정보 보안 정책
EITCA 아카데미 정보 보안 정책
이 문서는 효율성과 관련성을 보장하기 위해 정기적으로 검토 및 업데이트되는 유럽 IT 인증 기관의 정보 보안 정책(ISP)을 지정합니다. EITCI 정보 보안 정책의 마지막 업데이트는 7년 2023월 XNUMX일에 이루어졌습니다.
Part 1. 소개 및 정보 보안 정책 성명서
1.1. 소개
유럽 IT 인증 기관은 정보의 기밀성, 무결성, 가용성 및 이해 관계자의 신뢰를 유지하는 데 있어 정보 보안의 중요성을 인식하고 있습니다. 우리는 개인 데이터를 포함한 민감한 정보를 무단 액세스, 공개, 변경 및 파기로부터 보호하기 위해 최선을 다하고 있습니다. 우리는 고객에게 신뢰할 수 있고 공정한 인증 서비스를 제공한다는 사명을 지원하기 위해 효과적인 정보 보안 정책을 유지합니다. 정보 보안 정책은 정보 자산을 보호하고 법적, 규정 및 계약상의 의무를 충족하기 위한 우리의 약속을 설명합니다. 우리의 정책은 정보 보안 관리 및 인증 기관 운영 표준에 대한 선도적인 국제 표준인 ISO 27001 및 ISO 17024의 원칙을 기반으로 합니다.
1.2. 정책 성명
유럽 IT 인증 기관은 다음을 약속합니다.
- 정보 자산의 기밀성, 무결성 및 가용성 보호
- 정보 보안 및 인증 프로세스 및 운영을 구현하는 데이터 처리와 관련된 법적, 규제 및 계약상의 의무를 준수합니다.
- 정보보안정책 및 관련 관리체계를 지속적으로 개선하며,
- 직원, 계약자 및 참가자에게 적절한 교육 및 인식 제공
- 정보 보안 정책 및 관련 정보 보안 관리 시스템의 구현 및 유지 관리에 모든 직원 및 계약자를 참여시킵니다.
1.3. 범위
이 정책은 유럽 IT 인증 기관에서 소유, 통제 또는 처리하는 모든 정보 자산에 적용됩니다. 여기에는 시스템, 네트워크, 소프트웨어, 데이터 및 문서와 같은 모든 디지털 및 물리적 정보 자산이 포함됩니다. 이 정책은 또한 정보 자산에 액세스하는 모든 직원, 계약자 및 제XNUMX자 서비스 제공자에게도 적용됩니다.
1.4. 응낙
유럽 IT 인증 기관은 ISO 27001 및 ISO 17024를 포함한 관련 정보 보안 표준을 준수하기 위해 최선을 다하고 있습니다. 우리는 정기적으로 이 정책을 검토하고 업데이트하여 지속적인 관련성과 이러한 표준 준수를 보장합니다.
파트 2. 조직 보안
2.1. 조직 보안 목표
조직적 보안 조치를 구현함으로써 정보 자산과 데이터 처리 관행 및 절차가 최고 수준의 보안 및 무결성으로 수행되고 관련 법적 규정 및 표준을 준수하는지 확인하는 것을 목표로 합니다.
2.2. 정보 보안 역할 및 책임
유럽 IT 인증 기관은 조직 전체에서 정보 보안에 대한 역할과 책임을 정의하고 전달합니다. 여기에는 정보 보안과 관련하여 정보 자산에 대한 명확한 소유권 할당, 거버넌스 구조 설정, 조직 전체의 다양한 역할 및 부서에 대한 특정 책임 정의가 포함됩니다.
2.3. 위기 관리
개인 데이터 처리와 관련된 위험을 포함하여 조직에 대한 정보 보안 위험을 식별하고 우선 순위를 지정하기 위해 정기적인 위험 평가를 수행합니다. 우리는 이러한 위험을 완화하기 위해 적절한 제어를 설정하고 비즈니스 환경 및 위협 환경의 변화에 따라 위험 관리 접근 방식을 정기적으로 검토하고 업데이트합니다.
2.4. 정보 보안 정책 및 절차
우리는 업계 모범 사례를 기반으로 관련 규정 및 표준을 준수하는 일련의 정보 보안 정책 및 절차를 수립하고 유지합니다. 이러한 정책 및 절차는 개인 데이터 처리를 포함하여 정보 보안의 모든 측면을 다루며 효율성을 보장하기 위해 정기적으로 검토 및 업데이트됩니다.
2.5. 보안 인식 및 교육
개인 데이터 또는 기타 민감한 정보에 액세스할 수 있는 모든 직원, 계약자 및 제XNUMX자 파트너에게 정기적인 보안 인식 및 교육 프로그램을 제공합니다. 이 교육에서는 피싱, 사회 공학, 암호 관리 및 기타 정보 보안 모범 사례와 같은 주제를 다룹니다.
2.6. 물리적 및 환경적 보안
우리는 시설 및 정보 시스템에 대한 무단 액세스, 손상 또는 간섭으로부터 보호하기 위해 적절한 물리적 및 환경적 보안 제어를 구현합니다. 여기에는 액세스 제어, 감시, 모니터링, 백업 전원 및 냉각 시스템과 같은 조치가 포함됩니다.
2.7. 정보 보안 사고 관리
발생할 수 있는 정보보안사고에 신속하고 효과적으로 대응할 수 있도록 사고관리 프로세스를 수립하였습니다. 여기에는 사고의 보고, 에스컬레이션, 조사 및 해결 절차는 물론 재발 방지 및 사고 대응 능력 향상을 위한 조치가 포함됩니다.
2.8. 운영 연속성 및 재해 복구
우리는 운영 연속성 및 재해 복구 계획을 수립하고 테스트하여 중단이나 재해 발생 시 중요한 운영 기능과 서비스를 유지할 수 있도록 합니다. 이러한 계획에는 데이터 및 시스템의 백업 및 복구 절차와 개인 데이터의 가용성 및 무결성을 보장하기 위한 조치가 포함됩니다.
2.9. 제XNUMX자 관리
당사는 개인 데이터 또는 기타 민감한 정보에 액세스할 수 있는 제XNUMX자 파트너와 관련된 위험을 관리하기 위한 적절한 통제를 수립하고 유지합니다. 여기에는 실사, 계약 의무, 모니터링 및 감사와 같은 조치와 필요한 경우 파트너십 종료 조치가 포함됩니다.
파트 3. 인적 자원 보안
3.1. 취업심사
유럽 IT 인증 기관은 민감한 정보에 액세스할 수 있는 개인이 신뢰할 수 있고 필요한 기술과 자격을 갖추고 있는지 확인하기 위해 고용 심사 프로세스를 수립했습니다.
3.2. 액세스 제어
우리는 직원이 자신의 업무 책임에 필요한 정보에만 액세스할 수 있도록 액세스 제어 정책 및 절차를 수립했습니다. 직원이 필요한 정보에만 액세스할 수 있도록 액세스 권한을 정기적으로 검토하고 업데이트합니다.
3.3. 정보 보안 인식 및 교육
전 직원을 대상으로 정보보안 인식 교육을 정기적으로 실시하고 있습니다. 이 교육은 암호 보안, 피싱 공격, 사회 공학 및 기타 사이버 보안 측면과 같은 주제를 다룹니다.
3.4. 허용되는 사용
우리는 업무 목적으로 사용되는 개인 장치를 포함하여 정보 시스템 및 리소스의 허용 가능한 사용을 설명하는 허용 가능한 사용 정책을 수립했습니다.
3.5. 모바일 장치 보안
암호, 암호화 및 원격 삭제 기능을 포함하여 모바일 장치의 안전한 사용을 위한 정책 및 절차를 수립했습니다.
3.6. 해지 절차
유럽 IT 인증 기관은 민감한 정보에 대한 액세스가 신속하고 안전하게 취소되도록 고용 또는 계약 종료 절차를 수립했습니다.
3.7. 제XNUMX자 직원
당사는 민감한 정보에 접근할 수 있는 제XNUMX자 직원을 관리하기 위한 절차를 마련했습니다. 이러한 정책에는 심사, 액세스 제어 및 정보 보안 인식 교육이 포함됩니다.
3.8. 사건 보고
우리는 정보 보안 사고 또는 우려 사항을 해당 담당자 또는 당국에 보고하기 위한 정책 및 절차를 수립했습니다.
3.9. 기밀 유지 계약
유럽 IT 인증 기관(European IT Certification Institute)은 직원과 계약업체가 무단 공개로부터 민감한 정보를 보호하기 위해 기밀 유지 계약에 서명할 것을 요구합니다.
3.10. 징계 조치
유럽 IT 인증 기관은 직원 또는 계약자가 정보 보안 정책을 위반하는 경우 징계 조치에 대한 정책 및 절차를 수립했습니다.
파트 4. 위험 평가 및 관리
4.1. 위험 평가
정보 자산에 대한 잠재적인 위협과 취약성을 식별하기 위해 정기적인 위험 평가를 수행합니다. 우리는 구조화된 접근 방식을 사용하여 가능성과 잠재적 영향을 기반으로 위험을 식별, 분석, 평가하고 우선 순위를 지정합니다. 우리는 시스템, 네트워크, 소프트웨어, 데이터 및 문서를 포함한 정보 자산과 관련된 위험을 평가합니다.
4.2. 위험 처리
우리는 위험 처리 프로세스를 사용하여 위험을 허용 가능한 수준으로 완화하거나 줄입니다. 위험 처리 프로세스에는 적절한 제어 선택, 제어 구현 및 제어 효과 모니터링이 포함됩니다. 우리는 위험 수준, 사용 가능한 리소스 및 비즈니스 우선 순위에 따라 제어 구현의 우선 순위를 지정합니다.
4.3. 위험 모니터링 및 검토
우리는 위험 관리 프로세스의 효과를 정기적으로 모니터링하고 검토하여 적절하고 효과적인지 확인합니다. 우리는 지표와 지표를 사용하여 위험 관리 프로세스의 성과를 측정하고 개선 기회를 식별합니다. 또한 정기 관리 검토의 일환으로 위험 관리 프로세스를 검토하여 지속적인 적합성, 타당성 및 효율성을 보장합니다.
4.4. 위험 대응 계획
식별된 위험에 효과적으로 대응할 수 있도록 위험 대응 계획을 수립하고 있습니다. 이 계획에는 위험을 식별하고 보고하는 절차와 각 위험의 잠재적 영향을 평가하고 적절한 대응 조치를 결정하는 프로세스가 포함됩니다. 또한 중대한 위험 사건이 발생할 경우 비즈니스 연속성을 보장하기 위한 비상 계획을 마련하고 있습니다.
4.5. 운영 영향 분석
우리는 정기적인 비즈니스 영향 분석을 수행하여 비즈니스 운영 중단의 잠재적 영향을 식별합니다. 이 분석에는 비즈니스 기능, 시스템 및 데이터의 중요성에 대한 평가와 고객, 직원 및 기타 이해 관계자에 대한 중단의 잠재적 영향에 대한 평가가 포함됩니다.
4.6. 제XNUMX자 위험 관리
당사는 공급업체 및 기타 제XNUMX자 서비스 제공업체도 위험을 적절하게 관리하고 있는지 확인하기 위해 제XNUMX자 위험 관리 프로그램을 시행하고 있습니다. 이 프로그램에는 제XNUMX자와 계약하기 전에 실사 확인, 제XNUMX자 활동에 대한 지속적인 모니터링, 제XNUMX자 위험 관리 관행에 대한 주기적인 평가가 포함됩니다.
4.7. 사고 대응 및 관리
어떠한 보안 사고에도 효과적으로 대응할 수 있도록 사고 대응 및 관리 계획을 수립하고 있습니다. 이 계획에는 사고를 식별하고 보고하는 절차와 각 사고의 영향을 평가하고 적절한 대응 조치를 결정하는 프로세스가 포함됩니다. 또한 중요한 사고가 발생할 경우 중요한 비즈니스 기능이 계속 유지될 수 있도록 비즈니스 연속성 계획이 마련되어 있습니다.
5부. 물리적 및 환경적 보안
5.1. 물리적 보안 경계
우리는 무단 액세스로부터 물리적 구내 및 민감한 정보를 보호하기 위해 물리적 보안 조치를 수립했습니다.
5.2. 액세스 제어
권한이 있는 직원만 민감한 정보에 액세스할 수 있도록 물리적 구내에 대한 액세스 제어 정책 및 절차를 수립했습니다.
5.3. 장비 보안
우리는 민감한 정보가 포함된 모든 장비를 물리적으로 보호하고 이 장비에 대한 접근을 권한이 있는 직원으로 제한합니다.
5.4. 안전한 폐기
우리는 종이 문서, 전자 매체 및 하드웨어를 포함하여 민감한 정보를 안전하게 폐기하기 위한 절차를 수립했습니다.
5.5. 물리적 환경
온도, 습도, 조명 등 구내의 물리적 환경이 민감한 정보 보호에 적합하도록 합니다.
5.6 전원 공급 장치
우리는 건물에 대한 전원 공급이 안정적이고 정전이나 서지로부터 보호되는지 확인합니다.
5.7. 화재 예방
우리는 화재 감지 및 진압 시스템의 설치 및 유지 관리를 포함하여 화재 예방 정책 및 절차를 수립했습니다.
5.8. 물 손상 보호
우리는 홍수 감지 및 예방 시스템의 설치 및 유지 관리를 포함하여 민감한 정보를 수해로부터 보호하기 위한 정책 및 절차를 수립했습니다.
5.9. 장비 유지 보수
우리는 변조 또는 무단 액세스의 징후에 대한 장비 검사를 포함하여 장비 유지 관리 절차를 수립했습니다.
5.10. 허용되는 사용
우리는 물리적 자원과 시설의 허용 가능한 사용을 설명하는 허용 가능한 사용 정책을 수립했습니다.
5.11. 원격 액세스
보안 연결 및 암호화 사용을 포함하여 중요한 정보에 대한 원격 액세스에 대한 정책 및 절차를 수립했습니다.
5.12. 모니터링 및 감시
우리는 무단 액세스 또는 변조를 감지하고 방지하기 위해 물리적 구내 및 장비를 모니터링하고 감시하기 위한 정책 및 절차를 수립했습니다.
부분. 6. 통신 및 운영 보안
6.1. 네트워크 보안 관리
방화벽 사용, 침입 탐지 및 방지 시스템, 정기적인 보안 감사를 포함하여 네트워크 보안 관리를 위한 정책 및 절차를 수립했습니다.
6.2. 정보 이전
암호화 및 안전한 파일 전송 프로토콜 사용을 포함하여 중요한 정보의 안전한 전송을 위한 정책 및 절차를 수립했습니다.
6.3. 제XNUMX자 커뮤니케이션
보안 연결 및 암호화 사용을 포함하여 제XNUMX자 조직과 민감한 정보를 안전하게 교환하기 위한 정책 및 절차를 수립했습니다.
6.4. 미디어 처리
종이문서, 전자매체, 휴대용 저장장치 등 다양한 형태의 민감한 정보를 취급하는 절차를 마련하고 있습니다.
6.5. 정보 시스템 개발 및 유지 관리
보안 코딩 관행, 정기적인 소프트웨어 업데이트 및 패치 관리를 포함하여 정보 시스템의 개발 및 유지 관리를 위한 정책 및 절차를 수립했습니다.
6.6. 맬웨어 및 바이러스 보호
우리는 바이러스 백신 소프트웨어 및 정기적인 보안 업데이트의 사용을 포함하여 맬웨어 및 바이러스로부터 정보 시스템을 보호하기 위한 정책 및 절차를 수립했습니다.
6.7. 백업 및 복원
데이터 손실 또는 손상을 방지하기 위해 중요한 정보의 백업 및 복원에 대한 정책 및 절차를 수립했습니다.
6.8. 이벤트 관리
우리는 보안 사고 및 이벤트의 식별, 조사 및 해결을 위한 정책 및 절차를 수립했습니다.
6.9. 취약점 관리
정기적인 취약성 평가 및 패치 관리를 포함하여 정보 시스템 취약성 관리를 위한 정책 및 절차를 수립했습니다.
6.10. 액세스 제어
우리는 접근 제어, 사용자 인증 및 정기적인 접근 검토를 포함하여 정보 시스템에 대한 사용자 접근 관리를 위한 정책 및 절차를 수립했습니다.
6.11. 모니터링 및 로깅
우리는 감사 추적 및 보안 사고 기록의 사용을 포함하여 정보 시스템 활동의 모니터링 및 기록에 대한 정책 및 절차를 수립했습니다.
파트 7. 정보 시스템 획득, 개발 및 유지 관리
7.1. 요구 사항
우리는 비즈니스 요구 사항, 법률 및 규정 요구 사항, 보안 요구 사항을 포함하여 정보 시스템 요구 사항을 식별하기 위한 정책 및 절차를 수립했습니다.
7.2. 공급업체 관계
우리는 공급업체의 보안 관행 평가를 포함하여 정보 시스템 및 서비스의 제XNUMX자 공급업체와의 관계 관리를 위한 정책 및 절차를 수립했습니다.
7.3. 시스템 개발
안전한 코딩 관행, 정기적인 테스트 및 품질 보증을 포함하여 정보 시스템의 안전한 개발을 위한 정책 및 절차를 수립했습니다.
7.4. 시스템 테스트
기능 테스트, 성능 테스트 및 보안 테스트를 포함하여 정보 시스템 테스트에 대한 정책 및 절차를 수립했습니다.
7.5. 시스템 수용
우리는 테스트 결과 승인, 보안 평가 및 사용자 승인 테스트를 포함하여 정보 시스템 승인에 대한 정책 및 절차를 수립했습니다.
7.6. 시스템 유지보수
정기 업데이트, 보안패치, 시스템 백업 등 정보시스템 유지관리를 위한 정책 및 절차를 수립하고 있습니다.
7.7. 시스템 폐기
우리는 하드웨어 및 데이터의 안전한 폐기를 포함하여 정보 시스템 폐기에 대한 정책 및 절차를 수립했습니다.
7.8. 데이터 보유
우리는 민감한 데이터의 안전한 저장 및 폐기를 포함하여 법적 및 규제 요구 사항을 준수하여 데이터를 보존하기 위한 정책 및 절차를 수립했습니다.
7.9. 정보 시스템에 대한 보안 요구 사항
액세스 제어, 암호화 및 데이터 보호를 포함하여 정보 시스템에 대한 보안 요구 사항을 식별하고 구현하기 위한 정책 및 절차를 수립했습니다.
7.10. 안전한 개발 환경
보안 개발 관행, 액세스 제어 및 보안 네트워크 구성 사용을 포함하여 정보 시스템의 보안 개발 환경에 대한 정책 및 절차를 수립했습니다.
7.11. 테스트 환경 보호
우리는 안전한 구성, 접근 제어 및 정기적인 보안 테스트의 사용을 포함하여 정보 시스템의 테스트 환경 보호를 위한 정책 및 절차를 수립했습니다.
7.12. 보안 시스템 엔지니어링 원칙
우리는 보안 아키텍처, 위협 모델링 및 보안 코딩 관행의 사용을 포함하여 정보 시스템에 대한 보안 시스템 엔지니어링 원칙을 구현하기 위한 정책 및 절차를 수립했습니다.
7.13. 보안 코딩 지침
우리는 코딩 표준, 코드 검토 및 자동화된 테스트의 사용을 포함하여 정보 시스템에 대한 보안 코딩 지침을 구현하기 위한 정책 및 절차를 수립했습니다.
파트 8. 하드웨어 획득
8.1. 표준 준수
정보 보안 관리 시스템(ISMS)에 대한 ISO 27001 표준을 준수하여 보안 요구 사항에 따라 하드웨어 자산을 조달합니다.
8.2. 위험 평가
잠재적인 보안 위험을 식별하고 선택한 하드웨어가 보안 요구 사항을 충족하는지 확인하기 위해 하드웨어 자산을 조달하기 전에 위험 평가를 수행합니다.
8.3. 공급업체 선택
우리는 안전한 제품을 제공한 입증된 기록을 가진 신뢰할 수 있는 공급업체에서만 하드웨어 자산을 조달합니다. 당사는 공급업체의 보안 정책 및 관행을 검토하고 공급업체의 제품이 당사의 보안 요구 사항을 충족한다는 보증을 제공하도록 요구합니다.
8.4. 안전한 운송
우리는 운송 중 변조, 손상 또는 도난을 방지하기 위해 하드웨어 자산을 구내로 안전하게 운송합니다.
8.5. 진위 확인
하드웨어 자산이 위조되거나 변조되지 않았는지 확인하기 위해 배송 시 하드웨어 자산의 진위 여부를 확인합니다.
8.6. 물리적 및 환경 제어
무단 액세스, 도난 또는 손상으로부터 하드웨어 자산을 보호하기 위해 적절한 물리적 및 환경적 제어를 구현합니다.
8.7. 하드웨어 설치
우리는 모든 하드웨어 자산이 확립된 보안 표준 및 지침에 따라 구성 및 설치되도록 합니다.
8.8. 하드웨어 리뷰
하드웨어 자산을 주기적으로 검토하여 보안 요구 사항을 지속적으로 충족하고 최신 보안 패치 및 업데이트로 최신 상태인지 확인합니다.
8.9. 하드웨어 폐기
중요한 정보에 대한 무단 액세스를 방지하기 위해 하드웨어 자산을 안전한 방식으로 폐기합니다.
파트 9. 맬웨어 및 바이러스 보호
9.1. 소프트웨어 업데이트 정책
우리는 서버, 워크스테이션, 랩톱 및 모바일 장치를 포함하여 유럽 IT 인증 기관에서 사용하는 모든 정보 시스템에 최신 바이러스 백신 및 맬웨어 보호 소프트웨어를 유지합니다. 우리는 바이러스 정의 파일과 소프트웨어 버전을 정기적으로 자동 업데이트하도록 바이러스 백신 및 맬웨어 방지 소프트웨어를 구성하고 이 프로세스를 정기적으로 테스트합니다.
9.2. 바이러스 백신 및 맬웨어 검사
서버, 워크스테이션, 랩톱 및 모바일 장치를 포함한 모든 정보 시스템을 정기적으로 검사하여 바이러스 또는 맬웨어를 탐지하고 제거합니다.
9.3. 비활성화 및 변경 금지 정책
우리는 사용자가 모든 정보 시스템에서 바이러스 백신 및 맬웨어 방지 소프트웨어를 비활성화하거나 변경하는 것을 금지하는 정책을 시행합니다.
9.4. 모니터링
안티 바이러스 및 맬웨어 방지 소프트웨어 경고 및 로그를 모니터링하여 바이러스 또는 맬웨어 감염 사건을 식별하고 이러한 사건에 적시에 대응합니다.
9.5. 기록 관리
우리는 감사 목적으로 안티 바이러스 및 맬웨어 방지 소프트웨어 구성, 업데이트 및 검사 기록과 바이러스 또는 맬웨어 감염 사건을 유지 관리합니다.
9.6. 소프트웨어 리뷰
우리는 바이러스 백신 및 맬웨어 방지 소프트웨어를 정기적으로 검토하여 현재 업계 표준을 충족하고 우리의 요구 사항에 적합한지 확인합니다.
9.7. 훈련과 인식
바이러스 및 맬웨어 보호의 중요성과 의심스러운 활동이나 사건을 인식하고 보고하는 방법에 대해 모든 직원을 교육하는 교육 및 인식 프로그램을 제공합니다.
Part 10. 정보 자산 관리
10.1. 정보 자산 인벤토리
유럽 IT 인증 기관은 시스템, 네트워크, 소프트웨어, 데이터 및 문서와 같은 모든 디지털 및 물리적 정보 자산을 포함하는 정보 자산의 인벤토리를 유지 관리합니다. 적절한 보호 조치가 구현되도록 정보 자산의 중요도와 민감도를 기준으로 정보 자산을 분류합니다.
10.2. 정보 자산 취급
기밀성, 무결성 및 가용성을 포함하여 분류에 따라 정보 자산을 보호하기 위한 적절한 조치를 구현합니다. 우리는 모든 정보 자산이 해당 법률, 규정 및 계약 요구 사항에 따라 처리되도록 합니다. 또한 모든 정보 자산이 적절하게 저장, 보호되고 더 이상 필요하지 않을 때 폐기되도록 합니다.
10.3. 정보 자산 소유권
정보 자산의 관리 및 보호를 담당하는 개인 또는 부서에 정보 자산 소유권을 할당합니다. 또한 정보 자산 소유자가 정보 자산 보호에 대한 책임과 책임을 이해하도록 합니다.
10.4. 정보 자산 보호
우리는 물리적 제어, 액세스 제어, 암호화, 백업 및 복구 프로세스를 포함하여 정보 자산을 보호하기 위해 다양한 보호 조치를 사용합니다. 또한 모든 정보 자산이 무단 액세스, 수정 또는 파괴로부터 보호되도록 합니다.
파트 11. 액세스 제어
11.1. 액세스 제어 정책
유럽 IT 인증 기관에는 정보 자산에 대한 액세스 권한 부여, 수정 및 취소에 대한 요구 사항을 설명하는 액세스 제어 정책이 있습니다. 액세스 제어는 정보 보안 관리 시스템의 중요한 구성 요소이며 권한이 있는 개인만 정보 자산에 액세스할 수 있도록 구현합니다.
11.2. 액세스 제어 구현
우리는 개인이 직무를 수행하는 데 필요한 정보 자산에만 액세스할 수 있음을 의미하는 최소 권한 원칙에 따라 액세스 제어 조치를 구현합니다. AAA(Authentication, Authorization, Accounting)를 비롯한 다양한 액세스 제어 수단을 사용합니다. 또한 액세스 제어 목록(ACL) 및 권한을 사용하여 정보 자산에 대한 액세스를 제어합니다.
11.3. 비밀번호 정책
유럽 IT 인증 기관에는 암호 생성 및 관리에 대한 요구 사항을 설명하는 암호 정책이 있습니다. 대문자와 소문자, 숫자 및 특수 문자를 조합한 최소 8자 이상의 강력한 암호가 필요합니다. 또한 주기적인 비밀번호 변경을 요구하고 이전 비밀번호의 재사용을 금지합니다.
11.4. 사용자 관리
사용자 계정 생성, 수정 및 삭제를 포함하는 사용자 관리 프로세스가 있습니다. 사용자 계정은 최소 권한 원칙에 따라 생성되며 개인의 직무 수행에 필요한 정보 자산에만 접근 권한이 부여됩니다. 또한 정기적으로 사용자 계정을 검토하고 더 이상 필요하지 않은 계정을 제거합니다.
Part 12. 정보 보안 사고 관리
12.1. 사고 관리 정책
유럽 IT 인증 기관에는 보안 사고를 감지, 보고, 평가 및 대응하기 위한 요구 사항을 설명하는 사고 관리 정책이 있습니다. 우리는 보안 사고를 정보 자산 또는 시스템의 기밀성, 무결성 또는 가용성을 손상시키는 모든 사건으로 정의합니다.
12.2. 사고 감지 및 보고
보안 사고를 신속하게 감지하고 보고하기 위한 조치를 구현합니다. 침입 탐지 시스템(IDS), 바이러스 백신 소프트웨어, 사용자 보고 등 다양한 방법을 사용하여 보안 사고를 탐지합니다. 또한 모든 직원이 보안 사고 보고 절차를 숙지하고 의심되는 모든 사고를 보고하도록 권장합니다.
12.3. 사고 평가 및 대응
심각도와 영향에 따라 보안 사고를 평가하고 대응하는 프로세스가 있습니다. 우리는 정보 자산 또는 시스템에 대한 잠재적인 영향을 기반으로 사고의 우선 순위를 지정하고 이에 대응할 적절한 리소스를 할당합니다. 또한 보안 사고의 식별, 억제, 분석, 근절 및 복구, 관련자 통지 및 사고 사후 검토 절차를 포함하는 대응 계획을 가지고 있습니다. 사고 대응 절차는 신속하고 효과적인 대응을 보장하도록 설계되었습니다. 보안 사고에. 절차는 효율성과 관련성을 보장하기 위해 정기적으로 검토되고 업데이트됩니다.
12.4. 사고대응팀
보안 사고 대응을 담당하는 사고 대응팀(IRT)이 있습니다. IRT는 다양한 부서의 대표로 구성되며 정보 보안 책임자(ISO)가 이끌고 있습니다. IRT는 사건의 심각성을 평가하고 사건을 포함하고 적절한 대응 절차를 시작할 책임이 있습니다.
12.5. 사고 보고 및 검토
관련 법률 및 규정에 따라 클라이언트, 규제 당국 및 법 집행 기관을 포함한 관련 당사자에게 보안 사고를 보고하는 절차를 마련했습니다. 또한 사고 대응 프로세스 전반에 걸쳐 영향을 받는 당사자와의 커뮤니케이션을 유지하여 사고 상태 및 그 영향을 완화하기 위해 취한 조치에 대한 적시 업데이트를 제공합니다. 또한 모든 보안 사고에 대한 검토를 수행하여 근본 원인을 파악하고 향후 유사한 사고가 발생하지 않도록 방지합니다.
파트 13. 비즈니스 연속성 관리 및 재해 복구
13.1. 비즈니스 연속성 계획
유럽 IT 인증 기관은 비영리 조직이지만 파괴적인 사고가 발생할 경우 운영의 연속성을 보장하기 위한 절차를 설명하는 비즈니스 연속성 계획(BCP)을 보유하고 있습니다. BCP는 모든 중요한 운영 프로세스를 다루며 파괴적인 사건 도중 및 이후에 운영을 유지하는 데 필요한 리소스를 식별합니다. 또한 중단 또는 재해 발생 시 비즈니스 운영 유지, 중단의 영향 평가, 특정 중단 사고의 맥락에서 가장 중요한 운영 프로세스 식별, 대응 및 복구 절차 개발을 위한 절차를 간략하게 설명합니다.
13.2. 재해 복구 계획
유럽 IT 인증 기관은 중단 또는 재해 발생 시 정보 시스템을 복구하기 위한 절차를 설명하는 재해 복구 계획(DRP)을 보유하고 있습니다. DRP에는 데이터 백업, 데이터 복원 및 시스템 복구 절차가 포함됩니다. DRP는 효율성을 보장하기 위해 정기적으로 테스트 및 업데이트됩니다.
13.3. 비즈니스 영향 분석
중요한 운영 프로세스와 이를 유지하는 데 필요한 리소스를 식별하기 위해 비즈니스 영향 분석(BIA)을 수행합니다. BIA는 복구 노력의 우선 순위를 정하고 그에 따라 리소스를 할당하는 데 도움이 됩니다.
13.4. 비즈니스 연속성 전략
BIA의 결과를 바탕으로 우리는 파괴적인 사고에 대응하기 위한 절차를 개략적으로 설명하는 비즈니스 연속성 전략을 개발합니다. 전략에는 BCP 활성화, 중요한 운영 프로세스 복원 및 관련 이해 관계자와의 커뮤니케이션 절차가 포함됩니다.
13.5. 테스트 및 유지보수
우리는 BCP와 DRP를 정기적으로 테스트하고 유지 관리하여 효율성과 관련성을 보장합니다. BCP/DRP를 검증하고 개선할 부분을 파악하기 위해 정기적인 테스트를 실시합니다. 또한 운영 또는 위협 환경의 변화를 반영하기 위해 필요에 따라 BCP 및 DRP를 업데이트합니다. 테스트에는 탁상 연습, 시뮬레이션 및 절차의 라이브 테스트가 포함됩니다. 또한 테스트 결과와 배운 내용을 기반으로 계획을 검토하고 업데이트합니다.
13.6. 대체 처리 장소
중단 또는 재난 발생 시 비즈니스 운영을 지속하는 데 사용할 수 있는 대체 온라인 처리 사이트를 유지합니다. 대체 처리 사이트는 필요한 인프라와 시스템을 갖추고 있으며 중요한 비즈니스 프로세스를 지원하는 데 사용할 수 있습니다.
파트 14. 규정 준수 및 감사
14.1. 법률 및 규정 준수
유럽 IT 인증 기관은 데이터 보호법, 산업 표준 및 계약 의무를 포함하여 정보 보안 및 개인 정보 보호와 관련된 모든 해당 법률 및 규정을 준수하기 위해 최선을 다하고 있습니다. 우리는 정기적으로 정책, 절차 및 제어를 검토하고 업데이트하여 모든 관련 요구 사항 및 기준을 준수하도록 합니다. 정보 보안 맥락에서 우리가 따르는 주요 표준 및 프레임워크는 다음과 같습니다.
- 취약성 관리를 핵심 구성 요소로 포함하는 ISMS(정보 보안 관리 시스템)의 구현 및 관리에 대한 지침을 제공하는 ISO/IEC 27001 표준입니다. 취약성 관리를 포함하여 정보 보안 관리 시스템(ISMS)을 구현하고 유지하기 위한 참조 프레임워크를 제공합니다. 이 표준 조항에 따라 우리는 취약성을 포함한 정보 보안 위험을 식별, 평가 및 관리합니다.
- 미국 NIST(National Institute of Standards and Technology) 사이버 보안 프레임워크는 취약성 관리를 포함하여 사이버 보안 위험을 식별, 평가 및 관리하기 위한 지침을 제공합니다.
- 사이버 보안 위험 관리를 개선하기 위한 NIST(National Institute of Standards and Technology) 사이버 보안 프레임워크는 사이버 보안 위험을 관리하기 위해 준수하는 취약성 관리를 포함한 핵심 기능 집합을 포함합니다.
- 사이버 보안을 개선하기 위한 20가지 보안 제어 세트가 포함된 SANS 중요 보안 제어는 취약성 관리를 포함하여 다양한 영역을 다루며 취약성 검색, 패치 관리 및 취약성 관리의 기타 측면에 대한 특정 지침을 제공합니다.
- PCI DSS(Payment Card Industry Data Security Standard)는 이 컨텍스트에서 취약성 관리와 관련하여 신용 카드 정보 처리를 요구합니다.
- CIS(Center for Internet Security Controls)는 정보 시스템의 안전한 구성을 보장하기 위한 핵심 통제 수단 중 하나로 취약성 관리를 포함합니다.
- OWASP(Open Web Application Security Project)는 인젝션 공격, 손상된 인증 및 세션 관리, XSS(교차 사이트 스크립팅) 등과 같은 취약성 평가를 포함하여 가장 중요한 웹 애플리케이션 보안 위험의 상위 10개 목록을 사용합니다. OWASP Top 10은 취약성 관리 노력의 우선 순위를 정하고 웹 시스템과 관련된 가장 심각한 위험에 집중합니다.
14.2. 내부 감사
정보 보안 관리 시스템(ISMS)의 효율성을 평가하고 정책, 절차 및 통제가 준수되고 있는지 확인하기 위해 정기적인 내부 감사를 실시합니다. 내부 감사 프로세스에는 부적합 식별, 시정 조치 개발 및 시정 노력 추적이 포함됩니다.
14.3. 외부 감사
우리는 관련 법률, 규정 및 산업 표준을 준수하는지 확인하기 위해 정기적으로 외부 감사자와 협력합니다. 규정 준수를 검증하는 데 필요한 경우 감사자에게 시설, 시스템 및 문서에 대한 액세스 권한을 제공합니다. 또한 외부 감사자와 협력하여 감사 프로세스 중에 확인된 발견 사항이나 권장 사항을 처리합니다.
14.4. 컴플라이언스 모니터링
우리는 관련 법률, 규정 및 업계 표준을 지속적으로 준수하는지 모니터링합니다. 당사는 정기적인 평가, 감사 및 제XNUMX자 제공업체 검토를 포함하여 규정 준수를 모니터링하기 위해 다양한 방법을 사용합니다. 또한 모든 관련 요구 사항을 지속적으로 준수할 수 있도록 정책, 절차 및 통제를 정기적으로 검토하고 업데이트합니다.
파트 15. 제XNUMX자 관리
15.1. 제XNUMX자 관리 정책
유럽 IT 인증 기관에는 정보 자산 또는 시스템에 액세스할 수 있는 제XNUMX자 공급자를 선택, 평가 및 모니터링하기 위한 요구 사항을 설명하는 제XNUMX자 관리 정책이 있습니다. 이 정책은 클라우드 서비스 공급자, 벤더 및 계약자를 포함한 모든 타사 공급자에게 적용됩니다.
15.2. 제XNUMX자 선택 및 평가
우리는 정보 자산 또는 시스템을 보호하기 위해 적절한 보안 통제가 이루어지도록 제XNUMX자 제공업체와 협력하기 전에 실사를 수행합니다. 또한 정보 보안 및 개인 정보 보호와 관련된 해당 법률 및 규정을 제XNUMX자 제공업체가 준수하는지 평가합니다.
15.3. 타사 모니터링
당사는 제XNUMX자 제공업체가 정보 보안 및 개인 정보 보호에 대한 당사의 요구 사항을 지속적으로 충족하는지 확인하기 위해 지속적으로 모니터링합니다. 정기적인 평가, 감사 및 보안 사고 보고서 검토를 포함하여 다양한 방법을 사용하여 제XNUMX자 공급자를 모니터링합니다.
15.4. 계약 요건
당사는 제XNUMX자 제공업체와의 모든 계약에 정보 보안 및 개인 정보 보호와 관련된 계약 요구 사항을 포함합니다. 이러한 요구 사항에는 데이터 보호, 보안 제어, 사고 관리 및 규정 준수 모니터링에 대한 조항이 포함됩니다. 보안 사고 또는 규정 미준수 시 계약 종료 조항도 포함되어 있습니다.
파트 16. 인증 프로세스의 정보 보안
16.1 인증 프로세스의 보안
우리는 인증을 원하는 개인의 개인 데이터를 포함하여 인증 프로세스와 관련된 모든 정보의 보안을 보장하기 위해 적절하고 체계적인 조치를 취합니다. 여기에는 모든 인증 관련 정보의 액세스, 저장 및 전송에 대한 제어가 포함됩니다. 이러한 조치를 구현함으로써 우리는 인증 프로세스가 최고 수준의 보안 및 무결성으로 수행되고 인증을 원하는 개인의 개인 데이터가 관련 규정 및 표준에 따라 보호되도록 하는 것을 목표로 합니다.
16.2. 인증 및 승인
인증 및 권한 제어를 사용하여 인증된 직원만 인증 정보에 액세스할 수 있도록 합니다. 액세스 제어는 직원 역할 및 책임의 변경 사항에 따라 정기적으로 검토 및 업데이트됩니다.
16.3. 데이터 보호
우리는 데이터의 기밀성, 무결성 및 가용성을 보장하기 위해 적절한 기술 및 조직적 조치를 구현하여 인증 프로세스 전반에 걸쳐 개인 데이터를 보호합니다. 여기에는 암호화, 액세스 제어 및 정기 백업과 같은 조치가 포함됩니다.
16.4. 시험 과정의 보안
우리는 부정 행위를 방지하고 시험 환경을 모니터링 및 제어하기 위한 적절한 조치를 구현하여 시험 프로세스의 보안을 보장합니다. 또한 안전한 보관 절차를 통해 시험 자료의 무결성과 기밀성을 유지합니다.
16.5. 시험 내용의 보안
콘텐츠의 무단 액세스, 변경 또는 공개를 방지하기 위한 적절한 조치를 구현하여 시험 콘텐츠의 보안을 보장합니다. 여기에는 시험 콘텐츠에 대한 보안 저장, 암호화 및 액세스 제어 사용과 시험 콘텐츠의 무단 배포 또는 유포를 방지하기 위한 제어가 포함됩니다.
16.6. 시험 시행의 보안
우리는 시험 환경에 대한 무단 액세스 또는 조작을 방지하기 위한 적절한 조치를 구현하여 시험 전달의 보안을 보장합니다. 여기에는 부정 행위 또는 기타 보안 위반을 방지하기 위한 시험 환경 및 특정 시험 접근 방식의 모니터링, 감사 및 제어와 같은 조치가 포함됩니다.
16.7. 검사 결과의 보안
결과에 대한 무단 액세스, 변경 또는 공개를 방지하기 위한 적절한 조치를 구현하여 시험 결과의 보안을 보장합니다. 여기에는 검사 결과에 대한 보안 저장, 암호화 및 액세스 제어 사용과 검사 결과의 무단 배포 또는 유포를 방지하기 위한 제어가 포함됩니다.
16.8. 인증서 발급의 보안
사기 및 인증서 무단 발급을 방지하기 위한 적절한 조치를 구현하여 인증서 발급의 보안을 보장합니다. 여기에는 인증서를 받는 개인의 신원을 확인하고 안전한 저장 및 발급 절차를 수행하기 위한 통제가 포함됩니다.
16.9. 불만 및 항소
인증 프로세스와 관련된 불만 및 이의 제기를 관리하는 절차를 마련했습니다. 이러한 절차에는 프로세스의 기밀성과 공정성, 불만 및 항소와 관련된 정보의 보안을 보장하기 위한 조치가 포함됩니다.
16.10. 인증 프로세스 품질 관리
우리는 프로세스의 효과, 효율성 및 보안을 보장하기 위한 조치를 포함하는 인증 프로세스에 대한 품질 관리 시스템(QMS)을 수립했습니다. QMS에는 프로세스 및 해당 보안 제어에 대한 정기적인 감사 및 검토가 포함됩니다.
16.11. 인증 프로세스 보안의 지속적인 개선
우리는 인증 프로세스와 보안 제어를 지속적으로 개선하기 위해 최선을 다하고 있습니다. 여기에는 정보 보안 관리에 대한 ISO 27001 표준 및 ISO를 준수하여 비즈니스 환경, 규제 요구 사항 및 정보 보안 관리 모범 사례의 변화를 기반으로 인증 관련 정책 및 절차 보안에 대한 정기적인 검토 및 업데이트가 포함됩니다. 17024 인증 기관 운영 표준.
파트 17. 종결 조항
17.1. 정책 검토 및 업데이트
이 정보 보안 정책은 운영 요구 사항, 규제 요구 사항 또는 정보 보안 관리의 모범 사례에 따라 지속적으로 검토 및 업데이트되는 살아있는 문서입니다.
17.2. 컴플라이언스 모니터링
우리는 이 정보 보안 정책 및 관련 보안 통제 준수를 모니터링하기 위한 절차를 수립했습니다. 규정 준수 모니터링에는 보안 제어에 대한 정기적인 감사, 평가 및 검토와 이 정책의 목표를 달성하는 효과가 포함됩니다.
17.3. 보안 사고 보고
우리는 개인의 개인 데이터와 관련된 것을 포함하여 정보 시스템과 관련된 보안 사고를 보고하는 절차를 마련했습니다. 직원, 계약자 및 기타 이해관계자는 모든 보안 사고 또는 의심되는 사고를 가능한 한 빨리 지정된 보안 팀에 보고하도록 권장됩니다.
17.4. 훈련과 인식
우리는 직원, 계약자 및 기타 이해 관계자에게 정보 보안과 관련된 책임과 의무를 인식하도록 정기적인 교육 및 인식 프로그램을 제공합니다. 여기에는 보안 정책 및 절차에 대한 교육과 개인의 개인 데이터를 보호하기 위한 조치가 포함됩니다.
17.5. 책임과 책무
우리는 모든 직원, 계약자 및 기타 이해 관계자가 이 정보 보안 정책 및 관련 보안 제어를 준수할 책임을 집니다. 또한 효과적인 정보 보안 제어를 구현하고 유지 관리하기 위해 적절한 리소스가 할당되었는지 확인할 책임을 경영진에게 부여합니다.
이 정보 보안 정책은 Euroepan IT 인증 기관의 정보 보안 관리 프레임워크의 중요한 구성 요소이며 정보 자산 및 처리된 데이터를 보호하고 정보의 기밀성, 개인 정보 보호, 무결성 및 가용성을 보장하고 규제 및 계약 요구 사항을 준수하기 위한 노력을 보여줍니다.