Informatiebeveiligingsbeleid
EITCA Academy Informatiebeveiligingsbeleid
Dit document specificeert het informatiebeveiligingsbeleid (ISP) van het European IT Certification Institute, dat regelmatig wordt herzien en bijgewerkt om de doeltreffendheid en relevantie ervan te waarborgen. De laatste update van het EITCI-informatiebeveiligingsbeleid is gemaakt op 7 januari 2023.
Deel 1. Inleiding en verklaring informatiebeveiligingsbeleid
1.1. Inleiding
Het European IT Certification Institute erkent het belang van informatiebeveiliging bij het handhaven van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en het vertrouwen van onze belanghebbenden. We doen er alles aan om gevoelige informatie, inclusief persoonsgegevens, te beschermen tegen ongeoorloofde toegang, openbaarmaking, wijziging en vernietiging. We handhaven een effectief informatiebeveiligingsbeleid ter ondersteuning van onze missie om betrouwbare en onpartijdige certificeringsdiensten aan onze klanten te bieden. Het informatiebeveiligingsbeleid schetst onze toewijding om informatieactiva te beschermen en te voldoen aan onze wettelijke, regelgevende en contractuele verplichtingen. Ons beleid is gebaseerd op de principes van ISO 27001 en ISO 17024, de leidende internationale standaarden voor informatiebeveiligingsmanagement en operationele standaarden van certificatie-instellingen.
1.2. Beleidsverklaring
Het European IT Certification Institute zet zich in voor:
- Het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatiemiddelen,
- Voldoen aan wettelijke, regelgevende en contractuele verplichtingen met betrekking tot informatiebeveiliging en verwerking van gegevens bij het implementeren van haar certificeringsprocessen en -activiteiten,
- Het continu verbeteren van haar informatiebeveiligingsbeleid en het bijbehorende managementsysteem,
- Zorgen voor adequate training en bewustmaking van werknemers, aannemers en deelnemers,
- Het betrekken van alle medewerkers en opdrachtnemers bij de implementatie en het onderhoud van het informatiebeveiligingsbeleid en het bijbehorende informatiebeveiligingsmanagementsysteem.
1.3. strekking
Dit beleid is van toepassing op alle informatiemiddelen die eigendom zijn van, beheerd worden door of verwerkt worden door het European IT Certification Institute. Dit omvat alle digitale en fysieke informatiemiddelen, zoals systemen, netwerken, software, gegevens en documentatie. Dit beleid is ook van toepassing op alle werknemers, aannemers en externe dienstverleners die toegang hebben tot onze informatiemiddelen.
1.4. Nakoming
Het European IT Certification Institute zet zich in om te voldoen aan relevante informatiebeveiligingsnormen, waaronder ISO 27001 en ISO 17024. We herzien en actualiseren dit beleid regelmatig om ervoor te zorgen dat het voortdurend relevant is en aan deze normen voldoet.
Deel 2. Organisatorische beveiliging
2.1. Beveiligingsdoelen van de organisatie
Door organisatorische beveiligingsmaatregelen te implementeren, streven we ernaar ervoor te zorgen dat onze informatie-activa en gegevensverwerkingspraktijken en -procedures worden uitgevoerd met het hoogste niveau van beveiliging en integriteit, en dat we voldoen aan relevante wettelijke voorschriften en normen.
2.2. Rollen en verantwoordelijkheden voor informatiebeveiliging
Het European IT Certification Institute definieert en communiceert rollen en verantwoordelijkheden voor informatiebeveiliging in de hele organisatie. Dit omvat het toewijzen van duidelijk eigenaarschap voor informatiemiddelen in verband met de informatiebeveiliging, het opzetten van een bestuursstructuur en het definiëren van specifieke verantwoordelijkheden voor verschillende rollen en afdelingen in de hele organisatie.
2.3. Risicomanagement
We voeren regelmatig risicobeoordelingen uit om informatiebeveiligingsrisico's voor de organisatie te identificeren en te prioriteren, inclusief risico's met betrekking tot de verwerking van persoonsgegevens. We stellen passende controles in om deze risico's te beperken, en evalueren en actualiseren regelmatig onze risicobeheerbenadering op basis van veranderingen in de zakelijke omgeving en het bedreigingslandschap.
2.4. Informatiebeveiligingsbeleid en -procedures
We stellen een reeks informatiebeveiligingsbeleidslijnen en -procedures op en onderhouden deze, die zijn gebaseerd op best practices in de branche en die voldoen aan de relevante regelgeving en normen. Dit beleid en deze procedures hebben betrekking op alle aspecten van informatiebeveiliging, inclusief de verwerking van persoonsgegevens, en worden regelmatig herzien en bijgewerkt om hun doeltreffendheid te waarborgen.
2.5. Beveiligingsbewustzijn en training
We bieden regelmatig beveiligingsbewustzijn en trainingsprogramma's aan alle werknemers, aannemers en externe partners die toegang hebben tot persoonlijke gegevens of andere gevoelige informatie. Deze training behandelt onderwerpen als phishing, social engineering, wachtwoordhygiëne en andere best practices voor informatiebeveiliging.
2.6. Fysieke en omgevingsbeveiliging
We implementeren passende fysieke en omgevingsbeveiligingscontroles om te beschermen tegen ongeoorloofde toegang, schade of interferentie met onze faciliteiten en informatiesystemen. Dit omvat maatregelen zoals toegangscontroles, bewaking, monitoring en back-upstroom- en koelsystemen.
2.7. Beheer van informatiebeveiligingsincidenten
We hebben een proces voor incidentbeheer opgezet waarmee we snel en effectief kunnen reageren op eventuele informatiebeveiligingsincidenten. Dit omvat procedures voor het melden, escaleren, onderzoeken en oplossen van incidenten, evenals maatregelen om herhaling te voorkomen en onze mogelijkheden om op incidenten te reageren te verbeteren.
2.8. Operationele continuïteit en noodherstel
We hebben operationele continuïteits- en noodherstelplannen opgesteld en getest die ons in staat stellen om onze kritieke operationele functies en diensten te behouden in het geval van een storing of ramp. Deze plannen bevatten procedures voor back-up en herstel van gegevens en systemen, en maatregelen om de beschikbaarheid en integriteit van persoonsgegevens te waarborgen.
2.9. Beheer door derden
We stellen passende controles in en handhaven deze voor het beheersen van de risico's die verband houden met externe partners die toegang hebben tot persoonlijke gegevens of andere gevoelige informatie. Dit omvat maatregelen zoals due diligence, contractuele verplichtingen, monitoring en audits, evenals maatregelen voor het indien nodig beëindigen van partnerschappen.
Deel 3. Beveiliging van personeel
3.1. Werkgelegenheidsscreening
Het European IT Certification Institute heeft een procedure voor arbeidsscreening opgezet om ervoor te zorgen dat personen met toegang tot gevoelige informatie betrouwbaar zijn en over de nodige vaardigheden en kwalificaties beschikken.
3.2. Toegangscontrole
We hebben beleid en procedures voor toegangscontrole opgesteld om ervoor te zorgen dat werknemers alleen toegang hebben tot de informatie die nodig is voor hun functieverantwoordelijkheden. De toegangsrechten worden regelmatig herzien en bijgewerkt om ervoor te zorgen dat werknemers alleen toegang hebben tot de informatie die ze nodig hebben.
3.3. Bewustwording en training van informatiebeveiliging
We geven regelmatig informatiebeveiligingstrainingen aan alle medewerkers. Deze training behandelt onderwerpen als wachtwoordbeveiliging, phishing-aanvallen, social engineering en andere aspecten van cybersecurity.
3.4. Aanvaardbaar gebruik
We hebben een beleid voor acceptabel gebruik opgesteld dat het acceptabele gebruik van informatiesystemen en -bronnen schetst, inclusief persoonlijke apparaten die voor werkdoeleinden worden gebruikt.
3.5. Beveiliging van mobiele apparaten
We hebben beleid en procedures opgesteld voor het veilig gebruik van mobiele apparaten, inclusief het gebruik van toegangscodes, codering en mogelijkheden voor wissen op afstand.
3.6. Beëindigingsprocedures
Het European IT Certification Institute heeft procedures opgesteld voor de beëindiging van het dienstverband of contract om ervoor te zorgen dat de toegang tot gevoelige informatie onmiddellijk en veilig wordt ingetrokken.
3.7. Personeel van derden
We hebben procedures opgesteld voor het beheer van personeel van derden dat toegang heeft tot gevoelige informatie. Dit beleid omvat screening, toegangscontrole en voorlichting over informatiebeveiliging.
3.8. Incidenten melden
We hebben beleid en procedures opgesteld voor het melden van informatiebeveiligingsincidenten of zorgen aan het juiste personeel of de juiste autoriteiten.
3.9. Vertrouwelijkheidsovereenkomsten
Het European IT Certification Institute vereist dat werknemers en aannemers geheimhoudingsovereenkomsten ondertekenen om gevoelige informatie te beschermen tegen ongeoorloofde openbaarmaking.
3.10. Disciplinaire maatregelen
Het European IT Certification Institute heeft beleid en procedures opgesteld voor disciplinaire maatregelen in het geval van schendingen van het informatiebeveiligingsbeleid door werknemers of contractanten.
Deel 4. Risicobeoordeling en -beheer
4.1. Risicobeoordeling
We voeren periodieke risicobeoordelingen uit om potentiële bedreigingen en kwetsbaarheden voor onze informatiemiddelen te identificeren. We gebruiken een gestructureerde aanpak om risico's te identificeren, analyseren, evalueren en prioriteren op basis van hun waarschijnlijkheid en potentiële impact. We beoordelen de risico's die verband houden met onze informatiemiddelen, waaronder systemen, netwerken, software, gegevens en documentatie.
4.2. Risicobehandeling
We gebruiken een risicobehandelingsproces om risico's te mitigeren of terug te brengen tot een acceptabel niveau. Het risicobehandelingsproces omvat het selecteren van passende controles, het implementeren van controles en het bewaken van de effectiviteit van controles. We prioriteren de implementatie van controles op basis van het risiconiveau, beschikbare middelen en zakelijke prioriteiten.
4.3. Risicobewaking en beoordeling
We monitoren en beoordelen regelmatig de effectiviteit van ons risicobeheerproces om ervoor te zorgen dat het relevant en effectief blijft. We gebruiken maatstaven en indicatoren om de prestaties van ons risicobeheerproces te meten en kansen voor verbetering te identificeren. We herzien ook ons risicobeheerproces als onderdeel van onze periodieke managementbeoordelingen om de voortdurende geschiktheid, toereikendheid en effectiviteit ervan te waarborgen.
4.4. Risicoresponsplanning
We hebben een risicoresponsplan opgesteld om ervoor te zorgen dat we effectief kunnen reageren op geïdentificeerde risico's. Dit plan omvat procedures voor het identificeren en rapporteren van risico's, evenals processen voor het beoordelen van de potentiële impact van elk risico en het bepalen van passende reactiemaatregelen. We hebben ook noodplannen opgesteld om de bedrijfscontinuïteit te waarborgen in het geval van een significante risicogebeurtenis.
4.5. Operationele Impact Analyse
We voeren periodieke bedrijfsimpactanalyses uit om de potentiële impact van verstoringen op onze bedrijfsvoering in kaart te brengen. Deze analyse omvat een beoordeling van de kriticiteit van onze bedrijfsfuncties, systemen en gegevens, evenals een evaluatie van de potentiële impact van verstoringen op onze klanten, werknemers en andere belanghebbenden.
4.6. Risicobeheer door derden
We hebben een risicobeheerprogramma van derden om ervoor te zorgen dat onze leveranciers en andere externe dienstverleners de risico's ook op de juiste manier beheren. Dit programma omvat due diligence-controles alvorens met derden in zee te gaan, voortdurende monitoring van activiteiten van derden en periodieke beoordelingen van risicobeheerpraktijken van derden.
4.7. Incidentrespons en -beheer
We hebben een incidentrespons- en beheerplan om ervoor te zorgen dat we effectief kunnen reageren op beveiligingsincidenten. Dit plan omvat procedures voor het identificeren en rapporteren van incidenten, evenals processen voor het beoordelen van de impact van elk incident en het bepalen van passende responsacties. We hebben ook een bedrijfscontinuïteitsplan om ervoor te zorgen dat kritieke bedrijfsfuncties kunnen worden voortgezet in het geval van een significant incident.
Deel 5. Fysieke en omgevingsbeveiliging
5.1. Fysieke beveiligingsperimeter
We hebben fysieke beveiligingsmaatregelen getroffen om de fysieke gebouwen en gevoelige informatie te beschermen tegen ongeoorloofde toegang.
5.2. Toegangscontrole
We hebben beleid en procedures voor toegangscontrole opgesteld voor de fysieke gebouwen om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot gevoelige informatie.
5.3. Apparatuur beveiliging
We zorgen ervoor dat alle apparatuur die gevoelige informatie bevat fysiek is beveiligd en dat toegang tot deze apparatuur is beperkt tot alleen geautoriseerd personeel.
5.4. Veilige verwijdering
We hebben procedures opgesteld voor de veilige verwijdering van gevoelige informatie, waaronder papieren documenten, elektronische media en hardware.
5.5. Fysieke omgeving
We zorgen ervoor dat de fysieke omgeving van het pand, inclusief temperatuur, vochtigheid en verlichting, geschikt is voor de bescherming van gevoelige informatie.
5.6. Stroomvoorziening
We zorgen ervoor dat de stroomvoorziening naar het pand betrouwbaar is en beschermd tegen stroomuitval of spanningspieken.
5.7. Brandbeveiliging
We hebben brandbeveiligingsbeleid en -procedures opgesteld, inclusief de installatie en het onderhoud van branddetectie- en blussystemen.
5.8. Bescherming tegen waterschade
We hebben beleid en procedures opgesteld om gevoelige informatie te beschermen tegen waterschade, inclusief de installatie en het onderhoud van overstromingsdetectie- en preventiesystemen.
5.9. Apparatuuronderhoud
We hebben procedures opgesteld voor het onderhoud van apparatuur, inclusief de inspectie van apparatuur op tekenen van sabotage of ongeoorloofde toegang.
5.10. Aanvaardbaar gebruik
We hebben een beleid voor acceptabel gebruik opgesteld dat het acceptabele gebruik van fysieke middelen en faciliteiten schetst.
5.11. Externe toegang
We hebben beleid en procedures opgesteld voor toegang op afstand tot gevoelige informatie, inclusief het gebruik van beveiligde verbindingen en encryptie.
5.12. Toezicht en Toezicht
We hebben beleid en procedures opgesteld voor het monitoren en bewaken van de fysieke gebouwen en apparatuur om ongeoorloofde toegang of sabotage te detecteren en te voorkomen.
Deel. 6. Beveiliging van communicatie en operaties
6.1. Beheer van netwerkbeveiliging
We hebben beleid en procedures opgesteld voor het beheer van netwerkbeveiliging, inclusief het gebruik van firewalls, systemen voor inbraakdetectie en -preventie, en regelmatige beveiligingsaudits.
6.2. Informatieoverdracht
We hebben beleid en procedures opgesteld voor de veilige overdracht van gevoelige informatie, inclusief het gebruik van codering en veilige protocollen voor bestandsoverdracht.
6.3. Communicatie van derden
We hebben beleid en procedures opgesteld voor de veilige uitwisseling van gevoelige informatie met externe organisaties, inclusief het gebruik van beveiligde verbindingen en encryptie.
6.4. Mediaverwerking
We hebben procedures opgesteld voor de omgang met gevoelige informatie in verschillende vormen van media, waaronder papieren documenten, elektronische media en draagbare opslagapparaten.
6.5. Ontwikkeling en onderhoud van informatiesystemen
We hebben beleid en procedures opgesteld voor de ontwikkeling en het onderhoud van informatiesystemen, inclusief het gebruik van veilige coderingspraktijken, regelmatige software-updates en patchbeheer.
6.6. Bescherming tegen malware en virussen
We hebben beleid en procedures opgesteld om informatiesystemen te beschermen tegen malware en virussen, inclusief het gebruik van antivirussoftware en regelmatige beveiligingsupdates.
6.7. Back-up en herstel
We hebben beleid en procedures opgesteld voor het maken van back-ups en het herstellen van gevoelige informatie om gegevensverlies of corruptie te voorkomen.
6.8. Evenement management
We hebben beleid en procedures opgesteld voor het identificeren, onderzoeken en oplossen van beveiligingsincidenten en -gebeurtenissen.
6.9. Beheer van kwetsbaarheden
We hebben beleid en procedures opgesteld voor het beheer van kwetsbaarheden in informatiesystemen, inclusief het gebruik van regelmatige kwetsbaarheidsbeoordelingen en patchbeheer.
6.10. Toegangscontrole
We hebben beleid en procedures opgesteld voor het beheer van gebruikerstoegang tot informatiesystemen, inclusief het gebruik van toegangscontroles, gebruikersauthenticatie en regelmatige toegangscontroles.
6.11. Bewaking en logboekregistratie
We hebben beleid en procedures opgesteld voor het monitoren en vastleggen van informatiesysteemactiviteiten, inclusief het gebruik van audittrajecten en het vastleggen van beveiligingsincidenten.
Deel 7. Aankoop, ontwikkeling en onderhoud van informatiesystemen
7.1. Vereisten
We hebben beleidsregels en procedures opgesteld voor het identificeren van informatiesysteemvereisten, waaronder zakelijke vereisten, wettelijke en regelgevende vereisten en beveiligingsvereisten.
7.2. Leveranciersrelaties
We hebben beleid en procedures opgesteld voor het beheer van relaties met externe leveranciers van informatiesystemen en diensten, inclusief de evaluatie van de beveiligingspraktijken van leveranciers.
7.3. Systeemontwikkeling
We hebben beleid en procedures opgesteld voor de veilige ontwikkeling van informatiesystemen, inclusief het gebruik van veilige coderingspraktijken, regelmatige tests en kwaliteitsborging.
7.4. Systeem testen
We hebben beleid en procedures opgesteld voor het testen van informatiesystemen, waaronder het testen van functionaliteit, prestatietesten en beveiligingstesten.
7.5. Systeem acceptatie
We hebben beleid en procedures opgesteld voor de acceptatie van informatiesystemen, inclusief de goedkeuring van testresultaten, beveiligingsbeoordelingen en gebruikersacceptatietests.
7.6. Systeemonderhoud
We hebben beleid en procedures opgesteld voor het onderhoud van informatiesystemen, waaronder regelmatige updates, beveiligingspatches en systeemback-ups.
7.7. Systeem pensionering
We hebben beleid en procedures opgesteld voor het buiten gebruik stellen van informatiesystemen, inclusief de veilige verwijdering van hardware en gegevens.
7.8. Dataretentie
We hebben beleid en procedures opgesteld voor het bewaren van gegevens in overeenstemming met wettelijke en regelgevende vereisten, inclusief de veilige opslag en verwijdering van gevoelige gegevens.
7.9. Beveiligingseisen voor informatiesystemen
We hebben beleid en procedures opgesteld voor het identificeren en implementeren van beveiligingsvereisten voor informatiesystemen, inclusief toegangscontrole, encryptie en gegevensbescherming.
7.10. Veilige ontwikkelomgevingen
We hebben beleid en procedures opgesteld voor de veilige ontwikkelomgevingen voor informatiesystemen, inclusief het gebruik van veilige ontwikkelpraktijken, toegangscontroles en veilige netwerkconfiguraties.
7.11. Bescherming van testomgevingen
We hebben beleid en procedures opgesteld voor de bescherming van testomgevingen voor informatiesystemen, inclusief het gebruik van veilige configuraties, toegangscontroles en regelmatige beveiligingstests.
7.12. Principes voor veilige systeemtechniek
We hebben beleid en procedures opgesteld voor de implementatie van principes voor veilige systeemtechniek voor informatiesystemen, waaronder het gebruik van beveiligingsarchitecturen, bedreigingsmodellering en veilige coderingspraktijken.
7.13. Richtlijnen voor veilige codering
We hebben beleid en procedures opgesteld voor de implementatie van veilige coderingsrichtlijnen voor informatiesystemen, inclusief het gebruik van coderingsstandaarden, codebeoordelingen en geautomatiseerd testen.
Deel 8. Hardware-acquisitie
8.1. Naleving van normen
We houden ons aan de ISO 27001-norm voor informatiebeveiligingsbeheersystemen (ISMS) om ervoor te zorgen dat hardwaremiddelen worden aangeschaft in overeenstemming met onze beveiligingsvereisten.
8.2. Risicobeoordeling
Voordat we hardware aanschaffen, voeren we een risicobeoordeling uit om potentiële beveiligingsrisico's te identificeren en ervoor te zorgen dat de geselecteerde hardware voldoet aan de beveiligingsvereisten.
8.3. Selectie leveranciers
We kopen alleen hardware-activa van vertrouwde leveranciers die een bewezen staat van dienst hebben in het leveren van veilige producten. We beoordelen het beveiligingsbeleid en de beveiligingspraktijken van leveranciers en eisen van hen dat ze de zekerheid bieden dat hun producten voldoen aan onze beveiligingsvereisten.
8.4. Veilig vervoer
We zorgen ervoor dat hardware-activa veilig naar ons pand worden vervoerd om manipulatie, schade of diefstal tijdens het transport te voorkomen.
8.5. Authenticiteit Verificatie
We verifiëren de authenticiteit van hardware-activa bij levering om ervoor te zorgen dat ze niet vervalst zijn of ermee zijn geknoeid.
8.6. Fysieke en omgevingscontroles
We implementeren passende fysieke en omgevingscontroles om hardwareactiva te beschermen tegen ongeoorloofde toegang, diefstal of schade.
8.7. Hardware-installatie
We zorgen ervoor dat alle hardware-activa worden geconfigureerd en geïnstalleerd in overeenstemming met vastgestelde beveiligingsstandaarden en richtlijnen.
8.8. Hardware beoordelingen
We voeren periodieke beoordelingen uit van hardwaremiddelen om ervoor te zorgen dat ze blijven voldoen aan onze beveiligingsvereisten en up-to-date zijn met de nieuwste beveiligingspatches en -updates.
8.9. Verwijdering van hardware
We verwijderen hardwaremiddelen op een veilige manier om ongeautoriseerde toegang tot gevoelige informatie te voorkomen.
Deel 9. Bescherming tegen malware en virussen
9.1. Software-updatebeleid
We onderhouden up-to-date antivirus- en malwarebeschermingssoftware op alle informatiesystemen die worden gebruikt door het European IT Certification Institute, inclusief servers, werkstations, laptops en mobiele apparaten. We zorgen ervoor dat de antivirus- en malwarebeschermingssoftware is geconfigureerd om de virusdefinitiebestanden en softwareversies regelmatig automatisch bij te werken, en dat dit proces regelmatig wordt getest.
9.2. Scannen van antivirus- en malware
We voeren regelmatig scans uit van alle informatiesystemen, inclusief servers, werkstations, laptops en mobiele apparaten, om eventuele virussen of malware op te sporen en te verwijderen.
9.3. Geen-uitschakelen en geen-veranderend beleid
We handhaven beleid dat gebruikers verbiedt antivirus- en malwarebeschermingssoftware op een informatiesysteem uit te schakelen of te wijzigen.
9.4. Toezicht houden
We monitoren de waarschuwingen en logboeken van onze antivirus- en malwarebeschermingssoftware om eventuele incidenten van virus- of malware-infecties te identificeren en tijdig op dergelijke incidenten te reageren.
9.5. Registratie onderhoud
Voor auditdoeleinden houden we registers bij van de configuratie, updates en scans van antivirus- en malwarebeschermingssoftware, evenals eventuele incidenten van virus- of malware-infecties.
9.6. Softwarerecensies
We voeren periodieke beoordelingen uit van onze antivirus- en malwarebeschermingssoftware om ervoor te zorgen dat deze voldoet aan de huidige industrienormen en geschikt is voor onze behoeften.
9.7. Training en bewustzijn
We bieden trainings- en bewustmakingsprogramma's om alle medewerkers te informeren over het belang van bescherming tegen virussen en malware en hoe verdachte activiteiten of incidenten kunnen worden herkend en gemeld.
Deel 10. Beheer van informatiemiddelen
10.1. Inventaris van informatiemiddelen
Het European IT Certification Institute houdt een inventaris bij van informatiemiddelen die alle digitale en fysieke informatiemiddelen omvat, zoals systemen, netwerken, software, gegevens en documentatie. We classificeren informatiemiddelen op basis van hun kriticiteit en gevoeligheid om ervoor te zorgen dat passende beschermingsmaatregelen worden geïmplementeerd.
10.2. Behandeling van informatiemiddelen
We implementeren passende maatregelen om informatiemiddelen te beschermen op basis van hun classificatie, waaronder vertrouwelijkheid, integriteit en beschikbaarheid. We zorgen ervoor dat alle informatiemiddelen worden behandeld in overeenstemming met de toepasselijke wet- en regelgeving en contractuele vereisten. We zorgen er ook voor dat alle informatiemiddelen op de juiste manier worden opgeslagen, beschermd en verwijderd wanneer ze niet langer nodig zijn.
10.3. Eigendom van informatiemiddelen
We wijzen het eigendom van informatiemiddelen toe aan personen of afdelingen die verantwoordelijk zijn voor het beheer en de bescherming van informatiemiddelen. We zorgen er ook voor dat eigenaren van informatie-activa hun verantwoordelijkheden en verantwoordelijkheden voor het beschermen van informatie-activa begrijpen.
10.4. Bescherming van informatiemiddelen
We gebruiken verschillende beveiligingsmaatregelen om informatiemiddelen te beschermen, waaronder fysieke controles, toegangscontroles, codering en back-up- en herstelprocessen. We zorgen er ook voor dat alle informatiemiddelen worden beschermd tegen ongeoorloofde toegang, wijziging of vernietiging.
Deel 11. Toegangscontrole
11.1. Toegangscontrolebeleid
Het European IT Certification Institute heeft een toegangscontrolebeleid dat de vereisten schetst voor het verlenen, wijzigen en intrekken van toegang tot informatiemiddelen. Toegangscontrole is een cruciaal onderdeel van ons beheersysteem voor informatiebeveiliging en we implementeren het om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot onze informatiemiddelen.
11.2. Implementatie van toegangscontrole
We implementeren maatregelen voor toegangscontrole op basis van het principe van de minste privileges, wat betekent dat individuen alleen toegang hebben tot de informatiemiddelen die nodig zijn om hun functie uit te voeren. We gebruiken verschillende toegangscontrolemaatregelen, waaronder authenticatie, autorisatie en accounting (AAA). We gebruiken ook toegangscontrolelijsten (ACL's) en machtigingen om de toegang tot informatiemiddelen te controleren.
11.3. Wachtwoordbeleid
Het European IT Certification Institute heeft een wachtwoordbeleid dat de vereisten schetst voor het aanmaken en beheren van wachtwoorden. We hebben sterke wachtwoorden nodig die minimaal 8 tekens lang zijn, met een combinatie van hoofdletters en kleine letters, cijfers en speciale tekens. We vereisen ook periodieke wachtwoordwijzigingen en verbieden het hergebruik van eerdere wachtwoorden.
11.4. Gebruikersbeheer
We hebben een gebruikersbeheerproces dat het maken, wijzigen en verwijderen van gebruikersaccounts omvat. Gebruikersaccounts worden gemaakt op basis van het principe van de minste privileges en er wordt alleen toegang verleend tot de informatiemiddelen die nodig zijn om de functie van het individu uit te voeren. We beoordelen ook regelmatig gebruikersaccounts en verwijderen accounts die niet langer nodig zijn.
Deel 12. Beheer van informatiebeveiligingsincidenten
12.1. Beleid inzake incidentbeheer
Het European IT Certification Institute heeft een Incident Management-beleid dat de vereisten schetst voor het detecteren, rapporteren, beoordelen en reageren op beveiligingsincidenten. We definiëren beveiligingsincidenten als elke gebeurtenis die de vertrouwelijkheid, integriteit of beschikbaarheid van informatieactiva of -systemen in gevaar brengt.
12.2. Detectie en rapportage van incidenten
We implementeren maatregelen om beveiligingsincidenten snel te detecteren en te rapporteren. We gebruiken verschillende methoden om beveiligingsincidenten te detecteren, waaronder inbraakdetectiesystemen (IDS), antivirussoftware en gebruikersrapportage. We zorgen er ook voor dat alle medewerkers op de hoogte zijn van de procedures voor het melden van beveiligingsincidenten en moedigen het melden van alle vermoedelijke incidenten aan.
12.3. Beoordeling en reactie op incidenten
We hebben een proces voor het beoordelen van en reageren op beveiligingsincidenten op basis van hun ernst en impact. We prioriteren incidenten op basis van hun potentiële impact op informatieactiva of -systemen en wijzen geschikte middelen toe om erop te reageren. We hebben ook een responsplan met procedures voor het identificeren, bevatten, analyseren, uitbannen en herstellen van beveiligingsincidenten, evenals het informeren van relevante partijen en het uitvoeren van beoordelingen na incidenten. Onze incidentresponsprocedures zijn ontworpen om een snelle en effectieve reactie te garanderen aan veiligheidsincidenten. De procedures worden regelmatig herzien en bijgewerkt om hun doeltreffendheid en relevantie te waarborgen.
12.4. Incidentresponsteam
We hebben een Incident Response Team (IRT) dat verantwoordelijk is voor het reageren op beveiligingsincidenten. Het IRT is samengesteld uit vertegenwoordigers van verschillende eenheden en staat onder leiding van de Information Security Officer (ISO). De IRT is verantwoordelijk voor het beoordelen van de ernst van incidenten, het beheersen van het incident en het initiëren van de juiste responsprocedures.
12.5. Incidentrapportage en beoordeling
We hebben procedures opgesteld voor het melden van beveiligingsincidenten aan relevante partijen, waaronder klanten, regelgevende instanties en wetshandhavingsinstanties, zoals vereist door toepasselijke wet- en regelgeving. We onderhouden ook de communicatie met de betrokken partijen tijdens het incidentresponsproces, waarbij we tijdig updates verstrekken over de status van het incident en eventuele acties die worden ondernomen om de impact ervan te beperken. We beoordelen ook alle beveiligingsincidenten om de oorzaak te achterhalen en soortgelijke incidenten in de toekomst te voorkomen.
Deel 13. Bedrijfscontinuïteitsbeheer en noodherstel
13.1. Bedrijfscontinuïteitsplanning
Hoewel het European IT Certification Institute een non-profitorganisatie is, heeft het een Business Continuity Plan (BCP) waarin de procedures worden uiteengezet om de continuïteit van de activiteiten te waarborgen in het geval van een storend incident. Het BCP omvat alle kritieke bedrijfsprocessen en identificeert de middelen die nodig zijn om de activiteiten tijdens en na een storend incident in stand te houden. Het schetst ook de procedures voor het handhaven van de bedrijfsvoering tijdens een verstoring of ramp, het beoordelen van de impact van verstoringen, het identificeren van de meest kritieke bedrijfsprocessen in de context van een bepaald verstorend incident en het ontwikkelen van respons- en herstelprocedures.
13.2. Rampenherstelplanning
Het European IT Certification Institute heeft een Disaster Recovery Plan (DRP) dat de procedures schetst voor het herstellen van onze informatiesystemen in het geval van een storing of calamiteit. De DRP bevat procedures voor gegevensback-up, gegevensherstel en systeemherstel. Het DRP wordt regelmatig getest en bijgewerkt om de doeltreffendheid ervan te waarborgen.
13.3. Bedrijfsimpactanalyse
We voeren een Business Impact Analyse (BIA) uit om de kritieke bedrijfsprocessen en de middelen die nodig zijn om deze te onderhouden, te identificeren. De BIA helpt ons prioriteit te geven aan onze herstelinspanningen en dienovereenkomstig middelen toe te wijzen.
13.4. Strategie voor bedrijfscontinuïteit
Op basis van de resultaten van de BIA ontwikkelen we een bedrijfscontinuïteitsstrategie die de procedures schetst voor het reageren op een storend incident. De strategie omvat procedures voor het activeren van de BCP, het herstellen van kritieke bedrijfsprocessen en het communiceren met relevante belanghebbenden.
13.5. Testen en onderhoud
We testen en onderhouden regelmatig onze BCP en DRP om hun effectiviteit en relevantie te waarborgen. We voeren regelmatig testen uit om de BCP/DRP te valideren en verbeterpunten te identificeren. We werken de BCP en DRP indien nodig ook bij om veranderingen in onze activiteiten of het dreigingslandschap weer te geven. Testen omvat tafelbladoefeningen, simulaties en live testen van procedures. We herzien en actualiseren onze plannen ook op basis van de testresultaten en geleerde lessen.
13.6. Alternatieve verwerkingssites
We onderhouden alternatieve online verwerkingssites die kunnen worden gebruikt om de bedrijfsvoering voort te zetten in het geval van een storing of ramp. De alternatieve verwerkingslocaties zijn uitgerust met de nodige infrastructuren en systemen en kunnen worden gebruikt om kritieke bedrijfsprocessen te ondersteunen.
Deel 14. Naleving en controle
14.1. Naleving van wet- en regelgeving
Het European IT Certification Institute zet zich in om te voldoen aan alle toepasselijke wet- en regelgeving met betrekking tot informatiebeveiliging en privacy, inclusief wetten inzake gegevensbescherming, industriestandaarden en contractuele verplichtingen. We herzien en actualiseren regelmatig ons beleid, onze procedures en controles om ervoor te zorgen dat we voldoen aan alle relevante vereisten en normen. De belangrijkste normen en kaders die we volgen in de context van informatiebeveiliging zijn:
- De ISO/IEC 27001-norm die richtlijnen geeft voor de implementatie en het beheer van een informatiebeveiligingsbeheersysteem (ISMS) waarin kwetsbaarheidsbeheer een sleutelcomponent is. Het biedt een referentiekader voor het implementeren en onderhouden van ons informatiebeveiligingsbeheersysteem (ISMS), inclusief kwetsbaarheidsbeheer. In overeenstemming met deze standaardbepalingen identificeren, beoordelen en beheren we informatiebeveiligingsrisico's, inclusief kwetsbaarheden.
- Het Amerikaanse National Institute of Standards and Technology (NIST) Cybersecurity Framework met richtlijnen voor het identificeren, beoordelen en beheren van cyberbeveiligingsrisico's, inclusief beheer van kwetsbaarheden.
- Het National Institute of Standards and Technology (NIST) Cybersecurity Framework voor het verbeteren van cyberbeveiligingsrisicobeheer, met een kernset van functies, waaronder kwetsbaarheidsbeheer waaraan we ons houden om onze cyberbeveiligingsrisico's te beheren.
- De SANS Critical Security Controls bevatten een set van 20 beveiligingscontroles om de cyberbeveiliging te verbeteren, die een reeks gebieden bestrijken, waaronder beheer van kwetsbaarheden, specifieke richtlijnen bieden voor het scannen van kwetsbaarheden, patchbeheer en andere aspecten van kwetsbaarheidsbeheer.
- De Payment Card Industry Data Security Standard (PCI DSS), die in deze context de verwerking van creditcardgegevens vereist met betrekking tot kwetsbaarheidsbeheer.
- Het Center for Internet Security Controls (CIS) inclusief kwetsbaarheidsbeheer als een van de belangrijkste controles om veilige configuraties van onze informatiesystemen te garanderen.
- Het Open Web Application Security Project (OWASP), met zijn Top 10-lijst van de meest kritieke beveiligingsrisico's voor webapplicaties, inclusief beoordeling van kwetsbaarheden zoals injectie-aanvallen, verbroken authenticatie en sessiebeheer, cross-site scripting (XSS), enz. We gebruiken de OWASP Top 10 om prioriteit te geven aan onze inspanningen op het gebied van kwetsbaarheidsbeheer en ons te concentreren op de meest kritieke risico's met betrekking tot onze websystemen.
14.2. Interne audit
We voeren regelmatig interne audits uit om de effectiviteit van ons Information Security Management System (ISMS) te beoordelen en ervoor te zorgen dat ons beleid, onze procedures en controles worden gevolgd. Het interne auditproces omvat de identificatie van non-conformiteiten, de ontwikkeling van corrigerende maatregelen en het volgen van herstelpogingen.
14.3. Externe audit
We overleggen periodiek met externe auditors om onze naleving van toepasselijke wetten, voorschriften en industriestandaarden te valideren. We bieden auditors toegang tot onze faciliteiten, systemen en documentatie zoals vereist om onze naleving te valideren. We werken ook samen met externe auditors om eventuele bevindingen of aanbevelingen die tijdens het auditproces zijn vastgesteld, aan te pakken.
14.4. Nalevingsbewaking
We controleren voortdurend of we de toepasselijke wetten, voorschriften en industriestandaarden naleven. We gebruiken verschillende methoden om naleving te controleren, waaronder periodieke beoordelingen, audits en beoordelingen van externe leveranciers. We herzien en actualiseren ook regelmatig ons beleid, onze procedures en controles om ervoor te zorgen dat we voortdurend voldoen aan alle relevante vereisten.
Deel 15. Beheer door derden
15.1. Beheerbeleid van derden
Het European IT Certification Institute heeft een beheerbeleid voor derden dat de vereisten schetst voor het selecteren, beoordelen en monitoren van externe leveranciers die toegang hebben tot onze informatiemiddelen of -systemen. Het beleid is van toepassing op alle externe providers, inclusief cloudserviceproviders, leveranciers en contractanten.
15.2. Selectie en beoordeling door derden
We voeren due diligence uit voordat we in zee gaan met externe leveranciers om ervoor te zorgen dat ze over adequate beveiligingscontroles beschikken om onze informatieactiva of -systemen te beschermen. We beoordelen ook de naleving door de externe leveranciers van toepasselijke wet- en regelgeving met betrekking tot informatiebeveiliging en privacy.
15.3. Toezicht door derden
We monitoren externe providers voortdurend om ervoor te zorgen dat ze blijven voldoen aan onze vereisten voor informatiebeveiliging en privacy. We gebruiken verschillende methoden om externe providers te controleren, waaronder periodieke beoordelingen, audits en beoordelingen van rapporten over beveiligingsincidenten.
15.4. Contractuele vereisten
We nemen contractuele vereisten met betrekking tot informatiebeveiliging en privacy op in alle contracten met externe leveranciers. Deze vereisten omvatten voorzieningen voor gegevensbescherming, beveiligingscontroles, incidentbeheer en nalevingsbewaking. We nemen ook bepalingen op voor de beëindiging van contracten in het geval van een beveiligingsincident of niet-naleving.
Deel 16. Informatiebeveiliging in certificeringsprocessen
16.1 Beveiliging van certificeringsprocessen
We nemen adequate en systematische maatregelen om de veiligheid van alle informatie met betrekking tot onze certificeringsprocessen te waarborgen, inclusief persoonsgegevens van personen die certificering wensen. Dit omvat controles voor toegang, opslag en verzending van alle certificeringsgerelateerde informatie. Door deze maatregelen te implementeren, streven we ernaar ervoor te zorgen dat de certificeringsprocessen worden uitgevoerd met het hoogste niveau van beveiliging en integriteit, en dat de persoonlijke gegevens van personen die certificering zoeken, worden beschermd in overeenstemming met de relevante regelgeving en normen.
16.2. Authenticatie en authorisatie
We gebruiken authenticatie- en autorisatiecontroles om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot certificeringsinformatie. Toegangscontroles worden regelmatig herzien en bijgewerkt op basis van veranderingen in de rollen en verantwoordelijkheden van het personeel.
16.3. Gegevensbescherming
We beschermen persoonlijke gegevens tijdens het certificeringsproces door passende technische en organisatorische maatregelen te nemen om de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens te waarborgen. Dit omvat maatregelen zoals codering, toegangscontrole en regelmatige back-ups.
16.4. Beveiliging van examenprocessen
We zorgen voor de veiligheid van de examenprocessen door passende maatregelen te nemen om fraude te voorkomen, toezicht te houden op en controle uit te oefenen op de examenomgeving. We handhaven ook de integriteit en vertrouwelijkheid van onderzoeksmateriaal door middel van veilige opslagprocedures.
16.5. Beveiliging van exameninhoud
We zorgen voor de veiligheid van exameninhoud door passende maatregelen te nemen ter bescherming tegen ongeoorloofde toegang, wijziging of openbaarmaking van de inhoud. Dit omvat het gebruik van veilige opslag, codering en toegangscontroles voor exameninhoud, evenals controles om ongeoorloofde distributie of verspreiding van exameninhoud te voorkomen.
16.6. Beveiliging van de levering van examens
We zorgen voor de veiligheid van de examenaflevering door passende maatregelen te nemen om ongeoorloofde toegang tot of manipulatie van de examenomgeving te voorkomen. Dit omvat maatregelen zoals monitoring, auditing en controle van de examenomgeving en bepaalde examenbenaderingen, om fraude of andere inbreuken op de beveiliging te voorkomen.
16.7. Beveiliging van examenresultaten
We zorgen voor de veiligheid van onderzoeksresultaten door passende maatregelen te nemen ter bescherming tegen ongeoorloofde toegang, wijziging of openbaarmaking van de resultaten. Dit omvat het gebruik van veilige opslag, encryptie en toegangscontroles voor examenresultaten, evenals controles om ongeoorloofde verspreiding of verspreiding van examenresultaten te voorkomen.
16.8. Beveiliging van de uitgifte van certificaten
We waarborgen de veiligheid van de uitgifte van certificaten door passende maatregelen te nemen om fraude en ongeoorloofde uitgifte van certificaten te voorkomen. Dit omvat controles voor het verifiëren van de identiteit van personen die certificaten ontvangen en veilige opslag- en uitgifteprocedures.
16.9. Klachten en bezwaarschriften
We hebben procedures opgesteld voor het beheer van klachten en beroepen met betrekking tot het certificeringsproces. Deze procedures omvatten maatregelen om de vertrouwelijkheid en onpartijdigheid van het proces en de beveiliging van informatie met betrekking tot klachten en beroepen te waarborgen.
16.10. Certificering Processen Kwaliteitsmanagement
We hebben een kwaliteitsmanagementsysteem (QMS) opgezet voor de certificeringsprocessen dat maatregelen omvat om de effectiviteit, efficiëntie en veiligheid van de processen te waarborgen. Het QMS omvat regelmatige audits en beoordelingen van de processen en hun beveiligingscontroles.
16.11. Continue verbetering van certificeringsprocessen Beveiliging
We zetten ons in voor voortdurende verbetering van onze certificeringsprocessen en hun beveiligingscontroles. Dit omvat regelmatige beoordelingen en updates van certificeringsgerelateerd beleid en beveiligingsprocedures op basis van veranderingen in de zakelijke omgeving, wettelijke vereisten en best practices op het gebied van informatiebeveiligingsbeheer, in overeenstemming met de ISO 27001-standaard voor informatiebeveiligingsbeheer, evenals met de ISO 17024 operationele norm van certificatie-instellingen.
Deel 17. Slotbepalingen
17.1. Beleidsevaluatie en -update
Dit informatiebeveiligingsbeleid is een levend document dat voortdurend wordt beoordeeld en bijgewerkt op basis van veranderingen in onze operationele vereisten, wettelijke vereisten of best practices op het gebied van informatiebeveiligingsbeheer.
17.2. Nalevingsbewaking
We hebben procedures opgesteld voor het bewaken van de naleving van dit informatiebeveiligingsbeleid en gerelateerde beveiligingscontroles. Nalevingsbewaking omvat regelmatige audits, beoordelingen en beoordelingen van beveiligingscontroles en hun effectiviteit bij het bereiken van de doelstellingen van dit beleid.
17.3. Beveiligingsincidenten melden
We hebben procedures opgesteld voor het melden van beveiligingsincidenten met betrekking tot onze informatiesystemen, inclusief die met betrekking tot persoonlijke gegevens van individuen. Werknemers, aannemers en andere belanghebbenden worden aangemoedigd om beveiligingsincidenten of vermoedelijke incidenten zo snel mogelijk te melden aan het aangewezen beveiligingsteam.
17.4. Training en bewustzijn
We bieden regelmatig training- en bewustmakingsprogramma's aan werknemers, aannemers en andere belanghebbenden om ervoor te zorgen dat zij zich bewust zijn van hun verantwoordelijkheden en verplichtingen met betrekking tot informatiebeveiliging. Dit omvat training over beveiligingsbeleid en -procedures, en maatregelen voor het beschermen van persoonlijke gegevens van individuen.
17.5. Verantwoordelijkheid en aansprakelijkheid
We houden alle werknemers, contractanten en andere belanghebbenden verantwoordelijk en aansprakelijk voor het naleven van dit informatiebeveiligingsbeleid en gerelateerde beveiligingscontroles. We houden het management ook verantwoordelijk om ervoor te zorgen dat de juiste middelen worden toegewezen voor het implementeren en onderhouden van effectieve informatiebeveiligingscontroles.
Dit informatiebeveiligingsbeleid is een essentieel onderdeel van het informatiebeveiligingsbeheerkader van het Euroepan IT Certification Institute en toont onze toewijding aan het beschermen van informatieactiva en verwerkte gegevens, het waarborgen van de vertrouwelijkheid, privacy, integriteit en beschikbaarheid van informatie, en het naleven van wettelijke en contractuele vereisten.