Informationssicherheitsrichtlinie
Informationssicherheitsrichtlinie der EITCA Academy
Dieses Dokument legt die Informationssicherheitsrichtlinie (ISP) des European IT Certification Institute fest, die regelmäßig überprüft und aktualisiert wird, um ihre Wirksamkeit und Relevanz sicherzustellen. Die letzte Aktualisierung der EITCI-Informationssicherheitsrichtlinie wurde am 7. Januar 2023 vorgenommen.
Teil 1. Einführung und Erklärung zur Informationssicherheitsrichtlinie
1.1. Einleitung
Das European IT Certification Institute erkennt die Bedeutung der Informationssicherheit für die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und das Vertrauen unserer Stakeholder an. Wir verpflichten uns, vertrauliche Informationen, einschließlich personenbezogener Daten, vor unbefugtem Zugriff, Offenlegung, Änderung und Zerstörung zu schützen. Wir pflegen eine effektive Informationssicherheitsrichtlinie, um unsere Mission zu unterstützen, unseren Kunden zuverlässige und unparteiische Zertifizierungsdienste anzubieten. Die Informationssicherheitsrichtlinie beschreibt unsere Verpflichtung zum Schutz von Informationswerten und zur Erfüllung unserer gesetzlichen, behördlichen und vertraglichen Verpflichtungen. Unsere Richtlinie basiert auf den Grundsätzen von ISO 27001 und ISO 17024, den führenden internationalen Standards für Informationssicherheitsmanagement und Betriebsstandards von Zertifizierungsstellen.
1.2. Grundsatzerklärung
Das Europäische IT-Zertifizierungsinstitut verpflichtet sich zu Folgendem:
- Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten,
- Einhaltung gesetzlicher, behördlicher und vertraglicher Verpflichtungen in Bezug auf Informationssicherheit und Verarbeitung von Daten zur Umsetzung seiner Zertifizierungsprozesse und -vorgänge,
- Kontinuierliche Verbesserung seiner Informationssicherheitspolitik und des zugehörigen Managementsystems,
- Bereitstellung einer angemessenen Schulung und Sensibilisierung für Mitarbeiter, Auftragnehmer und Teilnehmer,
- Einbeziehung aller Mitarbeiter und Auftragnehmer in die Umsetzung und Aufrechterhaltung der Informationssicherheitsrichtlinie und des zugehörigen Informationssicherheits-Managementsystems.
1.3. Umfang
Diese Richtlinie gilt für alle Informationsbestände, die Eigentum des European IT Certification Institute sind, von diesem kontrolliert oder verarbeitet werden. Dazu gehören alle digitalen und physischen Informationswerte wie Systeme, Netzwerke, Software, Daten und Dokumentationen. Diese Richtlinie gilt auch für alle Mitarbeiter, Auftragnehmer und Drittanbieter, die auf unsere Informationsbestände zugreifen.
1.4. Beachtung
Das Europäische IT-Zertifizierungsinstitut verpflichtet sich zur Einhaltung relevanter Informationssicherheitsstandards, einschließlich ISO 27001 und ISO 17024. Wir überprüfen und aktualisieren diese Richtlinie regelmäßig, um ihre fortlaufende Relevanz und Einhaltung dieser Standards sicherzustellen.
Teil 2. Organisatorische Sicherheit
2.1. Sicherheitsziele der Organisation
Durch die Implementierung organisatorischer Sicherheitsmaßnahmen wollen wir sicherstellen, dass unsere Informationsbestände und Datenverarbeitungspraktiken und -verfahren mit dem höchsten Maß an Sicherheit und Integrität durchgeführt werden und dass wir die einschlägigen gesetzlichen Vorschriften und Standards einhalten.
2.2. Informationssicherheitsrollen und Verantwortlichkeiten
Das European IT Certification Institute definiert und kommuniziert Rollen und Verantwortlichkeiten für die Informationssicherheit im gesamten Unternehmen. Dazu gehören die Zuweisung eindeutiger Eigentumsrechte für Informationsressourcen im Zusammenhang mit der Informationssicherheit, die Einrichtung einer Governance-Struktur und die Definition spezifischer Verantwortlichkeiten für verschiedene Rollen und Abteilungen in der gesamten Organisation.
2.3. Risikomanagement
Wir führen regelmäßige Risikobewertungen durch, um Informationssicherheitsrisiken für die Organisation zu identifizieren und zu priorisieren, einschließlich Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten. Wir richten geeignete Kontrollen ein, um diese Risiken zu mindern, und überprüfen und aktualisieren unseren Risikomanagementansatz regelmäßig auf der Grundlage von Änderungen im Geschäftsumfeld und in der Bedrohungslandschaft.
2.4. Informationssicherheitsrichtlinien und -verfahren
Wir erstellen und pflegen eine Reihe von Informationssicherheitsrichtlinien und -verfahren, die auf bewährten Verfahren der Branche basieren und den einschlägigen Vorschriften und Standards entsprechen. Diese Richtlinien und Verfahren decken alle Aspekte der Informationssicherheit ab, einschließlich der Verarbeitung personenbezogener Daten, und werden regelmäßig überprüft und aktualisiert, um ihre Wirksamkeit sicherzustellen.
2.5. Sicherheitsbewusstsein und Schulung
Wir bieten allen Mitarbeitern, Auftragnehmern und Drittpartnern, die Zugang zu personenbezogenen Daten oder anderen sensiblen Informationen haben, regelmäßige Sicherheitsbewusstseins- und Schulungsprogramme an. Diese Schulung behandelt Themen wie Phishing, Social Engineering, Passworthygiene und andere Best Practices für die Informationssicherheit.
2.6. Physische und Umgebungssicherheit
Wir implementieren angemessene physische und umweltbezogene Sicherheitskontrollen, um unsere Einrichtungen und Informationssysteme vor unbefugtem Zugriff, Beschädigung oder Eingriff zu schützen. Dazu gehören Maßnahmen wie Zugangskontrollen, Überwachung, Überwachung sowie Notstrom- und Kühlsysteme.
2.7. Management von Informationssicherheitsvorfällen
Wir haben einen Incident-Management-Prozess eingerichtet, der es uns ermöglicht, schnell und effektiv auf eventuell auftretende Informationssicherheitsvorfälle zu reagieren. Dazu gehören Verfahren zur Meldung, Eskalation, Untersuchung und Lösung von Vorfällen sowie Maßnahmen zur Verhinderung eines erneuten Auftretens und zur Verbesserung unserer Fähigkeiten zur Reaktion auf Vorfälle.
2.8. Betriebskontinuität und Notfallwiederherstellung
Wir haben Betriebskontinuitäts- und Notfallwiederherstellungspläne erstellt und getestet, die es uns ermöglichen, unsere kritischen Betriebsfunktionen und -dienste im Falle einer Störung oder eines Notfalls aufrechtzuerhalten. Diese Pläne umfassen Verfahren zur Sicherung und Wiederherstellung von Daten und Systemen sowie Maßnahmen zur Gewährleistung der Verfügbarkeit und Integrität personenbezogener Daten.
2.9. Verwaltung durch Drittanbieter
Wir richten angemessene Kontrollen ein und unterhalten diese, um die Risiken im Zusammenhang mit Drittpartnern zu managen, die Zugang zu personenbezogenen Daten oder anderen sensiblen Informationen haben. Dazu gehören Maßnahmen wie Sorgfaltspflichten, vertragliche Verpflichtungen, Überwachung und Audits sowie Maßnahmen zur Beendigung von Partnerschaften, wenn dies erforderlich ist.
Teil 3. Personalsicherheit
3.1. Beschäftigungsscreening
Das Europäische Institut für IT-Zertifizierung hat ein Verfahren zur Einstellungsprüfung eingerichtet, um sicherzustellen, dass Personen mit Zugang zu sensiblen Informationen vertrauenswürdig sind und über die erforderlichen Fähigkeiten und Qualifikationen verfügen.
3.2. Zugangskontrolle
Wir haben Zugriffskontrollrichtlinien und -verfahren eingeführt, um sicherzustellen, dass Mitarbeiter nur Zugriff auf die Informationen haben, die für ihre beruflichen Aufgaben erforderlich sind. Die Zugriffsrechte werden regelmäßig überprüft und aktualisiert, um sicherzustellen, dass die Mitarbeiter nur auf die Informationen zugreifen können, die sie benötigen.
3.3. Sensibilisierung und Schulung für Informationssicherheit
Wir bieten allen Mitarbeitern regelmäßig Schulungen zum Thema Informationssicherheit an. Dieses Training behandelt Themen wie Passwortsicherheit, Phishing-Angriffe, Social Engineering und andere Aspekte der Cybersicherheit.
3.4. Akzeptable Nutzung
Wir haben eine Richtlinie zur akzeptablen Nutzung aufgestellt, die die akzeptable Nutzung von Informationssystemen und Ressourcen, einschließlich persönlicher Geräte, die für Arbeitszwecke verwendet werden, umreißt.
3.5. Sicherheit mobiler Geräte
Wir haben Richtlinien und Verfahren für die sichere Nutzung mobiler Geräte festgelegt, einschließlich der Verwendung von Passcodes, Verschlüsselung und Fernlöschfunktionen.
3.6. Kündigungsverfahren
Das Europäische IT-Zertifizierungsinstitut hat Verfahren für die Beendigung von Arbeitsverhältnissen oder Verträgen eingerichtet, um sicherzustellen, dass der Zugriff auf sensible Informationen umgehend und sicher widerrufen wird.
3.7. Personal von Drittanbietern
Wir haben Verfahren für die Verwaltung von Drittpersonal eingerichtet, das Zugang zu sensiblen Informationen hat. Diese Richtlinien umfassen Screening, Zugangskontrolle und Sensibilisierungsschulungen für Informationssicherheit.
3.8. Vorfälle melden
Wir haben Richtlinien und Verfahren für die Meldung von Informationssicherheitsvorfällen oder -bedenken an die entsprechenden Mitarbeiter oder Behörden festgelegt.
3.9. Vertraulichkeitsvereinbarungen
Das European IT Certification Institute verlangt von Mitarbeitern und Auftragnehmern die Unterzeichnung von Vertraulichkeitsvereinbarungen, um vertrauliche Informationen vor unbefugter Offenlegung zu schützen.
3.10. Disziplinarmaßnahmen
Das European IT Certification Institute hat Richtlinien und Verfahren für Disziplinarmaßnahmen im Falle von Verstößen gegen die Informationssicherheitsrichtlinie durch Mitarbeiter oder Auftragnehmer festgelegt.
Teil 4. Risikobewertung und -management
4.1. Risikobewertung
Wir führen regelmäßige Risikobewertungen durch, um potenzielle Bedrohungen und Schwachstellen für unsere Informationsressourcen zu identifizieren. Wir verwenden einen strukturierten Ansatz, um Risiken basierend auf ihrer Wahrscheinlichkeit und potenziellen Auswirkung zu identifizieren, zu analysieren, zu bewerten und zu priorisieren. Wir bewerten Risiken im Zusammenhang mit unseren Informationsbeständen, einschließlich Systemen, Netzwerken, Software, Daten und Dokumentation.
4.2. Risikobehandlung
Wir verwenden einen Risikobehandlungsprozess, um Risiken zu mindern oder auf ein akzeptables Niveau zu reduzieren. Der Risikobehandlungsprozess umfasst die Auswahl geeigneter Kontrollen, die Implementierung von Kontrollen und die Überwachung der Wirksamkeit der Kontrollen. Wir priorisieren die Implementierung von Kontrollen basierend auf dem Risikoniveau, den verfügbaren Ressourcen und den Geschäftsprioritäten.
4.3. Risikoüberwachung und -überprüfung
Wir überwachen und überprüfen regelmäßig die Wirksamkeit unseres Risikomanagementprozesses, um sicherzustellen, dass er relevant und wirksam bleibt. Wir verwenden Metriken und Indikatoren, um die Leistung unseres Risikomanagementprozesses zu messen und Verbesserungsmöglichkeiten zu identifizieren. Wir überprüfen auch unseren Risikomanagementprozess im Rahmen unserer regelmäßigen Managementbewertungen, um seine fortlaufende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.
4.4. Risikoreaktionsplanung
Wir verfügen über einen Risikoreaktionsplan, um sicherzustellen, dass wir effektiv auf alle identifizierten Risiken reagieren können. Dieser Plan umfasst Verfahren zur Identifizierung und Meldung von Risiken sowie Prozesse zur Bewertung der potenziellen Auswirkungen jedes Risikos und zur Festlegung angemessener Reaktionsmaßnahmen. Wir haben auch Notfallpläne eingerichtet, um die Geschäftskontinuität im Falle eines signifikanten Risikoereignisses sicherzustellen.
4.5. Operative Auswirkungsanalyse
Wir führen regelmäßig Business Impact Analysen durch, um die potenziellen Auswirkungen von Störungen auf unseren Geschäftsbetrieb zu identifizieren. Diese Analyse umfasst eine Bewertung der Kritikalität unserer Geschäftsfunktionen, Systeme und Daten sowie eine Bewertung der potenziellen Auswirkungen von Störungen auf unsere Kunden, Mitarbeiter und andere Interessengruppen.
4.6. Risikomanagement von Drittanbietern
Wir haben ein externes Risikomanagementprogramm eingerichtet, um sicherzustellen, dass unsere Lieferanten und andere externe Dienstleister ebenfalls Risiken angemessen verwalten. Dieses Programm umfasst Due-Diligence-Prüfungen vor der Zusammenarbeit mit Dritten, die laufende Überwachung der Aktivitäten Dritter und regelmäßige Bewertungen der Risikomanagementpraktiken Dritter.
4.7. Reaktion auf Vorfälle und Management
Wir verfügen über einen Reaktions- und Managementplan für Vorfälle, um sicherzustellen, dass wir effektiv auf alle Sicherheitsvorfälle reagieren können. Dieser Plan umfasst Verfahren zur Identifizierung und Meldung von Vorfällen sowie Prozesse zur Bewertung der Auswirkungen jedes Vorfalls und zur Festlegung geeigneter Reaktionsmaßnahmen. Wir haben auch einen Business-Continuity-Plan eingerichtet, um sicherzustellen, dass kritische Geschäftsfunktionen im Falle eines schwerwiegenden Vorfalls fortgesetzt werden können.
Teil 5. Physische und Umgebungssicherheit
5.1. Physischer Sicherheitsperimeter
Wir haben physische Sicherheitsmaßnahmen eingeführt, um die physischen Räumlichkeiten und sensiblen Informationen vor unbefugtem Zugriff zu schützen.
5.2. Zugangskontrolle
Wir haben Zugangskontrollrichtlinien und -verfahren für die physischen Räumlichkeiten festgelegt, um sicherzustellen, dass nur autorisiertes Personal Zugang zu sensiblen Informationen hat.
5.3. Gerätesicherheit
Wir stellen sicher, dass alle Geräte, die vertrauliche Informationen enthalten, physisch gesichert sind und der Zugang zu diesen Geräten nur autorisiertem Personal vorbehalten ist.
5.4. Sichere Entsorgung
Wir haben Verfahren für die sichere Entsorgung sensibler Informationen, einschließlich Papierdokumente, elektronischer Medien und Hardware, eingerichtet.
5.5. Physische Umgebung
Wir stellen sicher, dass die physische Umgebung der Räumlichkeiten, einschließlich Temperatur, Feuchtigkeit und Beleuchtung, für den Schutz sensibler Informationen geeignet ist.
5.6 Netzteil
Wir sorgen dafür, dass die Stromversorgung der Räumlichkeiten zuverlässig und vor Stromausfällen oder Überspannungen geschützt ist.
5.7. Brandschutz
Wir haben Brandschutzrichtlinien und -verfahren eingeführt, einschließlich der Installation und Wartung von Brandmelde- und -unterdrückungssystemen.
5.8. Schutz vor Wasserschäden
Wir haben Richtlinien und Verfahren zum Schutz vertraulicher Informationen vor Wasserschäden festgelegt, einschließlich der Installation und Wartung von Hochwassererkennungs- und -vermeidungssystemen.
5.9. Wartung der Ausrüstung
Wir haben Verfahren für die Wartung von Geräten eingerichtet, einschließlich der Inspektion von Geräten auf Anzeichen von Manipulation oder unbefugtem Zugriff.
5.10. Akzeptable Nutzung
Wir haben eine Richtlinie zur akzeptablen Nutzung aufgestellt, die die akzeptable Nutzung physischer Ressourcen und Einrichtungen umreißt.
5.11. Fernzugriff
Wir haben Richtlinien und Verfahren für den Fernzugriff auf vertrauliche Informationen festgelegt, einschließlich der Verwendung sicherer Verbindungen und Verschlüsselung.
5.12. Überwachung und Überwachung
Wir haben Richtlinien und Verfahren zur Überwachung und Überwachung der physischen Räumlichkeiten und Geräte festgelegt, um unbefugten Zugriff oder Manipulationen zu erkennen und zu verhindern.
Teil. 6. Kommunikations- und Betriebssicherheit
6.1. Netzwerksicherheitsmanagement
Wir haben Richtlinien und Verfahren für die Verwaltung der Netzwerksicherheit festgelegt, einschließlich der Verwendung von Firewalls, Systemen zur Erkennung und Verhinderung von Eindringlingen sowie regelmäßiger Sicherheitsüberprüfungen.
6.2. Informationsübertragung
Wir haben Richtlinien und Verfahren für die sichere Übertragung vertraulicher Informationen festgelegt, einschließlich der Verwendung von Verschlüsselung und sicheren Dateiübertragungsprotokollen.
6.3. Kommunikation mit Drittanbietern
Wir haben Richtlinien und Verfahren für den sicheren Austausch vertraulicher Informationen mit Drittorganisationen festgelegt, einschließlich der Verwendung sicherer Verbindungen und Verschlüsselung.
6.4. Umgang mit Medien
Wir haben Verfahren für den Umgang mit sensiblen Informationen in verschiedenen Medienformen, einschließlich Papierdokumenten, elektronischen Medien und tragbaren Speichergeräten, eingerichtet.
6.5. Entwicklung und Wartung von Informationssystemen
Wir haben Richtlinien und Verfahren für die Entwicklung und Wartung von Informationssystemen festgelegt, einschließlich der Verwendung sicherer Codierungspraktiken, regelmäßiger Software-Updates und Patch-Management.
6.6. Malware- und Virenschutz
Wir haben Richtlinien und Verfahren zum Schutz von Informationssystemen vor Malware und Viren festgelegt, einschließlich der Verwendung von Antivirensoftware und regelmäßigen Sicherheitsupdates.
6.7. Sicherung und Wiederherstellung
Wir haben Richtlinien und Verfahren für die Sicherung und Wiederherstellung vertraulicher Informationen festgelegt, um Datenverlust oder -beschädigung zu verhindern.
6.8. Ereignisverwaltung
Wir haben Richtlinien und Verfahren für die Identifizierung, Untersuchung und Lösung von Sicherheitsvorfällen und -ereignissen festgelegt.
6.9. Schwachstellenmanagement
Wir haben Richtlinien und Verfahren für das Management von Schwachstellen in Informationssystemen festgelegt, einschließlich der Verwendung regelmäßiger Schwachstellenbewertungen und Patch-Management.
6.10. Zugangskontrolle
Wir haben Richtlinien und Verfahren für die Verwaltung des Benutzerzugriffs auf Informationssysteme festgelegt, einschließlich der Verwendung von Zugriffskontrollen, Benutzerauthentifizierung und regelmäßigen Zugriffsüberprüfungen.
6.11. Überwachung und Protokollierung
Wir haben Richtlinien und Verfahren für die Überwachung und Protokollierung von Informationssystemaktivitäten festgelegt, einschließlich der Verwendung von Audit-Trails und der Protokollierung von Sicherheitsvorfällen.
Teil 7. Beschaffung, Entwicklung und Wartung von Informationssystemen
7.1. Bedarf
Wir haben Richtlinien und Verfahren zur Identifizierung von Anforderungen an Informationssysteme festgelegt, einschließlich geschäftlicher Anforderungen, gesetzlicher und behördlicher Anforderungen und Sicherheitsanforderungen.
7.2. Lieferantenbeziehungen
Wir haben Richtlinien und Verfahren für die Verwaltung von Beziehungen mit Drittanbietern von Informationssystemen und -diensten festgelegt, einschließlich der Bewertung der Sicherheitspraktiken der Lieferanten.
7.3. Systementwicklung
Wir haben Richtlinien und Verfahren für die sichere Entwicklung von Informationssystemen festgelegt, einschließlich der Verwendung sicherer Codierungspraktiken, regelmäßiger Tests und Qualitätssicherung.
7.4. Systemtest
Wir haben Richtlinien und Verfahren für das Testen von Informationssystemen festgelegt, einschließlich Funktionstests, Leistungstests und Sicherheitstests.
7.5. Systemakzeptanz
Wir haben Richtlinien und Verfahren für die Akzeptanz von Informationssystemen festgelegt, einschließlich der Genehmigung von Testergebnissen, Sicherheitsbewertungen und Benutzerakzeptanztests.
7.6. Systemwartung
Wir haben Richtlinien und Verfahren für die Wartung von Informationssystemen festgelegt, einschließlich regelmäßiger Updates, Sicherheitspatches und Systemsicherungen.
7.7. Systemabschaltung
Wir haben Richtlinien und Verfahren für die Stilllegung von Informationssystemen festgelegt, einschließlich der sicheren Entsorgung von Hardware und Daten.
7.8. Vorratsdatenspeicherung
Wir haben Richtlinien und Verfahren für die Aufbewahrung von Daten in Übereinstimmung mit gesetzlichen und behördlichen Anforderungen festgelegt, einschließlich der sicheren Speicherung und Entsorgung sensibler Daten.
7.9. Sicherheitsanforderungen für Informationssysteme
Wir haben Richtlinien und Verfahren zur Identifizierung und Umsetzung von Sicherheitsanforderungen für Informationssysteme festgelegt, einschließlich Zugriffskontrollen, Verschlüsselung und Datenschutz.
7.10. Sichere Entwicklungsumgebungen
Wir haben Richtlinien und Verfahren für sichere Entwicklungsumgebungen für Informationssysteme festgelegt, einschließlich der Verwendung sicherer Entwicklungspraktiken, Zugriffskontrollen und sicherer Netzwerkkonfigurationen.
7.11. Schutz von Testumgebungen
Wir haben Richtlinien und Verfahren zum Schutz von Testumgebungen für Informationssysteme festgelegt, einschließlich der Verwendung sicherer Konfigurationen, Zugriffskontrollen und regelmäßiger Sicherheitstests.
7.12. Prinzipien der sicheren Systemtechnik
Wir haben Richtlinien und Verfahren für die Implementierung sicherer Systemtechnikprinzipien für Informationssysteme festgelegt, einschließlich der Verwendung von Sicherheitsarchitekturen, Bedrohungsmodellierung und sicheren Codierungspraktiken.
7.13. Richtlinien für sichere Codierung
Wir haben Richtlinien und Verfahren für die Implementierung sicherer Codierungsrichtlinien für Informationssysteme festgelegt, einschließlich der Verwendung von Codierungsstandards, Codeüberprüfungen und automatisierten Tests.
Teil 8. Hardwarebeschaffung
8.1. Einhaltung von Standards
Wir halten uns an den ISO 27001-Standard für Informationssicherheits-Managementsysteme (ISMS), um sicherzustellen, dass Hardware-Assets in Übereinstimmung mit unseren Sicherheitsanforderungen beschafft werden.
8.2. Risikobewertung
Wir führen eine Risikobewertung durch, bevor wir Hardware-Assets beschaffen, um potenzielle Sicherheitsrisiken zu identifizieren und sicherzustellen, dass die ausgewählte Hardware die Sicherheitsanforderungen erfüllt.
8.3. Anbieterauswahl
Wir beziehen Hardware nur von vertrauenswürdigen Anbietern, die nachweislich sichere Produkte liefern. Wir überprüfen die Sicherheitsrichtlinien und -praktiken der Anbieter und verlangen von ihnen, dass sie zusichern, dass ihre Produkte unsere Sicherheitsanforderungen erfüllen.
8.4. Sicherer Transport
Wir stellen sicher, dass Hardware-Assets sicher zu unseren Räumlichkeiten transportiert werden, um Manipulationen, Beschädigungen oder Diebstahl während des Transports zu verhindern.
8.5. Echtheitsprüfung
Wir überprüfen die Echtheit von Hardware-Assets bei der Lieferung, um sicherzustellen, dass sie nicht gefälscht oder manipuliert sind.
8.6. Physische und Umgebungskontrollen
Wir implementieren geeignete physische und Umgebungskontrollen, um Hardware-Assets vor unbefugtem Zugriff, Diebstahl oder Beschädigung zu schützen.
8.7. Hardwareinstallation
Wir stellen sicher, dass alle Hardware-Assets in Übereinstimmung mit etablierten Sicherheitsstandards und -richtlinien konfiguriert und installiert werden.
8.8. Hardware-Rezensionen
Wir führen regelmäßige Überprüfungen von Hardware-Assets durch, um sicherzustellen, dass sie weiterhin unsere Sicherheitsanforderungen erfüllen und mit den neuesten Sicherheitspatches und -updates auf dem neuesten Stand sind.
8.9. Hardware-Entsorgung
Wir entsorgen Hardware-Assets auf sichere Weise, um unbefugten Zugriff auf vertrauliche Informationen zu verhindern.
Teil 9. Schutz vor Malware und Viren
9.1. Richtlinie zur Softwareaktualisierung
Wir unterhalten aktuelle Antiviren- und Malware-Schutzsoftware auf allen Informationssystemen, die vom European IT Certification Institute verwendet werden, einschließlich Servern, Workstations, Laptops und Mobilgeräten. Wir stellen sicher, dass die Antiviren- und Malware-Schutzsoftware so konfiguriert ist, dass ihre Virendefinitionsdateien und Softwareversionen regelmäßig automatisch aktualisiert werden, und dass dieser Vorgang regelmäßig getestet wird.
9.2. Viren- und Malware-Scanning
Wir führen regelmäßige Scans aller Informationssysteme durch, einschließlich Server, Workstations, Laptops und Mobilgeräte, um Viren oder Malware zu erkennen und zu entfernen.
9.3. Nicht-Deaktivierungs- und Nicht-Änderungs-Richtlinie
Wir setzen Richtlinien durch, die Benutzern verbieten, Antiviren- und Malware-Schutzsoftware auf Informationssystemen zu deaktivieren oder zu ändern.
9.4. Überwachung
Wir überwachen die Warnungen und Protokolle unserer Antiviren- und Malware-Schutzsoftware, um Vorfälle von Viren- oder Malware-Infektionen zu erkennen und rechtzeitig auf solche Vorfälle zu reagieren.
9.5. Aufzeichnungen pflegen
Zu Prüfzwecken führen wir Aufzeichnungen über die Konfiguration, Updates und Scans von Antiviren- und Malware-Schutzsoftware sowie alle Vorfälle von Viren- oder Malware-Infektionen.
9.6. Software-Rezensionen
Wir führen regelmäßige Überprüfungen unserer Antiviren- und Malware-Schutzsoftware durch, um sicherzustellen, dass sie den aktuellen Industriestandards entspricht und unseren Anforderungen entspricht.
9.7. Training und Bewusstsein
Wir bieten Schulungs- und Sensibilisierungsprogramme an, um alle Mitarbeiter über die Bedeutung des Schutzes vor Viren und Malware aufzuklären und verdächtige Aktivitäten oder Vorfälle zu erkennen und zu melden.
Teil 10. Verwaltung von Informationsbeständen
10.1. Informationen Asset-Inventar
Das European IT Certification Institute führt ein Inventar der Informationsbestände, das alle digitalen und physischen Informationsbestände wie Systeme, Netzwerke, Software, Daten und Dokumentation umfasst. Wir klassifizieren Informationswerte basierend auf ihrer Kritikalität und Sensibilität, um sicherzustellen, dass angemessene Schutzmaßnahmen implementiert werden.
10.2. Handhabung von Informationsbeständen
Wir implementieren geeignete Maßnahmen zum Schutz von Informationswerten basierend auf ihrer Klassifizierung, einschließlich Vertraulichkeit, Integrität und Verfügbarkeit. Wir stellen sicher, dass alle Informationsressourcen in Übereinstimmung mit den geltenden Gesetzen, Vorschriften und vertraglichen Anforderungen gehandhabt werden. Wir stellen auch sicher, dass alle Informationsressourcen ordnungsgemäß gespeichert, geschützt und entsorgt werden, wenn sie nicht mehr benötigt werden.
10.3. Informationen zum Eigentum an Vermögenswerten
Wir übertragen das Eigentum an Informationsbeständen an Personen oder Abteilungen, die für die Verwaltung und den Schutz von Informationsbeständen verantwortlich sind. Wir stellen auch sicher, dass Eigentümer von Informationsbeständen ihre Verantwortlichkeiten und Rechenschaftspflichten für den Schutz von Informationsbeständen verstehen.
10.4. Schutz von Informationsvermögen
Wir verwenden eine Vielzahl von Schutzmaßnahmen, um Informationswerte zu schützen, darunter physische Kontrollen, Zugriffskontrollen, Verschlüsselung sowie Sicherungs- und Wiederherstellungsprozesse. Wir stellen auch sicher, dass alle Informationsbestände vor unbefugtem Zugriff, Änderung oder Zerstörung geschützt sind.
Teil 11. Zugangskontrolle
11.1. Zugriffskontrollrichtlinie
Das European IT Certification Institute hat eine Zugangskontrollrichtlinie, die die Anforderungen für das Gewähren, Ändern und Widerrufen des Zugangs zu Informationsbeständen umreißt. Die Zugriffskontrolle ist eine entscheidende Komponente unseres Informationssicherheits-Managementsystems, und wir implementieren sie, um sicherzustellen, dass nur autorisierte Personen Zugriff auf unsere Informationsbestände haben.
11.2. Implementierung der Zugriffskontrolle
Wir implementieren Zugriffskontrollmaßnahmen auf der Grundlage des Prinzips der geringsten Rechte, was bedeutet, dass Einzelpersonen nur Zugriff auf die Informationsbestände haben, die zur Erfüllung ihrer beruflichen Aufgaben erforderlich sind. Wir verwenden eine Vielzahl von Zugriffskontrollmaßnahmen, einschließlich Authentifizierung, Autorisierung und Abrechnung (AAA). Wir verwenden auch Zugriffskontrolllisten (ACLs) und Berechtigungen, um den Zugriff auf Informationsbestände zu kontrollieren.
11.3. Kennwortrichtlinie
Das European IT Certification Institute hat eine Passwortrichtlinie, die die Anforderungen für die Erstellung und Verwaltung von Passwörtern umreißt. Wir verlangen starke Passwörter, die mindestens 8 Zeichen lang sind und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Wir verlangen außerdem regelmäßige Passwortänderungen und verbieten die Wiederverwendung früherer Passwörter.
11.4. Benutzerverwaltung
Wir haben einen Benutzerverwaltungsprozess, der das Erstellen, Ändern und Löschen von Benutzerkonten umfasst. Benutzerkonten werden auf der Grundlage des Prinzips der geringsten Rechte erstellt, und der Zugriff wird nur auf die Informationsressourcen gewährt, die zur Erfüllung der Aufgaben des Einzelnen erforderlich sind. Wir überprüfen auch regelmäßig Benutzerkonten und entfernen Konten, die nicht mehr benötigt werden.
Teil 12. Management von Informationssicherheitsvorfällen
12.1. Incident-Management-Richtlinie
Das European IT Certification Institute hat eine Incident Management Policy, die die Anforderungen für die Erkennung, Meldung, Bewertung und Reaktion auf Sicherheitsvorfälle umreißt. Wir definieren Sicherheitsvorfälle als jedes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationsressourcen oder -systemen gefährdet.
12.2. Erkennung und Meldung von Vorfällen
Wir setzen Maßnahmen um, um Sicherheitsvorfälle zeitnah zu erkennen und zu melden. Wir verwenden eine Vielzahl von Methoden, um Sicherheitsvorfälle zu erkennen, einschließlich Intrusion Detection Systems (IDS), Antivirensoftware und Benutzerberichten. Wir stellen auch sicher, dass alle Mitarbeiter die Verfahren zum Melden von Sicherheitsvorfällen kennen und ermutigen dazu, alle vermuteten Vorfälle zu melden.
12.3. Bewertung und Reaktion auf Vorfälle
Wir haben einen Prozess zur Bewertung und Reaktion auf Sicherheitsvorfälle basierend auf ihrem Schweregrad und ihren Auswirkungen. Wir priorisieren Vorfälle basierend auf ihren potenziellen Auswirkungen auf Informationsressourcen oder Systeme und weisen geeignete Ressourcen zu, um darauf zu reagieren. Wir haben auch einen Reaktionsplan, der Verfahren zur Identifizierung, Eindämmung, Analyse, Beseitigung und Wiederherstellung von Sicherheitsvorfällen sowie zur Benachrichtigung relevanter Parteien und zur Durchführung von Überprüfungen nach dem Vorfall umfasst. Unsere Verfahren zur Reaktion auf Vorfälle sind darauf ausgelegt, eine schnelle und effektive Reaktion zu gewährleisten zu Sicherheitsvorfällen. Die Verfahren werden regelmäßig überprüft und aktualisiert, um ihre Wirksamkeit und Relevanz sicherzustellen.
12.4. Incident-Response-Team
Wir haben ein Incident Response Team (IRT), das für die Reaktion auf Sicherheitsvorfälle verantwortlich ist. Das IRT setzt sich aus Vertretern verschiedener Einheiten zusammen und wird vom Information Security Officer (ISO) geleitet. Das IRT ist für die Bewertung der Schwere von Vorfällen, die Eindämmung des Vorfalls und die Einleitung geeigneter Maßnahmen zur Reaktion verantwortlich.
12.5. Meldung und Überprüfung von Vorfällen
Wir haben Verfahren zur Meldung von Sicherheitsvorfällen an relevante Parteien, einschließlich Kunden, Aufsichtsbehörden und Strafverfolgungsbehörden, gemäß den geltenden Gesetzen und Vorschriften eingerichtet. Wir kommunizieren auch mit den betroffenen Parteien während des gesamten Reaktionsprozesses auf Vorfälle und stellen zeitnahe Updates zum Status des Vorfalls und zu allen Maßnahmen bereit, die ergriffen werden, um seine Auswirkungen zu mindern. Wir führen auch eine Überprüfung aller Sicherheitsvorfälle durch, um die Grundursache zu ermitteln und zu verhindern, dass ähnliche Vorfälle in Zukunft auftreten.
Teil 13. Business Continuity Management und Disaster Recovery
13.1. Planung der Geschäftskontinuität
Obwohl das European IT Certification Institute eine gemeinnützige Organisation ist, verfügt es über einen Business Continuity Plan (BCP), der die Verfahren zur Gewährleistung der Kontinuität seines Betriebs im Falle eines Störfalls umreißt. Der BCP deckt alle kritischen Betriebsprozesse ab und identifiziert die Ressourcen, die erforderlich sind, um den Betrieb während und nach einem Störfall aufrechtzuerhalten. Es beschreibt auch die Verfahren zur Aufrechterhaltung des Geschäftsbetriebs während einer Störung oder Katastrophe, zur Bewertung der Auswirkungen von Störungen, zur Identifizierung der kritischsten Betriebsprozesse im Zusammenhang mit einem bestimmten Störungsvorfall und zur Entwicklung von Reaktions- und Wiederherstellungsverfahren.
13.2. Disaster-Recovery-Planung
Das European IT Certification Institute verfügt über einen Disaster Recovery Plan (DRP), der die Verfahren zur Wiederherstellung unserer Informationssysteme im Falle einer Störung oder eines Notfalls umreißt. Das DRP umfasst Verfahren zur Datensicherung, Datenwiederherstellung und Systemwiederherstellung. Das DRP wird regelmäßig getestet und aktualisiert, um seine Wirksamkeit sicherzustellen.
13.3. Business-Impact-Analyse
Wir führen eine Business Impact Analysis (BIA) durch, um die kritischen Betriebsprozesse und die zu ihrer Aufrechterhaltung erforderlichen Ressourcen zu identifizieren. Die BIA hilft uns, unsere Wiederherstellungsbemühungen zu priorisieren und Ressourcen entsprechend zuzuweisen.
13.4. Business-Continuity-Strategie
Basierend auf den Ergebnissen der BIA entwickeln wir eine Business-Continuity-Strategie, die die Vorgehensweise zur Reaktion auf einen Störfall skizziert. Die Strategie umfasst Verfahren zur Aktivierung des BCP, zur Wiederherstellung kritischer Betriebsprozesse und zur Kommunikation mit relevanten Stakeholdern.
13.5. Prüfung und Wartung
Wir testen und warten unsere BCP und DRP regelmäßig, um ihre Wirksamkeit und Relevanz sicherzustellen. Wir führen regelmäßige Tests durch, um das BCP/DRP zu validieren und Bereiche mit Verbesserungspotenzial zu identifizieren. Wir aktualisieren die BCP und DRP auch nach Bedarf, um Änderungen in unseren Abläufen oder der Bedrohungslandschaft widerzuspiegeln. Das Testen umfasst Tabletop-Übungen, Simulationen und Live-Tests von Verfahren. Wir überprüfen und aktualisieren unsere Pläne auch auf der Grundlage der Testergebnisse und der gewonnenen Erkenntnisse.
13.6. Alternative Verarbeitungsstandorte
Wir unterhalten alternative Online-Verarbeitungsseiten, die verwendet werden können, um den Geschäftsbetrieb im Falle einer Störung oder eines Notfalls fortzusetzen. Die alternativen Verarbeitungsstandorte sind mit den erforderlichen Infrastrukturen und Systemen ausgestattet und können zur Unterstützung kritischer Geschäftsprozesse genutzt werden.
Teil 14. Compliance und Audit
14.1. Einhaltung von Gesetzen und Vorschriften
Das Europäische IT-Zertifizierungsinstitut verpflichtet sich zur Einhaltung aller geltenden Gesetze und Vorschriften in Bezug auf Informationssicherheit und Datenschutz, einschließlich Datenschutzgesetzen, Industriestandards und vertraglichen Verpflichtungen. Wir überprüfen und aktualisieren unsere Richtlinien, Verfahren und Kontrollen regelmäßig, um sicherzustellen, dass alle relevanten Anforderungen und Standards eingehalten werden. Zu den wichtigsten Standards und Rahmenwerken, denen wir im Kontext der Informationssicherheit folgen, gehören:
- Der ISO/IEC 27001-Standard, der Richtlinien für die Implementierung und Verwaltung eines Informationssicherheits-Managementsystems (ISMS) bereitstellt, das Schwachstellenmanagement als Schlüsselkomponente umfasst. Es bietet einen Referenzrahmen für die Implementierung und Wartung unseres Informationssicherheits-Managementsystems (ISMS) einschließlich Schwachstellenmanagement. In Übereinstimmung mit diesen Standardbestimmungen identifizieren, bewerten und verwalten wir Informationssicherheitsrisiken, einschließlich Schwachstellen.
- Das Cybersecurity Framework des US National Institute of Standards and Technology (NIST) bietet Richtlinien zur Identifizierung, Bewertung und Verwaltung von Cybersicherheitsrisiken, einschließlich Schwachstellenmanagement.
- Das Cybersicherheits-Framework des National Institute of Standards and Technology (NIST) zur Verbesserung des Cybersicherheits-Risikomanagements mit einer Reihe von Kernfunktionen, einschließlich Schwachstellenmanagement, an die wir uns halten, um unsere Cybersicherheitsrisiken zu bewältigen.
- Die SANS Critical Security Controls enthalten eine Reihe von 20 Sicherheitskontrollen zur Verbesserung der Cybersicherheit, die eine Reihe von Bereichen abdecken, darunter das Schwachstellenmanagement, und bieten spezifische Anleitungen zum Schwachstellenscannen, Patch-Management und anderen Aspekten des Schwachstellenmanagements.
- Der Payment Card Industry Data Security Standard (PCI DSS), der den Umgang mit Kreditkarteninformationen in Bezug auf das Schwachstellenmanagement in diesem Zusammenhang fordert.
- Das Center for Internet Security Controls (CIS) einschließlich Vulnerability Management als eine der Schlüsselkontrollen zur Gewährleistung sicherer Konfigurationen unserer Informationssysteme.
- Das Open Web Application Security Project (OWASP) mit seiner Top-10-Liste der kritischsten Sicherheitsrisiken für Webanwendungen, einschließlich Schwachstellenbewertung wie Einschleusungsangriffe, fehlerhafte Authentifizierung und Sitzungsverwaltung, Cross-Site-Scripting (XSS) usw. Wir verwenden die OWASP Top 10, um unsere Schwachstellen-Management-Bemühungen zu priorisieren und uns auf die kritischsten Risiken in Bezug auf unsere Websysteme zu konzentrieren.
14.2. Interne Anhörung
Wir führen regelmäßig interne Audits durch, um die Wirksamkeit unseres Informationssicherheits-Managementsystems (ISMS) zu bewerten und sicherzustellen, dass unsere Richtlinien, Verfahren und Kontrollen eingehalten werden. Der interne Auditprozess umfasst die Identifizierung von Nichtkonformitäten, die Entwicklung von Korrekturmaßnahmen und die Verfolgung von Abhilfebemühungen.
14.3. Externe Prüfung
Wir arbeiten regelmäßig mit externen Wirtschaftsprüfern zusammen, um unsere Einhaltung geltender Gesetze, Vorschriften und Industriestandards zu validieren. Wir gewähren Auditoren bei Bedarf Zugang zu unseren Einrichtungen, Systemen und Dokumentationen, um unsere Compliance zu validieren. Wir arbeiten auch mit externen Prüfern zusammen, um alle Feststellungen oder Empfehlungen zu berücksichtigen, die während des Prüfungsprozesses festgestellt wurden.
14.4. Compliance-Überwachung
Wir überwachen laufend unsere Einhaltung geltender Gesetze, Vorschriften und Industriestandards. Wir verwenden eine Vielzahl von Methoden, um die Einhaltung zu überwachen, einschließlich regelmäßiger Bewertungen, Audits und Überprüfungen von Drittanbietern. Wir überprüfen und aktualisieren auch regelmäßig unsere Richtlinien, Verfahren und Kontrollen, um die kontinuierliche Einhaltung aller relevanten Anforderungen sicherzustellen.
Teil 15. Verwaltung durch Drittanbieter
15.1. Richtlinie zur Verwaltung von Drittanbietern
Das European IT Certification Institute verfügt über eine Richtlinie zur Verwaltung von Drittanbietern, die die Anforderungen für die Auswahl, Bewertung und Überwachung von Drittanbietern umreißt, die Zugriff auf unsere Informationsbestände oder Systeme haben. Die Richtlinie gilt für alle Drittanbieter, einschließlich Cloud-Dienstanbieter, Anbieter und Auftragnehmer.
15.2. Auswahl und Bewertung von Drittanbietern
Wir führen Due-Diligence-Prüfungen durch, bevor wir mit Drittanbietern zusammenarbeiten, um sicherzustellen, dass sie über angemessene Sicherheitskontrollen zum Schutz unserer Informationsbestände oder -systeme verfügen. Wir bewerten auch die Einhaltung der geltenden Gesetze und Vorschriften in Bezug auf Informationssicherheit und Datenschutz durch die Drittanbieter.
15.3. Überwachung durch Drittanbieter
Wir überwachen Drittanbieter laufend, um sicherzustellen, dass sie weiterhin unsere Anforderungen an Informationssicherheit und Datenschutz erfüllen. Wir verwenden eine Vielzahl von Methoden zur Überwachung von Drittanbietern, einschließlich regelmäßiger Bewertungen, Audits und Überprüfungen von Berichten über Sicherheitsvorfälle.
15.4. Vertragliche Anforderungen
Wir schließen vertragliche Anforderungen in Bezug auf Informationssicherheit und Datenschutz in alle Verträge mit Drittanbietern ein. Diese Anforderungen umfassen Bestimmungen für Datenschutz, Sicherheitskontrollen, Vorfallmanagement und Compliance-Überwachung. Wir schließen auch Bestimmungen für die Kündigung von Verträgen im Falle eines Sicherheitsvorfalls oder einer Nichteinhaltung ein.
Teil 16. Informationssicherheit in Zertifizierungsprozessen
16.1 Sicherheit von Zertifizierungsprozessen
Wir ergreifen angemessene und systematische Maßnahmen, um die Sicherheit aller Informationen im Zusammenhang mit unseren Zertifizierungsprozessen zu gewährleisten, einschließlich personenbezogener Daten von Personen, die eine Zertifizierung anstreben. Dies umfasst Kontrollen für den Zugriff, die Speicherung und die Übertragung aller zertifizierungsbezogenen Informationen. Durch die Umsetzung dieser Maßnahmen wollen wir sicherstellen, dass die Zertifizierungsprozesse mit dem höchsten Maß an Sicherheit und Integrität durchgeführt werden und dass die personenbezogenen Daten von Personen, die eine Zertifizierung anstreben, in Übereinstimmung mit den einschlägigen Vorschriften und Standards geschützt werden.
16.2. Authentifizierung und Autorisierung
Wir verwenden Authentifizierungs- und Autorisierungskontrollen, um sicherzustellen, dass nur autorisiertes Personal Zugriff auf Zertifizierungsinformationen hat. Zugriffskontrollen werden regelmäßig überprüft und auf der Grundlage von Änderungen in den Rollen und Verantwortlichkeiten des Personals aktualisiert.
16.3. Datenschutz
Wir schützen personenbezogene Daten während des gesamten Zertifizierungsprozesses, indem wir geeignete technische und organisatorische Maßnahmen ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten. Dazu gehören Maßnahmen wie Verschlüsselung, Zugriffskontrollen und regelmäßige Backups.
16.4. Sicherheit von Prüfungsprozessen
Die Sicherheit der Prüfungsprozesse gewährleisten wir durch geeignete Maßnahmen zur Betrugsprävention, Überwachung und Kontrolle der Prüfungsumgebung. Wir wahren auch die Integrität und Vertraulichkeit von Untersuchungsmaterialien durch sichere Aufbewahrungsverfahren.
16.5. Sicherheit der Prüfungsinhalte
Wir gewährleisten die Sicherheit der Prüfungsinhalte, indem wir geeignete Maßnahmen zum Schutz vor unbefugtem Zugriff, Veränderung oder Offenlegung der Inhalte ergreifen. Dies umfasst die Verwendung von sicherer Speicherung, Verschlüsselung und Zugriffskontrollen für Prüfungsinhalte sowie Kontrollen zur Verhinderung einer unbefugten Verteilung oder Verbreitung von Prüfungsinhalten.
16.6. Sicherheit der Prüfungsdurchführung
Wir gewährleisten die Sicherheit der Prüfungsdurchführung, indem wir geeignete Maßnahmen ergreifen, um unbefugten Zugriff auf oder Manipulation der Prüfungsumgebung zu verhindern. Dazu gehören Maßnahmen wie Überwachung, Prüfung und Kontrolle der Prüfungsumgebung und bestimmter Prüfungsansätze, um Betrug oder andere Sicherheitsverletzungen zu verhindern.
16.7. Sicherheit der Prüfungsergebnisse
Wir gewährleisten die Sicherheit der Untersuchungsergebnisse durch geeignete Maßnahmen zum Schutz vor unbefugtem Zugriff, Veränderung oder Weitergabe der Ergebnisse. Dies umfasst die Verwendung sicherer Speicherung, Verschlüsselung und Zugangskontrollen für Prüfungsergebnisse sowie Kontrollen zur Verhinderung einer unbefugten Verteilung oder Verbreitung von Prüfungsergebnissen.
16.8. Sicherheit der Ausstellung von Zertifikaten
Wir gewährleisten die Sicherheit der Zertifikatsausstellung, indem wir geeignete Maßnahmen ergreifen, um Betrug und unbefugte Ausstellung von Zertifikaten zu verhindern. Dazu gehören Kontrollen zur Überprüfung der Identität von Personen, die Zertifikate erhalten, sowie sichere Aufbewahrungs- und Ausstellungsverfahren.
16.9. Beschwerden und Einsprüche
Wir haben Verfahren zur Verwaltung von Beschwerden und Einsprüchen im Zusammenhang mit dem Zertifizierungsprozess eingerichtet. Diese Verfahren umfassen Maßnahmen zur Gewährleistung der Vertraulichkeit und Unparteilichkeit des Verfahrens sowie der Sicherheit von Informationen im Zusammenhang mit Beschwerden und Einsprüchen.
16.10. Zertifizierungsprozesse Qualitätsmanagement
Für die Zertifizierungsprozesse haben wir ein Qualitätsmanagementsystem (QMS) eingerichtet, das Maßnahmen zur Gewährleistung der Wirksamkeit, Effizienz und Sicherheit der Prozesse beinhaltet. Das QMS umfasst regelmäßige Audits und Überprüfungen der Prozesse und ihrer Sicherheitskontrollen.
16.11. Kontinuierliche Verbesserung der Sicherheit von Zertifizierungsprozessen
Wir verpflichten uns zur kontinuierlichen Verbesserung unserer Zertifizierungsprozesse und ihrer Sicherheitskontrollen. Dazu gehören regelmäßige Überprüfungen und Aktualisierungen der zertifizierungsbezogenen Sicherheitsrichtlinien und -verfahren auf der Grundlage von Änderungen im Geschäftsumfeld, behördlichen Anforderungen und Best Practices im Informationssicherheitsmanagement in Übereinstimmung mit dem ISO 27001-Standard für Informationssicherheitsmanagement sowie mit der ISO 17024 Betriebsstandard für Zertifizierungsstellen.
Teil 17. Schlussbestimmungen
17.1. Richtlinienüberprüfung und -aktualisierung
Diese Informationssicherheitsrichtlinie ist ein lebendiges Dokument, das ständigen Überprüfungen und Aktualisierungen unterzogen wird, basierend auf Änderungen unserer betrieblichen Anforderungen, regulatorischen Anforderungen oder Best Practices im Informationssicherheitsmanagement.
17.2. Compliance-Überwachung
Wir haben Verfahren zur Überwachung der Einhaltung dieser Informationssicherheitsrichtlinie und der damit verbundenen Sicherheitskontrollen eingerichtet. Die Compliance-Überwachung umfasst regelmäßige Audits, Bewertungen und Überprüfungen von Sicherheitskontrollen und deren Wirksamkeit bei der Erreichung der Ziele dieser Richtlinie.
17.3. Melden von Sicherheitsvorfällen
Wir haben Verfahren zur Meldung von Sicherheitsvorfällen im Zusammenhang mit unseren Informationssystemen eingerichtet, einschließlich solcher, die sich auf personenbezogene Daten von Einzelpersonen beziehen. Mitarbeiter, Auftragnehmer und andere Interessengruppen werden ermutigt, Sicherheitsvorfälle oder mutmaßliche Vorfälle so schnell wie möglich dem zuständigen Sicherheitsteam zu melden.
17.4. Training und Bewusstsein
Wir bieten regelmäßige Schulungs- und Sensibilisierungsprogramme für Mitarbeiter, Auftragnehmer und andere Interessengruppen an, um sicherzustellen, dass sie sich ihrer Verantwortlichkeiten und Pflichten in Bezug auf die Informationssicherheit bewusst sind. Dazu gehören Schulungen zu Sicherheitsrichtlinien und -verfahren sowie Maßnahmen zum Schutz personenbezogener Daten von Einzelpersonen.
17.5. Verantwortung und Rechenschaftspflicht
Wir machen alle Mitarbeiter, Auftragnehmer und andere Interessengruppen für die Einhaltung dieser Informationssicherheitsrichtlinie und der damit verbundenen Sicherheitskontrollen verantwortlich und rechenschaftspflichtig. Wir halten das Management auch dafür verantwortlich, sicherzustellen, dass angemessene Ressourcen für die Implementierung und Aufrechterhaltung effektiver Informationssicherheitskontrollen bereitgestellt werden.
Diese Informationssicherheitsrichtlinie ist eine entscheidende Komponente des Informationssicherheits-Managementrahmens des Euroepan IT Certification Institute und demonstriert unser Engagement für den Schutz von Informationsbeständen und verarbeiteten Daten, die Gewährleistung der Vertraulichkeit, Privatsphäre, Integrität und Verfügbarkeit von Informationen sowie die Einhaltung gesetzlicher und vertraglicher Anforderungen.