Chính sách bảo mật thông tin
Chính sách bảo mật thông tin của Học viện EITCA
Tài liệu này chỉ định Chính sách bảo mật thông tin (ISP) của Viện chứng nhận CNTT châu Âu, chính sách này thường xuyên được xem xét và cập nhật để đảm bảo tính hiệu quả và phù hợp. Bản cập nhật cuối cùng cho Chính sách bảo mật thông tin EITCI được thực hiện vào ngày 7 tháng 2023 năm XNUMX.
Phần 1. Giới thiệu và Tuyên bố chính sách bảo mật thông tin
1.1. Giới thiệu
Viện Chứng nhận CNTT Châu Âu công nhận tầm quan trọng của bảo mật thông tin trong việc duy trì tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin cũng như sự tin tưởng của các bên liên quan của chúng tôi. Chúng tôi cam kết bảo vệ thông tin nhạy cảm, bao gồm dữ liệu cá nhân, khỏi bị truy cập, tiết lộ, thay đổi và phá hủy trái phép. Chúng tôi duy trì Chính sách bảo mật thông tin hiệu quả để hỗ trợ sứ mệnh cung cấp các dịch vụ chứng nhận đáng tin cậy và công bằng cho khách hàng của mình. Chính sách bảo mật thông tin phác thảo cam kết của chúng tôi trong việc bảo vệ tài sản thông tin và đáp ứng các nghĩa vụ pháp lý, quy định và hợp đồng của chúng tôi. Chính sách của chúng tôi dựa trên các nguyên tắc của ISO 27001 và ISO 17024, các tiêu chuẩn quốc tế hàng đầu về tiêu chuẩn hoạt động của các tổ chức chứng nhận và quản lý bảo mật thông tin.
1.2. Tuyên bố chính sách
Viện Chứng nhận CNTT Châu Âu cam kết:
- Bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn sàng của tài sản thông tin,
- Tuân thủ các nghĩa vụ pháp lý, quy định và hợp đồng liên quan đến bảo mật thông tin và xử lý dữ liệu khi thực hiện các quy trình và hoạt động chứng nhận của mình,
- Liên tục cải thiện chính sách bảo mật thông tin và hệ thống quản lý liên quan,
- Cung cấp đào tạo và nhận thức đầy đủ cho nhân viên, nhà thầu và người tham gia,
- Thu hút tất cả nhân viên và nhà thầu tham gia vào việc thực hiện và duy trì chính sách bảo mật thông tin và hệ thống quản lý bảo mật thông tin liên quan.
KHAI THÁC. Phạm vi
Chính sách này áp dụng cho tất cả các tài sản thông tin do Viện Chứng nhận CNTT Châu Âu sở hữu, kiểm soát hoặc xử lý. Điều này bao gồm tất cả các tài sản thông tin vật lý và kỹ thuật số, chẳng hạn như hệ thống, mạng, phần mềm, dữ liệu và tài liệu. Chính sách này cũng áp dụng cho tất cả nhân viên, nhà thầu và nhà cung cấp dịch vụ bên thứ ba truy cập tài sản thông tin của chúng tôi.
KHAI THÁC. Tuân thủ
Viện Chứng nhận CNTT Châu Âu cam kết tuân thủ các tiêu chuẩn bảo mật thông tin liên quan, bao gồm ISO 27001 và ISO 17024. Chúng tôi thường xuyên xem xét và cập nhật chính sách này để đảm bảo chính sách luôn phù hợp và tuân thủ các tiêu chuẩn này.
Phần 2. An ninh tổ chức
2.1. Mục tiêu bảo mật của tổ chức
Bằng cách triển khai các biện pháp bảo mật của tổ chức, chúng tôi mong muốn đảm bảo rằng các quy trình và thủ tục xử lý dữ liệu và tài sản thông tin của chúng tôi được tiến hành với mức độ bảo mật và toàn vẹn cao nhất, đồng thời chúng tôi tuân thủ các tiêu chuẩn và quy định pháp lý có liên quan.
2.2. Vai trò và trách nhiệm bảo mật thông tin
Viện Chứng nhận CNTT Châu Âu xác định và truyền đạt các vai trò và trách nhiệm đối với bảo mật thông tin trong toàn tổ chức. Điều này bao gồm chỉ định quyền sở hữu rõ ràng đối với tài sản thông tin liên quan đến bảo mật thông tin, thiết lập cấu trúc quản trị và xác định trách nhiệm cụ thể cho các vai trò và phòng ban khác nhau trong toàn tổ chức.
2.3. Quản lý rủi ro
Chúng tôi tiến hành đánh giá rủi ro thường xuyên để xác định và ưu tiên các rủi ro bảo mật thông tin cho tổ chức, bao gồm các rủi ro liên quan đến xử lý dữ liệu cá nhân. Chúng tôi thiết lập các biện pháp kiểm soát phù hợp để giảm thiểu những rủi ro này, đồng thời thường xuyên xem xét và cập nhật phương pháp quản lý rủi ro của mình dựa trên những thay đổi trong môi trường kinh doanh và bối cảnh các mối đe dọa.
2.4. Chính sách và thủ tục bảo mật thông tin
Chúng tôi thiết lập và duy trì một bộ chính sách và quy trình bảo mật thông tin dựa trên các phương pháp hay nhất trong ngành và tuân thủ các quy định và tiêu chuẩn có liên quan. Các chính sách và thủ tục này đề cập đến tất cả các khía cạnh của bảo mật thông tin, bao gồm xử lý dữ liệu cá nhân và thường xuyên được xem xét và cập nhật để đảm bảo tính hiệu quả của chúng.
2.5. Nhận thức và đào tạo về bảo mật
Chúng tôi cung cấp các chương trình đào tạo và nâng cao nhận thức bảo mật thường xuyên cho tất cả nhân viên, nhà thầu và đối tác bên thứ ba có quyền truy cập vào dữ liệu cá nhân hoặc thông tin nhạy cảm khác. Khóa đào tạo này bao gồm các chủ đề như lừa đảo, kỹ thuật xã hội, vệ sinh mật khẩu và các phương pháp hay nhất về bảo mật thông tin khác.
2.6. An ninh vật lý và môi trường
Chúng tôi thực hiện các biện pháp kiểm soát an ninh môi trường và vật lý thích hợp để bảo vệ chống truy cập trái phép, gây hư hại hoặc can thiệp vào các cơ sở và hệ thống thông tin của chúng tôi. Điều này bao gồm các biện pháp như kiểm soát truy cập, theo dõi, giám sát và nguồn điện dự phòng và hệ thống làm mát.
2.7. Quản lý sự cố an toàn thông tin
Chúng tôi đã thiết lập một quy trình quản lý sự cố cho phép chúng tôi phản ứng nhanh chóng và hiệu quả với bất kỳ sự cố bảo mật thông tin nào có thể xảy ra. Điều này bao gồm các thủ tục báo cáo, leo thang, điều tra và giải quyết sự cố, cũng như các biện pháp ngăn ngừa tái diễn và cải thiện khả năng ứng phó sự cố của chúng tôi.
2.8. Hoạt động liên tục và khắc phục thảm họa
Chúng tôi đã thiết lập và thử nghiệm các kế hoạch khắc phục thảm họa và tính liên tục trong hoạt động cho phép chúng tôi duy trì các chức năng và dịch vụ vận hành quan trọng của mình trong trường hợp xảy ra gián đoạn hoặc thảm họa. Các kế hoạch này bao gồm các quy trình sao lưu và phục hồi dữ liệu và hệ thống cũng như các biện pháp đảm bảo tính khả dụng và tính toàn vẹn của dữ liệu cá nhân.
2.9. Quản lý bên thứ ba
Chúng tôi thiết lập và duy trì các biện pháp kiểm soát phù hợp để quản lý rủi ro liên quan đến các đối tác bên thứ ba có quyền truy cập vào dữ liệu cá nhân hoặc thông tin nhạy cảm khác. Điều này bao gồm các biện pháp như thẩm định, nghĩa vụ hợp đồng, giám sát và kiểm toán, cũng như các biện pháp chấm dứt quan hệ đối tác khi cần thiết.
Phần 3. An ninh nguồn nhân lực
3.1. Sàng lọc việc làm
Viện Chứng nhận CNTT Châu Âu đã thiết lập một quy trình sàng lọc việc làm để đảm bảo rằng những cá nhân có quyền truy cập vào thông tin nhạy cảm đều đáng tin cậy và có các kỹ năng cũng như trình độ cần thiết.
3.2. Kiểm soát truy cập
Chúng tôi đã thiết lập các chính sách và quy trình kiểm soát truy cập để đảm bảo rằng nhân viên chỉ có quyền truy cập vào thông tin cần thiết cho trách nhiệm công việc của họ. Các quyền truy cập được xem xét và cập nhật thường xuyên để đảm bảo rằng nhân viên chỉ có quyền truy cập vào thông tin mà họ cần.
3.3. Nhận thức và đào tạo về an toàn thông tin
Chúng tôi cung cấp đào tạo nâng cao nhận thức về bảo mật thông tin cho tất cả nhân viên một cách thường xuyên. Khóa đào tạo này bao gồm các chủ đề như bảo mật mật khẩu, tấn công lừa đảo, kỹ thuật xã hội và các khía cạnh khác của an ninh mạng.
3.4. Sử dụng được chấp nhận
Chúng tôi đã thiết lập một chính sách sử dụng được chấp nhận, trong đó phác thảo việc sử dụng các hệ thống và tài nguyên thông tin được chấp nhận, bao gồm cả các thiết bị cá nhân được sử dụng cho mục đích công việc.
3.5. Bảo mật thiết bị di động
Chúng tôi đã thiết lập các chính sách và quy trình để sử dụng an toàn các thiết bị di động, bao gồm cả việc sử dụng mật khẩu, mã hóa và khả năng xóa từ xa.
3.6. Thủ tục chấm dứt
Viện Chứng nhận CNTT Châu Âu đã thiết lập các thủ tục chấm dứt hợp đồng hoặc việc làm để đảm bảo rằng quyền truy cập vào thông tin nhạy cảm được thu hồi nhanh chóng và an toàn.
3.7. Nhân sự bên thứ ba
Chúng tôi đã thiết lập các thủ tục để quản lý nhân viên bên thứ ba có quyền truy cập vào thông tin nhạy cảm. Các chính sách này liên quan đến việc sàng lọc, kiểm soát truy cập và đào tạo nâng cao nhận thức về bảo mật thông tin.
3.8. Báo cáo sự cố
Chúng tôi đã thiết lập các chính sách và thủ tục để báo cáo các sự cố hoặc mối lo ngại về bảo mật thông tin cho nhân viên hoặc cơ quan có thẩm quyền thích hợp.
3.9. Thỏa thuận bảo mật
Viện Chứng nhận CNTT Châu Âu yêu cầu nhân viên và nhà thầu ký thỏa thuận bảo mật để bảo vệ thông tin nhạy cảm khỏi bị tiết lộ trái phép.
3.10. Các biện pháp kỷ luật
Viện Chứng nhận CNTT Châu Âu đã thiết lập các chính sách và quy trình xử lý kỷ luật trong trường hợp nhân viên hoặc nhà thầu vi phạm chính sách bảo mật thông tin.
Phần 4. Đánh giá và quản lý rủi ro
XUẤT KHẨU. Đánh giá rủi ro
Chúng tôi tiến hành đánh giá rủi ro định kỳ để xác định các mối đe dọa và lỗ hổng tiềm ẩn đối với tài sản thông tin của chúng tôi. Chúng tôi sử dụng phương pháp tiếp cận có cấu trúc để xác định, phân tích, đánh giá và ưu tiên các rủi ro dựa trên khả năng xảy ra và tác động tiềm ẩn của chúng. Chúng tôi đánh giá rủi ro liên quan đến tài sản thông tin của mình, bao gồm hệ thống, mạng, phần mềm, dữ liệu và tài liệu.
4.2. xử lý rủi ro
Chúng tôi sử dụng quy trình xử lý rủi ro để giảm nhẹ hoặc giảm rủi ro xuống mức có thể chấp nhận được. Quy trình xử lý rủi ro bao gồm lựa chọn các biện pháp kiểm soát phù hợp, thực hiện các biện pháp kiểm soát và giám sát hiệu quả của các biện pháp kiểm soát. Chúng tôi ưu tiên triển khai các biện pháp kiểm soát dựa trên mức độ rủi ro, nguồn lực sẵn có và ưu tiên kinh doanh.
4.3. Giám sát và Đánh giá Rủi ro
Chúng tôi thường xuyên theo dõi và xem xét tính hiệu quả của quy trình quản lý rủi ro để đảm bảo quy trình này luôn phù hợp và hiệu quả. Chúng tôi sử dụng các số liệu và chỉ báo để đo lường hiệu suất của quy trình quản lý rủi ro và xác định các cơ hội để cải thiện. Chúng tôi cũng xem xét quy trình quản lý rủi ro của mình như một phần của các đánh giá quản lý định kỳ để đảm bảo tính phù hợp, thỏa đáng và hiệu quả liên tục của quy trình.
4.4. Lập kế hoạch ứng phó rủi ro
Chúng tôi có sẵn một kế hoạch ứng phó rủi ro để đảm bảo rằng chúng tôi có thể ứng phó hiệu quả với mọi rủi ro đã xác định. Kế hoạch này bao gồm các quy trình xác định và báo cáo rủi ro, cũng như các quy trình đánh giá tác động tiềm ẩn của từng rủi ro và xác định các hành động ứng phó phù hợp. Chúng tôi cũng có sẵn các kế hoạch dự phòng để đảm bảo hoạt động kinh doanh liên tục trong trường hợp xảy ra sự kiện rủi ro nghiêm trọng.
4.5. Phân tích tác động hoạt động
Chúng tôi tiến hành phân tích tác động kinh doanh định kỳ để xác định tác động tiềm ẩn của sự gián đoạn đối với hoạt động kinh doanh của chúng tôi. Phân tích này bao gồm đánh giá mức độ quan trọng của các chức năng, hệ thống và dữ liệu kinh doanh của chúng tôi, cũng như đánh giá tác động tiềm ẩn của sự gián đoạn đối với khách hàng, nhân viên và các bên liên quan khác của chúng tôi.
4.6. Quản lý rủi ro của bên thứ ba
Chúng tôi có sẵn chương trình quản lý rủi ro của bên thứ ba để đảm bảo rằng các nhà cung cấp của chúng tôi và các nhà cung cấp dịch vụ bên thứ ba khác cũng đang quản lý rủi ro một cách thích hợp. Chương trình này bao gồm kiểm tra thẩm định trước khi hợp tác với bên thứ ba, giám sát liên tục các hoạt động của bên thứ ba và đánh giá định kỳ các hoạt động quản lý rủi ro của bên thứ ba.
4.7. Ứng phó và Quản lý Sự cố
Chúng tôi có kế hoạch quản lý và ứng phó sự cố để đảm bảo rằng chúng tôi có thể ứng phó hiệu quả với bất kỳ sự cố bảo mật nào. Kế hoạch này bao gồm các quy trình xác định và báo cáo sự cố, cũng như các quy trình đánh giá tác động của từng sự cố và xác định các hành động ứng phó phù hợp. Chúng tôi cũng có sẵn một kế hoạch kinh doanh liên tục để đảm bảo rằng các chức năng kinh doanh quan trọng có thể tiếp tục trong trường hợp xảy ra sự cố nghiêm trọng.
Phần 5. An ninh vật chất và môi trường
5.1. Chu vi an ninh vật lý
Chúng tôi đã thiết lập các biện pháp an ninh vật lý để bảo vệ cơ sở vật chất và thông tin nhạy cảm khỏi bị truy cập trái phép.
5.2. Kiểm soát truy cập
Chúng tôi đã thiết lập các chính sách và quy trình kiểm soát truy cập cho các cơ sở thực tế để đảm bảo rằng chỉ những nhân viên được ủy quyền mới có quyền truy cập vào thông tin nhạy cảm.
5.3. Bảo mật thiết bị
Chúng tôi đảm bảo rằng tất cả các thiết bị chứa thông tin nhạy cảm đều được bảo mật về mặt vật lý và chỉ những người được ủy quyền mới có quyền truy cập vào thiết bị này.
5.4. Xử lý an toàn
Chúng tôi đã thiết lập các quy trình xử lý an toàn thông tin nhạy cảm, bao gồm tài liệu giấy, phương tiện điện tử và phần cứng.
5.5. Môi trường vật lý
Chúng tôi đảm bảo rằng môi trường vật lý của cơ sở, bao gồm nhiệt độ, độ ẩm và ánh sáng, phù hợp để bảo vệ thông tin nhạy cảm.
5.6. Cung cấp năng lượng
Chúng tôi đảm bảo rằng nguồn điện cung cấp cho cơ sở là đáng tin cậy và được bảo vệ khỏi sự cố mất điện hoặc đột biến điện.
5.7. Phòng cháy chữa cháy
Chúng tôi đã thiết lập các chính sách và quy trình phòng cháy chữa cháy, bao gồm việc lắp đặt và bảo trì các hệ thống phát hiện và dập tắt đám cháy.
5.8. Bảo Vệ Thiệt Hại Nước
Chúng tôi đã thiết lập các chính sách và quy trình để bảo vệ thông tin nhạy cảm khỏi bị hư hại do nước, bao gồm cả việc lắp đặt và bảo trì các hệ thống phát hiện và ngăn chặn lũ lụt.
5.9. Bảo trì thiết bị
Chúng tôi đã thiết lập các quy trình bảo trì thiết bị, bao gồm cả việc kiểm tra thiết bị để tìm dấu hiệu giả mạo hoặc truy cập trái phép.
5.10. Sử dụng được chấp nhận
Chúng tôi đã thiết lập một chính sách sử dụng có thể chấp nhận được, phác thảo việc sử dụng các tài nguyên và cơ sở vật chất có thể chấp nhận được.
5.11. Truy cập từ xa
Chúng tôi đã thiết lập các chính sách và quy trình để truy cập từ xa vào thông tin nhạy cảm, bao gồm cả việc sử dụng các kết nối và mã hóa an toàn.
5.12. Theo dõi và giám sát
Chúng tôi đã thiết lập các chính sách và thủ tục để theo dõi và giám sát cơ sở vật chất và thiết bị để phát hiện và ngăn chặn truy cập hoặc giả mạo trái phép.
Phần. 6. Bảo mật thông tin liên lạc và hoạt động
6.1. Quản lý an ninh mạng
Chúng tôi đã thiết lập các chính sách và thủ tục để quản lý an ninh mạng, bao gồm việc sử dụng tường lửa, hệ thống ngăn chặn và phát hiện xâm nhập cũng như kiểm tra an ninh thường xuyên.
6.2. Chuyển giao thông tin
Chúng tôi đã thiết lập các chính sách và quy trình để chuyển an toàn thông tin nhạy cảm, bao gồm cả việc sử dụng mã hóa và các giao thức truyền tệp an toàn.
6.3. Thông tin liên lạc của bên thứ ba
Chúng tôi đã thiết lập các chính sách và quy trình để trao đổi an toàn thông tin nhạy cảm với các tổ chức bên thứ ba, bao gồm cả việc sử dụng các kết nối và mã hóa an toàn.
6.4. Xử lý phương tiện
Chúng tôi đã thiết lập các quy trình xử lý thông tin nhạy cảm dưới nhiều dạng phương tiện khác nhau, bao gồm tài liệu giấy, phương tiện điện tử và thiết bị lưu trữ di động.
6.5. Phát triển và Bảo trì Hệ thống Thông tin
Chúng tôi đã thiết lập các chính sách và quy trình để phát triển và bảo trì hệ thống thông tin, bao gồm việc sử dụng các phương pháp mã hóa an toàn, cập nhật phần mềm thường xuyên và quản lý bản vá.
6.6. Bảo vệ phần mềm độc hại và vi-rút
Chúng tôi đã thiết lập các chính sách và quy trình để bảo vệ hệ thống thông tin khỏi phần mềm độc hại và vi rút, bao gồm việc sử dụng phần mềm chống vi rút và các bản cập nhật bảo mật thường xuyên.
6.7. Sao lưu và phục hồi
Chúng tôi đã thiết lập các chính sách và quy trình sao lưu và khôi phục thông tin nhạy cảm để ngăn ngừa mất hoặc hỏng dữ liệu.
6.8. Quản lý Sự kiện
Chúng tôi đã thiết lập các chính sách và quy trình để xác định, điều tra và giải quyết các sự cố và sự cố bảo mật.
6.9. Quản lý lỗ hổng
Chúng tôi đã thiết lập các chính sách và thủ tục để quản lý các lỗ hổng hệ thống thông tin, bao gồm việc sử dụng các đánh giá lỗ hổng thường xuyên và quản lý bản vá.
6.10. Kiểm soát truy cập
Chúng tôi đã thiết lập các chính sách và thủ tục để quản lý quyền truy cập của người dùng vào hệ thống thông tin, bao gồm việc sử dụng các biện pháp kiểm soát truy cập, xác thực người dùng và đánh giá quyền truy cập thường xuyên.
6.11. Giám sát và ghi nhật ký
Chúng tôi đã thiết lập các chính sách và quy trình để giám sát và ghi nhật ký các hoạt động của hệ thống thông tin, bao gồm cả việc sử dụng các bản kiểm tra và ghi nhật ký sự cố bảo mật.
Phần 7. Mua lại, phát triển và bảo trì hệ thống thông tin
7.1. Yêu cầu
Chúng tôi đã thiết lập các chính sách và quy trình để xác định các yêu cầu của hệ thống thông tin, bao gồm các yêu cầu kinh doanh, yêu cầu pháp lý và quy định cũng như yêu cầu bảo mật.
7.2. Mối quan hệ nhà cung cấp
Chúng tôi đã thiết lập các chính sách và thủ tục để quản lý mối quan hệ với các nhà cung cấp dịch vụ và hệ thống thông tin bên thứ ba, bao gồm cả việc đánh giá các hoạt động bảo mật của nhà cung cấp.
7.3. Phát triển hệ thống
Chúng tôi đã thiết lập các chính sách và quy trình để phát triển an toàn hệ thống thông tin, bao gồm việc sử dụng các phương pháp mã hóa an toàn, kiểm tra thường xuyên và đảm bảo chất lượng.
7.4. Thử nghiệm hệ thống
Chúng tôi đã thiết lập các chính sách và quy trình để kiểm tra hệ thống thông tin, bao gồm kiểm tra chức năng, kiểm tra hiệu suất và kiểm tra bảo mật.
7.5. Chấp nhận hệ thống
Chúng tôi đã thiết lập các chính sách và quy trình để chấp nhận hệ thống thông tin, bao gồm phê duyệt kết quả kiểm tra, đánh giá bảo mật và kiểm tra mức độ chấp nhận của người dùng.
7.6. Bảo trì hệ thống
Chúng tôi đã thiết lập các chính sách và quy trình để bảo trì hệ thống thông tin, bao gồm các bản cập nhật thường xuyên, bản vá bảo mật và sao lưu hệ thống.
7.7. Hưu trí hệ thống
Chúng tôi đã thiết lập các chính sách và quy trình cho việc ngừng sử dụng hệ thống thông tin, bao gồm cả việc xử lý an toàn phần cứng và dữ liệu.
7.8. Lưu giữ dữ liệu
Chúng tôi đã thiết lập các chính sách và thủ tục để lưu giữ dữ liệu tuân thủ các yêu cầu pháp lý và quy định, bao gồm lưu trữ an toàn và xử lý dữ liệu nhạy cảm.
7.9. Yêu cầu bảo mật cho hệ thống thông tin
Chúng tôi đã thiết lập các chính sách và quy trình để xác định và triển khai các yêu cầu bảo mật cho hệ thống thông tin, bao gồm kiểm soát truy cập, mã hóa và bảo vệ dữ liệu.
7.10. Môi trường phát triển an toàn
Chúng tôi đã thiết lập các chính sách và quy trình cho môi trường phát triển an toàn cho hệ thống thông tin, bao gồm việc sử dụng các phương pháp phát triển an toàn, kiểm soát truy cập và cấu hình mạng an toàn.
7.11. Bảo vệ môi trường thử nghiệm
Chúng tôi đã thiết lập các chính sách và quy trình để bảo vệ môi trường thử nghiệm cho các hệ thống thông tin, bao gồm việc sử dụng các cấu hình bảo mật, kiểm soát truy cập và kiểm tra bảo mật thường xuyên.
7.12. Nguyên tắc kỹ thuật hệ thống an toàn
Chúng tôi đã thiết lập các chính sách và quy trình để triển khai các nguyên tắc kỹ thuật hệ thống an toàn cho các hệ thống thông tin, bao gồm việc sử dụng các kiến trúc bảo mật, mô hình hóa mối đe dọa và thực hành mã hóa an toàn.
7.13. Nguyên tắc mã hóa an toàn
Chúng tôi đã thiết lập các chính sách và quy trình để triển khai các nguyên tắc mã hóa an toàn cho hệ thống thông tin, bao gồm việc sử dụng các tiêu chuẩn mã hóa, đánh giá mã và kiểm tra tự động.
Phần 8. Mua phần cứng
8.1. Tuân thủ các tiêu chuẩn
Chúng tôi tuân thủ tiêu chuẩn ISO 27001 cho hệ thống quản lý bảo mật thông tin (ISMS) để đảm bảo rằng tài sản phần cứng được mua sắm phù hợp với các yêu cầu bảo mật của chúng tôi.
XUẤT KHẨU. Đánh giá rủi ro
Chúng tôi tiến hành đánh giá rủi ro trước khi mua tài sản phần cứng để xác định các rủi ro bảo mật tiềm ẩn và đảm bảo rằng phần cứng được chọn đáp ứng các yêu cầu bảo mật.
8.3. Lựa chọn nhà cung cấp
Chúng tôi chỉ mua tài sản phần cứng từ các nhà cung cấp đáng tin cậy có thành tích đã được chứng minh về việc cung cấp các sản phẩm an toàn. Chúng tôi xem xét các chính sách và thực tiễn bảo mật của nhà cung cấp và yêu cầu họ đảm bảo rằng các sản phẩm của họ đáp ứng các yêu cầu bảo mật của chúng tôi.
8.4. Vận chuyển an toàn
Chúng tôi đảm bảo rằng tài sản phần cứng được vận chuyển an toàn đến cơ sở của chúng tôi để ngăn ngừa giả mạo, hư hỏng hoặc trộm cắp trong quá trình vận chuyển.
8.5. Xác minh tính xác thực
Chúng tôi xác minh tính xác thực của tài sản phần cứng khi giao hàng để đảm bảo chúng không bị làm giả hoặc giả mạo.
8.6. Kiểm soát vật lý và môi trường
Chúng tôi thực hiện các biện pháp kiểm soát vật lý và môi trường phù hợp để bảo vệ tài sản phần cứng khỏi bị truy cập trái phép, trộm cắp hoặc hư hỏng.
8.7. Cài đặt phần cứng
Chúng tôi đảm bảo rằng tất cả tài sản phần cứng được định cấu hình và cài đặt theo các nguyên tắc và tiêu chuẩn bảo mật đã thiết lập.
8.8. Đánh giá phần cứng
Chúng tôi tiến hành đánh giá định kỳ các tài sản phần cứng để đảm bảo rằng chúng tiếp tục đáp ứng các yêu cầu bảo mật của chúng tôi và được cập nhật các bản vá và cập nhật bảo mật mới nhất.
8.9. Xử lý phần cứng
Chúng tôi xử lý tài sản phần cứng một cách an toàn để ngăn chặn truy cập trái phép vào thông tin nhạy cảm.
Phần 9. Chống phần mềm độc hại và vi-rút
9.1. Chính sách cập nhật phần mềm
Chúng tôi duy trì phần mềm chống vi-rút và phần mềm độc hại cập nhật trên tất cả các hệ thống thông tin được Viện chứng nhận CNTT châu Âu sử dụng, bao gồm máy chủ, máy trạm, máy tính xách tay và thiết bị di động. Chúng tôi đảm bảo rằng phần mềm bảo vệ phần mềm chống vi-rút và phần mềm độc hại được định cấu hình để tự động cập nhật các tệp định nghĩa vi-rút và các phiên bản phần mềm một cách thường xuyên và quá trình này được kiểm tra thường xuyên.
9.2. Quét chống vi-rút và phần mềm độc hại
Chúng tôi thực hiện quét thường xuyên tất cả các hệ thống thông tin, bao gồm máy chủ, máy trạm, máy tính xách tay và thiết bị di động để phát hiện và loại bỏ mọi vi-rút hoặc phần mềm độc hại.
9.3. Chính sách không vô hiệu hóa và không thay đổi
Chúng tôi thực thi các chính sách cấm người dùng vô hiệu hóa hoặc thay đổi phần mềm bảo vệ chống vi-rút và phần mềm độc hại trên bất kỳ hệ thống thông tin nào.
9.4. Giám sát
Chúng tôi theo dõi các cảnh báo và nhật ký của phần mềm bảo vệ chống vi-rút và phần mềm độc hại để xác định bất kỳ sự cố lây nhiễm vi-rút hoặc phần mềm độc hại nào, đồng thời phản hồi các sự cố đó một cách kịp thời.
9.5. Hồ sơ duy trì
Chúng tôi duy trì hồ sơ về cấu hình, cập nhật và quét phần mềm chống vi-rút và phần mềm độc hại, cũng như bất kỳ sự cố lây nhiễm vi-rút hoặc phần mềm độc hại nào, cho mục đích kiểm tra.
9.6. Đánh giá phần mềm
Chúng tôi tiến hành đánh giá định kỳ phần mềm chống vi-rút và bảo vệ phần mềm độc hại để đảm bảo phần mềm đáp ứng các tiêu chuẩn ngành hiện tại và phù hợp với nhu cầu của chúng tôi.
9.7. Đào tạo và Nhận thức
Chúng tôi cung cấp các chương trình đào tạo và nâng cao nhận thức để giáo dục tất cả nhân viên về tầm quan trọng của việc bảo vệ chống vi-rút và phần mềm độc hại cũng như cách nhận biết và báo cáo mọi hoạt động hoặc sự cố đáng ngờ.
Phần 10. Quản lý tài sản thông tin
10.1. Kiểm kê tài sản thông tin
Viện Chứng nhận CNTT Châu Âu duy trì kho tài sản thông tin bao gồm tất cả tài sản thông tin vật lý và kỹ thuật số, chẳng hạn như hệ thống, mạng, phần mềm, dữ liệu và tài liệu. Chúng tôi phân loại tài sản thông tin dựa trên mức độ quan trọng và độ nhạy cảm của chúng để đảm bảo rằng các biện pháp bảo vệ thích hợp được thực hiện.
10.2. Xử lý tài sản thông tin
Chúng tôi thực hiện các biện pháp thích hợp để bảo vệ tài sản thông tin dựa trên phân loại của chúng, bao gồm tính bảo mật, tính toàn vẹn và tính sẵn sàng. Chúng tôi đảm bảo rằng tất cả tài sản thông tin được xử lý theo luật pháp, quy định và yêu cầu hợp đồng hiện hành. Chúng tôi cũng đảm bảo rằng tất cả các tài sản thông tin được lưu trữ, bảo vệ và xử lý đúng cách khi không còn cần thiết.
10.3. Quyền sở hữu tài sản thông tin
Chúng tôi giao quyền sở hữu tài sản thông tin cho các cá nhân hoặc bộ phận chịu trách nhiệm quản lý và bảo vệ tài sản thông tin. Chúng tôi cũng đảm bảo rằng chủ sở hữu tài sản thông tin hiểu trách nhiệm và nghĩa vụ của họ đối với việc bảo vệ tài sản thông tin.
10.4. Bảo vệ tài sản thông tin
Chúng tôi sử dụng nhiều biện pháp bảo vệ khác nhau để bảo vệ tài sản thông tin, bao gồm các biện pháp kiểm soát vật lý, kiểm soát truy cập, mã hóa cũng như các quy trình sao lưu và phục hồi. Chúng tôi cũng đảm bảo rằng tất cả các tài sản thông tin đều được bảo vệ khỏi sự truy cập, sửa đổi hoặc phá hủy trái phép.
Phần 11. Kiểm soát truy cập
11.1. Chính sách kiểm soát truy cập
Viện Chứng nhận CNTT Châu Âu có Chính sách Kiểm soát Truy cập nêu rõ các yêu cầu đối với việc cấp, sửa đổi và thu hồi quyền truy cập vào các tài sản thông tin. Kiểm soát truy cập là một thành phần quan trọng trong hệ thống quản lý bảo mật thông tin của chúng tôi và chúng tôi triển khai nó để đảm bảo rằng chỉ những cá nhân được ủy quyền mới có quyền truy cập vào tài sản thông tin của chúng tôi.
11.2. Thực hiện kiểm soát truy cập
Chúng tôi thực hiện các biện pháp kiểm soát truy cập dựa trên nguyên tắc đặc quyền tối thiểu, có nghĩa là các cá nhân chỉ có quyền truy cập vào các tài sản thông tin cần thiết để thực hiện các chức năng công việc của họ. Chúng tôi sử dụng nhiều biện pháp kiểm soát truy cập, bao gồm xác thực, ủy quyền và kế toán (AAA). Chúng tôi cũng sử dụng danh sách kiểm soát truy cập (ACL) và quyền để kiểm soát quyền truy cập vào nội dung thông tin.
11.3. Chính sách mật khẩu
Viện Chứng nhận CNTT Châu Âu có Chính sách Mật khẩu nêu rõ các yêu cầu để tạo và quản lý mật khẩu. Chúng tôi yêu cầu mật khẩu mạnh dài ít nhất 8 ký tự, có sự kết hợp giữa chữ hoa và chữ thường, số và ký tự đặc biệt. Chúng tôi cũng yêu cầu thay đổi mật khẩu định kỳ và cấm sử dụng lại các mật khẩu trước đó.
11.4. Quản lý người dùng
Chúng tôi có quy trình quản lý người dùng bao gồm tạo, sửa đổi và xóa tài khoản người dùng. Tài khoản người dùng được tạo dựa trên nguyên tắc đặc quyền tối thiểu và quyền truy cập chỉ được cấp cho các tài sản thông tin cần thiết để thực hiện các chức năng công việc của cá nhân. Chúng tôi cũng thường xuyên xem xét tài khoản người dùng và xóa các tài khoản không còn cần thiết.
Phần 12. Quản lý Sự cố An toàn Thông tin
12.1. Chính sách quản lý sự cố
Viện Chứng nhận CNTT Châu Âu có Chính sách Quản lý Sự cố nêu rõ các yêu cầu để phát hiện, báo cáo, đánh giá và ứng phó với các sự cố bảo mật. Chúng tôi định nghĩa sự cố bảo mật là bất kỳ sự kiện nào làm tổn hại đến tính bảo mật, tính toàn vẹn hoặc tính khả dụng của tài sản hoặc hệ thống thông tin.
12.2. Phát hiện và báo cáo sự cố
Chúng tôi thực hiện các biện pháp để phát hiện và báo cáo kịp thời các sự cố bảo mật. Chúng tôi sử dụng nhiều phương pháp khác nhau để phát hiện sự cố bảo mật, bao gồm hệ thống phát hiện xâm nhập (IDS), phần mềm chống vi-rút và báo cáo người dùng. Chúng tôi cũng đảm bảo rằng tất cả nhân viên đều biết về quy trình báo cáo sự cố bảo mật và khuyến khích báo cáo tất cả các sự cố đáng ngờ.
12.3. Đánh giá và ứng phó sự cố
Chúng tôi có một quy trình để đánh giá và ứng phó với các sự cố bảo mật dựa trên mức độ nghiêm trọng và tác động của chúng. Chúng tôi ưu tiên các sự cố dựa trên tác động tiềm ẩn của chúng đối với tài sản hoặc hệ thống thông tin và phân bổ các nguồn lực phù hợp để ứng phó với chúng. Chúng tôi cũng có một kế hoạch ứng phó bao gồm các quy trình xác định, ngăn chặn, phân tích, loại bỏ và khôi phục sau các sự cố bảo mật, cũng như thông báo cho các bên liên quan và tiến hành đánh giá sau sự cố Các quy trình ứng phó sự cố của chúng tôi được thiết kế để đảm bảo phản hồi nhanh chóng và hiệu quả đến các sự cố an ninh. Các thủ tục thường xuyên được xem xét và cập nhật để đảm bảo tính hiệu quả và phù hợp của chúng.
12.4. Đội ứng phó sự cố
Chúng tôi có Nhóm Ứng phó Sự cố (IRT) chịu trách nhiệm ứng phó với các sự cố an ninh. IRT bao gồm các đại diện từ các đơn vị khác nhau và được lãnh đạo bởi Cán bộ An ninh Thông tin (ISO). IRT chịu trách nhiệm đánh giá mức độ nghiêm trọng của sự cố, ngăn chặn sự cố và bắt đầu các quy trình ứng phó thích hợp.
12.5. Báo cáo và Đánh giá Sự cố
Chúng tôi đã thiết lập các quy trình báo cáo sự cố bảo mật cho các bên liên quan, bao gồm khách hàng, cơ quan quản lý và cơ quan thực thi pháp luật, theo yêu cầu của luật pháp và quy định hiện hành. Chúng tôi cũng duy trì liên lạc với các bên bị ảnh hưởng trong suốt quá trình ứng phó sự cố, cung cấp thông tin cập nhật kịp thời về tình trạng của sự cố và bất kỳ hành động nào được thực hiện để giảm thiểu tác động của nó. Chúng tôi cũng tiến hành xem xét tất cả các sự cố bảo mật để xác định nguyên nhân gốc rễ và ngăn chặn các sự cố tương tự xảy ra trong tương lai.
Phần 13. Quản lý Kinh doanh Liên tục và Khắc phục Thảm họa
13.1. kế hoạch kinh doanh liên tục
Mặc dù Viện Chứng nhận CNTT Châu Âu là một tổ chức phi lợi nhuận nhưng Viện có Kế hoạch Kinh doanh Liên tục (BCP) vạch ra các quy trình để đảm bảo tính liên tục của hoạt động trong trường hợp xảy ra sự cố gián đoạn. BCP bao gồm tất cả các quy trình vận hành quan trọng và xác định các nguồn lực cần thiết để duy trì hoạt động trong và sau sự cố gián đoạn. Nó cũng phác thảo các quy trình để duy trì hoạt động kinh doanh trong thời gian gián đoạn hoặc thảm họa, đánh giá tác động của sự gián đoạn, xác định hầu hết các quy trình vận hành quan trọng trong bối cảnh xảy ra sự cố gián đoạn cụ thể và phát triển các quy trình ứng phó và phục hồi.
13.2. Lập kế hoạch khắc phục thảm họa
Viện Chứng nhận CNTT Châu Âu có Kế hoạch Khôi phục Thảm họa (DRP) phác thảo các quy trình khôi phục hệ thống thông tin của chúng tôi trong trường hợp xảy ra gián đoạn hoặc thảm họa. DRP bao gồm các quy trình sao lưu dữ liệu, khôi phục dữ liệu và khôi phục hệ thống. DRP thường xuyên được kiểm tra và cập nhật để đảm bảo tính hiệu quả của nó.
13.3. Phân tích tác động kinh doanh
Chúng tôi tiến hành Phân tích tác động kinh doanh (BIA) để xác định các quy trình vận hành quan trọng và các nguồn lực cần thiết để duy trì chúng. BIA giúp chúng tôi ưu tiên các nỗ lực phục hồi và phân bổ nguồn lực phù hợp.
13.4. Chiến lược kinh doanh liên tục
Dựa trên kết quả của BIA, chúng tôi phát triển Chiến lược Kinh doanh liên tục vạch ra các quy trình ứng phó với sự cố gây rối. Chiến lược này bao gồm các quy trình kích hoạt BCP, khôi phục các quy trình vận hành quan trọng và liên lạc với các bên liên quan.
13.5. Kiểm tra và Bảo trì
Chúng tôi thường xuyên kiểm tra và duy trì BCP và DRP của mình để đảm bảo tính hiệu quả và phù hợp của chúng. Chúng tôi tiến hành kiểm tra thường xuyên để xác thực BCP/DRP và xác định các khu vực cần cải thiện. Chúng tôi cũng cập nhật BCP và DRP khi cần thiết để phản ánh những thay đổi trong hoạt động của chúng tôi hoặc bối cảnh các mối đe dọa. Thử nghiệm bao gồm các bài tập trên bàn, mô phỏng và thử nghiệm trực tiếp các quy trình. Chúng tôi cũng xem xét và cập nhật các kế hoạch của mình dựa trên kết quả kiểm tra và bài học kinh nghiệm.
13.6. Trang web xử lý thay thế
Chúng tôi duy trì các trang web xử lý trực tuyến thay thế có thể được sử dụng để tiếp tục hoạt động kinh doanh trong trường hợp gián đoạn hoặc thảm họa. Các địa điểm xử lý thay thế được trang bị cơ sở hạ tầng và hệ thống cần thiết và có thể được sử dụng để hỗ trợ các quy trình kinh doanh quan trọng.
Phần 14. Tuân thủ và Kiểm toán
14.1. Tuân thủ Luật pháp và Quy định
Viện Chứng nhận CNTT Châu Âu cam kết tuân thủ tất cả các luật và quy định hiện hành liên quan đến bảo mật và quyền riêng tư thông tin, bao gồm luật bảo vệ dữ liệu, tiêu chuẩn ngành và nghĩa vụ hợp đồng. Chúng tôi thường xuyên xem xét và cập nhật các chính sách, quy trình và biện pháp kiểm soát của mình để đảm bảo tuân thủ tất cả các yêu cầu và tiêu chuẩn có liên quan. Các tiêu chuẩn và khuôn khổ chính mà chúng tôi tuân theo trong bối cảnh bảo mật thông tin bao gồm:
- Tiêu chuẩn ISO/IEC 27001 cung cấp hướng dẫn triển khai và quản lý Hệ thống quản lý bảo mật thông tin (ISMS) bao gồm quản lý lỗ hổng như một thành phần chính. Nó cung cấp một khung tham chiếu để triển khai và duy trì hệ thống quản lý bảo mật thông tin (ISMS) của chúng tôi, bao gồm cả quản lý lỗ hổng. Để tuân thủ các điều khoản tiêu chuẩn này, chúng tôi xác định, đánh giá và quản lý các rủi ro bảo mật thông tin, bao gồm cả các lỗ hổng.
- Khuôn khổ An ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) cung cấp các hướng dẫn để xác định, đánh giá và quản lý rủi ro an ninh mạng, bao gồm quản lý lỗ hổng.
- Khuôn khổ an ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) để cải thiện quản lý rủi ro an ninh mạng, với một bộ chức năng cốt lõi bao gồm quản lý lỗ hổng mà chúng tôi tuân thủ để quản lý rủi ro an ninh mạng của mình.
- Các biện pháp kiểm soát bảo mật quan trọng của SANS bao gồm một bộ 20 biện pháp kiểm soát bảo mật để cải thiện an ninh mạng, bao gồm nhiều lĩnh vực, bao gồm quản lý lỗ hổng, cung cấp hướng dẫn cụ thể về quét lỗ hổng, quản lý bản vá và các khía cạnh khác của quản lý lỗ hổng.
- Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS), yêu cầu xử lý thông tin thẻ tín dụng liên quan đến quản lý lỗ hổng trong bối cảnh này.
- Trung tâm Kiểm soát An ninh Internet (CIS) bao gồm quản lý lỗ hổng như một trong những biện pháp kiểm soát chính để đảm bảo cấu hình an toàn cho hệ thống thông tin của chúng tôi.
- Dự án bảo mật ứng dụng web mở (OWASP), với danh sách Top 10 rủi ro bảo mật ứng dụng web quan trọng nhất, bao gồm đánh giá lỗ hổng như tấn công tiêm nhiễm, xác thực bị hỏng và quản lý phiên, kịch bản chéo trang (XSS), v.v. Chúng tôi sử dụng Top 10 của OWASP để ưu tiên các nỗ lực quản lý lỗ hổng của chúng tôi và tập trung vào các rủi ro nghiêm trọng nhất liên quan đến hệ thống web của chúng tôi.
14.2. Kiểm toán nội bộ
Chúng tôi tiến hành kiểm toán nội bộ thường xuyên để đánh giá tính hiệu quả của Hệ thống quản lý bảo mật thông tin (ISMS) và đảm bảo rằng các chính sách, thủ tục và biện pháp kiểm soát của chúng tôi đang được tuân thủ. Quy trình đánh giá nội bộ bao gồm việc xác định các điểm không phù hợp, phát triển các hành động khắc phục và theo dõi các nỗ lực khắc phục.
14.3. Kiểm toán bên ngoài
Chúng tôi định kỳ tham gia với các kiểm toán viên bên ngoài để xác nhận việc tuân thủ các luật, quy định và tiêu chuẩn ngành hiện hành. Chúng tôi cung cấp cho kiểm toán viên quyền truy cập vào các cơ sở, hệ thống và tài liệu của chúng tôi theo yêu cầu để xác thực việc tuân thủ của chúng tôi. Chúng tôi cũng làm việc với các kiểm toán viên bên ngoài để giải quyết mọi phát hiện hoặc khuyến nghị được xác định trong quá trình kiểm toán.
14.4. Giám sát tuân thủ
Chúng ta liên tục giám sát việc tuân thủ luật pháp, quy định và tiêu chuẩn ngành hiện hành. Chúng tôi sử dụng nhiều phương pháp khác nhau để giám sát việc tuân thủ, bao gồm đánh giá định kỳ, kiểm toán và đánh giá các nhà cung cấp bên thứ ba. Chúng tôi cũng thường xuyên xem xét và cập nhật các chính sách, quy trình và biện pháp kiểm soát của mình để đảm bảo luôn tuân thủ tất cả các yêu cầu liên quan.
Phần 15. Quản lý bên thứ ba
15.1. Chính sách quản lý bên thứ ba
Viện chứng nhận CNTT châu Âu có Chính sách quản lý bên thứ ba nêu rõ các yêu cầu để lựa chọn, đánh giá và giám sát các nhà cung cấp bên thứ ba có quyền truy cập vào hệ thống hoặc tài sản thông tin của chúng tôi. Chính sách này áp dụng cho tất cả các nhà cung cấp bên thứ ba, bao gồm nhà cung cấp dịch vụ đám mây, nhà cung cấp và nhà thầu.
15.2. Lựa chọn và đánh giá của bên thứ ba
Chúng tôi tiến hành thẩm định trước khi hợp tác với các nhà cung cấp bên thứ ba để đảm bảo rằng họ có các biện pháp kiểm soát an ninh đầy đủ để bảo vệ tài sản hoặc hệ thống thông tin của chúng tôi. Chúng tôi cũng đánh giá sự tuân thủ của các nhà cung cấp bên thứ ba với các luật và quy định hiện hành liên quan đến bảo mật và quyền riêng tư thông tin.
15.3. Giám sát của bên thứ ba
Chúng tôi liên tục giám sát các nhà cung cấp bên thứ ba để đảm bảo rằng họ tiếp tục đáp ứng các yêu cầu của chúng tôi về bảo mật thông tin và quyền riêng tư. Chúng tôi sử dụng nhiều phương pháp khác nhau để giám sát các nhà cung cấp bên thứ ba, bao gồm đánh giá định kỳ, kiểm tra và xem xét các báo cáo sự cố bảo mật.
15.4. Yêu cầu hợp đồng
Chúng tôi bao gồm các yêu cầu hợp đồng liên quan đến bảo mật thông tin và quyền riêng tư trong tất cả các hợp đồng với nhà cung cấp bên thứ ba. Các yêu cầu này bao gồm các điều khoản về bảo vệ dữ liệu, kiểm soát bảo mật, quản lý sự cố và giám sát tuân thủ. Chúng tôi cũng bao gồm các điều khoản về việc chấm dứt hợp đồng trong trường hợp xảy ra sự cố bảo mật hoặc không tuân thủ.
Phần 16. Bảo mật thông tin trong quy trình chứng nhận
16.1 Bảo mật Quy trình Chứng nhận
Chúng tôi thực hiện các biện pháp đầy đủ và có hệ thống để đảm bảo tính bảo mật của tất cả thông tin liên quan đến quy trình chứng nhận của chúng tôi, bao gồm cả dữ liệu cá nhân của các cá nhân đang tìm kiếm chứng nhận. Điều này bao gồm các biện pháp kiểm soát truy cập, lưu trữ và truyền tất cả thông tin liên quan đến chứng nhận. Bằng cách thực hiện các biện pháp này, chúng tôi mong muốn đảm bảo rằng các quy trình chứng nhận được tiến hành với mức độ bảo mật và tính toàn vẹn cao nhất, đồng thời dữ liệu cá nhân của các cá nhân đang tìm kiếm chứng nhận được bảo vệ tuân thủ các quy định và tiêu chuẩn có liên quan.
16.2. Xác thực và ủy quyền
Chúng tôi sử dụng các biện pháp kiểm soát xác thực và ủy quyền để đảm bảo rằng chỉ những nhân viên được ủy quyền mới có quyền truy cập vào thông tin chứng nhận. Kiểm soát truy cập thường xuyên được xem xét và cập nhật dựa trên những thay đổi về vai trò và trách nhiệm của nhân viên.
KHAI THÁC. Bảo vệ dữ liệu
Chúng tôi bảo vệ dữ liệu cá nhân trong suốt quá trình chứng nhận bằng cách triển khai các biện pháp tổ chức và kỹ thuật phù hợp để đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu. Điều này bao gồm các biện pháp như mã hóa, kiểm soát truy cập và sao lưu thường xuyên.
16.4. An ninh của quá trình kiểm tra
Chúng tôi đảm bảo tính bảo mật của các quy trình thi bằng cách thực hiện các biện pháp thích hợp để ngăn chặn gian lận, giám sát và kiểm soát môi trường thi. Chúng tôi cũng duy trì tính toàn vẹn và bảo mật của tài liệu kiểm tra thông qua quy trình lưu trữ an toàn.
16.5. Bảo mật nội dung thi
Chúng tôi đảm bảo tính bảo mật của nội dung kiểm tra bằng cách thực hiện các biện pháp thích hợp để bảo vệ chống truy cập trái phép, thay đổi hoặc tiết lộ nội dung. Điều này bao gồm việc sử dụng các biện pháp kiểm soát truy cập, mã hóa và lưu trữ an toàn đối với nội dung bài kiểm tra, cũng như các biện pháp kiểm soát để ngăn chặn việc phân phối hoặc phổ biến trái phép nội dung bài kiểm tra.
16.6. An ninh giao bài thi
Chúng tôi đảm bảo tính bảo mật của việc cung cấp bài kiểm tra bằng cách thực hiện các biện pháp thích hợp để ngăn chặn truy cập trái phép hoặc thao túng môi trường kiểm tra. Điều này bao gồm các biện pháp như giám sát, kiểm tra và kiểm soát môi trường thi và các phương pháp thi cụ thể, để ngăn chặn gian lận hoặc các vi phạm an ninh khác.
16.7. Bảo mật kết quả thi
Chúng tôi đảm bảo tính bảo mật của kết quả kiểm tra bằng cách thực hiện các biện pháp thích hợp để bảo vệ chống truy cập trái phép, thay đổi hoặc tiết lộ kết quả. Điều này bao gồm việc sử dụng các biện pháp kiểm soát truy cập, mã hóa và lưu trữ an toàn đối với kết quả kiểm tra, cũng như các biện pháp kiểm soát để ngăn chặn phân phối hoặc phổ biến trái phép kết quả kiểm tra.
16.8. Bảo mật cấp chứng chỉ
Chúng tôi đảm bảo tính bảo mật của việc cấp chứng chỉ bằng cách thực hiện các biện pháp thích hợp để ngăn chặn gian lận và cấp chứng chỉ trái phép. Điều này bao gồm các biện pháp kiểm soát để xác minh danh tính của các cá nhân nhận chứng chỉ và quy trình lưu trữ và phát hành an toàn.
16.9. Khiếu nại và Kháng cáo
Chúng tôi đã thiết lập các thủ tục để quản lý khiếu nại và kháng cáo liên quan đến quy trình chứng nhận. Các thủ tục này bao gồm các biện pháp để đảm bảo tính bảo mật và tính khách quan của quy trình cũng như tính bảo mật của thông tin liên quan đến các khiếu nại và kháng cáo.
16.10. Quy trình chứng nhận Quản lý chất lượng
Chúng tôi đã thiết lập Hệ thống quản lý chất lượng (QMS) cho các quy trình chứng nhận bao gồm các biện pháp để đảm bảo tính hiệu lực, hiệu quả và tính bảo mật của các quy trình. QMS bao gồm các cuộc kiểm toán và đánh giá thường xuyên đối với các quy trình và kiểm soát an ninh của chúng.
16.11. Cải tiến liên tục các quy trình chứng nhận An ninh
Chúng tôi cam kết cải tiến liên tục các quy trình chứng nhận và kiểm soát bảo mật của chúng. Điều này bao gồm đánh giá thường xuyên và cập nhật các chính sách và thủ tục liên quan đến chứng nhận, bảo mật dựa trên những thay đổi trong môi trường kinh doanh, yêu cầu quy định và các phương pháp hay nhất trong quản lý bảo mật thông tin, tuân thủ tiêu chuẩn ISO 27001 về quản lý bảo mật thông tin, cũng như ISO 17024 cơ quan chứng nhận tiêu chuẩn hoạt động.
Phần 17. Điều khoản kết thúc
17.1. Đánh giá và cập nhật chính sách
Chính sách bảo mật thông tin này là một tài liệu sống trải qua quá trình xem xét và cập nhật liên tục dựa trên những thay đổi trong yêu cầu hoạt động, yêu cầu quy định hoặc các phương pháp hay nhất trong quản lý bảo mật thông tin của chúng tôi.
17.2. Giám sát tuân thủ
Chúng tôi đã thiết lập các quy trình để giám sát việc tuân thủ Chính sách bảo mật thông tin này và các biện pháp kiểm soát bảo mật liên quan. Giám sát tuân thủ bao gồm kiểm tra, đánh giá và xem xét thường xuyên các biện pháp kiểm soát an ninh và hiệu quả của chúng trong việc đạt được các mục tiêu của chính sách này.
17.3. Báo cáo sự cố bảo mật
Chúng tôi đã thiết lập các quy trình báo cáo sự cố bảo mật liên quan đến hệ thống thông tin của chúng tôi, bao gồm cả những sự cố liên quan đến dữ liệu cá nhân của các cá nhân. Nhân viên, nhà thầu và các bên liên quan khác được khuyến khích báo cáo mọi sự cố bảo mật hoặc sự cố đáng ngờ cho nhóm bảo mật được chỉ định càng sớm càng tốt.
17.4. Đào tạo và Nhận thức
Chúng tôi cung cấp các chương trình đào tạo và nâng cao nhận thức thường xuyên cho nhân viên, nhà thầu và các bên liên quan khác để đảm bảo rằng họ nhận thức được trách nhiệm và nghĩa vụ của mình liên quan đến bảo mật thông tin. Điều này bao gồm đào tạo về các chính sách và quy trình bảo mật cũng như các biện pháp bảo vệ dữ liệu cá nhân của các cá nhân.
17.5. Trách nhiệm và Giải trình
Chúng tôi yêu cầu tất cả nhân viên, nhà thầu và các bên liên quan khác chịu trách nhiệm và chịu trách nhiệm về việc tuân thủ Chính sách bảo mật thông tin này và các biện pháp kiểm soát bảo mật liên quan. Chúng tôi cũng yêu cầu ban quản lý chịu trách nhiệm đảm bảo rằng các nguồn lực phù hợp được phân bổ để triển khai và duy trì các biện pháp kiểm soát bảo mật thông tin hiệu quả.
Chính sách bảo mật thông tin này là một thành phần quan trọng trong khuôn khổ quản lý bảo mật thông tin của Viện chứng nhận CNTT châu Âu và thể hiện cam kết của chúng tôi trong việc bảo vệ tài sản thông tin và dữ liệu đã xử lý, đảm bảo tính bảo mật, quyền riêng tư, tính toàn vẹn và tính sẵn có của thông tin cũng như tuân thủ các yêu cầu theo quy định và hợp đồng.