นโยบายการรักษาความปลอดภัยของข้อมูล

นโยบายความปลอดภัยของข้อมูล EITCA Academy

เอกสารนี้ระบุนโยบายความปลอดภัยข้อมูล (ISP) ของ European IT Certification Institute ซึ่งได้รับการตรวจสอบและอัปเดตเป็นประจำเพื่อให้มั่นใจถึงประสิทธิภาพและความเกี่ยวข้อง การอัปเดตล่าสุดของนโยบายความปลอดภัยของข้อมูล EITCI ทำขึ้นเมื่อวันที่ 7 มกราคม 2023

ส่วนที่ 1 บทนำและคำชี้แจงนโยบายความปลอดภัยของข้อมูล

1.1. บทนำ

European IT Certification Institute ตระหนักถึงความสำคัญของการรักษาความปลอดภัยข้อมูลในการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล และความไว้วางใจจากผู้มีส่วนได้ส่วนเสียของเรา เรามุ่งมั่นที่จะปกป้องข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลส่วนบุคคล จากการเข้าถึง การเปิดเผย การเปลี่ยนแปลง และการทำลายโดยไม่ได้รับอนุญาต เรารักษานโยบายความปลอดภัยของข้อมูลที่มีประสิทธิภาพเพื่อสนับสนุนภารกิจของเราในการให้บริการการรับรองที่เชื่อถือได้และเป็นกลางแก่ลูกค้าของเรา นโยบายความปลอดภัยของข้อมูลแสดงความมุ่งมั่นของเราในการปกป้องทรัพย์สินข้อมูลและปฏิบัติตามข้อผูกพันทางกฎหมาย ข้อบังคับ และสัญญาของเรา นโยบายของเราอิงตามหลักการของ ISO 27001 และ ISO 17024 ซึ่งเป็นมาตรฐานสากลชั้นนำสำหรับการจัดการความปลอดภัยของข้อมูลและมาตรฐานการดำเนินงานของหน่วยรับรอง

1.2. คำชี้แจงนโยบาย

European IT Certification Institute มุ่งมั่นที่จะ:

  • การปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของสินทรัพย์ข้อมูล
  • ปฏิบัติตามข้อผูกพันทางกฎหมาย ข้อบังคับ และสัญญาที่เกี่ยวข้องกับความปลอดภัยของข้อมูลและการประมวลผลข้อมูลโดยใช้กระบวนการรับรองและการดำเนินงาน
  • ปรับปรุงนโยบายการรักษาความปลอดภัยของข้อมูลและระบบการจัดการที่เกี่ยวข้องอย่างต่อเนื่อง
  • จัดให้มีการฝึกอบรมและความตระหนักอย่างเพียงพอแก่พนักงาน ผู้รับเหมา และผู้มีส่วนร่วม
  • ให้พนักงานและผู้รับจ้างทุกคนมีส่วนร่วมในการดำเนินการและบำรุงรักษานโยบายความปลอดภัยของข้อมูลและระบบการจัดการความปลอดภัยของข้อมูลที่เกี่ยวข้อง

1.3 ขอบเขต

นโยบายนี้ใช้กับสินทรัพย์ข้อมูลทั้งหมดที่เป็นเจ้าของ ควบคุม หรือดำเนินการโดย European IT Certification Institute ซึ่งรวมถึงสินทรัพย์ข้อมูลดิจิทัลและทางกายภาพทั้งหมด เช่น ระบบ เครือข่าย ซอฟต์แวร์ ข้อมูล และเอกสารประกอบ นโยบายนี้ยังใช้กับพนักงาน ผู้รับเหมา และผู้ให้บริการบุคคลที่สามทุกคนที่เข้าถึงทรัพย์สินข้อมูลของเรา

1.4 การปฏิบัติตาม

European IT Certification Institute มุ่งมั่นที่จะปฏิบัติตามมาตรฐานการรักษาความปลอดภัยของข้อมูลที่เกี่ยวข้อง รวมถึง ISO 27001 และ ISO 17024 เราตรวจสอบและปรับปรุงนโยบายนี้เป็นประจำเพื่อให้แน่ใจว่ามีความเกี่ยวข้องและสอดคล้องกับมาตรฐานเหล่านี้อย่างต่อเนื่อง

ส่วนที่ 2. ความปลอดภัยในองค์กร

2.1. เป้าหมายการรักษาความปลอดภัยขององค์กร

ด้วยการใช้มาตรการรักษาความปลอดภัยขององค์กร เรามีเป้าหมายเพื่อให้แน่ใจว่าการปฏิบัติและขั้นตอนการประมวลผลข้อมูลและทรัพย์สินของเรามีความปลอดภัยและความสมบูรณ์ในระดับสูงสุด และเราปฏิบัติตามข้อบังคับและมาตรฐานทางกฎหมายที่เกี่ยวข้อง

2.2. บทบาทและความรับผิดชอบด้านความปลอดภัยของข้อมูล

European IT Certification Institute กำหนดและสื่อสารบทบาทและความรับผิดชอบด้านความปลอดภัยข้อมูลทั่วทั้งองค์กร ซึ่งรวมถึงการมอบหมายความเป็นเจ้าของที่ชัดเจนสำหรับสินทรัพย์ข้อมูลในบริบทของการรักษาความปลอดภัยข้อมูล การกำหนดโครงสร้างการกำกับดูแล และการกำหนดความรับผิดชอบเฉพาะสำหรับบทบาทและแผนกต่างๆ ทั่วทั้งองค์กร

2.3 การบริหารความเสี่ยง

เราทำการประเมินความเสี่ยงเป็นประจำเพื่อระบุและจัดลำดับความสำคัญของความเสี่ยงด้านความปลอดภัยข้อมูลสำหรับองค์กร รวมถึงความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล เรากำหนดการควบคุมที่เหมาะสมเพื่อลดความเสี่ยงเหล่านี้ และทบทวนและอัปเดตแนวทางการจัดการความเสี่ยงของเราอย่างสม่ำเสมอตามการเปลี่ยนแปลงในสภาพแวดล้อมทางธุรกิจและแนวภัยคุกคาม

2.4. นโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูล

เราสร้างและรักษาชุดนโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูลซึ่งอิงตามแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรมและปฏิบัติตามระเบียบและมาตรฐานที่เกี่ยวข้อง นโยบายและขั้นตอนเหล่านี้ครอบคลุมทุกแง่มุมของการรักษาความปลอดภัยข้อมูล รวมถึงการประมวลผลข้อมูลส่วนบุคคล และได้รับการทบทวนและปรับปรุงอย่างสม่ำเสมอเพื่อให้มั่นใจว่ามีประสิทธิภาพ

2.5. ความตระหนักและการฝึกอบรมด้านความปลอดภัย

เราจัดให้มีโปรแกรมการฝึกอบรมและการรับรู้ด้านความปลอดภัยอย่างสม่ำเสมอแก่พนักงาน ผู้รับเหมา และคู่ค้าบุคคลที่สามที่สามารถเข้าถึงข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อนอื่น ๆ การฝึกอบรมนี้ครอบคลุมหัวข้อต่างๆ เช่น ฟิชชิง วิศวกรรมสังคม สุขอนามัยของรหัสผ่าน และแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยข้อมูลอื่นๆ

2.6. ความปลอดภัยทางกายภาพและสิ่งแวดล้อม

เราใช้การควบคุมความปลอดภัยทางกายภาพและสิ่งแวดล้อมที่เหมาะสม เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ความเสียหาย หรือการรบกวนสิ่งอำนวยความสะดวกและระบบข้อมูลของเรา ซึ่งรวมถึงมาตรการต่าง ๆ เช่น การควบคุมการเข้าถึง การเฝ้าระวัง การตรวจสอบ และพลังงานสำรองและระบบทำความเย็น

2.7. การจัดการเหตุการณ์ความปลอดภัยของข้อมูล

เราได้สร้างกระบวนการจัดการเหตุการณ์ที่ช่วยให้เราสามารถตอบสนองต่อเหตุการณ์ด้านความปลอดภัยข้อมูลที่อาจเกิดขึ้นได้อย่างรวดเร็วและมีประสิทธิภาพ ซึ่งรวมถึงขั้นตอนการรายงาน การยกระดับ การสอบสวน และการแก้ไขเหตุการณ์ ตลอดจนมาตรการป้องกันการเกิดซ้ำและปรับปรุงความสามารถในการตอบสนองต่อเหตุการณ์ของเรา

2.8. ความต่อเนื่องในการดำเนินงานและการกู้คืนความเสียหาย

เราได้กำหนดและทดสอบความต่อเนื่องในการดำเนินงานและแผนการกู้คืนความเสียหายที่ช่วยให้เราสามารถรักษาฟังก์ชันการดำเนินงานและบริการที่สำคัญของเราไว้ได้ในกรณีที่เกิดการหยุดชะงักหรือภัยพิบัติ แผนเหล่านี้ประกอบด้วยขั้นตอนสำหรับการสำรองและกู้คืนข้อมูลและระบบ และมาตรการในการรับรองความพร้อมใช้งานและความสมบูรณ์ของข้อมูลส่วนบุคคล

2.9. การจัดการบุคคลที่สาม

เราสร้างและรักษาการควบคุมที่เหมาะสมสำหรับการจัดการความเสี่ยงที่เกี่ยวข้องกับพันธมิตรบุคคลที่สามที่สามารถเข้าถึงข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อนอื่นๆ ซึ่งรวมถึงมาตรการต่างๆ เช่น การตรวจสอบสถานะ ภาระผูกพันตามสัญญา การเฝ้าติดตามและการตรวจสอบ ตลอดจนมาตรการยุติการเป็นหุ้นส่วนเมื่อจำเป็น

ส่วนที่ 3 ความมั่นคงของทรัพยากรมนุษย์

3.1. การคัดกรองการจ้างงาน

European IT Certification Institute ได้กำหนดกระบวนการคัดกรองการจ้างงานเพื่อให้แน่ใจว่าบุคคลที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนนั้นเชื่อถือได้และมีทักษะและคุณสมบัติที่จำเป็น

3.2 การควบคุมการเข้าถึง

เราได้กำหนดนโยบายและขั้นตอนการควบคุมการเข้าถึงเพื่อให้แน่ใจว่าพนักงานสามารถเข้าถึงข้อมูลที่จำเป็นสำหรับความรับผิดชอบในงานของพวกเขาเท่านั้น สิทธิ์การเข้าถึงได้รับการตรวจสอบและอัปเดตเป็นประจำเพื่อให้แน่ใจว่าพนักงานสามารถเข้าถึงข้อมูลที่ต้องการได้เท่านั้น

3.3. ความตระหนักและการฝึกอบรมความปลอดภัยของข้อมูล

เราจัดให้มีการฝึกอบรมเกี่ยวกับความปลอดภัยของข้อมูลแก่พนักงานทุกคนเป็นประจำ การฝึกอบรมนี้ครอบคลุมหัวข้อต่างๆ เช่น ความปลอดภัยของรหัสผ่าน การโจมตีแบบฟิชชิง วิศวกรรมสังคม และด้านอื่นๆ ของความปลอดภัยทางไซเบอร์

3.4. การใช้งานที่ยอมรับได้

เราได้กำหนดนโยบายการใช้งานที่ยอมรับได้ซึ่งสรุปการใช้งานระบบข้อมูลและทรัพยากรที่ยอมรับได้ รวมถึงอุปกรณ์ส่วนตัวที่ใช้เพื่อวัตถุประสงค์ในการทำงาน

3.5. ความปลอดภัยของอุปกรณ์เคลื่อนที่

เราได้กำหนดนโยบายและขั้นตอนสำหรับการใช้อุปกรณ์เคลื่อนที่อย่างปลอดภัย รวมถึงการใช้รหัสผ่าน การเข้ารหัส และความสามารถในการลบข้อมูลจากระยะไกล

3.6. ขั้นตอนการยกเลิก

European IT Certification Institute ได้กำหนดขั้นตอนสำหรับการยุติการจ้างงานหรือสัญญาเพื่อให้แน่ใจว่าการเข้าถึงข้อมูลที่ละเอียดอ่อนจะถูกเพิกถอนทันทีและปลอดภัย

3.7. บุคลากรบุคคลที่สาม

เราได้กำหนดขั้นตอนสำหรับการจัดการบุคลากรบุคคลที่สามที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ นโยบายเหล่านี้เกี่ยวข้องกับการคัดกรอง การควบคุมการเข้าถึง และการฝึกอบรมการรับรู้ความปลอดภัยของข้อมูล

3.8. การรายงานเหตุการณ์

เราได้กำหนดนโยบายและขั้นตอนในการรายงานเหตุการณ์หรือข้อกังวลเกี่ยวกับความปลอดภัยของข้อมูลต่อบุคลากรหรือหน่วยงานที่เหมาะสม

3.9. ข้อตกลงการรักษาความลับ

European IT Certification Institute กำหนดให้พนักงานและผู้รับเหมาลงนามในข้อตกลงการรักษาความลับเพื่อปกป้องข้อมูลที่ละเอียดอ่อนจากการเปิดเผยโดยไม่ได้รับอนุญาต

3.10. การดำเนินการทางวินัย

European IT Certification Institute ได้กำหนดนโยบายและขั้นตอนการดำเนินการทางวินัยในกรณีที่พนักงานหรือผู้รับเหมาละเมิดนโยบายความปลอดภัยของข้อมูล

ส่วนที่ 4. การประเมินความเสี่ยงและการจัดการ

4.1 การประเมินความเสี่ยง

เราทำการประเมินความเสี่ยงเป็นระยะเพื่อระบุภัยคุกคามและความเปราะบางที่อาจเกิดขึ้นกับทรัพย์สินข้อมูลของเรา เราใช้วิธีการที่มีโครงสร้างเพื่อระบุ วิเคราะห์ ประเมิน และจัดลำดับความสำคัญของความเสี่ยงตามโอกาสและผลกระทบที่อาจเกิดขึ้น เราประเมินความเสี่ยงที่เกี่ยวข้องกับสินทรัพย์ข้อมูลของเรา รวมถึงระบบ เครือข่าย ซอฟต์แวร์ ข้อมูล และเอกสารประกอบ

4.2. การรักษาความเสี่ยง

เราใช้กระบวนการบำบัดความเสี่ยงเพื่อบรรเทาหรือลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ กระบวนการบำบัดความเสี่ยงรวมถึงการเลือกการควบคุมที่เหมาะสม การใช้การควบคุม และการตรวจสอบประสิทธิผลของการควบคุม เราจัดลำดับความสำคัญของการดำเนินการควบคุมตามระดับความเสี่ยง ทรัพยากรที่มีอยู่ และลำดับความสำคัญของธุรกิจ

4.3. การติดตามและทบทวนความเสี่ยง

เราตรวจสอบและทบทวนประสิทธิผลของกระบวนการบริหารความเสี่ยงอย่างสม่ำเสมอเพื่อให้แน่ใจว่ายังคงมีความเกี่ยวข้องและมีประสิทธิภาพ เราใช้เมตริกและตัวบ่งชี้เพื่อวัดประสิทธิภาพของกระบวนการจัดการความเสี่ยงของเรา และระบุโอกาสในการปรับปรุง นอกจากนี้ เรายังทบทวนกระบวนการบริหารความเสี่ยงของเราซึ่งเป็นส่วนหนึ่งของการทบทวนการจัดการตามระยะเวลา เพื่อให้มั่นใจถึงความเหมาะสม เพียงพอ และประสิทธิผลอย่างต่อเนื่อง

4.4. การวางแผนรับมือความเสี่ยง

เรามีแผนรับมือความเสี่ยงเพื่อให้แน่ใจว่าเราสามารถตอบสนองต่อความเสี่ยงที่ระบุได้อย่างมีประสิทธิภาพ แผนนี้ประกอบด้วยขั้นตอนการระบุและรายงานความเสี่ยง ตลอดจนกระบวนการประเมินผลกระทบที่อาจเกิดขึ้นจากความเสี่ยงแต่ละรายการ และกำหนดการดำเนินการตอบสนองที่เหมาะสม นอกจากนี้ เรายังมีแผนฉุกเฉินเพื่อให้มั่นใจว่าธุรกิจจะดำเนินต่อไปได้ในกรณีที่เกิดเหตุการณ์ความเสี่ยงที่สำคัญ

4.5. การวิเคราะห์ผลกระทบด้านปฏิบัติการ

เราทำการวิเคราะห์ผลกระทบทางธุรกิจเป็นระยะเพื่อระบุผลกระทบที่อาจเกิดขึ้นจากการหยุดชะงักต่อการดำเนินธุรกิจของเรา การวิเคราะห์นี้รวมถึงการประเมินความสำคัญของฟังก์ชัน ระบบ และข้อมูลทางธุรกิจของเรา ตลอดจนการประเมินผลกระทบที่อาจเกิดขึ้นจากการหยุดชะงักต่อลูกค้า พนักงาน และผู้มีส่วนได้ส่วนเสียอื่นๆ

4.6. การจัดการความเสี่ยงของบุคคลที่สาม

เรามีโปรแกรมการจัดการความเสี่ยงของบุคคลที่สามเพื่อให้แน่ใจว่าผู้ขายของเราและผู้ให้บริการบุคคลที่สามอื่น ๆ จัดการความเสี่ยงอย่างเหมาะสมเช่นกัน โปรแกรมนี้รวมถึงการตรวจสอบสถานะก่อนเข้าร่วมกับบุคคลที่สาม การติดตามกิจกรรมของบุคคลที่สามอย่างต่อเนื่อง และการประเมินแนวทางปฏิบัติในการบริหารความเสี่ยงของบุคคลที่สามเป็นระยะ

4.7. การตอบสนองเหตุการณ์และการจัดการ

เรามีแผนรับมือเหตุการณ์และการจัดการเพื่อให้แน่ใจว่าเราสามารถตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้อย่างมีประสิทธิภาพ แผนนี้ประกอบด้วยขั้นตอนในการระบุและรายงานเหตุการณ์ ตลอดจนกระบวนการประเมินผลกระทบของแต่ละเหตุการณ์และกำหนดการดำเนินการรับมือที่เหมาะสม เรายังมีแผนความต่อเนื่องทางธุรกิจเพื่อให้แน่ใจว่าหน้าที่ทางธุรกิจที่สำคัญสามารถดำเนินต่อไปได้ในกรณีที่เกิดเหตุการณ์สำคัญ

ส่วนที่ 5 ความมั่นคงทางกายภาพและสิ่งแวดล้อม

5.1. ขอบเขตความปลอดภัยทางกายภาพ

เราได้กำหนดมาตรการรักษาความปลอดภัยทางกายภาพเพื่อปกป้องสถานที่ทางกายภาพและข้อมูลที่สำคัญจากการเข้าถึงโดยไม่ได้รับอนุญาต

5.2 การควบคุมการเข้าถึง

เราได้กำหนดนโยบายและขั้นตอนการควบคุมการเข้าถึงสำหรับสถานที่ทางกายภาพเพื่อให้แน่ใจว่าเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้

5.3. ความปลอดภัยของอุปกรณ์

เรารับรองว่าอุปกรณ์ทั้งหมดที่มีข้อมูลสำคัญได้รับการรักษาความปลอดภัยทางกายภาพ และการเข้าถึงอุปกรณ์นี้จำกัดไว้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น

5.4. การกำจัดที่ปลอดภัย

เราได้กำหนดขั้นตอนสำหรับการทิ้งข้อมูลที่ละเอียดอ่อนอย่างปลอดภัย รวมถึงเอกสารที่เป็นกระดาษ สื่ออิเล็กทรอนิกส์ และฮาร์ดแวร์

5.5. สภาพแวดล้อมทางกายภาพ

เรารับรองว่าสภาพแวดล้อมทางกายภาพของสถานที่ รวมถึงอุณหภูมิ ความชื้น และแสงสว่าง เหมาะสมสำหรับการปกป้องข้อมูลที่ละเอียดอ่อน

5.6. แหล่งจ่ายไฟ

เรามั่นใจว่าการจ่ายไฟไปยังสถานที่นั้นเชื่อถือได้และป้องกันไฟฟ้าดับหรือไฟกระชาก

5.7. การป้องกันอัคคีภัย

เราได้กำหนดนโยบายและขั้นตอนการป้องกันอัคคีภัย รวมถึงการติดตั้งและบำรุงรักษาระบบตรวจจับและระงับอัคคีภัย

5.8. การป้องกันความเสียหายจากน้ำ

เราได้กำหนดนโยบายและขั้นตอนในการปกป้องข้อมูลที่ละเอียดอ่อนจากความเสียหายจากน้ำ รวมถึงการติดตั้งและบำรุงรักษาระบบตรวจจับและป้องกันน้ำท่วม

5.9. การบำรุงรักษาอุปกรณ์

เราได้กำหนดขั้นตอนสำหรับการบำรุงรักษาอุปกรณ์ รวมถึงการตรวจสอบอุปกรณ์เพื่อหาสัญญาณของการดัดแปลงหรือการเข้าถึงโดยไม่ได้รับอนุญาต

5.10. การใช้งานที่ยอมรับได้

เราได้กำหนดนโยบายการใช้งานที่ยอมรับได้ซึ่งระบุถึงการใช้ทรัพยากรและสิ่งอำนวยความสะดวกทางกายภาพที่ยอมรับได้

5.11. การเข้าถึงระยะไกล

เราได้กำหนดนโยบายและขั้นตอนสำหรับการเข้าถึงข้อมูลที่ละเอียดอ่อนจากระยะไกล รวมถึงการใช้การเชื่อมต่อที่ปลอดภัยและการเข้ารหัส

5.12. การติดตามและเฝ้าระวัง

เราได้กำหนดนโยบายและขั้นตอนสำหรับการตรวจสอบและเฝ้าระวังสถานที่และอุปกรณ์ทางกายภาพเพื่อตรวจจับและป้องกันการเข้าถึงหรือการดัดแปลงโดยไม่ได้รับอนุญาต

ส่วนหนึ่ง. 6. ความปลอดภัยในการสื่อสารและการปฏิบัติการ

6.1. การจัดการความปลอดภัยเครือข่าย

เราได้กำหนดนโยบายและขั้นตอนสำหรับการจัดการความปลอดภัยของเครือข่าย รวมถึงการใช้ไฟร์วอลล์ ระบบตรวจจับและป้องกันการบุกรุก และการตรวจสอบความปลอดภัยเป็นประจำ

6.2. การถ่ายโอนข้อมูล

เราได้กำหนดนโยบายและขั้นตอนสำหรับการถ่ายโอนข้อมูลที่ละเอียดอ่อนอย่างปลอดภัย รวมถึงการใช้การเข้ารหัสและโปรโตคอลการถ่ายโอนไฟล์ที่ปลอดภัย

6.3. การสื่อสารของบุคคลที่สาม

เราได้กำหนดนโยบายและขั้นตอนสำหรับการแลกเปลี่ยนข้อมูลที่ละเอียดอ่อนอย่างปลอดภัยกับองค์กรบุคคลที่สาม รวมถึงการใช้การเชื่อมต่อที่ปลอดภัยและการเข้ารหัส

6.4. การจัดการสื่อ

เราได้กำหนดขั้นตอนสำหรับการจัดการข้อมูลที่ละเอียดอ่อนในสื่อรูปแบบต่างๆ รวมถึงเอกสารที่เป็นกระดาษ สื่ออิเล็กทรอนิกส์ และอุปกรณ์จัดเก็บข้อมูลแบบพกพา

6.5. การพัฒนาและบำรุงรักษาระบบสารสนเทศ

เราได้กำหนดนโยบายและขั้นตอนสำหรับการพัฒนาและบำรุงรักษาระบบข้อมูล รวมถึงการใช้แนวปฏิบัติในการเข้ารหัสที่ปลอดภัย การอัปเดตซอฟต์แวร์เป็นประจำ และการจัดการแพตช์

6.6. การป้องกันมัลแวร์และไวรัส

เราได้กำหนดนโยบายและขั้นตอนในการปกป้องระบบข้อมูลจากมัลแวร์และไวรัส รวมถึงการใช้ซอฟต์แวร์ป้องกันไวรัสและการอัปเดตความปลอดภัยเป็นประจำ

6.7. การสำรองและการคืนค่า

เราได้กำหนดนโยบายและขั้นตอนสำหรับการสำรองและกู้คืนข้อมูลที่ละเอียดอ่อนเพื่อป้องกันข้อมูลสูญหายหรือเสียหาย

6.8 การจัดการกิจกรรม

เราได้กำหนดนโยบายและขั้นตอนสำหรับการระบุ การสืบสวน และการแก้ไขเหตุการณ์และเหตุการณ์ด้านความปลอดภัย

6.9. การจัดการช่องโหว่

เราได้กำหนดนโยบายและขั้นตอนสำหรับการจัดการช่องโหว่ของระบบข้อมูล รวมถึงการใช้การประเมินช่องโหว่ปกติและการจัดการแพตช์

6.10 การควบคุมการเข้าถึง

เราได้กำหนดนโยบายและระเบียบปฏิบัติสำหรับการจัดการการเข้าถึงระบบข้อมูลของผู้ใช้ รวมถึงการใช้การควบคุมการเข้าถึง การพิสูจน์ตัวตนผู้ใช้ และการตรวจสอบการเข้าถึงเป็นประจำ

6.11. การตรวจสอบและการบันทึก

เราได้กำหนดนโยบายและขั้นตอนสำหรับการตรวจสอบและการบันทึกกิจกรรมของระบบข้อมูล รวมถึงการใช้เส้นทางการตรวจสอบและการบันทึกเหตุการณ์ด้านความปลอดภัย

ส่วนที่ 7 การได้มาซึ่งการพัฒนาและการบำรุงรักษาระบบสารสนเทศ

7.1 ความต้องการ

เราได้กำหนดนโยบายและขั้นตอนสำหรับการระบุข้อกำหนดของระบบข้อมูล รวมถึงข้อกำหนดทางธุรกิจ ข้อกำหนดทางกฎหมายและข้อบังคับ และข้อกำหนดด้านความปลอดภัย

7.2. ความสัมพันธ์กับซัพพลายเออร์

เราได้กำหนดนโยบายและขั้นตอนสำหรับการจัดการความสัมพันธ์กับซัพพลายเออร์บุคคลที่สามของระบบข้อมูลและบริการ รวมถึงการประเมินแนวทางปฏิบัติด้านความปลอดภัยของซัพพลายเออร์

7.3. การพัฒนาระบบ

เราได้กำหนดนโยบายและขั้นตอนสำหรับการพัฒนาระบบข้อมูลอย่างปลอดภัย รวมถึงการใช้แนวปฏิบัติการเข้ารหัสที่ปลอดภัย การทดสอบปกติ และการประกันคุณภาพ

7.4. การทดสอบระบบ

เราได้กำหนดนโยบายและขั้นตอนสำหรับการทดสอบระบบข้อมูล รวมถึงการทดสอบการทำงาน การทดสอบประสิทธิภาพ และการทดสอบความปลอดภัย

7.5. การยอมรับระบบ

เราได้กำหนดนโยบายและขั้นตอนสำหรับการยอมรับระบบข้อมูล รวมถึงการอนุมัติผลการทดสอบ การประเมินความปลอดภัย และการทดสอบการยอมรับของผู้ใช้

7.6. การบำรุงรักษาระบบ

เราได้กำหนดนโยบายและระเบียบปฏิบัติสำหรับการบำรุงรักษาระบบข้อมูล รวมถึงการอัปเดตเป็นประจำ แพตช์ความปลอดภัย และการสำรองข้อมูลระบบ

7.7. การเกษียณอายุของระบบ

เราได้กำหนดนโยบายและขั้นตอนสำหรับการเลิกใช้งานระบบข้อมูล รวมถึงการทิ้งฮาร์ดแวร์และข้อมูลอย่างปลอดภัย

7.8. การเก็บรักษาข้อมูล

เราได้กำหนดนโยบายและขั้นตอนในการเก็บรักษาข้อมูลให้เป็นไปตามข้อกำหนดทางกฎหมายและระเบียบข้อบังคับ รวมถึงการจัดเก็บที่ปลอดภัยและการกำจัดข้อมูลที่ละเอียดอ่อน

7.9. ข้อกำหนดด้านความปลอดภัยสำหรับระบบสารสนเทศ

เราได้กำหนดนโยบายและขั้นตอนสำหรับการระบุและการดำเนินการตามข้อกำหนดด้านความปลอดภัยสำหรับระบบข้อมูล รวมถึงการควบคุมการเข้าถึง การเข้ารหัส และการปกป้องข้อมูล

7.10. สภาพแวดล้อมการพัฒนาที่ปลอดภัย

เราได้กำหนดนโยบายและขั้นตอนสำหรับสภาพแวดล้อมการพัฒนาที่ปลอดภัยสำหรับระบบข้อมูล รวมถึงการใช้แนวทางการพัฒนาที่ปลอดภัย การควบคุมการเข้าถึง และการกำหนดค่าเครือข่ายที่ปลอดภัย

7.11 การปกป้องสภาพแวดล้อมการทดสอบ

เราได้กำหนดนโยบายและขั้นตอนสำหรับการปกป้องสภาพแวดล้อมการทดสอบสำหรับระบบข้อมูล รวมถึงการใช้การกำหนดค่าที่ปลอดภัย การควบคุมการเข้าถึง และการทดสอบความปลอดภัยเป็นประจำ

7.12. หลักการวิศวกรรมระบบที่ปลอดภัย

เราได้กำหนดนโยบายและขั้นตอนสำหรับการดำเนินการตามหลักการทางวิศวกรรมระบบความปลอดภัยสำหรับระบบข้อมูล รวมถึงการใช้สถาปัตยกรรมความปลอดภัย การสร้างแบบจำลองภัยคุกคาม และแนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัย

7.13 น. แนวทางการเข้ารหัสที่ปลอดภัย

เราได้กำหนดนโยบายและขั้นตอนสำหรับการดำเนินการตามแนวทางการเข้ารหัสที่ปลอดภัยสำหรับระบบข้อมูล รวมถึงการใช้มาตรฐานการเข้ารหัส การทบทวนโค้ด และการทดสอบอัตโนมัติ

ส่วนที่ 8 การได้มาซึ่งฮาร์ดแวร์

8.1. การปฏิบัติตามมาตรฐาน

เราปฏิบัติตามมาตรฐาน ISO 27001 สำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) เพื่อให้แน่ใจว่าสินทรัพย์ฮาร์ดแวร์ได้รับการจัดหาตามข้อกำหนดด้านความปลอดภัยของเรา

8.2 การประเมินความเสี่ยง

เราทำการประเมินความเสี่ยงก่อนที่จะจัดหาสินทรัพย์ฮาร์ดแวร์เพื่อระบุความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น และตรวจสอบให้แน่ใจว่าฮาร์ดแวร์ที่เลือกนั้นตรงตามข้อกำหนดด้านความปลอดภัย

8.3. การคัดเลือกผู้ขาย

เราจัดหาสินทรัพย์ฮาร์ดแวร์จากผู้จำหน่ายที่เชื่อถือได้ซึ่งมีประวัติที่พิสูจน์แล้วในการส่งมอบผลิตภัณฑ์ที่ปลอดภัย เราตรวจสอบนโยบายและแนวทางปฏิบัติด้านความปลอดภัยของผู้ขาย และกำหนดให้ผู้ขายต้องรับประกันว่าผลิตภัณฑ์ของตนเป็นไปตามข้อกำหนดด้านความปลอดภัยของเรา

8.4. การขนส่งที่ปลอดภัย

เราตรวจสอบให้แน่ใจว่ามีการขนย้ายสินทรัพย์ฮาร์ดแวร์ไปยังสถานที่ของเราอย่างปลอดภัย เพื่อป้องกันการดัดแปลง ความเสียหาย หรือการโจรกรรมระหว่างการขนส่ง

8.5 การตรวจสอบความถูกต้อง

เราตรวจสอบความถูกต้องของสินทรัพย์ฮาร์ดแวร์เมื่อส่งมอบเพื่อให้แน่ใจว่าไม่ใช่ของปลอมหรือดัดแปลง

8.6. การควบคุมทางกายภาพและสิ่งแวดล้อม

เราใช้การควบคุมทางกายภาพและสิ่งแวดล้อมที่เหมาะสมเพื่อปกป้องสินทรัพย์ฮาร์ดแวร์จากการเข้าถึง การโจรกรรม หรือความเสียหายโดยไม่ได้รับอนุญาต

8.7. การติดตั้งฮาร์ดแวร์

เรารับรองว่าสินทรัพย์ฮาร์ดแวร์ทั้งหมดได้รับการกำหนดค่าและติดตั้งตามมาตรฐานและหลักเกณฑ์ด้านความปลอดภัยที่กำหนดไว้

8.8. รีวิวฮาร์ดแวร์

เราดำเนินการตรวจสอบสินทรัพย์ฮาร์ดแวร์เป็นระยะเพื่อให้แน่ใจว่ายังคงเป็นไปตามข้อกำหนดด้านความปลอดภัยของเรา และเป็นปัจจุบันด้วยแพตช์และการอัปเดตความปลอดภัยล่าสุด

8.9 การกำจัดฮาร์ดแวร์

เรากำจัดสินทรัพย์ฮาร์ดแวร์ในลักษณะที่ปลอดภัยเพื่อป้องกันการเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

ส่วนที่ 9 การป้องกันมัลแวร์และไวรัส

9.1. นโยบายการอัปเดตซอฟต์แวร์

เราบำรุงรักษาซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ที่ทันสมัยในระบบข้อมูลทั้งหมดที่ใช้โดย European IT Certification Institute รวมถึงเซิร์ฟเวอร์ เวิร์กสเตชัน แล็ปท็อป และอุปกรณ์เคลื่อนที่ เราตรวจสอบให้แน่ใจว่าซอฟต์แวร์ป้องกันไวรัสและซอฟต์แวร์ป้องกันมัลแวร์ได้รับการกำหนดค่าให้อัปเดตไฟล์คำจำกัดความของไวรัสและเวอร์ชันซอฟต์แวร์เป็นประจำโดยอัตโนมัติ และกระบวนการนี้ได้รับการทดสอบเป็นประจำ

9.2. การสแกนไวรัสและมัลแวร์

เราทำการสแกนระบบข้อมูลทั้งหมดอย่างสม่ำเสมอ รวมถึงเซิร์ฟเวอร์ เวิร์กสเตชัน แล็ปท็อป และอุปกรณ์พกพา เพื่อตรวจจับและกำจัดไวรัสหรือมัลแวร์ใดๆ

9.3. นโยบายไม่ปิดใช้งานและไม่เปลี่ยนแปลง

เราบังคับใช้นโยบายที่ห้ามไม่ให้ผู้ใช้ปิดใช้งานหรือแก้ไขซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ในระบบข้อมูลใดๆ

9.4 การตรวจสอบ

เราตรวจสอบการแจ้งเตือนซอฟต์แวร์ป้องกันไวรัสและมัลแวร์และบันทึกเพื่อระบุเหตุการณ์ของการติดไวรัสหรือมัลแวร์ และตอบสนองต่อเหตุการณ์ดังกล่าวอย่างทันท่วงที

9.5. การบำรุงรักษาระเบียน

เราเก็บรักษาบันทึกการกำหนดค่าซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ การอัปเดต และการสแกน ตลอดจนเหตุการณ์ใดๆ ของการติดไวรัสหรือมัลแวร์ เพื่อวัตถุประสงค์ในการตรวจสอบ

9.6. รีวิวซอฟต์แวร์

เราดำเนินการตรวจสอบซอฟต์แวร์ป้องกันไวรัสและมัลแวร์เป็นระยะเพื่อให้แน่ใจว่าตรงตามมาตรฐานอุตสาหกรรมในปัจจุบันและเพียงพอต่อความต้องการของเรา

9.7. การฝึกอบรมและการรับรู้

เราจัดเตรียมโปรแกรมการฝึกอบรมและการรับรู้เพื่อให้ความรู้แก่พนักงานทุกคนเกี่ยวกับความสำคัญของการป้องกันไวรัสและมัลแวร์ และวิธีการรับรู้และรายงานกิจกรรมหรือเหตุการณ์ที่น่าสงสัย

ส่วนที่ 10. การจัดการทรัพย์สินสารสนเทศ

10.1. สินค้าคงคลังสินทรัพย์ข้อมูล

European IT Certification Institute เก็บรักษาบัญชีรายการสินทรัพย์ข้อมูล ซึ่งรวมถึงสินทรัพย์ข้อมูลดิจิทัลและกายภาพทั้งหมด เช่น ระบบ เครือข่าย ซอฟต์แวร์ ข้อมูล และเอกสารประกอบ เราจัดประเภทสินทรัพย์ข้อมูลตามความสำคัญและความละเอียดอ่อนเพื่อให้แน่ใจว่ามีการใช้มาตรการป้องกันที่เหมาะสม

10.2. การจัดการสินทรัพย์ข้อมูล

เราใช้มาตรการที่เหมาะสมในการปกป้องสินทรัพย์ข้อมูลตามการจัดประเภท รวมถึงการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน เรารับรองว่าเนื้อหาข้อมูลทั้งหมดได้รับการจัดการตามกฎหมาย ข้อบังคับ และข้อกำหนดตามสัญญาที่บังคับใช้ นอกจากนี้ เรายังรับประกันว่าสินทรัพย์ข้อมูลทั้งหมดได้รับการจัดเก็บ ป้องกัน และกำจัดอย่างเหมาะสมเมื่อไม่ต้องการใช้อีกต่อไป

10.3. ความเป็นเจ้าของสินทรัพย์ข้อมูล

เรากำหนดความเป็นเจ้าของสินทรัพย์ข้อมูลให้กับบุคคลหรือหน่วยงานที่รับผิดชอบในการจัดการและปกป้องสินทรัพย์ข้อมูล เรายังมั่นใจว่าเจ้าของสินทรัพย์ข้อมูลเข้าใจถึงความรับผิดชอบและความรับผิดชอบในการปกป้องสินทรัพย์ข้อมูล

10.4. การคุ้มครองทรัพย์สินข้อมูล

เราใช้มาตรการป้องกันที่หลากหลายเพื่อปกป้องสินทรัพย์ข้อมูล รวมถึงการควบคุมทางกายภาพ การควบคุมการเข้าถึง การเข้ารหัส และกระบวนการสำรองและกู้คืน นอกจากนี้ เรายังรับประกันว่าทรัพย์สินข้อมูลทั้งหมดได้รับการปกป้องจากการเข้าถึง การดัดแปลง หรือการทำลายโดยไม่ได้รับอนุญาต

ส่วนที่ 11 การควบคุมการเข้าถึง

11.1. นโยบายการควบคุมการเข้าถึง

European IT Certification Institute มีนโยบายการควบคุมการเข้าถึงที่ระบุข้อกำหนดสำหรับการอนุญาต แก้ไข และเพิกถอนการเข้าถึงสินทรัพย์ข้อมูล การควบคุมการเข้าถึงเป็นองค์ประกอบที่สำคัญของระบบการจัดการความปลอดภัยของข้อมูลของเรา และเราใช้เพื่อให้แน่ใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงทรัพย์สินข้อมูลของเราได้

11.2. การดำเนินการควบคุมการเข้าถึง

เราใช้มาตรการควบคุมการเข้าถึงตามหลักการของสิทธิพิเศษน้อยที่สุด ซึ่งหมายความว่าบุคคลต่างๆ สามารถเข้าถึงเฉพาะทรัพย์สินข้อมูลที่จำเป็นต่อการปฏิบัติหน้าที่ของตนเท่านั้น เราใช้มาตรการควบคุมการเข้าถึงที่หลากหลาย รวมถึงการรับรองความถูกต้อง การอนุญาต และการบัญชี (AAA) นอกจากนี้ เรายังใช้รายการควบคุมการเข้าถึง (ACL) และการอนุญาตเพื่อควบคุมการเข้าถึงสินทรัพย์ข้อมูล

11.3. นโยบายรหัสผ่าน

European IT Certification Institute มีนโยบายรหัสผ่านที่ระบุข้อกำหนดสำหรับการสร้างและจัดการรหัสผ่าน เราต้องการรหัสผ่านที่รัดกุมซึ่งมีความยาวอย่างน้อย 8 อักขระ โดยประกอบด้วยตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษ เรายังกำหนดให้เปลี่ยนรหัสผ่านเป็นระยะและห้ามใช้รหัสผ่านก่อนหน้าซ้ำ

11.4. การจัดการผู้ใช้

เรามีกระบวนการจัดการผู้ใช้ซึ่งรวมถึงการสร้าง แก้ไข และลบบัญชีผู้ใช้ บัญชีผู้ใช้ถูกสร้างขึ้นตามหลักการของสิทธิ์ขั้นต่ำ และการเข้าถึงจะมอบให้กับทรัพย์สินข้อมูลที่จำเป็นต่อการปฏิบัติงานของแต่ละคนเท่านั้น นอกจากนี้ เรายังตรวจสอบบัญชีผู้ใช้เป็นประจำและลบบัญชีที่ไม่จำเป็นอีกต่อไป

ส่วนที่ 12 การจัดการเหตุการณ์ความปลอดภัยของข้อมูล

12.1. นโยบายการจัดการเหตุการณ์

European IT Certification Institute มีนโยบายการจัดการเหตุการณ์ที่ร่างข้อกำหนดสำหรับการตรวจจับ รายงาน ประเมิน และตอบสนองต่อเหตุการณ์ด้านความปลอดภัย เราให้นิยามเหตุการณ์ด้านความปลอดภัยว่าเป็นเหตุการณ์ใดๆ ที่ทำลายความลับ ความสมบูรณ์ หรือความพร้อมใช้งานของสินทรัพย์หรือระบบข้อมูล

12.2. การตรวจจับและการรายงานเหตุการณ์

เราใช้มาตรการเพื่อตรวจจับและรายงานเหตุการณ์ด้านความปลอดภัยทันที เราใช้วิธีการที่หลากหลายเพื่อตรวจจับเหตุการณ์ด้านความปลอดภัย รวมถึงระบบตรวจจับการบุกรุก (IDS) ซอฟต์แวร์ป้องกันไวรัส และการรายงานผู้ใช้ นอกจากนี้ เรายังมั่นใจว่าพนักงานทุกคนรับทราบขั้นตอนในการรายงานเหตุการณ์ด้านความปลอดภัย และสนับสนุนให้มีการรายงานเหตุการณ์ที่ต้องสงสัยทั้งหมด

12.3. การประเมินเหตุการณ์และการตอบสนอง

เรามีกระบวนการประเมินและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยตามความรุนแรงและผลกระทบ เราจัดลำดับความสำคัญของเหตุการณ์ตามผลกระทบที่อาจเกิดขึ้นกับสินทรัพย์ข้อมูลหรือระบบ และจัดสรรทรัพยากรที่เหมาะสมเพื่อตอบสนองต่อเหตุการณ์เหล่านั้น นอกจากนี้ เรายังมีแผนรับมือที่รวมถึงขั้นตอนสำหรับการระบุ บรรจุ วิเคราะห์ กำจัด และกู้คืนจากเหตุการณ์ด้านความปลอดภัย ตลอดจนการแจ้งฝ่ายที่เกี่ยวข้อง และดำเนินการตรวจสอบหลังเหตุการณ์ ขั้นตอนการตอบสนองต่อเหตุการณ์ของเราได้รับการออกแบบมาเพื่อให้มั่นใจถึงการตอบสนองที่รวดเร็วและมีประสิทธิภาพ ถึงเหตุการณ์ด้านความปลอดภัย มีการตรวจสอบและปรับปรุงขั้นตอนอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามีประสิทธิภาพและความเกี่ยวข้อง

12.4. ทีมเผชิญเหตุ

เรามี Incident Response Team (IRT) ที่รับผิดชอบในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย IRT ประกอบด้วยตัวแทนจากหน่วยงานต่างๆ และนำโดย Information Security Officer (ISO) IRT มีหน้าที่รับผิดชอบในการประเมินความรุนแรงของเหตุการณ์ ควบคุมเหตุการณ์ และเริ่มขั้นตอนการตอบสนองที่เหมาะสม

12.5 การรายงานเหตุการณ์และการทบทวน

เราได้จัดทำขั้นตอนในการรายงานเหตุการณ์ด้านความปลอดภัยต่อบุคคลที่เกี่ยวข้อง รวมถึงลูกค้า หน่วยงานกำกับดูแล และหน่วยงานบังคับใช้กฎหมาย ตามที่กฎหมายและข้อบังคับที่เกี่ยวข้องกำหนด เรายังรักษาการติดต่อสื่อสารกับฝ่ายที่ได้รับผลกระทบตลอดกระบวนการตอบสนองเหตุการณ์ โดยให้ข้อมูลอัปเดตอย่างทันท่วงทีเกี่ยวกับสถานะของเหตุการณ์และการดำเนินการใด ๆ เพื่อลดผลกระทบ นอกจากนี้ เรายังดำเนินการตรวจสอบเหตุการณ์ด้านความปลอดภัยทั้งหมดเพื่อระบุสาเหตุที่แท้จริงและป้องกันไม่ให้เหตุการณ์ที่คล้ายกันนี้เกิดขึ้นอีกในอนาคต

ส่วนที่ 13 การจัดการความต่อเนื่องทางธุรกิจและการกู้คืนความเสียหาย

13.1. การวางแผนความต่อเนื่องทางธุรกิจ

แม้ว่า European IT Certification Institute จะเป็นองค์กรไม่แสวงผลกำไร แต่ก็มีแผนความต่อเนื่องทางธุรกิจ (BCP) ที่แสดงขั้นตอนการดำเนินการเพื่อให้มั่นใจว่าการดำเนินงานมีความต่อเนื่องในกรณีที่เกิดเหตุการณ์ขัดข้อง BCP ครอบคลุมกระบวนการปฏิบัติงานที่สำคัญทั้งหมดและระบุทรัพยากรที่จำเป็นสำหรับการรักษาการดำเนินงานในระหว่างและหลังเหตุการณ์ที่ก่อกวน นอกจากนี้ยังสรุปขั้นตอนในการรักษาการดำเนินธุรกิจระหว่างการหยุดชะงักหรือภัยพิบัติ การประเมินผลกระทบของการหยุดชะงัก การระบุกระบวนการดำเนินงานที่สำคัญที่สุดในบริบทของเหตุการณ์การหยุดชะงักเฉพาะ และพัฒนาขั้นตอนการตอบสนองและการกู้คืน

13.2. การวางแผนการกู้คืนจากภัยพิบัติ

สถาบันรับรองด้านไอทีแห่งยุโรปมีแผนการกู้คืนความเสียหาย (DRP) ซึ่งสรุปขั้นตอนการกู้คืนระบบข้อมูลของเราในกรณีที่เกิดการหยุดชะงักหรือภัยพิบัติ DRP ประกอบด้วยขั้นตอนสำหรับการสำรองข้อมูล การคืนค่าข้อมูล และการกู้คืนระบบ DRP ได้รับการทดสอบและอัปเดตเป็นประจำเพื่อให้มั่นใจถึงประสิทธิภาพ

13.3. การวิเคราะห์ผลกระทบทางธุรกิจ

เราทำการวิเคราะห์ผลกระทบทางธุรกิจ (BIA) เพื่อระบุกระบวนการดำเนินงานที่สำคัญและทรัพยากรที่จำเป็นในการบำรุงรักษา BIA ช่วยให้เราจัดลำดับความสำคัญของความพยายามในการกู้คืนและจัดสรรทรัพยากรให้สอดคล้องกัน

13.4. กลยุทธ์ความต่อเนื่องทางธุรกิจ

จากผลลัพธ์ของ BIA เราได้พัฒนากลยุทธ์ความต่อเนื่องทางธุรกิจซึ่งสรุปขั้นตอนการตอบสนองต่อเหตุการณ์ที่ก่อกวน กลยุทธ์ประกอบด้วยขั้นตอนการเปิดใช้งาน BCP การฟื้นฟูกระบวนการปฏิบัติงานที่สำคัญ และการสื่อสารกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง

13.5 การทดสอบและการบำรุงรักษา

เราทดสอบและบำรุงรักษา BCP และ DRP ของเราเป็นประจำเพื่อให้แน่ใจว่ามีประสิทธิภาพและความเกี่ยวข้อง เราทำการทดสอบเป็นประจำเพื่อตรวจสอบความถูกต้องของ BCP/DRP และระบุจุดที่ต้องปรับปรุง นอกจากนี้ เรายังอัปเดต BCP และ DRP ตามความจำเป็นเพื่อให้สอดคล้องกับการเปลี่ยนแปลงในการดำเนินงานของเราหรือภาพรวมของภัยคุกคาม การทดสอบประกอบด้วยการฝึกบนโต๊ะ การจำลอง และการทดสอบขั้นตอนจริง เรายังตรวจสอบและปรับปรุงแผนของเราตามผลการทดสอบและบทเรียนที่ได้รับ

13.6. ไซต์การประมวลผลสำรอง

เรามีไซต์ประมวลผลออนไลน์สำรองที่สามารถใช้ในการดำเนินธุรกิจต่อไปได้ในกรณีที่เกิดการหยุดชะงักหรือภัยพิบัติ ไซต์การประมวลผลสำรองมีโครงสร้างพื้นฐานและระบบที่จำเป็น และสามารถใช้เพื่อสนับสนุนกระบวนการทางธุรกิจที่สำคัญ

ส่วนที่ 14 การปฏิบัติตามและการตรวจสอบ

14.1. การปฏิบัติตามกฎหมายและข้อบังคับ

European IT Certification Institute มุ่งมั่นที่จะปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมดที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล รวมถึงกฎหมายคุ้มครองข้อมูล มาตรฐานอุตสาหกรรม และข้อผูกมัดตามสัญญา เราตรวจสอบและปรับปรุงนโยบาย ขั้นตอน และการควบคุมของเราอย่างสม่ำเสมอเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดและมาตรฐานที่เกี่ยวข้องทั้งหมด มาตรฐานและกรอบการทำงานหลักที่เราปฏิบัติตามในบริบทด้านความปลอดภัยของข้อมูล ได้แก่:

  1. มาตรฐาน ISO/IEC 27001 เป็นแนวทางสำหรับการนำไปใช้และการจัดการระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ซึ่งรวมถึงการจัดการช่องโหว่เป็นองค์ประกอบหลัก เป็นกรอบอ้างอิงสำหรับการปรับใช้และบำรุงรักษาระบบการจัดการความปลอดภัยของข้อมูล (ISMS) รวมถึงการจัดการช่องโหว่ ในการปฏิบัติตามข้อกำหนดมาตรฐานนี้ เราระบุ ประเมิน และจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล รวมถึงช่องโหว่ต่างๆ
  2. กรอบความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) ให้แนวทางสำหรับการระบุ ประเมิน และจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ รวมถึงการจัดการช่องโหว่
  3. กรอบความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) สำหรับการปรับปรุงการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ โดยมีชุดของฟังก์ชันหลักรวมถึงการจัดการช่องโหว่ที่เราปฏิบัติตามเพื่อจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ของเรา
  4. SANS Critical Security Controls ประกอบด้วยชุดควบคุมความปลอดภัย 20 ชุดเพื่อปรับปรุงความปลอดภัยทางไซเบอร์ ครอบคลุมส่วนต่างๆ รวมถึงการจัดการช่องโหว่ ให้คำแนะนำเฉพาะเกี่ยวกับการสแกนช่องโหว่ การจัดการแพตช์ และการจัดการช่องโหว่ด้านอื่นๆ
  5. มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ซึ่งกำหนดให้มีการจัดการข้อมูลบัตรเครดิตที่เกี่ยวข้องกับการจัดการช่องโหว่ในบริบทนี้
  6. ศูนย์ควบคุมความปลอดภัยทางอินเทอร์เน็ต (CIS) รวมถึงการจัดการช่องโหว่เป็นหนึ่งในการควบคุมหลักเพื่อให้แน่ใจว่าการกำหนดค่าระบบข้อมูลของเรามีความปลอดภัย
  7. Open Web Application Security Project (OWASP) ซึ่งมีรายการความเสี่ยงด้านความปลอดภัยของเว็บแอปพลิเคชันที่สำคัญที่สุด 10 อันดับแรก รวมถึงการประเมินช่องโหว่ เช่น การโจมตีด้วยการฉีด การพิสูจน์ตัวตนที่เสียหายและการจัดการเซสชัน การเขียนสคริปต์ข้ามไซต์ (XSS) เป็นต้น เราใช้ OWASP 10 อันดับแรก เพื่อจัดลำดับความสำคัญของความพยายามในการจัดการช่องโหว่ของเรา และมุ่งเน้นไปที่ความเสี่ยงที่สำคัญที่สุดเกี่ยวกับระบบเว็บของเรา

14.2. ตรวจสอบภายใน

เราดำเนินการตรวจสอบภายในเป็นประจำเพื่อประเมินประสิทธิภาพของระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ของเรา และตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามนโยบาย ขั้นตอน และการควบคุมของเรา กระบวนการตรวจสอบภายในรวมถึงการระบุความไม่สอดคล้อง การพัฒนาการดำเนินการแก้ไข และการติดตามความพยายามในการแก้ไข

14.3. การตรวจสอบภายนอก

เราทำงานร่วมกับผู้ตรวจสอบภายนอกเป็นระยะเพื่อตรวจสอบการปฏิบัติตามกฎหมาย ข้อบังคับ และมาตรฐานอุตสาหกรรมที่เกี่ยวข้อง เราให้ผู้ตรวจสอบสามารถเข้าถึงสิ่งอำนวยความสะดวก ระบบ และเอกสารของเราตามที่จำเป็นเพื่อตรวจสอบการปฏิบัติตามของเรา นอกจากนี้ เรายังทำงานร่วมกับผู้ตรวจสอบภายนอกเพื่อจัดการกับข้อค้นพบหรือคำแนะนำใดๆ ที่ระบุในระหว่างกระบวนการตรวจสอบ

14.4. การตรวจสอบการปฏิบัติตามข้อกำหนด

เราตรวจสอบการปฏิบัติตามกฎหมาย ข้อบังคับ และมาตรฐานอุตสาหกรรมที่เกี่ยวข้องอย่างต่อเนื่อง เราใช้วิธีการที่หลากหลายในการตรวจสอบการปฏิบัติตาม รวมถึงการประเมินเป็นระยะ การตรวจสอบ และการทบทวนผู้ให้บริการบุคคลที่สาม นอกจากนี้ เรายังตรวจสอบและอัปเดตนโยบาย ขั้นตอน และการควบคุมของเราอย่างสม่ำเสมอเพื่อให้มั่นใจว่าสอดคล้องกับข้อกำหนดที่เกี่ยวข้องทั้งหมดอย่างต่อเนื่อง

ส่วนที่ 15 การจัดการบุคคลที่สาม

15.1. นโยบายการจัดการบุคคลที่สาม

European IT Certification Institute มีนโยบายการจัดการบุคคลที่สามซึ่งสรุปข้อกำหนดสำหรับการเลือก ประเมิน และติดตามผู้ให้บริการบุคคลที่สามที่มีสิทธิ์เข้าถึงสินทรัพย์หรือระบบข้อมูลของเรา นโยบายนี้ใช้กับผู้ให้บริการบุคคลที่สามทั้งหมด รวมถึงผู้ให้บริการระบบคลาวด์ ผู้ขาย และผู้รับจ้าง

15.2. การคัดเลือกและการประเมินโดยบุคคลที่สาม

เราทำการตรวจสอบวิเคราะห์สถานะก่อนที่จะมีส่วนร่วมกับผู้ให้บริการบุคคลที่สามเพื่อให้แน่ใจว่าพวกเขามีการควบคุมความปลอดภัยที่เพียงพอเพื่อปกป้องทรัพย์สินข้อมูลหรือระบบของเรา นอกจากนี้ เรายังประเมินการปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องของผู้ให้บริการบุคคลที่สามที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูลและความเป็นส่วนตัว

15.3. การตรวจสอบบุคคลที่สาม

เราตรวจสอบผู้ให้บริการบุคคลที่สามอย่างต่อเนื่องเพื่อให้แน่ใจว่าพวกเขายังคงปฏิบัติตามข้อกำหนดของเราสำหรับความปลอดภัยของข้อมูลและความเป็นส่วนตัว เราใช้วิธีการที่หลากหลายในการตรวจสอบผู้ให้บริการบุคคลที่สาม รวมถึงการประเมินเป็นระยะ การตรวจสอบ และการทบทวนรายงานเหตุการณ์ด้านความปลอดภัย

15.4. ข้อกำหนดตามสัญญา

เรารวมข้อกำหนดตามสัญญาที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูลและความเป็นส่วนตัวในสัญญาทั้งหมดกับผู้ให้บริการบุคคลที่สาม ข้อกำหนดเหล่านี้รวมถึงข้อกำหนดสำหรับการปกป้องข้อมูล การควบคุมความปลอดภัย การจัดการเหตุการณ์ และการตรวจสอบการปฏิบัติตามข้อกำหนด เรายังรวมข้อกำหนดสำหรับการบอกเลิกสัญญาในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยหรือการไม่ปฏิบัติตาม

ส่วนที่ 16 ความปลอดภัยของข้อมูลในกระบวนการรับรอง

16.1 ความปลอดภัยของกระบวนการรับรอง

เราใช้มาตรการที่เพียงพอและเป็นระบบเพื่อรับรองความปลอดภัยของข้อมูลทั้งหมดที่เกี่ยวข้องกับกระบวนการรับรองของเรา รวมถึงข้อมูลส่วนบุคคลของบุคคลที่ขอการรับรอง ซึ่งรวมถึงการควบคุมการเข้าถึง การจัดเก็บ และการส่งข้อมูลที่เกี่ยวข้องกับการรับรองทั้งหมด ด้วยการใช้มาตรการเหล่านี้ เรามีเป้าหมายเพื่อให้แน่ใจว่ากระบวนการรับรองดำเนินการด้วยระดับความปลอดภัยและความสมบูรณ์สูงสุด และข้อมูลส่วนบุคคลของบุคคลที่ขอการรับรองได้รับการคุ้มครองตามข้อบังคับและมาตรฐานที่เกี่ยวข้อง

16.2. การรับรองความถูกต้องและการอนุญาต

เราใช้การควบคุมการรับรองความถูกต้องและการอนุญาตเพื่อให้แน่ใจว่าเฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลการรับรองได้ การควบคุมการเข้าถึงจะได้รับการตรวจสอบและปรับปรุงอย่างสม่ำเสมอตามการเปลี่ยนแปลงในบทบาทและความรับผิดชอบของบุคลากร

16.3 การป้องกันข้อมูล

เราปกป้องข้อมูลส่วนบุคคลตลอดกระบวนการรับรองโดยใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้มั่นใจถึงการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล ซึ่งรวมถึงมาตรการต่างๆ เช่น การเข้ารหัส การควบคุมการเข้าถึง และการสำรองข้อมูลตามปกติ

16.4. ความปลอดภัยของกระบวนการสอบ

เรารับประกันความปลอดภัยของกระบวนการสอบโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการโกง ตรวจสอบ และควบคุมสภาพแวดล้อมการสอบ เรายังรักษาความสมบูรณ์และความลับของเอกสารการสอบผ่านขั้นตอนการจัดเก็บที่ปลอดภัย

16.5 ความปลอดภัยของเนื้อหาการสอบ

เรารับประกันความปลอดภัยของเนื้อหาการตรวจสอบโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการเข้าถึง การแก้ไข หรือการเปิดเผยเนื้อหาโดยไม่ได้รับอนุญาต ซึ่งรวมถึงการใช้ที่เก็บข้อมูลที่ปลอดภัย การเข้ารหัส และการควบคุมการเข้าถึงสำหรับเนื้อหาการสอบ ตลอดจนการควบคุมเพื่อป้องกันการแจกจ่ายหรือการเผยแพร่เนื้อหาการสอบโดยไม่ได้รับอนุญาต

16.6. ความปลอดภัยของการจัดส่งข้อสอบ

เรารับประกันความปลอดภัยของการจัดส่งข้อสอบโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการเข้าถึงหรือการจัดการสภาพแวดล้อมการสอบโดยไม่ได้รับอนุญาต ซึ่งรวมถึงมาตรการต่าง ๆ เช่น การติดตาม การตรวจสอบ และการควบคุมสภาพแวดล้อมการสอบและวิธีการตรวจสอบเฉพาะ เพื่อป้องกันการโกงหรือการละเมิดความปลอดภัยอื่น ๆ

16.7 ความปลอดภัยของผลการสอบ

เรารับประกันความปลอดภัยของผลการตรวจสอบโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการเข้าถึง การแก้ไข หรือการเปิดเผยผลโดยไม่ได้รับอนุญาต ซึ่งรวมถึงการใช้ที่เก็บข้อมูลที่ปลอดภัย การเข้ารหัส และการควบคุมการเข้าถึงสำหรับผลการตรวจ ตลอดจนการควบคุมเพื่อป้องกันการแจกจ่ายหรือการเผยแพร่ผลการตรวจโดยไม่ได้รับอนุญาต

16.8. ความปลอดภัยของการออกใบรับรอง

เรารับประกันความปลอดภัยของการออกใบรับรองโดยใช้มาตรการที่เหมาะสมเพื่อป้องกันการฉ้อโกงและการออกใบรับรองโดยไม่ได้รับอนุญาต ซึ่งรวมถึงการควบคุมการตรวจสอบตัวตนของบุคคลที่ได้รับใบรับรองและการจัดเก็บที่ปลอดภัยและขั้นตอนการออก

16.9 การร้องเรียนและการอุทธรณ์

เราได้กำหนดขั้นตอนในการจัดการข้อร้องเรียนและการอุทธรณ์ที่เกี่ยวข้องกับกระบวนการรับรอง ขั้นตอนเหล่านี้รวมถึงมาตรการเพื่อให้มั่นใจถึงความลับและความเป็นกลางของกระบวนการ และความปลอดภัยของข้อมูลที่เกี่ยวข้องกับการร้องเรียนและการอุทธรณ์

16.10 น. กระบวนการรับรอง การจัดการคุณภาพ

เราได้จัดทำระบบการจัดการคุณภาพ (QMS) สำหรับกระบวนการรับรองที่มีมาตรการเพื่อให้มั่นใจถึงประสิทธิผล ประสิทธิภาพ และความปลอดภัยของกระบวนการ QMS รวมถึงการตรวจสอบและทบทวนกระบวนการและการควบคุมความปลอดภัยอย่างสม่ำเสมอ

16.11 น. การปรับปรุงความปลอดภัยของกระบวนการรับรองอย่างต่อเนื่อง

เรามุ่งมั่นที่จะปรับปรุงกระบวนการรับรองและการควบคุมความปลอดภัยอย่างต่อเนื่อง ซึ่งรวมถึงการทบทวนและอัปเดตนโยบายและขั้นตอนที่เกี่ยวข้องกับการรับรองอย่างสม่ำเสมอ การรักษาความปลอดภัยตามการเปลี่ยนแปลงในสภาพแวดล้อมทางธุรกิจ ข้อกำหนดด้านกฎระเบียบ และแนวปฏิบัติที่ดีที่สุดในการจัดการความปลอดภัยของข้อมูล ตามมาตรฐาน ISO 27001 สำหรับการจัดการความปลอดภัยของข้อมูล เช่นเดียวกับ ISO 17024 หน่วยรับรองมาตรฐานการปฏิบัติงาน

ส่วนที่ 17 การปิดบทบัญญัติ

17.1. การทบทวนและปรับปรุงนโยบาย

นโยบายการรักษาความปลอดภัยข้อมูลนี้เป็นเอกสารที่มีชีวิตซึ่งผ่านการตรวจสอบและอัปเดตอย่างต่อเนื่องตามการเปลี่ยนแปลงข้อกำหนดในการดำเนินงาน ข้อกำหนดด้านกฎระเบียบ หรือแนวทางปฏิบัติที่ดีที่สุดในการจัดการความปลอดภัยของข้อมูล

17.2. การตรวจสอบการปฏิบัติตามข้อกำหนด

เราได้กำหนดขั้นตอนสำหรับการตรวจสอบการปฏิบัติตามนโยบายการรักษาความปลอดภัยของข้อมูลและการควบคุมความปลอดภัยที่เกี่ยวข้อง การตรวจสอบการปฏิบัติตามข้อกำหนดรวมถึงการตรวจสอบ การประเมิน และการทบทวนการควบคุมความปลอดภัยอย่างสม่ำเสมอ และประสิทธิผลในการบรรลุวัตถุประสงค์ของนโยบายนี้

17.3. การรายงานเหตุการณ์ด้านความปลอดภัย

เราได้กำหนดขั้นตอนในการรายงานเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับระบบข้อมูลของเรา รวมถึงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคล พนักงาน ผู้รับเหมา และผู้มีส่วนได้ส่วนเสียอื่น ๆ ควรรายงานเหตุการณ์ด้านความปลอดภัยหรือเหตุการณ์ที่น่าสงสัยต่อทีมรักษาความปลอดภัยที่ได้รับมอบหมายโดยเร็วที่สุด

17.4. การฝึกอบรมและการรับรู้

เราจัดให้มีโปรแกรมการฝึกอบรมและการรับรู้อย่างสม่ำเสมอแก่พนักงาน ผู้รับเหมา และผู้มีส่วนได้ส่วนเสียอื่น ๆ เพื่อให้แน่ใจว่าพวกเขาตระหนักถึงความรับผิดชอบและภาระผูกพันที่เกี่ยวข้องกับความปลอดภัยของข้อมูล ซึ่งรวมถึงการฝึกอบรมเกี่ยวกับนโยบายและขั้นตอนการรักษาความปลอดภัย และมาตรการในการปกป้องข้อมูลส่วนบุคคลของบุคคล

17.5. ความรับผิดชอบและความรับผิดชอบ

เราถือว่าพนักงาน ผู้รับเหมา และผู้มีส่วนได้ส่วนเสียอื่น ๆ ทุกคนมีหน้าที่รับผิดชอบในการปฏิบัติตามนโยบายความปลอดภัยของข้อมูลนี้และการควบคุมความปลอดภัยที่เกี่ยวข้อง นอกจากนี้ เรายังให้ฝ่ายบริหารรับผิดชอบในการทำให้มั่นใจว่ามีการจัดสรรทรัพยากรที่เหมาะสมสำหรับการดำเนินการและการรักษาการควบคุมความปลอดภัยของข้อมูลที่มีประสิทธิภาพ

นโยบายความปลอดภัยของข้อมูลนี้เป็นองค์ประกอบที่สำคัญของกรอบการจัดการความปลอดภัยของข้อมูลของ Euroepan IT Certification Institute และแสดงให้เห็นถึงความมุ่งมั่นของเราในการปกป้องทรัพย์สินข้อมูลและข้อมูลที่ผ่านการประมวลผล ทำให้มั่นใจได้ถึงการรักษาความลับ ความเป็นส่วนตัว ความสมบูรณ์และความพร้อมใช้งานของข้อมูล และปฏิบัติตามข้อกำหนดด้านกฎระเบียบและสัญญา