Política de Segurança da Informação
Política de Segurança da Informação da EITCA Academy
Este documento especifica a Política de Segurança da Informação (ISP) do Instituto Europeu de Certificação de TI, que é regularmente revisada e atualizada para garantir sua eficácia e relevância. A última atualização da Política de Segurança da Informação da EITCI foi feita em 7 de janeiro de 2023.
Parte 1. Introdução e Declaração de Política de Segurança da Informação
1.1. Introdução
O European IT Certification Institute reconhece a importância da segurança da informação para manter a confidencialidade, integridade e disponibilidade da informação e a confiança de nossos stakeholders. Estamos empenhados em proteger informações confidenciais, incluindo dados pessoais, contra acesso não autorizado, divulgação, alteração e destruição. Mantemos uma Política de Segurança da Informação eficaz para apoiar nossa missão de fornecer serviços de certificação confiáveis e imparciais aos nossos clientes. A Política de Segurança da Informação descreve nosso compromisso em proteger os ativos de informação e cumprir nossas obrigações legais, regulamentares e contratuais. Nossa política é baseada nos princípios da ISO 27001 e ISO 17024, os principais padrões internacionais de gerenciamento de segurança da informação e padrões de operação de organismos de certificação.
1.2. Declaração de política
O Instituto Europeu de Certificação de TI está empenhado em:
- Proteger a confidencialidade, integridade e disponibilidade dos ativos de informação,
- Cumprir com as obrigações legais, regulatórias e contratuais relacionadas à segurança da informação e processamento de dados implementando seus processos de certificação e operações,
- Melhorar continuamente sua política de segurança da informação e sistema de gestão relacionado,
- Fornecer treinamento e conscientização adequados aos funcionários, contratados e participantes,
- Envolver todos os funcionários e contratados na implementação e manutenção da política de segurança da informação e do sistema de gestão de segurança da informação relacionado.
1.3. Escopo
Esta política se aplica a todos os ativos de informação pertencentes, controlados ou processados pelo European IT Certification Institute. Isso inclui todos os ativos de informação digital e física, como sistemas, redes, software, dados e documentação. Esta política também se aplica a todos os funcionários, contratados e prestadores de serviços terceirizados que acessam nossos ativos de informação.
1.4. Conformidade
O Instituto Europeu de Certificação de TI está empenhado em cumprir os padrões relevantes de segurança da informação, incluindo ISO 27001 e ISO 17024. Revisamos e atualizamos regularmente esta política para garantir sua relevância contínua e conformidade com esses padrões.
Parte 2. Segurança Organizacional
2.1. Objetivos de segurança da organização
Ao implementar medidas de segurança organizacional, pretendemos garantir que nossos ativos de informações e práticas e procedimentos de processamento de dados sejam conduzidos com o mais alto nível de segurança e integridade e que cumpramos os regulamentos e padrões legais relevantes.
2.2. Papéis e responsabilidades de segurança da informação
O European IT Certification Institute define e comunica funções e responsabilidades para a segurança da informação em toda a organização. Isso inclui atribuir propriedade clara para ativos de informação em contato com a segurança da informação, estabelecendo uma estrutura de governança e definindo responsabilidades específicas para várias funções e departamentos em toda a organização.
2.3 Gerenciamento de riscos
Conduzimos avaliações de risco regulares para identificar e priorizar os riscos de segurança da informação para a organização, incluindo riscos relacionados ao processamento de dados pessoais. Estabelecemos controles apropriados para mitigar esses riscos e revisamos e atualizamos regularmente nossa abordagem de gerenciamento de riscos com base nas mudanças no ambiente de negócios e no cenário de ameaças.
2.4. Políticas e Procedimentos de Segurança da Informação
Estabelecemos e mantemos um conjunto de políticas e procedimentos de segurança da informação baseados nas melhores práticas do setor e em conformidade com os regulamentos e padrões relevantes. Essas políticas e procedimentos abrangem todos os aspectos da segurança da informação, incluindo o processamento de dados pessoais, e são revisados e atualizados regularmente para garantir sua eficácia.
2.5. Conscientização e treinamento de segurança
Oferecemos programas regulares de conscientização e treinamento de segurança a todos os funcionários, contratados e parceiros terceirizados que têm acesso a dados pessoais ou outras informações confidenciais. Este treinamento abrange tópicos como phishing, engenharia social, higiene de senha e outras práticas recomendadas de segurança da informação.
2.6. Segurança Física e Ambiental
Implementamos controles de segurança físicos e ambientais apropriados para proteção contra acesso não autorizado, danos ou interferência em nossas instalações e sistemas de informação. Isso inclui medidas como controles de acesso, vigilância, monitoramento e sistemas de energia e refrigeração de backup.
2.7. Gerenciamento de Incidentes de Segurança da Informação
Estabelecemos um processo de gestão de incidentes que nos permite responder de forma rápida e eficaz a quaisquer incidentes de segurança da informação que possam ocorrer. Isso inclui procedimentos para relatórios, escalonamento, investigação e resolução de incidentes, bem como medidas para prevenir a recorrência e melhorar nossos recursos de resposta a incidentes.
2.8. Continuidade operacional e recuperação de desastres
Estabelecemos e testamos planos de continuidade operacional e recuperação de desastres que nos permitem manter nossas funções e serviços de operações críticas em caso de interrupção ou desastre. Esses planos incluem procedimentos para backup e recuperação de dados e sistemas e medidas para garantir a disponibilidade e integridade dos dados pessoais.
2.9. Gerenciamento de terceiros
Estabelecemos e mantemos controles apropriados para gerenciar os riscos associados a parceiros terceirizados que têm acesso a dados pessoais ou outras informações confidenciais. Isso inclui medidas como due diligence, obrigações contratuais, monitoramento e auditorias, bem como medidas para encerrar parcerias quando necessário.
Parte 3. Segurança de Recursos Humanos
3.1. Seleção de emprego
O Instituto Europeu de Certificação de TI estabeleceu um processo de triagem de emprego para garantir que os indivíduos com acesso a informações confidenciais sejam confiáveis e tenham as habilidades e qualificações necessárias.
3.2. Controle de acesso
Estabelecemos políticas e procedimentos de controle de acesso para garantir que os funcionários tenham acesso apenas às informações necessárias para suas responsabilidades de trabalho. Os direitos de acesso são revisados e atualizados regularmente para garantir que os funcionários tenham acesso apenas às informações de que precisam.
3.3. Conscientização e Treinamento em Segurança da Informação
Nós fornecemos treinamento de conscientização de segurança da informação para todos os funcionários regularmente. Este treinamento abrange tópicos como segurança de senha, ataques de phishing, engenharia social e outros aspectos da segurança cibernética.
3.4. Uso Aceitável
Estabelecemos uma política de uso aceitável que descreve o uso aceitável de sistemas e recursos de informação, incluindo dispositivos pessoais usados para fins de trabalho.
3.5. Segurança de dispositivos móveis
Estabelecemos políticas e procedimentos para o uso seguro de dispositivos móveis, incluindo o uso de senhas, criptografia e recursos de limpeza remota.
3.6. Procedimentos de rescisão
O Instituto Europeu de Certificação de TI estabeleceu procedimentos para rescisão de contrato de trabalho ou contrato para garantir que o acesso a informações confidenciais seja revogado de forma rápida e segura.
3.7. Pessoal terceirizado
Estabelecemos procedimentos para o gerenciamento de funcionários terceirizados que têm acesso a informações confidenciais. Essas políticas envolvem triagem, controle de acesso e treinamento de conscientização sobre segurança da informação.
3.8. Relatar incidentes
Estabelecemos políticas e procedimentos para relatar incidentes ou preocupações de segurança da informação ao pessoal ou autoridades apropriados.
3.9. Acordos de Confidencialidade
O European IT Certification Institute exige que funcionários e contratados assinem acordos de confidencialidade para proteger informações confidenciais contra divulgação não autorizada.
3.10. Ações disciplinares
O European IT Certification Institute estabeleceu políticas e procedimentos para ações disciplinares em caso de violação da política de segurança da informação por funcionários ou contratados.
Parte 4. Avaliação e Gestão de Riscos
4.1. Avaliação de Risco
Conduzimos avaliações de risco periódicas para identificar possíveis ameaças e vulnerabilidades aos nossos ativos de informação. Usamos uma abordagem estruturada para identificar, analisar, avaliar e priorizar riscos com base em sua probabilidade e impacto potencial. Avaliamos os riscos associados aos nossos ativos de informação, incluindo sistemas, redes, software, dados e documentação.
4.2. Tratamento de risco
Usamos um processo de tratamento de risco para mitigar ou reduzir os riscos a um nível aceitável. O processo de tratamento de riscos inclui a seleção de controles apropriados, a implementação de controles e o monitoramento da eficácia dos controles. Priorizamos a implementação de controles com base no nível de risco, recursos disponíveis e prioridades de negócios.
4.3. Monitoramento e Revisão de Risco
Monitoramos e revisamos regularmente a eficácia de nosso processo de gestão de riscos para garantir que ele permaneça relevante e eficaz. Utilizamos métricas e indicadores para medir o desempenho do nosso processo de gestão de riscos e identificar oportunidades de melhoria. Também revisamos nosso processo de gerenciamento de riscos como parte de nossas revisões periódicas de gerenciamento para garantir sua adequação, suficiência e eficácia contínuas.
4.4. Planejamento de Resposta a Riscos
Temos um plano de resposta a riscos para garantir que possamos responder de forma eficaz a quaisquer riscos identificados. Este plano inclui procedimentos para identificar e relatar riscos, bem como processos para avaliar o impacto potencial de cada risco e determinar ações de resposta apropriadas. Também temos planos de contingência para garantir a continuidade dos negócios no caso de um evento de risco significativo.
4.5. Análise de Impacto Operacional
Realizamos análises periódicas de impacto nos negócios para identificar o impacto potencial de interrupções em nossas operações comerciais. Essa análise inclui uma avaliação da criticidade de nossas funções, sistemas e dados de negócios, bem como uma avaliação do impacto potencial de interrupções em nossos clientes, funcionários e outras partes interessadas.
4.6. Gerenciamento de riscos de terceiros
Temos um programa de gerenciamento de riscos terceirizados para garantir que nossos fornecedores e outros provedores de serviços terceirizados também estejam gerenciando os riscos adequadamente. Este programa inclui verificações de due diligence antes de se envolver com terceiros, monitoramento contínuo de atividades de terceiros e avaliações periódicas de práticas de gerenciamento de risco de terceiros.
4.7. Resposta e Gerenciamento de Incidentes
Temos uma resposta a incidentes e um plano de gerenciamento para garantir que possamos responder de forma eficaz a quaisquer incidentes de segurança. Este plano inclui procedimentos para identificar e relatar incidentes, bem como processos para avaliar o impacto de cada incidente e determinar ações de resposta apropriadas. Também temos um plano de continuidade de negócios para garantir que funções críticas de negócios possam continuar no caso de um incidente significativo.
Parte 5. Segurança Física e Ambiental
5.1. Perímetro de Segurança Física
Estabelecemos medidas de segurança física para proteger as instalações físicas e informações confidenciais contra acesso não autorizado.
5.2. Controle de acesso
Estabelecemos políticas e procedimentos de controle de acesso para as instalações físicas para garantir que apenas pessoas autorizadas tenham acesso a informações confidenciais.
5.3. Segurança de equipamentos
Garantimos que todos os equipamentos que contêm informações confidenciais estejam fisicamente protegidos e que o acesso a esses equipamentos seja restrito apenas a pessoas autorizadas.
5.4. Descarte seguro
Estabelecemos procedimentos para o descarte seguro de informações confidenciais, incluindo documentos em papel, mídia eletrônica e hardware.
5.5. Ambiente Físico
Garantimos que o ambiente físico das instalações, incluindo temperatura, umidade e iluminação, seja adequado para a proteção de informações confidenciais.
5.6. Fonte de alimentação
Garantimos que o fornecimento de energia às instalações seja confiável e protegido contra interrupções ou surtos de energia.
5.7. Proteção contra incêndio
Estabelecemos políticas e procedimentos de proteção contra incêndio, incluindo a instalação e manutenção de sistemas de detecção e supressão de incêndio.
5.8. Proteção contra danos causados pela água
Estabelecemos políticas e procedimentos para proteger informações confidenciais contra danos causados pela água, incluindo a instalação e manutenção de sistemas de detecção e prevenção de enchentes.
5.9. Manutenção de Equipamento
Estabelecemos procedimentos para a manutenção de equipamentos, incluindo a inspeção de equipamentos quanto a sinais de adulteração ou acesso não autorizado.
5.10. Uso Aceitável
Estabelecemos uma política de uso aceitável que descreve o uso aceitável de recursos físicos e instalações.
5.11. Acesso Remoto
Estabelecemos políticas e procedimentos para acesso remoto a informações confidenciais, incluindo o uso de conexões seguras e criptografia.
5.12. Monitoramento e Vigilância
Estabelecemos políticas e procedimentos para monitoramento e vigilância das instalações físicas e equipamentos para detectar e impedir o acesso não autorizado ou adulteração.
Papel. 6. Comunicações e Segurança Operacional
6.1. Gerenciamento de segurança de rede
Estabelecemos políticas e procedimentos para o gerenciamento de segurança de rede, incluindo o uso de firewalls, detecção de intrusão e sistemas de prevenção e auditorias de segurança regulares.
6.2. Transferência de informação
Estabelecemos políticas e procedimentos para a transferência segura de informações confidenciais, incluindo o uso de criptografia e protocolos seguros de transferência de arquivos.
6.3. Comunicações de terceiros
Estabelecemos políticas e procedimentos para a troca segura de informações confidenciais com organizações terceirizadas, incluindo o uso de conexões seguras e criptografia.
6.4. Manuseio de mídia
Estabelecemos procedimentos para lidar com informações confidenciais em várias formas de mídia, incluindo documentos em papel, mídia eletrônica e dispositivos de armazenamento portáteis.
6.5. Desenvolvimento e Manutenção de Sistemas de Informação
Estabelecemos políticas e procedimentos para o desenvolvimento e manutenção de sistemas de informação, incluindo o uso de práticas seguras de codificação, atualizações regulares de software e gerenciamento de patches.
6.6. Proteção contra malware e vírus
Estabelecemos políticas e procedimentos para proteger os sistemas de informação contra malware e vírus, incluindo o uso de software antivírus e atualizações regulares de segurança.
6.7. Backup e Restauração
Estabelecemos políticas e procedimentos para backup e restauração de informações confidenciais para evitar perda ou corrupção de dados.
6.8. Gerenciamento de eventos
Estabelecemos políticas e procedimentos para a identificação, investigação e resolução de incidentes e eventos de segurança.
6.9. Gerenciamento de Vulnerabilidade
Estabelecemos políticas e procedimentos para o gerenciamento de vulnerabilidades do sistema de informação, incluindo o uso de avaliações regulares de vulnerabilidade e gerenciamento de patches.
6.10. Controle de acesso
Estabelecemos políticas e procedimentos para o gerenciamento do acesso do usuário aos sistemas de informação, incluindo o uso de controles de acesso, autenticação do usuário e revisões regulares de acesso.
6.11. Monitoramento e registro
Estabelecemos políticas e procedimentos para monitoramento e registro de atividades do sistema de informação, incluindo o uso de trilhas de auditoria e registro de incidentes de segurança.
Parte 7. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
7.1. Requisitos
Estabelecemos políticas e procedimentos para a identificação dos requisitos do sistema de informação, incluindo requisitos de negócios, requisitos legais e regulamentares e requisitos de segurança.
7.2. Relacionamento com fornecedores
Estabelecemos políticas e procedimentos para a gestão de relacionamentos com fornecedores terceirizados de sistemas e serviços de informação, incluindo a avaliação das práticas de segurança dos fornecedores.
7.3. Desenvolvimento de sistema
Estabelecemos políticas e procedimentos para o desenvolvimento seguro de sistemas de informação, incluindo o uso de práticas seguras de codificação, testes regulares e garantia de qualidade.
7.4. Teste do sistema
Estabelecemos políticas e procedimentos para o teste de sistemas de informação, incluindo testes de funcionalidade, testes de desempenho e testes de segurança.
7.5. Aceitação do sistema
Estabelecemos políticas e procedimentos para a aceitação de sistemas de informação, incluindo a aprovação de resultados de testes, avaliações de segurança e testes de aceitação do usuário.
7.6. Manutenção do sistema
Estabelecemos políticas e procedimentos para a manutenção dos sistemas de informação, incluindo atualizações regulares, patches de segurança e backups do sistema.
7.7. Aposentadoria do sistema
Estabelecemos políticas e procedimentos para a desativação de sistemas de informação, incluindo o descarte seguro de hardware e dados.
7.8. Retenção de dados
Estabelecemos políticas e procedimentos para a retenção de dados em conformidade com os requisitos legais e regulamentares, incluindo o armazenamento seguro e o descarte de dados confidenciais.
7.9. Requisitos de Segurança para Sistemas de Informação
Estabelecemos políticas e procedimentos para a identificação e implementação de requisitos de segurança para sistemas de informação, incluindo controles de acesso, criptografia e proteção de dados.
7.10. Ambientes de Desenvolvimento Seguros
Estabelecemos políticas e procedimentos para ambientes de desenvolvimento seguro para sistemas de informação, incluindo o uso de práticas de desenvolvimento seguro, controles de acesso e configurações de rede seguras.
7.11. Proteção de ambientes de teste
Estabelecemos políticas e procedimentos para a proteção de ambientes de teste para sistemas de informação, incluindo o uso de configurações seguras, controles de acesso e testes regulares de segurança.
7.12. Princípios de Engenharia de Sistemas Seguros
Estabelecemos políticas e procedimentos para a implementação de princípios de engenharia de sistemas seguros para sistemas de informação, incluindo o uso de arquiteturas de segurança, modelagem de ameaças e práticas de codificação seguras.
7.13. Diretrizes de codificação segura
Estabelecemos políticas e procedimentos para a implementação de diretrizes de codificação segura para sistemas de informação, incluindo o uso de padrões de codificação, revisões de código e testes automatizados.
Parte 8. Aquisição de Hardware
8.1. Aderência aos Padrões
Aderimos ao padrão ISO 27001 para sistema de gerenciamento de segurança da informação (ISMS) para garantir que os ativos de hardware sejam adquiridos de acordo com nossos requisitos de segurança.
8.2. Avaliação de Risco
Conduzimos avaliação de risco antes de adquirir ativos de hardware para identificar possíveis riscos de segurança e garantir que o hardware selecionado atenda aos requisitos de segurança.
8.3. Seleção de fornecedores
Adquirimos ativos de hardware apenas de fornecedores confiáveis que tenham um histórico comprovado de fornecimento de produtos seguros. Revisamos as políticas e práticas de segurança do fornecedor e exigimos que forneçam garantia de que seus produtos atendem aos nossos requisitos de segurança.
8.4. Transporte seguro
Garantimos que os ativos de hardware sejam transportados com segurança para nossas instalações para evitar adulterações, danos ou roubo durante o transporte.
8.5. Verificação de Autenticidade
Verificamos a autenticidade dos ativos de hardware na entrega para garantir que não sejam falsificados ou adulterados.
8.6. Controles Físicos e Ambientais
Implementamos controles físicos e ambientais apropriados para proteger os ativos de hardware contra acesso não autorizado, roubo ou dano.
8.7. Instalação de Hardware
Garantimos que todos os ativos de hardware sejam configurados e instalados de acordo com os padrões e diretrizes de segurança estabelecidos.
8.8. Avaliações de hardware
Conduzimos revisões periódicas de ativos de hardware para garantir que eles continuem atendendo aos nossos requisitos de segurança e estejam atualizados com os patches e atualizações de segurança mais recentes.
8.9. Descarte de hardware
Dispomos de ativos de hardware de maneira segura para impedir o acesso não autorizado a informações confidenciais.
Parte 9. Proteção contra malware e vírus
9.1. Política de Atualização de Software
Mantemos software de proteção antivírus e malware atualizado em todos os sistemas de informação usados pelo European IT Certification Institute, incluindo servidores, estações de trabalho, laptops e dispositivos móveis. Garantimos que o software antivírus e de proteção contra malware esteja configurado para atualizar automaticamente seus arquivos de definição de vírus e versões de software regularmente e que esse processo seja testado regularmente.
9.2. Verificação de antivírus e malware
Realizamos verificações regulares de todos os sistemas de informação, incluindo servidores, estações de trabalho, laptops e dispositivos móveis, para detectar e remover qualquer vírus ou malware.
9.3. Política de não desabilitar e não alterar
Aplicamos políticas que proíbem os usuários de desativar ou alterar software antivírus e de proteção contra malware em qualquer sistema de informação.
9.4. Monitoramento
Monitoramos nossos alertas e logs de software antivírus e de proteção contra malware para identificar quaisquer incidentes de infecções por vírus ou malware e respondemos a tais incidentes em tempo hábil.
9.5. Manutenção de Registros
Mantemos registros de configuração, atualizações e verificações de software de proteção antivírus e malware, bem como quaisquer incidentes de infecções por vírus ou malware, para fins de auditoria.
9.6. Análises de software
Realizamos revisões periódicas de nosso software antivírus e de proteção contra malware para garantir que ele atenda aos padrões atuais do setor e seja adequado às nossas necessidades.
9.7. Treinamento e Conscientização
Oferecemos programas de treinamento e conscientização para educar todos os funcionários sobre a importância da proteção contra vírus e malware e como reconhecer e relatar quaisquer atividades ou incidentes suspeitos.
Parte 10. Gerenciamento de Ativos de Informação
10.1. Inventário de Ativos de Informação
O European IT Certification Institute mantém um inventário de ativos de informação que inclui todos os ativos de informação digital e física, como sistemas, redes, software, dados e documentação. Classificamos os ativos de informação com base em sua criticidade e sensibilidade para garantir que medidas de proteção apropriadas sejam implementadas.
10.2. Manipulação de ativos de informação
Implementamos medidas apropriadas para proteger os ativos de informação com base em sua classificação, incluindo confidencialidade, integridade e disponibilidade. Garantimos que todos os ativos de informação sejam tratados de acordo com as leis, regulamentos e requisitos contratuais aplicáveis. Também garantimos que todos os ativos de informação sejam adequadamente armazenados, protegidos e descartados quando não forem mais necessários.
10.3. Propriedade de ativos de informação
Atribuímos a propriedade de ativos de informações a indivíduos ou departamentos responsáveis pelo gerenciamento e proteção de ativos de informações. Também garantimos que os proprietários de ativos de informações entendam suas responsabilidades e obrigações para proteger os ativos de informações.
10.4. Proteção de ativos de informações
Usamos uma variedade de medidas de proteção para proteger os ativos de informações, incluindo controles físicos, controles de acesso, criptografia e processos de backup e recuperação. Também garantimos que todos os ativos de informações sejam protegidos contra acesso, modificação ou destruição não autorizados.
Parte 11. Controle de acesso
11.1. Política de controle de acesso
O Instituto Europeu de Certificação de TI tem uma Política de Controle de Acesso que descreve os requisitos para conceder, modificar e revogar o acesso a ativos de informação. O controle de acesso é um componente crítico de nosso sistema de gerenciamento de segurança da informação e o implementamos para garantir que somente indivíduos autorizados tenham acesso aos nossos ativos de informação.
11.2. Implementação de controle de acesso
Implementamos medidas de controle de acesso com base no princípio do menor privilégio, o que significa que os indivíduos têm acesso apenas aos ativos de informação necessários para desempenhar suas funções de trabalho. Usamos uma variedade de medidas de controle de acesso, incluindo autenticação, autorização e contabilidade (AAA). Também usamos listas de controle de acesso (ACLs) e permissões para controlar o acesso aos ativos de informação.
11.3. Política de senha
O Instituto Europeu de Certificação de TI tem uma Política de Senhas que descreve os requisitos para criar e gerenciar senhas. Exigimos senhas fortes com pelo menos 8 caracteres, com uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Também exigimos alterações periódicas de senha e proibimos a reutilização de senhas anteriores.
11.4. Gerenciamento de usuários
Temos um processo de gerenciamento de usuários que inclui criar, modificar e excluir contas de usuários. As contas de usuário são criadas com base no princípio do menor privilégio e o acesso é concedido apenas aos recursos de informação necessários para executar as funções de trabalho do indivíduo. Também revisamos regularmente as contas de usuário e removemos contas que não são mais necessárias.
Parte 12. Gerenciamento de Incidentes de Segurança da Informação
12.1. Política de Gerenciamento de Incidentes
O Instituto Europeu de Certificação de TI tem uma Política de Gerenciamento de Incidentes que descreve os requisitos para detectar, relatar, avaliar e responder a incidentes de segurança. Definimos incidentes de segurança como qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade de ativos ou sistemas de informação.
12.2. Detecção e relatórios de incidentes
Implementamos medidas para detectar e relatar incidentes de segurança prontamente. Usamos uma variedade de métodos para detectar incidentes de segurança, incluindo sistemas de detecção de intrusão (IDS), software antivírus e relatórios de usuários. Também garantimos que todos os funcionários estejam cientes dos procedimentos para relatar incidentes de segurança e encorajamos o relato de todos os incidentes suspeitos.
12.3. Avaliação e Resposta a Incidentes
Temos um processo para avaliar e responder a incidentes de segurança com base em sua gravidade e impacto. Priorizamos os incidentes com base em seu impacto potencial nos ativos ou sistemas de informação e alocamos os recursos apropriados para respondê-los. Também temos um plano de resposta que inclui procedimentos para identificar, conter, analisar, erradicar e recuperar de incidentes de segurança, bem como notificar as partes relevantes e realizar revisões pós-incidente Nossos procedimentos de resposta a incidentes são projetados para garantir uma resposta rápida e eficaz a incidentes de segurança. Os procedimentos são regularmente revistos e atualizados para assegurar a sua eficácia e pertinência.
12.4. Equipe de Resposta a Incidentes
Temos uma Equipe de Resposta a Incidentes (IRT) que é responsável por responder a incidentes de segurança. O IRT é composto por representantes de diversas unidades e é liderado pelo Information Security Officer (ISO). O IRT é responsável por avaliar a gravidade dos incidentes, conter o incidente e iniciar os procedimentos de resposta adequados.
12.5. Relatório e Revisão de Incidentes
Estabelecemos procedimentos para relatar incidentes de segurança às partes relevantes, incluindo clientes, autoridades reguladoras e agências de aplicação da lei, conforme exigido pelas leis e regulamentos aplicáveis. Também mantemos comunicação com as partes afetadas durante todo o processo de resposta a incidentes, fornecendo atualizações oportunas sobre o status do incidente e quaisquer ações tomadas para mitigar seu impacto. Também realizamos uma revisão de todos os incidentes de segurança para identificar a causa raiz e evitar que incidentes semelhantes ocorram no futuro.
Parte 13. Gerenciamento de Continuidade de Negócios e Recuperação de Desastres
13.1. Planejamento de Continuidade de Negócios
Embora o European IT Certification Institute seja uma organização sem fins lucrativos, possui um Plano de Continuidade de Negócios (BCP) que descreve os procedimentos para garantir a continuidade de suas operações no caso de um incidente disruptivo. O BCP cobre todos os processos operacionais críticos e identifica os recursos necessários para manter as operações durante e após um incidente disruptivo. Ele também descreve os procedimentos para manter as operações de negócios durante uma interrupção ou desastre, avaliando o impacto das interrupções, identificando os processos operacionais mais críticos no contexto de um determinado incidente disruptivo e desenvolvendo procedimentos de resposta e recuperação.
13.2. Planejamento de recuperação de desastres
O European IT Certification Institute possui um Plano de Recuperação de Desastres (DRP) que descreve os procedimentos para recuperar nossos sistemas de informação em caso de interrupção ou desastre. O DRP inclui procedimentos para backup de dados, restauração de dados e recuperação do sistema. O DRP é regularmente testado e atualizado para garantir sua eficácia.
13.3. Análise de Impacto nos Negócios
Realizamos uma Análise de Impacto nos Negócios (BIA) para identificar os processos operacionais críticos e os recursos necessários para mantê-los. A BIA nos ajuda a priorizar nossos esforços de recuperação e alocar recursos de acordo.
13.4. Estratégia de Continuidade de Negócios
Com base nos resultados do BIA, desenvolvemos uma Estratégia de Continuidade de Negócios que descreve os procedimentos para responder a um incidente disruptivo. A estratégia inclui procedimentos para ativar o BCP, restaurar processos operacionais críticos e comunicar-se com as partes interessadas relevantes.
13.5. Teste e Manutenção
Testamos e mantemos regularmente nosso BCP e DRP para garantir sua eficácia e relevância. Realizamos testes regulares para validar o BCP/DRP e identificar áreas de melhoria. Também atualizamos o BCP e o DRP conforme necessário para refletir as mudanças em nossas operações ou no cenário de ameaças. O teste inclui exercícios de mesa, simulações e testes ao vivo de procedimentos. Também revisamos e atualizamos nossos planos com base nos resultados dos testes e nas lições aprendidas.
13.6. Locais alternativos de processamento
Mantemos sites alternativos de processamento on-line que podem ser usados para continuar as operações comerciais em caso de interrupção ou desastre. Os locais alternativos de processamento estão equipados com as infraestruturas e sistemas necessários e podem ser utilizados para suportar processos críticos de negócio.
Parte 14. Conformidade e Auditoria
14.1. Conformidade com Leis e Regulamentos
O European IT Certification Institute está empenhado em cumprir todas as leis e regulamentos aplicáveis relacionados à segurança e privacidade da informação, incluindo leis de proteção de dados, padrões do setor e obrigações contratuais. Revisamos e atualizamos regularmente nossas políticas, procedimentos e controles para garantir a conformidade com todos os requisitos e normas relevantes. Os principais padrões e frameworks que seguimos no contexto da segurança da informação incluem:
- O padrão ISO/IEC 27001 fornece diretrizes para a implementação e gerenciamento de um Sistema de Gerenciamento de Segurança da Informação (ISMS) que inclui o gerenciamento de vulnerabilidades como um componente chave. Ele fornece uma estrutura de referência para implementar e manter nosso sistema de gerenciamento de segurança da informação (ISMS), incluindo o gerenciamento de vulnerabilidades. Em conformidade com as disposições desta norma, identificamos, avaliamos e gerenciamos os riscos de segurança da informação, incluindo vulnerabilidades.
- A estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA fornece diretrizes para identificar, avaliar e gerenciar riscos de segurança cibernética, incluindo gerenciamento de vulnerabilidades.
- O National Institute of Standards and Technology (NIST) Cybersecurity Framework para melhorar o gerenciamento de riscos de cibersegurança, com um conjunto básico de funções, incluindo o gerenciamento de vulnerabilidades ao qual aderimos para gerenciar nossos riscos de cibersegurança.
- O SANS Critical Security Controls contém um conjunto de 20 controles de segurança para melhorar a segurança cibernética, cobrindo uma variedade de áreas, incluindo gerenciamento de vulnerabilidades, fornecendo orientações específicas sobre verificação de vulnerabilidades, gerenciamento de patches e outros aspectos do gerenciamento de vulnerabilidades.
- O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS), exigindo o manuseio de informações de cartão de crédito em relação ao gerenciamento de vulnerabilidades neste contexto.
- O Centro de Controles de Segurança da Internet (CIS), incluindo o gerenciamento de vulnerabilidades como um dos principais controles para garantir configurações seguras de nossos sistemas de informação.
- O Open Web Application Security Project (OWASP), com sua lista Top 10 dos riscos de segurança de aplicativos da web mais críticos, incluindo avaliação de vulnerabilidades como ataques de injeção, autenticação quebrada e gerenciamento de sessão, cross-site scripting (XSS), etc. o OWASP Top 10 para priorizar nossos esforços de gerenciamento de vulnerabilidade e focar nos riscos mais críticos em relação aos nossos sistemas web.
14.2. Auditoria interna
Conduzimos auditorias internas regulares para avaliar a eficácia do nosso Sistema de Gestão de Segurança da Informação (SGSI) e garantir que nossas políticas, procedimentos e controles estejam sendo seguidos. O processo de auditoria interna inclui a identificação de não conformidades, o desenvolvimento de ações corretivas e o acompanhamento dos esforços de remediação.
14.3. Auditoria externa
Periodicamente, nos envolvemos com auditores externos para validar nossa conformidade com as leis, regulamentos e padrões do setor aplicáveis. Fornecemos aos auditores acesso às nossas instalações, sistemas e documentação conforme necessário para validar nossa conformidade. Também trabalhamos com auditores externos para abordar quaisquer constatações ou recomendações identificadas durante o processo de auditoria.
14.4. Monitoramento de Conformidade
Monitoramos continuamente nossa conformidade com as leis, regulamentos e padrões do setor aplicáveis. Usamos uma variedade de métodos para monitorar a conformidade, incluindo avaliações periódicas, auditorias e análises de fornecedores terceirizados. Também revisamos e atualizamos regularmente nossas políticas, procedimentos e controles para garantir a conformidade contínua com todos os requisitos relevantes.
Parte 15. Gestão de terceiros
15.1. Política de Gestão de Terceiros
O Instituto Europeu de Certificação de TI tem uma Política de Gerenciamento de Terceiros que descreve os requisitos para selecionar, avaliar e monitorar provedores terceirizados que tenham acesso aos nossos ativos ou sistemas de informação. A política se aplica a todos os provedores terceirizados, incluindo provedores de serviços em nuvem, fornecedores e contratados.
15.2. Seleção e Avaliação de Terceiros
Conduzimos a devida diligência antes de nos envolvermos com fornecedores terceirizados para garantir que eles tenham controles de segurança adequados para proteger nossos ativos ou sistemas de informações. Também avaliamos a conformidade dos provedores terceirizados com as leis e regulamentos aplicáveis relacionados à segurança e privacidade das informações.
15.3. Monitoramento de terceiros
Monitoramos fornecedores terceirizados continuamente para garantir que eles continuem atendendo aos nossos requisitos de segurança e privacidade das informações. Usamos uma variedade de métodos para monitorar fornecedores terceirizados, incluindo avaliações periódicas, auditorias e análises de relatórios de incidentes de segurança.
15.4. Requisitos Contratuais
Incluímos requisitos contratuais relacionados à segurança e privacidade da informação em todos os contratos com fornecedores terceirizados. Esses requisitos incluem provisões para proteção de dados, controles de segurança, gerenciamento de incidentes e monitoramento de conformidade. Também incluímos disposições para rescisão de contratos em caso de incidente de segurança ou não conformidade.
Parte 16. Segurança da Informação em Processos de Certificação
16.1 Segurança dos Processos de Certificação
Tomamos medidas adequadas e sistêmicas para garantir a segurança de todas as informações relacionadas aos nossos processos de certificação, incluindo dados pessoais dos indivíduos que buscam a certificação. Isso inclui controles de acesso, armazenamento e transmissão de todas as informações relacionadas à certificação. Com a implementação destas medidas, pretendemos garantir que os processos de certificação são conduzidos com o mais alto nível de segurança e integridade, e que os dados pessoais das pessoas que procuram a certificação são protegidos em conformidade com os regulamentos e normas relevantes.
16.2. Autenticação e autorização
Usamos controles de autenticação e autorização para garantir que somente pessoal autorizado tenha acesso às informações de certificação. Os controles de acesso são revisados e atualizados regularmente com base nas mudanças nas funções e responsabilidades do pessoal.
16.3. Proteção de dados
Protegemos os dados pessoais durante todo o processo de certificação, implementando medidas técnicas e organizacionais adequadas para garantir a confidencialidade, integridade e disponibilidade dos dados. Isso inclui medidas como criptografia, controles de acesso e backups regulares.
16.4. Segurança dos Processos de Exame
Garantimos a segurança dos processos de exame implementando medidas apropriadas para evitar trapaças, monitorar e controlar o ambiente de exame. Também mantemos a integridade e a confidencialidade dos materiais de exame por meio de procedimentos de armazenamento seguro.
16.5. Segurança do conteúdo do exame
Garantimos a segurança do conteúdo do exame implementando medidas apropriadas para proteção contra acesso não autorizado, alteração ou divulgação do conteúdo. Isso inclui o uso de armazenamento seguro, criptografia e controles de acesso para o conteúdo do exame, bem como controles para impedir a distribuição ou disseminação não autorizada do conteúdo do exame.
16.6. Segurança da entrega do exame
Garantimos a segurança da entrega do exame implementando medidas apropriadas para impedir o acesso não autorizado ou a manipulação do ambiente de exame. Isso inclui medidas como monitoramento, auditoria e controle do ambiente de exame e abordagens de exame específicas, para evitar trapaças ou outras violações de segurança.
16.7. Segurança dos resultados do exame
Garantimos a segurança dos resultados dos exames implementando medidas apropriadas para proteção contra acesso não autorizado, alteração ou divulgação dos resultados. Isso inclui o uso de armazenamento seguro, criptografia e controles de acesso para resultados de exames, bem como controles para impedir a distribuição ou divulgação não autorizada de resultados de exames.
16.8. Segurança de Emissão de Certificados
Asseguramos a segurança da emissão de certificados através da implementação de medidas adequadas para prevenir fraudes e emissão não autorizada de certificados. Isso inclui controles para verificar a identidade de indivíduos que recebem certificados e armazenamento seguro e procedimentos de emissão.
16.9. Reclamações e Apelações
Estabelecemos procedimentos para gerenciar reclamações e apelações relacionadas ao processo de certificação. Esses procedimentos incluem medidas para garantir a confidencialidade e imparcialidade do processo e a segurança das informações relacionadas às reclamações e recursos.
16.10. Certificação Processos Gestão da Qualidade
Para os processos de certificação, estabelecemos um Sistema de Gestão da Qualidade (SGQ) que inclui medidas para garantir a eficácia, eficiência e segurança dos processos. O SGQ inclui auditorias e revisões regulares dos processos e seus controles de segurança.
16.11. Melhoria Contínua da Segurança dos Processos de Certificação
Estamos comprometidos com a melhoria contínua de nossos processos de certificação e seus controles de segurança. Isso inclui revisões e atualizações regulares de políticas relacionadas à certificação e segurança de procedimentos com base em mudanças no ambiente de negócios, requisitos regulatórios e melhores práticas em gerenciamento de segurança da informação, em conformidade com o padrão ISO 27001 para gerenciamento de segurança da informação, bem como com o ISO 17024 padrão operacional de organismos de certificação.
Parte 17. Disposições finais
17.1. Revisão e atualização da política
Esta Política de Segurança da Informação é um documento vivo que passa por revisões e atualizações contínuas com base em mudanças em nossos requisitos operacionais, requisitos regulatórios ou melhores práticas em gerenciamento de segurança da informação.
17.2. Monitoramento de Conformidade
Estabelecemos procedimentos para monitorar a conformidade com esta Política de Segurança da Informação e os controles de segurança relacionados. O monitoramento da conformidade inclui auditorias, avaliações e revisões regulares dos controles de segurança e sua eficácia para alcançar os objetivos desta política.
17.3. Relatando incidentes de segurança
Estabelecemos procedimentos para relatar incidentes de segurança relacionados aos nossos sistemas de informação, incluindo aqueles relacionados a dados pessoais de indivíduos. Funcionários, contratados e outras partes interessadas são incentivados a relatar quaisquer incidentes de segurança ou suspeitas de incidentes à equipe de segurança designada o mais rápido possível.
17.4. Treinamento e Conscientização
Oferecemos treinamento regular e programas de conscientização para funcionários, contratados e outras partes interessadas para garantir que eles estejam cientes de suas responsabilidades e obrigações relacionadas à segurança da informação. Isso inclui treinamento sobre políticas e procedimentos de segurança e medidas para proteger dados pessoais de indivíduos.
17.5. Responsabilidade e prestação de contas
Responsabilizamos todos os funcionários, contratados e outras partes interessadas pelo cumprimento desta Política de Segurança da Informação e dos controles de segurança relacionados. Também responsabilizamos a administração por garantir que os recursos apropriados sejam alocados para implementar e manter controles eficazes de segurança da informação.
Esta Política de Segurança da Informação é um componente crítico da estrutura de gerenciamento de segurança da informação do Euroepan IT Certification Institute e demonstra nosso compromisso com a proteção de ativos de informação e dados processados, garantindo a confidencialidade, privacidade, integridade e disponibilidade da informação e cumprindo os requisitos regulatórios e contratuais.