信息安全政策
EITCA学院信息安全政策
本文件规定了欧洲 IT 认证协会的信息安全政策 (ISP),该政策会定期审查和更新以确保其有效性和相关性。 EITCI 信息安全政策的最后一次更新是在 7 年 2023 月 XNUMX 日。
第 1 部分简介和信息安全政策声明
1.1. 简介
欧洲 IT 认证协会认识到信息安全在维护信息的机密性、完整性和可用性以及我们利益相关者的信任方面的重要性。 我们致力于保护敏感信息(包括个人数据)免遭未经授权的访问、披露、更改和破坏。 我们维持有效的信息安全政策,以支持我们为客户提供可靠和公正的认证服务的使命。 信息安全政策概述了我们对保护信息资产和履行我们的法律、法规和合同义务的承诺。 我们的政策基于 ISO 27001 和 ISO 17024 的原则,这是信息安全管理和认证机构运营标准的领先国际标准。
一、政策声明
欧洲 IT 认证协会致力于:
- 保护信息资产的机密性、完整性和可用性,
- 遵守与信息安全和数据处理相关的法律、法规和合同义务,实施其认证流程和操作,
- 不断完善其信息安全政策和相关管理制度,
- 为员工、承包商和参与者提供足够的培训和意识,
- 让所有员工和承包商参与信息安全政策和相关信息安全管理系统的实施和维护。
1.3。 范围
本政策适用于欧洲 IT 认证协会拥有、控制或处理的所有信息资产。 这包括所有数字和物理信息资产,例如系统、网络、软件、数据和文档。 本政策也适用于访问我们信息资产的所有员工、承包商和第三方服务提供商。
1.4。 合规
欧洲 IT 认证协会致力于遵守相关的信息安全标准,包括 ISO 27001 和 ISO 17024。我们会定期审查和更新此政策,以确保其持续相关并符合这些标准。
第 2 部分。组织安全
2.1. 组织安全目标
通过实施组织安全措施,我们旨在确保我们的信息资产和数据处理实践和程序以最高级别的安全性和完整性进行,并确保我们遵守相关法律法规和标准。
2.2. 信息安全角色和职责
欧洲 IT 认证协会定义并传达整个组织的信息安全角色和责任。 这包括在信息安全的背景下为信息资产分配明确的所有权,建立治理结构,并为整个组织的各个角色和部门定义具体职责。
2.3。 风险管理
我们定期进行风险评估,以确定组织的信息安全风险并确定其优先级,包括与个人数据处理相关的风险。 我们建立适当的控制措施来减轻这些风险,并根据业务环境和威胁形势的变化定期审查和更新我们的风险管理方法。
2.4. 信息安全政策和程序
我们建立并维护一套基于行业最佳实践并遵守相关法规和标准的信息安全政策和程序。 这些政策和程序涵盖信息安全的所有方面,包括个人数据处理,并定期审查和更新以确保其有效性。
2.5. 安全意识和培训
我们为有权访问个人数据或其他敏感信息的所有员工、承包商和第三方合作伙伴提供定期的安全意识和培训计划。 该培训涵盖网络钓鱼、社会工程、密码卫生和其他信息安全最佳实践等主题。
2.6. 物理和环境安全
我们实施适当的物理和环境安全控制,以防止未经授权访问、损坏或干扰我们的设施和信息系统。 这包括访问控制、监视、监视以及备用电源和冷却系统等措施。
2.7. 信息安全事件管理
我们建立了事件管理流程,使我们能够快速有效地应对任何可能发生的信息安全事件。 这包括报告、升级、调查和解决事件的程序,以及防止再次发生和提高我们的事件响应能力的措施。
2.8. 操作连续性和灾难恢复
我们已经制定并测试了运营连续性和灾难恢复计划,使我们能够在发生中断或灾难时维持我们的关键运营功能和服务。 这些计划包括数据和系统的备份和恢复程序,以及确保个人数据可用性和完整性的措施。
2.9. 第三方管理
我们建立并维护适当的控制措施,以管理与有权访问个人数据或其他敏感信息的第三方合作伙伴相关的风险。 这包括尽职调查、合同义务、监督和审计等措施,以及必要时终止合作关系的措施。
第三部分人力资源保障
3.1. 就业筛选
欧洲 IT 认证协会建立了就业筛选流程,以确保有权访问敏感信息的个人值得信赖,并拥有必要的技能和资格。
3.2.访问控制
我们制定了访问控制政策和程序,以确保员工只能访问其工作职责所需的信息。 定期审查和更新访问权限,以确保员工只能访问他们需要的信息。
3.3. 信息安全意识和培训
我们定期对所有员工进行信息安全意识培训。 该培训涵盖密码安全、网络钓鱼攻击、社会工程学和网络安全的其他方面等主题。
3.4. 可接受的用途
我们制定了可接受的使用政策,概述了信息系统和资源的可接受使用,包括用于工作目的的个人设备。
3.5. 移动设备安全
我们已经制定了安全使用移动设备的政策和程序,包括使用密码、加密和远程擦除功能。
3.6. 终止程序
欧洲 IT 认证协会制定了终止雇用或合同的程序,以确保及时安全地撤销对敏感信息的访问。
3.7. 第三方人员
我们建立了管理有权访问敏感信息的第三方人员的程序。 这些政策涉及筛选、访问控制和信息安全意识培训。
3.8. 报告事件
我们制定了向有关人员或当局报告信息安全事件或疑虑的政策和程序。
3.9. 保密协议
欧洲 IT 认证协会要求员工和承包商签署保密协议,以保护敏感信息免遭未经授权的泄露。
3.10. 纪律处分
欧洲 IT 认证协会制定了在员工或承包商违反信息安全政策的情况下采取纪律处分的政策和程序。
第四部分 风险评估与管理
4.1。 风险评估
我们定期进行风险评估,以确定对我们信息资产的潜在威胁和漏洞。 我们使用结构化方法根据风险的可能性和潜在影响来识别、分析、评估风险并确定风险的优先级。 我们评估与我们的信息资产相关的风险,包括系统、网络、软件、数据和文档。
4.2. 风险处理
我们使用风险处理流程来减轻或降低风险至可接受的水平。 风险处理过程包括选择适当的控制措施、实施控制措施和监控控制措施的有效性。 我们根据风险级别、可用资源和业务优先级确定控制实施的优先级。
4.3. 风险监控和审查
我们定期监控和审查风险管理流程的有效性,以确保其保持相关性和有效性。 我们使用度量标准和指标来衡量我们风险管理流程的绩效并确定改进机会。 我们还审查我们的风险管理流程,作为我们定期管理审查的一部分,以确保其持续的适用性、充分性和有效性。
4.4. 风险应对计划
我们制定了风险应对计划,以确保我们能够有效应对任何已识别的风险。 该计划包括用于识别和报告风险的程序,以及用于评估每个风险的潜在影响和确定适当响应措施的过程。 我们还制定了应急计划,以确保在发生重大风险事件时业务的连续性。
4.5. 运营影响分析
我们定期进行业务影响分析,以确定中断对我们业务运营的潜在影响。 该分析包括评估我们的业务功能、系统和数据的关键性,以及评估中断对我们的客户、员工和其他利益相关者的潜在影响。
4.6. 第三方风险管理
我们制定了第三方风险管理计划,以确保我们的供应商和其他第三方服务提供商也适当地管理风险。 该计划包括与第三方合作前的尽职调查、对第三方活动的持续监控以及对第三方风险管理实践的定期评估。
4.7. 事件响应和管理
我们制定了事件响应和管理计划,以确保我们能够有效应对任何安全事件。 该计划包括识别和报告事件的程序,以及评估每个事件的影响和确定适当响应行动的过程。 我们还制定了业务连续性计划,以确保在发生重大事件时关键业务功能能够继续。
第 5 部分。物理和环境安全
5.1. 物理安全边界
我们已经建立了物理安全措施来保护物理场所和敏感信息免受未经授权的访问。
5.2.访问控制
我们已经为物理场所制定了访问控制政策和程序,以确保只有授权人员才能访问敏感信息。
5.3. 设备安全
我们确保所有包含敏感信息的设备都受到物理保护,并且仅限授权人员访问此设备。
5.4. 安全处置
我们制定了安全处置敏感信息(包括纸质文件、电子媒体和硬件)的程序。
5.5.物理环境
我们确保场所的物理环境(包括温度、湿度和照明)适合保护敏感信息。
5.6.电源
我们确保场所的电力供应可靠,并防止停电或电涌。
5.7. 防火
我们制定了消防政策和程序,包括火灾探测和灭火系统的安装和维护。
5.8. 水损坏保护
我们制定了保护敏感信息免受水损害的政策和程序,包括洪水检测和预防系统的安装和维护。
5.9。 设备维修
我们制定了设备维护程序,包括检查设备是否存在篡改或未经授权访问的迹象。
5.10. 可接受的用途
我们制定了可接受的使用政策,概述了物理资源和设施的可接受使用。
5.11.远程访问
我们制定了远程访问敏感信息的政策和程序,包括使用安全连接和加密。
5.12. 监测和监视
我们已制定政策和程序来监控物理场所和设备,以检测和防止未经授权的访问或篡改。
部分。 6. 通信和操作安全
6.1. 网络安全管理
我们已制定网络安全管理政策和程序,包括使用防火墙、入侵检测和预防系统以及定期安全审计。
6.2. 信息传递
我们已经制定了安全传输敏感信息的政策和程序,包括使用加密和安全文件传输协议。
6.3. 第三方通讯
我们制定了与第三方组织安全交换敏感信息的政策和程序,包括使用安全连接和加密。
6.4. 媒体处理
我们制定了处理各种形式媒体(包括纸质文件、电子媒体和便携式存储设备)中的敏感信息的程序。
6.5. 信息系统开发与维护
我们已经制定了信息系统开发和维护的政策和程序,包括使用安全编码实践、定期软件更新和补丁管理。
6.6. 恶意软件和病毒防护
我们制定了保护信息系统免受恶意软件和病毒侵害的政策和程序,包括使用防病毒软件和定期安全更新。
6.7. 备份与恢复
我们已制定备份和恢复敏感信息的政策和程序,以防止数据丢失或损坏。
6.8。 事件管理
我们制定了识别、调查和解决安全事故和事件的政策和程序。
6.9. 漏洞管理
我们已制定信息系统漏洞管理政策和程序,包括使用定期漏洞评估和补丁管理。
6.10.访问控制
我们已经制定了管理用户访问信息系统的政策和程序,包括使用访问控制、用户身份验证和定期访问审查。
6.11. 监控和记录
我们已制定政策和程序来监控和记录信息系统活动,包括审计跟踪和安全事件记录的使用。
第 7 部分信息系统的获取、开发和维护
7.1。 要求
我们制定了识别信息系统要求的政策和程序,包括业务要求、法律法规要求和安全要求。
7.2. 供应商关系
我们已制定政策和程序来管理与第三方信息系统和服务供应商的关系,包括供应商安全实践的评估。
7.3. 系统开发
我们已经制定了信息系统安全开发的政策和程序,包括使用安全编码实践、定期测试和质量保证。
7.4. 系统测试
我们制定了信息系统测试的政策和程序,包括功能测试、性能测试和安全测试。
7.5. 系统验收
我们制定了信息系统验收的政策和程序,包括测试结果的批准、安全评估和用户验收测试。
7.6. 系统维护
我们制定了信息系统维护政策和程序,包括定期更新、安全补丁和系统备份。
7.7. 系统退役
我们已经制定了信息系统报废的政策和程序,包括硬件和数据的安全处置。
7.8。 数据保留
我们制定了符合法律和法规要求的数据保留政策和程序,包括敏感数据的安全存储和处置。
7.9. 信息系统的安全要求
我们已制定政策和程序来识别和实施信息系统的安全要求,包括访问控制、加密和数据保护。
7.10. 安全的开发环境
我们已经为信息系统的安全开发环境制定了政策和程序,包括使用安全开发实践、访问控制和安全网络配置。
7.11. 保护测试环境
我们制定了保护信息系统测试环境的政策和程序,包括使用安全配置、访问控制和定期安全测试。
7.12. 安全系统工程原理
我们已经为信息系统的安全系统工程原则的实施制定了政策和程序,包括使用安全架构、威胁建模和安全编码实践。
7.13. 安全编码指南
我们已经制定了实施信息系统安全编码指南的政策和程序,包括使用编码标准、代码审查和自动化测试。
第 8 部分。硬件采集
8.1. 遵守标准
我们遵守信息安全管理系统 (ISMS) 的 ISO 27001 标准,以确保根据我们的安全要求采购硬件资产。
8.2。 风险评估
我们在采购硬件资产前进行风险评估,识别潜在的安全风险,确保所选硬件满足安全要求。
8.3. 供应商选择
我们仅从可信赖的供应商处采购硬件资产,这些供应商在交付安全产品方面拥有良好的记录。 我们审查供应商的安全政策和做法,并要求他们保证其产品符合我们的安全要求。
8.4. 安全运输
我们确保硬件资产安全地运输到我们的场所,以防止在运输过程中被篡改、损坏或盗窃。
8.5. 真实性验证
我们在交付时验证硬件资产的真实性,以确保它们没有被伪造或篡改。
8.6. 物理和环境控制
我们实施适当的物理和环境控制,以保护硬件资产免遭未经授权的访问、盗窃或损坏。
8.7. 硬件安装
我们确保所有硬件资产的配置和安装均符合既定的安全标准和准则。
8.8. 硬件评论
我们对硬件资产进行定期审查,以确保它们继续满足我们的安全要求,并与最新的安全补丁和更新保持同步。
8.9. 硬件处理
我们以安全的方式处置硬件资产,以防止未经授权访问敏感信息。
第 9 部分。恶意软件和病毒防护
9.1. 软件更新政策
我们在欧洲 IT 认证协会使用的所有信息系统(包括服务器、工作站、笔记本电脑和移动设备)上维护最新的防病毒和恶意软件保护软件。 我们确保防病毒和恶意软件保护软件配置为定期自动更新其病毒定义文件和软件版本,并定期测试此过程。
9.2. 反病毒和恶意软件扫描
我们定期扫描所有信息系统,包括服务器、工作站、笔记本电脑和移动设备,以检测和删除任何病毒或恶意软件。
9.3. 禁止禁用和禁止更改政策
我们执行禁止用户禁用或更改任何信息系统上的防病毒和恶意软件保护软件的政策。
9.4。 监控
我们监控我们的防病毒和恶意软件保护软件警报和日志,以识别任何病毒或恶意软件感染事件,并及时响应此类事件。
9.5. 记录维护
我们保留防病毒和恶意软件保护软件配置、更新和扫描的记录,以及任何病毒或恶意软件感染事件,以供审计之用。
9.6. 软件评论
我们定期审查我们的防病毒和恶意软件保护软件,以确保它符合当前的行业标准并足以满足我们的需求。
9.7.培训和意识
我们提供培训和意识计划,让所有员工了解病毒和恶意软件防护的重要性,以及如何识别和报告任何可疑活动或事件。
第 10 部分信息资产管理
10.1. 信息资产清单
欧洲 IT 认证协会维护着一份信息资产清单,其中包括所有数字和物理信息资产,例如系统、网络、软件、数据和文档。 我们根据信息资产的重要性和敏感性对信息资产进行分类,以确保实施适当的保护措施。
10.2. 信息资产处理
我们根据信息资产的分类(包括机密性、完整性和可用性)实施适当的措施来保护信息资产。 我们确保根据适用的法律、法规和合同要求处理所有信息资产。 我们还确保所有信息资产在不再需要时得到妥善存储、保护和处置。
10.3. 信息资产所有权
我们将信息资产所有权分配给负责管理和保护信息资产的个人或部门。 我们还确保信息资产所有者了解他们保护信息资产的责任和义务。
10.4. 信息资产保护
我们使用各种保护措施来保护信息资产,包括物理控制、访问控制、加密以及备份和恢复过程。 我们还确保所有信息资产都受到保护,免遭未经授权的访问、修改或破坏。
第 11 部分访问控制
11.1. 访问控制策略
欧洲 IT 认证协会有一个访问控制政策,概述了授予、修改和撤销对信息资产的访问权限的要求。 访问控制是我们信息安全管理系统的重要组成部分,我们实施它是为了确保只有经过授权的个人才能访问我们的信息资产。
11.2. 访问控制实施
我们根据最小权限原则实施访问控制措施,这意味着个人只能访问执行其工作职能所需的信息资产。 我们使用各种访问控制措施,包括身份验证、授权和记帐 (AAA)。 我们还使用访问控制列表 (ACL) 和权限来控制对信息资产的访问。
11.3.密码政策
欧洲 IT 认证协会有一个密码政策,概述了创建和管理密码的要求。 我们需要至少 8 个字符长的强密码,由大小写字母、数字和特殊字符组合而成。 我们还要求定期更改密码并禁止重复使用以前的密码。
11.4.用户管理
我们有一个用户管理流程,包括创建、修改和删除用户帐户。 用户帐户是根据最小权限原则创建的,并且仅授予对执行个人工作职能所必需的信息资产的访问权限。 我们还会定期审查用户帐户并删除不再需要的帐户。
第 12 部分信息安全事件管理
12.1. 事件管理政策
欧洲 IT 认证协会制定了一项事件管理政策,其中概述了检测、报告、评估和响应安全事件的要求。 我们将安全事件定义为危及信息资产或系统的机密性、完整性或可用性的任何事件。
12.2. 事件检测和报告
我们采取措施及时检测和报告安全事件。 我们使用多种方法来检测安全事件,包括入侵检测系统 (IDS)、防病毒软件和用户报告。 我们还确保所有员工都了解报告安全事件的程序,并鼓励报告所有可疑事件。
12.3. 事件评估和响应
我们有一个根据安全事件的严重性和影响评估和响应安全事件的流程。 我们根据事件对信息资产或系统的潜在影响来确定事件的优先级,并分配适当的资源来响应它们。 我们还有一个响应计划,其中包括用于识别、遏制、分析、根除和从安全事件中恢复的程序,以及通知相关方和进行事件后审查的程序我们的事件响应程序旨在确保快速有效的响应到安全事件。 这些程序会定期审查和更新,以确保其有效性和相关性。
12.4。 事件响应小组
我们有一个事件响应小组 (IRT) 负责响应安全事件。 IRT 由来自各个部门的代表组成,由信息安全官 (ISO) 领导。 IRT 负责评估事件的严重性、控制事件并启动适当的响应程序。
12.5。 事件报告和审查
根据适用法律法规的要求,我们已建立向相关方(包括客户、监管机构和执法机构)报告安全事件的程序。 我们还在整个事件响应过程中与受影响的各方保持沟通,及时更新事件的状态以及为减轻其影响而采取的任何行动。 我们还对所有安全事件进行审查,以确定根本原因并防止将来发生类似事件。
第 13 部分。业务连续性管理和灾难恢复
13.1. 业务连续性计划
尽管 European IT Certification Institute 是一个非营利组织,但它有一个业务连续性计划 (BCP),其中概述了在发生破坏性事件时确保其运营连续性的程序。 BCP 涵盖所有关键操作流程,并确定在破坏性事件期间和之后维持运营所需的资源。 它还概述了在中断或灾难期间维持业务运营、评估中断的影响、在特定破坏性事件的背景下识别最关键的操作流程以及制定响应和恢复程序的程序。
13.2. 灾难恢复计划
欧洲 IT 认证协会制定了灾难恢复计划 (DRP),其中概述了在发生中断或灾难时恢复我们的信息系统的程序。 DRP 包括数据备份、数据恢复和系统恢复的过程。 DRP 会定期测试和更新以确保其有效性。
13.3.业务影响分析
我们进行业务影响分析 (BIA) 以确定关键操作流程和维护它们所需的资源。 BIA 帮助我们确定恢复工作的优先顺序并相应地分配资源。
13.4. 业务连续性战略
根据 BIA 的结果,我们制定了业务连续性战略,其中概述了应对破坏性事件的程序。 该策略包括激活 BCP、恢复关键操作流程以及与相关利益相关者沟通的程序。
13.5。 测试和维护
我们定期测试和维护我们的 BCP 和 DRP,以确保其有效性和相关性。 我们定期进行测试以验证 BCP/DRP 并确定需要改进的地方。 我们还会根据需要更新 BCP 和 DRP,以反映我们运营或威胁形势的变化。 测试包括桌面练习、模拟和程序的现场测试。 我们还根据测试结果和经验教训审查和更新我们的计划。
13.6. 替代处理地点
我们维护备用在线处理站点,可用于在发生中断或灾难时继续业务运营。 备用处理站点配备了必要的基础设施和系统,可用于支持关键业务流程。
第 14 部分合规与审计
七、遵守法律法规
欧洲 IT 认证协会致力于遵守与信息安全和隐私相关的所有适用法律和法规,包括数据保护法、行业标准和合同义务。 我们定期审查和更新我们的政策、程序和控制措施,以确保符合所有相关要求和标准。 我们在信息安全方面遵循的主要标准和框架包括:
- ISO/IEC 27001 标准为信息安全管理系统 (ISMS) 的实施和管理提供了指导方针,其中包括漏洞管理作为关键组成部分。 它为实施和维护我们的信息安全管理系统 (ISMS)(包括漏洞管理)提供了一个参考框架。 根据此标准条款,我们识别、评估和管理信息安全风险,包括漏洞。
- 美国国家标准与技术研究院 (NIST) 网络安全框架为识别、评估和管理网络安全风险(包括漏洞管理)提供了指南。
- 美国国家标准与技术研究院 (NIST) 网络安全框架,用于改进网络安全风险管理,具有一套核心功能,包括我们坚持管理网络安全风险的漏洞管理。
- SANS 关键安全控制措施包含一套 20 项安全控制措施,旨在提高网络安全,涵盖漏洞管理等一系列领域,为漏洞扫描、补丁管理和漏洞管理的其他方面提供具体指导。
- 支付卡行业数据安全标准 (PCI DSS),要求在这种情况下处理与漏洞管理相关的信用卡信息。
- 互联网安全控制中心 (CIS) 将漏洞管理作为关键控制措施之一,以确保我们信息系统的安全配置。
- 开放 Web 应用程序安全项目 (OWASP),列出了最关键的 10 大 Web 应用程序安全风险,包括漏洞评估,例如注入攻击、身份验证和会话管理失效、跨站点脚本 (XSS) 等。我们使用OWASP Top 10 来优先考虑我们的漏洞管理工作,并关注与我们的 Web 系统有关的最关键风险。
14.2. 内部审计
我们定期进行内部审计,以评估我们的信息安全管理系统 (ISMS) 的有效性,并确保我们的政策、程序和控制得到遵守。 内部审计流程包括不符合项的识别、纠正措施的制定以及补救工作的跟踪。
14.3. 外部审计
我们定期与外部审计师合作,以验证我们是否遵守适用的法律、法规和行业标准。 我们允许审计人员根据需要访问我们的设施、系统和文件,以验证我们的合规性。 我们还与外部审计师合作,解决审计过程中发现的任何问题或建议。
14.4. 合规监控
我们持续监控我们对适用法律、法规和行业标准的遵守情况。 我们使用多种方法来监控合规性,包括定期评估、审计和审查第三方供应商。 我们还定期审查和更新我们的政策、程序和控制措施,以确保持续遵守所有相关要求。
第十五部分 第三方管理
15.1. 第三方管理政策
欧洲 IT 认证协会制定了第三方管理政策,概述了选择、评估和监控有权访问我们的信息资产或系统的第三方供应商的要求。 该政策适用于所有第三方提供商,包括云服务提供商、供应商和承包商。
15.2. 第三方选择和评估
在与第三方提供商合作之前,我们会进行尽职调查,以确保他们有足够的安全控制措施来保护我们的信息资产或系统。 我们还评估第三方供应商是否遵守与信息安全和隐私相关的适用法律和法规。
15.3. 第三方监控
我们持续监控第三方提供商,以确保他们继续满足我们对信息安全和隐私的要求。 我们使用多种方法来监控第三方提供商,包括定期评估、审计和审查安全事件报告。
15.4. 合同要求
我们在与第三方供应商签订的所有合同中都包含与信息安全和隐私相关的合同要求。 这些要求包括数据保护、安全控制、事件管理和合规性监控的规定。 我们还包括在发生安全事件或不合规情况下终止合同的规定。
第 16 部分。认证过程中的信息安全
16.1 认证过程的安全
我们采取充分和系统的措施来确保与我们的认证过程相关的所有信息的安全,包括寻求认证的个人的个人数据。 这包括对所有认证相关信息的访问、存储和传输的控制。 通过实施这些措施,我们旨在确保认证过程以最高级别的安全性和完整性进行,并确保寻求认证的个人数据得到保护,符合相关法规和标准。
16.2. 身份验证和授权
我们使用身份验证和授权控制来确保只有授权人员才能访问认证信息。 根据人员角色和职责的变化,定期审查和更新访问控制。
16.3。 数据保护
我们通过实施适当的技术和组织措施在整个认证过程中保护个人数据,以确保数据的机密性、完整性和可用性。 这包括加密、访问控制和定期备份等措施。
16.4。 考试过程的安全
我们通过实施适当的措施来防止作弊、监控和控制考试环境,确保考试过程的安全。 我们还通过安全存储程序维护考试材料的完整性和机密性。
16.5。 考试内容安全
我们通过实施适当的措施来防止未经授权的访问、更改或披露内容,从而确保考试内容的安全。 这包括对考试内容使用安全存储、加密和访问控制,以及防止未经授权分发或传播考试内容的控制。
16.6. 考试传递的安全性
我们通过采取适当措施防止未经授权访问或操纵考试环境来确保考试交付的安全性。 这包括考试环境和特定考试方法的监控、审计和控制等措施,以防止作弊或其他安全漏洞。
16.7。 考试成绩的安全
我们通过采取适当措施防止未经授权访问、更改或披露结果来确保考试结果的安全。 这包括对检查结果使用安全存储、加密和访问控制,以及防止未经授权分发或传播检查结果的控制。
16.8。 证书颁发的安全性
我们通过采取适当的措施来防止欺诈和未经授权的证书颁发,从而确保证书颁发的安全性。 这包括用于验证接收证书的个人身份以及安全存储和颁发程序的控制。
16.9。 投诉和申诉
我们制定了管理与认证过程相关的投诉和申诉的程序。 这些程序包括确保流程保密性和公正性的措施,以及与投诉和上诉相关的信息的安全性。
16.10. 认证过程质量管理
我们为认证流程建立了质量管理体系 (QMS),其中包括确保流程有效性、效率和安全性的措施。 QMS 包括对流程及其安全控制的定期审核和审查。
16.11. 持续改进认证流程安全
我们致力于不断改进我们的认证流程及其安全控制。 这包括根据 ISO 27001 信息安全管理标准以及 ISO 17024认证机构操作标准。
第 17 部分。结束条款
17.1. 政策审查和更新
本信息安全政策是一份动态文件,会根据我们的运营要求、监管要求或信息安全管理最佳实践的变化进行持续审查和更新。
17.2. 合规监控
我们已经建立了程序来监控对本信息安全政策和相关安全控制的遵守情况。 合规性监控包括对安全控制及其在实现本政策目标方面的有效性的定期审计、评估和审查。
17.3. 报告安全事故
我们已经建立了报告与我们的信息系统相关的安全事件的程序,包括与个人数据相关的安全事件。 鼓励员工、承包商和其他利益相关者尽快向指定的安全团队报告任何安全事件或可疑事件。
17.4.培训和意识
我们为员工、承包商和其他利益相关者提供定期培训和意识计划,以确保他们了解与信息安全相关的责任和义务。 这包括有关安全政策和程序的培训,以及保护个人数据的措施。
17.5. 责任与担当
我们要求所有员工、承包商和其他利益相关者负责遵守本信息安全政策和相关安全控制措施。 我们还要求管理层负责确保分配适当的资源以实施和维护有效的信息安全控制。
本信息安全政策是 European IT Certification Institute 信息安全管理框架的重要组成部分,表明我们致力于保护信息资产和处理数据,确保信息的机密性、隐私性、完整性和可用性,并遵守法规和合同要求。