信息安全政策
EITCA學院信息安全政策
本文件規定了歐洲 IT 認證協會的信息安全政策 (ISP),該政策會定期審查和更新以確保其有效性和相關性。 EITCI 信息安全政策的最後一次更新是在 7 年 2023 月 XNUMX 日。
第 1 部分簡介和信息安全政策聲明
1.1. 介紹
歐洲 IT 認證協會認識到信息安全在維護信息的機密性、完整性和可用性以及我們利益相關者的信任方面的重要性。 我們致力於保護敏感信息(包括個人數據)免遭未經授權的訪問、披露、更改和破壞。 我們維持有效的信息安全政策,以支持我們為客戶提供可靠和公正的認證服務的使命。 信息安全政策概述了我們對保護信息資產和履行我們的法律、法規和合同義務的承諾。 我們的政策基於 ISO 27001 和 ISO 17024 的原則,這是信息安全管理和認證機構運營標準的領先國際標準。
1.2. 政策聲明
歐洲 IT 認證協會致力於:
- 保護信息資產的機密性、完整性和可用性,
- 遵守與信息安全和數據處理相關的法律、法規和合同義務,實施其認證流程和操作,
- 不斷完善其信息安全政策和相關管理制度,
- 為員工、承包商和參與者提供足夠的培訓和意識,
- 讓所有員工和承包商參與信息安全政策和相關信息安全管理系統的實施和維護。
1.3。 範圍
本政策適用於歐洲 IT 認證協會擁有、控製或處理的所有信息資產。 這包括所有數字和物理信息資產,例如係統、網絡、軟件、數據和文檔。 本政策也適用於訪問我們信息資產的所有員工、承包商和第三方服務提供商。
1.4。 合規
歐洲 IT 認證協會致力於遵守相關的信息安全標準,包括 ISO 27001 和 ISO 17024。我們會定期審查和更新此政策,以確保其持續相關並符合這些標準。
第 2 部分。組織安全
2.1. 組織安全目標
通過實施組織安全措施,我們旨在確保我們的信息資產和數據處理實踐和程序以最高級別的安全性和完整性進行,並確保我們遵守相關法律法規和標準。
2.2. 信息安全角色和職責
歐洲 IT 認證協會定義並傳達整個組織的信息安全角色和責任。 這包括在信息安全的背景下為信息資產分配明確的所有權,建立治理結構,並為整個組織的各個角色和部門定義具體職責。
2.3。 風險管理
我們定期進行風險評估,以確定組織的信息安全風險並確定其優先級,包括與個人數據處理相關的風險。 我們建立適當的控制措施來減輕這些風險,並根據業務環境和威脅形勢的變化定期審查和更新我們的風險管理方法。
2.4. 信息安全政策和程序
我們建立並維護一套基於行業最佳實踐並遵守相關法規和標準的信息安全政策和程序。 這些政策和程序涵蓋信息安全的所有方面,包括個人數據處理,並定期審查和更新以確保其有效性。
2.5. 安全意識和培訓
我們為有權訪問個人數據或其他敏感信息的所有員工、承包商和第三方合作夥伴提供定期的安全意識和培訓計劃。 該培訓涵蓋網絡釣魚、社會工程、密碼衛生和其他信息安全最佳實踐等主題。
2.6. 物理和環境安全
我們實施適當的物理和環境安全控制,以防止未經授權訪問、損壞或乾擾我們的設施和信息系統。 這包括訪問控制、監視、監視以及備用電源和冷卻系統等措施。
2.7. 信息安全事件管理
我們建立了事件管理流程,使我們能夠快速有效地應對任何可能發生的信息安全事件。 這包括報告、升級、調查和解決事件的程序,以及防止再次發生和提高我們的事件響應能力的措施。
2.8. 操作連續性和災難恢復
我們已經制定並測試了運營連續性和災難恢復計劃,使我們能夠在發生中斷或災難時維持我們的關鍵運營功能和服務。 這些計劃包括數據和系統的備份和恢復程序,以及確保個人數據可用性和完整性的措施。
2.9. 第三方管理
我們建立並維護適當的控制措施,以管理與有權訪問個人數據或其他敏感信息的第三方合作夥伴相關的風險。 這包括盡職調查、合同義務、監督和審計等措施,以及必要時終止合作關係的措施。
第三部分人力資源保障
3.1. 就業篩選
歐洲 IT 認證協會建立了就業篩選流程,以確保有權訪問敏感信息的個人值得信賴,並擁有必要的技能和資格。
3.2。 訪問控制
我們制定了訪問控制政策和程序,以確保員工只能訪問其工作職責所需的信息。 定期審查和更新訪問權限,以確保員工只能訪問他們需要的信息。
3.3. 信息安全意識和培訓
我們定期對所有員工進行信息安全意識培訓。 該培訓涵蓋密碼安全、網絡釣魚攻擊、社會工程學和網絡安全的其他方面等主題。
3.4. 可接受的使用
我們制定了可接受的使用政策,概述了信息系統和資源的可接受使用,包括用於工作目的的個人設備。
3.5. 移動設備安全
我們已經制定了安全使用移動設備的政策和程序,包括使用密碼、加密和遠程擦除功能。
3.6. 終止程序
歐洲 IT 認證協會制定了終止僱用或合同的程序,以確保及時安全地撤銷對敏感信息的訪問。
3.7. 第三方人員
我們建立了管理有權訪問敏感信息的第三方人員的程序。 這些政策涉及篩選、訪問控制和信息安全意識培訓。
3.8. 報告事件
我們制定了向有關人員或當局報告信息安全事件或疑慮的政策和程序。
3.9. 保密協議
歐洲 IT 認證協會要求員工和承包商簽署保密協議,以保護敏感信息免遭未經授權的洩露。
3.10. 紀律處分
歐洲 IT 認證協會制定了在員工或承包商違反信息安全政策的情況下採取紀律處分的政策和程序。
第四部分 風險評估與管理
4.1。 風險評估
我們定期進行風險評估,以確定對我們信息資產的潛在威脅和漏洞。 我們使用結構化方法根據風險的可能性和潛在影響來識別、分析、評估風險並確定風險的優先級。 我們評估與我們的信息資產相關的風險,包括系統、網絡、軟件、數據和文檔。
4.2. 風險處理
我們使用風險處理流程來減輕或降低風險至可接受的水平。 風險處理過程包括選擇適當的控制措施、實施控制措施和監控控制措施的有效性。 我們根據風險級別、可用資源和業務優先級確定控制實施的優先級。
4.3. 風險監控和審查
我們定期監控和審查風險管理流程的有效性,以確保其保持相關性和有效性。 我們使用度量標準和指標來衡量我們風險管理流程的績效並確定改進機會。 我們還審查我們的風險管理流程,作為我們定期管理審查的一部分,以確保其持續的適用性、充分性和有效性。
4.4. 風險應對計劃
我們制定了風險應對計劃,以確保我們能夠有效應對任何已識別的風險。 該計劃包括用於識別和報告風險的程序,以及用於評估每個風險的潛在影響和確定適當響應措施的過程。 我們還制定了應急計劃,以確保在發生重大風險事件時業務的連續性。
4.5. 運營影響分析
我們定期進行業務影響分析,以確定中斷對我們業務運營的潛在影響。 該分析包括評估我們的業務功能、系統和數據的關鍵性,以及評估中斷對我們的客戶、員工和其他利益相關者的潛在影響。
4.6. 第三方風險管理
我們制定了第三方風險管理計劃,以確保我們的供應商和其他第三方服務提供商也適當地管理風險。 該計劃包括與第三方合作前的盡職調查、對第三方活動的持續監控以及對第三方風險管理實踐的定期評估。
4.7. 事件響應和管理
我們制定了事件響應和管理計劃,以確保我們能夠有效應對任何安全事件。 該計劃包括識別和報告事件的程序,以及評估每個事件的影響和確定適當響應行動的過程。 我們還制定了業務連續性計劃,以確保在發生重大事件時關鍵業務功能能夠繼續。
第 5 部分。物理和環境安全
5.1. 物理安全邊界
我們已經建立了物理安全措施來保護物理場所和敏感信息免受未經授權的訪問。
5.2。 訪問控制
我們已經為物理場所製定了訪問控制政策和程序,以確保只有授權人員才能訪問敏感信息。
5.3. 設備安全
我們確保所有包含敏感信息的設備都受到物理保護,並且僅限授權人員訪問此設備。
5.4. 安全處置
我們制定了安全處置敏感信息(包括紙質文件、電子媒體和硬件)的程序。
5.5.物理環境
我們確保場所的物理環境(包括溫度、濕度和照明)適合保護敏感信息。
5.6.電源
我們確保場所的電力供應可靠,並防止停電或電湧。
5.7. 防火
我們制定了消防政策和程序,包括火災探測和滅火系統的安裝和維護。
5.8. 水損壞保護
我們制定了保護敏感信息免受水損害的政策和程序,包括洪水檢測和預防系統的安裝和維護。
5.9.設備維護
我們制定了設備維護程序,包括檢查設備是否存在篡改或未經授權訪問的跡象。
5.10. 可接受的使用
我們制定了可接受的使用政策,概述了物理資源和設施的可接受使用。
5.11. 遠程訪問
我們制定了遠程訪問敏感信息的政策和程序,包括使用安全連接和加密。
5.12. 監測和監督
我們已製定政策和程序來監控物理場所和設備,以檢測和防止未經授權的訪問或篡改。
部分。 6. 通信和操作安全
6.1. 網絡安全管理
我們已製定網絡安全管理政策和程序,包括使用防火牆、入侵檢測和預防系統以及定期安全審計。
6.2. 信息傳遞
我們已經制定了安全傳輸敏感信息的政策和程序,包括使用加密和安全文件傳輸協議。
6.3. 第三方通訊
我們制定了與第三方組織安全交換敏感信息的政策和程序,包括使用安全連接和加密。
6.4. 媒體處理
我們制定了處理各種形式媒體(包括紙質文件、電子媒體和便攜式存儲設備)中的敏感信息的程序。
6.5. 信息系統開發與維護
我們已經制定了信息系統開發和維護的政策和程序,包括使用安全編碼實踐、定期軟件更新和補丁管理。
6.6. 惡意軟件和病毒防護
我們制定了保護信息系統免受惡意軟件和病毒侵害的政策和程序,包括使用防病毒軟件和定期安全更新。
6.7. 備份與恢復
我們已製定備份和恢復敏感信息的政策和程序,以防止數據丟失或損壞。
6.8。 活動管理
我們制定了識別、調查和解決安全事故和事件的政策和程序。
6.9. 漏洞管理
我們已製定信息系統漏洞管理政策和程序,包括使用定期漏洞評估和補丁管理。
6.10。 訪問控制
我們已經制定了管理用戶訪問信息系統的政策和程序,包括使用訪問控制、用戶身份驗證和定期訪問審查。
6.11. 監控和記錄
我們已製定政策和程序來監控和記錄信息系統活動,包括審計跟踪和安全事件記錄的使用。
第 7 部分信息系統的獲取、開發和維護
7.1。 要求
我們制定了識別信息系統要求的政策和程序,包括業務要求、法律法規要求和安全要求。
7.2. 供應商關係
我們已製定政策和程序來管理與第三方信息系統和服務供應商的關係,包括供應商安全實踐的評估。
7.3. 系統開發
我們已經制定了信息系統安全開發的政策和程序,包括使用安全編碼實踐、定期測試和質量保證。
7.4. 系統測試
我們制定了信息系統測試的政策和程序,包括功能測試、性能測試和安全測試。
7.5. 系統驗收
我們制定了信息系統驗收的政策和程序,包括測試結果的批准、安全評估和用戶驗收測試。
7.6。 系統維護
我們制定了信息系統維護政策和程序,包括定期更新、安全補丁和系統備份。
7.7. 系統退役
我們已經制定了信息系統報廢的政策和程序,包括硬件和數據的安全處置。
7.8.數據保留
我們制定了符合法律和法規要求的數據保留政策和程序,包括敏感數據的安全存儲和處置。
7.9. 信息系統的安全要求
我們已製定政策和程序來識別和實施信息系統的安全要求,包括訪問控制、加密和數據保護。
7.10. 安全的開發環境
我們已經為信息系統的安全開發環境制定了政策和程序,包括使用安全開發實踐、訪問控制和安全網絡配置。
7.11. 保護測試環境
我們制定了保護信息系統測試環境的政策和程序,包括使用安全配置、訪問控制和定期安全測試。
7.12. 安全系統工程原理
我們已經為信息系統的安全系統工程原則的實施制定了政策和程序,包括使用安全架構、威脅建模和安全編碼實踐。
7.13. 安全編碼準則
我們已經制定了實施信息系統安全編碼指南的政策和程序,包括使用編碼標準、代碼審查和自動化測試。
第 8 部分。硬件採集
8.1. 遵守標準
我們遵守信息安全管理系統 (ISMS) 的 ISO 27001 標準,以確保根據我們的安全要求採購硬件資產。
8.2。 風險評估
我們在採購硬件資產前進行風險評估,識別潛在的安全風險,確保所選硬件滿足安全要求。
8.3. 供應商選擇
我們僅從可信賴的供應商處採購硬件資產,這些供應商在交付安全產品方面擁有良好的記錄。 我們審查供應商的安全政策和做法,並要求他們保證其產品符合我們的安全要求。
8.4. 安全運輸
我們確保硬件資產安全地運輸到我們的場所,以防止在運輸過程中被篡改、損壞或盜竊。
8.5. 真實性驗證
我們在交付時驗證硬件資產的真實性,以確保它們沒有被偽造或篡改。
8.6. 物理和環境控制
我們實施適當的物理和環境控制,以保護硬件資產免遭未經授權的訪問、盜竊或損壞。
8.7. 硬件安裝
我們確保所有硬件資產的配置和安裝均符合既定的安全標準和準則。
8.8. 硬件評論
我們對硬件資產進行定期審查,以確保它們繼續滿足我們的安全要求,並與最新的安全補丁和更新保持同步。
8.9. 硬件處理
我們以安全的方式處置硬件資產,以防止未經授權訪問敏感信息。
第 9 部分。惡意軟件和病毒防護
9.1. 軟件更新政策
我們在歐洲 IT 認證協會使用的所有信息系統(包括服務器、工作站、筆記本電腦和移動設備)上維護最新的防病毒和惡意軟件保護軟件。 我們確保防病毒和惡意軟件保護軟件配置為定期自動更新其病毒定義文件和軟件版本,並定期測試此過程。
9.2. 反病毒和惡意軟件掃描
我們定期掃描所有信息系統,包括服務器、工作站、筆記本電腦和移動設備,以檢測和刪除任何病毒或惡意軟件。
9.3. 禁止禁用和禁止更改政策
我們執行禁止用戶禁用或更改任何信息系統上的防病毒和惡意軟件保護軟件的政策。
9.4。 監控
我們監控我們的防病毒和惡意軟件保護軟件警報和日誌,以識別任何病毒或惡意軟件感染事件,並及時響應此類事件。
9.5. 記錄維護
我們保留防病毒和惡意軟件保護軟件配置、更新和掃描的記錄,以及任何病毒或惡意軟件感染事件,以供審計之用。
9.6. 軟件評論
我們定期審查我們的防病毒和惡意軟件保護軟件,以確保它符合當前的行業標準並足以滿足我們的需求。
9.7.培訓和意識
我們提供培訓和意識計劃,讓所有員工了解病毒和惡意軟件防護的重要性,以及如何識別和報告任何可疑活動或事件。
第 10 部分信息資產管理
10.1. 信息資產清單
歐洲 IT 認證協會維護著一份信息資產清單,其中包括所有數字和物理信息資產,例如係統、網絡、軟件、數據和文檔。 我們根據信息資產的重要性和敏感性對信息資產進行分類,以確保實施適當的保護措施。
10.2. 信息資產處理
我們根據信息資產的分類(包括機密性、完整性和可用性)實施適當的措施來保護信息資產。 我們確保根據適用的法律、法規和合同要求處理所有信息資產。 我們還確保所有信息資產在不再需要時得到妥善存儲、保護和處置。
10.3. 信息資產所有權
我們將信息資產所有權分配給負責管理和保護信息資產的個人或部門。 我們還確保信息資產所有者了解他們保護信息資產的責任和義務。
10.4. 信息資產保護
我們使用各種保護措施來保護信息資產,包括物理控制、訪問控制、加密以及備份和恢復過程。 我們還確保所有信息資產都受到保護,免遭未經授權的訪問、修改或破壞。
第 11 部分訪問控制
11.1. 訪問控制策略
歐洲 IT 認證協會有一個訪問控制政策,概述了授予、修改和撤銷對信息資產的訪問權限的要求。 訪問控制是我們信息安全管理系統的重要組成部分,我們實施它是為了確保只有經過授權的個人才能訪問我們的信息資產。
11.2. 訪問控制實施
我們根據最小權限原則實施訪問控制措施,這意味著個人只能訪問執行其工作職能所需的信息資產。 我們使用各種訪問控制措施,包括身份驗證、授權和記帳 (AAA)。 我們還使用訪問控制列表 (ACL) 和權限來控制對信息資產的訪問。
11.3. 密碼政策
歐洲 IT 認證協會有一個密碼政策,概述了創建和管理密碼的要求。 我們需要至少 8 個字符長的強密碼,由大小寫字母、數字和特殊字符組合而成。 我們還要求定期更改密碼並禁止重複使用以前的密碼。
11.4.用戶管理
我們有一個用戶管理流程,包括創建、修改和刪除用戶帳戶。 用戶帳戶是根據最小權限原則創建的,並且僅授予對執行個人工作職能所需的信息資產的訪問權限。 我們還定期審查用戶帳戶並刪除不再需要的帳戶。
第 12 部分信息安全事件管理
12.1. 事件管理政策
歐洲 IT 認證協會制定了一項事件管理政策,其中概述了檢測、報告、評估和響應安全事件的要求。 我們將安全事件定義為危及信息資產或系統的機密性、完整性或可用性的任何事件。
12.2. 事件檢測和報告
我們採取措施及時檢測和報告安全事件。 我們使用多種方法來檢測安全事件,包括入侵檢測系統 (IDS)、防病毒軟件和用戶報告。 我們還確保所有員工都了解報告安全事件的程序,並鼓勵報告所有可疑事件。
12.3. 事件評估和響應
我們有一個根據安全事件的嚴重性和影響評估和響應安全事件的流程。 我們根據事件對信息資產或系統的潛在影響來確定事件的優先級,並分配適當的資源來響應它們。 我們還有一個響應計劃,其中包括用於識別、遏制、分析、根除和從安全事件中恢復的程序,以及通知相關方和進行事件後審查的程序我們的事件響應程序旨在確保快速有效的響應到安全事件。 這些程序會定期審查和更新,以確保其有效性和相關性。
12.4。 事件響應小組
我們有一個事件響應小組 (IRT) 負責響應安全事件。 IRT 由來自各個部門的代表組成,由信息安全官 (ISO) 領導。 IRT 負責評估事件的嚴重性、控制事件並啟動適當的響應程序。
12.5。 事件報告和審查
根據適用法律法規的要求,我們已建立向相關方(包括客戶、監管機構和執法機構)報告安全事件的程序。 我們還在整個事件響應過程中與受影響的各方保持溝通,及時更新事件的狀態以及為減輕其影響而採取的任何行動。 我們還對所有安全事件進行審查,以確定根本原因並防止將來發生類似事件。
第 13 部分。業務連續性管理和災難恢復
13.1. 業務連續性計劃
儘管 European IT Certification Institute 是一個非營利組織,但它有一個業務連續性計劃 (BCP),其中概述了在發生破壞性事件時確保其運營連續性的程序。 BCP 涵蓋所有關鍵操作流程,並確定在破壞性事件期間和之後維持運營所需的資源。 它還概述了在中斷或災難期間維持業務運營、評估中斷的影響、在特定破壞性事件的背景下識別最關鍵的操作流程以及製定響應和恢復程序的程序。
13.2. 災難恢復計劃
歐洲 IT 認證協會制定了災難恢復計劃 (DRP),其中概述了在發生中斷或災難時恢復我們的信息系統的程序。 DRP 包括數據備份、數據恢復和系統恢復的過程。 DRP 會定期測試和更新以確保其有效性。
13.3。 業務影響分析
我們進行業務影響分析 (BIA) 以確定關鍵操作流程和維護它們所需的資源。 BIA 幫助我們確定恢復工作的優先順序並相應地分配資源。
13.4. 業務連續性戰略
根據 BIA 的結果,我們制定了業務連續性戰略,其中概述了應對破壞性事件的程序。 該策略包括激活 BCP、恢復關鍵操作流程以及與相關利益相關者溝通的程序。
13.5。 測試和維護
我們定期測試和維護我們的 BCP 和 DRP,以確保其有效性和相關性。 我們定期進行測試以驗證 BCP/DRP 並確定需要改進的地方。 我們還會根據需要更新 BCP 和 DRP,以反映我們運營或威脅形勢的變化。 測試包括桌面練習、模擬和程序的現場測試。 我們還根據測試結果和經驗教訓審查和更新我們的計劃。
13.6. 替代處理地點
我們維護備用在線處理站點,可用於在發生中斷或災難時繼續業務運營。 備用處理站點配備了必要的基礎設施和系統,可用於支持關鍵業務流程。
第 14 部分合規與審計
七、遵守法律法規
歐洲 IT 認證協會致力於遵守與信息安全和隱私相關的所有適用法律和法規,包括數據保護法、行業標準和合同義務。 我們定期審查和更新我們的政策、程序和控制措施,以確保符合所有相關要求和標準。 我們在信息安全方面遵循的主要標準和框架包括:
- ISO/IEC 27001 標準為信息安全管理系統 (ISMS) 的實施和管理提供了指導方針,其中包括漏洞管理作為關鍵組成部分。 它為實施和維護我們的信息安全管理系統 (ISMS)(包括漏洞管理)提供了一個參考框架。 根據此標準條款,我們識別、評估和管理信息安全風險,包括漏洞。
- 美國國家標準與技術研究院 (NIST) 網絡安全框架為識別、評估和管理網絡安全風險(包括漏洞管理)提供了指南。
- 美國國家標準與技術研究院 (NIST) 網絡安全框架,用於改進網絡安全風險管理,具有一套核心功能,包括我們堅持管理網絡安全風險的漏洞管理。
- SANS 關鍵安全控制措施包含一套 20 項安全控制措施,旨在提高網絡安全,涵蓋漏洞管理等一系列領域,為漏洞掃描、補丁管理和漏洞管理的其他方面提供具體指導。
- 支付卡行業數據安全標準 (PCI DSS),要求在這種情況下處理與漏洞管理相關的信用卡信息。
- 互聯網安全控制中心 (CIS) 將漏洞管理作為關鍵控制措施之一,以確保我們信息系統的安全配置。
- 開放 Web 應用程序安全項目 (OWASP),列出了最關鍵的 10 大 Web 應用程序安全風險,包括漏洞評估,例如注入攻擊、身份驗證和會話管理失效、跨站點腳本 (XSS) 等。我們使用OWASP Top 10 來優先考慮我們的漏洞管理工作,並關注與我們的 Web 系統有關的最關鍵風險。
14.2. 內部審計
我們定期進行內部審計,以評估我們的信息安全管理系統 (ISMS) 的有效性,並確保我們的政策、程序和控制得到遵守。 內部審計流程包括不符合項的識別、糾正措施的製定以及補救工作的跟踪。
14.3. 外部審計
我們定期與外部審計師合作,以驗證我們是否遵守適用的法律、法規和行業標準。 我們允許審計人員根據需要訪問我們的設施、系統和文件,以驗證我們的合規性。 我們還與外部審計師合作,解決審計過程中發現的任何問題或建議。
14.4. 合規監控
我們持續監控我們對適用法律、法規和行業標準的遵守情況。 我們使用多種方法來監控合規性,包括定期評估、審計和審查第三方供應商。 我們還定期審查和更新我們的政策、程序和控制措施,以確保持續遵守所有相關要求。
第十五部分 第三方管理
15.1. 第三方管理政策
歐洲 IT 認證協會制定了第三方管理政策,概述了選擇、評估和監控有權訪問我們的信息資產或系統的第三方供應商的要求。 該政策適用於所有第三方提供商,包括雲服務提供商、供應商和承包商。
15.2. 第三方選擇和評估
在與第三方提供商合作之前,我們會進行盡職調查,以確保他們有足夠的安全控制措施來保護我們的信息資產或系統。 我們還評估第三方供應商是否遵守與信息安全和隱私相關的適用法律和法規。
15.3. 第三方監控
我們持續監控第三方提供商,以確保他們繼續滿足我們對信息安全和隱私的要求。 我們使用多種方法來監控第三方提供商,包括定期評估、審計和審查安全事件報告。
15.4. 合同要求
我們在與第三方供應商簽訂的所有合同中都包含與信息安全和隱私相關的合同要求。 這些要求包括數據保護、安全控制、事件管理和合規性監控的規定。 我們還包括在發生安全事件或不合規情況下終止合同的規定。
第 16 部分。認證過程中的信息安全
16.1 認證過程的安全
我們採取充分和系統的措施來確保與我們的認證過程相關的所有信息的安全,包括尋求認證的個人的個人數據。 這包括對所有認證相關信息的訪問、存儲和傳輸的控制。 通過實施這些措施,我們旨在確保認證過程以最高級別的安全性和完整性進行,並確保尋求認證的個人數據得到保護,符合相關法規和標準。
16.2. 身份驗證和授權
我們使用身份驗證和授權控制來確保只有授權人員才能訪問認證信息。 根據人員角色和職責的變化,定期審查和更新訪問控制。
16.3。 數據保護
我們通過實施適當的技術和組織措施在整個認證過程中保護個人數據,以確保數據的機密性、完整性和可用性。 這包括加密、訪問控制和定期備份等措施。
16.4。 考試過程的安全
我們通過實施適當的措施來防止作弊、監控和控制考試環境,確保考試過程的安全。 我們還通過安全存儲程序維護考試材料的完整性和機密性。
16.5。 考試內容安全
我們通過實施適當的措施來防止未經授權的訪問、更改或披露內容,從而確保考試內容的安全。 這包括對考試內容使用安全存儲、加密和訪問控制,以及防止未經授權分發或傳播考試內容的控制。
16.6. 考試傳遞的安全性
我們通過採取適當措施防止未經授權訪問或操縱考試環境來確保考試交付的安全性。 這包括考試環境和特定考試方法的監控、審計和控制等措施,以防止作弊或其他安全漏洞。
16.7。 考試成績的安全
我們通過採取適當措施防止未經授權訪問、更改或披露結果來確保考試結果的安全。 這包括對檢查結果使用安全存儲、加密和訪問控制,以及防止未經授權分發或傳播檢查結果的控制。
16.8。 證書頒發的安全性
我們通過採取適當的措施來防止欺詐和未經授權的證書頒發,從而確保證書頒發的安全性。 這包括用於驗證接收證書的個人身份以及安全存儲和頒發程序的控制。
16.9。 投訴和申訴
我們制定了管理與認證過程相關的投訴和申訴的程序。 這些程序包括確保流程保密性和公正性的措施,以及與投訴和上訴相關的信息的安全性。
16.10. 認證過程質量管理
我們為認證流程建立了質量管理體系 (QMS),其中包括確保流程有效性、效率和安全性的措施。 QMS 包括對流程及其安全控制的定期審核和審查。
16.11. 持續改進認證流程安全
我們致力於不斷改進我們的認證流程及其安全控制。 這包括根據 ISO 27001 信息安全管理標準以及 ISO 17024認證機構操作標準。
第 17 部分。結束條款
17.1. 政策審查和更新
本信息安全政策是一份動態文件,會根據我們的運營要求、監管要求或信息安全管理最佳實踐的變化進行持續審查和更新。
17.2. 合規監控
我們已經建立了程序來監控對本信息安全政策和相關安全控制的遵守情況。 合規性監控包括對安全控制及其在實現本政策目標方面的有效性的定期審計、評估和審查。
17.3. 報告安全事故
我們已經建立了報告與我們的信息系統相關的安全事件的程序,包括與個人數據相關的安全事件。 鼓勵員工、承包商和其他利益相關者盡快向指定的安全團隊報告任何安全事件或可疑事件。
17.4.培訓和意識
我們為員工、承包商和其他利益相關者提供定期培訓和意識計劃,以確保他們了解與信息安全相關的責任和義務。 這包括有關安全政策和程序的培訓,以及保護個人數據的措施。
17.5. 責任與擔當
我們要求所有員工、承包商和其他利益相關者負責遵守本信息安全政策和相關安全控制措施。 我們還要求管理層負責確保分配適當的資源以實施和維護有效的信息安全控制。
本信息安全政策是 Euroepan IT Certification Institute 信息安全管理框架的重要組成部分,表明我們致力於保護信息資產和處理數據,確保信息的機密性、隱私性、完整性和可用性,並遵守法規和合同要求。