Politica sulla sicurezza delle informazioni
Politica sulla sicurezza delle informazioni dell'EITCA Academy
Questo documento specifica la politica di sicurezza delle informazioni (ISP) dell'Istituto europeo di certificazione IT, che viene regolarmente rivista e aggiornata per garantirne l'efficacia e la pertinenza. L'ultimo aggiornamento della Politica sulla sicurezza delle informazioni dell'EITCI è stato effettuato il 7 gennaio 2023.
Parte 1. Introduzione e dichiarazione sulla politica di sicurezza delle informazioni
1.1. introduzione
L'Istituto europeo di certificazione IT riconosce l'importanza della sicurezza delle informazioni nel mantenere la riservatezza, l'integrità e la disponibilità delle informazioni e la fiducia dei nostri stakeholder. Ci impegniamo a proteggere le informazioni sensibili, compresi i dati personali, da accesso non autorizzato, divulgazione, alterazione e distruzione. Manteniamo un'efficace politica di sicurezza delle informazioni per supportare la nostra missione di fornire servizi di certificazione affidabili e imparziali ai nostri clienti. La politica sulla sicurezza delle informazioni delinea il nostro impegno a proteggere le risorse informative e a soddisfare i nostri obblighi legali, normativi e contrattuali. La nostra politica si basa sui principi di ISO 27001 e ISO 17024, i principali standard internazionali per la gestione della sicurezza delle informazioni e gli standard operativi degli organismi di certificazione.
1.2. Dichiarazione politica
L'Istituto Europeo di Certificazione IT si impegna a:
- Proteggere la riservatezza, l'integrità e la disponibilità delle risorse informative,
- Rispettare gli obblighi legali, normativi e contrattuali relativi alla sicurezza delle informazioni e al trattamento dei dati implementando i processi e le operazioni di certificazione,
- Migliorare continuamente la propria politica di sicurezza delle informazioni e il relativo sistema di gestione,
- Fornire formazione e sensibilizzazione adeguate a dipendenti, appaltatori e partecipanti,
- Coinvolgere tutti i dipendenti e gli appaltatori nell'implementazione e nel mantenimento della politica di sicurezza delle informazioni e del relativo sistema di gestione della sicurezza delle informazioni.
1.3. Scopo
Questa politica si applica a tutte le risorse informative possedute, controllate o elaborate dall'Istituto europeo di certificazione IT. Ciò include tutte le risorse informative digitali e fisiche, come sistemi, reti, software, dati e documentazione. Questa politica si applica anche a tutti i dipendenti, appaltatori e fornitori di servizi di terze parti che accedono alle nostre risorse informative.
1.4. Conformità
L'Istituto europeo di certificazione IT si impegna a rispettare gli standard di sicurezza delle informazioni pertinenti, tra cui ISO 27001 e ISO 17024. Rivediamo e aggiorniamo regolarmente questa politica per garantirne la continua pertinenza e la conformità a tali standard.
Parte 2. Sicurezza organizzativa
2.1. Obiettivi di sicurezza dell'organizzazione
Implementando misure di sicurezza organizzative, miriamo a garantire che le nostre risorse informative e le pratiche e le procedure di elaborazione dei dati siano condotte con il massimo livello di sicurezza e integrità e che rispettiamo le normative e gli standard legali pertinenti.
2.2. Ruoli e responsabilità della sicurezza delle informazioni
L'Istituto europeo di certificazione IT definisce e comunica ruoli e responsabilità per la sicurezza delle informazioni in tutta l'organizzazione. Ciò include l'assegnazione di una chiara proprietà per le risorse informative in relazione alla sicurezza delle informazioni, l'istituzione di una struttura di governance e la definizione di responsabilità specifiche per vari ruoli e dipartimenti all'interno dell'organizzazione.
2.3. Gestione del rischio
Conduciamo regolari valutazioni del rischio per identificare e dare priorità ai rischi per la sicurezza delle informazioni per l'organizzazione, compresi i rischi relativi al trattamento dei dati personali. Stabiliamo controlli appropriati per mitigare questi rischi e riesaminiamo e aggiorniamo regolarmente il nostro approccio di gestione del rischio in base ai cambiamenti nell'ambiente aziendale e nel panorama delle minacce.
2.4. Politiche e procedure per la sicurezza delle informazioni
Stabiliamo e manteniamo una serie di politiche e procedure di sicurezza delle informazioni basate sulle migliori pratiche del settore e conformi alle normative e agli standard pertinenti. Queste politiche e procedure coprono tutti gli aspetti della sicurezza delle informazioni, compreso il trattamento dei dati personali, e vengono regolarmente riviste e aggiornate per garantirne l'efficacia.
2.5. Consapevolezza e formazione sulla sicurezza
Forniamo regolari programmi di sensibilizzazione e formazione sulla sicurezza a tutti i dipendenti, appaltatori e partner di terze parti che hanno accesso ai dati personali o ad altre informazioni sensibili. Questa formazione copre argomenti come phishing, ingegneria sociale, igiene delle password e altre best practice per la sicurezza delle informazioni.
2.6. Sicurezza fisica e ambientale
Implementiamo adeguati controlli di sicurezza fisica e ambientale per proteggere da accessi non autorizzati, danni o interferenze alle nostre strutture e ai nostri sistemi informativi. Ciò include misure come controlli di accesso, sorveglianza, monitoraggio e sistemi di alimentazione e raffreddamento di backup.
2.7. Gestione degli incidenti di sicurezza delle informazioni
Abbiamo stabilito un processo di gestione degli incidenti che ci consente di rispondere in modo rapido ed efficace a qualsiasi incidente di sicurezza delle informazioni che potrebbe verificarsi. Ciò include procedure per la segnalazione, l'escalation, l'indagine e la risoluzione degli incidenti, nonché misure per prevenire il ripetersi e migliorare le nostre capacità di risposta agli incidenti.
2.8. Continuità operativa e Disaster Recovery
Abbiamo stabilito e testato piani di continuità operativa e ripristino di emergenza che ci consentono di mantenere le nostre funzioni e servizi operativi critici in caso di interruzione o disastro. Questi piani includono procedure per il backup e il ripristino di dati e sistemi e misure per garantire la disponibilità e l'integrità dei dati personali.
2.9. Gestione di terze parti
Stabiliamo e manteniamo controlli adeguati per la gestione dei rischi associati a partner di terze parti che hanno accesso a dati personali o altre informazioni sensibili. Ciò include misure come la due diligence, gli obblighi contrattuali, il monitoraggio e gli audit, nonché le misure per la cessazione delle partnership quando necessario.
Parte 3. Sicurezza delle risorse umane
3.1. Selezione dell'occupazione
L'Istituto europeo di certificazione informatica ha istituito un processo di screening dell'occupazione per garantire che le persone con accesso a informazioni sensibili siano affidabili e dispongano delle competenze e delle qualifiche necessarie.
3.2. Controllo degli accessi
Abbiamo stabilito politiche e procedure di controllo degli accessi per garantire che i dipendenti abbiano accesso solo alle informazioni necessarie per le loro responsabilità lavorative. I diritti di accesso vengono rivisti e aggiornati regolarmente per garantire che i dipendenti abbiano accesso solo alle informazioni di cui hanno bisogno.
3.3. Sensibilizzazione e formazione sulla sicurezza delle informazioni
Forniamo regolarmente formazione sulla sicurezza delle informazioni a tutti i dipendenti. Questa formazione copre argomenti come la sicurezza delle password, gli attacchi di phishing, l'ingegneria sociale e altri aspetti della sicurezza informatica.
3.4. Uso accettabile
Abbiamo stabilito una politica di utilizzo accettabile che delinea l'uso accettabile dei sistemi e delle risorse informatiche, inclusi i dispositivi personali utilizzati per scopi di lavoro.
3.5. Sicurezza dei dispositivi mobili
Abbiamo stabilito politiche e procedure per l'uso sicuro dei dispositivi mobili, incluso l'uso di passcode, crittografia e funzionalità di cancellazione remota.
3.6. Procedure di risoluzione
L'Istituto Europeo di Certificazione IT ha stabilito procedure per la risoluzione del rapporto di lavoro o del contratto per garantire che l'accesso alle informazioni sensibili sia revocato in modo tempestivo e sicuro.
3.7. Personale di terze parti
Abbiamo stabilito procedure per la gestione del personale di terze parti che ha accesso a informazioni sensibili. Queste politiche comportano lo screening, il controllo degli accessi e la formazione sulla consapevolezza della sicurezza delle informazioni.
3.8. Segnalazione di incidenti
Abbiamo stabilito politiche e procedure per la segnalazione di incidenti o problemi relativi alla sicurezza delle informazioni al personale o alle autorità competenti.
3.9. Accordi di riservatezza
L'Istituto europeo di certificazione IT richiede a dipendenti e appaltatori di firmare accordi di riservatezza per proteggere le informazioni sensibili dalla divulgazione non autorizzata.
3.10. Azioni disciplinari
L'Istituto europeo di certificazione IT ha stabilito politiche e procedure per azioni disciplinari in caso di violazioni delle politiche di sicurezza delle informazioni da parte di dipendenti o appaltatori.
Parte 4. Valutazione e gestione del rischio
4.1. Valutazione del rischio
Conduciamo valutazioni periodiche del rischio per identificare potenziali minacce e vulnerabilità alle nostre risorse informative. Utilizziamo un approccio strutturato per identificare, analizzare, valutare e dare priorità ai rischi in base alla loro probabilità e potenziale impatto. Valutiamo i rischi associati alle nostre risorse informative, inclusi sistemi, reti, software, dati e documentazione.
4.2. Trattamento del rischio
Utilizziamo un processo di trattamento del rischio per mitigare o ridurre i rischi a un livello accettabile. Il processo di trattamento del rischio include la selezione dei controlli appropriati, l'implementazione dei controlli e il monitoraggio dell'efficacia dei controlli. Diamo la priorità all'implementazione dei controlli in base al livello di rischio, alle risorse disponibili e alle priorità aziendali.
4.3. Monitoraggio e revisione del rischio
Monitoriamo e rivediamo regolarmente l'efficacia del nostro processo di gestione del rischio per garantire che rimanga pertinente ed efficace. Utilizziamo metriche e indicatori per misurare le prestazioni del nostro processo di gestione del rischio e identificare opportunità di miglioramento. Esaminiamo inoltre il nostro processo di gestione del rischio nell'ambito delle nostre revisioni periodiche della direzione per assicurarne l'idoneità, l'adeguatezza e l'efficacia continue.
4.4. Pianificazione della risposta al rischio
Disponiamo di un piano di risposta al rischio per assicurarci di poter rispondere in modo efficace a qualsiasi rischio identificato. Tale piano include procedure per l'identificazione e la segnalazione dei rischi, nonché processi per valutare l'impatto potenziale di ciascun rischio e determinare le azioni di risposta appropriate. Disponiamo inoltre di piani di emergenza per garantire la continuità aziendale in caso di un evento di rischio significativo.
4.5. Analisi dell'impatto operativo
Conduciamo analisi periodiche dell'impatto aziendale per identificare il potenziale impatto delle interruzioni delle nostre operazioni aziendali. Questa analisi include una valutazione della criticità delle nostre funzioni, sistemi e dati aziendali, nonché una valutazione del potenziale impatto delle interruzioni sui nostri clienti, dipendenti e altre parti interessate.
4.6. Gestione del rischio di terze parti
Disponiamo di un programma di gestione del rischio di terze parti per garantire che anche i nostri fornitori e altri fornitori di servizi di terze parti gestiscano i rischi in modo appropriato. Questo programma include controlli di due diligence prima di impegnarsi con terze parti, monitoraggio continuo delle attività di terze parti e valutazioni periodiche delle pratiche di gestione del rischio di terze parti.
4.7. Risposta e gestione degli incidenti
Disponiamo di un piano di gestione e risposta agli incidenti per garantire di poter rispondere in modo efficace a qualsiasi incidente di sicurezza. Questo piano include procedure per l'identificazione e la segnalazione degli incidenti, nonché processi per valutare l'impatto di ciascun incidente e determinare le azioni di risposta appropriate. Disponiamo inoltre di un piano di continuità aziendale per garantire che le funzioni aziendali critiche possano continuare in caso di incidente significativo.
Parte 5. Sicurezza fisica e ambientale
5.1. Perimetro di sicurezza fisica
Abbiamo stabilito misure di sicurezza fisica per proteggere i locali fisici e le informazioni sensibili da accessi non autorizzati.
5.2. Controllo degli accessi
Abbiamo stabilito politiche e procedure di controllo degli accessi per i locali fisici per garantire che solo il personale autorizzato abbia accesso alle informazioni sensibili.
5.3. Sicurezza dell'attrezzatura
Garantiamo che tutte le apparecchiature contenenti informazioni sensibili siano protette fisicamente e che l'accesso a queste apparecchiature sia limitato solo al personale autorizzato.
5.4. Smaltimento sicuro
Abbiamo stabilito procedure per lo smaltimento sicuro di informazioni sensibili, inclusi documenti cartacei, supporti elettronici e hardware.
5.5. Ambiente fisico
Garantiamo che l'ambiente fisico dei locali, compresa la temperatura, l'umidità e l'illuminazione, sia appropriato per la protezione delle informazioni sensibili.
5.6. Alimentatore
Garantiamo che l'alimentazione elettrica dei locali sia affidabile e protetta da interruzioni di corrente o sovratensioni.
5.7. Protezione antincendio
Abbiamo stabilito politiche e procedure di protezione antincendio, inclusa l'installazione e la manutenzione di sistemi di rilevamento e soppressione degli incendi.
5.8. Protezione dai danni causati dall'acqua
Abbiamo stabilito politiche e procedure per proteggere le informazioni sensibili dai danni provocati dall'acqua, inclusa l'installazione e la manutenzione di sistemi di rilevamento e prevenzione delle inondazioni.
5.9. Manutenzione dell'equipaggiamento
Abbiamo stabilito procedure per la manutenzione delle apparecchiature, inclusa l'ispezione delle apparecchiature per eventuali segni di manomissione o accesso non autorizzato.
5.10. Uso accettabile
Abbiamo stabilito una politica di utilizzo accettabile che delinea l'uso accettabile delle risorse fisiche e delle strutture.
5.11. Accesso remoto
Abbiamo stabilito politiche e procedure per l'accesso remoto a informazioni sensibili, incluso l'uso di connessioni sicure e crittografia.
5.12. Monitoraggio e sorveglianza
Abbiamo stabilito politiche e procedure per il monitoraggio e la sorveglianza dei locali fisici e delle apparecchiature per rilevare e prevenire accessi non autorizzati o manomissioni.
Parte. 6. Sicurezza delle comunicazioni e delle operazioni
6.1. Gestione della sicurezza della rete
Abbiamo stabilito politiche e procedure per la gestione della sicurezza della rete, incluso l'uso di firewall, sistemi di rilevamento e prevenzione delle intrusioni e regolari controlli di sicurezza.
6.2. Trasferimento di informazioni
Abbiamo stabilito politiche e procedure per il trasferimento sicuro di informazioni sensibili, compreso l'uso della crittografia e dei protocolli di trasferimento sicuro dei file.
6.3. Comunicazioni di terze parti
Abbiamo stabilito politiche e procedure per lo scambio sicuro di informazioni sensibili con organizzazioni di terze parti, incluso l'uso di connessioni sicure e crittografia.
6.4. Gestione dei supporti
Abbiamo stabilito procedure per la gestione delle informazioni sensibili in varie forme di supporto, inclusi documenti cartacei, supporti elettronici e dispositivi di archiviazione portatili.
6.5. Sviluppo e manutenzione dei sistemi informativi
Abbiamo stabilito politiche e procedure per lo sviluppo e la manutenzione dei sistemi informativi, incluso l'uso di pratiche di codifica sicure, aggiornamenti regolari del software e gestione delle patch.
6.6. Protezione da malware e virus
Abbiamo stabilito politiche e procedure per proteggere i sistemi informativi da malware e virus, incluso l'uso di software antivirus e regolari aggiornamenti di sicurezza.
6.7. Backup e ripristino
Abbiamo stabilito politiche e procedure per il backup e il ripristino di informazioni sensibili per prevenire la perdita o il danneggiamento dei dati.
6.8. Gestione degli eventi
Abbiamo stabilito politiche e procedure per l'identificazione, l'indagine e la risoluzione di incidenti ed eventi di sicurezza.
6.9. Gestione delle vulnerabilità
Abbiamo stabilito politiche e procedure per la gestione delle vulnerabilità dei sistemi informativi, compreso l'uso di regolari valutazioni delle vulnerabilità e gestione delle patch.
6.10. Controllo degli accessi
Abbiamo stabilito politiche e procedure per la gestione dell'accesso degli utenti ai sistemi informativi, compreso l'uso di controlli di accesso, autenticazione degli utenti e revisioni periodiche degli accessi.
6.11. Monitoraggio e registrazione
Abbiamo stabilito politiche e procedure per il monitoraggio e la registrazione delle attività del sistema informatico, incluso l'uso di audit trail e la registrazione degli incidenti di sicurezza.
Parte 7. Acquisizione, sviluppo e manutenzione di sistemi informativi
7.1. Requisiti
Abbiamo stabilito politiche e procedure per l'identificazione dei requisiti del sistema informativo, inclusi requisiti aziendali, requisiti legali e normativi e requisiti di sicurezza.
7.2. Rapporti con i fornitori
Abbiamo stabilito politiche e procedure per la gestione dei rapporti con i fornitori terzi di sistemi informativi e servizi, inclusa la valutazione delle pratiche di sicurezza dei fornitori.
7.3. Sistema di sviluppo
Abbiamo stabilito politiche e procedure per lo sviluppo sicuro dei sistemi informativi, incluso l'uso di pratiche di codifica sicure, test regolari e garanzia di qualità.
7.4. Test di sistema
Abbiamo stabilito politiche e procedure per il test dei sistemi informativi, inclusi test di funzionalità, test delle prestazioni e test di sicurezza.
7.5. Accettazione del sistema
Abbiamo stabilito politiche e procedure per l'accettazione dei sistemi informativi, inclusa l'approvazione dei risultati dei test, le valutazioni della sicurezza e i test di accettazione degli utenti.
7.6. Manutenzione del sistema
Abbiamo stabilito politiche e procedure per la manutenzione dei sistemi informativi, inclusi aggiornamenti regolari, patch di sicurezza e backup di sistema.
7.7. Pensionamento del sistema
Abbiamo stabilito politiche e procedure per il ritiro dei sistemi informativi, incluso lo smaltimento sicuro di hardware e dati.
7.8. Conservazione dei dati
Abbiamo stabilito politiche e procedure per la conservazione dei dati in conformità con i requisiti legali e normativi, tra cui l'archiviazione sicura e lo smaltimento dei dati sensibili.
7.9. Requisiti di sicurezza per i sistemi informativi
Abbiamo stabilito politiche e procedure per l'identificazione e l'implementazione dei requisiti di sicurezza per i sistemi informativi, compresi i controlli di accesso, la crittografia e la protezione dei dati.
7.10. Ambienti di sviluppo sicuri
Abbiamo stabilito politiche e procedure per gli ambienti di sviluppo sicuri per i sistemi informativi, incluso l'uso di pratiche di sviluppo sicure, controlli di accesso e configurazioni di rete sicure.
7.11. Protezione degli ambienti di test
Abbiamo stabilito politiche e procedure per la protezione degli ambienti di test per i sistemi informativi, incluso l'uso di configurazioni sicure, controlli di accesso e test di sicurezza regolari.
7.12. Principi di ingegneria del sistema sicuro
Abbiamo stabilito politiche e procedure per l'implementazione di principi di ingegneria dei sistemi sicuri per i sistemi informativi, compreso l'uso di architetture di sicurezza, modellazione delle minacce e pratiche di codifica sicura.
7.13. Linee guida per la codifica sicura
Abbiamo stabilito politiche e procedure per l'implementazione di linee guida di codifica sicura per i sistemi informativi, incluso l'uso di standard di codifica, revisioni del codice e test automatizzati.
Parte 8. Acquisizione hardware
8.1. Adesione agli standard
Aderiamo allo standard ISO 27001 per il sistema di gestione della sicurezza delle informazioni (ISMS) per garantire che le risorse hardware vengano acquistate in conformità con i nostri requisiti di sicurezza.
8.2. Valutazione del rischio
Conduciamo una valutazione del rischio prima di procurarci risorse hardware per identificare potenziali rischi per la sicurezza e garantire che l'hardware selezionato soddisfi i requisiti di sicurezza.
8.3. Selezione fornitori
Acquistiamo risorse hardware solo da fornitori affidabili che hanno una comprovata esperienza nella fornitura di prodotti sicuri. Esaminiamo le politiche e le pratiche di sicurezza del fornitore e richiediamo loro di garantire che i loro prodotti soddisfino i nostri requisiti di sicurezza.
8.4. Trasporto sicuro
Garantiamo che le risorse hardware vengano trasportate in modo sicuro presso la nostra sede per evitare manomissioni, danni o furti durante il trasporto.
8.5. Verifica dell'autenticità
Verifichiamo l'autenticità delle risorse hardware al momento della consegna per assicurarci che non siano contraffatte o manomesse.
8.6. Controlli fisici e ambientali
Implementiamo controlli fisici e ambientali appropriati per proteggere le risorse hardware da accessi non autorizzati, furti o danni.
8.7. Installazione dell'hardware
Garantiamo che tutte le risorse hardware siano configurate e installate in conformità con gli standard e le linee guida di sicurezza stabiliti.
8.8. Recensioni sull'hardware
Conduciamo revisioni periodiche delle risorse hardware per garantire che continuino a soddisfare i nostri requisiti di sicurezza e siano aggiornate con le patch e gli aggiornamenti di sicurezza più recenti.
8.9. Smaltimento hardware
Disponiamo le risorse hardware in modo sicuro per impedire l'accesso non autorizzato a informazioni sensibili.
Parte 9. Protezione da malware e virus
9.1. Politica di aggiornamento del software
Manteniamo un software di protezione antivirus e antimalware aggiornato su tutti i sistemi informatici utilizzati dall'Istituto europeo di certificazione IT, inclusi server, workstation, laptop e dispositivi mobili. Garantiamo che il software di protezione antivirus e antimalware sia configurato per aggiornare automaticamente i file di definizione dei virus e le versioni del software su base regolare e che questo processo venga testato regolarmente.
9.2. Scansione antivirus e antimalware
Eseguiamo scansioni regolari di tutti i sistemi informativi, inclusi server, workstation, laptop e dispositivi mobili, per rilevare e rimuovere eventuali virus o malware.
9.3. Politica di non disabilitazione e non modifica
Applichiamo politiche che vietano agli utenti di disabilitare o alterare il software di protezione da virus e malware su qualsiasi sistema informatico.
9.4. Monitoraggio
Monitoriamo gli avvisi e i registri del nostro software di protezione antivirus e da malware per identificare eventuali incidenti di infezioni da virus o malware e rispondere a tali incidenti in modo tempestivo.
9.5. Conservazione dei registri
Conserviamo registrazioni della configurazione, degli aggiornamenti e delle scansioni del software di protezione da virus e malware, nonché eventuali incidenti di infezioni da virus o malware, a scopo di controllo.
9.6. Recensioni software
Conduciamo revisioni periodiche del nostro software antivirus e di protezione da malware per assicurarci che soddisfi gli attuali standard del settore e sia adeguato alle nostre esigenze.
9.7. Formazione e consapevolezza
Forniamo programmi di formazione e sensibilizzazione per istruire tutti i dipendenti sull'importanza della protezione da virus e malware e su come riconoscere e segnalare eventuali attività o incidenti sospetti.
Parte 10. Gestione delle risorse informative
10.1. Inventario delle risorse informative
L'Istituto europeo di certificazione IT mantiene un inventario delle risorse informative che include tutte le risorse informative digitali e fisiche, come sistemi, reti, software, dati e documentazione. Classifichiamo le risorse informative in base alla loro criticità e sensibilità per garantire che vengano implementate misure di protezione adeguate.
10.2. Gestione delle risorse informative
Implementiamo misure appropriate per proteggere le risorse informative in base alla loro classificazione, tra cui riservatezza, integrità e disponibilità. Garantiamo che tutte le risorse informative siano gestite in conformità con le leggi, i regolamenti e i requisiti contrattuali applicabili. Garantiamo inoltre che tutte le risorse informative siano adeguatamente archiviate, protette e smaltite quando non sono più necessarie.
10.3. Proprietà delle risorse informative
Assegniamo la proprietà delle risorse informative a individui o dipartimenti responsabili della gestione e della protezione delle risorse informative. Garantiamo inoltre che i proprietari delle risorse informative comprendano le proprie responsabilità e responsabilità per la protezione delle risorse informative.
10.4. Protezione del patrimonio informativo
Utilizziamo una varietà di misure di protezione per salvaguardare le risorse informative, inclusi controlli fisici, controlli di accesso, crittografia e processi di backup e ripristino. Garantiamo inoltre che tutte le risorse informative siano protette da accesso, modifica o distruzione non autorizzati.
Parte 11. Controllo degli accessi
11.1. Politica di controllo degli accessi
L'Istituto europeo di certificazione IT dispone di una politica di controllo degli accessi che delinea i requisiti per concedere, modificare e revocare l'accesso alle risorse informative. Il controllo degli accessi è un componente fondamentale del nostro sistema di gestione della sicurezza delle informazioni e lo implementiamo per garantire che solo le persone autorizzate abbiano accesso alle nostre risorse informative.
11.2. Implementazione del controllo degli accessi
Implementiamo misure di controllo degli accessi basate sul principio del privilegio minimo, il che significa che le persone hanno accesso solo alle risorse informative necessarie per svolgere le loro funzioni lavorative. Utilizziamo una varietà di misure di controllo degli accessi, tra cui autenticazione, autorizzazione e contabilità (AAA). Utilizziamo anche elenchi di controllo degli accessi (ACL) e autorizzazioni per controllare l'accesso alle risorse informative.
11.3. Criterio password
L'Istituto europeo di certificazione IT dispone di una Politica sulle password che delinea i requisiti per la creazione e la gestione delle password. Richiediamo password complesse di almeno 8 caratteri, con una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Richiediamo inoltre modifiche periodiche della password e vietiamo il riutilizzo di password precedenti.
11.4. Gestione utenti
Abbiamo un processo di gestione degli utenti che include la creazione, la modifica e l'eliminazione degli account utente. Gli account utente vengono creati in base al principio del privilegio minimo e l'accesso è concesso solo alle risorse informative necessarie per svolgere le funzioni lavorative dell'individuo. Inoltre, esaminiamo regolarmente gli account utente e rimuoviamo gli account che non sono più necessari.
Parte 12. Gestione degli incidenti di sicurezza delle informazioni
12.1. Politica di gestione degli incidenti
L'Istituto europeo di certificazione IT ha una politica di gestione degli incidenti che delinea i requisiti per rilevare, segnalare, valutare e rispondere agli incidenti di sicurezza. Definiamo incidenti di sicurezza qualsiasi evento che comprometta la riservatezza, l'integrità o la disponibilità di risorse o sistemi informativi.
12.2. Rilevamento e segnalazione degli incidenti
Implementiamo misure per rilevare e segnalare tempestivamente gli incidenti di sicurezza. Utilizziamo una varietà di metodi per rilevare incidenti di sicurezza, inclusi sistemi di rilevamento delle intrusioni (IDS), software antivirus e segnalazione degli utenti. Ci assicuriamo inoltre che tutti i dipendenti siano a conoscenza delle procedure per la segnalazione degli incidenti di sicurezza e incoraggiamo la segnalazione di tutti gli incidenti sospetti.
12.3. Valutazione e risposta agli incidenti
Disponiamo di un processo per la valutazione e la risposta agli incidenti di sicurezza in base alla loro gravità e al loro impatto. Assegniamo la priorità agli incidenti in base al loro potenziale impatto sulle risorse o sui sistemi informativi e assegniamo le risorse appropriate per rispondere ad essi. Disponiamo inoltre di un piano di risposta che include procedure per l'identificazione, il contenimento, l'analisi, l'eliminazione e il ripristino dagli incidenti di sicurezza, nonché la notifica alle parti interessate e lo svolgimento di revisioni post-incidente Le nostre procedure di risposta agli incidenti sono progettate per garantire una risposta rapida ed efficace agli incidenti di sicurezza. Le procedure sono regolarmente riviste e aggiornate per garantirne l'efficacia e la pertinenza.
12.4. Team di risposta agli incidenti
Abbiamo un Incident Response Team (IRT) che è responsabile della risposta agli incidenti di sicurezza. L'IRT è composto da rappresentanti di varie unità ed è guidato dall'Information Security Officer (ISO). L'IRT è responsabile della valutazione della gravità degli incidenti, del contenimento dell'incidente e dell'avvio delle procedure di risposta appropriate.
12.5. Segnalazione e revisione degli incidenti
Abbiamo stabilito procedure per la segnalazione di incidenti di sicurezza alle parti interessate, inclusi clienti, autorità di regolamentazione e forze dell'ordine, come richiesto dalle leggi e dai regolamenti applicabili. Manteniamo inoltre la comunicazione con le parti interessate durante tutto il processo di risposta agli incidenti, fornendo aggiornamenti tempestivi sullo stato dell'incidente e su eventuali azioni intraprese per mitigarne l'impatto. Conduciamo anche una revisione di tutti gli incidenti di sicurezza per identificare la causa principale e impedire che incidenti simili si verifichino in futuro.
Parte 13. Gestione della continuità operativa e ripristino di emergenza
13.1. Pianificazione della continuità operativa
Sebbene l'Istituto europeo di certificazione IT sia un'organizzazione senza scopo di lucro, dispone di un piano di continuità operativa (BCP) che delinea le procedure per garantire la continuità delle sue operazioni in caso di incidente dirompente. Il BCP copre tutti i processi operativi critici e identifica le risorse necessarie per mantenere le operazioni durante e dopo un incidente dirompente. Descrive inoltre le procedure per il mantenimento delle operazioni aziendali durante un'interruzione o un disastro, valutando l'impatto delle interruzioni, identificando i processi operativi più critici nel contesto di un particolare incidente dirompente e sviluppando procedure di risposta e ripristino.
13.2. Pianificazione del ripristino di emergenza
L'Istituto Europeo di Certificazione IT dispone di un Disaster Recovery Plan (DRP) che delinea le procedure per ripristinare i nostri sistemi informativi in caso di interruzione o disastro. Il DRP include procedure per il backup dei dati, il ripristino dei dati e il ripristino del sistema. Il DRP viene regolarmente testato e aggiornato per garantirne l'efficacia.
13.3. Analisi dell'impatto aziendale
Conduciamo una Business Impact Analysis (BIA) per identificare i processi operativi critici e le risorse necessarie per mantenerli. La BIA ci aiuta a stabilire le priorità dei nostri sforzi di recupero e ad allocare le risorse di conseguenza.
13.4. Strategia di continuità operativa
Sulla base dei risultati della BIA, sviluppiamo una strategia di continuità operativa che delinea le procedure per rispondere a un incidente dirompente. La strategia include procedure per l'attivazione del BCP, il ripristino dei processi operativi critici e la comunicazione con le parti interessate.
13.5. Collaudo e manutenzione
Testiamo e manteniamo regolarmente i nostri BCP e DRP per assicurarne l'efficacia e la pertinenza. Conduciamo test regolari per convalidare il BCP/DRP e identificare le aree di miglioramento. Aggiorniamo anche il BCP e il DRP secondo necessità per riflettere i cambiamenti nelle nostre operazioni o nel panorama delle minacce. I test includono esercizi da tavolo, simulazioni e test dal vivo delle procedure. Rivediamo e aggiorniamo anche i nostri piani sulla base dei risultati dei test e delle lezioni apprese.
13.6. Siti di trattamento alternativi
Gestiamo siti di elaborazione online alternativi che possono essere utilizzati per continuare le operazioni aziendali in caso di interruzione o disastro. I siti di elaborazione alternativi sono dotati delle infrastrutture e dei sistemi necessari e possono essere utilizzati per supportare i processi aziendali critici.
Parte 14. Conformità e audit
14.1. Conformità a leggi e regolamenti
L'Istituto europeo di certificazione IT si impegna a rispettare tutte le leggi e i regolamenti applicabili relativi alla sicurezza delle informazioni e alla privacy, comprese le leggi sulla protezione dei dati, gli standard di settore e gli obblighi contrattuali. Rivediamo e aggiorniamo regolarmente le nostre politiche, procedure e controlli per garantire la conformità a tutti i requisiti e gli standard pertinenti. I principali standard e framework che seguiamo nel contesto della sicurezza delle informazioni includono:
- Lo standard ISO/IEC 27001 che fornisce le linee guida per l'implementazione e la gestione di un sistema di gestione della sicurezza delle informazioni (ISMS) che include la gestione delle vulnerabilità come componente chiave. Fornisce un quadro di riferimento per l'implementazione e la manutenzione del nostro sistema di gestione della sicurezza delle informazioni (ISMS), inclusa la gestione delle vulnerabilità. In conformità con le disposizioni di questo standard, identifichiamo, valutiamo e gestiamo i rischi per la sicurezza delle informazioni, comprese le vulnerabilità.
- Il Cybersecurity Framework del National Institute of Standards and Technology (NIST) degli Stati Uniti fornisce linee guida per l'identificazione, la valutazione e la gestione dei rischi di sicurezza informatica, inclusa la gestione delle vulnerabilità.
- Il National Institute of Standards and Technology (NIST) Cybersecurity Framework per migliorare la gestione dei rischi di sicurezza informatica, con una serie di funzioni di base tra cui la gestione delle vulnerabilità a cui aderiamo per gestire i nostri rischi di sicurezza informatica.
- I SANS Critical Security Controls contengono una serie di 20 controlli di sicurezza per migliorare la sicurezza informatica, coprendo una vasta gamma di aree, inclusa la gestione delle vulnerabilità, fornendo indicazioni specifiche sulla scansione delle vulnerabilità, la gestione delle patch e altri aspetti della gestione delle vulnerabilità.
- Il Payment Card Industry Data Security Standard (PCI DSS), che richiede la gestione delle informazioni sulle carte di credito in relazione alla gestione delle vulnerabilità in questo contesto.
- Il Center for Internet Security Controls (CIS) include la gestione delle vulnerabilità come uno dei controlli chiave per garantire configurazioni sicure dei nostri sistemi informativi.
- L'Open Web Application Security Project (OWASP), con il suo elenco dei 10 principali rischi per la sicurezza delle applicazioni web più critici, inclusa la valutazione delle vulnerabilità come attacchi di tipo injection, autenticazione non funzionante e gestione delle sessioni, cross-site scripting (XSS), ecc. Usiamo la OWASP Top 10 per dare la priorità ai nostri sforzi di gestione delle vulnerabilità e concentrarci sui rischi più critici in relazione ai nostri sistemi web.
14.2. Audizione interna
Conduciamo audit interni regolari per valutare l'efficacia del nostro sistema di gestione della sicurezza delle informazioni (ISMS) e garantire che le nostre politiche, procedure e controlli vengano seguiti. Il processo di audit interno include l'identificazione delle non conformità, lo sviluppo di azioni correttive e il monitoraggio degli sforzi correttivi.
14.3. Verifica esterna
Ci impegniamo periodicamente con revisori esterni per convalidare la nostra conformità alle leggi, ai regolamenti e agli standard di settore applicabili. Forniamo ai revisori l'accesso alle nostre strutture, sistemi e documentazione come richiesto per convalidare la nostra conformità. Collaboriamo anche con revisori esterni per affrontare eventuali risultati o raccomandazioni identificati durante il processo di audit.
14.4. Monitoraggio della conformità
Monitoriamo la nostra conformità alle leggi, ai regolamenti e agli standard di settore applicabili su base continuativa. Utilizziamo una varietà di metodi per monitorare la conformità, tra cui valutazioni periodiche, audit e revisioni di fornitori di terze parti. Inoltre, rivediamo e aggiorniamo regolarmente le nostre politiche, procedure e controlli per garantire la conformità continua a tutti i requisiti pertinenti.
Parte 15. Gestione di terze parti
15.1. Politica di gestione di terze parti
L'Istituto europeo di certificazione IT dispone di una politica di gestione di terze parti che delinea i requisiti per la selezione, la valutazione e il monitoraggio di fornitori di terze parti che hanno accesso alle nostre risorse o sistemi di informazioni. La politica si applica a tutti i fornitori di terze parti, inclusi fornitori di servizi cloud, fornitori e appaltatori.
15.2. Selezione e valutazione di terze parti
Conduciamo due diligence prima di impegnarci con fornitori di terze parti per garantire che dispongano di controlli di sicurezza adeguati per proteggere le nostre risorse o sistemi di informazioni. Valutiamo inoltre la conformità dei fornitori di terze parti alle leggi e ai regolamenti applicabili relativi alla sicurezza delle informazioni e alla privacy.
15.3. Monitoraggio di terze parti
Monitoriamo i fornitori di terze parti su base continuativa per garantire che continuino a soddisfare i nostri requisiti per la sicurezza delle informazioni e la privacy. Utilizziamo una varietà di metodi per monitorare i fornitori di terze parti, tra cui valutazioni periodiche, audit e revisioni dei rapporti sugli incidenti di sicurezza.
15.4. Requisiti contrattuali
Includiamo i requisiti contrattuali relativi alla sicurezza delle informazioni e alla privacy in tutti i contratti con fornitori di terze parti. Questi requisiti includono disposizioni per la protezione dei dati, i controlli di sicurezza, la gestione degli incidenti e il monitoraggio della conformità. Includiamo anche disposizioni per la risoluzione dei contratti in caso di incidente di sicurezza o non conformità.
Parte 16. Sicurezza delle informazioni nei processi di certificazione
16.1 Sicurezza dei Processi di Certificazione
Adottiamo misure adeguate e sistematiche per garantire la sicurezza di tutte le informazioni relative ai nostri processi di certificazione, inclusi i dati personali delle persone che richiedono la certificazione. Ciò include i controlli per l'accesso, l'archiviazione e la trasmissione di tutte le informazioni relative alla certificazione. Implementando queste misure, miriamo a garantire che i processi di certificazione siano condotti con il massimo livello di sicurezza e integrità e che i dati personali delle persone che richiedono la certificazione siano protetti in conformità con le normative e gli standard pertinenti.
16.2. Autenticazione e Autorizzazione
Utilizziamo controlli di autenticazione e autorizzazione per garantire che solo il personale autorizzato abbia accesso alle informazioni di certificazione. I controlli degli accessi vengono regolarmente rivisti e aggiornati in base ai cambiamenti nei ruoli e nelle responsabilità del personale.
16.3. Protezione dati
Proteggiamo i dati personali durante tutto il processo di certificazione implementando adeguate misure tecniche e organizzative per garantire la riservatezza, l'integrità e la disponibilità dei dati. Ciò include misure come crittografia, controlli di accesso e backup regolari.
16.4. Sicurezza dei processi di esame
Garantiamo la sicurezza dei processi d'esame implementando misure appropriate per prevenire imbrogli, monitorare e controllare l'ambiente d'esame. Manteniamo inoltre l'integrità e la riservatezza dei materiali d'esame attraverso procedure di conservazione sicure.
16.5. Sicurezza del contenuto dell'esame
Garantiamo la sicurezza del contenuto dell'esame implementando misure adeguate per la protezione contro l'accesso non autorizzato, l'alterazione o la divulgazione del contenuto. Ciò include l'uso di archiviazione sicura, crittografia e controlli di accesso per il contenuto dell'esame, nonché controlli per impedire la distribuzione o la diffusione non autorizzata del contenuto dell'esame.
16.6. Sicurezza della consegna dell'esame
Garantiamo la sicurezza della consegna dell'esame implementando misure appropriate per impedire l'accesso non autorizzato o la manipolazione dell'ambiente dell'esame. Ciò include misure come il monitoraggio, l'audit e il controllo dell'ambiente di esame e particolari approcci di esame, per prevenire imbrogli o altre violazioni della sicurezza.
16.7. Sicurezza dei risultati degli esami
Garantiamo la sicurezza dei risultati degli esami implementando misure adeguate per la protezione contro l'accesso non autorizzato, l'alterazione o la divulgazione dei risultati. Ciò include l'uso di archiviazione sicura, crittografia e controlli di accesso per i risultati degli esami, nonché controlli per impedire la distribuzione o la diffusione non autorizzata dei risultati degli esami.
16.8. Sicurezza dell'emissione dei certificati
Garantiamo la sicurezza dell'emissione dei certificati implementando misure adeguate per prevenire frodi e l'emissione non autorizzata di certificati. Ciò include i controlli per la verifica dell'identità delle persone che ricevono i certificati e le procedure di archiviazione e rilascio sicure.
16.9. Reclami e Ricorsi
Abbiamo stabilito procedure per la gestione dei reclami e dei ricorsi relativi al processo di certificazione. Queste procedure includono misure per garantire la riservatezza e l'imparzialità del processo e la sicurezza delle informazioni relative ai reclami e ai ricorsi.
16.10. Processi di certificazione Gestione della qualità
Abbiamo istituito un Sistema di Gestione della Qualità (QMS) per i processi di certificazione che include misure per garantire l'efficacia, l'efficienza e la sicurezza dei processi. Il SGQ include audit e revisioni regolari dei processi e dei relativi controlli di sicurezza.
16.11. Miglioramento continuo della sicurezza dei processi di certificazione
Ci impegniamo per il miglioramento continuo dei nostri processi di certificazione e dei relativi controlli di sicurezza. Ciò include revisioni regolari e aggiornamenti delle politiche e delle procedure relative alla certificazione sulla sicurezza in base ai cambiamenti nell'ambiente aziendale, ai requisiti normativi e alle migliori pratiche nella gestione della sicurezza delle informazioni, in conformità con lo standard ISO 27001 per la gestione della sicurezza delle informazioni, nonché con l'ISO Norma operativa degli organismi di certificazione 17024.
Parte 17. Disposizioni finali
17.1. Revisione e aggiornamento delle politiche
La presente Informativa sulla sicurezza delle informazioni è un documento vivo sottoposto a continue revisioni e aggiornamenti in base alle modifiche dei nostri requisiti operativi, requisiti normativi o best practice nella gestione della sicurezza delle informazioni.
17.2. Monitoraggio della conformità
Abbiamo stabilito procedure per monitorare la conformità alla presente Politica di sicurezza delle informazioni e ai relativi controlli di sicurezza. Il monitoraggio della conformità include audit, valutazioni e revisioni regolari dei controlli di sicurezza e della loro efficacia nel raggiungimento degli obiettivi di questa politica.
17.3. Segnalazione di incidenti di sicurezza
Abbiamo stabilito procedure per la segnalazione di incidenti di sicurezza relativi ai nostri sistemi informativi, compresi quelli relativi ai dati personali delle persone. I dipendenti, gli appaltatori e le altre parti interessate sono incoraggiati a segnalare al più presto possibile qualsiasi incidente di sicurezza o sospetto incidente al team di sicurezza designato.
17.4. Formazione e consapevolezza
Forniamo regolari programmi di formazione e sensibilizzazione a dipendenti, appaltatori e altre parti interessate per garantire che siano consapevoli delle proprie responsabilità e obblighi relativi alla sicurezza delle informazioni. Ciò include la formazione sulle politiche e procedure di sicurezza e sulle misure per la protezione dei dati personali delle persone.
17.5. Responsabilità e responsabilità
Riteniamo tutti i dipendenti, gli appaltatori e le altre parti interessate responsabili del rispetto della presente Politica di sicurezza delle informazioni e dei relativi controlli di sicurezza. Riteniamo inoltre la direzione responsabile di garantire che vengano assegnate risorse adeguate per l'implementazione e il mantenimento di controlli efficaci sulla sicurezza delle informazioni.
Questa politica sulla sicurezza delle informazioni è una componente fondamentale del quadro di gestione della sicurezza delle informazioni dell'Istituto europeo di certificazione IT e dimostra il nostro impegno a proteggere le risorse informative e i dati elaborati, garantendo la riservatezza, la privacy, l'integrità e la disponibilità delle informazioni e rispettando i requisiti normativi e contrattuali.