情報セキュリティポリシー
EITCAアカデミー情報セキュリティポリシー
この文書は、欧州 IT 認定機関の情報セキュリティ ポリシー (ISP) を規定しており、その有効性と関連性を確保するために定期的にレビューおよび更新されています。 EITCI 情報セキュリティ ポリシーの最終更新は、7 年 2023 月 XNUMX 日に行われました。
パート 1. 概要と情報セキュリティ ポリシー ステートメント
はじめに
European IT Certification Institute は、情報の機密性、完全性、可用性、および利害関係者の信頼を維持する上での情報セキュリティの重要性を認識しています。 当社は、個人データを含む機密情報を、不正アクセス、開示、改ざん、および破壊から保護することに尽力しています。 当社は、お客様に信頼できる公平な認証サービスを提供するという当社の使命をサポートするために、効果的な情報セキュリティ ポリシーを維持しています。 情報セキュリティ ポリシーは、情報資産を保護し、法律上、規制上、および契約上の義務を果たすための当社の取り組みを概説しています。 当社のポリシーは、情報セキュリティ管理および認証機関の運用基準に関する主要な国際規格である ISO 27001 および ISO 17024 の原則に基づいています。
1.2. ポリシーステートメント
欧州 IT 認定機関は、次のことを約束しています。
- 情報資産の機密性、完全性、および可用性を保護し、
- 認証プロセスと運用を実施する情報セキュリティとデータ処理に関連する法律、規制、および契約上の義務を遵守すること。
- 情報セキュリティポリシーおよび関連する管理システムを継続的に改善し、
- 従業員、請負業者、および参加者に適切なトレーニングと認識を提供する
- 情報セキュリティ ポリシーおよび関連する情報セキュリティ管理システムの実装と維持に、すべての従業員と請負業者を関与させる。
1.3 範囲
このポリシーは、European IT Certification Institute が所有、管理、または処理するすべての情報資産に適用されます。 これには、システム、ネットワーク、ソフトウェア、データ、ドキュメントなど、すべてのデジタルおよび物理的な情報資産が含まれます。 このポリシーは、当社の情報資産にアクセスするすべての従業員、請負業者、およびサードパーティのサービス プロバイダーにも適用されます。
1.4。 コンプライアンス
European IT Certification Institute は、ISO 27001 や ISO 17024 などの関連する情報セキュリティ基準に準拠することを約束しています。当社は定期的にこのポリシーを見直して更新し、これらの基準との継続的な関連性と準拠を確保しています。
パート 2. 組織のセキュリティ
2.1. 組織のセキュリティ目標
組織的なセキュリティ対策を実施することにより、当社の情報資産およびデータ処理の慣行と手順が最高レベルのセキュリティと完全性で実施され、関連する法的規制と基準に準拠していることを保証することを目指しています。
2.2. 情報セキュリティの役割と責任
European IT Certification Institute は、組織全体の情報セキュリティの役割と責任を定義し、伝達しています。 これには、情報セキュリティに関連する情報資産の明確な所有権の割り当て、ガバナンス構造の確立、および組織全体のさまざまな役割と部門に対する特定の責任の定義が含まれます。
2.3。 危機管理
個人データ処理に関連するリスクを含む、組織に対する情報セキュリティ リスクを特定し、優先順位を付けるために、定期的なリスク評価を実施します。 これらのリスクを軽減するための適切な制御を確立し、ビジネス環境と脅威の状況の変化に基づいてリスク管理アプローチを定期的に見直し、更新します。
2.4. 情報セキュリティのポリシーと手順
当社は、業界のベスト プラクティスに基づいた一連の情報セキュリティ ポリシーと手順を確立して維持し、関連する規制と基準に準拠しています。 これらのポリシーと手順は、個人データの処理を含む情報セキュリティのすべての側面をカバーしており、その有効性を確保するために定期的に見直され、更新されています。
2.5. セキュリティの意識向上とトレーニング
当社は、個人データやその他の機密情報にアクセスできるすべての従業員、請負業者、およびサードパーティ パートナーに対して、定期的なセキュリティ意識向上およびトレーニング プログラムを提供しています。 このトレーニングでは、フィッシング、ソーシャル エンジニアリング、パスワード衛生、その他の情報セキュリティのベスト プラクティスなどのトピックを扱います。
2.6. 物理的および環境的セキュリティ
私たちは、施設や情報システムへの不正アクセス、損傷、または干渉から保護するために、適切な物理的および環境的セキュリティ管理を実施します。 これには、アクセス制御、監視、監視、バックアップ電源および冷却システムなどの対策が含まれます。
2.7. 情報セキュリティインシデント管理
発生する可能性のある情報セキュリティインシデントに迅速かつ効果的に対応できるようにするインシデント管理プロセスを確立しました。 これには、インシデントの報告、エスカレーション、調査、および解決のための手順、および再発を防止し、インシデント対応能力を向上させるための措置が含まれます。
2.8。 運用継続性と災害復旧
私たちは、中断や災害が発生した場合に重要な運用機能とサービスを維持できるようにする運用継続性と災害復旧計画を確立し、テストしました。 これらの計画には、データとシステムのバックアップと復旧の手順、および個人データの可用性と完全性を確保するための措置が含まれます。
2.9。 サードパーティの管理
当社は、個人データやその他の機密情報にアクセスできるサードパーティ パートナーに関連するリスクを管理するための適切な管理を確立し、維持します。 これには、デューデリジェンス、契約上の義務、監視、監査などの措置、および必要に応じてパートナーシップを終了するための措置が含まれます。
パート 3. 人事のセキュリティ
3.1. 採用選考
European IT Certification Institute は、機密情報にアクセスできる個人が信頼でき、必要なスキルと資格を持っていることを確認するための採用選考プロセスを確立しました。
3.2。 アクセス制御
従業員が職務に必要な情報のみにアクセスできるように、アクセス制御のポリシーと手順を確立しています。 従業員が必要な情報のみにアクセスできるように、アクセス権は定期的に見直され、更新されます。
3.3. 情報セキュリティの認識とトレーニング
全社員を対象に情報セキュリティ意識向上研修を定期的に実施しています。 このトレーニングでは、パスワード セキュリティ、フィッシング攻撃、ソーシャル エンジニアリング、その他のサイバー セキュリティの側面などのトピックを扱います。
3.4. 許容される使用
私たちは、業務目的で使用される個人用デバイスを含む、情報システムおよびリソースの許容される使用について概説する許容される使用ポリシーを確立しました。
3.5。 モバイル デバイスのセキュリティ
パスコード、暗号化、リモート ワイプ機能の使用など、モバイル デバイスを安全に使用するためのポリシーと手順を確立しています。
3.6. 解約手続き
European IT Certification Institute は、機密情報へのアクセスが迅速かつ安全に取り消されることを保証するために、雇用または契約の終了に関する手順を確立しました。
3.7. サードパーティの人員
当社は、機密情報にアクセスできる第三者の担当者を管理するための手順を確立しています。 これらのポリシーには、スクリーニング、アクセス制御、および情報セキュリティ意識向上トレーニングが含まれます。
3.8。 インシデントの報告
当社は、情報セキュリティのインシデントまたは懸念を適切な担当者または当局に報告するためのポリシーと手順を確立しています。
3.9。 秘密保持契約
European IT Certification Institute は、機密情報を不正な開示から保護するために、従業員と請負業者に機密保持契約に署名することを要求しています。
3.10. 懲戒処分
European IT Certification Institute は、従業員または請負業者が情報セキュリティ ポリシーに違反した場合の懲戒処分に関するポリシーと手順を確立しています。
パート 4. リスク評価と管理
4.1 リスク評価
当社は定期的にリスク評価を実施し、当社の情報資産に対する潜在的な脅威と脆弱性を特定しています。 構造化されたアプローチを使用して、リスクの可能性と潜在的な影響に基づいてリスクを特定、分析、評価、および優先順位付けします。 私たちは、システム、ネットワーク、ソフトウェア、データ、文書などの情報資産に関連するリスクを評価します。
4.2. リスク対応
リスク対応プロセスを使用して、リスクを許容レベルまで軽減または軽減します。 リスク対応プロセスには、適切なコントロールの選択、コントロールの実装、およびコントロールの有効性の監視が含まれます。 リスクレベル、利用可能なリソース、およびビジネスの優先順位に基づいて、コントロールの実装に優先順位を付けます。
4.3. リスクの監視とレビュー
当社は、リスク管理プロセスの有効性を定期的に監視およびレビューし、関連性と有効性を維持できるようにしています。 メトリクスと指標を使用して、リスク管理プロセスのパフォーマンスを測定し、改善の機会を特定します。 また、定期的な管理レビューの一環として、リスク管理プロセスを見直し、継続的な適切性、妥当性、有効性を確保しています。
4.4. リスク対応計画
特定されたリスクに効果的に対応できるように、リスク対応計画を策定しています。 この計画には、リスクを特定して報告するための手順と、各リスクの潜在的な影響を評価し、適切な対応措置を決定するためのプロセスが含まれます。 また、重大なリスクイベントが発生した場合に事業継続を確保するための緊急時対応計画も用意されています。
4.5. 運用影響分析
当社は定期的に事業影響分析を実施し、事業運営への混乱の潜在的な影響を特定します。 この分析には、当社のビジネス機能、システム、およびデータの重要性の評価と、顧客、従業員、およびその他の利害関係者に対する混乱の潜在的な影響の評価が含まれます。
4.6. 第三者リスク管理
サードパーティのリスク管理プログラムを実施して、ベンダーやその他のサードパーティ サービス プロバイダーもリスクを適切に管理していることを確認しています。 このプログラムには、第三者と関わる前のデュー デリジェンス チェック、第三者の活動の継続的な監視、および第三者のリスク管理慣行の定期的な評価が含まれます。
4.7. インシデント対応と管理
セキュリティインシデントに効果的に対応できるように、インシデント対応と管理計画を用意しています。 この計画には、インシデントを特定して報告するための手順、および各インシデントの影響を評価し、適切な対応措置を決定するためのプロセスが含まれます。 また、重大なインシデントが発生した場合でも重要なビジネス機能を継続できるように、事業継続計画を策定しています。
パート 5. 物理的および環境的セキュリティ
5.1. 物理的なセキュリティ境界
物理的な施設と機密情報を不正アクセスから保護するために、物理的なセキュリティ対策を確立しています。
5.2。 アクセス制御
許可された担当者のみが機密情報にアクセスできるようにするために、物理的な施設のアクセス制御ポリシーと手順を確立しました。
5.3. 機器のセキュリティ
機密情報を含むすべての機器が物理的に保護され、この機器へのアクセスが許可された担当者のみに制限されていることを確認します。
5.4. 安全な廃棄
紙の文書、電子メディア、ハードウェアなどの機密情報を安全に廃棄するための手順を確立しています。
5.5.物理的環境
温度、湿度、照明など、施設の物理的環境が機密情報の保護に適していることを確認します。
5.6。電源
施設への電力供給の信頼性が高く、停電やサージから保護されていることを保証します。
5.7.防火
当社は、火災検知および消火システムの設置と保守を含め、防火ポリシーと手順を確立しています。
5.8. 水害保護
機密情報を水害から保護するためのポリシーと手順を確立しました。これには、洪水検知および防止システムの設置と保守が含まれます。
5.9.機器のメンテナンス
改ざんや不正アクセスの兆候がないか機器を検査するなど、機器のメンテナンス手順を確立しています。
5.10. 許容される使用
私たちは、物理的なリソースと施設の許容可能な使用を概説する許容可能な使用ポリシーを確立しました。
5.11.リモートアクセス
セキュリティで保護された接続や暗号化の使用など、機密情報へのリモート アクセスに関するポリシーと手順を確立しています。
5.12. 監視と監視
不正アクセスや改ざんを検出して防止するために、物理的な施設と機器の監視と監視のためのポリシーと手順を確立しました。
部。 6. 通信および運用のセキュリティ
6.1. ネットワーク セキュリティ管理
ファイアウォールの使用、侵入検知および防止システム、定期的なセキュリティ監査など、ネットワーク セキュリティの管理に関するポリシーと手順を確立しています。
6.2. 情報転送
暗号化や安全なファイル転送プロトコルの使用など、機密情報を安全に転送するためのポリシーと手順を確立しています。
6.3. サードパーティ通信
安全な接続と暗号化の使用を含む、サードパーティ組織との機密情報の安全な交換のためのポリシーと手順を確立しました。
6.4. メディアの取り扱い
当社は、紙の文書、電子媒体、携帯型記憶装置など、さまざまな形式の媒体で機密情報を取り扱うための手順を確立しています。
6.5. 情報システムの開発と保守
安全なコーディング慣行の使用、定期的なソフトウェア更新、およびパッチ管理を含む、情報システムの開発と保守のためのポリシーと手順を確立しています。
6.6. マルウェアとウイルスからの保護
ウイルス対策ソフトウェアの使用や定期的なセキュリティ更新など、情報システムをマルウェアやウイルスから保護するためのポリシーと手順を確立しています。
6.7. バックアップと復元
データの損失や破損を防ぐために、機密情報のバックアップと復元に関するポリシーと手順を確立しています。
6.8。 イベント管理
当社は、セキュリティ インシデントおよびイベントの特定、調査、および解決のためのポリシーと手順を確立しています。
6.9. 脆弱性管理
定期的な脆弱性評価やパッチ管理の使用など、情報システムの脆弱性を管理するためのポリシーと手順を確立しています。
6.10。 アクセス制御
アクセス制御、ユーザー認証、定期的なアクセス レビューの使用など、情報システムへのユーザー アクセスを管理するためのポリシーと手順を確立しています。
6.11. モニタリングとロギング
監査証跡の使用やセキュリティ インシデントのログ記録など、情報システム アクティビティの監視とログ記録に関するポリシーと手順を確立しています。
パート 7. 情報システムの取得、開発、保守
7.1。 要件
ビジネス要件、法律および規制要件、セキュリティ要件など、情報システム要件を特定するためのポリシーと手順を確立しています。
7.2. サプライヤーとの関係
当社は、情報システムおよびサービスのサードパーティ サプライヤーとの関係を管理するためのポリシーと手順を確立しました。これには、サプライヤーのセキュリティ慣行の評価も含まれます。
7.3. システム開発
安全なコーディング手法の使用、定期的なテスト、品質保証など、情報システムの安全な開発のためのポリシーと手順を確立しています。
7.4. システムテスト
機能テスト、パフォーマンス テスト、セキュリティ テストなど、情報システムのテストに関するポリシーと手順を確立しています。
7.5. システム承認
テスト結果の承認、セキュリティ評価、ユーザー受け入れテストなど、情報システムの受け入れに関するポリシーと手順を確立しています。
7.6.システムメンテナンス
定期的な更新、セキュリティ パッチ、システム バックアップなど、情報システムの保守に関するポリシーと手順を確立しています。
7.7. システムの廃止
ハードウェアとデータの安全な廃棄を含む、情報システムの廃棄に関するポリシーと手順を確立しています。
7.8.データの保持
当社は、機密データの安全な保管と廃棄を含む、法的および規制上の要件に準拠したデータ保持のためのポリシーと手順を確立しています。
7.9. 情報システムのセキュリティ要件
アクセス制御、暗号化、データ保護など、情報システムのセキュリティ要件を特定して実装するためのポリシーと手順を確立しています。
7.10. 安全な開発環境
安全な開発手法、アクセス制御、および安全なネットワーク構成の使用を含む、情報システムの安全な開発環境のためのポリシーと手順を確立しています。
7.11. テスト環境の保護
安全な構成、アクセス制御、および定期的なセキュリティ テストの使用を含む、情報システムのテスト環境を保護するためのポリシーと手順を確立しています。
7.12. セキュア システム エンジニアリングの原則
セキュリティ アーキテクチャの使用、脅威モデリング、安全なコーディング プラクティスなど、情報システムの安全なシステム エンジニアリングの原則を実装するためのポリシーと手順を確立しました。
7.13. 安全なコーディングのガイドライン
コーディング標準、コード レビュー、自動テストの使用など、情報システムの安全なコーディング ガイドラインを実装するためのポリシーと手順を確立しました。
パート 8. ハードウェアの取得
8.1. 規格への準拠
ISO 27001 規格の情報セキュリティ マネジメント システム (ISMS) に準拠し、ハードウェア資産がセキュリティ要件に従って調達されるようにします。
8.2 リスク評価
ハードウェア資産を調達する前にリスク評価を行い、潜在的なセキュリティ リスクを特定し、選択したハードウェアがセキュリティ要件を満たしていることを確認します。
8.3. ベンダーの選択
ハードウェア資産は、安全な製品を提供してきた実績を持つ信頼できるベンダーからのみ調達します。 ベンダーのセキュリティ ポリシーと慣行を確認し、ベンダーの製品がセキュリティ要件を満たしていることを保証するよう要求します。
8.4. 安全な輸送
輸送中の改ざん、損傷、または盗難を防ぐために、ハードウェア資産が安全に施設に輸送されるようにします。
8.5. 真正性の検証
納品時にハードウェア資産の真正性を検証し、偽造や改ざんされていないことを確認します。
8.6. 物理的および環境的管理
ハードウェア資産を不正アクセス、盗難、または損傷から保護するために、適切な物理的および環境的管理を実施します。
8.7. ハードウェアのインストール
すべてのハードウェア資産が、確立されたセキュリティ基準とガイドラインに従って構成およびインストールされていることを確認します。
8.8. ハードウェアのレビュー
ハードウェア資産の定期的なレビューを実施して、ハードウェア資産が引き続きセキュリティ要件を満たし、最新のセキュリティ パッチと更新が適用されていることを確認します。
8.9。 ハードウェアの廃棄
機密情報への不正アクセスを防止するために、ハードウェア資産を安全な方法で廃棄します。
パート 9. マルウェアとウイルスからの保護
9.1. ソフトウェア更新ポリシー
サーバー、ワークステーション、ラップトップ、モバイル デバイスなど、欧州 IT 認定機関が使用するすべての情報システムで、最新のウイルス対策およびマルウェア対策ソフトウェアを維持しています。 ウイルス対策およびマルウェア対策ソフトウェアが、ウイルス定義ファイルとソフトウェア バージョンを定期的に自動的に更新するように構成されていること、およびこのプロセスが定期的にテストされていることを確認します。
9.2. ウイルス対策とマルウェアのスキャン
サーバー、ワークステーション、ラップトップ、モバイル デバイスを含むすべての情報システムを定期的にスキャンし、ウイルスやマルウェアを検出して削除します。
9.3. 無効化および変更不可のポリシー
ユーザーが情報システム上のウイルス対策およびマルウェア保護ソフトウェアを無効にしたり変更したりすることを禁止するポリシーを適用します。
9.4。 モニタリング
ウイルス対策およびマルウェア保護ソフトウェアのアラートとログを監視して、ウイルスまたはマルウェア感染のインシデントを特定し、そのようなインシデントにタイムリーに対応します。
9.5. 記録の維持
監査目的で、アンチウイルスおよびマルウェア保護ソフトウェアの構成、更新、スキャン、およびウイルスまたはマルウェア感染のインシデントの記録を保持しています。
9.6. ソフトウェアレビュー
ウイルス対策およびマルウェア対策ソフトウェアの定期的なレビューを実施して、現在の業界標準を満たし、当社のニーズに適していることを確認しています。
9.7.トレーニングと認識
ウイルスとマルウェアからの保護の重要性、および疑わしいアクティビティやインシデントを認識して報告する方法について、すべての従業員を教育するためのトレーニングと意識向上プログラムを提供しています。
パート 10. 情報資産管理
10.1. 情報資産インベントリ
European IT Certification Institute は、システム、ネットワーク、ソフトウェア、データ、ドキュメントなど、すべてのデジタルおよび物理的な情報資産を含む情報資産のインベントリを維持しています。 重要度と機密性に基づいて情報資産を分類し、適切な保護対策が実施されるようにします。
10.2. 情報資産の取り扱い
機密性、完全性、可用性などの分類に基づいて、情報資産を保護するための適切な措置を講じます。 すべての情報資産が、適用される法律、規制、および契約上の要件に従って取り扱われることを保証します。 また、すべての情報資産が適切に保管、保護され、不要になったときに廃棄されるようにします。
10.3. 情報資産の所有権
当社は、情報資産の管理と保護を担当する個人または部門に情報資産の所有権を割り当てます。 また、情報資産の所有者が、情報資産を保護する責任と説明責任を理解するようにします。
10.4. 情報資産の保護
情報資産を保護するために、物理的な制御、アクセス制御、暗号化、バックアップおよび回復プロセスなど、さまざまな保護手段を使用しています。 また、すべての情報資産が不正アクセス、変更、または破壊から保護されていることを保証します。
パート 11. アクセス制御
11.1. アクセス制御ポリシー
European IT Certification Institute には、情報資産へのアクセスを許可、変更、および取り消すための要件を概説する Access Control Policy があります。 アクセス制御は、当社の情報セキュリティ管理システムの重要な要素であり、許可された個人のみが当社の情報資産にアクセスできるようにするために実装しています。
11.2. アクセス制御の実装
私たちは、個人が職務を遂行するために必要な情報資産にのみアクセスできることを意味する、最小特権の原則に基づいてアクセス制御手段を実装しています。 認証、承認、アカウンティング (AAA) など、さまざまなアクセス制御手段を使用しています。 また、アクセス制御リスト (ACL) と権限を使用して、情報資産へのアクセスを制御しています。
11.3. パスワードポリシー
European IT Certification Institute には、パスワードの作成と管理の要件をまとめたパスワード ポリシーがあります。 大文字と小文字、数字、特殊文字を組み合わせた 8 文字以上の強力なパスワードが必要です。 また、定期的なパスワードの変更を要求し、以前のパスワードの再利用を禁止しています。
11.4.ユーザー管理
ユーザー アカウントの作成、変更、削除を含むユーザー管理プロセスがあります。 ユーザー アカウントは最小権限の原則に基づいて作成され、個人の職務を遂行するために必要な情報資産へのアクセスのみが許可されます。 また、定期的にユーザー アカウントを確認し、不要になったアカウントを削除します。
パート 12. 情報セキュリティ インシデント管理
12.1. インシデント管理ポリシー
European IT Certification Institute には、セキュリティ インシデントの検出、報告、評価、および対応に関する要件を概説するインシデント管理ポリシーがあります。 当社では、セキュリティ インシデントを、情報資産またはシステムの機密性、完全性、または可用性を損なうあらゆる事象と定義しています。
12.2. インシデントの検出と報告
私たちは、セキュリティインシデントを迅速に検出し、報告するための措置を実施します。 侵入検知システム (IDS)、ウイルス対策ソフトウェア、ユーザー レポートなど、さまざまな方法を使用してセキュリティ インシデントを検出します。 また、すべての従業員がセキュリティ インシデントの報告手順を認識していることを確認し、すべての疑わしいインシデントの報告を奨励しています。
12.3. インシデントの評価と対応
重大度と影響に基づいて、セキュリティ インシデントを評価し、対応するためのプロセスがあります。 情報資産またはシステムへの潜在的な影響に基づいてインシデントに優先順位を付け、適切なリソースを割り当てて対応します。 また、セキュリティインシデントの特定、封じ込め、分析、根絶、復旧、関係者への通知、インシデント後のレビューの実施手順を含む対応計画も用意しています。インシデント対応手順は、迅速かつ効果的な対応を確保するように設計されています。セキュリティインシデントに。 手順は、有効性と関連性を確保するために定期的に見直され、更新されます。
12.4. インシデント対応チーム
セキュリティ インシデントへの対応を担当するインシデント対応チーム (IRT) があります。 IRT はさまざまな部門の代表者で構成され、情報セキュリティ責任者 (ISO) が率いています。 IRT は、インシデントの重大度を評価し、インシデントを封じ込め、適切な対応手順を開始する責任があります。
12.5. インシデントの報告とレビュー
当社は、適用される法律および規制の要求に従って、クライアント、規制当局、法執行機関などの関係者にセキュリティ インシデントを報告するための手順を確立しています。 また、インシデント対応プロセス全体を通じて影響を受ける関係者とのコミュニケーションを維持し、インシデントのステータスとその影響を軽減するために講じられている措置に関する最新情報をタイムリーに提供します。 また、根本的な原因を特定し、同様のインシデントが将来発生しないようにするために、すべてのセキュリティ インシデントのレビューを実施します。
パート 13. 事業継続管理と災害復旧
13.1. 事業継続計画
European IT Certification Institute は非営利団体ですが、破壊的なインシデントが発生した場合に業務の継続性を確保するための手順を概説した事業継続計画 (BCP) があります。 BCP はすべての重要な運用プロセスをカバーし、破壊的なインシデントの発生中および発生後に運用を維持するために必要なリソースを特定します。 また、混乱や災害時に事業運営を維持し、混乱の影響を評価し、特定の破壊的なインシデントのコンテキストで最も重要な運用プロセスを特定し、対応と回復の手順を開発するための手順についても概説します。
13.2. 災害復旧計画
欧州 IT 認定機関には、障害や災害が発生した場合に情報システムを回復するための手順を概説する災害復旧計画 (DRP) があります。 DRP には、データ バックアップ、データ復元、およびシステム リカバリの手順が含まれます。 DRP は、その有効性を確保するために定期的にテストおよび更新されます。
13.3.ビジネス影響分析
ビジネス インパクト分析 (BIA) を実施して、重要な運用プロセスとそれらを維持するために必要なリソースを特定します。 BIA は、復旧作業に優先順位を付け、それに応じてリソースを割り当てるのに役立ちます。
13.4. 事業継続戦略
BIA の結果に基づいて、破壊的なインシデントに対応するための手順を概説した事業継続戦略を策定します。 この戦略には、BCP の有効化、重要な運用プロセスの復元、および関連する利害関係者とのコミュニケーションのための手順が含まれています。
13.5. テストとメンテナンス
BCP と DRP を定期的にテストして維持し、その有効性と関連性を確認しています。 BCP/DRPを検証し、改善すべき領域を特定するために定期的なテストを実施します。 また、必要に応じて BCP と DRP を更新して、運用または脅威の状況の変化を反映します。 テストには、卓上での演習、シミュレーション、手順のライブ テストが含まれます。 また、テストの結果と得られた教訓に基づいて計画を見直し、更新します。
13.6. 代替処理サイト
混乱や災害が発生した場合に事業を継続するために使用できる代替のオンライン処理サイトを維持しています。 代替処理サイトには、必要なインフラストラクチャとシステムが装備されており、重要なビジネス プロセスをサポートするために使用できます。
パート 14. コンプライアンスと監査
14.1. 法令遵守
European IT Certification Institute は、データ保護法、業界標準、契約上の義務など、情報セキュリティとプライバシーに関連するすべての適用法および規制を遵守することを約束します。 ポリシー、手順、および管理を定期的に見直して更新し、関連するすべての要件と標準に準拠していることを確認します。 情報セキュリティのコンテキストで従う主な標準とフレームワークには、次のものがあります。
- ISO/IEC 27001 規格は、主要コンポーネントとして脆弱性管理を含む情報セキュリティ管理システム (ISMS) の実装と管理のガイドラインを提供します。 これは、脆弱性管理を含む情報セキュリティ管理システム (ISMS) を実装および維持するための参照フレームワークを提供します。 この標準条項に準拠して、脆弱性を含む情報セキュリティ リスクを特定、評価、および管理します。
- 米国国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークは、脆弱性管理を含むサイバーセキュリティ リスクを特定、評価、および管理するためのガイドラインを提供します。
- 米国国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワークは、サイバーセキュリティ リスク管理を改善するためのもので、脆弱性管理を含む主要な機能セットを備えており、サイバーセキュリティ リスクを管理するために順守しています。
- SANS Critical Security Controls には、サイバーセキュリティを改善するための 20 のセキュリティ コントロールのセットが含まれており、脆弱性管理を含むさまざまな領域をカバーし、脆弱性スキャン、パッチ管理、およびその他の脆弱性管理の側面に関する具体的なガイダンスを提供します。
- Payment Card Industry Data Security Standard (PCI DSS) では、このコンテキストでの脆弱性管理に関してクレジット カード情報の取り扱いが求められています。
- Center for Internet Security Controls (CIS) には、情報システムの安全な構成を確保するための重要な制御の XNUMX つとして脆弱性管理が含まれています。
- Open Web Application Security Project (OWASP) は、インジェクション攻撃、壊れた認証とセッション管理、クロスサイト スクリプティング (XSS) などの脆弱性評価を含む、最も重大な Web アプリケーション セキュリティ リスクのトップ 10 リストを備えています。 OWASP トップ 10 を使用して、脆弱性管理の取り組みに優先順位を付け、Web システムに関する最も重大なリスクに焦点を当てます。
14.2. 内部監査
当社は定期的な内部監査を実施して、当社の情報セキュリティ管理システム (ISMS) の有効性を評価し、当社のポリシー、手順、および管理が遵守されていることを確認します。 内部監査プロセスには、不適合の特定、是正措置の策定、是正努力の追跡が含まれます。
14.3. 外部監査
当社は定期的に外部監査人と協力して、適用される法律、規制、および業界標準への準拠を検証しています。 当社は、コンプライアンスを検証するために必要に応じて、監査人に当社の施設、システム、および文書へのアクセスを提供します。 また、外部監査人と協力して、監査プロセス中に特定された調査結果や推奨事項に対処します。
14.4. コンプライアンス監視
当社は、適用される法律、規制、および業界標準への準拠を継続的に監視しています。 当社は、定期的な評価、監査、第三者プロバイダーのレビューなど、コンプライアンスを監視するためにさまざまな方法を使用しています。 また、ポリシー、手順、および管理を定期的に見直して更新し、関連するすべての要件に継続的に準拠していることを確認します。
パート 15. サードパーティの管理
15.1. 第三者管理ポリシー
European IT Certification Institute には、当社の情報資産またはシステムにアクセスできるサードパーティ プロバイダーを選択、評価、および監視するための要件を概説するサードパーティ管理ポリシーがあります。 このポリシーは、クラウド サービス プロバイダー、ベンダー、請負業者など、すべてのサードパーティ プロバイダーに適用されます。
15.2. 第三者の選択と評価
当社は、第三者プロバイダーと提携する前にデューデリジェンスを実施し、当社の情報資産またはシステムを保護するための適切なセキュリティ管理が実施されていることを確認します。 また、情報セキュリティとプライバシーに関連する適用法および規制に対するサードパーティ プロバイダーのコンプライアンスも評価します。
15.3. サードパーティの監視
当社は第三者プロバイダーを継続的に監視し、情報セキュリティとプライバシーに関する当社の要件を引き続き満たしていることを確認します。 当社は、定期的な評価、監査、セキュリティ インシデント レポートのレビューなど、さまざまな方法を使用してサードパーティ プロバイダーを監視しています。
15.4. 契約上の要件
第三者プロバイダーとのすべての契約には、情報セキュリティとプライバシーに関連する契約上の要件が含まれています。 これらの要件には、データ保護、セキュリティ管理、インシデント管理、コンプライアンス監視の規定が含まれます。 また、セキュリティインシデントまたはコンプライアンス違反が発生した場合の契約の終了に関する規定も含まれています。
パート 16. 認証プロセスにおける情報セキュリティ
16.1 認証プロセスのセキュリティ
私たちは、認定を求める個人の個人データを含む、認定プロセスに関連するすべての情報のセキュリティを確保するために、適切かつ体系的な対策を講じています。 これには、すべての認証関連情報のアクセス、保管、および送信の管理が含まれます。 これらの措置を実施することにより、認定プロセスが最高レベルのセキュリティと完全性で実施され、認定を求める個人の個人データが関連する規制と基準に従って保護されることを保証することを目指しています。
16.2. 認証と認可
認証および承認制御を使用して、承認された担当者のみが証明書情報にアクセスできるようにします。 アクセス制御は、担当者の役割と責任の変更に基づいて定期的に見直され、更新されます。
16.3 データ保護
当社は、データの機密性、完全性、および可用性を確保するための適切な技術的および組織的対策を実施することにより、認定プロセス全体を通じて個人データを保護します。 これには、暗号化、アクセス制御、定期的なバックアップなどの対策が含まれます。
16.4. 審査プロセスのセキュリティ
不正行為の防止、試験環境の監視および制御のための適切な措置を講じることにより、試験プロセスのセキュリティを確保します。 また、安全な保管手順により、試験資料の完全性と機密性を維持します。
16.5. 審査内容のセキュリティ
試験内容の不正アクセス、改ざん、漏えいを防止するための適切な対策を講じることにより、試験内容の安全性を確保します。 これには、試験コンテンツの安全な保管、暗号化、およびアクセス制御の使用、ならびに試験コンテンツの無許可の配布または流布を防止するための制御が含まれます。
16.6. 検査配信のセキュリティ
試験環境への不正アクセスや不正操作を防止するための適切な対策を実施することにより、試験実施のセキュリティを確保します。 これには、不正行為やその他のセキュリティ違反を防止するための、試験環境および特定の試験アプローチの監視、監査、制御などの手段が含まれます。
16.7. 審査結果のセキュリティ
不正アクセス、改ざん、結果の開示を防ぐための適切な措置を講じることにより、検査結果のセキュリティを確保します。 これには、検査結果の安全な保管、暗号化、およびアクセス制御の使用、ならびに検査結果の無許可の配布または流布を防止するための制御が含まれます。
16.8. 証明書発行のセキュリティ
証明書の不正発行や不正発行を防止するための適切な対策を実施することにより、証明書発行のセキュリティを確保します。 これには、証明書を受け取る個人の身元を確認するための管理、および安全な保管と発行手順が含まれます。
16.9. 苦情および不服申し立て
私たちは、認定プロセスに関連する苦情や異議申し立てを管理するための手順を確立しました。 これらの手順には、プロセスの機密性と公平性、および苦情と上訴に関連する情報のセキュリティを確保するための措置が含まれます。
16.10. 認証プロセス 品質管理
プロセスの有効性、効率性、およびセキュリティを確保するための手段を含む認証プロセスの品質管理システム (QMS) を確立しています。 QMS には、プロセスとそのセキュリティ管理の定期的な監査とレビューが含まれます。
16.11. 認証プロセスのセキュリティの継続的な改善
私たちは、認定プロセスとそのセキュリティ管理の継続的な改善に取り組んでいます。 これには、情報セキュリティ管理の ISO 27001 規格および ISO に準拠した、ビジネス環境の変化、規制要件、および情報セキュリティ管理のベスト プラクティスに基づいた、認証関連のポリシーおよび手順セキュリティの定期的なレビューと更新が含まれます。 17024 認証機関の運用基準。
パート 17. 最終規定
17.1. ポリシーの見直しと更新
この情報セキュリティ ポリシーは、運用要件、規制要件、または情報セキュリティ管理のベスト プラクティスの変更に基づいて継続的にレビューおよび更新される生きた文書です。
17.2. コンプライアンス監視
当社は、この情報セキュリティ ポリシーおよび関連するセキュリティ管理への準拠を監視するための手順を確立しています。 コンプライアンスの監視には、セキュリティ管理の定期的な監査、評価、レビュー、およびこのポリシーの目的を達成するための有効性が含まれます。
17.3. セキュリティ インシデントの報告
当社は、個人の個人データに関連するものを含め、当社の情報システムに関連するセキュリティ インシデントを報告するための手順を確立しています。 従業員、請負業者、およびその他の利害関係者は、セキュリティ インシデントまたはインシデントの疑いがある場合は、できるだけ早く指定されたセキュリティ チームに報告することをお勧めします。
17.4.トレーニングと認識
従業員、請負業者、およびその他の利害関係者に定期的なトレーニングと意識向上プログラムを提供し、情報セキュリティに関連する責任と義務を確実に認識できるようにします。 これには、セキュリティ ポリシーと手順、および個人の個人データを保護するための対策に関するトレーニングが含まれます。
17.5.責任と説明責任
当社は、すべての従業員、請負業者、およびその他の利害関係者に、この情報セキュリティ ポリシーおよび関連するセキュリティ管理を遵守する責任を負わせます。 また、効果的な情報セキュリティ管理を実装および維持するために適切なリソースが割り当てられていることを確認する責任を経営陣に負わせます。
この情報セキュリティ ポリシーは、Euroepan IT Certification Institute の情報セキュリティ管理フレームワークの重要な要素であり、情報資産と処理されたデータを保護し、情報の機密性、プライバシー、完全性、および可用性を確保し、規制および契約上の要件を遵守するという当社の取り組みを示しています。