri sa potensyal na epekto ng mga pagkaantala sa aming mga customer, empleyado, at iba pang stakeholder.
4.6. Pangangasiwa ng Panganib ng Third-Party
Mayroon kaming isang third-party na programa sa pamamahala ng panganib na nakalagay upang matiyak na ang aming mga vendor at iba pang mga third-party na service provider ay namamahala din ng mga panganib nang naaangkop. Kasama sa programang ito ang mga pagsusuri sa nararapat na pagsusumikap bago makipag-ugnayan sa mga third party, patuloy na pagsubaybay sa mga aktibidad ng third-party, at mga pana-panahong pagtatasa ng mga kasanayan sa pamamahala ng panganib ng third-party.
4.7. Pagtugon at Pamamahala sa Insidente
Mayroon kaming nakalagay na tugon sa insidente at plano sa pamamahala upang matiyak na makakatugon kami nang epektibo sa anumang mga insidente sa seguridad. Kasama sa planong ito ang mga pamamaraan para sa pagtukoy at pag-uulat ng mga insidente, pati na rin ang mga proseso para sa pagtatasa ng epekto ng bawat insidente at pagtukoy ng naaangkop na mga aksyon sa pagtugon. Mayroon din kaming plano sa pagpapatuloy ng negosyo na nakalagay upang matiyak na ang mga kritikal na function ng negosyo ay maaaring magpatuloy sa kaganapan ng isang makabuluhang insidente.
Bahagi 5. Seguridad sa Pisikal at Pangkapaligiran
5.1. Pisikal na Seguridad Perimeter
Nagtatag kami ng mga pisikal na hakbang sa seguridad upang protektahan ang pisikal na lugar at sensitibong impormasyon mula sa hindi awtorisadong pag-access.
5.2. Pagkokontrolado
Nagtatag kami ng mga patakaran at pamamaraan sa pagkontrol sa pag-access para sa pisikal na lugar upang matiyak na ang mga awtorisadong tauhan lamang ang may access sa sensitibong impormasyon.
5.3. Seguridad ng Kagamitan
Tinitiyak namin na ang lahat ng kagamitan na naglalaman ng sensitibong impormasyon ay pisikal na ligtas, at ang pag-access sa kagamitang ito ay limitado lamang sa mga awtorisadong tauhan.
5.4. Ligtas na Pagtatapon
Nagtatag kami ng mga pamamaraan para sa secure na pagtatapon ng sensitibong impormasyon, kabilang ang mga papel na dokumento, electronic media, at hardware.
5.5. Pisikal na Kapaligiran
Tinitiyak namin na ang pisikal na kapaligiran ng lugar, kabilang ang temperatura, halumigmig, at ilaw, ay angkop para sa proteksyon ng sensitibong impormasyon.
5.6. Power Supply
Tinitiyak namin na ang supply ng kuryente sa lugar ay maaasahan at protektado laban sa pagkawala ng kuryente o surge.
5.7. Proteksyon sa Sunog
Nagtatag kami ng mga patakaran at pamamaraan sa proteksyon ng sunog, kabilang ang pag-install at pagpapanatili ng mga sistema ng pagtukoy at pagsugpo ng sunog.
5.8. Proteksyon sa Pinsala ng Tubig
Nagtatag kami ng mga patakaran at pamamaraan para sa pagprotekta sa sensitibong impormasyon mula sa pagkasira ng tubig, kabilang ang pag-install at pagpapanatili ng mga sistema ng pagtuklas at pag-iwas sa baha.
5.9. Pagpapanatili ng Kagamitan
Nagtatag kami ng mga pamamaraan para sa pagpapanatili ng kagamitan, kabilang ang inspeksyon ng kagamitan para sa mga palatandaan ng pakikialam o hindi awtorisadong pag-access.
5.10. Katanggap-tanggap na Paggamit
Nagtatag kami ng patakaran sa katanggap-tanggap na paggamit na nagbabalangkas sa katanggap-tanggap na paggamit ng mga pisikal na mapagkukunan at pasilidad.
5.11. Malayong Pag-access
Nagtatag kami ng mga patakaran at pamamaraan para sa malayuang pag-access sa sensitibong impormasyon, kabilang ang paggamit ng mga secure na koneksyon at pag-encrypt.
5.12. Pagsubaybay at Pagsubaybay
Nagtatag kami ng mga patakaran at pamamaraan para sa pagsubaybay at pagsubaybay sa mga pisikal na lugar at kagamitan upang matukoy at maiwasan ang hindi awtorisadong pag-access o pakikialam.
Bahagi. 6. Seguridad sa Komunikasyon at Operasyon
6.1. Pamamahala ng Seguridad sa Network
Nagtatag kami ng mga patakaran at pamamaraan para sa pamamahala ng seguridad ng network, kabilang ang paggamit ng mga firewall, intrusion detection at prevention system, at regular na pag-audit sa seguridad.
6.2. Paglipat ng Impormasyon
Nagtatag kami ng mga patakaran at pamamaraan para sa secure na paglipat ng sensitibong impormasyon, kabilang ang paggamit ng pag-encrypt at secure na mga protocol ng paglilipat ng file.
6.3. Mga Komunikasyon ng Third-Party
Nagtatag kami ng mga patakaran at pamamaraan para sa secure na pagpapalitan ng sensitibong impormasyon sa mga third-party na organisasyon, kabilang ang paggamit ng mga secure na koneksyon at pag-encrypt.
6.4. Paghawak ng Media
Nagtatag kami ng mga pamamaraan para sa pangangasiwa ng sensitibong impormasyon sa iba't ibang anyo ng media, kabilang ang mga papel na dokumento, electronic media, at mga portable storage device.
6.5. Pagpapaunlad at Pagpapanatili ng mga Sistema ng Impormasyon
Nagtatag kami ng mga patakaran at pamamaraan para sa pagbuo at pagpapanatili ng mga sistema ng impormasyon, kabilang ang paggamit ng mga secure na kasanayan sa coding, regular na pag-update ng software at pamamahala ng patch.
6.6. Proteksyon sa Malware at Virus
Nagtatag kami ng mga patakaran at pamamaraan para sa pagprotekta sa mga sistema ng impormasyon laban sa malware at mga virus, kabilang ang paggamit ng anti-virus software at regular na mga update sa seguridad.
6.7. Pag-backup at Pagpapanumbalik
Nagtatag kami ng mga patakaran at pamamaraan para sa pag-backup at pagpapanumbalik ng sensitibong impormasyon upang maiwasan ang pagkawala o katiwalian ng data.
6.8. Pamamahala ng Kaganapan
Nagtatag kami ng mga patakaran at pamamaraan para sa pagkilala, pagsisiyasat, at paglutas ng mga insidente at kaganapan sa seguridad.
6.9. Pamamahala ng Kahinaan
Nagtatag kami ng mga patakaran at pamamaraan para sa pamamahala ng mga kahinaan ng system ng impormasyon, kabilang ang paggamit ng mga regular na pagsusuri sa kahinaan at pamamahala ng patch.
6.10. Pagkokontrolado
Nagtatag kami ng mga patakaran at pamamaraan para sa pamamahala ng pag-access ng user sa mga sistema ng impormasyon, kabilang ang paggamit ng mga kontrol sa pag-access, pagpapatunay ng user, at regular na pagsusuri sa pag-access.
6.11. Pagsubaybay at Pag-log
Nagtatag kami ng mga patakaran at pamamaraan para sa pagsubaybay at pag-log ng mga aktibidad ng sistema ng impormasyon, kabilang ang paggamit ng mga audit trail at pag-log ng insidente sa seguridad.
Bahagi 7. Pagkuha, Pagpapaunlad at Pagpapanatili ng Mga Sistema ng Impormasyon
7.1. Mga Kinakailangan
Nagtatag kami ng mga patakaran at pamamaraan para sa pagtukoy ng mga kinakailangan ng system ng impormasyon, kabilang ang mga kinakailangan sa negosyo, mga kinakailangan sa legal at regulasyon, at mga kinakailangan sa seguridad.
7.2. Mga Relasyon ng Supplier
Nagtatag kami ng mga patakaran at pamamaraan para sa pamamahala ng mga relasyon sa mga third-party na supplier ng mga sistema at serbisyo ng impormasyon, kabilang ang pagsusuri ng mga kasanayan sa seguridad ng mga supplier.
7.3. Pagbuo ng Sistema
Nagtatag kami ng mga patakaran at pamamaraan para sa ligtas na pag-unlad ng mga sistema ng impormasyon, kabilang ang paggamit ng mga ligtas na kasanayan sa pag-coding, regular na pagsubok, at katiyakan sa kalidad.
7.4. Pagsusuri ng System
Nagtatag kami ng mga patakaran at pamamaraan para sa pagsubok ng mga sistema ng impormasyon, kabilang ang pagsubok ng functionality, pagsubok sa pagganap, at pagsubok sa seguridad.
7.5. System Acceptance
Nagtatag kami ng mga patakaran at pamamaraan para sa pagtanggap ng mga sistema ng impormasyon, kabilang ang pag-apruba ng mga resulta ng pagsubok, pagtatasa ng seguridad, at pagsubok sa pagtanggap ng user.
7.6. Pagpapanatili ng System
Nagtatag kami ng mga patakaran at pamamaraan para sa pagpapanatili ng mga sistema ng impormasyon, kabilang ang mga regular na pag-update, mga patch ng seguridad, at mga backup ng system.
7.7. System Retirement
Nagtatag kami ng mga patakaran at pamamaraan para sa pagreretiro ng mga sistema ng impormasyon, kabilang ang ligtas na pagtatapon ng hardware at data.
7.8. Pagpapanatili ng Data
Nagtatag kami ng mga patakaran at pamamaraan para sa pagpapanatili ng data bilang pagsunod sa mga kinakailangan sa batas at regulasyon, kabilang ang ligtas na pag-iimbak at pagtatapon ng sensitibong data.
7.9. Mga Kinakailangan sa Seguridad para sa Mga Sistema ng Impormasyon
Nagtatag kami ng mga patakaran at pamamaraan para sa pagkilala at pagpapatupad ng mga kinakailangan sa seguridad para sa mga sistema ng impormasyon, kabilang ang mga kontrol sa pag-access, pag-encrypt, at proteksyon ng data.
7.10. Mga Ligtas na Kapaligiran sa Pag-unlad
Nagtatag kami ng mga patakaran at pamamaraan para sa mga secure na kapaligiran sa pag-develop para sa mga sistema ng impormasyon, kabilang ang paggamit ng mga secure na kasanayan sa pag-develop, mga kontrol sa pag-access, at mga secure na configuration ng network.
7.11. Proteksyon ng Mga Kapaligiran sa Pagsubok
Nagtatag kami ng mga patakaran at pamamaraan para sa proteksyon ng mga kapaligiran sa pagsubok para sa mga sistema ng impormasyon, kabilang ang paggamit ng mga secure na configuration, mga kontrol sa pag-access, at regular na pagsubok sa seguridad.
7.12. Mga Prinsipyo ng Secure System Engineering
Nagtatag kami ng mga patakaran at pamamaraan para sa pagpapatupad ng mga prinsipyo ng secure na system engineering para sa mga sistema ng impormasyon, kabilang ang paggamit ng mga arkitektura ng seguridad, pagmomodelo ng pagbabanta, at mga secure na kasanayan sa pag-coding.
7.13. Mga Alituntunin sa Secure Coding
Nagtatag kami ng mga patakaran at pamamaraan para sa pagpapatupad ng mga secure na alituntunin sa pag-coding para sa mga sistema ng impormasyon, kabilang ang paggamit ng mga pamantayan ng coding, pagsusuri ng code, at awtomatikong pagsubok.
Bahagi 8. Pagkuha ng Hardware
8.1. Pagsunod sa Pamantayan
Sumusunod kami sa pamantayang ISO 27001 para sa information security management system (ISMS) upang matiyak na ang mga asset ng hardware ay nakukuha alinsunod sa aming mga kinakailangan sa seguridad.
8.2. Pagtatasa ng Panganib
Nagsasagawa kami ng pagtatasa ng panganib bago kumuha ng mga asset ng hardware upang matukoy ang mga potensyal na panganib sa seguridad at matiyak na natutugunan ng napiling hardware ang mga kinakailangan sa seguridad.
8.3. Pagpili ng mga Vendor
Bumibili lang kami ng mga asset ng hardware mula sa mga pinagkakatiwalaang vendor na may napatunayang track record sa paghahatid ng mga secure na produkto. Sinusuri namin ang mga patakaran at kasanayan sa seguridad ng vendor, at hinihiling sa kanila na magbigay ng katiyakan na nakakatugon ang kanilang mga produkto sa aming mga kinakailangan sa seguridad.
8.4. Ligtas na Transportasyon
Tinitiyak namin na ang mga asset ng hardware ay ligtas na dinadala sa aming lugar upang maiwasan ang pakikialam, pagkasira, o pagnanakaw habang nagbibiyahe.
8.5. Pagpapatunay ng Authenticity
Bine-verify namin ang pagiging tunay ng mga asset ng hardware sa oras ng paghahatid para matiyak na hindi sila peke o pinakikialaman.
8.6. Mga Kontrol sa Pisikal at Pangkapaligiran
Nagpapatupad kami ng naaangkop na pisikal at pangkapaligiran na mga kontrol upang protektahan ang mga asset ng hardware mula sa hindi awtorisadong pag-access, pagnanakaw, o pinsala.
8.7. Pag-install ng Hardware
Tinitiyak namin na ang lahat ng asset ng hardware ay na-configure at naka-install alinsunod sa mga itinatag na pamantayan at alituntunin sa seguridad.
8.8. Mga Review ng Hardware
Nagsasagawa kami ng mga pana-panahong pagsusuri ng mga asset ng hardware upang matiyak na patuloy na natutugunan ng mga ito ang aming mga kinakailangan sa seguridad at napapanahon sa mga pinakabagong patch at update sa seguridad.
8.9. Pagtatapon ng Hardware
Itatapon namin ang mga asset ng hardware sa isang secure na paraan upang maiwasan ang hindi awtorisadong pag-access sa sensitibong impormasyon.
Bahagi 9. Proteksyon sa Malware at Virus
9.1. Patakaran sa Pag-update ng Software
Pinapanatili namin ang up-to-date na anti-virus at malware protection software sa lahat ng information system na ginagamit ng European IT Certification Institute, kabilang ang mga server, workstation, laptop, at mobile device. Tinitiyak namin na ang anti-virus at malware protection software ay na-configure upang awtomatikong i-update ang mga file ng kahulugan ng virus at mga bersyon ng software nito sa regular na batayan, at ang prosesong ito ay regular na sinusuri.
9.2. Pag-scan ng Anti-Virus at Malware
Nagsasagawa kami ng mga regular na pag-scan ng lahat ng system ng impormasyon, kabilang ang mga server, workstation, laptop, at mga mobile device, upang matukoy at maalis ang anumang mga virus o malware.
9.3. Patakaran sa Walang Pagpapagana at Walang Pagbabago
Nagpapatupad kami ng mga patakaran na nagbabawal sa mga user na i-disable o baguhin ang anti-virus at malware protection software sa anumang information system.
9.4. Pagsubaybay
Sinusubaybayan namin ang aming mga alerto at log ng software sa proteksyon ng anti-virus at malware upang matukoy ang anumang mga insidente ng mga impeksyon sa virus o malware, at tumugon sa mga naturang insidente sa isang napapanahong paraan.
9.5. Pagpapanatili ng mga Tala
Pinapanatili namin ang mga talaan ng configuration ng software, pag-update, at pag-scan ng anti-virus at proteksyon ng malware, pati na rin ang anumang insidente ng mga impeksyon sa virus o malware, para sa mga layunin ng pag-audit.
9.6. Mga Review ng Software
Nagsasagawa kami ng mga pana-panahong pagsusuri ng aming anti-virus at malware protection software upang matiyak na nakakatugon ito sa kasalukuyang mga pamantayan ng industriya at sapat para sa aming mga pangangailangan.
9.7. Pagsasanay at Kamalayan
Nagbibigay kami ng mga programa sa pagsasanay at kaalaman upang turuan ang lahat ng empleyado sa kahalagahan ng proteksyon ng virus at malware, at kung paano kilalanin at iulat ang anumang mga kahina-hinalang aktibidad o insidente.
Bahagi 10. Pamamahala ng Asset ng Impormasyon
10.1. Imbentaryo ng Asset ng Impormasyon
Ang European IT Certification Institute ay nagpapanatili ng isang imbentaryo ng mga asset ng impormasyon na kinabibilangan ng lahat ng mga asset ng digital at pisikal na impormasyon, tulad ng mga system, network, software, data, at dokumentasyon. Inuuri namin ang mga asset ng impormasyon batay sa pagiging kritikal at pagiging sensitibo ng mga ito upang matiyak na naipatupad ang mga naaangkop na hakbang sa proteksyon.
10.2. Pangangasiwa ng Asset ng Impormasyon
Nagpapatupad kami ng mga naaangkop na hakbang upang protektahan ang mga asset ng impormasyon batay sa kanilang pag-uuri, kabilang ang pagiging kumpidensyal, integridad, at kakayahang magamit. Tinitiyak namin na ang lahat ng mga asset ng impormasyon ay pinangangasiwaan alinsunod sa mga naaangkop na batas, regulasyon, at mga kinakailangan sa kontrata. Tinitiyak din namin na ang lahat ng mga asset ng impormasyon ay maayos na nakaimbak, pinoprotektahan, at itinatapon kapag hindi na kailangan.
10.3. Pagmamay-ari ng Asset ng Impormasyon
Nagtatalaga kami ng pagmamay-ari ng asset ng impormasyon sa mga indibidwal o departamentong responsable sa pamamahala at pagprotekta sa mga asset ng impormasyon. Tinitiyak din namin na nauunawaan ng mga may-ari ng asset ng impormasyon ang kanilang mga responsibilidad at pananagutan sa pagprotekta sa mga asset ng impormasyon.
10.4. Proteksyon sa Asset ng Impormasyon
Gumagamit kami ng iba't ibang mga hakbang sa proteksyon upang pangalagaan ang mga asset ng impormasyon, kabilang ang mga pisikal na kontrol, kontrol sa pag-access, pag-encrypt, at mga proseso ng backup at pagbawi. Tinitiyak din namin na ang lahat ng mga asset ng impormasyon ay protektado laban sa hindi awtorisadong pag-access, pagbabago, o pagkasira.
Bahagi 11. Access Control
11.1. Patakaran sa Pagkontrol sa Pag-access
Ang European IT Certification Institute ay may Access Control Policy na nagbabalangkas sa mga kinakailangan para sa pagbibigay, pagbabago, at pagbawi ng access sa mga asset ng impormasyon. Ang kontrol sa pag-access ay isang mahalagang bahagi ng aming sistema ng pamamahala ng seguridad ng impormasyon, at ipinapatupad namin ito upang matiyak na ang mga awtorisadong indibidwal lamang ang may access sa aming mga asset ng impormasyon.
11.2. Pagpapatupad ng Access Control
Nagpapatupad kami ng mga hakbang sa pagkontrol sa pag-access batay sa prinsipyo ng hindi bababa sa pribilehiyo, na nangangahulugan na ang mga indibidwal ay may access lamang sa mga asset ng impormasyon na kinakailangan upang maisagawa ang kanilang mga tungkulin sa trabaho. Gumagamit kami ng iba't ibang paraan ng pagkontrol sa pag-access, kabilang ang pagpapatunay, awtorisasyon, at accounting (AAA). Gumagamit din kami ng mga access control list (ACL) at mga pahintulot upang kontrolin ang pag-access sa mga asset ng impormasyon.
11.3. Patakaran sa Password
Ang European IT Certification Institute ay may Patakaran sa Password na nagbabalangkas sa mga kinakailangan para sa paggawa at pamamahala ng mga password. Nangangailangan kami ng malalakas na password na hindi bababa sa 8 character ang haba, na may kumbinasyon ng malalaking titik at maliliit na titik, numero, at espesyal na character. Nangangailangan din kami ng pana-panahong pagbabago ng password at ipinagbabawal ang muling paggamit ng mga nakaraang password.
11.4. Pamamahala ng Gumagamit
Mayroon kaming proseso ng pamamahala ng user na kinabibilangan ng paggawa, pagbabago, at pagtanggal ng mga user account. Ang mga account ng gumagamit ay nilikha batay sa prinsipyo ng hindi bababa sa pribilehiyo, at ang pag-access ay ibinibigay lamang sa mga asset ng impormasyon na kinakailangan upang maisagawa ang mga tungkulin sa trabaho ng indibidwal. Regular din naming sinusuri ang mga user account at inaalis ang mga account na hindi na kailangan.
Bahagi 12. Pamamahala ng Insidente sa Seguridad ng Impormasyon
12.1. Patakaran sa Pamamahala ng Insidente
Ang European IT Certification Institute ay mayroong Incident Management Policy na nagbabalangkas sa mga kinakailangan para sa pag-detect, pag-uulat, pagtatasa, at pagtugon sa mga insidente ng seguridad. Tinutukoy namin ang mga insidente sa seguridad bilang anumang kaganapan na nakompromiso ang pagiging kumpidensyal, integridad, o pagkakaroon ng mga asset o system ng impormasyon.
12.2. Pagtuklas at Pag-uulat ng Insidente
Nagpapatupad kami ng mga hakbang upang matukoy at maiulat kaagad ang mga insidente sa seguridad. Gumagamit kami ng iba't ibang paraan upang matukoy ang mga insidente sa seguridad, kabilang ang mga intrusion detection system (IDS), antivirus software, at pag-uulat ng user. Tinitiyak din namin na alam ng lahat ng empleyado ang mga pamamaraan para sa pag-uulat ng mga insidente sa seguridad at hinihikayat ang pag-uulat ng lahat ng pinaghihinalaang insidente.
12.3. Pagtatasa at Pagtugon sa Insidente
Mayroon kaming proseso para sa pagtatasa at pagtugon sa mga insidente ng seguridad batay sa kanilang kalubhaan at epekto. Priyoridad namin ang mga insidente batay sa potensyal na epekto ng mga ito sa mga asset o system ng impormasyon at naglalaan ng mga naaangkop na mapagkukunan upang tumugon sa mga ito. Mayroon din kaming plano sa pagtugon na kinabibilangan ng mga pamamaraan para sa pagtukoy, paglalaman, pagsusuri, pagtanggal, at pagbawi mula sa mga insidente sa seguridad, pati na rin ang pag-abiso sa mga nauugnay na partido, at pagsasagawa ng mga pagsusuri pagkatapos ng insidente. sa mga insidente sa seguridad. Ang mga pamamaraan ay regular na sinusuri at ina-update upang matiyak ang kanilang pagiging epektibo at kaugnayan.
12.4. Koponan ng Pagtugon sa Insidente
Mayroon kaming Incident Response Team (IRT) na responsable sa pagtugon sa mga insidente sa seguridad. Ang IRT ay binubuo ng mga kinatawan mula sa iba't ibang mga yunit at pinamumunuan ng Information Security Officer (ISO). Ang IRT ay may pananagutan sa pagtatasa ng kalubhaan ng mga insidente, na naglalaman ng insidente, at pagsisimula ng naaangkop na mga pamamaraan ng pagtugon.
12.5. Pag-uulat at Pagsusuri ng Insidente
Nagtatag kami ng mga pamamaraan para sa pag-uulat ng mga insidente ng seguridad sa mga nauugnay na partido, kabilang ang mga kliyente, awtoridad sa regulasyon, at mga ahensyang nagpapatupad ng batas, ayon sa hinihingi ng mga naaangkop na batas at regulasyon. Pinapanatili din namin ang komunikasyon sa mga apektadong partido sa buong proseso ng pagtugon sa insidente, na nagbibigay ng napapanahong mga update sa katayuan ng insidente at anumang mga pagkilos na ginagawa upang mabawasan ang epekto nito. Nagsasagawa rin kami ng pagsusuri sa lahat ng insidente sa seguridad upang matukoy ang ugat at maiwasan ang mga katulad na insidente na mangyari sa hinaharap.
Bahagi 13. Business Continuity Management at Disaster Recovery
13.1. Pagpaplano ng Pagpapatuloy ng Negosyo
Bagama't ang European IT Certification Institute ay isang non-profit na organisasyon mayroon itong Business Continuity Plan (BCP) na nagbabalangkas sa mga pamamaraan para sa pagtiyak ng pagpapatuloy ng mga operasyon nito sakaling magkaroon ng nakakagambalang insidente. Sinasaklaw ng BCP ang lahat ng kritikal na proseso ng pagpapatakbo at tinutukoy ang mga mapagkukunang kinakailangan upang mapanatili ang mga operasyon sa panahon at pagkatapos ng isang nakakagambalang insidente. Binabalangkas din nito ang mga pamamaraan para sa pagpapanatili ng mga operasyon ng negosyo sa panahon ng pagkagambala o sakuna, pagtatasa sa epekto ng mga pagkaantala, pagtukoy sa pinakamahalagang proseso ng pagpapatakbo sa konteksto ng isang partikular na nakakagambalang insidente, at pagbuo ng mga pamamaraan ng pagtugon at pagbawi.
13.2. Pagpaplano ng Pagbawi sa Sakuna
Ang European IT Certification Institute ay mayroong Disaster Recovery Plan (DRP) na nagbabalangkas sa mga pamamaraan para sa pagbawi ng aming mga sistema ng impormasyon kung sakaling magkaroon ng pagkaantala o sakuna. Kasama sa DRP ang mga pamamaraan para sa pag-backup ng data, pagpapanumbalik ng data, at pagbawi ng system. Ang DRP ay regular na sinusuri at ina-update upang matiyak ang pagiging epektibo nito.
13.3. Pagsusuri ng Epekto sa Negosyo
Nagsasagawa kami ng Business Impact Analysis (BIA) upang matukoy ang mga kritikal na proseso ng operasyon at ang mga mapagkukunang kinakailangan upang mapanatili ang mga ito. Tinutulungan tayo ng BIA na bigyang-priyoridad ang ating mga pagsisikap sa pagbawi at maglaan ng mga mapagkukunan nang naaayon.
13.4. Diskarte sa Pagpapatuloy ng Negosyo
Batay sa mga resulta ng BIA, bumuo kami ng Business Continuity Strategy na nagbabalangkas sa mga pamamaraan para sa pagtugon sa isang nakakagambalang insidente. Kasama sa diskarte ang mga pamamaraan para sa pag-activate ng BCP, pagpapanumbalik ng mga kritikal na proseso ng operasyon, at pakikipag-ugnayan sa mga nauugnay na stakeholder.
13.5. Pagsubok at Pagpapanatili
Regular naming sinusuri at pinapanatili ang aming BCP at DRP upang matiyak ang pagiging epektibo at kaugnayan ng mga ito. Nagsasagawa kami ng mga regular na pagsusuri upang patunayan ang BCP/DRP at tukuyin ang mga lugar para sa pagpapabuti. Ina-update din namin ang BCP at DRP kung kinakailangan upang ipakita ang mga pagbabago sa aming mga operasyon o ang tanawin ng mga banta. Kasama sa pagsubok ang mga pagsasanay sa tabletop, simulation, at live na pagsubok ng mga pamamaraan. Sinusuri at ina-update din namin ang aming mga plano batay sa mga resulta ng pagsubok at mga natutunan.
13.6. Mga Kahaliling Site sa Pagproseso
Pinapanatili namin ang mga kahaliling online na site sa pagpoproseso na maaaring magamit upang ipagpatuloy ang mga operasyon ng negosyo kung sakaling magkaroon ng pagkaantala o sakuna. Ang mga kahaliling site sa pagpoproseso ay nilagyan ng mga kinakailangang imprastraktura at sistema, at maaaring magamit upang suportahan ang mga kritikal na proseso ng negosyo.
Bahagi 14. Pagsunod at Pag-audit
14.1. Pagsunod sa mga Batas at Regulasyon
Ang European IT Certification Institute ay nakatuon sa pagsunod sa lahat ng naaangkop na batas at regulasyon na nauugnay sa seguridad at privacy ng impormasyon, kabilang ang mga batas sa proteksyon ng data, mga pamantayan sa industriya, at mga obligasyong kontraktwal. Regular naming sinusuri at ina-update ang aming mga patakaran, pamamaraan, at kontrol para matiyak ang pagsunod sa lahat ng nauugnay na kinakailangan at pamantayan. Ang mga pangunahing pamantayan at balangkas na sinusunod namin sa konteksto ng seguridad ng impormasyon ay kinabibilangan ng:
- Ang pamantayang ISO/IEC 27001 na nagbibigay ng mga alituntunin para sa pagpapatupad at pamamahala ng isang Information Security Management System (ISMS) na kinabibilangan ng vulnerability management bilang isang pangunahing bahagi. Nagbibigay ito ng balangkas ng sanggunian para sa pagpapatupad at pagpapanatili ng aming information security management system (ISMS) kabilang ang pamamahala sa kahinaan. Bilang pagsunod sa pamantayang mga probisyong ito, tinutukoy namin, tinatasa, at pinamamahalaan namin ang mga panganib sa seguridad ng impormasyon, kabilang ang mga kahinaan.
- Ang US National Institute of Standards and Technology (NIST) Cybersecurity Framework ay nagbibigay ng mga alituntunin para sa pagtukoy, pagtatasa, at pamamahala sa mga panganib sa cybersecurity, kabilang ang pamamahala sa kahinaan.
- Ang National Institute of Standards and Technology (NIST) Cybersecurity Framework para sa pagpapabuti ng cybersecurity risk management, na may pangunahing hanay ng mga function kabilang ang vulnerability management na sinusunod namin upang pamahalaan ang aming mga panganib sa cybersecurity.
- Ang SANS Critical Security Controls na naglalaman ng isang set ng 20 na kontrol sa seguridad upang mapabuti ang cybersecurity, na sumasaklaw sa isang hanay ng mga lugar, kabilang ang pamamahala ng kahinaan, na nagbibigay ng partikular na gabay sa pag-scan ng kahinaan, pamamahala ng patch, at iba pang aspeto ng pamamahala ng kahinaan.
- Ang Payment Card Industry Data Security Standard (PCI DSS), na nangangailangan ng pangangasiwa ng impormasyon ng credit card patungkol sa pamamahala ng kahinaan sa kontekstong ito.
- Ang Center for Internet Security Controls (CIS) kasama ang vulnerability management bilang isa sa mga pangunahing kontrol upang matiyak ang mga secure na configuration ng aming mga information system.
- Ang Open Web Application Security Project (OWASP), kasama ang Top 10 nitong listahan ng mga pinaka-kritikal na panganib sa seguridad ng web application, kabilang ang mga vulnerabilities assessment gaya ng pag-atake ng injection, sirang authentication at session management, cross-site scripting (XSS), atbp. Ginagamit namin ang OWASP Top 10 upang bigyang-priyoridad ang aming mga pagsusumikap sa pamamahala ng kahinaan at tumuon sa mga pinaka-kritikal na panganib patungkol sa aming mga web system.
14.2. Panloob na Pag-audit
Nagsasagawa kami ng mga regular na panloob na pag-audit upang masuri ang pagiging epektibo ng aming Information Security Management System (ISMS) at matiyak na ang aming mga patakaran, pamamaraan, at kontrol ay sinusunod. Kasama sa proseso ng panloob na pag-audit ang pagkilala sa mga hindi pagsunod, pagbuo ng mga pagkilos sa pagwawasto, at pagsubaybay sa mga pagsisikap sa remediation.
14.3. Panlabas na Pag-audit
Pana-panahon kaming nakikipag-ugnayan sa mga panlabas na auditor upang patunayan ang aming pagsunod sa mga naaangkop na batas, regulasyon, at pamantayan sa industriya. Nagbibigay kami sa mga auditor ng access sa aming mga pasilidad, system, at dokumentasyon kung kinakailangan upang patunayan ang aming pagsunod. Nakikipagtulungan din kami sa mga panlabas na auditor upang tugunan ang anumang mga natuklasan o rekomendasyong natukoy sa panahon ng proseso ng pag-audit.
14.4. Pagsubaybay sa Pagsunod
Patuloy naming sinusubaybayan ang aming pagsunod sa mga naaangkop na batas, regulasyon, at pamantayan sa industriya. Gumagamit kami ng iba't ibang paraan para subaybayan ang pagsunod, kabilang ang mga pana-panahong pagtatasa, pag-audit, at pagsusuri ng mga third-party na provider. Regular din naming sinusuri at ina-update ang aming mga patakaran, pamamaraan, at kontrol upang matiyak ang patuloy na pagsunod sa lahat ng nauugnay na kinakailangan.
Bahagi 15. Pangangasiwa ng Third-Party
15.1. Patakaran sa Pamamahala ng Third-Party
Ang European IT Certification Institute ay may Third-Party Management Policy na nagbabalangkas sa mga kinakailangan para sa pagpili, pagtatasa, at pagsubaybay sa mga third-party na provider na may access sa aming mga asset o system ng impormasyon. Nalalapat ang patakaran sa lahat ng third-party na provider, kabilang ang mga cloud service provider, vendor, at contractor.
15.2. Pagpili at Pagtatasa ng Third-Party
Nagsasagawa kami ng angkop na pagsusumikap bago makipag-ugnayan sa mga third-party na provider upang matiyak na mayroon silang sapat na mga kontrol sa seguridad upang protektahan ang aming mga asset o system ng impormasyon. Tinatasa din namin ang pagsunod ng mga third-party na provider sa mga naaangkop na batas at regulasyon na nauugnay sa seguridad at privacy ng impormasyon.
15.3. Pagsubaybay ng Third-Party
Patuloy naming sinusubaybayan ang mga third-party na provider upang matiyak na patuloy nilang natutugunan ang aming mga kinakailangan para sa seguridad at privacy ng impormasyon. Gumagamit kami ng iba't ibang paraan upang subaybayan ang mga third-party na provider, kabilang ang mga pana-panahong pagtatasa, pag-audit, at pagsusuri ng mga ulat sa insidente sa seguridad.
15.4. Mga Kinakailangan sa Kontraktwal
Isinasama namin ang mga kinakailangan sa kontraktwal na nauugnay sa seguridad ng impormasyon at privacy sa lahat ng kontrata sa mga third-party na provider. Kasama sa mga kinakailangang ito ang mga probisyon para sa proteksyon ng data, mga kontrol sa seguridad, pamamahala ng insidente, at pagsubaybay sa pagsunod. Kasama rin namin ang mga probisyon para sa pagwawakas ng mga kontrata kung sakaling magkaroon ng insidente sa seguridad o hindi pagsunod.
Bahagi 16. Seguridad ng Impormasyon sa Mga Proseso ng Sertipikasyon
16.1 Seguridad ng Mga Proseso ng Sertipikasyon
Gumagawa kami ng sapat at sistematikong mga hakbang upang matiyak ang seguridad ng lahat ng impormasyong nauugnay sa aming mga proseso ng sertipikasyon, kabilang ang personal na data ng mga indibidwal na naghahanap ng sertipikasyon. Kabilang dito ang mga kontrol para sa pag-access, storage, at pagpapadala ng lahat ng impormasyong nauugnay sa certification. Sa pamamagitan ng pagpapatupad ng mga hakbang na ito, nilalayon naming tiyakin na ang mga proseso ng sertipikasyon ay isinasagawa nang may pinakamataas na antas ng seguridad at integridad, at ang personal na data ng mga indibidwal na naghahanap ng sertipikasyon ay protektado bilang pagsunod sa mga nauugnay na regulasyon at pamantayan.
16.2. Pagpapatunay at Awtorisasyon
Gumagamit kami ng mga kontrol sa pagpapatunay at awtorisasyon upang matiyak na ang mga awtorisadong tauhan lamang ang may access sa impormasyon ng sertipikasyon. Regular na sinusuri at ina-update ang mga kontrol sa pag-access batay sa mga pagbabago sa mga tungkulin at responsibilidad ng tauhan.
16.3. Proteksyon ng Data
Pinoprotektahan namin ang personal na data sa buong proseso ng sertipikasyon sa pamamagitan ng pagpapatupad ng naaangkop na mga teknikal at pang-organisasyong hakbang upang matiyak ang pagiging kumpidensyal, integridad, at kakayahang magamit ng data. Kabilang dito ang mga hakbang tulad ng pag-encrypt, mga kontrol sa pag-access, at regular na pag-backup.
16.4. Seguridad ng mga Proseso ng Pagsusuri
Tinitiyak namin ang seguridad ng mga proseso ng pagsusuri sa pamamagitan ng pagpapatupad ng mga naaangkop na hakbang upang maiwasan ang pagdaraya, pagsubaybay, at kontrol sa kapaligiran ng pagsusuri. Pinapanatili din namin ang integridad at pagiging kumpidensyal ng mga materyales sa pagsusuri sa pamamagitan ng mga ligtas na pamamaraan sa pag-iimbak.
16.5. Seguridad ng Nilalaman ng Pagsusuri
Tinitiyak namin ang seguridad ng nilalaman ng pagsusuri sa pamamagitan ng pagpapatupad ng mga naaangkop na hakbang upang maprotektahan laban sa hindi awtorisadong pag-access, pagbabago, o pagsisiwalat ng nilalaman. Kabilang dito ang paggamit ng secure na storage, pag-encrypt, at mga kontrol sa pag-access para sa nilalaman ng pagsusuri, pati na rin ang mga kontrol para sa pagpigil sa hindi awtorisadong pamamahagi o pagpapakalat ng nilalaman ng pagsusuri.
16.6. Seguridad ng Paghahatid ng Pagsusuri
Tinitiyak namin ang seguridad ng paghahatid ng pagsusuri sa pamamagitan ng pagpapatupad ng mga naaangkop na hakbang upang maiwasan ang hindi awtorisadong pag-access sa, o pagmamanipula ng, kapaligiran ng pagsusuri. Kabilang dito ang mga hakbang tulad ng pagsubaybay, pag-audit at pagkontrol sa kapaligiran ng pagsusuri at mga partikular na paraan ng pagsusuri, upang maiwasan ang pagdaraya o iba pang mga paglabag sa seguridad.
16.7. Seguridad ng mga Resulta ng Pagsusuri
Tinitiyak namin ang seguridad ng mga resulta ng pagsusuri sa pamamagitan ng pagpapatupad ng mga naaangkop na hakbang upang maprotektahan laban sa hindi awtorisadong pag-access, pagbabago, o pagsisiwalat ng mga resulta. Kabilang dito ang paggamit ng secure na storage, pag-encrypt, at mga kontrol sa pag-access para sa mga resulta ng pagsusuri, pati na rin ang mga kontrol para sa pagpigil sa hindi awtorisadong pamamahagi o pagpapakalat ng mga resulta ng pagsusuri.
16.8. Seguridad ng Pagbibigay ng mga Sertipiko
Tinitiyak namin ang seguridad ng pagpapalabas ng mga sertipiko sa pamamagitan ng pagpapatupad ng mga naaangkop na hakbang upang maiwasan ang pandaraya at hindi awtorisadong pagpapalabas ng mga sertipiko. Kabilang dito ang mga kontrol para sa pag-verify ng pagkakakilanlan ng mga indibidwal na tumatanggap ng mga sertipiko at secure na imbakan at mga pamamaraan sa pag-isyu.
16.9. Mga Reklamo at Apela
Nagtatag kami ng mga pamamaraan para sa pamamahala ng mga reklamo at apela na may kaugnayan sa proseso ng sertipikasyon. Kasama sa mga pamamaraang ito ang mga hakbang upang matiyak ang pagiging kumpidensyal at walang kinikilingan ng proseso, at ang seguridad ng impormasyong nauugnay sa mga reklamo at apela.
16.10. Pamamahala ng Kalidad ng Mga Proseso ng Sertipikasyon
Nagtatag kami ng Quality Management System (QMS) para sa mga proseso ng sertipikasyon na kinabibilangan ng mga hakbang para matiyak ang pagiging epektibo, kahusayan, at seguridad ng mga proseso. Kasama sa QMS ang mga regular na pag-audit at pagsusuri ng mga proseso at ang kanilang mga kontrol sa seguridad.
16.11. Patuloy na Pagpapabuti ng Mga Proseso ng Sertipikasyon Seguridad
Kami ay nakatuon sa patuloy na pagpapabuti ng aming mga proseso ng sertipikasyon at ang kanilang mga kontrol sa seguridad. Kabilang dito ang mga regular na pagsusuri at pag-update ng mga patakaran at pamamaraang nauugnay sa sertipikasyon batay sa mga pagbabago sa kapaligiran ng negosyo, mga kinakailangan sa regulasyon, at pinakamahuhusay na kagawian sa pamamahala ng seguridad ng impormasyon, alinsunod sa pamantayan ng ISO 27001 para sa pamamahala ng seguridad ng impormasyon, gayundin sa ISO 17024 na mga katawan ng sertipikasyon na nagpapatakbo ng pamantayan.
Bahagi 17. Pagsasara ng mga Probisyon
17.1. Pagsusuri at Pag-update ng Patakaran
Ang Patakaran sa Seguridad ng Impormasyon na ito ay isang buhay na dokumento na sumasailalim sa mga patuloy na pagsusuri at pag-update batay sa mga pagbabago sa aming mga kinakailangan sa pagpapatakbo, mga kinakailangan sa regulasyon, o pinakamahuhusay na kagawian sa pamamahala ng seguridad ng impormasyon.
17.2. Pagsubaybay sa Pagsunod
Nagtatag kami ng mga pamamaraan para sa pagsubaybay sa pagsunod sa Patakaran sa Seguridad ng Impormasyon na ito at mga kaugnay na kontrol sa seguridad. Kasama sa pagsubaybay sa pagsunod ang mga regular na pag-audit, pagtatasa, at pagsusuri ng mga kontrol sa seguridad, at ang pagiging epektibo ng mga ito sa pagkamit ng mga layunin ng patakarang ito.
17.3. Pag-uulat ng mga Insidente sa Seguridad
Nagtatag kami ng mga pamamaraan para sa pag-uulat ng mga insidente sa seguridad na nauugnay sa aming mga sistema ng impormasyon, kabilang ang mga nauugnay sa personal na data ng mga indibidwal. Hinihikayat ang mga empleyado, kontratista, at iba pang stakeholder na iulat ang anumang insidente sa seguridad o pinaghihinalaang insidente sa itinalagang security team sa lalong madaling panahon.
17.4. Pagsasanay at Kamalayan
Nagbibigay kami ng regular na pagsasanay at mga programa sa kamalayan sa mga empleyado, kontratista, at iba pang stakeholder upang matiyak na alam nila ang kanilang mga responsibilidad at obligasyon na may kaugnayan sa seguridad ng impormasyon. Kabilang dito ang pagsasanay sa mga patakaran at pamamaraan sa seguridad, at mga hakbang para sa pagprotekta sa personal na data ng mga indibidwal.
17.5. Responsibilidad at Pananagutan
Pananagutan at pananagutan namin ang lahat ng empleyado, kontratista, at iba pang stakeholder sa pagsunod sa Patakaran sa Seguridad ng Impormasyon na ito at mga kaugnay na kontrol sa seguridad. Pinapanagot din namin ang pamamahala para sa pagtiyak na ang mga naaangkop na mapagkukunan ay inilalaan para sa pagpapatupad at pagpapanatili ng epektibong mga kontrol sa seguridad ng impormasyon.
Ang Patakaran sa Seguridad ng Impormasyon na ito ay isang kritikal na bahagi ng balangkas ng pamamahala ng seguridad ng impormasyon ng Euroepan IT Certification Institute at ipinapakita ang aming pangako sa pagprotekta sa mga asset ng impormasyon at naprosesong data, tinitiyak ang pagiging kumpidensyal, privacy, integridad at availability ng impormasyon, at pagsunod sa mga kinakailangan sa regulasyon at kontraktwal.