सूचना सुरक्षा नीति
EITCA अकादमी सूचना सुरक्षा नीति
यह दस्तावेज़ यूरोपीय आईटी प्रमाणन संस्थान की सूचना सुरक्षा नीति (आईएसपी) को निर्दिष्ट करता है, जिसे इसकी प्रभावशीलता और प्रासंगिकता सुनिश्चित करने के लिए नियमित रूप से समीक्षा और अद्यतन किया जाता है। EITCI सूचना सुरक्षा नीति का अंतिम अद्यतन 7 जनवरी 2023 को किया गया था।
भाग 1. परिचय और सूचना सुरक्षा नीति वक्तव्य
1.1. परिचय
यूरोपीय आईटी प्रमाणन संस्थान गोपनीयता, अखंडता और सूचना की उपलब्धता और हमारे हितधारकों के विश्वास को बनाए रखने में सूचना सुरक्षा के महत्व को पहचानता है। हम व्यक्तिगत डेटा सहित संवेदनशील जानकारी को अनधिकृत पहुंच, प्रकटीकरण, परिवर्तन और विनाश से बचाने के लिए प्रतिबद्ध हैं। हम अपने ग्राहकों को विश्वसनीय और निष्पक्ष प्रमाणन सेवाएं प्रदान करने के हमारे मिशन का समर्थन करने के लिए एक प्रभावी सूचना सुरक्षा नीति बनाए रखते हैं। सूचना सुरक्षा नीति सूचना संपत्तियों की सुरक्षा और हमारे कानूनी, विनियामक और संविदात्मक दायित्वों को पूरा करने की हमारी प्रतिबद्धता को रेखांकित करती है। हमारी नीति ISO 27001 और ISO 17024 के सिद्धांतों पर आधारित है, जो सूचना सुरक्षा प्रबंधन और प्रमाणन निकायों के संचालन मानकों के लिए अग्रणी अंतरराष्ट्रीय मानक हैं।
1.2। नीति वक्तव्य
यूरोपीय आईटी प्रमाणन संस्थान इसके लिए प्रतिबद्ध है:
- सूचना संपत्तियों की गोपनीयता, अखंडता और उपलब्धता की रक्षा करना,
- सूचना सुरक्षा और इसकी प्रमाणन प्रक्रियाओं और संचालन को लागू करने वाले डेटा के प्रसंस्करण से संबंधित कानूनी, विनियामक और संविदात्मक दायित्वों का अनुपालन,
- अपनी सूचना सुरक्षा नीति और संबंधित प्रबंधन प्रणाली में लगातार सुधार करना,
- कर्मचारियों, ठेकेदारों और प्रतिभागियों को पर्याप्त प्रशिक्षण और जागरूकता प्रदान करना,
- सूचना सुरक्षा नीति और संबंधित सूचना सुरक्षा प्रबंधन प्रणाली के कार्यान्वयन और रखरखाव में सभी कर्मचारियों और ठेकेदारों को शामिल करना।
1.3। क्षेत्र
यह नीति यूरोपीय आईटी प्रमाणन संस्थान के स्वामित्व वाली, नियंत्रित या संसाधित सभी सूचना संपत्तियों पर लागू होती है। इसमें सिस्टम, नेटवर्क, सॉफ्टवेयर, डेटा और प्रलेखन जैसी सभी डिजिटल और भौतिक सूचना संपत्तियां शामिल हैं। यह नीति हमारी सूचना संपत्तियों तक पहुँचने वाले सभी कर्मचारियों, ठेकेदारों और तृतीय-पक्ष सेवा प्रदाताओं पर भी लागू होती है।
1.4। अनुपालन
यूरोपीय आईटी प्रमाणन संस्थान आईएसओ 27001 और आईएसओ 17024 सहित प्रासंगिक सूचना सुरक्षा मानकों का अनुपालन करने के लिए प्रतिबद्ध है। हम इन मानकों की निरंतर प्रासंगिकता और अनुपालन सुनिश्चित करने के लिए नियमित रूप से इस नीति की समीक्षा और अद्यतन करते हैं।
भाग 2. संगठनात्मक सुरक्षा
2.1। संगठन सुरक्षा लक्ष्य
संगठनात्मक सुरक्षा उपायों को लागू करके, हमारा लक्ष्य यह सुनिश्चित करना है कि हमारी सूचना संपत्ति और डेटा प्रोसेसिंग प्रथाओं और प्रक्रियाओं को उच्चतम स्तर की सुरक्षा और अखंडता के साथ संचालित किया जाता है, और यह कि हम प्रासंगिक कानूनी नियमों और मानकों का पालन करते हैं।
2.2। सूचना सुरक्षा भूमिकाएँ और उत्तरदायित्व
यूरोपीय आईटी प्रमाणन संस्थान पूरे संगठन में सूचना सुरक्षा के लिए भूमिकाओं और जिम्मेदारियों को परिभाषित और संचार करता है। इसमें सूचना सुरक्षा के संदर्भ में सूचना संपत्ति के लिए स्पष्ट स्वामित्व निर्दिष्ट करना, शासन संरचना की स्थापना करना और संगठन में विभिन्न भूमिकाओं और विभागों के लिए विशिष्ट जिम्मेदारियों को परिभाषित करना शामिल है।
2.3। जोखिम प्रबंधन
हम व्यक्तिगत डेटा प्रसंस्करण से संबंधित जोखिमों सहित संगठन को सूचना सुरक्षा जोखिमों की पहचान करने और प्राथमिकता देने के लिए नियमित जोखिम मूल्यांकन करते हैं। हम इन जोखिमों को कम करने के लिए उपयुक्त नियंत्रण स्थापित करते हैं, और नियमित रूप से कारोबारी माहौल और खतरे के परिदृश्य में बदलाव के आधार पर अपने जोखिम प्रबंधन दृष्टिकोण की समीक्षा और अद्यतन करते हैं।
2.4। सूचना सुरक्षा नीतियां और प्रक्रियाएं
हम सूचना सुरक्षा नीतियों और प्रक्रियाओं का एक सेट स्थापित करते हैं और बनाए रखते हैं जो उद्योग की सर्वोत्तम प्रथाओं पर आधारित हैं और प्रासंगिक नियमों और मानकों का पालन करते हैं। ये नीतियां और प्रक्रियाएं सूचना सुरक्षा के सभी पहलुओं को कवर करती हैं, जिसमें व्यक्तिगत डेटा प्रोसेसिंग भी शामिल है, और उनकी प्रभावशीलता सुनिश्चित करने के लिए नियमित रूप से समीक्षा की जाती है और अपडेट की जाती है।
2.5। सुरक्षा जागरूकता और प्रशिक्षण
हम सभी कर्मचारियों, ठेकेदारों और तीसरे पक्ष के भागीदारों को नियमित सुरक्षा जागरूकता और प्रशिक्षण कार्यक्रम प्रदान करते हैं, जिनके पास व्यक्तिगत डेटा या अन्य संवेदनशील जानकारी तक पहुंच है। इस प्रशिक्षण में फ़िशिंग, सोशल इंजीनियरिंग, पासवर्ड स्वच्छता और अन्य सूचना सुरक्षा सर्वोत्तम अभ्यास जैसे विषय शामिल हैं।
2.6। भौतिक और पर्यावरण सुरक्षा
हम अपनी सुविधाओं और सूचना प्रणालियों में अनधिकृत पहुंच, क्षति, या हस्तक्षेप से बचाने के लिए उचित भौतिक और पर्यावरणीय सुरक्षा नियंत्रण लागू करते हैं। इसमें एक्सेस कंट्रोल, सर्विलांस, मॉनिटरिंग और बैकअप पावर और कूलिंग सिस्टम जैसे उपाय शामिल हैं।
2.7। सूचना सुरक्षा घटना प्रबंधन
हमने एक घटना प्रबंधन प्रक्रिया स्थापित की है जो हमें होने वाली किसी भी सूचना सुरक्षा घटना के लिए त्वरित और प्रभावी ढंग से प्रतिक्रिया करने में सक्षम बनाती है। इसमें रिपोर्टिंग, वृद्धि, जांच और घटनाओं के समाधान के साथ-साथ पुनरावृत्ति को रोकने और हमारी घटना प्रतिक्रिया क्षमताओं में सुधार के उपाय शामिल हैं।
2.8। परिचालन निरंतरता और आपदा रिकवरी
हमने परिचालन निरंतरता और आपदा रिकवरी योजनाओं की स्थापना और परीक्षण किया है जो हमें व्यवधान या आपदा की स्थिति में हमारे महत्वपूर्ण संचालन कार्यों और सेवाओं को बनाए रखने में सक्षम बनाती हैं। इन योजनाओं में डेटा और सिस्टम के बैकअप और रिकवरी के लिए प्रक्रियाएं और व्यक्तिगत डेटा की उपलब्धता और अखंडता सुनिश्चित करने के उपाय शामिल हैं।
2.9। तृतीय-पक्ष प्रबंधन
हम तीसरे पक्ष के भागीदारों से जुड़े जोखिमों के प्रबंधन के लिए उचित नियंत्रण स्थापित करते हैं और बनाए रखते हैं, जिनके पास व्यक्तिगत डेटा या अन्य संवेदनशील जानकारी तक पहुंच है। इसमें उचित परिश्रम, संविदात्मक दायित्वों, निगरानी और लेखापरीक्षा जैसे उपायों के साथ-साथ आवश्यक होने पर साझेदारी को समाप्त करने के उपाय शामिल हैं।
भाग 3. मानव संसाधन सुरक्षा
3.1। रोजगार स्क्रीनिंग
यूरोपीय आईटी प्रमाणन संस्थान ने यह सुनिश्चित करने के लिए रोजगार स्क्रीनिंग के लिए एक प्रक्रिया स्थापित की है कि संवेदनशील जानकारी तक पहुंच रखने वाले व्यक्ति भरोसेमंद हैं और उनके पास आवश्यक कौशल और योग्यताएं हैं।
3.2। पहुँच नियंत्रण
हमने यह सुनिश्चित करने के लिए अभिगम नियंत्रण नीतियों और प्रक्रियाओं की स्थापना की है कि कर्मचारियों के पास केवल उनकी नौकरी की जिम्मेदारियों के लिए आवश्यक जानकारी तक पहुंच हो। एक्सेस अधिकारों की समीक्षा की जाती है और यह सुनिश्चित करने के लिए नियमित रूप से अपडेट किया जाता है कि कर्मचारियों के पास केवल उसी जानकारी तक पहुंच है जिसकी उन्हें आवश्यकता है।
3.3। सूचना सुरक्षा जागरूकता और प्रशिक्षण
हम नियमित आधार पर सभी कर्मचारियों को सूचना सुरक्षा जागरूकता प्रशिक्षण प्रदान करते हैं। यह प्रशिक्षण पासवर्ड सुरक्षा, फ़िशिंग हमलों, सामाजिक इंजीनियरिंग और साइबर सुरक्षा के अन्य पहलुओं जैसे विषयों को शामिल करता है।
3.4. स्वीकार्य उपयोग
हमने एक स्वीकार्य उपयोग नीति स्थापित की है जो कार्य उद्देश्यों के लिए उपयोग किए जाने वाले व्यक्तिगत उपकरणों सहित सूचना प्रणाली और संसाधनों के स्वीकार्य उपयोग की रूपरेखा तैयार करती है।
3.5। मोबाइल डिवाइस सुरक्षा
हमने पासकोड, एन्क्रिप्शन और रिमोट वाइपिंग क्षमताओं के उपयोग सहित मोबाइल उपकरणों के सुरक्षित उपयोग के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
3.6। समाप्ति प्रक्रियाएं
यूरोपीय आईटी प्रमाणन संस्थान ने यह सुनिश्चित करने के लिए रोजगार या अनुबंध की समाप्ति के लिए प्रक्रियाएं स्थापित की हैं कि संवेदनशील जानकारी तक पहुंच तुरंत और सुरक्षित रूप से रद्द कर दी गई है।
3.7। तृतीय-पक्ष कार्मिक
हमने संवेदनशील जानकारी तक पहुंच रखने वाले तीसरे पक्ष के कर्मियों के प्रबंधन के लिए प्रक्रियाएं स्थापित की हैं। इन नीतियों में स्क्रीनिंग, अभिगम नियंत्रण और सूचना सुरक्षा जागरूकता प्रशिक्षण शामिल है।
3.8। रिपोर्टिंग घटनाएं
हमने सूचना सुरक्षा घटनाओं या चिंताओं को उचित कर्मियों या अधिकारियों को रिपोर्ट करने के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
3.9। गोपनीयता समझौते
यूरोपीय आईटी प्रमाणन संस्थान को संवेदनशील जानकारी को अनधिकृत प्रकटीकरण से बचाने के लिए कर्मचारियों और ठेकेदारों को गोपनीयता समझौतों पर हस्ताक्षर करने की आवश्यकता है।
3.10। अनुशासनात्मक कार्यवाही
यूरोपीय आईटी प्रमाणन संस्थान ने कर्मचारियों या ठेकेदारों द्वारा सूचना सुरक्षा नीति के उल्लंघन के मामले में अनुशासनात्मक कार्रवाइयों के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
भाग 4. जोखिम मूल्यांकन और प्रबंधन
4.1। जोखिम का आकलन
हम अपनी सूचना संपत्तियों के लिए संभावित खतरों और कमजोरियों की पहचान करने के लिए समय-समय पर जोखिम मूल्यांकन करते हैं। हम उनकी संभावना और संभावित प्रभाव के आधार पर जोखिमों की पहचान, विश्लेषण, मूल्यांकन और प्राथमिकता तय करने के लिए एक संरचित दृष्टिकोण का उपयोग करते हैं। हम सिस्टम, नेटवर्क, सॉफ्टवेयर, डेटा और प्रलेखन सहित हमारी सूचना संपत्तियों से जुड़े जोखिमों का आकलन करते हैं।
4.2। जोखिम उपचार
हम जोखिमों को स्वीकार्य स्तर तक कम करने या कम करने के लिए जोखिम उपचार प्रक्रिया का उपयोग करते हैं। जोखिम उपचार प्रक्रिया में उपयुक्त नियंत्रणों का चयन करना, नियंत्रणों को लागू करना और नियंत्रणों की प्रभावशीलता की निगरानी करना शामिल है। हम जोखिम के स्तर, उपलब्ध संसाधनों और व्यावसायिक प्राथमिकताओं के आधार पर नियंत्रणों के कार्यान्वयन को प्राथमिकता देते हैं।
4.3। जोखिम निगरानी और समीक्षा
हम नियमित रूप से अपनी जोखिम प्रबंधन प्रक्रिया की प्रभावशीलता की निगरानी और समीक्षा करते हैं ताकि यह सुनिश्चित हो सके कि यह प्रासंगिक और प्रभावी बनी रहे। हम अपनी जोखिम प्रबंधन प्रक्रिया के प्रदर्शन को मापने और सुधार के अवसरों की पहचान करने के लिए मेट्रिक्स और संकेतकों का उपयोग करते हैं। हम अपनी आवधिक प्रबंधन समीक्षा के हिस्से के रूप में अपनी जोखिम प्रबंधन प्रक्रिया की भी समीक्षा करते हैं ताकि इसकी चल रही उपयुक्तता, पर्याप्तता और प्रभावशीलता सुनिश्चित की जा सके।
4.4। जोखिम प्रतिक्रिया योजना
हमारे पास यह सुनिश्चित करने के लिए एक जोखिम प्रतिक्रिया योजना है कि हम किसी भी पहचाने गए जोखिमों का प्रभावी ढंग से जवाब दे सकते हैं। इस योजना में जोखिमों की पहचान करने और रिपोर्ट करने की प्रक्रियाएँ शामिल हैं, साथ ही साथ प्रत्येक जोखिम के संभावित प्रभाव का आकलन करने और उचित प्रतिक्रिया कार्रवाई निर्धारित करने की प्रक्रियाएँ भी शामिल हैं। महत्वपूर्ण जोखिम वाली घटना की स्थिति में व्यवसाय की निरंतरता सुनिश्चित करने के लिए हमारे पास आकस्मिक योजनाएँ भी हैं।
4.5। परिचालन प्रभाव विश्लेषण
हम समय-समय पर व्यावसायिक प्रभाव विश्लेषण करते हैं ताकि हमारे व्यवसाय संचालन में व्यवधानों के संभावित प्रभाव की पहचान की जा सके। इस विश्लेषण में हमारे व्यावसायिक कार्यों, प्रणालियों और डेटा की महत्वपूर्णता का मूल्यांकन शामिल है, साथ ही साथ हमारे ग्राहकों, कर्मचारियों और अन्य हितधारकों पर व्यवधानों के संभावित प्रभाव का मूल्यांकन भी शामिल है।
4.6। तृतीय-पक्ष जोखिम प्रबंधन
हमारे पास यह सुनिश्चित करने के लिए एक तृतीय-पक्ष जोखिम प्रबंधन कार्यक्रम है कि हमारे विक्रेता और अन्य तृतीय-पक्ष सेवा प्रदाता भी जोखिमों का उचित प्रबंधन कर रहे हैं। इस कार्यक्रम में तीसरे पक्ष के साथ संलग्न होने से पहले उचित सावधानी जांच, तीसरे पक्ष की गतिविधियों की निरंतर निगरानी और तीसरे पक्ष के जोखिम प्रबंधन प्रथाओं के आवधिक आकलन शामिल हैं।
4.7। घटना प्रतिक्रिया और प्रबंधन
हमारे पास यह सुनिश्चित करने के लिए एक घटना प्रतिक्रिया और प्रबंधन योजना है कि हम किसी भी सुरक्षा घटना का प्रभावी ढंग से जवाब दे सकें। इस योजना में घटनाओं की पहचान करने और रिपोर्ट करने की प्रक्रियाएँ शामिल हैं, साथ ही प्रत्येक घटना के प्रभाव का आकलन करने और उचित प्रतिक्रिया कार्रवाई निर्धारित करने की प्रक्रियाएँ भी शामिल हैं। हमारे पास यह सुनिश्चित करने के लिए एक व्यवसाय निरंतरता योजना भी है कि किसी महत्वपूर्ण घटना की स्थिति में महत्वपूर्ण व्यावसायिक कार्य जारी रह सकें।
भाग 5. भौतिक और पर्यावरण सुरक्षा
5.1। भौतिक सुरक्षा परिधि
हमने भौतिक परिसर और संवेदनशील जानकारी को अनधिकृत पहुंच से बचाने के लिए भौतिक सुरक्षा उपाय स्थापित किए हैं।
5.2। पहुँच नियंत्रण
हमने यह सुनिश्चित करने के लिए भौतिक परिसर के लिए अभिगम नियंत्रण नीतियां और प्रक्रियाएं स्थापित की हैं कि केवल अधिकृत कर्मियों के पास संवेदनशील जानकारी तक पहुंच है।
5.3। उपकरण सुरक्षा
हम सुनिश्चित करते हैं कि संवेदनशील जानकारी वाले सभी उपकरण भौतिक रूप से सुरक्षित हैं, और इस उपकरण तक पहुंच केवल अधिकृत कर्मियों तक ही सीमित है।
5.4। सुरक्षित निपटान
हमने पेपर दस्तावेज़ों, इलेक्ट्रॉनिक मीडिया और हार्डवेयर सहित संवेदनशील जानकारी के सुरक्षित निपटान के लिए प्रक्रियाएँ स्थापित की हैं।
5.5. भौतिक वातावरण
हम यह सुनिश्चित करते हैं कि संवेदनशील जानकारी की सुरक्षा के लिए परिसर का भौतिक वातावरण, जिसमें तापमान, आर्द्रता और प्रकाश व्यवस्था शामिल है, उपयुक्त है।
5.6। बिजली की आपूर्ति
हम सुनिश्चित करते हैं कि परिसर में बिजली की आपूर्ति विश्वसनीय है और बिजली आउटेज या उछाल के खिलाफ सुरक्षित है।
5.7. अग्नि सुरक्षा
हमने आग का पता लगाने और दमन प्रणालियों की स्थापना और रखरखाव सहित अग्नि सुरक्षा नीतियां और प्रक्रियाएं स्थापित की हैं।
5.8। जल क्षति संरक्षण
हमने बाढ़ का पता लगाने और रोकथाम प्रणालियों की स्थापना और रखरखाव सहित संवेदनशील जानकारी को पानी के नुकसान से बचाने के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
5.9. उपकरण रखरखाव
हमने उपकरणों के रखरखाव के लिए प्रक्रियाओं की स्थापना की है, जिसमें छेड़छाड़ या अनधिकृत पहुंच के संकेतों के लिए उपकरणों का निरीक्षण शामिल है।
5.10. स्वीकार्य उपयोग
हमने एक स्वीकार्य उपयोग नीति स्थापित की है जो भौतिक संसाधनों और सुविधाओं के स्वीकार्य उपयोग की रूपरेखा तैयार करती है।
5.11. दूरदराज का उपयोग
हमने सुरक्षित कनेक्शन और एन्क्रिप्शन के उपयोग सहित संवेदनशील जानकारी तक दूरस्थ पहुंच के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
5.12। निगरानी और निगरानी
हमने अनधिकृत पहुंच या छेड़छाड़ का पता लगाने और रोकने के लिए भौतिक परिसरों और उपकरणों की निगरानी और निगरानी के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
भाग। 6. संचार और संचालन सुरक्षा
6.1। नेटवर्क सुरक्षा प्रबंधन
हमने नेटवर्क सुरक्षा के प्रबंधन के लिए नीतियों और प्रक्रियाओं की स्थापना की है, जिसमें फायरवॉल का उपयोग, घुसपैठ का पता लगाने और रोकथाम प्रणाली और नियमित सुरक्षा ऑडिट शामिल हैं।
6.2। जानकारी अंतरण
हमने एन्क्रिप्शन और सुरक्षित फ़ाइल स्थानांतरण प्रोटोकॉल के उपयोग सहित संवेदनशील जानकारी के सुरक्षित हस्तांतरण के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
6.3। तृतीय-पक्ष संचार
हमने सुरक्षित कनेक्शन और एन्क्रिप्शन के उपयोग सहित तृतीय-पक्ष संगठनों के साथ संवेदनशील जानकारी के सुरक्षित आदान-प्रदान के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
6.4। मीडिया हैंडलिंग
हमने पेपर दस्तावेज़, इलेक्ट्रॉनिक मीडिया और पोर्टेबल स्टोरेज डिवाइस सहित मीडिया के विभिन्न रूपों में संवेदनशील जानकारी को संभालने के लिए प्रक्रियाएँ स्थापित की हैं।
6.5। सूचना प्रणाली विकास और रखरखाव
हमने सूचना प्रणाली के विकास और रखरखाव के लिए नीतियां और प्रक्रियाएं स्थापित की हैं, जिसमें सुरक्षित कोडिंग प्रथाओं का उपयोग, नियमित सॉफ्टवेयर अपडेट और पैच प्रबंधन शामिल है।
6.6। मैलवेयर और वायरस सुरक्षा
हमने एंटी-वायरस सॉफ़्टवेयर और नियमित सुरक्षा अपडेट के उपयोग सहित मैलवेयर और वायरस से सूचना प्रणाली की सुरक्षा के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
6.7। बैकअप और बहाली
हमने डेटा हानि या भ्रष्टाचार को रोकने के लिए संवेदनशील जानकारी के बैकअप और बहाली के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
6.8। इवेंट मैनेजमेंट
हमने सुरक्षा घटनाओं और घटनाओं की पहचान, जांच और समाधान के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
6.9। भेद्यता प्रबंधन
हमने नियमित भेद्यता आकलन और पैच प्रबंधन के उपयोग सहित सूचना प्रणाली की कमजोरियों के प्रबंधन के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
6.10। पहुँच नियंत्रण
हमने सूचना प्रणाली तक उपयोगकर्ता की पहुंच के प्रबंधन के लिए नीतियां और प्रक्रियाएं स्थापित की हैं, जिसमें एक्सेस नियंत्रण, उपयोगकर्ता प्रमाणीकरण और नियमित एक्सेस समीक्षा शामिल हैं।
6.11। निगरानी और लॉगिंग
हमने ऑडिट ट्रेल्स और सुरक्षा घटना लॉगिंग के उपयोग सहित सूचना प्रणाली गतिविधियों की निगरानी और लॉगिंग के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
भाग 7. सूचना प्रणाली अधिग्रहण, विकास और रखरखाव
7.1। आवश्यकताएँ
हमने व्यावसायिक आवश्यकताओं, कानूनी और नियामक आवश्यकताओं और सुरक्षा आवश्यकताओं सहित सूचना प्रणाली आवश्यकताओं की पहचान के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
7.2। आपूर्तिकर्ता संबंध
हमने आपूर्तिकर्ताओं की सुरक्षा प्रथाओं के मूल्यांकन सहित सूचना प्रणाली और सेवाओं के तीसरे पक्ष के आपूर्तिकर्ताओं के साथ संबंधों के प्रबंधन के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
7.3। प्रणाली का विकास
हमने सुरक्षित कोडिंग प्रथाओं के उपयोग, नियमित परीक्षण और गुणवत्ता आश्वासन सहित सूचना प्रणालियों के सुरक्षित विकास के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
7.4. सिस्टम परीक्षण
हमने कार्यक्षमता परीक्षण, प्रदर्शन परीक्षण और सुरक्षा परीक्षण सहित सूचना प्रणाली के परीक्षण के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
7.5। सिस्टम स्वीकृति
हमने सूचना प्रणाली की स्वीकृति के लिए नीतियों और प्रक्रियाओं की स्थापना की है, जिसमें परीक्षण के परिणामों, सुरक्षा आकलन और उपयोगकर्ता स्वीकृति परीक्षण की स्वीकृति शामिल है।
7.6. सिस्टम रखरखाव
हमने नियमित अपडेट, सुरक्षा पैच और सिस्टम बैकअप सहित सूचना प्रणाली के रखरखाव के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
7.7। सिस्टम सेवानिवृत्ति
हमने हार्डवेयर और डेटा के सुरक्षित निपटान सहित सूचना प्रणाली की सेवानिवृत्ति के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
7.8. डाटा रिटेंशन
हमने संवेदनशील डेटा के सुरक्षित भंडारण और निपटान सहित कानूनी और नियामक आवश्यकताओं के अनुपालन में डेटा के प्रतिधारण के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
7.9। सूचना प्रणाली के लिए सुरक्षा आवश्यकताएँ
हमने एक्सेस नियंत्रण, एन्क्रिप्शन और डेटा सुरक्षा सहित सूचना प्रणाली के लिए सुरक्षा आवश्यकताओं की पहचान और कार्यान्वयन के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
7.10। सुरक्षित विकास वातावरण
हमने सूचना प्रणाली के सुरक्षित विकास परिवेशों के लिए नीतियां और प्रक्रियाएं स्थापित की हैं, जिसमें सुरक्षित विकास प्रथाओं, अभिगम नियंत्रणों और सुरक्षित नेटवर्क कॉन्फ़िगरेशन का उपयोग शामिल है।
7.11। परीक्षण वातावरण का संरक्षण
हमने सूचना प्रणाली के लिए परीक्षण वातावरण की सुरक्षा के लिए नीतियां और प्रक्रियाएं स्थापित की हैं, जिसमें सुरक्षित कॉन्फ़िगरेशन, एक्सेस कंट्रोल और नियमित सुरक्षा परीक्षण का उपयोग शामिल है।
7.12। सुरक्षित सिस्टम इंजीनियरिंग सिद्धांत
हमने सूचना प्रणालियों के लिए सुरक्षित सिस्टम इंजीनियरिंग सिद्धांतों के कार्यान्वयन के लिए नीतियां और प्रक्रियाएं स्थापित की हैं, जिसमें सुरक्षा आर्किटेक्चर, थ्रेट मॉडलिंग और सुरक्षित कोडिंग प्रथाओं का उपयोग शामिल है।
7.13। सुरक्षित कोडिंग दिशानिर्देश
हमने कोडिंग मानकों, कोड समीक्षाओं और स्वचालित परीक्षण के उपयोग सहित सूचना प्रणालियों के लिए सुरक्षित कोडिंग दिशानिर्देशों के कार्यान्वयन के लिए नीतियां और प्रक्रियाएं स्थापित की हैं।
भाग 8. हार्डवेयर अधिग्रहण
8.1। मानकों का पालन
हम सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) के लिए ISO 27001 मानक का पालन करते हैं ताकि यह सुनिश्चित किया जा सके कि हार्डवेयर संपत्ति हमारी सुरक्षा आवश्यकताओं के अनुसार खरीदी जाती है।
8.2। जोखिम का आकलन
हम संभावित सुरक्षा जोखिमों की पहचान करने के लिए हार्डवेयर संपत्तियों की खरीद से पहले जोखिम मूल्यांकन करते हैं और यह सुनिश्चित करते हैं कि चयनित हार्डवेयर सुरक्षा आवश्यकताओं को पूरा करता है।
8.3। विक्रेताओं का चयन
हम हार्डवेयर संपत्ति केवल विश्वसनीय विक्रेताओं से खरीदते हैं जिनके पास सुरक्षित उत्पादों को वितरित करने का एक सिद्ध ट्रैक रिकॉर्ड है। हम विक्रेता की सुरक्षा नीतियों और प्रथाओं की समीक्षा करते हैं, और उनसे यह आश्वासन देने की अपेक्षा करते हैं कि उनके उत्पाद हमारी सुरक्षा आवश्यकताओं को पूरा करते हैं।
8.4। सुरक्षित परिवहन
हम यह सुनिश्चित करते हैं कि पारगमन के दौरान छेड़छाड़, क्षति या चोरी को रोकने के लिए हार्डवेयर संपत्तियों को सुरक्षित रूप से हमारे परिसर में ले जाया जाता है।
8.5। प्रामाणिकता सत्यापन
हम यह सुनिश्चित करने के लिए डिलीवरी पर हार्डवेयर संपत्तियों की प्रामाणिकता सत्यापित करते हैं कि वे नकली या छेड़छाड़ नहीं की गई हैं।
8.6। भौतिक और पर्यावरण नियंत्रण
हम हार्डवेयर संपत्तियों को अनधिकृत पहुंच, चोरी या क्षति से बचाने के लिए उचित भौतिक और पर्यावरणीय नियंत्रण लागू करते हैं।
8.7. हार्डवेयर स्थापना
हम सुनिश्चित करते हैं कि सभी हार्डवेयर संपत्तियों को स्थापित सुरक्षा मानकों और दिशानिर्देशों के अनुसार कॉन्फ़िगर और स्थापित किया गया है।
8.8। हार्डवेयर समीक्षा
हम यह सुनिश्चित करने के लिए हार्डवेयर संपत्तियों की समय-समय पर समीक्षा करते हैं कि वे हमारी सुरक्षा आवश्यकताओं को पूरा करते रहें और नवीनतम सुरक्षा पैच और अपडेट के साथ अद्यतित रहें।
8.9। हार्डवेयर निपटान
संवेदनशील जानकारी तक अनधिकृत पहुंच को रोकने के लिए हम हार्डवेयर संपत्तियों का सुरक्षित तरीके से निपटान करते हैं।
भाग 9. मैलवेयर और वायरस सुरक्षा
9.1। सॉफ्टवेयर अद्यतन नीति
हम सर्वर, वर्कस्टेशन, लैपटॉप और मोबाइल उपकरणों सहित यूरोपीय आईटी प्रमाणन संस्थान द्वारा उपयोग की जाने वाली सभी सूचना प्रणालियों पर अद्यतित एंटी-वायरस और मैलवेयर सुरक्षा सॉफ़्टवेयर बनाए रखते हैं। हम सुनिश्चित करते हैं कि एंटी-वायरस और मैलवेयर सुरक्षा सॉफ़्टवेयर नियमित आधार पर अपनी वायरस परिभाषा फ़ाइलों और सॉफ़्टवेयर संस्करणों को स्वचालित रूप से अपडेट करने के लिए कॉन्फ़िगर किया गया है, और यह कि इस प्रक्रिया का नियमित रूप से परीक्षण किया जाता है।
9.2। एंटी-वायरस और मैलवेयर स्कैनिंग
हम किसी भी वायरस या मैलवेयर का पता लगाने और उसे हटाने के लिए सर्वर, वर्कस्टेशन, लैपटॉप और मोबाइल उपकरणों सहित सभी सूचना प्रणालियों का नियमित स्कैन करते हैं।
9.3। नो-डिसएबलिंग एंड नो-एल्टरिंग पॉलिसी
हम ऐसी नीतियां लागू करते हैं जो उपयोगकर्ताओं को किसी भी सूचना प्रणाली पर एंटी-वायरस और मैलवेयर सुरक्षा सॉफ़्टवेयर को अक्षम करने या बदलने से रोकती हैं।
9.4। निगरानी
हम वायरस या मैलवेयर संक्रमण की किसी भी घटना की पहचान करने के लिए अपने एंटी-वायरस और मैलवेयर सुरक्षा सॉफ़्टवेयर अलर्ट और लॉग की निगरानी करते हैं और समय पर ऐसी घटनाओं का जवाब देते हैं।
9.5। अभिलेखों का रखरखाव
हम ऑडिटिंग उद्देश्यों के लिए एंटी-वायरस और मैलवेयर सुरक्षा सॉफ़्टवेयर कॉन्फ़िगरेशन, अपडेट और स्कैन के साथ-साथ वायरस या मैलवेयर संक्रमण की किसी भी घटना का रिकॉर्ड बनाए रखते हैं।
9.6। सॉफ्टवेयर समीक्षा
हम अपने एंटी-वायरस और मैलवेयर सुरक्षा सॉफ़्टवेयर की समय-समय पर समीक्षा करते हैं ताकि यह सुनिश्चित किया जा सके कि यह वर्तमान उद्योग मानकों को पूरा करता है और हमारी आवश्यकताओं के लिए पर्याप्त है।
9.7. प्रशिक्षण और जागरूकता
हम सभी कर्मचारियों को वायरस और मैलवेयर सुरक्षा के महत्व और किसी भी संदिग्ध गतिविधियों या घटनाओं को पहचानने और रिपोर्ट करने के बारे में शिक्षित करने के लिए प्रशिक्षण और जागरूकता कार्यक्रम प्रदान करते हैं।
भाग 10. सूचना संपत्ति प्रबंधन
10.1। सूचना संपत्ति सूची
यूरोपीय आईटी प्रमाणन संस्थान सूचना संपत्तियों की एक सूची रखता है जिसमें सभी डिजिटल और भौतिक सूचना संपत्तियां शामिल हैं, जैसे सिस्टम, नेटवर्क, सॉफ्टवेयर, डेटा और दस्तावेज़ीकरण। हम सूचना संपत्तियों को उनकी गंभीरता और संवेदनशीलता के आधार पर वर्गीकृत करते हैं ताकि यह सुनिश्चित किया जा सके कि उचित सुरक्षा उपाय लागू किए गए हैं।
10.2। सूचना एसेट हैंडलिंग
हम गोपनीयता, अखंडता और उपलब्धता सहित उनके वर्गीकरण के आधार पर सूचना संपत्तियों की सुरक्षा के लिए उचित उपायों को लागू करते हैं। हम सुनिश्चित करते हैं कि सभी सूचना संपत्तियों को लागू कानूनों, विनियमों और संविदात्मक आवश्यकताओं के अनुसार संभाला जाता है। हम यह भी सुनिश्चित करते हैं कि सभी सूचना संपत्तियों को उचित रूप से संग्रहीत, संरक्षित और जब आवश्यक न हो तो उनका निपटान किया जाए।
10.3। सूचना संपत्ति स्वामित्व
हम सूचना संपत्ति के प्रबंधन और सुरक्षा के लिए जिम्मेदार व्यक्तियों या विभागों को सूचना संपत्ति का स्वामित्व सौंपते हैं। हम यह भी सुनिश्चित करते हैं कि सूचना संपत्ति के मालिक सूचना संपत्तियों की सुरक्षा के लिए अपनी जिम्मेदारियों और जवाबदेही को समझें।
10.4। सूचना संपत्ति संरक्षण
भौतिक नियंत्रण, अभिगम नियंत्रण, एन्क्रिप्शन और बैकअप और पुनर्प्राप्ति प्रक्रियाओं सहित सूचना संपत्तियों की सुरक्षा के लिए हम कई प्रकार के सुरक्षा उपायों का उपयोग करते हैं। हम यह भी सुनिश्चित करते हैं कि सभी सूचना संपत्तियां अनधिकृत पहुंच, संशोधन या विनाश से सुरक्षित हैं।
भाग 11. अभिगम नियंत्रण
11.1। अभिगम नियंत्रण नीति
यूरोपीय आईटी प्रमाणन संस्थान की एक एक्सेस कंट्रोल पॉलिसी है जो सूचना संपत्तियों तक पहुंच प्रदान करने, संशोधित करने और रद्द करने की आवश्यकताओं को रेखांकित करती है। अभिगम नियंत्रण हमारी सूचना सुरक्षा प्रबंधन प्रणाली का एक महत्वपूर्ण घटक है, और हम यह सुनिश्चित करने के लिए इसे लागू करते हैं कि केवल अधिकृत व्यक्तियों को ही हमारी सूचना संपत्तियों तक पहुंच प्राप्त हो।
11.2। अभिगम नियंत्रण कार्यान्वयन
हम कम से कम विशेषाधिकार के सिद्धांत के आधार पर अभिगम नियंत्रण उपायों को लागू करते हैं, जिसका अर्थ है कि व्यक्तियों के पास केवल अपने काम के कार्यों को करने के लिए आवश्यक सूचना संपत्तियों तक ही पहुंच है। हम प्रमाणीकरण, प्राधिकरण और लेखा (एएए) सहित विभिन्न प्रकार के अभिगम नियंत्रण उपायों का उपयोग करते हैं। हम सूचना संपत्तियों तक पहुंच को नियंत्रित करने के लिए एक्सेस कंट्रोल लिस्ट (एसीएल) और अनुमतियों का भी उपयोग करते हैं।
11.3. पासवर्ड नीति
यूरोपीय आईटी प्रमाणन संस्थान की एक पासवर्ड नीति है जो पासवर्ड बनाने और प्रबंधित करने की आवश्यकताओं को रेखांकित करती है। हमें मजबूत पासवर्ड की आवश्यकता होती है जो अपरकेस और लोअरकेस अक्षरों, संख्याओं और विशेष वर्णों के संयोजन के साथ कम से कम 8 वर्णों का हो। हमें समय-समय पर पासवर्ड बदलने की भी आवश्यकता है और पिछले पासवर्ड के पुन: उपयोग पर रोक है।
11.4. उपयोगकर्ता प्रबंधन
हमारे पास एक उपयोगकर्ता प्रबंधन प्रक्रिया है जिसमें उपयोगकर्ता खाते बनाना, संशोधित करना और हटाना शामिल है। उपयोगकर्ता खाते कम से कम विशेषाधिकार के सिद्धांत के आधार पर बनाए जाते हैं, और व्यक्ति के कार्य कार्यों को करने के लिए आवश्यक सूचना संपत्तियों तक ही पहुंच प्रदान की जाती है। हम नियमित रूप से उपयोगकर्ता खातों की समीक्षा भी करते हैं और उन खातों को हटा देते हैं जिनकी अब आवश्यकता नहीं है।
भाग 12. सूचना सुरक्षा घटना प्रबंधन
12.1। घटना प्रबंधन नीति
यूरोपीय आईटी प्रमाणन संस्थान की एक घटना प्रबंधन नीति है जो सुरक्षा घटनाओं का पता लगाने, रिपोर्ट करने, मूल्यांकन करने और प्रतिक्रिया देने के लिए आवश्यकताओं की रूपरेखा तैयार करती है। हम सुरक्षा घटनाओं को ऐसी किसी भी घटना के रूप में परिभाषित करते हैं जो गोपनीयता, अखंडता, या सूचना संपत्ति या सिस्टम की उपलब्धता से समझौता करती है।
12.2। घटना का पता लगाने और रिपोर्टिंग
हम तुरंत सुरक्षा घटनाओं का पता लगाने और रिपोर्ट करने के उपायों को लागू करते हैं। हम घुसपैठ का पता लगाने वाले सिस्टम (आईडीएस), एंटीवायरस सॉफ़्टवेयर और उपयोगकर्ता रिपोर्टिंग सहित सुरक्षा घटनाओं का पता लगाने के लिए कई तरीकों का उपयोग करते हैं। हम यह भी सुनिश्चित करते हैं कि सभी कर्मचारी सुरक्षा घटनाओं की रिपोर्ट करने की प्रक्रियाओं से अवगत हैं और सभी संदिग्ध घटनाओं की रिपोर्टिंग को प्रोत्साहित करते हैं।
12.3। घटना का आकलन और प्रतिक्रिया
हमारे पास सुरक्षा घटनाओं की गंभीरता और प्रभाव के आधार पर आकलन और प्रतिक्रिया करने की एक प्रक्रिया है। हम सूचना संपत्तियों या प्रणालियों पर उनके संभावित प्रभाव के आधार पर घटनाओं को प्राथमिकता देते हैं और उनका जवाब देने के लिए उपयुक्त संसाधन आवंटित करते हैं। हमारे पास एक प्रतिक्रिया योजना भी है जिसमें सुरक्षा घटनाओं की पहचान, नियंत्रण, विश्लेषण, उन्मूलन और पुनर्प्राप्ति के साथ-साथ संबंधित पक्षों को सूचित करने और घटना के बाद की समीक्षा करने की प्रक्रिया शामिल है। हमारी घटना प्रतिक्रिया प्रक्रियाओं को एक तेज और प्रभावी प्रतिक्रिया सुनिश्चित करने के लिए डिज़ाइन किया गया है सुरक्षा घटनाओं के लिए। उनकी प्रभावशीलता और प्रासंगिकता सुनिश्चित करने के लिए प्रक्रियाओं की नियमित रूप से समीक्षा की जाती है और उन्हें अद्यतन किया जाता है।
12.4। घटना प्रतिक्रिया दल
हमारे पास एक घटना प्रतिक्रिया दल (IRT) है जो सुरक्षा घटनाओं पर प्रतिक्रिया देने के लिए जिम्मेदार है। IRT विभिन्न इकाइयों के प्रतिनिधियों से बना है और इसका नेतृत्व सूचना सुरक्षा अधिकारी (ISO) करता है। आईआरटी घटनाओं की गंभीरता का आकलन करने, घटना को रोकने और उपयुक्त प्रतिक्रिया प्रक्रियाओं को शुरू करने के लिए जिम्मेदार है।
12.5। घटना रिपोर्टिंग और समीक्षा
हमने लागू कानूनों और विनियमों के अनुसार, ग्राहकों, नियामक प्राधिकरणों और कानून प्रवर्तन एजेंसियों सहित संबंधित पक्षों को सुरक्षा घटनाओं की रिपोर्ट करने के लिए प्रक्रियाएं स्थापित की हैं। हम घटना की प्रतिक्रिया प्रक्रिया के दौरान प्रभावित पक्षों के साथ संचार बनाए रखते हैं, घटना की स्थिति पर समय पर अपडेट प्रदान करते हैं और इसके प्रभाव को कम करने के लिए कोई कार्रवाई की जाती है। हम मूल कारणों की पहचान करने और भविष्य में ऐसी घटनाओं को होने से रोकने के लिए सभी सुरक्षा घटनाओं की समीक्षा भी करते हैं।
भाग 13. व्यवसाय निरंतरता प्रबंधन और आपदा रिकवरी
13.1। व्यापार निरंतरता योजना
हालांकि यूरोपीय आईटी प्रमाणन संस्थान एक गैर-लाभकारी संगठन है, इसकी एक व्यवसाय निरंतरता योजना (बीसीपी) है जो विघटनकारी घटना की स्थिति में अपने संचालन की निरंतरता सुनिश्चित करने के लिए प्रक्रियाओं की रूपरेखा तैयार करती है। BCP सभी महत्वपूर्ण परिचालन प्रक्रियाओं को कवर करता है और विघटनकारी घटना के दौरान और बाद में संचालन को बनाए रखने के लिए आवश्यक संसाधनों की पहचान करता है। यह व्यवधान या आपदा के दौरान व्यावसायिक संचालन को बनाए रखने, व्यवधानों के प्रभाव का आकलन करने, किसी विशेष विघटनकारी घटना के संदर्भ में सबसे महत्वपूर्ण संचालन प्रक्रियाओं की पहचान करने और प्रतिक्रिया और पुनर्प्राप्ति प्रक्रियाओं को विकसित करने की प्रक्रियाओं की रूपरेखा भी बताता है।
13.2। आपदा रिकवरी योजना
यूरोपीय आईटी प्रमाणन संस्थान के पास डिजास्टर रिकवरी प्लान (डीआरपी) है जो किसी व्यवधान या आपदा की स्थिति में हमारी सूचना प्रणाली को पुनर्प्राप्त करने की प्रक्रियाओं की रूपरेखा तैयार करता है। डीआरपी में डेटा बैकअप, डेटा बहाली और सिस्टम रिकवरी के लिए प्रक्रियाएं शामिल हैं। इसकी प्रभावशीलता सुनिश्चित करने के लिए डीआरपी का नियमित रूप से परीक्षण और अद्यतन किया जाता है।
13.3. व्यापार प्रभाव विश्लेषण
हम महत्वपूर्ण संचालन प्रक्रियाओं और उन्हें बनाए रखने के लिए आवश्यक संसाधनों की पहचान करने के लिए एक व्यावसायिक प्रभाव विश्लेषण (BIA) आयोजित करते हैं। बीआईए हमारे पुनर्प्राप्ति प्रयासों को प्राथमिकता देने और तदनुसार संसाधन आवंटित करने में हमारी मदद करता है।
13.4। व्यापार निरंतरता रणनीति
बीआईए के परिणामों के आधार पर, हम एक व्यापार निरंतरता रणनीति विकसित करते हैं जो एक विघटनकारी घटना पर प्रतिक्रिया देने के लिए प्रक्रियाओं की रूपरेखा तैयार करती है। रणनीति में बीसीपी को सक्रिय करने, महत्वपूर्ण संचालन प्रक्रियाओं को बहाल करने और प्रासंगिक हितधारकों के साथ संचार करने की प्रक्रियाएं शामिल हैं।
13.5। परीक्षण और रखरखाव
हम अपने बीसीपी और डीआरपी की प्रभावशीलता और प्रासंगिकता सुनिश्चित करने के लिए नियमित रूप से उनका परीक्षण और रखरखाव करते हैं। हम बीसीपी/डीआरपी को मान्य करने के लिए नियमित परीक्षण करते हैं और सुधार के लिए क्षेत्रों की पहचान करते हैं। हम अपने संचालन या खतरों के परिदृश्य में परिवर्तन को दर्शाने के लिए आवश्यक रूप से बीसीपी और डीआरपी को भी अपडेट करते हैं। परीक्षण में टेबलटॉप अभ्यास, सिमुलेशन और प्रक्रियाओं का लाइव परीक्षण शामिल है। हम परीक्षण के परिणामों और सीखे गए पाठों के आधार पर अपनी योजनाओं की समीक्षा और अद्यतन भी करते हैं।
13.6। वैकल्पिक प्रसंस्करण साइटें
हम वैकल्पिक ऑनलाइन प्रोसेसिंग साइटों को बनाए रखते हैं जिनका उपयोग व्यवधान या आपदा की स्थिति में व्यवसाय संचालन जारी रखने के लिए किया जा सकता है। वैकल्पिक प्रसंस्करण स्थल आवश्यक बुनियादी ढांचे और प्रणालियों से लैस हैं, और महत्वपूर्ण व्यावसायिक प्रक्रियाओं का समर्थन करने के लिए इसका उपयोग किया जा सकता है।
भाग 14. अनुपालन और लेखापरीक्षा
14.1. कानूनों और विनियमों का अनुपालन
यूरोपीय आईटी प्रमाणन संस्थान डेटा सुरक्षा कानूनों, उद्योग मानकों और संविदात्मक दायित्वों सहित सूचना सुरक्षा और गोपनीयता से संबंधित सभी लागू कानूनों और विनियमों का पालन करने के लिए प्रतिबद्ध है। हम सभी प्रासंगिक आवश्यकताओं और मानकों का अनुपालन सुनिश्चित करने के लिए नियमित रूप से अपनी नीतियों, प्रक्रियाओं और नियंत्रणों की समीक्षा और अद्यतन करते हैं। सूचना सुरक्षा के संदर्भ में हम जिन मुख्य मानकों और रूपरेखाओं का पालन करते हैं उनमें शामिल हैं:
- सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) के कार्यान्वयन और प्रबंधन के लिए ISO/IEC 27001 मानक दिशानिर्देश प्रदान करता है जिसमें भेद्यता प्रबंधन एक प्रमुख घटक के रूप में शामिल है। यह भेद्यता प्रबंधन सहित हमारी सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) को लागू करने और बनाए रखने के लिए एक संदर्भ ढांचा प्रदान करता है। इस मानक प्रावधानों के अनुपालन में हम कमजोरियों सहित सूचना सुरक्षा जोखिमों की पहचान, आकलन और प्रबंधन करते हैं।
- US National Institute of Standards and Technology (NIST) साइबर सुरक्षा फ्रेमवर्क भेद्यता प्रबंधन सहित साइबर सुरक्षा जोखिमों की पहचान, मूल्यांकन और प्रबंधन के लिए दिशानिर्देश प्रदान करता है।
- साइबर सुरक्षा जोखिम प्रबंधन में सुधार के लिए राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) साइबर सुरक्षा फ्रेमवर्क, भेद्यता प्रबंधन सहित कार्यों के एक मुख्य सेट के साथ जिसका हम अपने साइबर सुरक्षा जोखिमों का प्रबंधन करने के लिए पालन करते हैं।
- SANS क्रिटिकल सिक्योरिटी कंट्रोल्स में साइबर सुरक्षा में सुधार के लिए 20 सुरक्षा नियंत्रणों का एक सेट है, जिसमें भेद्यता प्रबंधन सहित कई क्षेत्रों को शामिल किया गया है, भेद्यता स्कैनिंग, पैच प्रबंधन और भेद्यता प्रबंधन के अन्य पहलुओं पर विशिष्ट मार्गदर्शन प्रदान करता है।
- भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस), इस संदर्भ में भेद्यता प्रबंधन के संबंध में क्रेडिट कार्ड की जानकारी को संभालने की आवश्यकता है।
- हमारी सूचना प्रणाली के सुरक्षित कॉन्फ़िगरेशन को सुनिश्चित करने के लिए प्रमुख नियंत्रणों में से एक के रूप में भेद्यता प्रबंधन सहित इंटरनेट सुरक्षा नियंत्रण केंद्र (CIS)।
- ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (OWASP), सबसे महत्वपूर्ण वेब एप्लिकेशन सुरक्षा जोखिमों की अपनी शीर्ष 10 सूची के साथ, जिसमें भेद्यता मूल्यांकन जैसे कि इंजेक्शन हमले, टूटा हुआ प्रमाणीकरण और सत्र प्रबंधन, क्रॉस-साइट स्क्रिप्टिंग (XSS), आदि शामिल हैं। हम उपयोग करते हैं। हमारे भेद्यता प्रबंधन प्रयासों को प्राथमिकता देने और हमारे वेब सिस्टम के संबंध में सबसे महत्वपूर्ण जोखिमों पर ध्यान केंद्रित करने के लिए OWASP शीर्ष 10।
14.2। आंतरिक लेखा परीक्षा
हम अपनी सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) की प्रभावशीलता का आकलन करने के लिए नियमित आंतरिक ऑडिट करते हैं और यह सुनिश्चित करते हैं कि हमारी नीतियों, प्रक्रियाओं और नियंत्रणों का पालन किया जा रहा है। आंतरिक ऑडिट प्रक्रिया में गैर-अनुरूपता की पहचान, सुधारात्मक कार्यों का विकास और उपचारात्मक प्रयासों की ट्रैकिंग शामिल है।
14.3. बाह्य अंकेक्षण
हम लागू कानूनों, विनियमों और उद्योग मानकों के साथ हमारे अनुपालन को सत्यापित करने के लिए समय-समय पर बाहरी लेखा परीक्षकों के साथ जुड़ते हैं। हम लेखापरीक्षकों को हमारे अनुपालन को सत्यापित करने के लिए आवश्यकतानुसार हमारी सुविधाओं, प्रणालियों और प्रलेखन तक पहुंच प्रदान करते हैं। हम लेखापरीक्षा प्रक्रिया के दौरान पहचाने गए किसी भी निष्कर्ष या सिफारिशों को संबोधित करने के लिए बाहरी लेखापरीक्षकों के साथ भी काम करते हैं।
14.4। अनुपालन निगरानी
हम निरंतर आधार पर लागू कानूनों, विनियमों और उद्योग मानकों के अनुपालन की निगरानी करते हैं। हम समय-समय पर मूल्यांकन, ऑडिट और तीसरे पक्ष के प्रदाताओं की समीक्षाओं सहित अनुपालन की निगरानी के लिए कई तरीकों का उपयोग करते हैं। हम सभी प्रासंगिक आवश्यकताओं के निरंतर अनुपालन को सुनिश्चित करने के लिए नियमित रूप से अपनी नीतियों, प्रक्रियाओं और नियंत्रणों की समीक्षा और अद्यतन भी करते हैं।
भाग 15. तृतीय-पक्ष प्रबंधन
15.1। तृतीय-पक्ष प्रबंधन नीति
यूरोपीय आईटी प्रमाणन संस्थान के पास एक तृतीय-पक्ष प्रबंधन नीति है जो उन तृतीय-पक्ष प्रदाताओं के चयन, मूल्यांकन और निगरानी के लिए आवश्यकताओं को रेखांकित करती है जिनकी हमारी सूचना संपत्तियों या प्रणालियों तक पहुंच है। नीति क्लाउड सेवा प्रदाताओं, विक्रेताओं और ठेकेदारों सहित सभी तृतीय-पक्ष प्रदाताओं पर लागू होती है।
15.2। तृतीय-पक्ष चयन और मूल्यांकन
हम यह सुनिश्चित करने के लिए तृतीय-पक्ष प्रदाताओं के साथ संलग्न होने से पहले उचित परिश्रम करते हैं कि हमारे सूचना संपत्तियों या प्रणालियों की सुरक्षा के लिए उनके पास पर्याप्त सुरक्षा नियंत्रण हैं। हम सूचना सुरक्षा और गोपनीयता से संबंधित लागू कानूनों और विनियमों के साथ तृतीय-पक्ष प्रदाताओं के अनुपालन का भी आकलन करते हैं।
15.3। तृतीय-पक्ष निगरानी
हम यह सुनिश्चित करने के लिए निरंतर आधार पर तृतीय-पक्ष प्रदाताओं की निगरानी करते हैं कि वे सूचना सुरक्षा और गोपनीयता के लिए हमारी आवश्यकताओं को पूरा करते रहें। हम तृतीय-पक्ष प्रदाताओं की निगरानी के लिए विभिन्न तरीकों का उपयोग करते हैं, जिसमें आवधिक मूल्यांकन, ऑडिट और सुरक्षा घटना रिपोर्ट की समीक्षा शामिल हैं।
15.4। संविदात्मक आवश्यकताएं
हम तृतीय-पक्ष प्रदाताओं के साथ सभी अनुबंधों में सूचना सुरक्षा और गोपनीयता से संबंधित संविदात्मक आवश्यकताओं को शामिल करते हैं। इन आवश्यकताओं में डेटा सुरक्षा, सुरक्षा नियंत्रण, घटना प्रबंधन और अनुपालन निगरानी के प्रावधान शामिल हैं। हम सुरक्षा घटना या गैर-अनुपालन की स्थिति में अनुबंधों को समाप्त करने के प्रावधान भी शामिल करते हैं।
भाग 16. प्रमाणन प्रक्रियाओं में सूचना सुरक्षा
16.1 प्रमाणन प्रक्रियाओं की सुरक्षा
प्रमाणन चाहने वाले व्यक्तियों के व्यक्तिगत डेटा सहित हमारी प्रमाणन प्रक्रियाओं से संबंधित सभी सूचनाओं की सुरक्षा सुनिश्चित करने के लिए हम पर्याप्त और प्रणालीगत उपाय करते हैं। इसमें प्रमाणन से संबंधित सभी सूचनाओं तक पहुंच, भंडारण और प्रसारण के लिए नियंत्रण शामिल हैं। इन उपायों को लागू करके, हमारा लक्ष्य यह सुनिश्चित करना है कि प्रमाणन प्रक्रिया उच्चतम स्तर की सुरक्षा और अखंडता के साथ आयोजित की जाती है, और यह कि प्रमाणन चाहने वाले व्यक्तियों के व्यक्तिगत डेटा को प्रासंगिक नियमों और मानकों के अनुपालन में संरक्षित किया जाता है।
16.2। सत्यापन और प्राधिकरण
हम यह सुनिश्चित करने के लिए प्रमाणीकरण और प्राधिकरण नियंत्रण का उपयोग करते हैं कि केवल अधिकृत कर्मियों के पास प्रमाणन जानकारी तक पहुंच हो। कर्मियों की भूमिकाओं और जिम्मेदारियों में बदलाव के आधार पर अभिगम नियंत्रणों की नियमित रूप से समीक्षा की जाती है और उन्हें अद्यतन किया जाता है।
16.3। डेटा सुरक्षा
हम डेटा की गोपनीयता, अखंडता और उपलब्धता सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों को लागू करके प्रमाणन प्रक्रिया के दौरान व्यक्तिगत डेटा की रक्षा करते हैं। इसमें एन्क्रिप्शन, एक्सेस कंट्रोल और नियमित बैकअप जैसे उपाय शामिल हैं।
16.4। परीक्षा प्रक्रियाओं की सुरक्षा
हम नकल को रोकने, निगरानी और परीक्षा के माहौल को नियंत्रित करने के लिए उचित उपायों को लागू करके परीक्षा प्रक्रियाओं की सुरक्षा सुनिश्चित करते हैं। हम सुरक्षित भंडारण प्रक्रियाओं के माध्यम से परीक्षा सामग्री की सत्यनिष्ठा और गोपनीयता भी बनाए रखते हैं।
16.5। परीक्षा सामग्री की सुरक्षा
हम सामग्री के अनधिकृत उपयोग, परिवर्तन या प्रकटीकरण से बचाने के लिए उपयुक्त उपायों को लागू करके परीक्षा सामग्री की सुरक्षा सुनिश्चित करते हैं। इसमें परीक्षा सामग्री के लिए सुरक्षित भंडारण, एन्क्रिप्शन और अभिगम नियंत्रण के उपयोग के साथ-साथ परीक्षा सामग्री के अनधिकृत वितरण या प्रसार को रोकने के लिए नियंत्रण शामिल हैं।
16.6। परीक्षा वितरण की सुरक्षा
हम परीक्षा के माहौल में अनधिकृत पहुंच या हेरफेर को रोकने के लिए उचित उपायों को लागू करके परीक्षा वितरण की सुरक्षा सुनिश्चित करते हैं। इसमें नकल या अन्य सुरक्षा उल्लंघनों को रोकने के लिए परीक्षा के माहौल की निगरानी, ऑडिटिंग और नियंत्रण और परीक्षा के विशेष दृष्टिकोण जैसे उपाय शामिल हैं।
16.7। परीक्षा परिणामों की सुरक्षा
हम परीक्षा परिणामों की अनधिकृत पहुंच, परिवर्तन, या परिणामों के प्रकटीकरण से बचाने के लिए उचित उपायों को लागू करके परीक्षा परिणामों की सुरक्षा सुनिश्चित करते हैं। इसमें परीक्षा परिणामों के लिए सुरक्षित भंडारण, एन्क्रिप्शन और अभिगम नियंत्रण के उपयोग के साथ-साथ परीक्षा परिणामों के अनधिकृत वितरण या प्रसार को रोकने के लिए नियंत्रण शामिल हैं।
16.8। प्रमाणपत्र जारी करने की सुरक्षा
हम धोखाधड़ी और अनाधिकृत प्रमाण पत्र जारी करने से रोकने के लिए उचित उपायों को लागू करके प्रमाणपत्र जारी करने की सुरक्षा सुनिश्चित करते हैं। इसमें प्रमाणपत्र प्राप्त करने वाले व्यक्तियों की पहचान सत्यापित करने और सुरक्षित भंडारण और जारी करने की प्रक्रिया के नियंत्रण शामिल हैं।
16.9। शिकायतें और अपीलें
हमने प्रमाणन प्रक्रिया से संबंधित शिकायतों और अपीलों के प्रबंधन के लिए प्रक्रियाएं स्थापित की हैं। इन प्रक्रियाओं में प्रक्रिया की गोपनीयता और निष्पक्षता और शिकायतों और अपीलों से संबंधित जानकारी की सुरक्षा सुनिश्चित करने के उपाय शामिल हैं।
16.10। प्रमाणन प्रक्रिया गुणवत्ता प्रबंधन
हमने प्रमाणन प्रक्रियाओं के लिए एक गुणवत्ता प्रबंधन प्रणाली (QMS) स्थापित की है जिसमें प्रक्रियाओं की प्रभावशीलता, दक्षता और सुरक्षा सुनिश्चित करने के उपाय शामिल हैं। QMS में नियमित ऑडिट और प्रक्रियाओं की समीक्षा और उनके सुरक्षा नियंत्रण शामिल हैं।
16.11. प्रमाणन प्रक्रियाओं की सुरक्षा में निरंतर सुधार
हम अपनी प्रमाणन प्रक्रियाओं और उनके सुरक्षा नियंत्रणों में निरंतर सुधार के लिए प्रतिबद्ध हैं। इसमें सूचना सुरक्षा प्रबंधन के लिए ISO 27001 मानक के साथ-साथ ISO के अनुपालन में व्यावसायिक वातावरण, विनियामक आवश्यकताओं और सूचना सुरक्षा प्रबंधन में सर्वोत्तम प्रथाओं के आधार पर प्रमाणन संबंधी नीतियों और प्रक्रियाओं की सुरक्षा की नियमित समीक्षा और अद्यतन शामिल हैं। 17024 प्रमाणन निकाय संचालन मानक।
भाग 17. समापन प्रावधान
17.1। नीति समीक्षा और अद्यतन
यह सूचना सुरक्षा नीति एक जीवित दस्तावेज़ है जो हमारी परिचालन आवश्यकताओं, विनियामक आवश्यकताओं, या सूचना सुरक्षा प्रबंधन में सर्वोत्तम प्रथाओं में परिवर्तन के आधार पर समीक्षा और अद्यतन जारी रखता है।
17.2। अनुपालन निगरानी
हमने इस सूचना सुरक्षा नीति और संबंधित सुरक्षा नियंत्रणों के अनुपालन की निगरानी के लिए प्रक्रियाएं स्थापित की हैं। अनुपालन निगरानी में नियमित ऑडिट, मूल्यांकन और सुरक्षा नियंत्रणों की समीक्षा, और इस नीति के उद्देश्यों को प्राप्त करने में उनकी प्रभावशीलता शामिल है।
17.3। सुरक्षा घटनाओं की रिपोर्टिंग
हमने अपनी सूचना प्रणाली से संबंधित सुरक्षा घटनाओं की रिपोर्टिंग के लिए प्रक्रियाएँ स्थापित की हैं, जिनमें व्यक्तियों के व्यक्तिगत डेटा से संबंधित घटनाएँ भी शामिल हैं। कर्मचारियों, ठेकेदारों और अन्य हितधारकों को प्रोत्साहित किया जाता है कि वे जितनी जल्दी हो सके नामित सुरक्षा दल को किसी भी सुरक्षा घटना या संदिग्ध घटना की सूचना दें।
17.4. प्रशिक्षण और जागरूकता
हम यह सुनिश्चित करने के लिए कर्मचारियों, ठेकेदारों और अन्य हितधारकों को नियमित प्रशिक्षण और जागरूकता कार्यक्रम प्रदान करते हैं कि वे सूचना सुरक्षा से संबंधित अपनी जिम्मेदारियों और दायित्वों से अवगत हैं। इसमें सुरक्षा नीतियों और प्रक्रियाओं पर प्रशिक्षण और व्यक्तियों के व्यक्तिगत डेटा की सुरक्षा के उपाय शामिल हैं।
17.5. जिम्मेदारी और जवाबदेही
हम इस सूचना सुरक्षा नीति और संबंधित सुरक्षा नियंत्रणों के अनुपालन के लिए सभी कर्मचारियों, ठेकेदारों और अन्य हितधारकों को जिम्मेदार और जवाबदेह ठहराते हैं। हम यह सुनिश्चित करने के लिए प्रबंधन को भी जवाबदेह ठहराते हैं कि प्रभावी सूचना सुरक्षा नियंत्रणों को लागू करने और बनाए रखने के लिए उपयुक्त संसाधन आवंटित किए गए हैं।
यह सूचना सुरक्षा नीति Euroepan IT प्रमाणन संस्थान के सूचना सुरक्षा प्रबंधन ढांचे का एक महत्वपूर्ण घटक है और सूचना संपत्तियों और संसाधित डेटा की सुरक्षा, गोपनीयता, गोपनीयता, अखंडता और सूचना की उपलब्धता सुनिश्चित करने और विनियामक और संविदात्मक आवश्यकताओं का अनुपालन करने के लिए हमारी प्रतिबद्धता को प्रदर्शित करती है।