Política de seguretat de la informació
Política de seguretat de la informació de l'EITCA Academy
Aquest document especifica la Política de Seguretat de la Informació (ISP) de l'Institut Europeu de Certificació de TI, que es revisa i s'actualitza periòdicament per garantir la seva eficàcia i rellevància. La darrera actualització de la Política de seguretat de la informació de l'EITCI es va fer el 7 de gener de 2023.
Part 1. Introducció i Declaració de Política de Seguretat de la Informació
1.1. Introducció
L'Institut Europeu de Certificació de TI reconeix la importància de la seguretat de la informació per mantenir la confidencialitat, la integritat i la disponibilitat de la informació i la confiança dels nostres grups d'interès. Ens comprometem a protegir la informació sensible, incloses les dades personals, de l'accés, la divulgació, l'alteració i la destrucció no autoritzats. Mantenim una política de seguretat de la informació eficaç per donar suport a la nostra missió de proporcionar serveis de certificació fiables i imparcials als nostres clients. La Política de seguretat de la informació descriu el nostre compromís de protegir els actius d'informació i complir amb les nostres obligacions legals, reglamentàries i contractuals. La nostra política es basa en els principis ISO 27001 i ISO 17024, els estàndards internacionals líders per a la gestió de la seguretat de la informació i els estàndards operatius dels organismes de certificació.
1.2. Declaració de política
L'Institut Europeu de Certificació de TI es compromet a:
- Protegir la confidencialitat, integritat i disponibilitat dels actius d'informació,
- Complir amb les obligacions legals, reglamentàries i contractuals relacionades amb la seguretat de la informació i el tractament de les dades implementant els seus processos i operacions de certificació,
- Millorar contínuament la seva política de seguretat de la informació i el seu sistema de gestió relacionat,
- Proporcionar formació i conscienciació adequada als empleats, contractistes i participants,
- Implicar tots els empleats i contractistes en la implementació i manteniment de la política de seguretat de la informació i del sistema de gestió de seguretat de la informació relacionat.
1.3. Abast
Aquesta política s'aplica a tots els actius d'informació propietat, controlats o processats per l'Institut Europeu de Certificació de TI. Això inclou tots els actius d'informació física i digital, com ara sistemes, xarxes, programari, dades i documentació. Aquesta política també s'aplica a tots els empleats, contractistes i proveïdors de serveis de tercers que accedeixen als nostres actius d'informació.
1.4 Compliment
L'Institut Europeu de Certificació de TI es compromet a complir els estàndards de seguretat de la informació rellevants, incloses les normes ISO 27001 i ISO 17024. Revisem i actualitzem regularment aquesta política per garantir la seva rellevància i el compliment d'aquests estàndards.
Part 2. Seguretat organitzativa
2.1. Objectius de seguretat de l'organització
Mitjançant la implementació de mesures de seguretat organitzatives, pretenem garantir que els nostres actius d'informació i pràctiques i procediments de processament de dades es portin a terme amb el més alt nivell de seguretat i integritat, i que complim amb les normatives i estàndards legals pertinents.
2.2. Funcions i responsabilitats de seguretat de la informació
L'Institut Europeu de Certificació de TI defineix i comunica els rols i les responsabilitats per a la seguretat de la informació a tota l'organització. Això inclou assignar una propietat clara dels actius d'informació en contacte amb la seguretat de la informació, establir una estructura de govern i definir responsabilitats específiques per a diferents rols i departaments de l'organització.
2.3. Gestió de riscos
Realitzem avaluacions de riscos periòdiques per identificar i prioritzar els riscos de seguretat de la informació per a l'organització, inclosos els riscos relacionats amb el processament de dades personals. Establim controls adequats per mitigar aquests riscos i revisem i actualitzem periòdicament el nostre enfocament de gestió de riscos basat en els canvis en l'entorn empresarial i en el panorama de les amenaces.
2.4. Polítiques i procediments de seguretat de la informació
Establim i mantenim un conjunt de polítiques i procediments de seguretat de la informació que es basen en les millors pràctiques de la indústria i compleixen les normatives i estàndards pertinents. Aquestes polítiques i procediments cobreixen tots els aspectes de la seguretat de la informació, inclòs el tractament de dades personals, i es revisen i s'actualitzen periòdicament per garantir la seva eficàcia.
2.5. Conscienciació i formació en seguretat
Oferim programes periòdics de conscienciació sobre seguretat i formació a tots els empleats, contractistes i socis de tercers que tinguin accés a dades personals o altra informació sensible. Aquesta formació tracta temes com ara la pesca, l'enginyeria social, la higiene de contrasenyes i altres pràctiques recomanades de seguretat de la informació.
2.6. Seguretat Física i Ambiental
Implementem controls de seguretat físics i ambientals adequats per protegir contra l'accés no autoritzat, danys o interferències a les nostres instal·lacions i sistemes d'informació. Això inclou mesures com ara controls d'accés, vigilància, monitorització i sistemes d'alimentació i refrigeració de seguretat.
2.7. Gestió d'incidències de seguretat de la informació
Hem establert un procés de gestió d'incidències que ens permet respondre de manera ràpida i eficaç davant qualsevol incidència de seguretat de la informació que es pugui produir. Això inclou procediments per informar, escalar, investigar i resoldre incidents, així com mesures per prevenir la repetició i millorar les nostres capacitats de resposta a incidents.
2.8. Continuïtat operativa i recuperació de desastres
Hem establert i provat plans de continuïtat operacional i recuperació de desastres que ens permeten mantenir les nostres funcions i serveis d'operacions crítics en cas d'interrupció o desastre. Aquests plans inclouen procediments de còpia de seguretat i recuperació de dades i sistemes, i mesures per garantir la disponibilitat i integritat de les dades personals.
2.9. Gestió de tercers
Establim i mantenim controls adequats per gestionar els riscos associats amb socis de tercers que tenen accés a dades personals o altra informació sensible. Això inclou mesures com ara la diligència deguda, les obligacions contractuals, el seguiment i les auditories, així com mesures per rescindir les associacions quan sigui necessari.
Part 3. Seguretat dels Recursos Humans
3.1. Screening d'ocupació
L'Institut Europeu de Certificació de TI ha establert un procés de selecció d'ocupació per garantir que les persones amb accés a informació sensible siguin fiables i tinguin les habilitats i qualificacions necessàries.
3.2. Control d'accés
Hem establert polítiques i procediments de control d'accés per garantir que els empleats només tinguin accés a la informació necessària per a les seves responsabilitats laborals. Els drets d'accés es revisen i s'actualitzen periòdicament per garantir que els empleats tinguin accés només a la informació que necessiten.
3.3. Sensibilització i formació en seguretat de la informació
Oferim formació periòdica sobre la seguretat de la informació a tots els empleats. Aquesta formació tracta temes com la seguretat de contrasenyes, atacs de pesca, enginyeria social i altres aspectes de la ciberseguretat.
3.4. Ús acceptable
Hem establert una política d'ús acceptable que descriu l'ús acceptable dels sistemes i recursos d'informació, inclosos els dispositius personals utilitzats amb finalitats laborals.
3.5. Seguretat de dispositius mòbils
Hem establert polítiques i procediments per a l'ús segur dels dispositius mòbils, inclòs l'ús de contrasenyes, xifratge i capacitats d'esborrat remot.
3.6. Procediments d'extinció
L'Institut Europeu de Certificació de TI ha establert procediments per a l'extinció de la feina o del contracte per garantir que l'accés a la informació sensible es revoca de manera ràpida i segura.
3.7. Personal de tercers
Tenim establerts procediments per a la gestió del personal aliè que té accés a informació sensible. Aquestes polítiques impliquen detecció, control d'accés i formació en conscienciació sobre la seguretat de la informació.
3.8. Comunicació d'incidències
Hem establert polítiques i procediments per notificar incidents o inquietuds de seguretat de la informació al personal o autoritats corresponents.
3.9. Acords de confidencialitat
L'Institut Europeu de Certificació de TI exigeix que els empleats i els contractistes signin acords de confidencialitat per protegir la informació sensible de la divulgació no autoritzada.
3.10. Accions disciplinàries
L'Institut Europeu de Certificació de TI ha establert polítiques i procediments per a accions disciplinàries en cas d'incompliment de la política de seguretat de la informació per part dels empleats o contractistes.
Part 4. Avaluació i gestió de riscos
4.1. Avaluació de riscos
Realitzem avaluacions de risc periòdiques per identificar amenaces i vulnerabilitats potencials als nostres actius d'informació. Utilitzem un enfocament estructurat per identificar, analitzar, avaluar i prioritzar els riscos en funció de la seva probabilitat i impacte potencial. Avaluem els riscos associats als nostres actius d'informació, inclosos sistemes, xarxes, programari, dades i documentació.
4.2. Tractament del risc
Utilitzem un procés de tractament de riscos per mitigar o reduir els riscos a un nivell acceptable. El procés de tractament del risc inclou la selecció dels controls adequats, la implementació de controls i el seguiment de l'eficàcia dels controls. Prioritzem la implementació de controls en funció del nivell de risc, els recursos disponibles i les prioritats empresarials.
4.3. Seguiment i revisió de riscos
Supervisem i revisem periòdicament l'eficàcia del nostre procés de gestió de riscos per garantir que segueixi sent rellevant i eficaç. Utilitzem mètriques i indicadors per mesurar el rendiment del nostre procés de gestió de riscos i identificar oportunitats de millora. També revisem el nostre procés de gestió de riscos com a part de les nostres revisions periòdiques de gestió per garantir la seva idoneïtat, adequació i eficàcia contínua.
4.4. Planificació de la resposta al risc
Tenim un pla de resposta al risc per garantir que podem respondre eficaçment a qualsevol risc identificat. Aquest pla inclou procediments per identificar i notificar riscos, així com processos per avaluar l'impacte potencial de cada risc i determinar les accions de resposta adequades. També disposem de plans de contingència per garantir la continuïtat del negoci en cas d'esdeveniment de risc significatiu.
4.5. Anàlisi d'impacte operacional
Realitzem anàlisis periòdiques d'impacte empresarial per identificar l'impacte potencial de les interrupcions a les nostres operacions comercials. Aquesta anàlisi inclou una avaluació de la criticitat de les nostres funcions, sistemes i dades empresarials, així com una avaluació de l'impacte potencial de les interrupcions en els nostres clients, empleats i altres grups d'interès.
4.6. Gestió de riscos de tercers
Tenim un programa de gestió de riscos de tercers per garantir que els nostres proveïdors i altres proveïdors de serveis de tercers també gestionen els riscos de manera adequada. Aquest programa inclou comprovacions de diligència deguda abans de relacionar-se amb tercers, un seguiment continu de les activitats de tercers i avaluacions periòdiques de les pràctiques de gestió de riscos de tercers.
4.7. Gestió i resposta a incidents
Tenim un pla de gestió i resposta a incidents per garantir que podem respondre eficaçment a qualsevol incident de seguretat. Aquest pla inclou procediments per identificar i notificar les incidències, així com processos per avaluar l'impacte de cada incident i determinar les accions de resposta adequades. També disposem d'un pla de continuïtat del negoci per garantir que les funcions crítiques del negoci puguin continuar en cas d'incident important.
Part 5. Seguretat Física i Ambiental
5.1. Perímetre de Seguretat Física
Hem establert mesures de seguretat física per protegir les instal·lacions físiques i la informació sensible de l'accés no autoritzat.
5.2. Control d'accés
Hem establert polítiques i procediments de control d'accés a les instal·lacions físiques per garantir que només el personal autoritzat tingui accés a informació sensible.
5.3. Seguretat dels equips
Ens assegurem que tots els equips que continguin informació sensible estiguin físicament protegits i l'accés a aquest equip només estigui restringit al personal autoritzat.
5.4. Eliminació segura
Hem establert procediments per a l'eliminació segura d'informació sensible, inclosos documents en paper, mitjans electrònics i maquinari.
5.5. Medi físic
Ens assegurem que l'entorn físic del local, inclosa la temperatura, la humitat i la il·luminació, sigui adequat per a la protecció de la informació sensible.
5.6. Alimentació
Ens assegurem que el subministrament elèctric de les instal·lacions sigui fiable i protegit contra talls o sobretensions.
5.7. Protecció contra incendis
Hem establert polítiques i procediments de protecció contra incendis, inclosa la instal·lació i el manteniment de sistemes de detecció i extinció d'incendis.
5.8. Protecció de danys d'aigua
Hem establert polítiques i procediments per protegir la informació sensible dels danys causats per l'aigua, inclosa la instal·lació i el manteniment de sistemes de detecció i prevenció d'inundacions.
5.9. Manteniment d'equips
Hem establert procediments per al manteniment dels equips, inclosa la inspecció dels equips per detectar signes de manipulació o accés no autoritzat.
5.10. Ús acceptable
Hem establert una política d'ús acceptable que descriu l'ús acceptable dels recursos físics i les instal·lacions.
5.11. Accés remot
Hem establert polítiques i procediments per a l'accés remot a informació sensible, inclòs l'ús de connexions segures i xifratge.
5.12. Seguiment i vigilància
Tenim establertes polítiques i procediments de seguiment i vigilància de les instal·lacions i equipaments físics per detectar i prevenir l'accés no autoritzat o la manipulació.
Part. 6. Seguretat de comunicacions i operacions
6.1. Gestió de la seguretat de la xarxa
Hem establert polítiques i procediments per a la gestió de la seguretat de la xarxa, inclòs l'ús de tallafocs, sistemes de detecció i prevenció d'intrusions i auditories de seguretat periòdiques.
6.2. Transferència d'informació
Hem establert polítiques i procediments per a la transferència segura d'informació sensible, inclòs l'ús d'encriptació i protocols segurs de transferència de fitxers.
6.3. Comunicacions de tercers
Hem establert polítiques i procediments per a l'intercanvi segur d'informació sensible amb organitzacions de tercers, inclòs l'ús de connexions segures i el xifratge.
6.4. Tractament de mitjans
Hem establert procediments per al maneig d'informació sensible en diferents tipus de suports, com ara documents en paper, mitjans electrònics i dispositius d'emmagatzematge portàtils.
6.5. Desenvolupament i Manteniment de Sistemes d'Informació
Hem establert polítiques i procediments per al desenvolupament i manteniment de sistemes d'informació, inclòs l'ús de pràctiques de codificació segura, actualitzacions periòdiques de programari i gestió de pedaços.
6.6. Protecció contra programari maliciós i virus
Hem establert polítiques i procediments per protegir els sistemes d'informació contra programari maliciós i virus, inclòs l'ús de programari antivirus i actualitzacions de seguretat periòdiques.
6.7. Còpia de seguretat i restauració
Hem establert polítiques i procediments per a la còpia de seguretat i restauració d'informació sensible per evitar la pèrdua o la corrupció de dades.
6.8. Gestió d'esdeveniments
Hem establert polítiques i procediments per a la identificació, investigació i resolució d'incidents i esdeveniments de seguretat.
6.9. Gestió de vulnerabilitats
Hem establert polítiques i procediments per a la gestió de les vulnerabilitats dels sistemes d'informació, inclòs l'ús d'avaluacions periòdiques de vulnerabilitats i la gestió de pedaços.
6.10. Control d'accés
Hem establert polítiques i procediments per a la gestió de l'accés dels usuaris als sistemes d'informació, inclòs l'ús de controls d'accés, autenticació d'usuaris i revisions periòdiques d'accés.
6.11. Seguiment i registre
Hem establert polítiques i procediments per al seguiment i registre de les activitats del sistema d'informació, inclòs l'ús de pistes d'auditoria i registre d'incidents de seguretat.
Part 7. Adquisició, desenvolupament i manteniment de sistemes d'informació
7.1. Requisits
Hem establert polítiques i procediments per a la identificació dels requisits del sistema d'informació, inclosos els requisits empresarials, els requisits legals i reglamentaris i els requisits de seguretat.
7.2. Relacions amb proveïdors
Tenim establertes polítiques i procediments per a la gestió de les relacions amb tercers proveïdors de sistemes i serveis d'informació, inclosa l'avaluació de les pràctiques de seguretat dels proveïdors.
7.3. Desenvolupament del sistema
Hem establert polítiques i procediments per al desenvolupament segur de sistemes d'informació, inclòs l'ús de pràctiques de codificació segura, proves periòdiques i garantia de qualitat.
7.4. Prova del sistema
Hem establert polítiques i procediments per a la prova de sistemes d'informació, incloses proves de funcionalitat, proves de rendiment i proves de seguretat.
7.5. Acceptació del sistema
Hem establert polítiques i procediments per a l'acceptació de sistemes d'informació, inclosa l'aprovació dels resultats de les proves, les avaluacions de seguretat i les proves d'acceptació dels usuaris.
7.6. Manteniment del sistema
Hem establert polítiques i procediments per al manteniment dels sistemes d'informació, incloses actualitzacions periòdiques, pedaços de seguretat i còpies de seguretat del sistema.
7.7. Sistema de jubilació
Hem establert polítiques i procediments per a la retirada dels sistemes d'informació, inclosa l'eliminació segura de maquinari i dades.
7.8. Retenció de dades
Hem establert polítiques i procediments per a la retenció de dades d'acord amb els requisits legals i reglamentaris, inclòs l'emmagatzematge segur i l'eliminació de dades sensibles.
7.9. Requisits de seguretat dels sistemes d'informació
Hem establert polítiques i procediments per a la identificació i implementació dels requisits de seguretat dels sistemes d'informació, inclosos els controls d'accés, el xifratge i la protecció de dades.
7.10. Entorns de desenvolupament segurs
Hem establert polítiques i procediments per als entorns de desenvolupament segurs per a sistemes d'informació, inclòs l'ús de pràctiques de desenvolupament segur, controls d'accés i configuracions de xarxa segures.
7.11. Protecció dels entorns d'assaig
Hem establert polítiques i procediments per a la protecció dels entorns de prova dels sistemes d'informació, inclòs l'ús de configuracions segures, controls d'accés i proves de seguretat periòdiques.
7.12. Principis d'enginyeria de sistemes segurs
Hem establert polítiques i procediments per a la implementació de principis d'enginyeria de sistemes segurs per a sistemes d'informació, inclòs l'ús d'arquitectures de seguretat, modelització d'amenaces i pràctiques de codificació segura.
7.13. Directrius de codificació segura
Hem establert polítiques i procediments per a la implementació de directrius de codificació segura per als sistemes d'informació, inclòs l'ús d'estàndards de codificació, revisions de codi i proves automatitzades.
Part 8. Adquisició de maquinari
8.1. Adhesió a les Normes
Ens adherim a l'estàndard ISO 27001 per al sistema de gestió de la seguretat de la informació (ISMS) per garantir que els actius de maquinari s'adquireixen d'acord amb els nostres requisits de seguretat.
8.2. Avaluació de riscos
Realitzem una avaluació de riscos abans d'adquirir actius de maquinari per identificar possibles riscos de seguretat i assegurar-nos que el maquinari seleccionat compleix els requisits de seguretat.
8.3. Selecció de venedors
Procurem actius de maquinari només de proveïdors de confiança que tinguin un historial provat de lliurament de productes segurs. Revisem les polítiques i pràctiques de seguretat dels proveïdors i els exigim que garanteixin que els seus productes compleixen els nostres requisits de seguretat.
8.4. Transport segur
Ens assegurem que els actius de maquinari es transportin de manera segura a les nostres instal·lacions per evitar manipulacions, danys o robatoris durant el trànsit.
8.5. Verificació d'autenticitat
Verifiquem l'autenticitat dels actius de maquinari en el moment del lliurament per assegurar-nos que no siguin falsificats o manipulats.
8.6. Controls físics i ambientals
Implementem controls físics i ambientals adequats per protegir els actius de maquinari d'accés no autoritzat, robatori o dany.
8.7. Instal·lació de maquinari
Ens assegurem que tots els actius de maquinari estiguin configurats i instal·lats d'acord amb els estàndards i directrius de seguretat establerts.
8.8. Revisions de maquinari
Realitzem revisions periòdiques dels actius de maquinari per assegurar-nos que continuen complint els nostres requisits de seguretat i que estiguin al dia amb els darrers pedaços i actualitzacions de seguretat.
8.9. Eliminació de maquinari
Disposem dels actius de maquinari de manera segura per evitar l'accés no autoritzat a informació sensible.
Part 9. Protecció contra programari maliciós i virus
9.1. Política d'actualització de programari
Mantenim programari de protecció antivirus i programari maliciós actualitzat en tots els sistemes d'informació utilitzats per l'Institut Europeu de Certificació de TI, inclosos servidors, estacions de treball, ordinadors portàtils i dispositius mòbils. Ens assegurem que el programari de protecció antivirus i programari maliciós estigui configurat per actualitzar automàticament els fitxers de definició de virus i les versions de programari de manera regular, i que aquest procés es prova regularment.
9.2. Anàlisi antivirus i programari maliciós
Realitzem exploracions periòdiques de tots els sistemes d'informació, inclosos servidors, estacions de treball, ordinadors portàtils i dispositius mòbils, per detectar i eliminar qualsevol virus o programari maliciós.
9.3. Política de no desactivació i de no alteració
Apliquem polítiques que prohibeixen als usuaris desactivar o alterar el programari de protecció antivirus i programari maliciós en qualsevol sistema d'informació.
9.4. Seguiment
Supervisem les alertes i registres del nostre programari de protecció antivirus i programari maliciós per identificar qualsevol incident d'infecció de virus o programari maliciós, i respondre a aquests incidents de manera oportuna.
9.5. Manteniment de registres
Mantenim registres de configuració, actualitzacions i exploracions de programari de protecció antivirus i programari maliciós, així com qualsevol incident d'infecció de virus o programari maliciós, amb finalitats d'auditoria.
9.6. Revisions de programari
Realitzem revisions periòdiques del nostre programari de protecció antivirus i programari maliciós per assegurar-nos que compleix els estàndards actuals de la indústria i és adequat per a les nostres necessitats.
9.7. Formació i Sensibilització
Oferim programes de formació i conscienciació per educar tots els empleats sobre la importància de la protecció contra virus i programari maliciós, i com reconèixer i informar qualsevol activitat o incident sospitós.
Part 10. Gestió d'actius d'informació
10.1. Inventari d'actius d'informació
L'Institut Europeu de Certificació de TI manté un inventari d'actius d'informació que inclou tots els actius d'informació física i digital, com ara sistemes, xarxes, programari, dades i documentació. Classifiquem els actius d'informació en funció de la seva criticitat i sensibilitat per garantir que s'implementen les mesures de protecció adequades.
10.2. Gestió d'actius d'informació
Implementem mesures adequades per protegir els actius d'informació en funció de la seva classificació, incloses la confidencialitat, la integritat i la disponibilitat. Ens assegurem que tots els actius d'informació es gestionen d'acord amb les lleis, els reglaments i els requisits contractuals aplicables. També ens assegurem que tots els actius d'informació s'emmagatzemen, protegeixen i s'eliminen correctament quan ja no siguin necessaris.
10.3. Propietat d'actius d'informació
Assignem la propietat dels actius d'informació a persones o departaments responsables de gestionar i protegir els actius d'informació. També ens assegurem que els propietaris d'actius d'informació entenguin les seves responsabilitats i responsabilitats per protegir els actius d'informació.
10.4. Protecció d'actius d'informació
Utilitzem una varietat de mesures de protecció per salvaguardar els actius d'informació, com ara controls físics, controls d'accés, xifratge i processos de còpia de seguretat i recuperació. També ens assegurem que tots els actius d'informació estiguin protegits contra l'accés, la modificació o la destrucció no autoritzats.
Part 11. Control d'accés
11.1. Política de control d'accés
L'Institut Europeu de Certificació de TI té una política de control d'accés que descriu els requisits per concedir, modificar i revocar l'accés als actius d'informació. El control d'accés és un component crític del nostre sistema de gestió de la seguretat de la informació i l'implementem per garantir que només les persones autoritzades tinguin accés als nostres actius d'informació.
11.2. Implementació de control d'accés
Implementem mesures de control d'accés basades en el principi de privilegis mínims, és a dir, que les persones només tenen accés als actius d'informació necessaris per desenvolupar les seves funcions laborals. Utilitzem diverses mesures de control d'accés, com ara l'autenticació, l'autorització i la comptabilitat (AAA). També fem servir llistes de control d'accés (ACL) i permisos per controlar l'accés als actius d'informació.
11.3. Política de contrasenyes
L'Institut Europeu de Certificació de TI té una política de contrasenyes que descriu els requisits per crear i gestionar contrasenyes. Necessitem contrasenyes segures que tinguin almenys 8 caràcters, amb una combinació de lletres majúscules i minúscules, números i caràcters especials. També exigim canvis periòdics de contrasenya i prohibim la reutilització de contrasenyes anteriors.
11.4. Gestió d'usuaris
Tenim un procés de gestió d'usuaris que inclou la creació, la modificació i la supressió de comptes d'usuari. Els comptes d'usuari es creen basant-se en el principi de privilegis mínims i només es concedeix l'accés als actius d'informació necessaris per dur a terme les funcions laborals de l'individu. També revisem regularment els comptes d'usuari i eliminem els comptes que ja no són necessaris.
Part 12. Gestió d'incidències de seguretat de la informació
12.1. Política de gestió d'incidències
L'Institut Europeu de Certificació de TI té una política de gestió d'incidències que descriu els requisits per detectar, informar, avaluar i respondre als incidents de seguretat. Definim incidents de seguretat com qualsevol esdeveniment que compromet la confidencialitat, integritat o disponibilitat dels actius o sistemes d'informació.
12.2. Detecció i notificació d'incidències
Implementem mesures per detectar i informar puntualment les incidències de seguretat. Utilitzem diversos mètodes per detectar incidents de seguretat, com ara sistemes de detecció d'intrusions (IDS), programari antivirus i informes d'usuaris. També ens assegurem que tots els empleats coneguin els procediments per notificar incidents de seguretat i fomentem la notificació de tots els incidents sospitosos.
12.3. Avaluació i resposta d'incidències
Tenim un procés per avaluar i donar resposta als incidents de seguretat en funció de la seva gravetat i impacte. Prioritzem les incidències en funció del seu impacte potencial en els actius o sistemes d'informació i assignem els recursos adequats per respondre-hi. També tenim un pla de resposta que inclou procediments per identificar, contenir, analitzar, eradicar i recuperar-se dels incidents de seguretat, així com notificar a les parts rellevants i realitzar revisions posteriors a l'incident. Els nostres procediments de resposta a incidents estan dissenyats per garantir una resposta ràpida i eficaç. a incidents de seguretat. Els procediments es revisen i s'actualitzen periòdicament per garantir la seva eficàcia i rellevància.
12.4. Equip de resposta a incidents
Tenim un equip de resposta a incidents (IRT) que s'encarrega de respondre als incidents de seguretat. L'IRT està format per representants de diverses unitats i està dirigit pel responsable de seguretat de la informació (ISO). L'IRT s'encarrega d'avaluar la gravetat de les incidències, contenir-les i iniciar els procediments de resposta adequats.
12.5. Informe i revisió d'incidències
Hem establert procediments per notificar incidents de seguretat a les parts rellevants, inclosos els clients, les autoritats reguladores i les agències d'aplicació de la llei, tal com exigeixen les lleis i regulacions aplicables. També mantenim la comunicació amb les parts afectades durant tot el procés de resposta a l'incident, proporcionant actualitzacions oportunes sobre l'estat de l'incident i qualsevol acció que s'està duent a terme per mitigar-ne l'impacte. També realitzem una revisió de tots els incidents de seguretat per identificar-ne la causa i evitar que es produeixin incidents similars en el futur.
Part 13. Gestió de la continuïtat del negoci i recuperació en cas de desastre
13.1. Planificació de la continuïtat del negoci
Tot i que l'Institut Europeu de Certificació de TI és una organització sense ànim de lucre, disposa d'un Pla de Continuïtat del Negoci (BCP) que descriu els procediments per garantir la continuïtat de les seves operacions en cas d'incidència pertorbadora. El BCP cobreix tots els processos operatius crítics i identifica els recursos necessaris per mantenir les operacions durant i després d'un incident disruptiu. També descriu els procediments per mantenir les operacions comercials durant una interrupció o un desastre, avaluant l'impacte de les interrupcions, identificant els processos operatius més crítics en el context d'un incident disruptiu particular i desenvolupant procediments de resposta i recuperació.
13.2. Planificació de la recuperació en cas de desastre
L'Institut Europeu de Certificació de TI disposa d'un Pla de Recuperació de Desastres (DRP) que descriu els procediments per recuperar els nostres sistemes d'informació en cas d'interrupció o desastre. El DRP inclou procediments per a la còpia de seguretat de dades, la restauració de dades i la recuperació del sistema. El DRP es prova i s'actualitza regularment per garantir la seva eficàcia.
13.3. Anàlisi d'impacte empresarial
Realitzem una anàlisi d'impacte empresarial (BIA) per identificar els processos operatius crítics i els recursos necessaris per mantenir-los. El BIA ens ajuda a prioritzar els nostres esforços de recuperació i a assignar els recursos en conseqüència.
13.4. Estratègia de continuïtat del negoci
A partir dels resultats de la BIA, desenvolupem una estratègia de continuïtat del negoci que descriu els procediments per respondre a un incident pertorbador. L'estratègia inclou procediments per activar el BCP, restaurar els processos operatius crítics i comunicar-se amb les parts interessades rellevants.
13.5. Proves i Manteniment
Provem i mantenim regularment el nostre BCP i DRP per garantir la seva eficàcia i rellevància. Realitzem proves periòdiques per validar el BCP/DRP i identificar àrees de millora. També actualitzem el BCP i el DRP segons sigui necessari per reflectir els canvis en les nostres operacions o el panorama d'amenaces. Les proves inclouen exercicis de taula, simulacions i proves en directe de procediments. També revisem i actualitzem els nostres plans en funció dels resultats de les proves i de les lliçons apreses.
13.6. Llocs de processament alternatius
Mantenim llocs de processament en línia alternatius que es poden utilitzar per continuar les operacions comercials en cas d'interrupció o desastre. Els llocs de processament alternatius estan equipats amb les infraestructures i sistemes necessaris i es poden utilitzar per donar suport a processos de negoci crítics.
Part 14. Compliment i Auditoria
14.1. Compliment de lleis i reglaments
L'Institut Europeu de Certificació de TI es compromet a complir totes les lleis i regulacions aplicables relacionades amb la seguretat i la privadesa de la informació, incloses les lleis de protecció de dades, els estàndards del sector i les obligacions contractuals. Revisem i actualitzem regularment les nostres polítiques, procediments i controls per garantir el compliment de tots els requisits i normes rellevants. Els principals estàndards i marcs que seguim en el context de la seguretat de la informació inclouen:
- L'estàndard ISO/IEC 27001 que proporciona directrius per a la implementació i gestió d'un sistema de gestió de la seguretat de la informació (SGSI) que inclou la gestió de vulnerabilitats com a component clau. Proporciona un marc de referència per implementar i mantenir el nostre sistema de gestió de seguretat de la informació (SGSI), inclosa la gestió de vulnerabilitats. D'acord amb les disposicions d'aquesta norma, identifiquem, avaluem i gestionem els riscos de seguretat de la informació, incloses les vulnerabilitats.
- El marc de ciberseguretat del National Institute of Standards and Technology (NIST) dels EUA proporciona directrius per identificar, avaluar i gestionar els riscos de ciberseguretat, inclosa la gestió de vulnerabilitats.
- Marc de ciberseguretat de l'Institut Nacional d'Estàndards i Tecnologia (NIST) per millorar la gestió del risc de ciberseguretat, amb un conjunt bàsic de funcions que inclou la gestió de vulnerabilitats a les quals ens adherim per gestionar els nostres riscos de ciberseguretat.
- Els controls de seguretat crítics de SANS que contenen un conjunt de 20 controls de seguretat per millorar la ciberseguretat, que cobreixen una sèrie d'àrees, inclosa la gestió de vulnerabilitats, que ofereixen orientació específica sobre l'exploració de vulnerabilitats, la gestió de pedaços i altres aspectes de la gestió de vulnerabilitats.
- L'estàndard de seguretat de dades de la indústria de targetes de pagament (PCI DSS), que requereix el maneig de la informació de la targeta de crèdit pel que fa a la gestió de vulnerabilitats en aquest context.
- El Center for Internet Security Controls (CIS) inclou la gestió de vulnerabilitats com un dels controls clau per garantir configuracions segures dels nostres sistemes d'informació.
- L'Open Web Application Security Project (OWASP), amb la seva llista Top 10 dels riscos de seguretat d'aplicacions web més crítics, inclosa l'avaluació de vulnerabilitats com ara atacs d'injecció, autenticació trencada i gestió de sessions, cross-site scripting (XSS), etc. Utilitzem el Top 10 de l'OWASP per prioritzar els nostres esforços de gestió de vulnerabilitats i centrar-nos en els riscos més crítics pel que fa als nostres sistemes web.
14.2. Auditoria interna
Realitzem auditories internes periòdiques per avaluar l'eficàcia del nostre Sistema de Gestió de la Seguretat de la Informació (SGSI) i garantir que es segueixen les nostres polítiques, procediments i controls. El procés d'auditoria interna inclou la identificació de no conformitats, el desenvolupament d'accions correctores i el seguiment dels esforços de correcció.
14.3. Auditoria Externa
Ens col·laborem periòdicament amb auditors externs per validar el nostre compliment de les lleis, regulacions i estàndards del sector aplicables. Oferim als auditors accés a les nostres instal·lacions, sistemes i documentació segons sigui necessari per validar el nostre compliment. També treballem amb auditors externs per abordar qualsevol troballa o recomanació identificada durant el procés d'auditoria.
14.4. Seguiment del compliment
Supervisem el nostre compliment de les lleis, regulacions i estàndards del sector aplicables de manera continuada. Utilitzem diversos mètodes per controlar el compliment, incloses avaluacions periòdiques, auditories i revisions de proveïdors de tercers. També revisem i actualitzem periòdicament les nostres polítiques, procediments i controls per garantir el compliment continu de tots els requisits rellevants.
Part 15. Gestió de tercers
15.1. Política de gestió de tercers
L'Institut Europeu de Certificació de TI té una política de gestió de tercers que descriu els requisits per seleccionar, avaluar i supervisar els proveïdors de tercers que tenen accés als nostres actius o sistemes d'informació. La política s'aplica a tots els proveïdors de tercers, inclosos els proveïdors de serveis al núvol, els proveïdors i els contractistes.
15.2. Selecció i avaluació per tercers
Realitzem la diligència deguda abans de relacionar-nos amb proveïdors de tercers per assegurar-nos que tenen els controls de seguretat adequats per protegir els nostres actius o sistemes d'informació. També avaluem el compliment dels proveïdors de tercers amb les lleis i regulacions aplicables relacionades amb la seguretat i la privadesa de la informació.
15.3. Seguiment de tercers
Supervisem els proveïdors de tercers de manera continuada per assegurar-nos que continuen complint els nostres requisits de seguretat i privadesa de la informació. Utilitzem diversos mètodes per supervisar proveïdors de tercers, com ara avaluacions periòdiques, auditories i revisions dels informes d'incidents de seguretat.
15.4. Requisits contractuals
Incloem requisits contractuals relacionats amb la seguretat i la privadesa de la informació en tots els contractes amb proveïdors de tercers. Aquests requisits inclouen disposicions per a la protecció de dades, els controls de seguretat, la gestió d'incidències i la supervisió del compliment. També incloem disposicions per a l'extinció de contractes en cas d'incident o incompliment de seguretat.
Part 16. Seguretat de la informació en els processos de certificació
16.1 Seguretat dels processos de certificació
Prenem mesures adequades i sistèmiques per garantir la seguretat de tota la informació relacionada amb els nostres processos de certificació, incloses les dades personals de les persones que demanen la certificació. Això inclou controls d'accés, emmagatzematge i transmissió de tota la informació relacionada amb la certificació. Mitjançant la implementació d'aquestes mesures, pretenem garantir que els processos de certificació es portin a terme amb el màxim nivell de seguretat i integritat, i que les dades personals de les persones que demanen la certificació estiguin protegides d'acord amb la normativa i els estàndards pertinents.
16.2. Autenticació i Autorització
Utilitzem controls d'autenticació i autorització per garantir que només el personal autoritzat tingui accés a la informació de certificació. Els controls d'accés es revisen i s'actualitzen periòdicament en funció dels canvis en les funcions i responsabilitats del personal.
16.3. Protecció de dades
Protegim les dades personals durant tot el procés de certificació mitjançant la implementació de mesures tècniques i organitzatives adequades per garantir la confidencialitat, la integritat i la disponibilitat de les dades. Això inclou mesures com ara el xifratge, els controls d'accés i les còpies de seguretat periòdiques.
16.4. Seguretat dels processos d'examen
Assegurem la seguretat dels processos d'examen mitjançant la implementació de les mesures adequades per evitar trampa, supervisar i controlar l'entorn d'examen. També mantenim la integritat i la confidencialitat dels materials d'examen mitjançant procediments d'emmagatzematge segurs.
16.5. Seguretat del contingut de l'examen
Assegurem la seguretat del contingut de l'examen mitjançant la implementació de mesures adequades per protegir-se contra l'accés no autoritzat, l'alteració o la divulgació del contingut. Això inclou l'ús d'emmagatzematge segur, encriptació i controls d'accés per al contingut de l'examen, així com controls per evitar la distribució o difusió no autoritzada del contingut de l'examen.
16.6. Seguretat de lliurament de l'examen
Assegurem la seguretat del lliurament de l'examen mitjançant la implementació de mesures adequades per evitar l'accés no autoritzat o la manipulació de l'entorn d'examen. Això inclou mesures com la supervisió, l'auditoria i el control de l'entorn d'examen i enfocaments d'examen particulars, per evitar enganys o altres bretxes de seguretat.
16.7. Seguretat dels resultats dels exàmens
Assegurem la seguretat dels resultats de l'examen mitjançant la implementació de les mesures adequades per protegir-los contra l'accés no autoritzat, l'alteració o la divulgació dels resultats. Això inclou l'ús d'emmagatzematge segur, encriptació i controls d'accés per als resultats d'exàmens, així com controls per evitar la distribució o difusió no autoritzada dels resultats de l'examen.
16.8. Seguretat de l'emissió de certificats
Assegurem la seguretat de l'emissió de certificats mitjançant la implementació de les mesures adequades per evitar el frau i l'emissió no autoritzada de certificats. Això inclou controls per verificar la identitat de les persones que reben certificats i procediments d'emmagatzematge i emissió segurs.
16.9. Queixes i recursos
Tenim establerts procediments per gestionar les queixes i recursos relacionats amb el procés de certificació. Aquests procediments inclouen mesures per garantir la confidencialitat i la imparcialitat del procés, i la seguretat de la informació relacionada amb les queixes i recursos.
16.10. Gestió de la qualitat dels processos de certificació
Hem establert un Sistema de Gestió de la Qualitat (SGQ) per als processos de certificació que inclou mesures per garantir l'eficàcia, l'eficiència i la seguretat dels processos. El SGC inclou auditories i revisions periòdiques dels processos i dels seus controls de seguretat.
16.11. Millora contínua de la seguretat dels processos de certificació
Estem compromesos amb la millora contínua dels nostres processos de certificació i els seus controls de seguretat. Això inclou revisions i actualitzacions periòdiques de les polítiques i els procediments de seguretat relacionats amb la certificació basats en els canvis en l'entorn empresarial, els requisits reglamentaris i les millors pràctiques en la gestió de la seguretat de la informació, d'acord amb l'estàndard ISO 27001 per a la gestió de la seguretat de la informació, així com amb l'ISO. 17024 estàndard de funcionament dels organismes de certificació.
Part 17. Disposicions de tancament
17.1. Revisió i actualització de polítiques
Aquesta Política de Seguretat de la Informació és un document viu que se sotmet a revisions i actualitzacions contínues basades en els canvis en els nostres requisits operatius, requisits normatius o bones pràctiques en la gestió de la seguretat de la informació.
17.2. Seguiment del compliment
Hem establert procediments per controlar el compliment d'aquesta Política de Seguretat de la Informació i els controls de seguretat relacionats. El seguiment del compliment inclou auditories, avaluacions i revisions periòdiques dels controls de seguretat i la seva eficàcia per assolir els objectius d'aquesta política.
17.3. Comunicació d'incidències de seguretat
Hem establert procediments per notificar incidents de seguretat relacionats amb els nostres sistemes d'informació, inclosos els relacionats amb dades personals de persones. Es recomana als empleats, contractistes i altres parts interessades que informin de qualsevol incident de seguretat o sospita a l'equip de seguretat designat tan aviat com sigui possible.
17.4. Formació i Sensibilització
Oferim programes periòdics de formació i conscienciació als empleats, contractistes i altres parts interessades per assegurar-nos que són conscients de les seves responsabilitats i obligacions relacionades amb la seguretat de la informació. Això inclou formació sobre polítiques i procediments de seguretat i mesures per protegir les dades personals de les persones.
17.5. Responsabilitat i rendició de comptes
Tenim a tots els empleats, contractistes i altres parts interessades responsables i responsables del compliment d'aquesta Política de seguretat de la informació i els controls de seguretat relacionats. També responsabilitzem la direcció de garantir que s'assignin els recursos adequats per implementar i mantenir controls de seguretat de la informació efectius.
Aquesta Política de Seguretat de la Informació és un component crític del marc de gestió de la seguretat de la informació de l'Euroepan IT Certification Institute i demostra el nostre compromís de protegir els actius d'informació i les dades processades, garantint la confidencialitat, la privadesa, la integritat i la disponibilitat de la informació i complint els requisits reglamentaris i contractuals.