सूचना सुरक्षा नीति
EITCA एकेडेमी सूचना सुरक्षा नीति
यो कागजातले युरोपेली IT प्रमाणीकरण संस्थानको सूचना सुरक्षा नीति (ISP) निर्दिष्ट गर्दछ, जसको प्रभावकारिता र सान्दर्भिकता सुनिश्चित गर्न नियमित रूपमा समीक्षा र अद्यावधिक गरिन्छ। EITCI सूचना सुरक्षा नीतिको अन्तिम अपडेट 7 जनवरी 2023 मा गरिएको थियो।
भाग १. परिचय र सूचना सुरक्षा नीति कथन
1.1। परिचय
युरोपेली आईटी प्रमाणीकरण संस्थानले जानकारीको गोपनीयता, अखण्डता र उपलब्धता र हाम्रा सरोकारवालाहरूको विश्वास कायम राख्न सूचना सुरक्षाको महत्त्वलाई मान्यता दिन्छ। हामी व्यक्तिगत डेटा सहित संवेदनशील जानकारीलाई अनधिकृत पहुँच, खुलासा, परिवर्तन र विनाशबाट जोगाउन प्रतिबद्ध छौं। हामीले हाम्रा ग्राहकहरूलाई भरपर्दो र निष्पक्ष प्रमाणीकरण सेवाहरू प्रदान गर्ने हाम्रो मिशनलाई समर्थन गर्न प्रभावकारी सूचना सुरक्षा नीति कायम राख्छौं। सूचना सुरक्षा नीतिले सूचना सम्पदाको सुरक्षा गर्न र हाम्रा कानुनी, नियामक र संविदात्मक दायित्वहरू पूरा गर्ने हाम्रो प्रतिबद्धतालाई रूपरेखा दिन्छ। हाम्रो नीति ISO 27001 र ISO 17024 को सिद्धान्तहरूमा आधारित छ, सूचना सुरक्षा व्यवस्थापन र प्रमाणीकरण निकाय सञ्चालन मापदण्डहरूको लागि अग्रणी अन्तर्राष्ट्रिय मापदण्डहरू।
१.२। नीति कथन
युरोपेली आईटी प्रमाणीकरण संस्थान यसका लागि प्रतिबद्ध छ:
- गोप्यता, अखण्डता, र जानकारी सम्पत्तिहरूको उपलब्धताको रक्षा गर्दै,
- यसको प्रमाणीकरण प्रक्रियाहरू र सञ्चालनहरू कार्यान्वयन गर्दै सूचना सुरक्षा र डाटाको प्रशोधनसँग सम्बन्धित कानूनी, नियामक, र अनुबंधात्मक दायित्वहरूको पालना गर्दै,
- यसको सूचना सुरक्षा नीति र सम्बन्धित व्यवस्थापन प्रणालीलाई निरन्तर सुधार गर्दै,
- कर्मचारी, ठेकेदार र सहभागीहरूलाई पर्याप्त तालिम र जागरूकता प्रदान गर्ने,
- सूचना सुरक्षा नीति र सम्बन्धित सूचना सुरक्षा व्यवस्थापन प्रणालीको कार्यान्वयन र मर्मत सम्भारमा सबै कर्मचारी र ठेकेदारहरूलाई संलग्न गराउने।
Sc. स्कोप
यो नीति युरोपेली IT प्रमाणीकरण संस्थान द्वारा स्वामित्व, नियन्त्रित, वा प्रशोधन गरिएका सबै जानकारी सम्पत्तिहरूमा लागू हुन्छ। यसले सबै डिजिटल र भौतिक जानकारी सम्पत्तिहरू समावेश गर्दछ, जस्तै प्रणालीहरू, नेटवर्कहरू, सफ्टवेयर, डाटा, र कागजातहरू। यो नीति सबै कर्मचारीहरू, ठेकेदारहरू, र हाम्रो जानकारी सम्पत्तिहरू पहुँच गर्ने तेस्रो-पक्ष सेवा प्रदायकहरूमा पनि लागू हुन्छ।
1.4। अनुपालन
युरोपेली IT प्रमाणीकरण संस्थान ISO 27001 र ISO 17024 लगायत सान्दर्भिक सूचना सुरक्षा मापदण्डहरूको पालना गर्न प्रतिबद्ध छ। हामी नियमित रूपमा यस नीतिको समीक्षा र अद्यावधिक गर्छौं ताकि यसको चलिरहेको प्रासंगिकता र यी मापदण्डहरूको अनुपालन सुनिश्चित होस्।
भाग २. संगठनात्मक सुरक्षा
२.१। संगठन सुरक्षा लक्ष्यहरू
संगठनात्मक सुरक्षा उपायहरू लागू गरेर, हामीले हाम्रो जानकारी सम्पत्ति र डेटा प्रशोधन अभ्यासहरू र प्रक्रियाहरू उच्च स्तरको सुरक्षा र अखण्डताका साथ सञ्चालन गरिन्छन्, र हामी सान्दर्भिक कानुनी नियमहरू र मापदण्डहरूको पालना गर्छौं भन्ने कुरा सुनिश्चित गर्ने लक्ष्य राख्छौं।
२.२। सूचना सुरक्षा भूमिका र जिम्मेवारीहरू
युरोपेली आईटी प्रमाणीकरण संस्थानले संगठन भरि सूचना सुरक्षाको लागि भूमिका र जिम्मेवारीहरू परिभाषित र सञ्चार गर्दछ। यसमा सूचना सुरक्षाको सन्दर्भमा सूचना सम्पत्तिहरूको लागि स्पष्ट स्वामित्व तोक्ने, शासन संरचना स्थापना गर्ने, र संगठनका विभिन्न भूमिका र विभागहरूका लागि विशिष्ट जिम्मेवारीहरू परिभाषित गर्ने समावेश छ।
2.3.। जोखिम व्यवस्थापन
हामी व्यक्तिगत डेटा प्रशोधनसँग सम्बन्धित जोखिमहरू सहित संगठनमा सूचना सुरक्षा जोखिमहरू पहिचान गर्न र प्राथमिकता दिन नियमित जोखिम मूल्याङ्कनहरू सञ्चालन गर्छौं। हामी यी जोखिमहरूलाई कम गर्न उपयुक्त नियन्त्रणहरू स्थापना गर्छौं, र व्यापार वातावरण र खतरा परिदृश्यमा परिवर्तनहरूको आधारमा हाम्रो जोखिम व्यवस्थापन दृष्टिकोणलाई नियमित रूपमा समीक्षा र अद्यावधिक गर्छौं।
२.४ सूचना सुरक्षा नीति र प्रक्रियाहरू
हामी सूचना सुरक्षा नीतिहरू र प्रक्रियाहरूको सेट स्थापना र कायम राख्छौं जुन उद्योगका उत्कृष्ट अभ्यासहरूमा आधारित हुन्छ र सान्दर्भिक नियमहरू र मापदण्डहरूको पालना गर्दछ। यी नीतिहरू र प्रक्रियाहरूले व्यक्तिगत डेटा प्रशोधन सहित जानकारी सुरक्षाका सबै पक्षहरूलाई समेट्छन्, र तिनीहरूको प्रभावकारिता सुनिश्चित गर्न नियमित रूपमा समीक्षा र अद्यावधिक गरिन्छ।
२.५ सुरक्षा जागरूकता र प्रशिक्षण
हामी सबै कर्मचारी, ठेकेदार, र व्यक्तिगत डेटा वा अन्य संवेदनशील जानकारीमा पहुँच भएका तेस्रो-पक्ष साझेदारहरूलाई नियमित सुरक्षा जागरूकता र प्रशिक्षण कार्यक्रमहरू प्रदान गर्छौं। यस प्रशिक्षणले फिसिङ, सामाजिक इन्जिनियरिङ, पासवर्ड स्वच्छता, र अन्य जानकारी सुरक्षा उत्तम अभ्यासहरू जस्ता विषयहरू समेट्छ।
२.६ भौतिक र वातावरणीय सुरक्षा
हामी हाम्रा सुविधाहरू र सूचना प्रणालीहरूमा अनधिकृत पहुँच, क्षति, वा हस्तक्षेपबाट जोगाउन उपयुक्त भौतिक र वातावरणीय सुरक्षा नियन्त्रणहरू लागू गर्छौं। यसमा पहुँच नियन्त्रण, निगरानी, निगरानी, र ब्याकअप पावर र शीतलन प्रणाली जस्ता उपायहरू समावेश छन्।
२.७ सूचना सुरक्षा घटना व्यवस्थापन
हामीले घटना व्यवस्थापन प्रक्रिया स्थापना गरेका छौं जसले हामीलाई हुन सक्ने कुनै पनि सूचना सुरक्षा घटनाहरूमा छिटो र प्रभावकारी रूपमा प्रतिक्रिया दिन सक्षम बनाउँछ। यसमा रिपोर्टिङ, वृद्धि, अनुसन्धान, र घटनाहरूको समाधानका लागि प्रक्रियाहरू, साथै पुनरावृत्ति रोक्न र हाम्रो घटना प्रतिक्रिया क्षमताहरू सुधार गर्ने उपायहरू समावेश छन्।
२.८। परिचालन निरन्तरता र प्रकोप रिकभरी
हामीले अपरेशनल निरन्तरता र प्रकोप रिकभरी योजनाहरू स्थापना र परीक्षण गरेका छौं जसले हामीलाई अवरोध वा प्रकोपको घटनामा हाम्रा महत्वपूर्ण सञ्चालन कार्यहरू र सेवाहरू कायम राख्न सक्षम बनाउँछ। यी योजनाहरूमा डाटा र प्रणालीहरूको ब्याकअप र रिकभरीको लागि प्रक्रियाहरू, र व्यक्तिगत डाटाको उपलब्धता र अखण्डता सुनिश्चित गर्ने उपायहरू समावेश छन्।
२.९ तेस्रो-पक्ष व्यवस्थापन
हामी व्यक्तिगत डेटा वा अन्य संवेदनशील जानकारीमा पहुँच भएका तेस्रो-पक्ष साझेदारहरूसँग सम्बन्धित जोखिमहरू व्यवस्थापन गर्न उपयुक्त नियन्त्रणहरू स्थापना र कायम राख्छौं। यसमा उचित लगनशीलता, अनुबंधात्मक दायित्वहरू, अनुगमन, र लेखा परीक्षणहरू, साथै आवश्यक पर्दा साझेदारी समाप्त गर्ने उपायहरू समावेश छन्।
भाग 3. मानव संसाधन सुरक्षा
३.१। रोजगार स्क्रिनिङ
युरोपेली आईटी प्रमाणीकरण संस्थानले संवेदनशील जानकारीमा पहुँच भएका व्यक्तिहरू विश्वसनीय छन् र आवश्यक सीप र योग्यताहरू छन् भनी सुनिश्चित गर्नको लागि रोजगारी जाँचको प्रक्रिया स्थापना गरेको छ।
२. पहुँच नियन्त्रण
हामीले पहुँच नियन्त्रण नीतिहरू र प्रक्रियाहरू स्थापना गरेका छौं कि कर्मचारीहरूले उनीहरूको कामको जिम्मेवारीहरूको लागि आवश्यक जानकारीमा मात्र पहुँच गर्न सक्छन्। पहुँच अधिकारहरू नियमित रूपमा समीक्षा गरिन्छ र अद्यावधिक गरिन्छ कि कर्मचारीहरूले उनीहरूलाई आवश्यक जानकारी मात्र पहुँच गर्न सक्छन्।
३.३। सूचना सुरक्षा जागरूकता र प्रशिक्षण
हामी नियमित रूपमा सबै कर्मचारीहरूलाई सूचना सुरक्षा जागरूकता प्रशिक्षण प्रदान गर्दछौं। यस तालिमले पासवर्ड सुरक्षा, फिसिङ आक्रमण, सामाजिक इन्जिनियरिङ र साइबर सुरक्षाका अन्य पक्षहरू जस्ता विषयहरू समेट्छ।
3.4. स्वीकार्य प्रयोग
हामीले एक स्वीकार्य उपयोग नीति स्थापना गरेका छौं जसले कार्य उद्देश्यका लागि प्रयोग गरिएका व्यक्तिगत उपकरणहरू सहित सूचना प्रणाली र स्रोतहरूको स्वीकार्य प्रयोगलाई रूपरेखा दिन्छ।
३.५ मोबाइल उपकरण सुरक्षा
हामीले पासकोडहरू, इन्क्रिप्सन, र रिमोट वाइपिंग क्षमताहरूको प्रयोग सहित मोबाइल उपकरणहरूको सुरक्षित प्रयोगको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
३.६। समाप्ति प्रक्रियाहरू
युरोपेली आईटी प्रमाणीकरण संस्थानले संवेदनशील जानकारीमा पहुँच तुरुन्त र सुरक्षित रूपमा खारेज गरिएको सुनिश्चित गर्नको लागि रोजगार वा सम्झौताको समाप्तिको लागि प्रक्रियाहरू स्थापना गरेको छ।
३.७ तेस्रो-पक्ष कर्मचारी
हामीले संवेदनशील जानकारीमा पहुँच भएका तेस्रो-पक्ष कर्मचारीहरूको व्यवस्थापनको लागि प्रक्रियाहरू स्थापना गरेका छौं। यी नीतिहरूमा स्क्रीनिंग, पहुँच नियन्त्रण, र सूचना सुरक्षा जागरूकता प्रशिक्षण समावेश छ।
३.८। घटनाहरू रिपोर्ट गर्दै
हामीले उपयुक्त कर्मचारी वा अधिकारीहरूलाई सूचना सुरक्षा घटनाहरू वा चिन्ताहरू रिपोर्ट गर्ने नीति र प्रक्रियाहरू स्थापित गरेका छौं।
३.९। गोपनीयता सम्झौताहरू
युरोपेली IT प्रमाणीकरण संस्थानले संवेदनशील जानकारीलाई अनधिकृत खुलासाबाट जोगाउन कर्मचारी र ठेकेदारहरूलाई गोपनीयता सम्झौतामा हस्ताक्षर गर्न आवश्यक छ।
3.10. अनुशासनात्मक कार्यहरू
युरोपेली आईटी प्रमाणीकरण संस्थानले कर्मचारी वा ठेकेदारहरूद्वारा सूचना सुरक्षा नीति उल्लङ्घनको अवस्थामा अनुशासनात्मक कार्यहरूको लागि नीति र प्रक्रियाहरू स्थापना गरेको छ।
भाग 4. जोखिम मूल्याङ्कन र व्यवस्थापन
4.1। जोखिम आकलन
हामी हाम्रो जानकारी सम्पत्तिहरूमा सम्भावित खतराहरू र कमजोरीहरू पहिचान गर्न आवधिक जोखिम मूल्याङ्कनहरू सञ्चालन गर्छौं। हामी तिनीहरूको सम्भावना र सम्भावित प्रभावको आधारमा जोखिमहरू पहिचान गर्न, विश्लेषण गर्न, मूल्याङ्कन गर्न र प्राथमिकता दिनको लागि संरचित दृष्टिकोण प्रयोग गर्छौं। हामी प्रणाली, नेटवर्क, सफ्टवेयर, डाटा, र कागजातहरू सहित हाम्रो सूचना सम्पत्तिहरूसँग सम्बन्धित जोखिमहरूको मूल्याङ्कन गर्छौं।
४.२। जोखिम उपचार
हामी स्वीकार्य स्तरमा जोखिम कम गर्न वा कम गर्न जोखिम उपचार प्रक्रिया प्रयोग गर्छौं। जोखिम उपचार प्रक्रियामा उपयुक्त नियन्त्रणहरू चयन गर्ने, नियन्त्रणहरू लागू गर्ने, र नियन्त्रणहरूको प्रभावकारिताको अनुगमन गर्ने समावेश छ। हामी जोखिम स्तर, उपलब्ध स्रोतहरू, र व्यापार प्राथमिकताहरूमा आधारित नियन्त्रणहरूको कार्यान्वयनलाई प्राथमिकता दिन्छौं।
४.३। जोखिम अनुगमन र समीक्षा
हामी नियमित रूपमा हाम्रो जोखिम व्यवस्थापन प्रक्रियाको प्रभावकारितालाई सान्दर्भिक र प्रभावकारी रहेको सुनिश्चित गर्नको लागि अनुगमन र समीक्षा गर्छौं। हामी हाम्रो जोखिम व्यवस्थापन प्रक्रियाको कार्यसम्पादन मापन गर्न र सुधारका लागि अवसरहरू पहिचान गर्न मेट्रिक्स र सूचकहरू प्रयोग गर्छौं। हामी हाम्रो जोखिम व्यवस्थापन प्रक्रियाको निरन्तर उपयुक्तता, पर्याप्तता र प्रभावकारिता सुनिश्चित गर्न हाम्रो आवधिक व्यवस्थापन समीक्षाहरूको भागको रूपमा पनि समीक्षा गर्छौं।
४.४। जोखिम प्रतिक्रिया योजना
हामीले कुनै पनि पहिचान गरिएका जोखिमहरूमा प्रभावकारी रूपमा प्रतिक्रिया दिन सक्छौँ भन्ने सुनिश्चित गर्न हामीसँग जोखिम प्रतिक्रिया योजना छ। यस योजनामा जोखिमहरू पहिचान र रिपोर्ट गर्ने प्रक्रियाहरू, साथै प्रत्येक जोखिमको सम्भावित प्रभाव मूल्याङ्कन गर्ने र उपयुक्त प्रतिक्रिया कार्यहरू निर्धारण गर्ने प्रक्रियाहरू समावेश छन्। हामीसँग महत्त्वपूर्ण जोखिमको घटनामा व्यापार निरन्तरता सुनिश्चित गर्न आकस्मिक योजनाहरू पनि छन्।
४.५ परिचालन प्रभाव विश्लेषण
हामी हाम्रो व्यापार सञ्चालनमा अवरोधहरूको सम्भावित प्रभाव पहिचान गर्न आवधिक व्यापार प्रभाव विश्लेषणहरू सञ्चालन गर्दछौं। यस विश्लेषणमा हाम्रा व्यवसायिक कार्यहरू, प्रणालीहरू, र डेटाको आलोचनात्मकताको मूल्याङ्कन, साथै हाम्रा ग्राहकहरू, कर्मचारीहरू र अन्य सरोकारवालाहरूमा अवरोधहरूको सम्भावित प्रभावको मूल्याङ्कन समावेश छ।
४.६। तेस्रो-पक्ष जोखिम व्यवस्थापन
हाम्रा विक्रेताहरू र अन्य तेस्रो-पक्ष सेवा प्रदायकहरूले पनि उचित रूपमा जोखिमहरू व्यवस्थापन गरिरहेका छन् भनी सुनिश्चित गर्न हामीसँग तेस्रो-पक्ष जोखिम व्यवस्थापन कार्यक्रम छ। यस कार्यक्रममा तेस्रो पक्षहरूसँग संलग्न हुनु अघि उचित लगनशीलता जाँचहरू, तेस्रो-पक्ष गतिविधिहरूको निरन्तर अनुगमन, र तेस्रो-पक्ष जोखिम व्यवस्थापन अभ्यासहरूको आवधिक मूल्याङ्कनहरू समावेश छन्।
४.७ घटना प्रतिक्रिया र व्यवस्थापन
हामीसँग कुनै पनि सुरक्षा घटनाहरूमा प्रभावकारी रूपमा प्रतिक्रिया दिन सक्छौं भनेर सुनिश्चित गर्न हामीसँग घटना प्रतिक्रिया र व्यवस्थापन योजना छ। यस योजनामा घटनाहरूको पहिचान र रिपोर्ट गर्ने प्रक्रियाहरू, साथै प्रत्येक घटनाको प्रभाव मूल्याङ्कन गर्ने र उपयुक्त प्रतिक्रिया कार्यहरू निर्धारण गर्ने प्रक्रियाहरू समावेश छन्। महत्त्वपूर्ण घटनाको घटनामा महत्त्वपूर्ण व्यापार कार्यहरू जारी राख्न सकिन्छ भन्ने कुरा सुनिश्चित गर्न हामीसँग व्यापार निरन्तरता योजना पनि छ।
भाग 5. भौतिक र वातावरणीय सुरक्षा
५.१। भौतिक सुरक्षा परिधि
हामीले भौतिक परिसर र संवेदनशील जानकारीलाई अनधिकृत पहुँचबाट जोगाउन भौतिक सुरक्षा उपायहरू स्थापना गरेका छौं।
२. पहुँच नियन्त्रण
हामीले भौतिक परिसरको लागि पहुँच नियन्त्रण नीतिहरू र प्रक्रियाहरू स्थापित गरेका छौं कि केवल अधिकृत कर्मचारीहरूले संवेदनशील जानकारीमा पहुँच गर्न सक्छन्।
५.३। उपकरण सुरक्षा
हामी सुनिश्चित गर्छौं कि संवेदनशील जानकारी भएका सबै उपकरणहरू भौतिक रूपमा सुरक्षित छन्, र यस उपकरणमा पहुँच अधिकृत कर्मचारीहरूलाई मात्र सीमित छ।
५.४। सुरक्षित डिस्पोजल
हामीले कागजी कागजातहरू, इलेक्ट्रोनिक मिडिया, र हार्डवेयर लगायतका संवेदनशील जानकारीहरूको सुरक्षित निपटानका लागि प्रक्रियाहरू स्थापना गरेका छौं।
5.5. भौतिक वातावरण
हामी यो सुनिश्चित गर्छौं कि परिसरको भौतिक वातावरण, तापक्रम, आर्द्रता, र प्रकाश सहित, संवेदनशील जानकारीको सुरक्षाको लागि उपयुक्त छ।
Power. पावर सप्लाई
हामी यो सुनिश्चित गर्छौं कि परिसरमा बिजुली आपूर्ति विश्वसनीय छ र बिजुली आउटेज वा सर्जबाट सुरक्षित छ।
5.7. आगो सुरक्षा
हामीले आगो पत्ता लगाउने र दमन गर्ने प्रणालीहरूको स्थापना र मर्मत सहित अग्नि सुरक्षा नीति र प्रक्रियाहरू स्थापना गरेका छौं।
५.८। पानी क्षति संरक्षण
हामीले बाढी पत्ता लगाउने र रोकथाम प्रणालीहरूको स्थापना र मर्मतसम्भार सहित पानीको क्षतिबाट संवेदनशील जानकारीको सुरक्षाका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
Equipment. उपकरण मर्मत
हामीले उपकरणको मर्मतका लागि प्रक्रियाहरू स्थापना गरेका छौं, छेडछाड वा अनाधिकृत पहुँचको संकेतहरूको लागि उपकरणहरूको निरीक्षण सहित।
5.10. स्वीकार्य प्रयोग
हामीले एक स्वीकार्य उपयोग नीति स्थापना गरेका छौं जसले भौतिक स्रोत र सुविधाहरूको स्वीकार्य प्रयोगलाई रूपरेखा दिन्छ।
५.११। दूर पहुँच
हामीले सुरक्षित जडान र इन्क्रिप्शनको प्रयोग सहित संवेदनशील जानकारीमा टाढाको पहुँचको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
५.१२। अनुगमन र निगरानी
हामीले अनाधिकृत पहुँच वा छेडछाड पत्ता लगाउन र रोक्न भौतिक परिसर र उपकरणहरूको निगरानी र निगरानीको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
भाग। 6. संचार र सञ्चालन सुरक्षा
६.१। नेटवर्क सुरक्षा व्यवस्थापन
हामीले नेटवर्क सुरक्षाको व्यवस्थापनका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं, फायरवालहरूको प्रयोग, घुसपैठ पत्ता लगाउने र रोकथाम प्रणालीहरू, र नियमित सुरक्षा लेखा परीक्षणहरू सहित।
६.२। सूचना स्थानान्तरण
हामीले एन्क्रिप्शन र सुरक्षित फाइल ट्रान्सफर प्रोटोकलको प्रयोग सहित संवेदनशील जानकारीको सुरक्षित स्थानान्तरणका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
६.३। तेस्रो-पक्ष संचार
हामीले सुरक्षित जडान र इन्क्रिप्शनको प्रयोग सहित तेस्रो-पक्ष संगठनहरूसँग संवेदनशील जानकारीको सुरक्षित आदानप्रदानका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
६.४। मिडिया ह्यान्डलिंग
हामीले कागजी कागजातहरू, इलेक्ट्रोनिक मिडिया, र पोर्टेबल भण्डारण उपकरणहरू सहित मिडियाका विभिन्न रूपहरूमा संवेदनशील जानकारीको ह्यान्डलिङका लागि प्रक्रियाहरू स्थापना गरेका छौं।
६.५ सूचना प्रणाली विकास र रखरखाव
हामीले सुरक्षित कोडिङ अभ्यासहरू, नियमित सफ्टवेयर अद्यावधिकहरू र प्याच व्यवस्थापनको प्रयोग सहित सूचना प्रणालीहरूको विकास र मर्मतका लागि नीतिहरू र प्रक्रियाहरू स्थापना गरेका छौं।
६.६। मालवेयर र भाइरस संरक्षण
हामीले एन्टिभाइरस सफ्टवेयरको प्रयोग र नियमित सुरक्षा अपडेटहरू सहित मालवेयर र भाइरसहरू विरुद्ध सूचना प्रणालीहरू जोगाउन नीतिहरू र प्रक्रियाहरू स्थापना गरेका छौं।
६.७। ब्याकअप र पुनर्स्थापना
डाटा हराउन वा भ्रष्टाचार रोक्नको लागि हामीले संवेदनशील जानकारीको जगेडा र पुनर्स्थापनाका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
6.8। कार्यक्रम व्यवस्थापन
हामीले सुरक्षा घटना र घटनाहरूको पहिचान, अनुसन्धान र समाधानका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
६.९। जोखिम व्यवस्थापन
हामीले नियमित जोखिम मूल्याङ्कन र प्याच व्यवस्थापनको प्रयोग सहित सूचना प्रणाली कमजोरीहरूको व्यवस्थापनका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
२. पहुँच नियन्त्रण
हामीले पहुँच नियन्त्रण, प्रयोगकर्ता प्रमाणीकरण, र नियमित पहुँच समीक्षाहरूको प्रयोग सहित सूचना प्रणालीहरूमा प्रयोगकर्ता पहुँचको व्यवस्थापनको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
६.११। अनुगमन र लगिङ
हामीले अडिट ट्रेलको प्रयोग र सुरक्षा घटना लगिङ सहित सूचना प्रणाली गतिविधिहरूको अनुगमन र लगिङका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
भाग 7. सूचना प्रणाली अधिग्रहण, विकास र मर्मतसम्भार
7.1। आवश्यकताहरु
हामीले व्यापार आवश्यकताहरू, कानुनी र नियामक आवश्यकताहरू, र सुरक्षा आवश्यकताहरू सहित सूचना प्रणाली आवश्यकताहरूको पहिचानको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
७.२। आपूर्तिकर्ता सम्बन्ध
हामीले आपूर्तिकर्ताहरूको सुरक्षा अभ्यासहरूको मूल्याङ्कन सहित सूचना प्रणाली र सेवाहरूको तेस्रो-पक्ष आपूर्तिकर्ताहरूसँगको सम्बन्धको व्यवस्थापनको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
७.३। प्रणाली विकास
हामीले सूचना प्रणालीको सुरक्षित विकासका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं, जसमा सुरक्षित कोडिङ अभ्यासहरू, नियमित परीक्षण र गुणस्तर आश्वासनको प्रयोग समावेश छ।
7.4. प्रणाली परीक्षण
हामीले कार्यक्षमता परीक्षण, कार्यसम्पादन परीक्षण, र सुरक्षा परीक्षण सहित सूचना प्रणालीहरूको परीक्षणका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
७.५ प्रणाली स्वीकृति
हामीले परीक्षण परिणामहरूको स्वीकृति, सुरक्षा मूल्याङ्कन, र प्रयोगकर्ता स्वीकृति परीक्षण सहित सूचना प्रणालीहरूको स्वीकृतिका लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
7.6. प्रणाली मर्मतसम्भार
हामीले नियमित अपडेटहरू, सुरक्षा प्याचहरू, र प्रणाली ब्याकअपहरू सहित सूचना प्रणालीहरूको मर्मतका लागि नीतिहरू र प्रक्रियाहरू स्थापना गरेका छौं।
७.७। प्रणाली सेवानिवृत्ति
हामीले हार्डवेयर र डाटाको सुरक्षित निपटान सहित सूचना प्रणालीहरूको सेवानिवृत्तिको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
Data. डाटा प्रतिधारण
हामीले कानुनी र नियामक आवश्यकताहरूको अनुपालनमा डेटाको अवधारणको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं, सुरक्षित भण्डारण र संवेदनशील डेटाको निपटान सहित।
७.९। सूचना प्रणालीहरूको लागि सुरक्षा आवश्यकताहरू
हामीले पहुँच नियन्त्रण, इन्क्रिप्सन, र डेटा सुरक्षा सहित सूचना प्रणालीहरूको लागि सुरक्षा आवश्यकताहरूको पहिचान र कार्यान्वयनको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
७.१० सुरक्षित विकास वातावरण
हामीले सुरक्षित विकास अभ्यासहरू, पहुँच नियन्त्रणहरू, र सुरक्षित नेटवर्क कन्फिगरेसनहरूको प्रयोग सहित सूचना प्रणालीहरूको लागि सुरक्षित विकास वातावरणको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
७.११। परिक्षण वातावरण को संरक्षण
हामीले सुरक्षित कन्फिगरेसनहरू, पहुँच नियन्त्रणहरू, र नियमित सुरक्षा परीक्षणको प्रयोग सहित सूचना प्रणालीहरूको लागि परीक्षण वातावरणको सुरक्षाको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
७.१२। सुरक्षित प्रणाली ईन्जिनियरिङ् सिद्धान्तहरू
हामीले सुरक्षा वास्तुकलाको प्रयोग, खतरा मोडलिङ, र सुरक्षित कोडिङ अभ्यासहरू सहित सूचना प्रणालीहरूको लागि सुरक्षित प्रणाली इन्जिनियरिङ सिद्धान्तहरूको कार्यान्वयनको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
७.१३। सुरक्षित कोडिङ दिशानिर्देश
हामीले कोडिङ मापदण्डहरू, कोड समीक्षाहरू, र स्वचालित परीक्षणहरूको प्रयोग सहित सूचना प्रणालीहरूको लागि सुरक्षित कोडिङ दिशानिर्देशहरूको कार्यान्वयनको लागि नीति र प्रक्रियाहरू स्थापना गरेका छौं।
भाग 8. हार्डवेयर अधिग्रहण
८.१। मानकहरूको पालना
हामी सूचना सुरक्षा प्रबन्धन प्रणाली (ISMS) को लागि ISO 27001 मानक पालना गर्छौं कि हार्डवेयर सम्पत्तिहरू हाम्रो सुरक्षा आवश्यकताहरू अनुसार खरिद गरिएको छ।
8.2। जोखिम आकलन
हामी सम्भावित सुरक्षा जोखिमहरू पहिचान गर्न र चयन गरिएको हार्डवेयरले सुरक्षा आवश्यकताहरू पूरा गरेको सुनिश्चित गर्न हार्डवेयर सम्पत्तिहरू खरिद गर्नु अघि जोखिम मूल्याङ्कन गर्छौं।
८.३। विक्रेता चयन
हामी सुरक्षित उत्पादनहरू डेलिभर गर्ने प्रमाणित ट्र्याक रेकर्ड भएका विश्वसनीय विक्रेताहरूबाट मात्र हार्डवेयर सम्पत्तिहरू खरीद गर्छौं। हामी विक्रेताको सुरक्षा नीति र अभ्यासहरू समीक्षा गर्छौं, र उनीहरूलाई उनीहरूको उत्पादनहरूले हाम्रो सुरक्षा आवश्यकताहरू पूरा गर्दछन् भन्ने आश्वासन प्रदान गर्न आवश्यक छ।
८.४। सुरक्षित यातायात
हामी ट्रान्जिटको समयमा छेडछाड, क्षति, वा चोरी रोक्नको लागि हार्डवेयर सम्पत्तिहरू सुरक्षित रूपमा हाम्रो परिसरमा ढुवानी गरिएको छ भनेर सुनिश्चित गर्छौं।
८.५ प्रामाणिकता प्रमाणीकरण
हामी डेलिभरीमा हार्डवेयर सम्पत्तिहरूको प्रमाणिकता प्रमाणित गर्छौं कि तिनीहरू नक्कली वा छेडछाड गरिएका छैनन्।
८.६। भौतिक र वातावरणीय नियन्त्रणहरू
हामी हार्डवेयर सम्पत्तिहरूलाई अनधिकृत पहुँच, चोरी वा क्षतिबाट जोगाउन उपयुक्त भौतिक र वातावरणीय नियन्त्रणहरू लागू गर्छौं।
Hardware. हार्डवेयर स्थापना
हामी सुनिश्चित गर्छौं कि सबै हार्डवेयर सम्पत्तिहरू स्थापित सुरक्षा मापदण्डहरू र दिशानिर्देशहरू अनुसार कन्फिगर र स्थापना गरिएको छ।
८.८। हार्डवेयर समीक्षा
हामी हार्डवेयर सम्पत्तिहरूको आवधिक समीक्षाहरू सञ्चालन गर्छौं कि तिनीहरूले हाम्रो सुरक्षा आवश्यकताहरू पूरा गर्न जारी राख्छन् र नवीनतम सुरक्षा प्याचहरू र अद्यावधिकहरूसँग अप-टु-डेट छन्।
८.९। हार्डवेयर डिस्पोजल
हामी संवेदनशील जानकारीमा अनाधिकृत पहुँच रोक्नको लागि सुरक्षित तरिकामा हार्डवेयर सम्पत्तिहरू डिस्पोज गर्छौं।
भाग 9. मालवेयर र भाइरस संरक्षण
९.१। सफ्टवेयर अपडेट गर्ने नीति
हामी सर्भर, वर्कस्टेशन, ल्यापटप, र मोबाइल उपकरणहरू सहित युरोपेली IT प्रमाणीकरण संस्थानले प्रयोग गर्ने सबै सूचना प्रणालीहरूमा एन्टि-भाइरस र मालवेयर सुरक्षा सफ्टवेयरलाई अद्यावधिक राख्छौं। हामी सुनिश्चित गर्छौं कि एन्टिभाइरस र मालवेयर सुरक्षा सफ्टवेयर नियमित रूपमा यसको भाइरस परिभाषा फाइलहरू र सफ्टवेयर संस्करणहरू स्वचालित रूपमा अद्यावधिक गर्न कन्फिगर गरिएको छ, र यो प्रक्रिया नियमित रूपमा परीक्षण गरिन्छ।
९.२। एन्टी-भाइरस र मालवेयर स्क्यानिङ
हामी कुनै पनि भाइरस वा मालवेयर पत्ता लगाउन र हटाउन सर्भरहरू, वर्कस्टेशनहरू, ल्यापटपहरू, र मोबाइल उपकरणहरू सहित सबै सूचना प्रणालीहरूको नियमित स्क्यान गर्छौं।
९.३। कुनै-अक्षमता र नो-परिवर्तन नीति
हामी नीतिहरू लागू गर्छौं जसले प्रयोगकर्ताहरूलाई कुनै पनि सूचना प्रणालीमा एन्टि-भाइरस र मालवेयर सुरक्षा सफ्टवेयर असक्षम वा परिवर्तन गर्नबाट रोक्छ।
9.4। अनुगमन गर्दै
हामी हाम्रो एन्टि-भाइरस र मालवेयर सुरक्षा सफ्टवेयर अलर्टहरू र लगहरू भाइरस वा मालवेयर संक्रमणको कुनै पनि घटनाहरू पहिचान गर्नको लागि निगरानी गर्छौं, र त्यस्ता घटनाहरूलाई समयमै प्रतिक्रिया दिन्छौं।
९.५ अभिलेख मर्मत सम्भार
हामी एन्टी-भाइरस र मालवेयर सुरक्षा सफ्टवेयर कन्फिगरेसन, अद्यावधिकहरू, र स्क्यानहरू, साथै भाइरस वा मालवेयर संक्रमणको कुनै पनि घटनाहरू, लेखा परीक्षण उद्देश्यका लागि रेकर्ड राख्छौं।
९.६। सफ्टवेयर समीक्षा
हामी हाम्रो एन्टि-भाइरस र मालवेयर सुरक्षा सफ्टवेयरको आवधिक समीक्षाहरू सञ्चालन गर्छौं कि यसले हालको उद्योग मापदण्डहरू पूरा गर्छ र हाम्रा आवश्यकताहरूका लागि पर्याप्त छ।
9.7. प्रशिक्षण र जागरूकता
हामी सबै कर्मचारीहरूलाई भाइरस र मालवेयर सुरक्षाको महत्त्व, र कुनै पनि संदिग्ध गतिविधि वा घटनाहरूलाई कसरी चिन्ने र रिपोर्ट गर्ने भनेर शिक्षित गर्न प्रशिक्षण र सचेतना कार्यक्रमहरू प्रदान गर्छौं।
भाग 10. सूचना सम्पत्ति व्यवस्थापन
१०.१। जानकारी सम्पत्ति सूची
युरोपेली आईटी प्रमाणीकरण संस्थानले सबै डिजिटल र भौतिक जानकारी सम्पत्तिहरू, जस्तै प्रणाली, नेटवर्क, सफ्टवेयर, डाटा, र कागजातहरू समावेश गर्ने सूचना सम्पत्तिहरूको सूची राख्छ। हामी उपयुक्त सुरक्षा उपायहरू लागू गरिएको छ भनी सुनिश्चित गर्न तिनीहरूको आलोचनात्मकता र संवेदनशीलताको आधारमा जानकारी सम्पत्तिहरूलाई वर्गीकरण गर्छौं।
१०.२। जानकारी सम्पत्ति ह्यान्डलिंग
हामी गोपनीयता, अखण्डता र उपलब्धता सहितको वर्गीकरणको आधारमा जानकारी सम्पत्तिहरूको सुरक्षा गर्न उपयुक्त उपायहरू लागू गर्छौं। हामी सुनिश्चित गर्छौं कि सबै जानकारी सम्पत्तिहरू लागू कानून, नियमहरू, र अनुबंध आवश्यकताहरू अनुसार ह्यान्डल गरिएको छ। हामी यो पनि सुनिश्चित गर्छौं कि सबै जानकारी सम्पत्तिहरू ठीकसँग भण्डारण गरिएको छ, सुरक्षित छ, र आवश्यक पर्दैन जब डिस्पोज गरिएको छ।
१०.३। जानकारी सम्पत्ति स्वामित्व
हामी जानकारी सम्पत्ति व्यवस्थापन र सुरक्षाको लागि जिम्मेवार व्यक्ति वा विभागहरूलाई जानकारी सम्पत्ति स्वामित्व प्रदान गर्दछौं। हामी यो पनि सुनिश्चित गर्छौं कि जानकारी सम्पत्ति मालिकहरूले जानकारी सम्पत्तिहरूको सुरक्षाको लागि उनीहरूको जिम्मेवारी र जवाफदेहिताहरू बुझ्दछन्।
१०.४। जानकारी सम्पत्ति संरक्षण
हामी भौतिक नियन्त्रणहरू, पहुँच नियन्त्रणहरू, इन्क्रिप्शन, र ब्याकअप र रिकभरी प्रक्रियाहरू सहित जानकारी सम्पत्तिहरू सुरक्षित गर्न विभिन्न सुरक्षा उपायहरू प्रयोग गर्छौं। हामी यो पनि सुनिश्चित गर्छौं कि सबै जानकारी सम्पत्तिहरू अनधिकृत पहुँच, परिमार्जन, वा विनाशबाट सुरक्षित छन्।
भाग ११। पहुँच नियन्त्रण
११.१। पहुँच नियन्त्रण नीति
युरोपेली IT प्रमाणीकरण संस्थानसँग पहुँच नियन्त्रण नीति छ जसले जानकारी सम्पत्तिहरूमा पहुँच प्रदान गर्ने, परिमार्जन गर्ने र रद्द गर्ने आवश्यकताहरू रेखांकित गर्दछ। पहुँच नियन्त्रण हाम्रो सूचना सुरक्षा प्रबन्धन प्रणालीको एक महत्वपूर्ण भाग हो, र हामी यो सुनिश्चित गर्नका लागि लागू गर्छौं कि आधिकारिक व्यक्तिहरूले मात्र हाम्रो जानकारी सम्पत्तिहरूमा पहुँच गर्न सक्छन्।
११.२। पहुँच नियन्त्रण कार्यान्वयन
हामी कम्तिमा विशेषाधिकारको सिद्धान्तमा आधारित पहुँच नियन्त्रण उपायहरू लागू गर्छौं, जसको मतलब व्यक्तिहरूसँग उनीहरूको काम कार्यहरू गर्न आवश्यक जानकारी सम्पत्तिहरूमा मात्र पहुँच हुन्छ। हामी प्रमाणीकरण, प्राधिकरण, र लेखा (AAA) सहित विभिन्न पहुँच नियन्त्रण उपायहरू प्रयोग गर्छौं। हामी पहुँच नियन्त्रण सूचीहरू (ACLs) र सूचना सम्पत्तिहरूमा पहुँच नियन्त्रण गर्न अनुमतिहरू पनि प्रयोग गर्छौं।
11.3. पासवर्ड नीति
युरोपेली आईटी प्रमाणीकरण संस्थानसँग पासवर्ड नीति छ जसले पासवर्डहरू सिर्जना गर्न र व्यवस्थापन गर्नका लागि आवश्यकताहरू रेखांकित गर्दछ। हामीलाई अपरकेस र लोअरकेस अक्षरहरू, संख्याहरू र विशेष क्यारेक्टरहरूको संयोजनको साथ कम्तिमा 8 क्यारेक्टर लामो भएका बलियो पासवर्डहरू चाहिन्छ। हामीलाई आवधिक पासवर्ड परिवर्तनहरू पनि आवश्यक छ र अघिल्लो पासवर्डहरूको पुन: प्रयोगलाई निषेध गर्दछ।
१०. प्रयोगकर्ता व्यवस्थापन
हामीसँग प्रयोगकर्ता व्यवस्थापन प्रक्रिया छ जसमा प्रयोगकर्ता खाताहरू सिर्जना गर्ने, परिमार्जन गर्ने र मेटाउने समावेश छ। प्रयोगकर्ता खाताहरू कम से कम विशेषाधिकारको सिद्धान्तमा आधारित बनाइन्छ, र पहुँच व्यक्तिको काम कार्यहरू गर्न आवश्यक जानकारी सम्पत्तिहरूमा मात्र प्रदान गरिन्छ। हामी पनि नियमित रूपमा प्रयोगकर्ता खाताहरू समीक्षा गर्छौं र अब आवश्यक नभएका खाताहरू हटाउँछौं।
भाग 12. सूचना सुरक्षा घटना व्यवस्थापन
१२.१। घटना व्यवस्थापन नीति
युरोपेली IT प्रमाणीकरण संस्थानसँग एक घटना व्यवस्थापन नीति छ जसले सुरक्षा घटनाहरू पत्ता लगाउन, रिपोर्टिङ गर्ने, मूल्याङ्कन गर्ने र प्रतिक्रिया दिनका लागि आवश्यकताहरूलाई रूपरेखा दिन्छ। हामी सुरक्षा घटनाहरूलाई गोपनीयता, अखण्डता, वा सूचना सम्पत्ति वा प्रणालीहरूको उपलब्धतामा सम्झौता गर्ने कुनै पनि घटनाको रूपमा परिभाषित गर्छौं।
१२.२। घटना पत्ता लगाउने र रिपोर्टिङ
हामी सुरक्षा घटनाहरू तुरुन्तै पत्ता लगाउन र रिपोर्ट गर्न उपायहरू लागू गर्छौं। हामी घुसपैठ पत्ता लगाउने प्रणाली (IDS), एन्टिभाइरस सफ्टवेयर, र प्रयोगकर्ता रिपोर्टिङ सहित सुरक्षा घटनाहरू पत्ता लगाउन विभिन्न विधिहरू प्रयोग गर्छौं। हामी यो पनि सुनिश्चित गर्छौं कि सबै कर्मचारीहरू सुरक्षा घटनाहरू रिपोर्ट गर्ने प्रक्रियाहरू बारे सचेत छन् र सबै संदिग्ध घटनाहरूको रिपोर्टिङलाई प्रोत्साहन दिन्छौं।
१२.३। घटना मूल्याङ्कन र प्रतिक्रिया
हामीसँग सुरक्षा घटनाहरूको गम्भीरता र प्रभावको आधारमा मूल्याङ्कन र प्रतिक्रिया दिने प्रक्रिया छ। हामी सूचना सम्पत्ति वा प्रणालीहरूमा तिनीहरूको सम्भावित प्रभावको आधारमा घटनाहरूलाई प्राथमिकता दिन्छौं र तिनीहरूलाई प्रतिक्रिया दिन उपयुक्त स्रोतहरू आवंटित गर्छौं। हामीसँग एक प्रतिक्रिया योजना पनि छ जसमा सुरक्षा घटनाहरू पहिचान गर्ने, समावेश गर्ने, विश्लेषण गर्ने, उन्मूलन गर्ने र पुन: प्राप्ति गर्ने प्रक्रियाहरू समावेश छन्, साथै सम्बन्धित पक्षहरूलाई सूचित गर्ने, र घटना पछि समीक्षाहरू सञ्चालन गर्ने हाम्रो घटना प्रतिक्रिया प्रक्रियाहरू द्रुत र प्रभावकारी प्रतिक्रिया सुनिश्चित गर्न डिजाइन गरिएको छ। सुरक्षा घटनाहरूमा। तिनीहरूको प्रभावकारिता र सान्दर्भिकता सुनिश्चित गर्न प्रक्रियाहरू नियमित रूपमा समीक्षा र अद्यावधिक गरिन्छ।
१२.४। घटना प्रतिक्रिया टोली
हामीसँग एक घटना प्रतिक्रिया टोली (IRT) छ जुन सुरक्षा घटनाहरूमा प्रतिक्रिया दिन जिम्मेवार छ। आईआरटी विभिन्न एकाइका प्रतिनिधिहरू मिलेर बनेको छ र यसको नेतृत्व सूचना सुरक्षा अधिकारी (आईएसओ) ले गर्छ। आईआरटी घटनाहरूको गम्भीरता मूल्याङ्कन गर्न, घटना समावेश गर्न, र उपयुक्त प्रतिक्रिया प्रक्रियाहरू सुरु गर्न जिम्मेवार छ।
१२.५ घटना रिपोर्टिङ र समीक्षा
हामीले लागू कानून र नियमहरू अनुसार ग्राहकहरू, नियामक निकायहरू, र कानून प्रवर्तन एजेन्सीहरू लगायत सम्बन्धित पक्षहरूलाई सुरक्षा घटनाहरू रिपोर्ट गर्ने प्रक्रियाहरू स्थापित गरेका छौं। हामी घटनाको प्रतिक्रिया प्रक्रियामा प्रभावित पक्षहरूसँग सञ्चार कायम राख्छौं, घटनाको स्थिति र यसको प्रभावलाई कम गर्नका लागि गरिएका कुनै पनि कारबाहीहरूमा समयमै अद्यावधिकहरू प्रदान गर्दछौं। हामी सबै सुरक्षा घटनाहरूको मूल कारण पहिचान गर्न र भविष्यमा यस्तै घटनाहरू हुन नदिनको लागि समीक्षा पनि गर्छौं।
भाग 13. व्यापार निरन्तरता व्यवस्थापन र आपदा रिकभरी
१३.१। व्यापार निरन्तरता योजना
यद्यपि युरोपेली आईटी प्रमाणीकरण संस्थान एक गैर-लाभकारी संस्था हो योसँग व्यापार निरन्तरता योजना (BCP) छ जसले विघटनकारी घटनाको घटनामा यसको सञ्चालनको निरन्तरता सुनिश्चित गर्ने प्रक्रियाहरूलाई रूपरेखा दिन्छ। BCP ले सबै महत्वपूर्ण सञ्चालन प्रक्रियाहरू समेट्छ र विघटनकारी घटनाको समयमा र पछि सञ्चालनहरू कायम राख्न आवश्यक स्रोतहरू पहिचान गर्दछ। यसले अवरोध वा प्रकोपको समयमा व्यापार सञ्चालनहरू कायम राख्न, अवरोधहरूको प्रभावको मूल्याङ्कन गर्ने, विशेष विघटनकारी घटनाको सन्दर्भमा सबैभन्दा महत्त्वपूर्ण सञ्चालन प्रक्रियाहरू पहिचान गर्ने, र प्रतिक्रिया र रिकभरी प्रक्रियाहरू विकास गर्ने प्रक्रियाहरूको रूपरेखा पनि दिन्छ।
१३.२। प्रकोप रिकभरी योजना
युरोपेली आईटी प्रमाणीकरण संस्थानसँग एक आपदा रिकभरी प्लान (DRP) छ जसले कुनै अवरोध वा विपत्तिको अवस्थामा हाम्रो सूचना प्रणालीलाई पुन: प्राप्ति गर्ने प्रक्रियाहरूलाई रूपरेखा दिन्छ। DRP मा डाटा ब्याकअप, डाटा पुनर्स्थापना, र प्रणाली रिकभरीको लागि प्रक्रियाहरू समावेश छन्। DRP को प्रभावकारिता सुनिश्चित गर्न नियमित रूपमा परीक्षण र अद्यावधिक गरिन्छ।
१३.३। व्यापार प्रभाव विश्लेषण
हामी महत्वपूर्ण सञ्चालन प्रक्रियाहरू र तिनीहरूलाई कायम राख्न आवश्यक स्रोतहरू पहिचान गर्न व्यवसाय प्रभाव विश्लेषण (BIA) सञ्चालन गर्छौं। BIA ले हामीलाई हाम्रो रिकभरी प्रयासहरूलाई प्राथमिकता दिन र तदनुसार स्रोतहरू बाँडफाँड गर्न मद्दत गर्दछ।
१३.४। व्यापार निरन्तरता रणनीति
BIA को नतिजाको आधारमा, हामी एक व्यापार निरन्तरता रणनीति विकास गर्छौं जसले विघटनकारी घटनाको जवाफ दिने प्रक्रियाहरूलाई रूपरेखा दिन्छ। रणनीतिमा BCP सक्रिय गर्ने प्रक्रियाहरू, महत्त्वपूर्ण सञ्चालन प्रक्रियाहरू पुनर्स्थापित गर्ने, र सम्बन्धित सरोकारवालाहरूसँग सञ्चार गर्ने प्रक्रियाहरू समावेश छन्।
१३.५ परीक्षण र मर्मतसम्भार
हामी नियमित रूपमा हाम्रो BCP र DRP को प्रभावकारिता र सान्दर्भिकता सुनिश्चित गर्न परीक्षण र कायम राख्छौं। हामी BCP/DRP प्रमाणित गर्न र सुधारका लागि क्षेत्रहरू पहिचान गर्न नियमित परीक्षणहरू सञ्चालन गर्छौं। हामीले हाम्रो सञ्चालन वा खतरा परिदृश्यमा परिवर्तनहरू प्रतिबिम्बित गर्न आवश्यक भएमा BCP र DRP लाई पनि अद्यावधिक गर्छौं। परीक्षणमा टेबलटप अभ्यासहरू, सिमुलेशनहरू, र प्रक्रियाहरूको प्रत्यक्ष परीक्षण समावेश छन्। हामी परीक्षणको नतिजा र सिकेका पाठहरूको आधारमा हाम्रा योजनाहरूको समीक्षा र अद्यावधिक पनि गर्छौं।
१३.६। वैकल्पिक प्रशोधन साइटहरू
हामी वैकल्पिक अनलाइन प्रशोधन साइटहरू राख्छौं जुन अवरोध वा प्रकोपको अवस्थामा व्यापार सञ्चालनहरू जारी राख्न प्रयोग गर्न सकिन्छ। वैकल्पिक प्रशोधन साइटहरू आवश्यक पूर्वाधार र प्रणालीहरूसँग सुसज्जित छन्, र महत्वपूर्ण व्यापार प्रक्रियाहरूलाई समर्थन गर्न प्रयोग गर्न सकिन्छ।
भाग 14. अनुपालन र लेखा परीक्षण
14.1. कानून र नियमहरूको अनुपालन
युरोपेली IT प्रमाणीकरण संस्थान डेटा सुरक्षा कानून, उद्योग मापदण्डहरू, र अनुबंध दायित्वहरू सहित सूचना सुरक्षा र गोपनीयता सम्बन्धी सबै लागू कानून र नियमहरूको पालना गर्न प्रतिबद्ध छ। हामी सबै सान्दर्भिक आवश्यकताहरू र मानकहरूसँग अनुपालन सुनिश्चित गर्न हाम्रा नीतिहरू, प्रक्रियाहरू, र नियन्त्रणहरू नियमित रूपमा समीक्षा र अद्यावधिक गर्छौं। हामीले सूचना सुरक्षा सन्दर्भमा पालना गर्ने मुख्य मापदण्ड र फ्रेमवर्कहरू समावेश छन्:
- ISO/IEC 27001 मानक सूचना सुरक्षा प्रबन्धन प्रणाली (ISMS) को कार्यान्वयन र व्यवस्थापनको लागि दिशानिर्देशहरू प्रदान गर्दछ जसमा प्रमुख घटकको रूपमा जोखिम व्यवस्थापन समावेश छ। यसले जोखिम व्यवस्थापन सहित हाम्रो सूचना सुरक्षा व्यवस्थापन प्रणाली (ISMS) लाई कार्यान्वयन र कायम राख्नको लागि सन्दर्भ ढाँचा प्रदान गर्दछ। यस मानक प्रावधानहरूको अनुपालनमा हामी जोखिमहरू सहित सूचना सुरक्षा जोखिमहरू पहिचान, मूल्याङ्कन र व्यवस्थापन गर्छौं।
- US National Institute of Standards and Technology (NIST) साइबरसेक्युरिटी फ्रेमवर्कले जोखिम व्यवस्थापन सहित साइबर सुरक्षा जोखिमहरू पहिचान, मूल्याङ्कन र व्यवस्थापनका लागि दिशानिर्देशहरू प्रदान गर्दछ।
- नेशनल इन्स्टिच्युट अफ स्ट्यान्डर्ड्स एन्ड टेक्नोलोजी (NIST) साइबरसुरक्षा जोखिम व्यवस्थापन सुधार गर्नका लागि साइबरसुरक्षा फ्रेमवर्क, जसमा हामी हाम्रा साइबरसुरक्षा जोखिमहरू व्यवस्थापन गर्न पालना गर्ने भेद्यता व्यवस्थापन लगायतका कार्यहरूको मुख्य सेटका साथ।
- SANS क्रिटिकल सेक्युरिटी कन्ट्रोलहरूले साइबर सुरक्षा सुधार गर्न 20 सुरक्षा नियन्त्रणहरूको सेट समावेश गर्दछ, जोखिम व्यवस्थापन लगायतका क्षेत्रहरूको दायरा समेट्छ, जोखिम स्क्यानिङ, प्याच व्यवस्थापन, र जोखिम व्यवस्थापनका अन्य पक्षहरूमा विशेष मार्गदर्शन प्रदान गर्दछ।
- भुक्तानी कार्ड उद्योग डाटा सुरक्षा मानक (PCI DSS), यस सन्दर्भमा जोखिम व्यवस्थापनको सन्दर्भमा क्रेडिट कार्ड जानकारीको ह्यान्डलिंग आवश्यक छ।
- हाम्रो सूचना प्रणालीहरूको सुरक्षित कन्फिगरेसनहरू सुनिश्चित गर्न मुख्य नियन्त्रणहरू मध्ये एकको रूपमा भेद्यता व्यवस्थापन सहित इन्टरनेट सुरक्षा नियन्त्रण केन्द्र (CIS)।
- ओपन वेब एप्लिकेसन सेक्युरिटी प्रोजेक्ट (OWASP), यसको शीर्ष 10 सबैभन्दा महत्त्वपूर्ण वेब अनुप्रयोग सुरक्षा जोखिमहरूको सूची सहित, कमजोरीहरूको मूल्याङ्कन जस्तै इंजेक्शन आक्रमणहरू, टुटेको प्रमाणीकरण र सत्र व्यवस्थापन, क्रस-साइट स्क्रिप्टिङ (XSS), आदि। हामी प्रयोग गर्छौं। हाम्रो जोखिम व्यवस्थापन प्रयासहरूलाई प्राथमिकता दिन र हाम्रो वेब प्रणालीहरूको सन्दर्भमा सबैभन्दा महत्त्वपूर्ण जोखिमहरूमा ध्यान केन्द्रित गर्न OWASP शीर्ष 10।
१४.२। आन्तरिक लेखापरीक्षण
हामी हाम्रो सूचना सुरक्षा व्यवस्थापन प्रणाली (ISMS) को प्रभावकारिता मूल्याङ्कन गर्न र हाम्रा नीतिहरू, प्रक्रियाहरू, र नियन्त्रणहरू पछ्याइएको छ भनी सुनिश्चित गर्न नियमित आन्तरिक लेखापरीक्षणहरू सञ्चालन गर्छौं। आन्तरिक लेखापरीक्षण प्रक्रियाले गैर-अनुरूपताहरूको पहिचान, सुधारात्मक कार्यहरूको विकास, र सुधार प्रयासहरूको ट्र्याकिङ समावेश गर्दछ।
१४.३। बाह्य लेखापरीक्षण
लागू कानून, नियमहरू, र उद्योग मापदण्डहरूसँग हाम्रो अनुपालन प्रमाणित गर्न हामी आवधिक रूपमा बाह्य लेखा परीक्षकहरूसँग संलग्न हुन्छौं। हामी हाम्रो अनुपालन प्रमाणित गर्नको लागि आवश्यक रूपमा हाम्रा सुविधाहरू, प्रणालीहरू, र कागजातहरूमा पहुँचको साथ लेखा परीक्षकहरूलाई प्रदान गर्दछौं। हामी लेखापरीक्षण प्रक्रियाको क्रममा पहिचान गरिएका कुनै पनि निष्कर्ष वा सिफारिसहरूलाई सम्बोधन गर्न बाह्य लेखा परीक्षकहरूसँग पनि काम गर्छौं।
१४.४। अनुपालन अनुगमन
हामी निरन्तर आधारमा लागू कानून, नियमहरू, र उद्योग मापदण्डहरूसँग हाम्रो अनुपालनको निगरानी गर्छौं। हामी अनुपालन अनुगमन गर्न विभिन्न विधिहरू प्रयोग गर्छौं, आवधिक मूल्याङ्कनहरू, लेखा परीक्षणहरू, र तेस्रो-पक्ष प्रदायकहरूको समीक्षाहरू सहित। हामी सबै सान्दर्भिक आवश्यकताहरूसँग निरन्तर अनुपालन सुनिश्चित गर्न हाम्रा नीतिहरू, प्रक्रियाहरू, र नियन्त्रणहरू नियमित रूपमा समीक्षा र अद्यावधिक गर्छौं।
भाग 15. तेस्रो-पक्ष व्यवस्थापन
१५.१। तेस्रो-पक्ष व्यवस्थापन नीति
युरोपेली IT प्रमाणीकरण संस्थानसँग तेस्रो-पक्ष व्यवस्थापन नीति छ जसले हाम्रो जानकारी सम्पत्ति वा प्रणालीहरूमा पहुँच भएका तेस्रो-पक्ष प्रदायकहरूलाई छनोट, मूल्याङ्कन र अनुगमन गर्नका लागि आवश्यकताहरूलाई रूपरेखा दिन्छ। यो नीति क्लाउड सेवा प्रदायकहरू, विक्रेताहरू, र ठेकेदारहरू सहित सबै तेस्रो-पक्ष प्रदायकहरूमा लागू हुन्छ।
१५.२। तेस्रो-पक्ष चयन र मूल्याङ्कन
हामी तेस्रो-पक्ष प्रदायकहरूसँग संलग्न हुनु अघि उचित लगनशीलता सञ्चालन गर्छौं कि उनीहरूसँग हाम्रो जानकारी सम्पत्ति वा प्रणालीहरूको सुरक्षा गर्न पर्याप्त सुरक्षा नियन्त्रणहरू छन्। हामी सूचना सुरक्षा र गोपनीयता सम्बन्धी लागू कानून र नियमहरूसँग तेस्रो-पक्ष प्रदायकहरूको अनुपालनको पनि मूल्याङ्कन गर्छौं।
१५.३। तेस्रो-पक्ष निगरानी
हामी तेस्रो-पक्ष प्रदायकहरूलाई सूचना सुरक्षा र गोपनीयताका लागि हाम्रा आवश्यकताहरू पूरा गर्न जारी राख्छ भनी सुनिश्चित गर्न निरन्तर रूपमा निगरानी गर्छौं। हामी तेस्रो-पक्ष प्रदायकहरूको निगरानी गर्न विभिन्न विधिहरू प्रयोग गर्छौं, आवधिक मूल्याङ्कनहरू, लेखा परीक्षणहरू, र सुरक्षा घटना रिपोर्टहरूको समीक्षाहरू सहित।
१५.४। अनुबंध आवश्यकताहरू
हामी तेस्रो-पक्ष प्रदायकहरूसँग सबै सम्झौताहरूमा सूचना सुरक्षा र गोपनीयतासँग सम्बन्धित अनुबंध आवश्यकताहरू समावेश गर्दछौं। यी आवश्यकताहरूमा डेटा सुरक्षा, सुरक्षा नियन्त्रण, घटना व्यवस्थापन, र अनुपालन अनुगमनका लागि प्रावधानहरू समावेश छन्। हामीले सुरक्षा घटना वा गैर-अनुपालनको घटनामा सम्झौताहरू खारेज गर्ने प्रावधानहरू पनि समावेश गर्दछौं।
भाग 16. प्रमाणीकरण प्रक्रियाहरूमा सूचना सुरक्षा
16.1 प्रमाणीकरण प्रक्रियाहरूको सुरक्षा
हामी प्रमाणीकरण खोज्ने व्यक्तिहरूको व्यक्तिगत डेटा सहित हाम्रो प्रमाणीकरण प्रक्रियाहरूसँग सम्बन्धित सबै जानकारीको सुरक्षा सुनिश्चित गर्न पर्याप्त र प्रणालीगत उपायहरू लिन्छौं। यसमा पहुँच, भण्डारण, र सबै प्रमाणीकरण सम्बन्धित जानकारीको प्रसारणको लागि नियन्त्रणहरू समावेश छन्। यी उपायहरू लागू गरेर, हामी प्रमाणीकरण प्रक्रियाहरू उच्च स्तरको सुरक्षा र अखण्डताका साथ सञ्चालन गरिएको छ, र प्रमाणीकरण खोज्ने व्यक्तिहरूको व्यक्तिगत डेटा सान्दर्भिक नियमहरू र मापदण्डहरूको अनुपालनमा सुरक्षित छ भनी सुनिश्चित गर्ने लक्ष्य राख्छौं।
१६.२। प्रमाणीकरण र प्राधिकरण
हामी प्रमाणीकरण र प्राधिकरण नियन्त्रणहरू प्रयोग गर्छौं कि प्रमाणीकरण जानकारीमा केवल अधिकृत कर्मचारीहरूको पहुँच छ। पहुँच नियन्त्रणहरू नियमित रूपमा समीक्षा गरिन्छ र कर्मचारीहरूको भूमिका र जिम्मेवारीहरूमा परिवर्तनहरूको आधारमा अद्यावधिक गरिन्छ।
16.3। डेटा संरक्षण
हामी डेटाको गोपनीयता, अखण्डता र उपलब्धता सुनिश्चित गर्न उपयुक्त प्राविधिक र संगठनात्मक उपायहरू लागू गरेर प्रमाणीकरण प्रक्रियामा व्यक्तिगत डेटाको सुरक्षा गर्छौं। यसमा एन्क्रिप्शन, पहुँच नियन्त्रण, र नियमित ब्याकअप जस्ता उपायहरू समावेश छन्।
१६.४। परीक्षा प्रक्रियाहरूको सुरक्षा
परीक्षाको वातावरणलाई ठगी रोक्न, अनुगमन र नियन्त्रण गर्न उपयुक्त उपायहरू लागू गरी परीक्षा प्रक्रियाको सुरक्षा सुनिश्चित गर्छौं। हामी सुरक्षित भण्डारण प्रक्रियाहरू मार्फत परीक्षा सामग्रीहरूको अखण्डता र गोपनीयता पनि कायम राख्छौं।
१६.५ परीक्षा सामग्रीको सुरक्षा
हामी सामग्रीको अनधिकृत पहुँच, परिवर्तन, वा खुलासाबाट सुरक्षा गर्न उपयुक्त उपायहरू लागू गरेर परीक्षा सामग्रीको सुरक्षा सुनिश्चित गर्छौं। यसमा परीक्षा सामग्रीको लागि सुरक्षित भण्डारण, इन्क्रिप्शन, र पहुँच नियन्त्रणहरूको प्रयोग, साथै परीक्षा सामग्रीको अनधिकृत वितरण वा प्रसारलाई रोक्नको लागि नियन्त्रणहरू समावेश छन्।
१६.६। परीक्षा वितरण सुरक्षा
हामी परीक्षाको वातावरणमा अनधिकृत पहुँच, वा हेरफेर रोक्न उपयुक्त उपायहरू लागू गरेर परीक्षा वितरणको सुरक्षा सुनिश्चित गर्छौं। यसमा अनुगमन, लेखापरीक्षण र परीक्षा वातावरणको नियन्त्रण र विशेष परीक्षा दृष्टिकोणहरू, धोखाधडी वा अन्य सुरक्षा उल्लंघनहरू रोक्न जस्ता उपायहरू समावेश छन्।
१६.७। परीक्षा परिणाम सुरक्षा
अनाधिकृत पहुँच, परिवर्तन, वा नतिजाको खुलासाबाट जोगाउन उपयुक्त उपायहरू लागू गरेर हामी परीक्षा परिणामहरूको सुरक्षा सुनिश्चित गर्छौं। यसमा परीक्षा परिणामहरूको लागि सुरक्षित भण्डारण, इन्क्रिप्शन, र पहुँच नियन्त्रणहरूको प्रयोग, साथै परीक्षा परिणामहरूको अनधिकृत वितरण वा प्रसारलाई रोक्नको लागि नियन्त्रणहरू समावेश छन्।
१६.८। प्रमाणपत्र जारी गर्ने सुरक्षा
हामी ठगी र अनाधिकृत रूपमा प्रमाणपत्र जारी गर्ने कार्यलाई रोक्नको लागि उपयुक्त उपायहरू लागू गरी प्रमाणपत्र जारी गर्ने सुरक्षा सुनिश्चित गर्दछौं। यसमा प्रमाणपत्रहरू र सुरक्षित भण्डारण र जारी गर्ने प्रक्रियाहरू प्राप्त गर्ने व्यक्तिहरूको पहिचान प्रमाणित गर्ने नियन्त्रणहरू समावेश छन्।
१६.९। गुनासो र अपीलहरू
हामीले प्रमाणीकरण प्रक्रियासँग सम्बन्धित उजुरी र अपीलहरू व्यवस्थापन गर्न प्रक्रियाहरू स्थापना गरेका छौं। यी प्रक्रियाहरूमा प्रक्रियाको गोपनीयता र निष्पक्षता सुनिश्चित गर्ने उपायहरू, र उजुरी र अपीलहरूसँग सम्बन्धित जानकारीको सुरक्षा समावेश छन्।
१६.१०। प्रमाणीकरण प्रक्रिया गुणस्तर व्यवस्थापन
हामीले प्रमाणीकरण प्रक्रियाहरूको लागि गुणस्तर व्यवस्थापन प्रणाली (QMS) स्थापना गरेका छौं जसमा प्रक्रियाहरूको प्रभावकारिता, दक्षता र सुरक्षा सुनिश्चित गर्ने उपायहरू समावेश छन्। QMS ले प्रक्रियाहरूको नियमित लेखापरीक्षण र समीक्षाहरू र तिनीहरूको सुरक्षा नियन्त्रणहरू समावेश गर्दछ।
१६.११। प्रमाणीकरण प्रक्रिया सुरक्षा को निरन्तर सुधार
हामी हाम्रा प्रमाणीकरण प्रक्रियाहरू र तिनीहरूको सुरक्षा नियन्त्रणहरूको निरन्तर सुधार गर्न प्रतिबद्ध छौं। यसले सूचना सुरक्षा व्यवस्थापनको लागि ISO 27001 मानकको अनुपालनमा, साथै ISO 17024 मानकको अनुपालनमा, व्यापार वातावरण, नियामक आवश्यकताहरू, र सूचना सुरक्षा व्यवस्थापनमा उत्कृष्ट अभ्यासहरूमा आधारित प्रमाणीकरण सम्बन्धित नीतिहरू र प्रक्रियाहरूको सुरक्षाको नियमित समीक्षा र अद्यावधिकहरू समावेश गर्दछ। XNUMX प्रमाणीकरण निकाय सञ्चालन मानक।
भाग 17. बन्द गर्ने प्रावधानहरू
१७.१। नीति समीक्षा र अद्यावधिक
यो सूचना सुरक्षा नीति एक जीवित कागजात हो जुन हाम्रो परिचालन आवश्यकताहरू, नियामक आवश्यकताहरू, वा सूचना सुरक्षा व्यवस्थापनमा उत्कृष्ट अभ्यासहरूमा परिवर्तनहरूको आधारमा समीक्षा र अद्यावधिकहरू जारी राख्छ।
१४.४। अनुपालन अनुगमन
हामीले यस सूचना सुरक्षा नीति र सम्बन्धित सुरक्षा नियन्त्रणहरूको अनुपालन अनुगमनका लागि प्रक्रियाहरू स्थापना गरेका छौं। अनुपालन अनुगमनमा सुरक्षा नियन्त्रणहरूको नियमित लेखापरीक्षण, मूल्याङ्कन र समीक्षाहरू र यस नीतिका उद्देश्यहरू प्राप्त गर्न तिनीहरूको प्रभावकारिता समावेश हुन्छ।
१७.३। सुरक्षा घटनाहरू रिपोर्ट गर्दै
हामीले हाम्रो सूचना प्रणालीसँग सम्बन्धित सुरक्षा घटनाहरू रिपोर्ट गर्ने प्रक्रियाहरू स्थापना गरेका छौं, व्यक्तिहरूको व्यक्तिगत डेटासँग सम्बन्धित ती सहित। कर्मचारी, ठेकेदार र अन्य सरोकारवालाहरूलाई कुनै पनि सुरक्षा घटना वा संदिग्ध घटनाहरू तोकिएको सुरक्षा टोलीलाई सकेसम्म चाँडो रिपोर्ट गर्न प्रोत्साहित गरिन्छ।
17.4. प्रशिक्षण र जागरूकता
हामी कर्मचारीहरू, ठेकेदारहरू, र अन्य सरोकारवालाहरूलाई सूचना सुरक्षा सम्बन्धी उनीहरूको जिम्मेवारी र दायित्वहरू बारे सचेत छन् भनी सुनिश्चित गर्न नियमित प्रशिक्षण र सचेतना कार्यक्रमहरू प्रदान गर्दछौं। यसमा सुरक्षा नीतिहरू र प्रक्रियाहरू, र व्यक्तिहरूको व्यक्तिगत डेटा सुरक्षित गर्ने उपायहरू बारे प्रशिक्षण समावेश छ।
३. उत्तरदायित्व र उत्तरदायित्व
हामी सबै कर्मचारीहरू, ठेकेदारहरू, र अन्य सरोकारवालाहरूलाई यस सूचना सुरक्षा नीति र सम्बन्धित सुरक्षा नियन्त्रणहरूको पालना गर्न जिम्मेवार र जवाफदेही बनाउँछौं। प्रभावकारी सूचना सुरक्षा नियन्त्रणहरू लागू गर्न र कायम राख्नको लागि उपयुक्त स्रोतहरू छुट्याइएको सुनिश्चित गर्नको लागि हामी व्यवस्थापनलाई जवाफदेही बनाउँछौं।
यो सूचना सुरक्षा नीति Euroepan IT प्रमाणीकरण संस्थानको सूचना सुरक्षा व्यवस्थापन ढाँचाको एक महत्वपूर्ण भाग हो र यसले जानकारी सम्पत्ति र प्रशोधित डाटाको सुरक्षा, गोपनीयता, गोपनीयता, अखण्डता र जानकारीको उपलब्धता सुनिश्चित गर्न, र नियामक र अनुबंध आवश्यकताहरूको पालना गर्ने हाम्रो प्रतिबद्धता देखाउँछ।