Politique de sécurité des informations
Politique de sécurité de l'information de l'Académie EITCA
Ce document précise la politique de sécurité de l'information (ISP) de l'Institut européen de certification informatique, qui est régulièrement revue et mise à jour pour garantir son efficacité et sa pertinence. La dernière mise à jour de la politique de sécurité de l'information EITCI a été effectuée le 7 janvier 2023.
Partie 1. Introduction et déclaration de politique de sécurité de l'information
1.1. Introduction
L'Institut européen de certification informatique reconnaît l'importance de la sécurité de l'information pour maintenir la confidentialité, l'intégrité et la disponibilité des informations et la confiance de nos parties prenantes. Nous nous engageons à protéger les informations sensibles, y compris les données personnelles, contre tout accès, divulgation, altération et destruction non autorisés. Nous maintenons une politique de sécurité de l'information efficace pour soutenir notre mission de fournir des services de certification fiables et impartiaux à nos clients. La politique de sécurité de l'information décrit notre engagement à protéger les actifs informationnels et à respecter nos obligations légales, réglementaires et contractuelles. Notre politique est basée sur les principes des normes ISO 27001 et ISO 17024, les principales normes internationales pour la gestion de la sécurité de l'information et les normes opérationnelles des organismes de certification.
1.2. Énoncé de politique
L'Institut Européen de Certification Informatique s'engage à :
- Protéger la confidentialité, l'intégrité et la disponibilité des actifs informationnels,
- Respecter les obligations légales, réglementaires et contractuelles liées à la sécurité de l'information et au traitement des données mettant en œuvre ses processus et opérations de certification,
- Améliorer en permanence sa politique de sécurité de l'information et son système de management associé,
- Offrir une formation et une sensibilisation adéquates aux employés, aux sous-traitants et aux participants,
- Impliquer tous les employés et sous-traitants dans la mise en œuvre et la maintenance de la politique de sécurité de l'information et du système de gestion de la sécurité de l'information connexe.
1.3. Portée
Cette politique s'applique à tous les actifs informationnels détenus, contrôlés ou traités par l'Institut européen de certification informatique. Cela inclut tous les actifs d'information numériques et physiques, tels que les systèmes, les réseaux, les logiciels, les données et la documentation. Cette politique s'applique également à tous les employés, sous-traitants et fournisseurs de services tiers qui accèdent à nos ressources d'information.
1.4. Conformité
L'Institut européen de certification informatique s'engage à respecter les normes de sécurité de l'information pertinentes, notamment ISO 27001 et ISO 17024. Nous révisons et mettons régulièrement à jour cette politique pour garantir sa pertinence et sa conformité à ces normes.
Partie 2. Sécurité organisationnelle
2.1. Objectifs de sécurité de l'organisation
En mettant en œuvre des mesures de sécurité organisationnelles, nous visons à garantir que nos actifs informationnels et nos pratiques et procédures de traitement des données sont menés avec le plus haut niveau de sécurité et d'intégrité, et que nous nous conformons aux réglementations et normes légales applicables.
2.2. Rôles et responsabilités en matière de sécurité de l'information
L'Institut européen de certification informatique définit et communique les rôles et les responsabilités en matière de sécurité de l'information dans l'ensemble de l'organisation. Cela comprend l'attribution d'une propriété claire pour les actifs d'information dans le contexte de la sécurité de l'information, l'établissement d'une structure de gouvernance et la définition de responsabilités spécifiques pour les différents rôles et départements de l'organisation.
2.3. Gestion des risques
Nous effectuons des évaluations régulières des risques pour identifier et hiérarchiser les risques de sécurité de l'information pour l'organisation, y compris les risques liés au traitement des données personnelles. Nous établissons des contrôles appropriés pour atténuer ces risques, et révisons et mettons régulièrement à jour notre approche de gestion des risques en fonction des changements dans l'environnement commercial et le paysage des menaces.
2.4. Politiques et procédures de sécurité des informations
Nous établissons et maintenons un ensemble de politiques et de procédures de sécurité des informations basées sur les meilleures pratiques du secteur et conformes aux réglementations et normes applicables. Ces politiques et procédures couvrent tous les aspects de la sécurité des informations, y compris le traitement des données personnelles, et sont régulièrement revues et mises à jour pour garantir leur efficacité.
2.5. Sensibilisation à la sécurité et formation
Nous proposons régulièrement des programmes de sensibilisation et de formation à la sécurité à tous les employés, sous-traitants et partenaires tiers qui ont accès à des données personnelles ou à d'autres informations sensibles. Cette formation couvre des sujets tels que le phishing, l'ingénierie sociale, l'hygiène des mots de passe et d'autres bonnes pratiques en matière de sécurité des informations.
2.6. Sécurité physique et environnementale
Nous mettons en œuvre des contrôles de sécurité physiques et environnementaux appropriés pour nous protéger contre les accès non autorisés, les dommages ou les interférences avec nos installations et nos systèmes d'information. Cela inclut des mesures telles que les contrôles d'accès, la surveillance, la surveillance et les systèmes d'alimentation et de refroidissement de secours.
2.7. Gestion des incidents de sécurité de l'information
Nous avons établi un processus de gestion des incidents qui nous permet de réagir rapidement et efficacement à tout incident de sécurité de l'information susceptible de se produire. Cela comprend des procédures de signalement, d'escalade, d'enquête et de résolution des incidents, ainsi que des mesures pour prévenir la récurrence et améliorer nos capacités de réponse aux incidents.
2.8. Continuité opérationnelle et reprise après sinistre
Nous avons établi et testé des plans de continuité opérationnelle et de reprise après sinistre qui nous permettent de maintenir nos fonctions et services opérationnels critiques en cas de perturbation ou de sinistre. Ces plans comprennent des procédures de sauvegarde et de récupération des données et des systèmes, ainsi que des mesures pour assurer la disponibilité et l'intégrité des données personnelles.
2.9. Gestion tierce
Nous établissons et maintenons des contrôles appropriés pour gérer les risques associés aux partenaires tiers qui ont accès aux données personnelles ou à d'autres informations sensibles. Cela comprend des mesures telles que la diligence raisonnable, les obligations contractuelles, la surveillance et les audits, ainsi que des mesures pour mettre fin aux partenariats si nécessaire.
Partie 3. Sécurité des ressources humaines
3.1. Dépistage de l'emploi
L'Institut européen de certification des technologies de l'information a mis en place un processus de sélection des candidats afin de garantir que les personnes ayant accès à des informations sensibles sont dignes de confiance et possèdent les compétences et les qualifications nécessaires.
3.2. Contrôle d'accès
Nous avons établi des politiques et des procédures de contrôle d'accès pour nous assurer que les employés n'ont accès qu'aux informations nécessaires à leurs responsabilités professionnelles. Les droits d'accès sont revus et mis à jour régulièrement pour s'assurer que les employés n'ont accès qu'aux informations dont ils ont besoin.
3.3. Sensibilisation et formation à la sécurité de l'information
Nous offrons régulièrement une formation de sensibilisation à la sécurité de l'information à tous les employés. Cette formation couvre des sujets tels que la sécurité des mots de passe, les attaques de phishing, l'ingénierie sociale et d'autres aspects de la cybersécurité.
3.4. Utilisation acceptable
Nous avons établi une politique d'utilisation acceptable qui décrit l'utilisation acceptable des systèmes d'information et des ressources, y compris les appareils personnels utilisés à des fins professionnelles.
3.5. Sécurité des appareils mobiles
Nous avons établi des politiques et des procédures pour l'utilisation sécurisée des appareils mobiles, y compris l'utilisation de codes d'accès, le cryptage et les capacités d'effacement à distance.
3.6. Procédures de résiliation
L'Institut européen de certification informatique a établi des procédures de résiliation d'emploi ou de contrat afin de garantir que l'accès aux informations sensibles est révoqué rapidement et en toute sécurité.
3.7. Personnel tiers
Nous avons établi des procédures pour la gestion du personnel de tiers ayant accès à des informations sensibles. Ces politiques impliquent le dépistage, le contrôle d'accès et la formation de sensibilisation à la sécurité de l'information.
3.8. Signaler des incidents
Nous avons établi des politiques et des procédures pour signaler les incidents ou les problèmes de sécurité de l'information au personnel ou aux autorités appropriés.
3.9. Accords de confidentialité
L'Institut européen de certification informatique exige que les employés et les sous-traitants signent des accords de confidentialité pour protéger les informations sensibles contre toute divulgation non autorisée.
3.10. Mesures disciplinaires
L'Institut européen de certification informatique a établi des politiques et des procédures pour les mesures disciplinaires en cas de violation de la politique de sécurité de l'information par des employés ou des sous-traitants.
Partie 4. Évaluation et gestion des risques
4.1. Évaluation des risques
Nous procédons à des évaluations périodiques des risques afin d'identifier les menaces et les vulnérabilités potentielles de nos actifs informationnels. Nous utilisons une approche structurée pour identifier, analyser, évaluer et hiérarchiser les risques en fonction de leur probabilité et de leur impact potentiel. Nous évaluons les risques associés à nos actifs informationnels, y compris les systèmes, les réseaux, les logiciels, les données et la documentation.
4.2. Traitement des risques
Nous utilisons un processus de traitement des risques pour atténuer ou réduire les risques à un niveau acceptable. Le processus de traitement des risques comprend la sélection des contrôles appropriés, la mise en œuvre des contrôles et la surveillance de l'efficacité des contrôles. Nous priorisons la mise en œuvre des contrôles en fonction du niveau de risque, des ressources disponibles et des priorités commerciales.
4.3. Surveillance et examen des risques
Nous surveillons et examinons régulièrement l'efficacité de notre processus de gestion des risques pour nous assurer qu'il demeure pertinent et efficace. Nous utilisons des métriques et des indicateurs pour mesurer la performance de notre processus de gestion des risques et identifier les opportunités d'amélioration. Nous examinons également notre processus de gestion des risques dans le cadre de nos revues de direction périodiques afin de nous assurer de sa pertinence, de son adéquation et de son efficacité.
4.4. Planification de la réponse aux risques
Nous avons mis en place un plan de réponse aux risques pour nous assurer que nous pouvons répondre efficacement à tout risque identifié. Ce plan comprend des procédures d'identification et de signalement des risques, ainsi que des processus d'évaluation de l'impact potentiel de chaque risque et de détermination des mesures d'intervention appropriées. Nous avons également mis en place des plans d'urgence pour assurer la continuité des activités en cas d'événement à risque important.
4.5. Analyse d'impact opérationnel
Nous effectuons périodiquement des analyses d'impact sur les activités afin d'identifier l'impact potentiel des perturbations sur nos activités commerciales. Cette analyse comprend une évaluation de la criticité de nos fonctions commerciales, systèmes et données, ainsi qu'une évaluation de l'impact potentiel des perturbations sur nos clients, employés et autres parties prenantes.
4.6. Gestion des risques tiers
Nous avons mis en place un programme de gestion des risques liés aux tiers pour garantir que nos fournisseurs et autres prestataires de services tiers gèrent également les risques de manière appropriée. Ce programme comprend des contrôles de diligence raisonnable avant de s'engager avec des tiers, une surveillance continue des activités des tiers et des évaluations périodiques des pratiques de gestion des risques des tiers.
4.7. Réponse et gestion des incidents
Nous avons mis en place un plan de réponse et de gestion des incidents pour nous assurer que nous pouvons répondre efficacement à tout incident de sécurité. Ce plan comprend des procédures d'identification et de signalement des incidents, ainsi que des processus d'évaluation de l'impact de chaque incident et de détermination des mesures d'intervention appropriées. Nous avons également mis en place un plan de continuité des activités pour garantir que les fonctions commerciales essentielles peuvent continuer en cas d'incident important.
Partie 5. Sécurité physique et environnementale
5.1. Périmètre de sécurité physique
Nous avons établi des mesures de sécurité physique pour protéger les locaux physiques et les informations sensibles contre tout accès non autorisé.
5.2. Contrôle d'accès
Nous avons établi des politiques et des procédures de contrôle d'accès pour les locaux physiques afin de garantir que seul le personnel autorisé a accès aux informations sensibles.
5.3. Sécurité des équipements
Nous nous assurons que tous les équipements contenant des informations sensibles sont physiquement sécurisés et que l'accès à ces équipements est limité au personnel autorisé uniquement.
5.4. Élimination sécurisée
Nous avons établi des procédures pour l'élimination sécurisée des informations sensibles, y compris les documents papier, les supports électroniques et le matériel.
5.5. Environnement physique
Nous nous assurons que l'environnement physique des locaux, y compris la température, l'humidité et l'éclairage, est approprié pour la protection des informations sensibles.
5.6. Alimentation
Nous veillons à ce que l'alimentation électrique des locaux soit fiable et protégée contre les coupures de courant ou les surtensions.
5.7. Protection contre les incendies
Nous avons établi des politiques et des procédures de protection contre les incendies, y compris l'installation et l'entretien des systèmes de détection et d'extinction des incendies.
5.8. Protection contre les dégâts des eaux
Nous avons établi des politiques et des procédures pour protéger les informations sensibles contre les dégâts des eaux, y compris l'installation et la maintenance de systèmes de détection et de prévention des inondations.
5.9. Maintenance de l'équipement
Nous avons établi des procédures pour l'entretien de l'équipement, y compris l'inspection de l'équipement pour des signes d'altération ou d'accès non autorisé.
5.10. Utilisation acceptable
Nous avons établi une politique d'utilisation acceptable qui décrit l'utilisation acceptable des ressources physiques et des installations.
5.11. Accès à distance
Nous avons établi des politiques et des procédures pour l'accès à distance aux informations sensibles, y compris l'utilisation de connexions sécurisées et le cryptage.
5.12. Suivi et Surveillance
Nous avons établi des politiques et des procédures de contrôle et de surveillance des locaux physiques et de l'équipement afin de détecter et d'empêcher l'accès non autorisé ou la falsification.
Partie. 6. Sécurité des communications et des opérations
6.1. Gestion de la sécurité du réseau
Nous avons établi des politiques et des procédures pour la gestion de la sécurité du réseau, y compris l'utilisation de pare-feu, de systèmes de détection et de prévention des intrusions et des audits de sécurité réguliers.
6.2. Transfert d'information
Nous avons établi des politiques et des procédures pour le transfert sécurisé d'informations sensibles, y compris l'utilisation de protocoles de cryptage et de transfert de fichiers sécurisés.
6.3. Communications tierces
Nous avons établi des politiques et des procédures pour l'échange sécurisé d'informations sensibles avec des organisations tierces, y compris l'utilisation de connexions sécurisées et le cryptage.
6.4. Gestion des médias
Nous avons établi des procédures pour le traitement des informations sensibles sous diverses formes de supports, y compris les documents papier, les supports électroniques et les dispositifs de stockage portables.
6.5. Développement et maintenance des systèmes d'information
Nous avons établi des politiques et des procédures pour le développement et la maintenance des systèmes d'information, y compris l'utilisation de pratiques de codage sécurisées, des mises à jour logicielles régulières et la gestion des correctifs.
6.6. Protection contre les logiciels malveillants et les virus
Nous avons établi des politiques et des procédures pour protéger les systèmes d'information contre les logiciels malveillants et les virus, y compris l'utilisation de logiciels antivirus et des mises à jour de sécurité régulières.
6.7. Sauvegarde et restauration
Nous avons établi des politiques et des procédures pour la sauvegarde et la restauration des informations sensibles afin d'éviter la perte ou la corruption de données.
6.8. Gestion des événements
Nous avons établi des politiques et des procédures pour l'identification, l'investigation et la résolution des incidents et événements de sécurité.
6.9. Gestion des vulnérabilités
Nous avons établi des politiques et des procédures pour la gestion des vulnérabilités des systèmes d'information, y compris l'utilisation d'évaluations régulières des vulnérabilités et la gestion des correctifs.
6.10. Contrôle d'accès
Nous avons établi des politiques et des procédures pour la gestion de l'accès des utilisateurs aux systèmes d'information, y compris l'utilisation de contrôles d'accès, l'authentification des utilisateurs et des examens d'accès réguliers.
6.11. Surveillance et journalisation
Nous avons établi des politiques et des procédures pour la surveillance et la journalisation des activités du système d'information, y compris l'utilisation de pistes d'audit et la journalisation des incidents de sécurité.
Partie 7. Acquisition, développement et maintenance des systèmes d'information
7.1. Pré-requis
Nous avons établi des politiques et des procédures pour l'identification des exigences du système d'information, y compris les exigences commerciales, les exigences légales et réglementaires et les exigences de sécurité.
7.2. Relations avec les fournisseurs
Nous avons établi des politiques et des procédures pour la gestion des relations avec les fournisseurs tiers de systèmes et de services d'information, y compris l'évaluation des pratiques de sécurité des fournisseurs.
7.3. Développement de système
Nous avons établi des politiques et des procédures pour le développement sécurisé des systèmes d'information, y compris l'utilisation de pratiques de codage sécurisées, des tests réguliers et l'assurance qualité.
7.4. Test du système
Nous avons établi des politiques et des procédures pour les tests des systèmes d'information, y compris les tests de fonctionnalité, les tests de performance et les tests de sécurité.
7.5. Acceptation du système
Nous avons établi des politiques et des procédures pour l'acceptation des systèmes d'information, y compris l'approbation des résultats des tests, des évaluations de sécurité et des tests d'acceptation par les utilisateurs.
7.6. Maintenance du système
Nous avons établi des politiques et des procédures pour la maintenance des systèmes d'information, y compris des mises à jour régulières, des correctifs de sécurité et des sauvegardes du système.
7.7. Retrait du système
Nous avons établi des politiques et des procédures pour le retrait des systèmes d'information, y compris l'élimination sécurisée du matériel et des données.
7.8. La conservation des données
Nous avons établi des politiques et des procédures pour la conservation des données conformément aux exigences légales et réglementaires, y compris le stockage sécurisé et l'élimination des données sensibles.
7.9. Exigences de sécurité pour les systèmes d'information
Nous avons établi des politiques et des procédures pour l'identification et la mise en œuvre des exigences de sécurité pour les systèmes d'information, y compris les contrôles d'accès, le cryptage et la protection des données.
7.10. Environnements de développement sécurisés
Nous avons établi des politiques et des procédures pour les environnements de développement sécurisés pour les systèmes d'information, y compris l'utilisation de pratiques de développement sécurisées, de contrôles d'accès et de configurations de réseau sécurisées.
7.11. Protection des environnements de test
Nous avons établi des politiques et des procédures pour la protection des environnements de test des systèmes d'information, y compris l'utilisation de configurations sécurisées, des contrôles d'accès et des tests de sécurité réguliers.
7.12. Principes d'ingénierie des systèmes sécurisés
Nous avons établi des politiques et des procédures pour la mise en œuvre des principes d'ingénierie des systèmes sécurisés pour les systèmes d'information, y compris l'utilisation d'architectures de sécurité, la modélisation des menaces et les pratiques de codage sécurisé.
7.13. Directives de codage sécurisé
Nous avons établi des politiques et des procédures pour la mise en œuvre de directives de codage sécurisé pour les systèmes d'information, y compris l'utilisation de normes de codage, de révisions de code et de tests automatisés.
Partie 8. Acquisition de matériel
8.1. Respect des normes
Nous adhérons à la norme ISO 27001 pour le système de gestion de la sécurité de l'information (ISMS) afin de garantir que les actifs matériels sont achetés conformément à nos exigences de sécurité.
8.2. Évaluation des risques
Nous effectuons une évaluation des risques avant d'acquérir des actifs matériels afin d'identifier les risques de sécurité potentiels et de nous assurer que le matériel sélectionné répond aux exigences de sécurité.
8.3. Sélection des fournisseurs
Nous achetons des actifs matériels uniquement auprès de fournisseurs de confiance qui ont fait leurs preuves dans la fourniture de produits sécurisés. Nous examinons les politiques et pratiques de sécurité des fournisseurs et leur demandons de fournir l'assurance que leurs produits répondent à nos exigences de sécurité.
8.4. Transport sécurisé
Nous veillons à ce que les actifs matériels soient transportés en toute sécurité dans nos locaux pour éviter toute altération, dommage ou vol pendant le transport.
8.5. Vérification de l'authenticité
Nous vérifions l'authenticité des actifs matériels à la livraison pour nous assurer qu'ils ne sont pas contrefaits ou altérés.
8.6. Contrôles physiques et environnementaux
Nous mettons en œuvre des contrôles physiques et environnementaux appropriés pour protéger les actifs matériels contre tout accès non autorisé, vol ou dommage.
8.7. Installation du matériel
Nous veillons à ce que tous les actifs matériels soient configurés et installés conformément aux normes et directives de sécurité établies.
8.8. Avis sur le matériel
Nous effectuons des examens périodiques des actifs matériels pour nous assurer qu'ils continuent de répondre à nos exigences de sécurité et qu'ils sont à jour avec les derniers correctifs et mises à jour de sécurité.
8.9. Élimination du matériel
Nous éliminons les actifs matériels de manière sécurisée pour empêcher tout accès non autorisé aux informations sensibles.
Partie 9. Protection contre les logiciels malveillants et les virus
9.1. Politique de mise à jour du logiciel
Nous maintenons à jour un logiciel de protection contre les virus et les logiciels malveillants sur tous les systèmes d'information utilisés par l'Institut européen de certification informatique, y compris les serveurs, les postes de travail, les ordinateurs portables et les appareils mobiles. Nous nous assurons que le logiciel antivirus et de protection contre les logiciels malveillants est configuré pour mettre à jour automatiquement ses fichiers de définition de virus et ses versions logicielles de manière régulière, et que ce processus est testé régulièrement.
9.2. Analyse antivirus et antimalware
Nous effectuons des analyses régulières de tous les systèmes d'information, y compris les serveurs, les postes de travail, les ordinateurs portables et les appareils mobiles, pour détecter et supprimer tout virus ou logiciel malveillant.
9.3. Politique de non-désactivation et de non-modification
Nous appliquons des politiques qui interdisent aux utilisateurs de désactiver ou de modifier les logiciels de protection contre les virus et les logiciels malveillants sur tout système d'information.
9.4. surveillance
Nous surveillons les alertes et les journaux de nos logiciels de protection contre les virus et les logiciels malveillants afin d'identifier tout incident d'infection par un virus ou un logiciel malveillant et de répondre à ces incidents en temps opportun.
9.5. Tenue des dossiers
Nous conservons des enregistrements de la configuration, des mises à jour et des analyses des logiciels antivirus et de protection contre les logiciels malveillants, ainsi que de tout incident d'infection par des virus ou des logiciels malveillants, à des fins d'audit.
9.6. Avis sur les logiciels
Nous effectuons des examens périodiques de notre logiciel de protection contre les virus et les logiciels malveillants pour nous assurer qu'il répond aux normes actuelles de l'industrie et qu'il est adapté à nos besoins.
9.7. Formation et sensibilisation
Nous proposons des programmes de formation et de sensibilisation pour éduquer tous les employés sur l'importance de la protection contre les virus et les logiciels malveillants, et sur la façon de reconnaître et de signaler toute activité ou incident suspect.
Partie 10. Gestion des actifs informationnels
10.1. Inventaire des actifs informationnels
L'Institut européen de certification informatique tient à jour un inventaire des actifs d'information qui comprend tous les actifs d'information numériques et physiques, tels que les systèmes, les réseaux, les logiciels, les données et la documentation. Nous classons les actifs informationnels en fonction de leur criticité et de leur sensibilité afin de nous assurer que des mesures de protection appropriées sont mises en œuvre.
10.2. Gestion des actifs informationnels
Nous mettons en œuvre des mesures appropriées pour protéger les actifs informationnels en fonction de leur classification, y compris la confidentialité, l'intégrité et la disponibilité. Nous veillons à ce que tous les actifs informationnels soient traités conformément aux lois, réglementations et exigences contractuelles applicables. Nous veillons également à ce que tous les actifs d'information soient correctement stockés, protégés et éliminés lorsqu'ils ne sont plus nécessaires.
10.3. Propriété des actifs informationnels
Nous attribuons la propriété des actifs informationnels aux personnes ou aux services responsables de la gestion et de la protection des actifs informationnels. Nous veillons également à ce que les propriétaires d'actifs informationnels comprennent leurs responsabilités et leurs responsabilités en matière de protection des actifs informationnels.
10.4. Protection des actifs informationnels
Nous utilisons une variété de mesures de protection pour protéger les actifs d'information, y compris les contrôles physiques, les contrôles d'accès, le cryptage et les processus de sauvegarde et de récupération. Nous veillons également à ce que tous les actifs informationnels soient protégés contre tout accès, modification ou destruction non autorisés.
Partie 11. Contrôle d'accès
11.1. Politique de contrôle d'accès
L'Institut européen de certification informatique a une politique de contrôle d'accès qui décrit les exigences pour accorder, modifier et révoquer l'accès aux ressources d'information. Le contrôle d'accès est un élément essentiel de notre système de gestion de la sécurité de l'information, et nous le mettons en œuvre pour garantir que seules les personnes autorisées ont accès à nos actifs informationnels.
11.2. Implémentation du contrôle d'accès
Nous mettons en œuvre des mesures de contrôle d'accès basées sur le principe du moindre privilège, ce qui signifie que les individus n'ont accès qu'aux actifs informationnels nécessaires à l'exercice de leurs fonctions. Nous utilisons une variété de mesures de contrôle d'accès, y compris l'authentification, l'autorisation et la comptabilité (AAA). Nous utilisons également des listes de contrôle d'accès (ACL) et des autorisations pour contrôler l'accès aux ressources d'information.
11.3. Politique de mot de passe
L'Institut européen de certification informatique a une politique de mot de passe qui décrit les exigences pour la création et la gestion des mots de passe. Nous exigeons des mots de passe forts d'au moins 8 caractères, avec une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Nous exigeons également des changements de mot de passe périodiques et interdisons la réutilisation des mots de passe précédents.
11.4. Gestion des utilisateurs
Nous avons un processus de gestion des utilisateurs qui comprend la création, la modification et la suppression de comptes d'utilisateurs. Les comptes d'utilisateurs sont créés sur la base du principe du moindre privilège et l'accès n'est accordé qu'aux informations nécessaires à l'exécution des fonctions professionnelles de l'individu. Nous examinons également régulièrement les comptes d'utilisateurs et supprimons les comptes qui ne sont plus nécessaires.
Partie 12. Gestion des incidents de sécurité de l'information
12.1. Politique de gestion des incidents
L'Institut européen de certification informatique dispose d'une politique de gestion des incidents qui décrit les exigences en matière de détection, de signalement, d'évaluation et de réponse aux incidents de sécurité. Nous définissons les incidents de sécurité comme tout événement qui compromet la confidentialité, l'intégrité ou la disponibilité des actifs ou des systèmes d'information.
12.2. Détection et signalement des incidents
Nous mettons en œuvre des mesures pour détecter et signaler rapidement les incidents de sécurité. Nous utilisons diverses méthodes pour détecter les incidents de sécurité, y compris les systèmes de détection d'intrusion (IDS), les logiciels antivirus et les rapports d'utilisateurs. Nous veillons également à ce que tous les employés connaissent les procédures de signalement des incidents de sécurité et encourageons le signalement de tous les incidents suspects.
12.3. Évaluation des incidents et réponse
Nous avons un processus d'évaluation et de réponse aux incidents de sécurité en fonction de leur gravité et de leur impact. Nous hiérarchisons les incidents en fonction de leur impact potentiel sur les actifs ou les systèmes d'information et allouons les ressources appropriées pour y répondre. Nous avons également un plan de réponse qui comprend des procédures d'identification, de confinement, d'analyse, d'éradication et de récupération des incidents de sécurité, ainsi que la notification des parties concernées et la réalisation d'examens post-incident Nos procédures de réponse aux incidents sont conçues pour garantir une réponse rapide et efficace aux incidents de sécurité. Les procédures sont régulièrement revues et mises à jour pour garantir leur efficacité et leur pertinence.
12.4. Équipe d'intervention en cas d'incident
Nous avons une équipe de réponse aux incidents (IRT) qui est chargée de répondre aux incidents de sécurité. L'IRT est composé de représentants de différentes unités et est dirigé par l'Information Security Officer (ISO). L'IRT est chargé d'évaluer la gravité des incidents, de contenir l'incident et de lancer les procédures d'intervention appropriées.
12.5. Rapport et examen des incidents
Nous avons établi des procédures pour signaler les incidents de sécurité aux parties concernées, y compris les clients, les autorités réglementaires et les organismes chargés de l'application de la loi, comme l'exigent les lois et réglementations applicables. Nous maintenons également la communication avec les parties concernées tout au long du processus de réponse aux incidents, en fournissant des mises à jour en temps opportun sur l'état de l'incident et sur toutes les mesures prises pour atténuer son impact. Nous effectuons également un examen de tous les incidents de sécurité afin d'identifier la cause profonde et d'empêcher que des incidents similaires ne se reproduisent à l'avenir.
Partie 13. Gestion de la continuité des activités et reprise après sinistre
13.1. Planification de la continuité des activités
Bien que l'Institut européen de certification informatique soit une organisation à but non lucratif, il dispose d'un plan de continuité des activités (PCA) qui décrit les procédures pour assurer la continuité de ses opérations en cas d'incident perturbateur. Le PCA couvre tous les processus opérationnels critiques et identifie les ressources nécessaires pour maintenir les opérations pendant et après un incident perturbateur. Il décrit également les procédures de maintien des opérations commerciales lors d'une perturbation ou d'une catastrophe, l'évaluation de l'impact des perturbations, l'identification des processus d'exploitation les plus critiques dans le contexte d'un incident perturbateur particulier et l'élaboration de procédures d'intervention et de récupération.
13.2. Planification de reprise après sinistre
L'Institut européen de certification informatique dispose d'un plan de reprise après sinistre (DRP) qui décrit les procédures de récupération de nos systèmes d'information en cas de perturbation ou de sinistre. Le DRP comprend des procédures pour la sauvegarde des données, la restauration des données et la récupération du système. Le DRP est régulièrement testé et mis à jour pour garantir son efficacité.
13.3. Analyse de l’impact commercial
Nous effectuons une analyse d'impact sur l'entreprise (BIA) pour identifier les processus opérationnels critiques et les ressources nécessaires pour les maintenir. Le BIA nous aide à hiérarchiser nos efforts de rétablissement et à allouer les ressources en conséquence.
13.4. Stratégie de continuité des activités
Sur la base des résultats du BIA, nous développons une stratégie de continuité des activités qui décrit les procédures de réponse à un incident perturbateur. La stratégie comprend des procédures d'activation du PCA, de restauration des processus opérationnels critiques et de communication avec les parties prenantes concernées.
13.5. Essais et entretien
Nous testons et maintenons régulièrement nos BCP et DRP pour nous assurer de leur efficacité et de leur pertinence. Nous effectuons des tests réguliers pour valider le BCP/DRP et identifier les axes d'amélioration. Nous mettons également à jour le BCP et le DRP si nécessaire pour refléter les changements dans nos opérations ou le paysage des menaces. Les tests comprennent des exercices sur table, des simulations et des tests en direct des procédures. Nous examinons et mettons également à jour nos plans en fonction des résultats des tests et des leçons apprises.
13.6. Sites de traitement alternatifs
Nous maintenons des sites de traitement en ligne alternatifs qui peuvent être utilisés pour poursuivre les opérations commerciales en cas de perturbation ou de sinistre. Les sites de traitement alternatifs sont équipés des infrastructures et des systèmes nécessaires et peuvent être utilisés pour soutenir les processus commerciaux critiques.
Partie 14. Conformité et audit
14.1. Conformité aux lois et réglementations
L'Institut européen de certification informatique s'engage à respecter toutes les lois et réglementations applicables relatives à la sécurité et à la confidentialité des informations, y compris les lois sur la protection des données, les normes de l'industrie et les obligations contractuelles. Nous révisons et mettons à jour régulièrement nos politiques, procédures et contrôles pour assurer la conformité avec toutes les exigences et normes pertinentes. Les principales normes et cadres que nous suivons dans le contexte de la sécurité de l'information comprennent :
- La norme ISO/IEC 27001 fournit des lignes directrices pour la mise en œuvre et la gestion d'un système de gestion de la sécurité de l'information (ISMS) qui inclut la gestion des vulnérabilités comme élément clé. Il fournit un cadre de référence pour la mise en œuvre et la maintenance de notre système de gestion de la sécurité de l'information (ISMS), y compris la gestion des vulnérabilités. Conformément à ces dispositions standard, nous identifions, évaluons et gérons les risques de sécurité de l'information, y compris les vulnérabilités.
- Le cadre de cybersécurité du National Institute of Standards and Technology (NIST) des États-Unis fournit des directives pour l'identification, l'évaluation et la gestion des risques de cybersécurité, y compris la gestion des vulnérabilités.
- Le cadre de cybersécurité du National Institute of Standards and Technology (NIST) pour améliorer la gestion des risques de cybersécurité, avec un ensemble de fonctions de base, y compris la gestion des vulnérabilités, auxquelles nous adhérons pour gérer nos risques de cybersécurité.
- Les contrôles de sécurité critiques SANS contenant un ensemble de 20 contrôles de sécurité pour améliorer la cybersécurité, couvrant une gamme de domaines, y compris la gestion des vulnérabilités, fournissant des conseils spécifiques sur l'analyse des vulnérabilités, la gestion des correctifs et d'autres aspects de la gestion des vulnérabilités.
- La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), exigeant le traitement des informations de carte de crédit en ce qui concerne la gestion des vulnérabilités dans ce contexte.
- Le Center for Internet Security Controls (CIS) inclut la gestion des vulnérabilités comme l'un des contrôles clés pour assurer des configurations sécurisées de nos systèmes d'information.
- L'Open Web Application Security Project (OWASP), avec sa liste des 10 principaux risques de sécurité des applications Web les plus critiques, y compris l'évaluation des vulnérabilités telles que les attaques par injection, l'authentification et la gestion de session cassées, les scripts intersites (XSS), etc. Nous utilisons le Top 10 de l'OWASP pour hiérarchiser nos efforts de gestion des vulnérabilités et nous concentrer sur les risques les plus critiques concernant nos systèmes Web.
14.2. Audit interne
Nous effectuons des audits internes réguliers pour évaluer l'efficacité de notre système de gestion de la sécurité de l'information (ISMS) et nous assurer que nos politiques, procédures et contrôles sont suivis. Le processus d'audit interne comprend l'identification des non-conformités, le développement d'actions correctives et le suivi des efforts de remédiation.
14.3. Audit externe
Nous collaborons périodiquement avec des auditeurs externes pour valider notre conformité aux lois, réglementations et normes de l'industrie applicables. Nous fournissons aux auditeurs l'accès à nos installations, systèmes et documents nécessaires pour valider notre conformité. Nous collaborons également avec des auditeurs externes pour répondre à toute constatation ou recommandation identifiée au cours du processus d'audit.
14.4. Surveillance de la conformité
Nous surveillons en permanence notre conformité aux lois, réglementations et normes industrielles applicables. Nous utilisons diverses méthodes pour surveiller la conformité, y compris des évaluations périodiques, des audits et des examens de fournisseurs tiers. Nous révisons et mettons également à jour régulièrement nos politiques, procédures et contrôles pour assurer la conformité continue avec toutes les exigences pertinentes.
Partie 15. Gestion par des tiers
15.1. Politique de gestion des tiers
L'Institut européen de certification informatique a une politique de gestion des tiers qui décrit les exigences de sélection, d'évaluation et de surveillance des fournisseurs tiers qui ont accès à nos actifs ou systèmes d'information. La politique s'applique à tous les fournisseurs tiers, y compris les fournisseurs de services cloud, les fournisseurs et les sous-traitants.
15.2. Sélection et évaluation de tiers
Nous effectuons une diligence raisonnable avant de nous engager avec des fournisseurs tiers pour nous assurer qu'ils ont mis en place des contrôles de sécurité adéquats pour protéger nos actifs ou systèmes d'information. Nous évaluons également la conformité des fournisseurs tiers aux lois et réglementations applicables en matière de sécurité et de confidentialité des informations.
15.3. Surveillance tierce
Nous surveillons en permanence les fournisseurs tiers pour nous assurer qu'ils continuent de répondre à nos exigences en matière de sécurité et de confidentialité des informations. Nous utilisons diverses méthodes pour surveiller les fournisseurs tiers, y compris des évaluations périodiques, des audits et des examens des rapports d'incidents de sécurité.
15.4. Exigences contractuelles
Nous incluons des exigences contractuelles liées à la sécurité et à la confidentialité des informations dans tous les contrats avec des fournisseurs tiers. Ces exigences comprennent des dispositions relatives à la protection des données, aux contrôles de sécurité, à la gestion des incidents et à la surveillance de la conformité. Nous incluons également des dispositions pour la résiliation des contrats en cas d'incident de sécurité ou de non-conformité.
Partie 16. Sécurité de l'information dans les processus de certification
16.1 Sécurité des processus de certification
Nous prenons des mesures adéquates et systémiques pour assurer la sécurité de toutes les informations liées à nos processus de certification, y compris les données personnelles des personnes souhaitant obtenir une certification. Cela inclut des contrôles pour l'accès, le stockage et la transmission de toutes les informations liées à la certification. En mettant en œuvre ces mesures, nous visons à garantir que les processus de certification sont menés avec le plus haut niveau de sécurité et d'intégrité, et que les données personnelles des personnes demandant la certification sont protégées conformément aux réglementations et normes en vigueur.
16.2. Authentification et autorisation
Nous utilisons des contrôles d'authentification et d'autorisation pour nous assurer que seul le personnel autorisé a accès aux informations de certification. Les contrôles d'accès sont régulièrement revus et mis à jour en fonction des changements dans les rôles et les responsabilités du personnel.
19. Protection des données
Nous protégeons les données personnelles tout au long du processus de certification en mettant en œuvre des mesures techniques et organisationnelles appropriées pour assurer la confidentialité, l'intégrité et la disponibilité des données. Cela inclut des mesures telles que le cryptage, les contrôles d'accès et les sauvegardes régulières.
16.4. Sécurité des processus d'examen
Nous assurons la sécurité des processus d'examen en mettant en œuvre des mesures appropriées pour prévenir la tricherie, surveiller et contrôler l'environnement d'examen. Nous préservons également l'intégrité et la confidentialité du matériel d'examen grâce à des procédures de stockage sécurisées.
16.5. Sécurité du contenu de l'examen
Nous assurons la sécurité du contenu de l'examen en mettant en œuvre des mesures appropriées pour protéger contre l'accès non autorisé, la modification ou la divulgation du contenu. Cela comprend l'utilisation d'un stockage sécurisé, d'un cryptage et de contrôles d'accès pour le contenu de l'examen, ainsi que des contrôles pour empêcher la distribution ou la diffusion non autorisée du contenu de l'examen.
16.6. Sécurité de la délivrance des examens
Nous assurons la sécurité de la prestation des examens en mettant en œuvre des mesures appropriées pour empêcher l'accès non autorisé ou la manipulation de l'environnement d'examen. Cela comprend des mesures telles que la surveillance, l'audit et le contrôle de l'environnement d'examen et des approches d'examen particulières, pour prévenir la tricherie ou d'autres atteintes à la sécurité.
16.7. Sécurité des résultats d'examen
Nous assurons la sécurité des résultats d'examen en mettant en œuvre des mesures appropriées pour protéger contre l'accès non autorisé, la modification ou la divulgation des résultats. Cela comprend l'utilisation d'un stockage sécurisé, d'un cryptage et de contrôles d'accès pour les résultats d'examen, ainsi que des contrôles pour empêcher la distribution ou la diffusion non autorisée des résultats d'examen.
16.8. Sécurité de l'émission des certificats
Nous assurons la sécurité de l'émission des certificats en mettant en œuvre des mesures appropriées pour prévenir la fraude et l'émission non autorisée de certificats. Cela comprend des contrôles pour vérifier l'identité des personnes recevant des certificats et des procédures de stockage et de délivrance sécurisées.
16.9. Plaintes et appels
Nous avons établi des procédures de gestion des plaintes et des appels liés au processus de certification. Ces procédures comprennent des mesures visant à assurer la confidentialité et l'impartialité du processus, ainsi que la sécurité des informations relatives aux plaintes et aux recours.
16.10. Processus de certification Gestion de la qualité
Nous avons établi un système de gestion de la qualité (QMS) pour les processus de certification qui comprend des mesures pour garantir l'efficacité, l'efficience et la sécurité des processus. Le SMQ comprend des audits et des examens réguliers des processus et de leurs contrôles de sécurité.
16.11. Amélioration continue de la sécurité des processus de certification
Nous nous engageons à améliorer continuellement nos processus de certification et leurs contrôles de sécurité. Cela comprend des révisions et des mises à jour régulières des politiques et procédures de certification liées à la sécurité en fonction des changements dans l'environnement commercial, des exigences réglementaires et des meilleures pratiques en matière de gestion de la sécurité de l'information, conformément à la norme ISO 27001 pour la gestion de la sécurité de l'information, ainsi qu'à l'ISO 17024 normes de fonctionnement des organismes de certification.
Partie 17. Dispositions finales
17.1. Examen et mise à jour de la politique
Cette politique de sécurité de l'information est un document évolutif qui fait l'objet de révisions et de mises à jour continues en fonction des modifications de nos exigences opérationnelles, des exigences réglementaires ou des meilleures pratiques en matière de gestion de la sécurité de l'information.
17.2. Surveillance de la conformité
Nous avons établi des procédures pour surveiller la conformité à cette politique de sécurité de l'information et aux contrôles de sécurité connexes. La surveillance de la conformité comprend des audits, des évaluations et des examens réguliers des contrôles de sécurité et de leur efficacité dans la réalisation des objectifs de cette politique.
17.3. Signalement des incidents de sécurité
Nous avons établi des procédures de signalement des incidents de sécurité liés à nos systèmes d'information, y compris ceux liés aux données personnelles des individus. Les employés, sous-traitants et autres parties prenantes sont encouragés à signaler tout incident de sécurité ou incident suspecté à l'équipe de sécurité désignée dès que possible.
17.4. Formation et sensibilisation
Nous proposons régulièrement des programmes de formation et de sensibilisation aux employés, sous-traitants et autres parties prenantes afin de nous assurer qu'ils sont conscients de leurs responsabilités et obligations en matière de sécurité de l'information. Cela comprend une formation sur les politiques et procédures de sécurité et les mesures de protection des données personnelles des individus.
17.5. Responsabilité et imputabilité
Nous tenons tous les employés, sous-traitants et autres parties prenantes responsables et imputables du respect de la présente politique de sécurité de l'information et des contrôles de sécurité connexes. Nous tenons également la direction responsable de veiller à ce que les ressources appropriées soient allouées à la mise en œuvre et au maintien de contrôles de sécurité de l'information efficaces.
Cette politique de sécurité de l'information est un élément essentiel du cadre de gestion de la sécurité de l'information de l'Institut européen de certification informatique et démontre notre engagement à protéger les actifs d'information et les données traitées, à garantir la confidentialité, la confidentialité, l'intégrité et la disponibilité des informations, et à respecter les exigences réglementaires et contractuelles.