מדיניות אבטחת מידע
מדיניות אבטחת מידע של אקדמיית EITCA
מסמך זה מפרט את מדיניות אבטחת המידע (ISP) של מכון ה-IT האירופי, אשר נבדקת ומתעדכנת באופן קבוע כדי להבטיח את יעילותה ורלוונטיות שלה. העדכון האחרון למדיניות אבטחת המידע של EITCI נעשה ב-7 בינואר 2023.
חלק 1. מבוא והצהרת מדיניות אבטחת מידע
1.1. מבוא
המכון האירופי לאישורי IT מכיר בחשיבות של אבטחת מידע בשמירה על סודיות, שלמות וזמינות המידע ועל אמון מחזיקי העניין שלנו. אנו מחויבים להגן על מידע רגיש, כולל נתונים אישיים, מפני גישה בלתי מורשית, חשיפה, שינוי והרס. אנו מקיימים מדיניות אבטחת מידע יעילה כדי לתמוך במשימתנו לספק שירותי הסמכה אמינים וללא משוא פנים ללקוחותינו. מדיניות אבטחת המידע מתארת את המחויבות שלנו להגן על נכסי מידע ולעמוד בהתחייבויות החוקיות, הרגולטוריות והחוזיות שלנו. המדיניות שלנו מבוססת על העקרונות של ISO 27001 ו-ISO 17024, הסטנדרטים הבינלאומיים המובילים לתקני ניהול אבטחת מידע וגופי הסמכה.
1.2. הצהרת מדיניות
המכון האירופי להסמכת IT מחויב ל:
- הגנה על הסודיות, היושרה והזמינות של נכסי מידע,
- עמידה בהתחייבויות משפטיות, רגולטוריות וחוזיות הקשורות לאבטחת מידע ועיבוד נתונים תוך יישום תהליכי ההסמכה והפעולות שלה,
- שיפור מתמיד של מדיניות אבטחת המידע ומערכת הניהול הקשורה,
- מתן הכשרה ומודעות נאותים לעובדים, לקבלנים ולמשתתפים,
- שיתוף כלל העובדים והקבלנים ביישום ותחזוקת מדיניות אבטחת המידע ומערכת ניהול אבטחת המידע הקשורה.
1.3. היקף
מדיניות זו חלה על כל נכסי המידע בבעלות, בשליטה או בעיבוד של המכון האירופי לאישורי IT. זה כולל את כל נכסי המידע הדיגיטליים והפיזיים, כגון מערכות, רשתות, תוכנות, נתונים ותיעוד. מדיניות זו חלה גם על כל העובדים, הקבלנים וספקי השירותים של צד שלישי הנגישים לנכסי המידע שלנו.
1.4. הענות
המכון האירופי להסמכת IT מחויב לעמוד בתקני אבטחת מידע רלוונטיים, לרבות ISO 27001 ו-ISO 17024. אנו בודקים ומעדכנים מדיניות זו באופן קבוע כדי להבטיח את הרלוונטיות השוטפת שלה ואת עמידתה בתקנים אלה.
חלק 2. אבטחה ארגונית
2.1. יעדי אבטחה של הארגון
על ידי יישום אמצעי אבטחה ארגוניים, אנו שואפים להבטיח שנכסי המידע שלנו ונהלי עיבוד הנתונים שלנו מתנהלים ברמת האבטחה והיושרה הגבוהה ביותר, ושאנו מצייתים לתקנות ולתקנים משפטיים רלוונטיים.
2.2. תפקידים ואחריות של אבטחת מידע
המכון האירופי לאישורי IT מגדיר ומעביר תפקידים ואחריות לאבטחת מידע בכל הארגון. זה כולל הקצאת בעלות ברורה על נכסי מידע במסגרת אבטחת המידע, הקמת מבנה ממשל והגדרת אחריות ספציפית לתפקידים ומחלקות שונות ברחבי הארגון.
2.3. ניהול סיכונים
אנו עורכים הערכות סיכונים שוטפות כדי לזהות ולתעדף סיכוני אבטחת מידע לארגון, לרבות סיכונים הקשורים לעיבוד נתונים אישיים. אנו קובעים בקרות מתאימות כדי להפחית סיכונים אלו, ובודקים ומעדכנים באופן קבוע את גישת ניהול הסיכונים שלנו בהתבסס על שינויים בסביבה העסקית ובנוף האיומים.
2.4. מדיניות ונהלי אבטחת מידע
אנו מקימים ומתחזקים מערכת מדיניות ונהלים של אבטחת מידע המבוססים על שיטות עבודה מומלצות בתעשייה ועומדים בתקנות ובסטנדרטים הרלוונטיים. מדיניות ונהלים אלה מכסים את כל ההיבטים של אבטחת מידע, לרבות עיבוד נתונים אישיים, והם נבדקים ומתעדכנים באופן שוטף כדי להבטיח את יעילותם.
2.5. מודעות והדרכה לאבטחה
אנו מספקים תוכניות אבטחה ותכניות הכשרה קבועות לכל העובדים, הקבלנים והשותפים של צד שלישי שיש להם גישה לנתונים אישיים או מידע רגיש אחר. הכשרה זו מכסה נושאים כגון פישינג, הנדסה חברתית, היגיינת סיסמאות ושיטות עבודה מומלצות אחרות לאבטחת מידע.
2.6. ביטחון פיזי וסביבתי
אנו מיישמים בקרות אבטחה פיזיות וסביבתיות מתאימות כדי להגן מפני גישה בלתי מורשית, נזק או הפרעה למתקנים ולמערכות המידע שלנו. זה כולל אמצעים כגון בקרות גישה, מעקב, ניטור ומערכות חשמל וקירור גיבוי.
2.7. ניהול אירועי אבטחת מידע
הקמנו תהליך ניהול אירועים המאפשר לנו להגיב במהירות וביעילות לכל אירועי אבטחת מידע שעלולים להתרחש. זה כולל נהלים לדיווח, הסלמה, חקירה ופתרון תקריות, כמו גם אמצעים למניעת הישנות ושיפור יכולות התגובה לאירועים שלנו.
2.8. המשכיות תפעולית והתאוששות מאסון
הקמנו ובדקנו תוכניות המשכיות תפעוליות והתאוששות מאסון המאפשרות לנו לשמור על פונקציות הפעילות והשירותים הקריטיים שלנו במקרה של הפרעה או אסון. תוכניות אלו כוללות נהלים לגיבוי ושחזור נתונים ומערכות, ואמצעים להבטחת זמינותם ושלמותם של נתונים אישיים.
2.9. ניהול צד שלישי
אנו מקימים ומתחזקים בקרות מתאימות לניהול הסיכונים הקשורים לשותפים של צד שלישי שיש להם גישה לנתונים אישיים או מידע רגיש אחר. זה כולל אמצעים כגון בדיקת נאותות, התחייבויות חוזיות, ניטור וביקורות, וכן אמצעים לסיום שותפויות בעת הצורך.
חלק 3. אבטחת משאבי אנוש
3.1. מיון תעסוקה
המכון האירופי להסמכת IT קבע תהליך מיון תעסוקה כדי להבטיח שאנשים עם גישה למידע רגיש הם אמינים ובעלי הכישורים והכישורים הדרושים.
3.2. בקרת גישה
קבענו מדיניות ונהלים לבקרת גישה כדי להבטיח שלעובדים תהיה גישה רק למידע הדרוש עבור אחריותם בעבודה. זכויות הגישה נבדקות ומתעדכנות באופן קבוע כדי להבטיח שלעובדים תהיה גישה רק למידע הדרוש להם.
3.3. מודעות והדרכה לאבטחת מידע
אנו מספקים הדרכות למודעות אבטחת מידע לכל העובדים על בסיס קבוע. הכשרה זו מכסה נושאים כמו אבטחת סיסמאות, התקפות דיוג, הנדסה חברתית והיבטים אחרים של אבטחת סייבר.
3.4. שימוש מקובל
קבענו מדיניות שימוש מקובל המתארת את השימוש המקובל במערכות מידע ומשאבים, לרבות מכשירים אישיים המשמשים למטרות עבודה.
3.5. אבטחת מכשירים ניידים
קבענו מדיניות ונהלים לשימוש מאובטח במכשירים ניידים, כולל שימוש בקודי סיסמה, הצפנה ויכולות ניגוב מרחוק.
3.6. הליכי סיום
המכון האירופי לאישורי IT קבע נהלים לסיום העסקה או חוזה כדי להבטיח שהגישה למידע רגיש תבוטל באופן מיידי ומאובטח.
3.7. כוח אדם של צד שלישי
קבענו נהלים לניהול אנשי צד שלישי שיש להם גישה למידע רגיש. מדיניות זו כוללת מיון, בקרת גישה והדרכה למודעות לאבטחת מידע.
3.8. דיווח על תקריות
קבענו מדיניות ונהלים לדיווח על אירועי אבטחת מידע או חששות לצוות או לרשויות המתאימים.
3.9. הסכמי סודיות
המכון האירופי לאישורי IT דורש מעובדים וקבלנים לחתום על הסכמי סודיות כדי להגן על מידע רגיש מפני חשיפה לא מורשית.
3.10. פעולות משמעתיות
המכון האירופי להסמכת IT קבע מדיניות ונהלים לפעולות משמעתיות במקרה של הפרות של מדיניות אבטחת מידע על ידי עובדים או קבלנים.
חלק 4. הערכת סיכונים וניהול
4.1. הערכת סיכונים
אנו עורכים הערכות סיכונים תקופתיות כדי לזהות איומים ופגיעות פוטנציאליים לנכסי המידע שלנו. אנו משתמשים בגישה מובנית כדי לזהות, לנתח, להעריך ולתעדף סיכונים על סמך הסבירות וההשפעה הפוטנציאלית שלהם. אנו מעריכים סיכונים הקשורים לנכסי המידע שלנו, לרבות מערכות, רשתות, תוכנות, נתונים ותיעוד.
4.2. טיפול בסיכון
אנו משתמשים בתהליך טיפול בסיכון כדי להפחית או להפחית סיכונים לרמה מקובלת. תהליך הטיפול בסיכונים כולל בחירת בקרות מתאימות, יישום בקרות ומעקב אחר יעילותן של בקרות. אנו נותנים עדיפות ליישום בקרות על סמך רמת הסיכון, המשאבים הזמינים וסדרי העדיפויות העסקיים.
4.3. ניטור וסקירה של סיכונים
אנו עוקבים ובוחנים באופן קבוע את האפקטיביות של תהליך ניהול הסיכונים שלנו כדי להבטיח שהוא יישאר רלוונטי ואפקטיבי. אנו משתמשים במדדים ובאינדיקטורים כדי למדוד את הביצועים של תהליך ניהול הסיכונים שלנו ולזהות הזדמנויות לשיפור. אנו גם בוחנים את תהליך ניהול הסיכונים שלנו כחלק מסקירות ההנהלה התקופות שלנו כדי להבטיח את התאמתו, הלימותו ויעילותו המתמשכת.
4.4. תכנון תגובה לסיכון
יש לנו תוכנית תגובה לסיכונים כדי להבטיח שנוכל להגיב ביעילות לכל סיכונים שזוהו. תוכנית זו כוללת נהלים לזיהוי ודיווח על סיכונים, וכן תהליכים להערכת ההשפעה הפוטנציאלית של כל סיכון וקביעת פעולות תגובה מתאימות. יש לנו גם תוכניות מגירה כדי להבטיח המשכיות עסקית במקרה של אירוע סיכון משמעותי.
4.5. ניתוח השפעה תפעולי
אנו עורכים ניתוחי השפעה עסקיים תקופתיים כדי לזהות את ההשפעה הפוטנציאלית של שיבושים בפעילות העסקית שלנו. ניתוח זה כולל הערכה של קריטיות הפונקציות העסקיות, המערכות והנתונים העסקיים שלנו, כמו גם הערכה של ההשפעה הפוטנציאלית של שיבושים על לקוחותינו, העובדים ובעלי עניין אחרים.
4.6. ניהול סיכונים של צד שלישי
יש לנו תוכנית ניהול סיכונים של צד שלישי כדי להבטיח שהספקים שלנו וספקי שירותים אחרים של צד שלישי מנהלים גם הם סיכונים כראוי. תוכנית זו כוללת בדיקות נאותות לפני התקשרות עם צדדים שלישיים, ניטור שוטף של פעילויות צד שלישי והערכות תקופתיות של שיטות ניהול סיכונים של צד שלישי.
4.7. תגובה וניהול לאירועים
יש לנו תוכנית תגובה וניהול לאירועים כדי להבטיח שנוכל להגיב ביעילות לכל אירוע אבטחה. תכנית זו כוללת נהלים לזיהוי ודיווח על תקריות, וכן תהליכים להערכת ההשפעה של כל אירוע וקביעת פעולות תגובה מתאימות. יש לנו גם תוכנית המשכיות עסקית כדי להבטיח שפונקציות עסקיות קריטיות יכולות להימשך במקרה של תקרית משמעותית.
חלק 5. ביטחון פיזי וסביבתי
5.1. היקפי אבטחה פיזית
הקמנו אמצעי אבטחה פיזיים כדי להגן על המקום הפיזי והמידע הרגיש מפני גישה בלתי מורשית.
5.2. בקרת גישה
קבענו מדיניות ונהלים לבקרת גישה עבור המקום הפיזי כדי להבטיח שרק לצוות מורשה תהיה גישה למידע רגיש.
5.3. אבטחת ציוד
אנו מבטיחים שכל הציוד המכיל מידע רגיש מאובטח פיזית, והגישה לציוד זה מוגבלת לצוות מורשה בלבד.
5.4. סילוק בטוח
קבענו נהלים לסילוק מאובטח של מידע רגיש, כולל מסמכי נייר, מדיה אלקטרונית וחומרה.
5.5. סביבה פיזית
אנו מבטיחים שהסביבה הפיזית של המקום, לרבות טמפרטורה, לחות ותאורה, מתאימה להגנה על מידע רגיש.
5.6. ספק כוח
אנו מבטיחים כי אספקת החשמל למתחם תהיה אמינה ומוגנת מפני הפסקות חשמל או עליות מתח.
5.7. מיגון אש
קבענו מדיניות ונהלים להגנה מפני אש, לרבות התקנה ותחזוקה של מערכות גילוי וכיבוי אש.
5.8. הגנה מפני נזקי מים
קבענו מדיניות ונהלים להגנה על מידע רגיש מפני נזקי מים, לרבות התקנה ותחזוקה של מערכות זיהוי ומניעת הצפה.
5.9. תחזוקת ציוד
קבענו נהלים לתחזוקת ציוד, לרבות בדיקת ציוד לאיתור סימני חבלה או גישה לא מורשית.
5.10. שימוש מקובל
קבענו מדיניות שימוש מקובל המתארת את השימוש המקובל במשאבים ובמתקנים פיזיים.
5.11. גישה מרחוק
קבענו מדיניות ונהלים לגישה מרחוק למידע רגיש, כולל שימוש בחיבורים מאובטחים והצפנה.
5.12. ניטור ומעקב
קבענו מדיניות ונהלים לניטור ומעקב אחר המתחם הפיזי והציוד כדי לזהות ולמנוע גישה בלתי מורשית או חבלה.
חֵלֶק. 6. אבטחת תקשורת ותפעול
6.1. ניהול אבטחת רשת
קבענו מדיניות ונהלים לניהול אבטחת הרשת, לרבות שימוש בחומות אש, מערכות זיהוי ומניעת פריצות וביקורות אבטחה שוטפות.
6.2. העברת מידע
קבענו מדיניות ונהלים להעברה מאובטחת של מידע רגיש, לרבות שימוש בהצפנה ובפרוטוקולים של העברת קבצים מאובטחת.
6.3. תקשורת של צד שלישי
קבענו מדיניות ונהלים להחלפה מאובטחת של מידע רגיש עם ארגוני צד שלישי, כולל שימוש בחיבורים מאובטחים והצפנה.
6.4. טיפול במדיה
קבענו נהלים לטיפול במידע רגיש בצורות שונות של מדיה, לרבות מסמכי נייר, מדיה אלקטרונית והתקני אחסון ניידים.
6.5. פיתוח ותחזוקה של מערכות מידע
קבענו מדיניות ונהלים לפיתוח ותחזוקה של מערכות מידע, כולל שימוש בשיטות קידוד מאובטחות, עדכוני תוכנה שוטפים וניהול תיקונים.
6.6. הגנה מפני תוכנות זדוניות ווירוסים
קבענו מדיניות ונהלים להגנה על מערכות מידע מפני תוכנות זדוניות ווירוסים, כולל שימוש בתוכנת אנטי וירוס ועדכוני אבטחה שוטפים.
6.7. גיבוי ושחזור
קבענו מדיניות ונהלים לגיבוי ושחזור של מידע רגיש כדי למנוע אובדן נתונים או השחתה.
6.8. ניהול אירועים
קבענו מדיניות ונהלים לזיהוי, חקירה ופתרון של אירועי אבטחה ואירועים.
6.9. ניהול פגיעות
קבענו מדיניות ונהלים לניהול פגיעויות של מערכות מידע, כולל שימוש בהערכות פגיעות רגילות וניהול תיקונים.
6.10. בקרת גישה
קבענו מדיניות ונהלים לניהול גישת משתמשים למערכות מידע, כולל שימוש בבקרות גישה, אימות משתמשים וסקירות גישה שוטפות.
6.11. ניטור ורישום
קבענו מדיניות ונהלים לניטור ורישום של פעילויות מערכת המידע, לרבות שימוש בנתיבי ביקורת ורישום אירועי אבטחה.
חלק 7. רכישה, פיתוח ותחזוקה של מערכות מידע
7.1. דרישות
קבענו מדיניות ונהלים לזיהוי דרישות מערכת המידע, לרבות דרישות עסקיות, דרישות משפטיות ורגולטוריות ודרישות אבטחה.
7.2. קשרי ספקים
קבענו מדיניות ונהלים לניהול קשרים עם ספקי צד שלישי של מערכות מידע ושירותי מידע, לרבות הערכת נוהלי האבטחה של הספקים.
7.3. פיתוח מערכת
קבענו מדיניות ונהלים לפיתוח מאובטח של מערכות מידע, כולל שימוש בשיטות קידוד מאובטחות, בדיקות שוטפות והבטחת איכות.
7.4. בדיקת מערכת
קבענו מדיניות ונהלים לבדיקת מערכות מידע, כולל בדיקות פונקציונליות, בדיקות ביצועים ובדיקות אבטחה.
7.5. קבלת מערכת
קבענו מדיניות ונהלים לקבלת מערכות מידע, לרבות אישור תוצאות בדיקות, הערכות אבטחה ובדיקות קבלת משתמשים.
7.6. תחזוקת מערכת
קבענו מדיניות ונהלים לתחזוקת מערכות מידע, לרבות עדכונים שוטפים, תיקוני אבטחה וגיבויים של המערכת.
7.7. פרישת מערכת
קבענו מדיניות ונהלים להפסקת מערכות מידע, לרבות סילוק מאובטח של חומרה ונתונים.
7.8. שמירת נתונים
קבענו מדיניות ונהלים לשמירה של נתונים בהתאם לדרישות החוק והרגולציה, כולל אחסון מאובטח וסילוק נתונים רגישים.
7.9. דרישות אבטחה למערכות מידע
קבענו מדיניות ונהלים לזיהוי ויישום דרישות אבטחה למערכות מידע, לרבות בקרות גישה, הצפנה והגנה על נתונים.
7.10. סביבות פיתוח מאובטחות
קבענו מדיניות ונהלים עבור סביבות הפיתוח המאובטחות של מערכות מידע, כולל שימוש בפרקטיקות פיתוח מאובטחות, בקרות גישה ותצורות רשת מאובטחות.
7.11. הגנה על סביבות בדיקה
קבענו מדיניות ונהלים להגנה על סביבות בדיקה למערכות מידע, כולל שימוש בתצורות מאובטחות, בקרות גישה ובדיקות אבטחה רגילות.
7.12. עקרונות הנדסת מערכת מאובטחת
קבענו מדיניות ונהלים ליישום עקרונות הנדסת מערכת מאובטחת עבור מערכות מידע, כולל שימוש בארכיטקטורות אבטחה, מודלים של איומים ונהלי קידוד מאובטח.
7.13. הנחיות קידוד מאובטח
קבענו מדיניות ונהלים ליישום הנחיות קידוד מאובטח למערכות מידע, כולל שימוש בתקני קידוד, סקירות קוד ובדיקות אוטומטיות.
חלק 8. רכישת חומרה
8.1. עמידה בתקנים
אנו מקפידים על תקן ISO 27001 עבור מערכת ניהול אבטחת מידע (ISMS) כדי להבטיח שנכסי חומרה נרכשים בהתאם לדרישות האבטחה שלנו.
8.2. הערכת סיכונים
אנו עורכים הערכת סיכונים לפני רכישת נכסי חומרה כדי לזהות סיכוני אבטחה פוטנציאליים ולהבטיח שהחומרה שנבחרה עומדת בדרישות האבטחה.
8.3. בחירת ספקים
אנו רוכשים נכסי חומרה רק מספקים מהימנים שיש להם רקורד מוכח באספקת מוצרים מאובטחים. אנו בודקים את מדיניות האבטחה ונהלי האבטחה של הספקים, ודורשים מהם לספק ביטחון שהמוצרים שלהם עומדים בדרישות האבטחה שלנו.
8.4. הובלה מאובטחת
אנו מבטיחים שנכסי החומרה מועברים בצורה מאובטחת לחצרים שלנו כדי למנוע שיבוש, נזק או גניבה במהלך ההעברה.
8.5. אימות אותנטיות
אנו מאמתים את האותנטיות של נכסי חומרה בעת המסירה כדי להבטיח שהם אינם מזויפים או מעורפלים בהם.
8.6. בקרות פיזיות וסביבתיות
אנו מיישמים בקרות פיזיות וסביבתיות מתאימות כדי להגן על נכסי חומרה מפני גישה לא מורשית, גניבה או נזק.
8.7. התקנת חומרה
אנו מבטיחים שכל נכסי החומרה מוגדרים ומותקנים בהתאם לתקני אבטחה והנחיות.
8.8. ביקורות חומרה
אנו עורכים סקירות תקופתיות של נכסי חומרה כדי להבטיח שהם ממשיכים לעמוד בדרישות האבטחה שלנו ומעודכנים בתיקוני האבטחה ובעדכוני האבטחה האחרונים.
8.9. סילוק חומרה
אנו משליכים נכסי חומרה בצורה מאובטחת כדי למנוע גישה לא מורשית למידע רגיש.
חלק 9. הגנה מפני תוכנות זדוניות ווירוסים
9.1. מדיניות עדכון תוכנה
אנו מתחזקים תוכנת הגנה מעודכנת נגד אנטי וירוס ותוכנות זדוניות בכל מערכות המידע המשמשות את המכון האירופי לאישורי IT, לרבות שרתים, תחנות עבודה, מחשבים ניידים ומכשירים ניידים. אנו מבטיחים שתוכנת ההגנה מפני וירוסים ותוכנות זדוניות מוגדרת כך שתעדכן אוטומטית את קבצי הגדרות הווירוסים וגרסאות התוכנה שלה על בסיס קבוע, וכי תהליך זה נבדק באופן קבוע.
9.2. סריקת אנטי וירוס ותוכנות זדוניות
אנו מבצעים סריקות סדירות של כל מערכות המידע, לרבות שרתים, תחנות עבודה, מחשבים ניידים ומכשירים ניידים, כדי לזהות ולהסיר וירוסים או תוכנות זדוניות.
9.3. מדיניות ללא השבתה וללא שינוי
אנו אוכפים מדיניות האוסרת על משתמשים להשבית או לשנות תוכנות להגנה מפני אנטי-וירוס ותוכנות זדוניות בכל מערכת מידע.
9.4. מעקב
אנו עוקבים אחר התראות ויומני ההגנה על תוכנות האנטי-וירוס ותוכנות זדוניות כדי לזהות תקריות של זיהומים של וירוסים או תוכנות זדוניות, ומגיבים לאירועים כאלה בזמן.
9.5. תחזוקת רישומים
אנו שומרים תיעוד של תצורה, עדכונים וסריקות של תוכנות להגנה מפני אנטי וירוס ותוכנות זדוניות, כמו גם תקריות של הדבקות וירוסים או תוכנות זדוניות, למטרות ביקורת.
9.6. סקירות תוכנה
אנו עורכים בדיקות תקופתיות של תוכנת ההגנה שלנו נגד וירוסים ותוכנות זדוניות כדי להבטיח שהיא עומדת בתקנים הנוכחיים בתעשייה ומתאימה לצרכים שלנו.
9.7. אימון ומודעות
אנו מספקים תוכניות הכשרה ומודעות כדי לחנך את כל העובדים על החשיבות של הגנה מפני וירוסים ותוכנות זדוניות, וכיצד לזהות ולדווח על כל פעילות או אירוע חשוד.
חלק 10. ניהול נכסי מידע
10.1. מלאי נכסי מידע
המכון האירופי להסמכת IT מחזיק מלאי של נכסי מידע הכולל את כל נכסי המידע הדיגיטליים והפיזיים, כגון מערכות, רשתות, תוכנות, נתונים ותיעוד. אנו מסווגים נכסי מידע על סמך קריטיותם ורגישותם כדי להבטיח שאמצעי הגנה מתאימים מיושמים.
10.2. טיפול בנכסי מידע
אנו מיישמים אמצעים מתאימים להגנה על נכסי מידע בהתבסס על סיווגם, כולל סודיות, יושרה וזמינות. אנו מבטיחים שכל נכסי המידע מטופלים בהתאם לחוקים החלים, התקנות והדרישות החוזיות. אנו גם מבטיחים שכל נכסי המידע יאוחסנו כראוי, מוגנים וסולקים כשאין בהם עוד צורך.
10.3. בעלות על נכסי מידע
אנו מקצים בעלות על נכסי מידע לאנשים או למחלקות האחראים על ניהול והגנה על נכסי מידע. אנו גם מבטיחים שבעלי נכסי מידע יבינו את האחריות והאחריות שלהם להגנה על נכסי מידע.
10.4. הגנה על נכסי מידע
אנו משתמשים במגוון אמצעי הגנה כדי להגן על נכסי מידע, כולל בקרות פיזיות, בקרות גישה, הצפנה ותהליכי גיבוי ושחזור. אנו גם מבטיחים שכל נכסי המידע מוגנים מפני גישה, שינוי או השמדה בלתי מורשית.
חלק 11. בקרת גישה
11.1. מדיניות בקרת גישה
למכון האירופאי להסמכת IT יש מדיניות בקרת גישה המתארת את הדרישות להענקה, שינוי וביטול גישה לנכסי מידע. בקרת גישה היא מרכיב קריטי במערכת ניהול אבטחת המידע שלנו, ואנו מיישמים אותה כדי להבטיח שרק לאנשים מורשים תהיה גישה לנכסי המידע שלנו.
11.2. יישום בקרת גישה
אנו מיישמים אמצעי בקרת גישה המבוססים על עקרון המינימום הזכויות, כלומר שלאנשים יש גישה רק לנכסי המידע הדרושים לביצוע תפקידיהם. אנו משתמשים במגוון אמצעי בקרת גישה, כולל אימות, הרשאה וחשבונאות (AAA). אנו משתמשים גם ברשימות בקרת גישה (ACL) ובהרשאות כדי לשלוט בגישה לנכסי מידע.
11.3. מדיניות סיסמאות
למכון האירופאי לאישורי IT יש מדיניות סיסמאות המתארת את הדרישות ליצירה וניהול של סיסמאות. אנו דורשים סיסמאות חזקות באורך 8 תווים לפחות, עם שילוב של אותיות רישיות וקטנות, מספרים ותווים מיוחדים. כמו כן, אנו דורשים שינויי סיסמאות תקופתיים ואוסרים שימוש חוזר בסיסמאות קודמות.
11.4. ניהול משתמשים
יש לנו תהליך ניהול משתמשים הכולל יצירה, שינוי ומחיקה של חשבונות משתמש. חשבונות משתמש נוצרים על בסיס העיקרון של הרשאות הקטנות ביותר, והגישה ניתנת רק לנכסי המידע הנחוצים לביצוע תפקידי העבודה של הפרט. אנו גם בודקים באופן קבוע חשבונות משתמש ומסירים חשבונות שאינם נחוצים עוד.
חלק 12. ניהול אירועי אבטחת מידע
12.1. מדיניות ניהול אירועים
למכון האירופאי להסמכת IT יש מדיניות ניהול תקריות המתארת את הדרישות לאיתור, דיווח, הערכה ותגובה לאירועי אבטחה. אנו מגדירים אירועי אבטחה ככל אירוע הפוגע בסודיות, שלמות או זמינות של נכסי מידע או מערכות.
12.2. איתור ודיווח תקריות
אנו מיישמים אמצעים לאיתור ודיווח על אירועי אבטחה באופן מיידי. אנו משתמשים במגוון שיטות לאיתור אירועי אבטחה, כולל מערכות זיהוי חדירה (IDS), תוכנות אנטי וירוס ודיווח משתמשים. כמו כן, אנו מבטיחים שכל העובדים מודעים לנוהלי הדיווח על אירועי אבטחה ומעודדים דיווח על כל חשד לאירועים.
12.3. הערכה ותגובה לאירועים
יש לנו תהליך להערכה ולתגובה לאירועי אבטחה על סמך חומרתם והשפעתם. אנו נותנים עדיפות לאירועים על סמך השפעתם הפוטנציאלית על נכסי מידע או מערכות ומקצים משאבים מתאימים כדי להגיב אליהם. יש לנו גם תוכנית תגובה הכוללת נהלים לזיהוי, הכלה, ניתוח, מיגור והתאוששות מתקריות אבטחה, כמו גם יידוע גורמים רלוונטיים ועריכת סקירות לאחר התקרית נוהלי התגובה לאירועים שלנו נועדו להבטיח תגובה מהירה ואפקטיבית לאירועים ביטחוניים. הנהלים נבדקים ומתעדכנים באופן שוטף כדי להבטיח את יעילותם ורלוונטיותם.
12.4. צוות תגובה לאירועים
יש לנו צוות תגובה לאירועים (IRT) שאחראי לתגובה לאירועי אבטחה. ה-IRT מורכב מנציגים מיחידות שונות ומובל על ידי קצין אבטחת מידע (ISO). ה-IRT אחראי להעריך את חומרת התקריות, להכלת האירוע וליזום נהלי התגובה המתאימים.
12.5. דיווח וסקירה של תקריות
קבענו נהלים לדיווח על אירועי אבטחה לגורמים רלוונטיים, לרבות לקוחות, רשויות רגולטוריות וסוכנויות אכיפת חוק, כנדרש על פי החוקים והתקנות החלים. כמו כן, אנו שומרים על תקשורת עם הצדדים המושפעים לאורך תהליך התגובה לאירוע, תוך מתן עדכונים בזמן על מצב האירוע וכל פעולות שננקטות כדי להפחית את השפעתו. כמו כן, אנו עורכים סקירה של כל אירועי האבטחה כדי לזהות את סיבת השורש ולמנוע מקרים דומים להתרחש בעתיד.
חלק 13. ניהול המשכיות עסקית והתאוששות מאסון
13.1. תכנון המשכיות עסקית
למרות שהמכון האירופי לאישורי IT הוא ארגון ללא מטרות רווח, יש לו תוכנית המשכיות עסקית (BCP) המתארת את הנהלים להבטחת המשכיות הפעילות שלו במקרה של תקרית משבשת. ה-BCP מכסה את כל תהליכי ההפעלה הקריטיים ומזהה את המשאבים הנדרשים לשמירה על הפעילות במהלך ואחרי תקרית משבשת. כמו כן, הוא מתווה את הנהלים לשמירה על הפעילות העסקית בזמן שיבוש או אסון, הערכת השפעת השיבושים, זיהוי תהליכי התפעול הקריטיים ביותר בהקשר של אירוע הרס מסוים ופיתוח נהלי תגובה והחלמה.
13.2. תכנון התאוששות מאסון
למכון האירופאי להסמכת IT יש תוכנית התאוששות מאסון (DRP) המתארת את הנהלים לשחזור מערכות המידע שלנו במקרה של שיבוש או אסון. ה-DRP כולל נהלים לגיבוי נתונים, שחזור נתונים ושחזור מערכת. ה-DRP נבדק ומתעדכן באופן קבוע כדי להבטיח את יעילותו.
13.3. ניתוח השפעות עסקיות
אנו עורכים ניתוח השפעה עסקית (BIA) כדי לזהות את תהליכי הפעולה הקריטיים ואת המשאבים הנדרשים לתחזוקתם. ה-BIA עוזר לנו לתעדף את מאמצי ההתאוששות שלנו ולהקצות משאבים בהתאם.
13.4. אסטרטגיית המשכיות עסקית
בהתבסס על תוצאות ה-BIA, אנו מפתחים אסטרטגיית המשכיות עסקית המתארת את הנהלים לתגובה לאירוע משבש. האסטרטגיה כוללת נהלים להפעלת ה-BCP, שחזור תהליכי פעולה קריטיים ותקשורת עם בעלי עניין רלוונטיים.
13.5. בדיקה ותחזוקה
אנו בודקים ומתחזקים בקביעות את ה-BCP וה-DRP שלנו כדי להבטיח את היעילות והרלוונטיות שלהם. אנו עורכים בדיקות קבועות כדי לאמת את ה-BCP/DRP ולזהות אזורים לשיפור. אנו גם מעדכנים את ה-BCP וה-DRP לפי הצורך כדי לשקף שינויים בפעילות שלנו או בנוף האיומים. הבדיקה כוללת תרגילי שולחן, סימולציות ובדיקה חיה של נהלים. אנו גם בודקים ומעדכנים את התוכניות שלנו על סמך תוצאות הבדיקות והלקחים שהופקו.
13.6. אתרי עיבוד חלופיים
אנו מתחזקים אתרי עיבוד מקוונים חלופיים שיכולים לשמש להמשך פעילות עסקית במקרה של הפרעה או אסון. אתרי העיבוד החלופיים מצוידים בתשתיות ובמערכות הנדרשות, וניתן להשתמש בהם כדי לתמוך בתהליכים עסקיים קריטיים.
חלק 14. ציות וביקורת
14.1. ציות לחוקים ולתקנות
המכון האירופי לאישורי IT מחויב לציית לכל החוקים והתקנות החלים הקשורים לאבטחת מידע ופרטיות, לרבות חוקי הגנת מידע, תקנים בתעשייה והתחייבויות חוזיות. אנו בודקים ומעדכנים באופן קבוע את המדיניות, הנהלים והבקרות שלנו כדי להבטיח עמידה בכל הדרישות והסטנדרטים הרלוונטיים. התקנים והמסגרות העיקריות שאנו עוקבים אחריהם בהקשר של אבטחת מידע כוללים:
- תקן ISO/IEC 27001 מספק הנחיות להטמעה וניהול של מערכת ניהול אבטחת מידע (ISMS) הכוללת ניהול נקודות תורפה כמרכיב מרכזי. הוא מספק מסגרת ייחוס להטמעה ותחזוקה של מערכת ניהול אבטחת המידע שלנו (ISMS) כולל ניהול נקודות תורפה. בהתאם להוראות תקן זה אנו מזהים, מעריכים ומנהלים סיכוני אבטחת מידע, לרבות נקודות תורפה.
- מסגרת אבטחת הסייבר של המכון הלאומי האמריקאי לתקנים וטכנולוגיה (NIST) מספקת הנחיות לזיהוי, הערכה וניהול של סיכוני אבטחת סייבר, כולל ניהול פגיעות.
- מסגרת אבטחת הסייבר של המכון הלאומי לתקנים וטכנולוגיה (NIST) לשיפור ניהול סיכוני אבטחת סייבר, עם מערכת ליבה של פונקציות כולל ניהול פגיעות שאנו מקפידים עליה כדי לנהל את סיכוני אבטחת הסייבר שלנו.
- בקרות האבטחה הקריטיות של SANS המכילות קבוצה של 20 בקרות אבטחה לשיפור אבטחת הסייבר, המכסות מגוון תחומים, כולל ניהול נקודות תורפה, מתן הנחיות ספציפיות על סריקת נקודות תורפה, ניהול תיקונים והיבטים אחרים של ניהול נקודות תורפה.
- תקן אבטחת המידע של תעשיית כרטיסי התשלום (PCI DSS), המחייב טיפול בפרטי כרטיסי אשראי בכל הקשור לניהול פגיעות בהקשר זה.
- המרכז לבקרות אבטחת אינטרנט (CIS) כולל ניהול נקודות תורפה כאחד מבקרי המפתח להבטחת תצורות מאובטחות של מערכות המידע שלנו.
- פרויקט האבטחה של אפליקציות אינטרנט פתוחות (OWASP), עם רשימת 10 המובילים של סיכוני האבטחה הקריטיים ביותר של יישומי אינטרנט, כולל הערכת נקודות תורפה כגון התקפות הזרקה, אימות שבור וניהול הפעלות, סקריפטים בין-אתרים (XSS) וכו'. אנו משתמשים ה-OWASP Top 10 כדי לתעדף את מאמצי ניהול הפגיעות שלנו ולהתמקד בסיכונים הקריטיים ביותר ביחס למערכות האינטרנט שלנו.
14.2. ביקורת פנימית
אנו עורכים ביקורות פנימיות סדירות כדי להעריך את האפקטיביות של מערכת ניהול אבטחת המידע שלנו (ISMS) ולהבטיח שהמדיניות, הנהלים והבקרות שלנו מבוצעים. תהליך הביקורת הפנימית כולל זיהוי אי התאמות, פיתוח פעולות מתקנות ומעקב אחר מאמצי התיקון.
14.3. ביקורת חיצונית
אנו מתקשרים מעת לעת עם מבקרים חיצוניים כדי לאמת את תאימותנו לחוקים, תקנות ותקני התעשייה החלים. אנו מספקים למבקרים גישה למתקנים, למערכות ולתיעוד שלנו כנדרש כדי לאמת את התאימות שלנו. אנו גם עובדים עם מבקרים חיצוניים כדי לטפל בכל ממצא או המלצות שזוהו במהלך תהליך הביקורת.
14.4. ניטור ציות
אנו עוקבים אחר הציות שלנו לחוקים, תקנות ותקנים בתעשייה החלים על בסיס מתמשך. אנו משתמשים במגוון שיטות כדי לפקח על תאימות, כולל הערכות תקופתיות, ביקורות וביקורות של ספקי צד שלישי. אנו גם בודקים ומעדכנים באופן קבוע את המדיניות, הנהלים והבקרות שלנו כדי להבטיח עמידה שוטפת בכל הדרישות הרלוונטיות.
חלק 15. ניהול צד ג'
15.1. מדיניות ניהול צד שלישי
למכון האירופאי להסמכת IT יש מדיניות ניהול צד שלישי המתארת את הדרישות לבחירה, הערכה וניטור של ספקי צד שלישי שיש להם גישה לנכסי המידע או למערכות המידע שלנו. המדיניות חלה על כל ספקי צד שלישי, לרבות ספקי שירותי ענן, ספקים וקבלנים.
15.2. בחירה והערכה של צד שלישי
אנו עורכים בדיקת נאותות לפני התקשרות עם ספקי צד שלישי כדי להבטיח שיש להם בקרות אבטחה נאותות כדי להגן על נכסי המידע או מערכות המידע שלנו. אנו גם מעריכים את התאימות של ספקי הצד השלישי לחוקים ולתקנות החלים הקשורים לאבטחת מידע ופרטיות.
15.3. ניטור של צד שלישי
אנו עוקבים אחר ספקי צד שלישי באופן שוטף כדי להבטיח שהם ממשיכים לעמוד בדרישות שלנו לאבטחת מידע ופרטיות. אנו משתמשים במגוון שיטות כדי לפקח על ספקי צד שלישי, כולל הערכות תקופתיות, ביקורות וסקירות של דוחות אירועי אבטחה.
15.4. דרישות חוזיות
אנו כוללים דרישות חוזיות הקשורות לאבטחת מידע ופרטיות בכל החוזים עם ספקי צד שלישי. דרישות אלה כוללות הוראות להגנה על נתונים, בקרות אבטחה, ניהול אירועים ומעקב אחר תאימות. אנו כוללים גם הוראות לסיום חוזים במקרה של אירוע ביטחוני או אי ציות.
חלק 16. אבטחת מידע בתהליכי הסמכה
16.1 אבטחת תהליכי הסמכה
אנו נוקטים באמצעים נאותים ומערכתיים כדי להבטיח את האבטחה של כל המידע הקשור לתהליכי ההסמכה שלנו, כולל נתונים אישיים של אנשים המבקשים הסמכה. זה כולל בקרות לגישה, אחסון ושידור של כל המידע הקשור לאישורים. על ידי יישום אמצעים אלה, אנו שואפים להבטיח שתהליכי ההסמכה יתנהלו ברמת האבטחה והיושרה הגבוהה ביותר, ושהנתונים האישיים של אנשים המבקשים הסמכה מוגנים בהתאם לתקנות ולתקנים הרלוונטיים.
16.2. אימות והרשאה
אנו משתמשים בבקרות אימות והרשאות כדי להבטיח שרק לצוות מורשה תהיה גישה למידע הסמכה. בקרות הגישה נבדקות ומתעדכנות באופן קבוע בהתבסס על שינויים בתפקידי כוח אדם ובאחריות.
16.3. הגנת מידע
אנו מגנים על נתונים אישיים לאורך תהליך ההסמכה על ידי יישום אמצעים טכניים וארגוניים מתאימים כדי להבטיח סודיות, שלמות וזמינות הנתונים. זה כולל אמצעים כגון הצפנה, בקרות גישה וגיבויים רגילים.
16.4. אבטחת תהליכי בחינה
אנו מבטיחים את אבטחת תהליכי הבחינה על ידי יישום אמצעים מתאימים למניעת רמאות, ניטור ובקרה של סביבת הבחינה. אנו גם שומרים על שלמות וסודיות של חומרי בדיקה באמצעות נהלי אחסון מאובטחים.
16.5. אבטחת תוכן בחינה
אנו מבטיחים את אבטחת תוכן הבדיקה על ידי יישום אמצעים מתאימים להגנה מפני גישה, שינוי או חשיפה לא מורשית של התוכן. זה כולל שימוש בבקרות אחסון מאובטחות, הצפנה וגישה לתוכן בחינה, כמו גם בקרות למניעת הפצה או הפצה בלתי מורשית של תוכן בחינה.
16.6. אבטחת מסירת הבחינה
אנו מבטיחים את האבטחה של מסירת הבחינות על ידי יישום אמצעים מתאימים למניעת גישה בלתי מורשית לסביבת הבחינה או מניפולציה שלה. זה כולל אמצעים כגון ניטור, ביקורת ובקרה של סביבת הבחינה וגישות בדיקה מסוימות, כדי למנוע רמאות או פרצות אבטחה אחרות.
16.7. אבטחת תוצאות הבחינה
אנו מבטיחים את אבטחת תוצאות הבדיקה על ידי יישום אמצעים מתאימים להגנה מפני גישה, שינוי או חשיפה בלתי מורשית של התוצאות. זה כולל שימוש בבקרות אחסון מאובטחות, הצפנה וגישה לתוצאות בחינות, כמו גם בקרות למניעת הפצה או הפצה בלתי מורשית של תוצאות בחינה.
16.8. אבטחת הנפקת תעודות
אנו מבטיחים את האבטחה של הנפקת תעודות על ידי יישום אמצעים מתאימים למניעת הונאה והנפקה לא מורשית של תעודות. זה כולל בקרות לאימות הזהות של אנשים המקבלים אישורים ונהלי אחסון והנפקה מאובטחים.
16.9. תלונות וערעורים
קבענו נהלים לניהול תלונות וערעורים הקשורים לתהליך ההסמכה. נהלים אלה כוללים אמצעים להבטחת סודיות וחוסר משוא פנים של התהליך, ואבטחת המידע הקשור לתלונות ולערעורים.
16.10. תהליכי הסמכה ניהול איכות
הקמנו מערכת ניהול איכות (QMS) לתהליכי ההסמכה הכוללת אמצעים להבטחת יעילות, יעילות ואבטחת התהליכים. ה-QMS כולל ביקורות וסקירות קבועות של התהליכים ובקרות האבטחה שלהם.
16.11. שיפור מתמיד של אבטחת תהליכי הסמכה
אנו מחויבים לשיפור מתמיד של תהליכי ההסמכה שלנו ושל בקרות האבטחה שלהם. זה כולל סקירות ועדכונים קבועים של מדיניות ואבטחת נהלים הקשורים להסמכה המבוססים על שינויים בסביבה העסקית, דרישות רגולטוריות ושיטות עבודה מומלצות בניהול אבטחת מידע, בהתאם לתקן ISO 27001 לניהול אבטחת מידע, וכן עם ה-ISO. תקן הפעלה של גופי הסמכה 17024.
חלק 17. הוראות סיום
17.1. סקירה ועדכון של מדיניות
מדיניות אבטחת מידע זו היא מסמך חי שעובר סקירות ועדכונים מתמשכים בהתבסס על שינויים בדרישות התפעוליות שלנו, בדרישות הרגולטוריות או בשיטות העבודה המומלצות בניהול אבטחת מידע.
17.2. ניטור ציות
קבענו נהלים לניטור ציות למדיניות אבטחת מידע זו ובקרות אבטחה קשורות. ניטור הציות כולל ביקורות, הערכות וביקורות קבועות של בקרות האבטחה, ויעילותן בהשגת יעדי מדיניות זו.
17.3. דיווח על אירועי אבטחה
קבענו נהלים לדיווח על אירועי אבטחה הקשורים למערכות המידע שלנו, כולל אלו הקשורים לנתונים אישיים של אנשים. עובדים, קבלנים ובעלי עניין אחרים מוזמנים לדווח על כל אירוע אבטחה או חשד לאירועים לצוות האבטחה המיועד בהקדם האפשרי.
17.4. אימון ומודעות
אנו מספקים תכניות הכשרה ומודעות קבועות לעובדים, לקבלנים ולבעלי עניין אחרים כדי להבטיח שהם מודעים לאחריותם וחובותיהם הקשורים לאבטחת מידע. זה כולל הדרכה על מדיניות ונהלי אבטחה, ואמצעים להגנה על נתונים אישיים של אנשים.
17.5. אחריות ואחריות
אנו מחזיקים בכל העובדים, הקבלנים ובעלי העניין האחרים האחראים והאחראים לעמידה במדיניות אבטחת מידע זו ובבקרות האבטחה הנלוות. אנו גם מחזיקים באחריות להנהלה לוודא שהמשאבים המתאימים מוקצים ליישום ותחזוקת בקרות אבטחת מידע אפקטיביות.
מדיניות אבטחת מידע זו היא מרכיב קריטי במסגרת ניהול אבטחת המידע של מכון ה-IT Euroepan וממחישה את המחויבות שלנו להגן על נכסי מידע ונתונים מעובדים, להבטיח את הסודיות, הפרטיות, השלמות והזמינות של המידע, ועמידה בדרישות הרגולטוריות והחוזיות.