นโยบายการรักษาความปลอดภัยของข้อมูล
นโยบายความปลอดภัยของข้อมูล EITCA Academy
เอกสารนี้ระบุนโยบายความปลอดภัยข้อมูล (ISP) ของ European IT Certification Institute ซึ่งได้รับการตรวจสอบและอัปเดตเป็นประจำเพื่อให้มั่นใจถึงประสิทธิภาพและความเกี่ยวข้อง การอัปเดตล่าสุดของนโยบายความปลอดภัยของข้อมูล EITCI ทำขึ้นเมื่อวันที่ 7 มกราคม 2023
ส่วนที่ 1 บทนำและคำชี้แจงนโยบายความปลอดภัยของข้อมูล
1.1. บทนำ
European IT Certification Institute ตระหนักถึงความสำคัญของการรักษาความปลอดภัยข้อมูลในการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล และความไว้วางใจจากผู้มีส่วนได้ส่วนเสียของเรา เรามุ่งมั่นที่จะปกป้องข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลส่วนบุคคล จากการเข้าถึง การเปิดเผย การเปลี่ยนแปลง และการทำลายโดยไม่ได้รับอนุญาต เรารักษานโยบายความปลอดภัยของข้อมูลที่มีประสิทธิภาพเพื่อสนับสนุนภารกิจของเราในการให้บริการการรับรองที่เชื่อถือได้และเป็นกลางแก่ลูกค้าของเรา นโยบายความปลอดภัยของข้อมูลแสดงความมุ่งมั่นของเราในการปกป้องทรัพย์สินข้อมูลและปฏิบัติตามข้อผูกพันทางกฎหมาย ข้อบังคับ และสัญญาของเรา นโยบายของเราอิงตามหลักการของ ISO 27001 และ ISO 17024 ซึ่งเป็นมาตรฐานสากลชั้นนำสำหรับการจัดการความปลอดภัยของข้อมูลและมาตรฐานการดำเนินงานของหน่วยรับรอง
1.2. คำชี้แจงนโยบาย
European IT Certification Institute มุ่งมั่นที่จะ:
- การปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของสินทรัพย์ข้อมูล
- ปฏิบัติตามข้อผูกพันทางกฎหมาย ข้อบังคับ และสัญญาที่เกี่ยวข้องกับความปลอดภัยของข้อมูลและการประมวลผลข้อมูลโดยใช้กระบวนการรับรองและการดำเนินงาน
- ปรับปรุงนโยบายการรักษาความปลอดภัยของข้อมูลและระบบการจัดการที่เกี่ยวข้องอย่างต่อเนื่อง
- จัดให้มีการฝึกอบรมและความตระหนักอย่างเพียงพอแก่พนักงาน ผู้รับเหมา และผู้มีส่วนร่วม
- ให้พนักงานและผู้รับจ้างทุกคนมีส่วนร่วมในการดำเนินการและบำรุงรักษานโยบายความปลอดภัยของข้อมูลและระบบการจัดการความปลอดภัยของข้อมูลที่เกี่ยวข้อง
1.3 ขอบเขต
นโยบายนี้ใช้กับสินทรัพย์ข้อมูลทั้งหมดที่เป็นเจ้าของ ควบคุม หรือดำเนินการโดย European IT Certification Institute ซึ่งรวมถึงสินทรัพย์ข้อมูลดิจิทัลและทางกายภาพทั้งหมด เช่น ระบบ เครือข่าย ซอฟต์แวร์ ข้อมูล และเอกสารประกอบ นโยบายนี้ยังใช้กับพนักงาน ผู้รับเหมา และผู้ให้บริการบุคคลที่สามทุกคนที่เข้าถึงทรัพย์สินข้อมูลของเรา
1.4 การปฏิบัติตาม
European IT Certification Institute มุ่งมั่นที่จะปฏิบัติตามมาตรฐานการรักษาความปลอดภัยของข้อมูลที่เกี่ยวข้อง รวมถึง ISO 27001 และ ISO 17024 เราตรวจสอบและปรับปรุงนโยบายนี้เป็นประจำเพื่อให้แน่ใจว่ามีความเกี่ยวข้องและสอดคล้องกับมาตรฐานเหล่านี้อย่างต่อเนื่อง
ส่วนที่ 2. ความปลอดภัยในองค์กร
2.1. เป้าหมายการรักษาความปลอดภัยขององค์กร
ด้วยการใช้มาตรการรักษาความปลอดภัยขององค์กร เรามีเป้าหมายเพื่อให้แน่ใจว่าการปฏิบัติและขั้นตอนการประมวลผลข้อมูลและทรัพย์สินของเรามีความปลอดภัยและความสมบูรณ์ในระดับสูงสุด และเราปฏิบัติตามข้อบังคับและมาตรฐานทางกฎหมายที่เกี่ยวข้อง
2.2. บทบาทและความรับผิดชอบด้านความปลอดภัยของข้อมูล
European IT Certification Institute กำหนดและสื่อสารบทบาทและความรับผิดชอบด้านความปลอดภัยข้อมูลทั่วทั้งองค์กร ซึ่งรวมถึงการมอบหมายความเป็นเจ้าของที่ชัดเจนสำหรับสินทรัพย์ข้อมูลในบริบทของการรักษาความปลอดภัยข้อมูล การกำหนดโครงสร้างการกำกับดูแล และการกำหนดความรับผิดชอบเฉพาะสำหรับบทบาทและแผนกต่างๆ ทั่วทั้งองค์กร
2.3 การบริหารความเสี่ยง
เราทำการประเมินความเสี่ยงเป็นประจำเพื่อระบุและจัดลำดับความสำคัญของความเสี่ยงด้านความปลอดภัยข้อมูลสำหรับองค์กร รวมถึงความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล เรากำหนดการควบคุมที่เหมาะสมเพื่อลดความเสี่ยงเหล่านี้ และทบทวนและอัปเดตแนวทางการจัดการความเสี่ยงของเราอย่างสม่ำเสมอตามการเปลี่ยนแปลงในสภาพแวดล้อมทางธุรกิจและแนวภัยคุกคาม
2.4. นโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูล
เราสร้างและรักษาชุดนโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูลซึ่งอิงตามแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรมและปฏิบัติตามระเบียบและมาตรฐานที่เกี่ยวข้อง นโยบายและขั้นตอนเหล่านี้ครอบคลุมทุกแง่มุมของการรักษาความปลอดภัยข้อมูล รวมถึงการประมวลผลข้อมูลส่วนบุคคล และได้รับการทบทวนและปรับปรุงอย่างสม่ำเสมอเพื่อให้มั่นใจว่ามีประสิทธิภาพ
2.5. ความตระหนักและการฝึกอบรมด้านความปลอดภัย
เราจัดให้มีโปรแกรมการฝึกอบรมและการรับรู้ด้านความปลอดภัยอย่างสม่ำเสมอแก่พนักงาน ผู้รับเหมา และคู่ค้าบุคคลที่สามที่สามารถเข้าถึงข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อนอื่น ๆ การฝึกอบรมนี้ครอบคลุมหัวข้อต่างๆ เช่น ฟิชชิง วิศวกรรมสังคม สุขอนามัยของรหัสผ่าน และแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยข้อมูลอื่นๆ
2.6. ความปลอดภัยทางกายภาพและสิ่งแวดล้อม
เราใช้การควบคุมความปลอดภัยทางกายภาพและสิ่งแวดล้อมที่เหมาะสม เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ความเสียหาย หรือการรบกวนสิ่งอำนวยความสะดวกและระบบข้อมูลของเรา ซึ่งรวมถึงมาตรการต่าง ๆ เช่น การควบคุมการเข้าถึง การเฝ้าระวัง การตรวจสอบ และพลังงานสำรองและระบบทำความเย็น
2.7. การจัดการเหตุการณ์ความปลอดภัยของข้อมูล
เราได้สร้างกระบวนการจัดการเหตุการณ์ที่ช่วยให้เราสามารถตอบสนองต่อเหตุการณ์ด้านความปลอดภัยข้อมูลที่อาจเกิดขึ้นได้อย่างรวดเร็วและมีประสิทธิภาพ ซึ่งรวมถึงขั้นตอนการรายงาน การยกระดับ การสอบสวน และการแก้ไขเหตุการณ์ ตลอดจนมาตรการป้องกันการเกิดซ้ำและปรับปรุงความสามารถในการตอบสนองต่อเหตุการณ์ของเรา
2.8. ความต่อเนื่องในการดำเนินงานและการกู้คืนความเสียหาย
เราได้กำหนดและทดสอบความต่อเนื่องในการดำเนินงานและแผนการกู้คืนความเสียหายที่ช่วยให้เราสามารถรักษาฟังก์ชันการดำเนินงานและบริการที่สำคัญของเราไว้ได้ในกรณีที่เกิดการหยุดชะงักหรือภัยพิบัติ แผนเหล่านี้ประกอบด้วยขั้นตอนสำหรับการสำรองและกู้คืนข้อมูลและระบบ และมาตรการในการรับรองความพร้อมใช้งานและความสมบูรณ์ของข้อมูลส่วนบุคคล
2.9. การจัดการบุคคลที่สาม
เราสร้างและรักษาการควบคุมที่เหมาะสมสำหรับการจัดการความเสี่ยงที่เกี่ยวข้องกับพันธมิตรบุคคลที่สามที่สามารถเข้าถึงข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อนอื่นๆ ซึ่งรวมถึงมาตรการต่างๆ เช่น การตรวจสอบสถานะ ภาระผูกพันตามสัญญา การเฝ้าติดตามและการตรวจสอบ ตลอดจนมาตรการยุติการเป็นหุ้นส่วนเมื่อจำเป็น
ส่วนที่ 3 ความมั่นคงของทรัพยากรมนุษย์
3.1. การคัดกรองการจ้างงาน
European IT Certification Institute ได้กำหนดกระบวนการคัดกรองการจ้างงานเพื่อให้แน่ใจว่าบุคคลที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนนั้นเชื่อถือได้และมีทักษะและคุณสมบัติที่จำเป็น
3.2 การควบคุมการเข้าถึง
เราได้กำหนดนโยบายและขั้นตอนการควบคุมการเข้าถึงเพื่อให้แน่ใจว่าพนักงานสามารถเข้าถึงข้อมูลที่จำเป็นสำหรับความรับผิดชอบในงานของพวกเขาเท่านั้น สิทธิ์การเข้าถึงได้รับการตรวจสอบและอัปเดตเป็นประจำเพื่อให้แน่ใจว่าพนักงานสามารถเข้าถึงข้อมูลที่ต้องการได้เท่านั้น
3.3. ความตระหนักและการฝึกอบรมความปลอดภัยของข้อมูล
เราจัดให้มีการฝึกอบรมเกี่ยวกับความปลอดภัยของข้อมูลแก่พนักงานทุกคนเป็นประจำ การฝึกอบรมนี้ครอบคลุมหัวข้อต่างๆ เช่น ความปลอดภัยของรหัสผ่าน การโจมตีแบบฟิชชิง วิศวกรรมสังคม และด้านอื่นๆ ของความปลอดภัยทางไซเบอร์
3.4. การใช้งานที่ยอมรับได้
เราได้กำหนดนโยบายการใช้งานที่ยอมรับได้ซึ่งสรุปการใช้งานระบบข้อมูลและทรัพยากรที่ยอมรับได้ รวมถึงอุปกรณ์ส่วนตัวที่ใช้เพื่อวัตถุประสงค์ในการทำงาน
3.5. ความปลอดภัยของอุปกรณ์เคลื่อนที่
เราได้กำหนดนโยบายและขั้นตอนสำหรับการใช้อุปกรณ์เคลื่อนที่อย่างปลอดภัย รวมถึงการใช้รหัสผ่าน การเข้ารหัส และความสามารถในการลบข้อมูลจากระยะไกล
3.6. ขั้นตอนการยกเลิก
European IT Certification Institute ได้กำหนดขั้นตอนสำหรับการยุติการจ้างงานหรือสัญญาเพื่อให้แน่ใจว่าการเข้าถึงข้อมูลที่ละเอียดอ่อนจะถูกเพิกถอนทันทีและปลอดภัย
3.7. บุคลากรบุคคลที่สาม
เราได้กำหนดขั้นตอนสำหรับการจัดการบุคลากรบุคคลที่สามที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ นโยบายเหล่านี้เกี่ยวข้องกับการคัดกรอง การควบคุมการเข้าถึง และการฝึกอบรมการรับรู้ความปลอดภัยของข้อมูล
3.8. การรายงานเหตุการณ์
เราได้กำหนดนโยบายและขั้นตอนในการรายงานเหตุการณ์หรือข้อกังวลเกี่ยวกับความปลอดภัยของข้อมูลต่อบุคลากรหรือหน่วยงานที่เหมาะสม
3.9. ข้อตกลงการรักษาความลับ
European IT Certification Institute กำหนดให้พนักงานและผู้รับเหมาลงนามในข้อตกลงการรักษาความลับเพื่อปกป้องข้อมูลที่ละเอียดอ่อนจากการเปิดเผยโดยไม่ได้รับอนุญาต
3.10. การดำเนินการทางวินัย
European IT Certification Institute ได้กำหนดนโยบายและขั้นตอนการดำเนินการทางวินัยในกรณีที่พนักงานหรือผู้รับเหมาละเมิดนโยบายความปลอดภัยของข้อมูล
ส่วนที่ 4. การประเมินความเสี่ยงและการจัดการ
4.1 การประเมินความเสี่ยง
เราทำการประเมินความเสี่ยงเป็นระยะเพื่อระบุภัยคุกคามและความเปราะบางที่อาจเกิดขึ้นกับทรัพย์สินข้อมูลของเรา เราใช้วิธีการที่มีโครงสร้างเพื่อระบุ วิเคราะห์ ประเมิน และจัดลำดับความสำคัญของความเสี่ยงตามโอกาสและผลกระทบที่อาจเกิดขึ้น เราประเมินความเสี่ยงที่เกี่ยวข้องกับสินทรัพย์ข้อมูลของเรา รวมถึงระบบ เครือข่าย ซอฟต์แวร์ ข้อมูล และเอกสารประกอบ
4.2. การรักษาความเสี่ยง
เราใช้กระบวนการบำบัดความเสี่ยงเพื่อบรรเทาหรือลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ กระบวนการบำบัดความเสี่ยงรวมถึงการเลือกการควบคุมที่เหมาะสม การใช้การควบคุม และการตรวจสอบประสิทธิผลของการควบคุม เราจัดลำดับความสำคัญของการดำเนินการควบคุมตามระดับความเสี่ยง ทรัพยากรที่มีอยู่ และลำดับความสำคัญของธุรกิจ
4.3. การติดตามและทบทวนความเสี่ยง
เราตรวจสอบและทบทวนประสิทธิผลของกระบวนการบริหารความเสี่ยงอย่างสม่ำเสมอเพื่อให้แน่ใจว่ายังคงมีความเกี่ยวข้องและมีประสิทธิภาพ เราใช้เมตริกและตัวบ่งชี้เพื่อวัดประสิทธิภาพของกระบวนการจัดการความเสี่ยงของเรา และระบุโอกาสในการปรับปรุง นอกจากนี้ เรายังทบทวนกระบวนการบริหารความเสี่ยงของเราซึ่งเป็นส่วนหนึ่งของการทบทวนการจัดการตามระยะเวลา เพื่อให้มั่นใจถึงความเหมาะสม เพียงพอ และประสิทธิผลอย่างต่อเนื่อง
4.4. การวางแผนรับมือความเสี่ยง
เรามีแผนรับมือความเสี่ยงเพื่อให้แน่ใจว่าเราสามารถตอบสนองต่อความเสี่ยงที่ระบุได้อย่างมีประสิทธิภาพ แผนนี้ประกอบด้วยขั้นตอนการระบุและรายงานความเสี่ยง ตลอดจนกระบวนการประเมินผลกระทบที่อาจเกิดขึ้นจากความเสี่ยงแต่ละรายการ และกำหนดการดำเนินการตอบสนองที่เหมาะสม นอกจากนี้ เรายังมีแผนฉุกเฉินเพื่อให้มั่นใจว่าธุรกิจจะดำเนินต่อไปได้ในกรณีที่เกิดเหตุการณ์ความเสี่ยงที่สำคัญ
4.5. การวิเคราะห์ผลกระทบด้านปฏิบัติการ
เราทำการวิเคราะห์ผลกระทบทางธุรกิจเป็นระยะเพื่อระบุผลกระทบที่อาจเกิดขึ้นจากการหยุดชะงักต่อการดำเนินธุรกิจของเรา การวิเคราะห์นี้รวมถึงการประเมินความสำคัญของฟังก์ชัน ระบบ และข้อมูลทางธุรกิจของเรา ตลอดจนการประเมินผลกระทบที่อาจเกิดขึ้นจากการหยุดชะงักต่อลูกค้า พนักงาน และผู้มีส่วนได้ส่วนเสียอื่นๆ
4.6. การจัดการความเสี่ยงของบุคคลที่สาม
เรามีโปรแกรมการจัดการความเสี่ยงของบุคคลที่สามเพื่อให้แน่ใจว่าผู้ขายของเราและผู้ให้บริการบุคคลที่สามอื่น ๆ จัดการความเสี่ยงอย่างเหมาะสมเช่นกัน โปรแกรมนี้รวมถึงการตรวจสอบสถานะก่อนเข้าร่วมกับบุคคลที่สาม การติดตามกิจกรรมของบุคคลที่สามอย่างต่อเนื่อง และการประเมินแนวทางปฏิบัติในการบริหารความเสี่ยงของบุคคลที่สามเป็นระยะ
4.7. การตอบสนองเหตุการณ์และการจัดการ
เรามีแผนรับมือเหตุการณ์และการจัดการเพื่อให้แน่ใจว่าเราสามารถตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้อย่างมีประสิทธิภาพ แผนนี้ประกอบด้วยขั้นตอนในการระบุและรายงานเหตุการณ์ ตลอดจนกระบวนการประเมินผลกระทบของแต่ละเหตุการณ์และกำหนดการดำเนินการรับมือที่เหมาะสม เรายังมีแผนความต่อเนื่องทางธุรกิจเพื่อให้แน่ใจว่าหน้าที่ทางธุรกิจที่สำคัญสามารถดำเนินต่อไปได้ในกรณีที่เกิดเหตุการณ์สำคัญ
ส่วนที่ 5 ความมั่นคงทางกายภาพและสิ่งแวดล้อม
5.1. ขอบเขตความปลอดภัยทางกายภาพ
เราได้กำหนดมาตรการรักษาความปลอดภัยทางกายภาพเพื่อปกป้องสถานที่ทางกายภาพและข้อมูลที่สำคัญจากการเข้าถึงโดยไม่ได้รับอนุญาต
5.2 การควบคุมการเข้าถึง
เราได้กำหนดนโยบายและขั้นตอนการควบคุมการเข้าถึงสำหรับสถานที่ทางกายภาพเพื่อให้แน่ใจว่าเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้
5.3. ความปลอดภัยของอุปกรณ์
เรารับรองว่าอุปกรณ์ทั้งหมดที่มีข้อมูลสำคัญได้รับการรักษาความปลอดภัยทางกายภาพ และการเข้าถึงอุปกรณ์นี้จำกัดไว้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น
5.4. การกำจัดที่ปลอดภัย
เราได้กำหนดขั้นตอนสำหรับการทิ้งข้อมูลที่ละเอียดอ่อนอย่างปลอดภัย รวมถึงเอกสารที่เป็นกระดาษ สื่ออิเล็กทรอนิกส์ และฮาร์ดแวร์
5.5. สภาพแวดล้อมทางกายภาพ
เรารับรองว่าสภาพแวดล้อมทางกายภาพของสถานที่ รวมถึงอุณหภูมิ ความชื้น และแสงสว่าง เหมาะสมสำหรับการปกป้องข้อมูลที่ละเอียดอ่อน
5.6. แหล่งจ่ายไฟ
เรามั่นใจว่าการจ่ายไฟไปยังสถานที่นั้นเชื่อถือได้และป้องกันไฟฟ้าดับหรือไฟกระชาก
5.7. การป้องกันอัคคีภัย
เราได้กำหนดนโยบายและขั้นตอนการป้องกันอัคคีภัย รวมถึงการติดตั้งและบำรุงรักษาระบบตรวจจับและระงับอัคคีภัย
5.8. การป้องกันความเสียหายจากน้ำ
เราได้กำหนดนโยบายและขั้นตอนในการปกป้องข้อมูลที่ละเอียดอ่อนจากความเสียหายจากน้ำ รวมถึงการติดตั้งและบำรุงรักษาระบบตรวจจับและป้องกันน้ำท่วม
5.9. การบำรุงรักษาอุปกรณ์
เราได้กำหนดขั้นตอนสำหรับการบำรุงรักษาอุปกรณ์ รวมถึงการตรวจสอบอุปกรณ์เพื่อหาสัญญาณของการดัดแปลงหรือการเข้าถึงโดยไม่ได้รับอนุญาต
5.10. การใช้งานที่ยอมรับได้
เราได้กำหนดนโยบายการใช้งานที่ยอมรับได้ซึ่งระบุถึงการใช้ทรัพยากรและสิ่งอำนวยความสะดวกทางกายภาพที่ยอมรับได้
5.11. การเข้าถึงระยะไกล
เราได้กำหนดนโยบายและขั้นตอนสำหรับการเข้าถึงข้อมูลที่ละเอียดอ่อนจากระยะไกล รวมถึงการใช้การเชื่อมต่อที่ปลอดภัยและการเข้ารหัส
5.12. การติดตามและเฝ้าระวัง
เราได้กำหนดนโยบายและขั้นตอนสำหรับการตรวจสอบและเฝ้าระวังสถานที่และอุปกรณ์ทางกายภาพเพื่อตรวจจับและป้องกันการเข้าถึงหรือการดัดแปลงโดยไม่ได้รับอนุญาต
ส่วนหนึ่ง. 6. ความปลอดภัยในการสื่อสารและการปฏิบัติการ
6.1. การจัดการความปลอดภัยเครือข่าย
เราได้กำหนดนโยบายและขั้นตอนสำหรับการจัดการความปลอดภัยของเครือข่าย รวมถึงการใช้ไฟร์วอลล์ ระบบตรวจจับและป้องกันการบุกรุก และการตรวจสอบความปลอดภัยเป็นประจำ
6.2. การถ่ายโอนข้อมูล
เราได้กำหนดนโยบายและขั้นตอนสำหรับการถ่ายโอนข้อมูลที่ละเอียดอ่อนอย่างปลอดภัย รวมถึงการใช้การเข้ารหัสและโปรโตคอลการถ่ายโอนไฟล์ที่ปลอดภัย
6.3. การสื่อสารของบุคคลที่สาม
เราได้กำหนดนโยบายและขั้นตอนสำหรับการแลกเปลี่ยนข้อมูลที่ละเอียดอ่อนอย่างปลอดภัยกับองค์กรบุคคลที่สาม รวมถึงการใช้การเชื่อมต่อที่ปลอดภัยและการเข้ารหัส
6.4. การจัดการสื่อ
เราได้กำหนดขั้นตอนสำหรับการจัดการข้อมูลที่ละเอียดอ่อนในสื่อรูปแบบต่างๆ รวมถึงเอกสารที่เป็นกระดาษ สื่ออิเล็กทรอนิกส์ และอุปกรณ์จัดเก็บข้อมูลแบบพกพา
6.5. การพัฒนาและบำรุงรักษาระบบสารสนเทศ
เราได้กำหนดนโยบายและขั้นตอนสำหรับการพัฒนาและบำรุงรักษาระบบข้อมูล รวมถึงการใช้แนวปฏิบัติในการเข้ารหัสที่ปลอดภัย การอัปเดตซอฟต์แวร์เป็นประจำ และการจัดการแพตช์
6.6. การป้องกันมัลแวร์และไวรัส
เราได้กำหนดนโยบายและขั้นตอนในการปกป้องระบบข้อมูลจากมัลแวร์และไวรัส รวมถึงการใช้ซอฟต์แวร์ป้องกันไวรัสและการอัปเดตความปลอดภัยเป็นประจำ
6.7. การสำรองและการคืนค่า
เราได้กำหนดนโยบายและขั้นตอนสำหรับการสำรองและกู้คืนข้อมูลที่ละเอียดอ่อนเพื่อป้องกันข้อมูลสูญหายหรือเสียหาย
6.8 การจัดการกิจกรรม
เราได้กำหนดนโยบายและขั้นตอนสำหรับการระบุ การสืบสวน และการแก้ไขเหตุการณ์และเหตุการณ์ด้านความปลอดภัย
6.9. การจัดการช่องโหว่
เราได้กำหนดนโยบายและขั้นตอนสำหรับการจัดการช่องโหว่ของระบบข้อมูล รวมถึงการใช้การประเมินช่องโหว่ปกติและการจัดการแพตช์
6.10 การควบคุมการเข้าถึง
เราได้กำหนดนโยบายและระเบียบปฏิบัติสำหรับการจัดการการเข้าถึงระบบข้อมูลของผู้ใช้ รวมถึงการใช้การควบคุมการเข้าถึง การพิสูจน์ตัวตนผู้ใช้ และการตรวจสอบการเข้าถึงเป็นประจำ
6.11. การตรวจสอบและการบันทึก
เราได้กำหนดนโยบายและขั้นตอนสำหรับการตรวจสอบและการบันทึกกิจกรรมของระบบข้อมูล รวมถึงการใช้เส้นทางการตรวจสอบและการบันทึกเหตุการณ์ด้านความปลอดภัย
ส่วนที่ 7 การได้มาซึ่งการพัฒนาและการบำรุงรักษาระบบสารสนเทศ
7.1 ความต้องการ
เราได้กำหนดนโยบายและขั้นตอนสำหรับการระบุข้อกำหนดของระบบข้อมูล รวมถึงข้อกำหนดทางธุรกิจ ข้อกำหนดทางกฎหมายและข้อบังคับ และข้อกำหนดด้านความปลอดภัย
7.2. ความสัมพันธ์กับซัพพลายเออร์
เราได้กำหนดนโยบายและขั้นตอนสำหรับการจัดการความสัมพันธ์กับซัพพลายเออร์บุคคลที่สามของระบบข้อมูลและบริการ รวมถึงการประเมินแนวทางปฏิบัติด้านความปลอดภัยของซัพพลายเออร์
7.3. การพัฒนาระบบ
เราได้กำหนดนโยบายและขั้นตอนสำหรับการพัฒนาระบบข้อมูลอย่างปลอดภัย รวมถึงการใช้แนวปฏิบัติการเข้ารหัสที่ปลอดภัย การทดสอบปกติ และการประกันคุณภาพ
7.4. การทดสอบระบบ
เราได้กำหนดนโยบายและขั้นตอนสำหรับการทดสอบระบบข้อมูล รวมถึงการทดสอบการทำงาน การทดสอบประสิทธิภาพ และการทดสอบความปลอดภัย
7.5. การยอมรับระบบ
เราได้กำหนดนโยบายและขั้นตอนสำหรับการยอมรับระบบข้อมูล รวมถึงการอนุมัติผลการทดสอบ การประเมินความปลอดภัย และการทดสอบการยอมรับของผู้ใช้
7.6. การบำรุงรักษาระบบ
เราได้กำหนดนโยบายและระเบียบปฏิบัติสำหรับการบำรุงรักษาระบบข้อมูล รวมถึงการอัปเดตเป็นประจำ แพตช์ความปลอดภัย และการสำรองข้อมูลระบบ
7.7. การเกษียณอายุของระบบ
เราได้กำหนดนโยบายและขั้นตอนสำหรับการเลิกใช้งานระบบข้อมูล รวมถึงการทิ้งฮาร์ดแวร์และข้อมูลอย่างปลอดภัย
7.8. การเก็บรักษาข้อมูล
เราได้กำหนดนโยบายและขั้นตอนในการเก็บรักษาข้อมูลให้เป็นไปตามข้อกำหนดทางกฎหมายและระเบียบข้อบังคับ รวมถึงการจัดเก็บที่ปลอดภัยและการกำจัดข้อมูลที่ละเอียดอ่อน
7.9. ข้อกำหนดด้านความปลอดภัยสำหรับระบบสารสนเทศ
เราได้กำหนดนโยบายและขั้นตอนสำหรับการระบุและการดำเนินการตามข้อกำหนดด้านความปลอดภัยสำหรับระบบข้อมูล รวมถึงการควบคุมการเข้าถึง การเข้ารหัส และการปกป้องข้อมูล
7.10. สภาพแวดล้อมการพัฒนาที่ปลอดภัย
เราได้กำหนดนโยบายและขั้นตอนสำหรับสภาพแวดล้อมการพัฒนาที่ปลอดภัยสำหรับระบบข้อมูล รวมถึงการใช้แนวทางการพัฒนาที่ปลอดภัย การควบคุมการเข้าถึง และการกำหนดค่าเครือข่ายที่ปลอดภัย
7.11 การปกป้องสภาพแวดล้อมการทดสอบ
เราได้กำหนดนโยบายและขั้นตอนสำหรับการปกป้องสภาพแวดล้อมการทดสอบสำหรับระบบข้อมูล รวมถึงการใช้การกำหนดค่าที่ปลอดภัย การควบคุมการเข้าถึง และการทดสอบความปลอดภัยเป็นประจำ
7.12. หลักการวิศวกรรมระบบที่ปลอดภัย
เราได้กำหนดนโยบายและขั้นตอนสำหรับการดำเนินการตามหลักการทางวิศวกรรมระบบความปลอดภัยสำหรับระบบข้อมูล รวมถึงการใช้สถาปัตยกรรมความปลอดภัย การสร้างแบบจำลองภัยคุกคาม และแนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัย
7.13 น. แนวทางการเข้ารหัสที่ปลอดภัย
เราได้กำหนดนโยบายและขั้นตอนสำหรับการดำเนินการตามแนวทางการเข้ารหัสที่ปลอดภัยสำหรับระบบข้อมูล รวมถึงการใช้มาตรฐานการเข้ารหัส การทบทวนโค้ด และการทดสอบอัตโนมัติ
ส่วนที่ 8 การได้มาซึ่งฮาร์ดแวร์
8.1. การปฏิบัติตามมาตรฐาน
เราปฏิบัติตามมาตรฐาน ISO 27001 สำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) เพื่อให้แน่ใจว่าสินทรัพย์ฮาร์ดแวร์ได้รับการจัดหาตามข้อกำหนดด้านความปลอดภัยของเรา
8.2 การประเมินความเสี่ยง
เราทำการประเมินความเสี่ยงก่อนที่จะจัดหาสินทรัพย์ฮาร์ดแวร์เพื่อระบุความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น และตรวจสอบให้แน่ใจว่าฮาร์ดแวร์ที่เลือกนั้นตรงตามข้อกำหนดด้านความปลอดภัย
8.3. การคัดเลือกผู้ขาย
เราจัดหาสินทรัพย์ฮาร์ดแวร์จากผู้จำหน่ายที่เชื่อถือได้ซึ่งมีประวัติที่พิสูจน์แล้วในการส่งมอบผลิตภัณฑ์ที่ปลอดภัย เราตรวจสอบนโยบายและแนวทางปฏิบัติด้านความปลอดภัยของผู้ขาย และกำหนดให้ผู้ขายต้องรับประกันว่าผลิตภัณฑ์ของตนเป็นไปตามข้อกำหนดด้านความปลอดภัยของเรา
8.4. การขนส่งที่ปลอดภัย
เราตรวจสอบให้แน่ใจว่ามีการขนย้ายสินทรัพย์ฮาร์ดแวร์ไปยังสถานที่ของเราอย่างปลอดภัย เพื่อป้องกันการดัดแปลง ความเสียหาย หรือการโจรกรรมระหว่างการขนส่ง
8.5 การตรวจสอบความถูกต้อง
เราตรวจสอบความถูกต้องของสินทรัพย์ฮาร์ดแวร์เมื่อส่งมอบเพื่อให้แน่ใจว่าไม่ใช่ของปลอมหรือดัดแปลง
8.6. การควบคุมทางกายภาพและสิ่งแวดล้อม
เราใช้การควบคุมทางกายภาพและสิ่งแวดล้อมที่เหมาะสมเพื่อปกป้องสินทรัพย์ฮาร์ดแวร์จากการเข้าถึง การโจรกรรม หรือความเสียหายโดยไม่ได้รับอนุญาต
8.7. การติดตั้งฮาร์ดแวร์
เรารับรองว่าสินทรัพย์ฮาร์ดแวร์ทั้งหมดได้รับการกำหนดค่าและติดตั้งตามมาตรฐานและหลักเกณฑ์ด้านความปลอดภัยที่กำหนดไว้
8.8. รีวิวฮาร์ดแวร์
เราดำเนินการตรวจสอบสินทรัพย์ฮาร์ดแวร์เป็นระยะเพื่อให้แน่ใจว่ายังคงเป็นไปตามข้อกำหนดด้านความปลอดภัยของเรา และเป็นปัจจุบันด้วยแพตช์และการอัปเดตความปลอดภัยล่าสุด
8.9 การกำจัดฮาร์ดแวร์
เรากำจัดสินทรัพย์ฮาร์ดแวร์ในลักษณะที่ปลอดภัยเพื่อป้องกันการเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
ส่วนที่ 9 การป้องกันมัลแวร์และไวรัส
9.1. นโยบายการอัปเดตซอฟต์แวร์
เราบำรุงรักษาซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ที่ทันสมัยในระบบข้อมูลทั้งหมดที่ใช้โดย European IT Certification Institute รวมถึงเซิร์ฟเวอร์ เวิร์กสเตชัน แล็ปท็อป และอุปกรณ์เคลื่อนที่ เราตรวจสอบให้แน่ใจว่าซอฟต์แวร์ป้องกันไวรัสและซอฟต์แวร์ป้องกันมัลแวร์ได้รับการกำหนดค่าให้อัปเดตไฟล์คำจำกัดความของไวรัสและเวอร์ชันซอฟต์แวร์เป็นประจำโดยอัตโนมัติ และกระบวนการนี้ได้รับการทดสอบเป็นประจำ
9.2. การสแกนไวรัสและมัลแวร์
เราทำการสแกนระบบข้อมูลทั้งหมดอย่างสม่ำเสมอ รวมถึงเซิร์ฟเวอร์ เวิร์กสเตชัน แล็ปท็อป และอุปกรณ์พกพา เพื่อตรวจจับและกำจัดไวรัสหรือมัลแวร์ใดๆ
9.3. นโยบายไม่ปิดใช้งานและไม่เปลี่ยนแปลง
เราบังคับใช้นโยบายที่ห้ามไม่ให้ผู้ใช้ปิดใช้งานหรือแก้ไขซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ในระบบข้อมูลใดๆ
9.4 การตรวจสอบ
เราตรวจสอบการแจ้งเตือนซอฟต์แวร์ป้องกันไวรัสและมัลแวร์และบันทึกเพื่อระบุเหตุการณ์ของการติดไวรัสหรือมัลแวร์ และตอบสนองต่อเหตุการณ์ดังกล่าวอย่างทันท่วงที
9.5. การบำรุงรักษาระเบียน
เราเก็บรักษาบันทึกการกำหนดค่าซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ การอัปเดต และการสแกน ตลอดจนเหตุการณ์ใดๆ ของการติดไวรัสหรือมัลแวร์ เพื่อวัตถุประสงค์ในการตรวจสอบ
9.6. รีวิวซอฟต์แวร์
เราดำเนินการตรวจสอบซอฟต์แวร์ป้องกันไวรัสและมัลแวร์เป็นระยะเพื่อให้แน่ใจว่าตรงตามมาตรฐานอุตสาหกรรมในปัจจุบันและเพียงพอต่อความต้องการของเรา
9.7. การฝึกอบรมและการรับรู้
เราจัดเตรียมโปรแกรมการฝึกอบรมและการรับรู้เพื่อให้ความรู้แก่พนักงานทุกคนเกี่ยวกับความสำคัญของการป้องกันไวรัสและมัลแวร์ และวิธีการรับรู้และรายงานกิจกรรมหรือเหตุการณ์ที่น่าสงสัย
ส่วนที่ 10. การจัดการทรัพย์สินสารสนเทศ
10.1. สินค้าคงคลังสินทรัพย์ข้อมูล
European IT Certification Institute เก็บรักษาบัญชีรายการสินทรัพย์ข้อมูล ซึ่งรวมถึงสินทรัพย์ข้อมูลดิจิทัลและกายภาพทั้งหมด เช่น ระบบ เครือข่าย ซอฟต์แวร์ ข้อมูล และเอกสารประกอบ เราจัดประเภทสินทรัพย์ข้อมูลตามความสำคัญและความละเอียดอ่อนเพื่อให้แน่ใจว่ามีการใช้มาตรการป้องกันที่เหมาะสม
10.2. การจัดการสินทรัพย์ข้อมูล
เราใช้มาตรการที่เหมาะสมในการปกป้องสินทรัพย์ข้อมูลตามการจัดประเภท รวมถึงการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน เรารับรองว่าเนื้อหาข้อมูลทั้งหมดได้รับการจัดการตามกฎหมาย ข้อบังคับ และข้อกำหนดตามสัญญาที่บังคับใช้ นอกจากนี้ เรายังรับประกันว่าสินทรัพย์ข้อมูลทั้งหมดได้รับการจัดเก็บ ป้องกัน และกำจัดอย่างเหมาะสมเมื่อไม่ต้องการใช้อีกต่อไป
10.3. ความเป็นเจ้าของสินทรัพย์ข้อมูล
เรากำหนดความเป็นเจ้าของสินทรัพย์ข้อมูลให้กับบุคคลหรือหน่วยงานที่รับผิดชอบในการจัดการและปกป้องสินทรัพย์ข้อมูล เรายังมั่นใจว่าเจ้าของสินทรัพย์ข้อมูลเข้าใจถึงความรับผิดชอบและความรับผิดชอบในการปกป้องสินทรัพย์ข้อมูล
10.4. การคุ้มครองทรัพย์สินข้อมูล
เราใช้มาตรการป้องกันที่หลากหลายเพื่อปกป้องสินทรัพย์ข้อมูล รวมถึงการควบคุมทางกายภาพ การควบคุมการเข้าถึง การเข้ารหัส และกระบวนการสำรองและกู้คืน นอกจากนี้ เรายังรับประกันว่าทรัพย์สินข้อมูลทั้งหมดได้รับการปกป้องจากการเข้าถึง การดัดแปลง หรือการทำลายโดยไม่ได้รับอนุญาต
ส่วนที่ 11 การควบคุมการเข้าถึง
11.1. นโยบายการควบคุมการเข้าถึง
European IT Certification Institute มีนโยบายการควบคุมการเข้าถึงที่ระบุข้อกำหนดสำหรับการอนุญาต แก้ไข และเพิกถอนการเข้าถึงสินทรัพย์ข้อมูล การควบคุมการเข้าถึงเป็นองค์ประกอบที่สำคัญของระบบการจัดการความปลอดภัยของข้อมูลของเรา และเราใช้เพื่อให้แน่ใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงทรัพย์สินข้อมูลของเราได้
11.2. การดำเนินการควบคุมการเข้าถึง
เราใช้มาตรการควบคุมการเข้าถึงตามหลักการของสิทธิพิเศษน้อยที่สุด ซึ่งหมายความว่าบุคคลต่างๆ สามารถเข้าถึงเฉพาะทรัพย์สินข้อมูลที่จำเป็นต่อการปฏิบัติหน้าที่ของตนเท่านั้น เราใช้มาตรการควบคุมการเข้าถึงที่หลากหลาย รวมถึงการรับรองความถูกต้อง การอนุญาต และการบัญชี (AAA) นอกจากนี้ เรายังใช้รายการควบคุมการเข้าถึง (ACL) และการอนุญาตเพื่อควบคุมการเข้าถึงสินทรัพย์ข้อมูล
11.3. นโยบายรหัสผ่าน
European IT Certification Institute มีนโยบายรหัสผ่านที่ระบุข้อกำหนดสำหรับการสร้างและจัดการรหัสผ่าน เราต้องการรหัสผ่านที่รัดกุมซึ่งมีความยาวอย่างน้อย 8 อักขระ โดยประกอบด้วยตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษ เรายังกำหนดให้เปลี่ยนรหัสผ่านเป็นระยะและห้ามใช้รหัสผ่านก่อนหน้าซ้ำ
11.4. การจัดการผู้ใช้
เรามีกระบวนการจัดการผู้ใช้ซึ่งรวมถึงการสร้าง แก้ไข และลบบัญชีผู้ใช้ บัญชีผู้ใช้ถูกสร้างขึ้นตามหลักการของสิทธิ์ขั้นต่ำ และการเข้าถึงจะมอบให้กับทรัพย์สินข้อมูลที่จำเป็นต่อการปฏิบัติงานของแต่ละคนเท่านั้น นอกจากนี้ เรายังตรวจสอบบัญชีผู้ใช้เป็นประจำและลบบัญชีที่ไม่จำเป็นอีกต่อไป
ส่วนที่ 12 การจัดการเหตุการณ์ความปลอดภัยของข้อมูล
12.1. นโยบายการจัดการเหตุการณ์
European IT Certification Institute มีนโยบายการจัดการเหตุการณ์ที่ร่างข้อกำหนดสำหรับการตรวจจับ รายงาน ประเมิน และตอบสนองต่อเหตุการณ์ด้านความปลอดภัย เราให้นิยามเหตุการณ์ด้านความปลอดภัยว่าเป็นเหตุการณ์ใดๆ ที่ทำลายความลับ ความสมบูรณ์ หรือความพร้อมใช้งานของสินทรัพย์หรือระบบข้อมูล
12.2. การตรวจจับและการรายงานเหตุการณ์
เราใช้มาตรการเพื่อตรวจจับและรายงานเหตุการณ์ด้านความปลอดภัยทันที เราใช้วิธีการที่หลากหลายเพื่อตรวจจับเหตุการณ์ด้านความปลอดภัย รวมถึงระบบตรวจจับการบุกรุก (IDS) ซอฟต์แวร์ป้องกันไวรัส และการรายงานผู้ใช้ นอกจากนี้ เรายังมั่นใจว่าพนักงานทุกคนรับทราบขั้นตอนในการรายงานเหตุการณ์ด้านความปลอดภัย และสนับสนุนให้มีการรายงานเหตุการณ์ที่ต้องสงสัยทั้งหมด
12.3. การประเมินเหตุการณ์และการตอบสนอง
เรามีกระบวนการประเมินและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยตามความรุนแรงและผลกระทบ เราจัดลำดับความสำคัญของเหตุการณ์ตามผลกระทบที่อาจเกิดขึ้นกับสินทรัพย์ข้อมูลหรือระบบ และจัดสรรทรัพยากรที่เหมาะสมเพื่อตอบสนองต่อเหตุการณ์เหล่านั้น นอกจากนี้ เรายังมีแผนรับมือที่รวมถึงขั้นตอนสำหรับการระบุ บรรจุ วิเคราะห์ กำจัด และกู้คืนจากเหตุการณ์ด้านความปลอดภัย ตลอดจนการแจ้งฝ่ายที่เกี่ยวข้อง และดำเนินการตรวจสอบหลังเหตุการณ์ ขั้นตอนการตอบสนองต่อเหตุการณ์ของเราได้รับการออกแบบมาเพื่อให้มั่นใจถึงการตอบสนองที่รวดเร็วและมีประสิทธิภาพ ถึงเหตุการณ์ด้านความปลอดภัย มีการตรวจสอบและปรับปรุงขั้นตอนอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามีประสิทธิภาพและความเกี่ยวข้อง
12.4. ทีมเผชิญเหตุ
เรามี Incident Response Team (IRT) ที่รับผิดชอบในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย IRT ประกอบด้วยตัวแทนจากหน่วยงานต่างๆ และนำโดย Information Security Officer (ISO) IRT มีหน้าที่รับผิดชอบในการประเมินความรุนแรงของเหตุการณ์ ควบคุมเหตุการณ์ และเริ่มขั้นตอนการตอบสนองที่เหมาะสม
12.5 การรายงานเหตุการณ์และการทบทวน
เราได้จัดทำขั้นตอนในการรายงานเหตุการณ์ด้านความปลอดภัยต่อบุคคลที่เกี่ยวข้อง รวมถึงลูกค้า หน่วยงานกำกับดูแล และหน่วยงานบังคับใช้กฎหมาย ตามที่กฎหมายและข้อบังคับที่เกี่ยวข้องกำหนด เรายังรักษาการติดต่อสื่อสารกับฝ่ายที่ได้รับผลกระทบตลอดกระบวนการตอบสนองเหตุการณ์ โดยให้ข้อมูลอัปเดตอย่างทันท่วงทีเกี่ยวกับสถานะของเหตุการณ์และการดำเนินการใด ๆ เพื่อลดผลกระทบ นอกจากนี้ เรายังดำเนินการตรวจสอบเหตุการณ์ด้านความปลอดภัยทั้งหมดเพื่อระบุสาเหตุที่แท้จริงและป้องกันไม่ให้เหตุการณ์ที่คล้ายกันนี้เกิดขึ้นอีกในอนาคต
ส่วนที่ 13 การจัดการความต่อเนื่องทางธุรกิจและการกู้คืนความเสียหาย
13.1. การวางแผนความต่อเนื่องทางธุรกิจ
แม้ว่า European IT Certification Institute จะเป็นองค์กรไม่แสวงผลกำไร แต่ก็มีแผนความต่อเนื่องทางธุรกิจ (BCP) ที่แสดงขั้นตอนการดำเนินการเพื่อให้มั่นใจว่าการดำเนินงานมีความต่อเนื่องในกรณีที่เกิดเหตุการณ์ขัดข้อง BCP ครอบคลุมกระบวนการปฏิบัติงานที่สำคัญทั้งหมดและระบุทรัพยากรที่จำเป็นสำหรับการรักษาการดำเนินงานในระหว่างและหลังเหตุการณ์ที่ก่อกวน นอกจากนี้ยังสรุปขั้นตอนในการรักษาการดำเนินธุรกิจระหว่างการหยุดชะงักหรือภัยพิบัติ การประเมินผลกระทบของการหยุดชะงัก การระบุกระบวนการดำเนินงานที่สำคัญที่สุดในบริบทของเหตุการณ์การหยุดชะงักเฉพาะ และพัฒนาขั้นตอนการตอบสนองและการกู้คืน
13.2. การวางแผนการกู้คืนจากภัยพิบัติ
สถาบันรับรองด้านไอทีแห่งยุโรปมีแผนการกู้คืนความเสียหาย (DRP) ซึ่งสรุปขั้นตอนการกู้คืนระบบข้อมูลของเราในกรณีที่เกิดการหยุดชะงักหรือภัยพิบัติ DRP ประกอบด้วยขั้นตอนสำหรับการสำรองข้อมูล การคืนค่าข้อมูล และการกู้คืนระบบ DRP ได้รับการทดสอบและอัปเดตเป็นประจำเพื่อให้มั่นใจถึงประสิทธิภาพ
13.3. การวิเคราะห์ผลกระทบทางธุรกิจ
เราทำการวิเคราะห์ผลกระทบทางธุรกิจ (BIA) เพื่อระบุกระบวนการดำเนินงานที่สำคัญและทรัพยากรที่จำเป็นในการบำรุงรักษา BIA ช่วยให้เราจัดลำดับความสำคัญของความพยายามในการกู้คืนและจัดสรรทรัพยากรให้สอดคล้องกัน
13.4. กลยุทธ์ความต่อเนื่องทางธุรกิจ
จากผลลัพธ์ของ BIA เราได้พัฒนากลยุทธ์ความต่อเนื่องทางธุรกิจซึ่งสรุปขั้นตอนการตอบสนองต่อเหตุการณ์ที่ก่อกวน กลยุทธ์ประกอบด้วยขั้นตอนการเปิดใช้งาน BCP การฟื้นฟูกระบวนการปฏิบัติงานที่สำคัญ และการสื่อสารกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง
13.5 การทดสอบและการบำรุงรักษา
เราทดสอบและบำรุงรักษา BCP และ DRP ของเราเป็นประจำเพื่อให้แน่ใจว่ามีประสิทธิภาพและความเกี่ยวข้อง เราทำการทดสอบเป็นประจำเพื่อตรวจสอบความถูกต้องของ BCP/DRP และระบุจุดที่ต้องปรับปรุง นอกจากนี้ เรายังอัปเดต BCP และ DRP ตามความจำเป็นเพื่อให้สอดคล้องกับการเปลี่ยนแปลงในการดำเนินงานของเราหรือภาพรวมของภัยคุกคาม การทดสอบประกอบด้วยการฝึกบนโต๊ะ การจำลอง และการทดสอบขั้นตอนจริง เรายังตรวจสอบและปรับปรุงแผนของเราตามผลการทดสอบและบทเรียนที่ได้รับ
13.6. ไซต์การประมวลผลสำรอง
เรามีไซต์ประมวลผลออนไลน์สำรองที่สามารถใช้ในการดำเนินธุรกิจต่อไปได้ในกรณีที่เกิดการหยุดชะงักหรือภัยพิบัติ ไซต์การประมวลผลสำรองมีโครงสร้างพื้นฐานและระบบที่จำเป็น และสามารถใช้เพื่อสนับสนุนกระบวนการทางธุรกิจที่สำคัญ
ส่วนที่ 14 การปฏิบัติตามและการตรวจสอบ
14.1. การปฏิบัติตามกฎหมายและข้อบังคับ
European IT Certification Institute มุ่งมั่นที่จะปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล รวมถึงกฎหมายคุ้มครองข้อมูล มาตรฐานอุตสาหกรรม และข้อผูกมัดตามสัญญา เราตรวจสอบและปรับปรุงนโยบาย ขั้นตอน และการควบคุมของเราอย่างสม่ำเสมอเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดและมาตรฐานที่เกี่ยวข้องทั้งหมด มาตรฐานและกรอบการทำงานหลักที่เราปฏิบัติตามในบริบทด้านความปลอดภัยของข้อมูล ได้แก่:
- มาตรฐาน ISO/IEC 27001 เป็นแนวทางสำหรับการนำไปใช้และการจัดการระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ซึ่งรวมถึงการจัดการช่องโหว่เป็นองค์ประกอบหลัก เป็นกรอบอ้างอิงสำหรับการปรับใช้และบำรุงรักษาระบบการจัดการความปลอดภัยของข้อมูล (ISMS) รวมถึงการจัดการช่องโหว่ ในการปฏิบัติตามข้อกำหนดมาตรฐานนี้ เราระบุ ประเมิน และจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล รวมถึงช่องโหว่ต่างๆ
- กรอบความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) ให้แนวทางสำหรับการระบุ ประเมิน และจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ รวมถึงการจัดการช่องโหว่
- กรอบความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) สำหรับการปรับปรุงการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ โดยมีชุดของฟังก์ชันหลักรวมถึงการจัดการช่องโหว่ที่เราปฏิบัติตามเพื่อจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ของเรา
- SANS Critical Security Controls ประกอบด้วยชุดควบคุมความปลอดภัย 20 ชุดเพื่อปรับปรุงความปลอดภัยทางไซเบอร์ ครอบคลุมส่วนต่างๆ รวมถึงการจัดการช่องโหว่ ให้คำแนะนำเฉพาะเกี่ยวกับการสแกนช่องโหว่ การจัดการแพตช์ และการจัดการช่องโหว่ด้านอื่นๆ
- มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ซึ่งกำหนดให้มีการจัดการข้อมูลบัตรเครดิตที่เกี่ยวข้องกับการจัดการช่องโหว่ในบริบทนี้
- ศูนย์ควบคุมความปลอดภัยทางอินเทอร์เน็ต (CIS) รวมถึงการจัดการช่องโหว่เป็นหนึ่งในการควบคุมหลักเพื่อให้แน่ใจว่าการกำหนดค่าระบบข้อมูลของเรามีความปลอดภัย
- Open Web Application Security Project (OWASP) ซึ่งมีรายการความเสี่ยงด้านความปลอดภัยของเว็บแอปพลิเคชันที่สำคัญที่สุด 10 อันดับแรก รวมถึงการประเมินช่องโหว่ เช่น การโจมตีด้วยการฉีด การพิสูจน์ตัวตนที่เสียหายและการจัดการเซสชัน การเขียนสคริปต์ข้ามไซต์ (XSS) เป็นต้น เราใช้ OWASP 10 อันดับแรก เพื่อจัดลำดับความสำคัญของความพยายามในการจัดการช่องโหว่ของเรา และมุ่งเน้นไปที่ความเสี่ยงที่สำคัญที่สุดเกี่ยวกับระบบเว็บของเรา
14.2. ตรวจสอบภายใน
เราดำเนินการตรวจสอบภายในเป็นประจำเพื่อประเมินประสิทธิภาพของระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ของเรา และตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามนโยบาย ขั้นตอน และการควบคุมของเรา กระบวนการตรวจสอบภายในรวมถึงการระบุความไม่สอดคล้อง การพัฒนาการดำเนินการแก้ไข และการติดตามความพยายามในการแก้ไข
14.3. การตรวจสอบภายนอก
เราทำงานร่วมกับผู้ตรวจสอบภายนอกเป็นระยะเพื่อตรวจสอบการปฏิบัติตามกฎหมาย ข้อบังคับ และมาตรฐานอุตสาหกรรมที่เกี่ยวข้อง เราให้ผู้ตรวจสอบสามารถเข้าถึงสิ่งอำนวยความสะดวก ระบบ และเอกสารของเราตามที่จำเป็นเพื่อตรวจสอบการปฏิบัติตามของเรา นอกจากนี้ เรายังทำงานร่วมกับผู้ตรวจสอบภายนอกเพื่อจัดการกับข้อค้นพบหรือคำแนะนำใดๆ ที่ระบุในระหว่างกระบวนการตรวจสอบ
14.4. การตรวจสอบการปฏิบัติตามข้อกำหนด
เราตรวจสอบการปฏิบัติตามกฎหมาย ข้อบังคับ และมาตรฐานอุตสาหกรรมที่เกี่ยวข้องอย่างต่อเนื่อง เราใช้วิธีการที่หลากหลายในการตรวจสอบการปฏิบัติตาม รวมถึงการประเมินเป็นระยะ การตรวจสอบ และการทบทวนผู้ให้บริการบุคคลที่สาม นอกจากนี้ เรายังตรวจสอบและอัปเดตนโยบาย ขั้นตอน และการควบคุมของเราอย่างสม่ำเสมอเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดที่เกี่ยวข้องทั้งหมดอย่างต่อเนื่อง
ส่วนที่ 15 การจัดการบุคคลที่สาม
15.1. นโยบายการจัดการบุคคลที่สาม
European IT Certification Institute มีนโยบายการจัดการบุคคลที่สามซึ่งสรุปข้อกำหนดสำหรับการเลือก ประเมิน และติดตามผู้ให้บริการบุคคลที่สามที่มีสิทธิ์เข้าถึงสินทรัพย์หรือระบบข้อมูลของเรา นโยบายนี้ใช้กับผู้ให้บริการบุคคลที่สามทั้งหมด รวมถึงผู้ให้บริการระบบคลาวด์ ผู้ขาย และผู้รับจ้าง
15.2. การคัดเลือกและการประเมินโดยบุคคลที่สาม
เราทำการตรวจสอบวิเคราะห์สถานะก่อนที่จะมีส่วนร่วมกับผู้ให้บริการบุคคลที่สามเพื่อให้แน่ใจว่าพวกเขามีการควบคุมความปลอดภัยที่เพียงพอเพื่อปกป้องทรัพย์สินข้อมูลหรือระบบของเรา นอกจากนี้ เรายังประเมินการปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องของผู้ให้บริการบุคคลที่สามที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูลและความเป็นส่วนตัว
15.3. การตรวจสอบบุคคลที่สาม
เราตรวจสอบผู้ให้บริการบุคคลที่สามอย่างต่อเนื่องเพื่อให้แน่ใจว่าพวกเขายังคงปฏิบัติตามข้อกำหนดของเราสำหรับความปลอดภัยของข้อมูลและความเป็นส่วนตัว เราใช้วิธีการที่หลากหลายในการตรวจสอบผู้ให้บริการบุคคลที่สาม รวมถึงการประเมินเป็นระยะ การตรวจสอบ และการทบทวนรายงานเหตุการณ์ด้านความปลอดภัย
15.4. ข้อกำหนดตามสัญญา
เรารวมข้อกำหนดตามสัญญาที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูลและความเป็นส่วนตัวในสัญญาทั้งหมดกับผู้ให้บริการบุคคลที่สาม ข้อกำหนดเหล่านี้รวมถึงข้อกำหนดสำหรับการปกป้องข้อมูล การควบคุมความปลอดภัย การจัดการเหตุการณ์ และการตรวจสอบการปฏิบัติตามข้อกำหนด เรายังรวมข้อกำหนดสำหรับการบอกเลิกสัญญาในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยหรือการไม่ปฏิบัติตาม
ส่วนที่ 16 ความปลอดภัยของข้อมูลในกระบวนการรับรอง
16.1 ความปลอดภัยของกระบวนการรับรอง
เราใช้มาตรการที่เพียงพอและเป็นระบบเพื่อรับรองความปลอดภัยของข้อมูลทั้งหมดที่เกี่ยวข้องกับกระบวนการรับรองของเรา รวมถึงข้อมูลส่วนบุคคลของบุคคลที่ขอการรับรอง ซึ่งรวมถึงการควบคุมการเข้าถึง การจัดเก็บ และการส่งข้อมูลที่เกี่ยวข้องกับการรับรองทั้งหมด ด้วยการใช้มาตรการเหล่านี้ เรามีเป้าหมายเพื่อให้แน่ใจว่ากระบวนการรับรองดำเนินการด้วยระดับความปลอดภัยและความสมบูรณ์สูงสุด และข้อมูลส่วนบุคคลของบุคคลที่ขอการรับรองได้รับการคุ้มครองตามข้อบังคับและมาตรฐานที่เกี่ยวข้อง
16.2. การรับรองความถูกต้องและการอนุญาต
เราใช้การควบคุมการรับรองความถูกต้องและการอนุญาตเพื่อให้แน่ใจว่าเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลการรับรองได้ การควบคุมการเข้าถึงจะได้รับการตรวจสอบและปรับปรุงอย่างสม่ำเสมอตามการเปลี่ยนแปลงในบทบาทและความรับผิดชอบของบุคลากร
16.3 การป้องกันข้อมูล
เราปกป้องข้อมูลส่วนบุคคลตลอดกระบวนการรับรองโดยใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้มั่นใจถึงการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล ซึ่งรวมถึงมาตรการต่างๆ เช่น การเข้ารหัส การควบคุมการเข้าถึง และการสำรองข้อมูลตามปกติ
16.4. ความปลอดภัยของกระบวนการสอบ
เรารับประกันความปลอดภัยของกระบวนการสอบโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการโกง ตรวจสอบ และควบคุมสภาพแวดล้อมการสอบ เรายังรักษาความสมบูรณ์และความลับของเอกสารการสอบผ่านขั้นตอนการจัดเก็บที่ปลอดภัย
16.5 ความปลอดภัยของเนื้อหาการสอบ
เรารับประกันความปลอดภัยของเนื้อหาการตรวจสอบโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการเข้าถึง การแก้ไข หรือการเปิดเผยเนื้อหาโดยไม่ได้รับอนุญาต ซึ่งรวมถึงการใช้ที่เก็บข้อมูลที่ปลอดภัย การเข้ารหัส และการควบคุมการเข้าถึงสำหรับเนื้อหาการสอบ ตลอดจนการควบคุมเพื่อป้องกันการแจกจ่ายหรือการเผยแพร่เนื้อหาการสอบโดยไม่ได้รับอนุญาต
16.6. ความปลอดภัยของการจัดส่งข้อสอบ
เรารับประกันความปลอดภัยของการจัดส่งข้อสอบโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการเข้าถึงหรือการจัดการสภาพแวดล้อมการสอบโดยไม่ได้รับอนุญาต ซึ่งรวมถึงมาตรการต่าง ๆ เช่น การติดตาม การตรวจสอบ และการควบคุมสภาพแวดล้อมการสอบและวิธีการตรวจสอบเฉพาะ เพื่อป้องกันการโกงหรือการละเมิดความปลอดภัยอื่น ๆ
16.7 ความปลอดภัยของผลการสอบ
เรารับประกันความปลอดภัยของผลการตรวจสอบโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการเข้าถึง การแก้ไข หรือการเปิดเผยผลโดยไม่ได้รับอนุญาต ซึ่งรวมถึงการใช้ที่เก็บข้อมูลที่ปลอดภัย การเข้ารหัส และการควบคุมการเข้าถึงสำหรับผลการตรวจ ตลอดจนการควบคุมเพื่อป้องกันการแจกจ่ายหรือการเผยแพร่ผลการตรวจโดยไม่ได้รับอนุญาต
16.8. ความปลอดภัยของการออกใบรับรอง
เรารับประกันความปลอดภัยของการออกใบรับรองโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการฉ้อโกงและการออกใบรับรองโดยไม่ได้รับอนุญาต ซึ่งรวมถึงการควบคุมการตรวจสอบตัวตนของบุคคลที่ได้รับใบรับรองและการจัดเก็บที่ปลอดภัยและขั้นตอนการออก
16.9 การร้องเรียนและการอุทธรณ์
เราได้กำหนดขั้นตอนในการจัดการข้อร้องเรียนและการอุทธรณ์ที่เกี่ยวข้องกับกระบวนการรับรอง ขั้นตอนเหล่านี้รวมถึงมาตรการเพื่อให้มั่นใจถึงความลับและความเป็นกลางของกระบวนการ และความปลอดภัยของข้อมูลที่เกี่ยวข้องกับการร้องเรียนและการอุทธรณ์
16.10 น. กระบวนการรับรอง การจัดการคุณภาพ
เราได้จัดทำระบบการจัดการคุณภาพ (QMS) สำหรับกระบวนการรับรองที่มีมาตรการเพื่อให้มั่นใจถึงประสิทธิผล ประสิทธิภาพ และความปลอดภัยของกระบวนการ QMS รวมถึงการตรวจสอบและทบทวนกระบวนการและการควบคุมความปลอดภัยอย่างสม่ำเสมอ
16.11 น. การปรับปรุงความปลอดภัยของกระบวนการรับรองอย่างต่อเนื่อง
เรามุ่งมั่นที่จะปรับปรุงกระบวนการรับรองและการควบคุมความปลอดภัยอย่างต่อเนื่อง ซึ่งรวมถึงการทบทวนและอัปเดตนโยบายและขั้นตอนที่เกี่ยวข้องกับการรับรองอย่างสม่ำเสมอ การรักษาความปลอดภัยตามการเปลี่ยนแปลงในสภาพแวดล้อมทางธุรกิจ ข้อกำหนดด้านกฎระเบียบ และแนวปฏิบัติที่ดีที่สุดในการจัดการความปลอดภัยของข้อมูล ตามมาตรฐาน ISO 27001 สำหรับการจัดการความปลอดภัยของข้อมูล เช่นเดียวกับ ISO 17024 หน่วยรับรองมาตรฐานการปฏิบัติงาน
ส่วนที่ 17 การปิดบทบัญญัติ
17.1. การทบทวนและปรับปรุงนโยบาย
นโยบายการรักษาความปลอดภัยข้อมูลนี้เป็นเอกสารที่มีชีวิตซึ่งผ่านการตรวจสอบและอัปเดตอย่างต่อเนื่องตามการเปลี่ยนแปลงข้อกำหนดในการดำเนินงาน ข้อกำหนดด้านกฎระเบียบ หรือแนวทางปฏิบัติที่ดีที่สุดในการจัดการความปลอดภัยของข้อมูล
17.2. การตรวจสอบการปฏิบัติตามข้อกำหนด
เราได้กำหนดขั้นตอนสำหรับการตรวจสอบการปฏิบัติตามนโยบายการรักษาความปลอดภัยของข้อมูลและการควบคุมความปลอดภัยที่เกี่ยวข้อง การตรวจสอบการปฏิบัติตามข้อกำหนดรวมถึงการตรวจสอบ การประเมิน และการทบทวนการควบคุมความปลอดภัยอย่างสม่ำเสมอ และประสิทธิผลในการบรรลุวัตถุประสงค์ของนโยบายนี้
17.3. การรายงานเหตุการณ์ด้านความปลอดภัย
เราได้กำหนดขั้นตอนในการรายงานเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับระบบข้อมูลของเรา รวมถึงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคล พนักงาน ผู้รับเหมา และผู้มีส่วนได้ส่วนเสียอื่น ๆ ควรรายงานเหตุการณ์ด้านความปลอดภัยหรือเหตุการณ์ที่น่าสงสัยต่อทีมรักษาความปลอดภัยที่ได้รับมอบหมายโดยเร็วที่สุด
17.4. การฝึกอบรมและการรับรู้
เราจัดให้มีโปรแกรมการฝึกอบรมและการรับรู้อย่างสม่ำเสมอแก่พนักงาน ผู้รับเหมา และผู้มีส่วนได้ส่วนเสียอื่น ๆ เพื่อให้แน่ใจว่าพวกเขาตระหนักถึงความรับผิดชอบและภาระผูกพันที่เกี่ยวข้องกับความปลอดภัยของข้อมูล ซึ่งรวมถึงการฝึกอบรมเกี่ยวกับนโยบายและขั้นตอนการรักษาความปลอดภัย และมาตรการในการปกป้องข้อมูลส่วนบุคคลของบุคคล
17.5. ความรับผิดชอบและความรับผิดชอบ
เราถือว่าพนักงาน ผู้รับเหมา และผู้มีส่วนได้ส่วนเสียอื่น ๆ ทุกคนมีหน้าที่รับผิดชอบในการปฏิบัติตามนโยบายความปลอดภัยของข้อมูลนี้และการควบคุมความปลอดภัยที่เกี่ยวข้อง นอกจากนี้ เรายังให้ฝ่ายบริหารรับผิดชอบในการทำให้มั่นใจว่ามีการจัดสรรทรัพยากรที่เหมาะสมสำหรับการดำเนินการและการรักษาการควบคุมความปลอดภัยของข้อมูลที่มีประสิทธิภาพ
นโยบายความปลอดภัยของข้อมูลนี้เป็นองค์ประกอบที่สำคัญของกรอบการจัดการความปลอดภัยของข้อมูลของ Euroepan IT Certification Institute และแสดงให้เห็นถึงความมุ่งมั่นของเราในการปกป้องทรัพย์สินข้อมูลและข้อมูลที่ผ่านการประมวลผล ทำให้มั่นใจได้ถึงการรักษาความลับ ความเป็นส่วนตัว ความสมบูรณ์และความพร้อมใช้งานของข้อมูล และปฏิบัติตามข้อกำหนดด้านกฎระเบียบและสัญญา