Informacijos saugumo politika
EITCA akademijos informacijos saugumo politika
Šiame dokumente nurodoma Europos IT sertifikavimo instituto informacijos saugos politika (ISP), kuri reguliariai peržiūrima ir atnaujinama, siekiant užtikrinti jos veiksmingumą ir aktualumą. Paskutinis EITCI informacijos saugos politikos atnaujinimas buvo atliktas 7 m. sausio 2023 d.
1 dalis. Įvadas ir informacijos saugumo politikos pareiškimas
1.1. Įvadas
Europos IT sertifikavimo institutas pripažįsta informacijos saugumo svarbą išlaikant informacijos konfidencialumą, vientisumą ir prieinamumą bei mūsų suinteresuotųjų šalių pasitikėjimą. Esame įsipareigoję apsaugoti jautrią informaciją, įskaitant asmens duomenis, nuo neteisėtos prieigos, atskleidimo, pakeitimo ir sunaikinimo. Mes laikomės veiksmingos informacijos saugumo politikos, kad palaikytume mūsų misiją teikti patikimas ir nešališkas sertifikavimo paslaugas savo klientams. Informacijos saugumo politika apibrėžia mūsų įsipareigojimą saugoti informacijos turtą ir vykdyti savo teisinius, reguliavimo ir sutartinius įsipareigojimus. Mūsų politika grindžiama ISO 27001 ir ISO 17024 principais – pirmaujančiais tarptautiniais informacijos saugumo valdymo ir sertifikavimo įstaigų veiklos standartais.
1.2. Politikos pareiškimas
Europos IT sertifikavimo institutas yra įsipareigojęs:
- Saugoti informacijos išteklių konfidencialumą, vientisumą ir prieinamumą,
- laikytis teisinių, reguliavimo ir sutartinių įsipareigojimų, susijusių su informacijos saugumu ir duomenų tvarkymu, įgyvendinant savo sertifikavimo procesus ir operacijas,
- Nuolat tobulindama savo informacijos saugumo politiką ir susijusią valdymo sistemą,
- Tinkamų darbuotojų, rangovų ir dalyvių mokymų ir informavimo teikimas,
- Visų darbuotojų ir rangovų įtraukimas į informacijos saugumo politikos ir su ja susijusios informacijos saugumo valdymo sistemos įgyvendinimą ir priežiūrą.
1.3. Taikymo sritis
Ši politika taikoma visam informacijos turtui, kuris priklauso Europos IT sertifikavimo institutui, jį valdo arba apdoroja. Tai apima visą skaitmeninį ir fizinį informacijos turtą, pvz., sistemas, tinklus, programinę įrangą, duomenis ir dokumentus. Ši politika taip pat taikoma visiems darbuotojams, rangovams ir trečiųjų šalių paslaugų teikėjams, kurie pasiekia mūsų informacijos išteklius.
1.4. Laikymasis
Europos IT sertifikavimo institutas yra įsipareigojęs laikytis atitinkamų informacijos saugos standartų, įskaitant ISO 27001 ir ISO 17024. Reguliariai peržiūrime ir atnaujiname šią politiką, siekdami užtikrinti, kad ji būtų aktuali ir atitiktų šiuos standartus.
2 dalis. Organizacijos saugumas
2.1. Organizacijos saugumo tikslai
Įgyvendindami organizacines saugumo priemones, siekiame užtikrinti, kad mūsų informacinis turtas ir duomenų apdorojimo praktika bei procedūros būtų atliekamos aukščiausiu saugumo ir vientisumo lygiu bei laikytumėmės atitinkamų teisinių reglamentų ir standartų.
2.2. Informacijos saugumo funkcijos ir pareigos
Europos IT sertifikavimo institutas apibrėžia ir perduoda vaidmenis ir atsakomybę už informacijos saugumą visoje organizacijoje. Tai apima aiškios nuosavybės teisės į informacijos turtą, susijusio su informacijos saugumu, priskyrimą, valdymo struktūros sukūrimą ir konkrečių atsakomybių apibrėžimą įvairiems vaidmenims ir skyriams visoje organizacijoje.
2.3. Rizikos valdymas
Reguliariai atliekame rizikos vertinimus, siekdami nustatyti ir nustatyti prioritetą informacijos saugumo rizikai organizacijai, įskaitant riziką, susijusią su asmens duomenų tvarkymu. Mes nustatome atitinkamas kontrolės priemones, kad sumažintume šią riziką, ir reguliariai peržiūrime bei atnaujiname savo rizikos valdymo metodą, pagrįstą verslo aplinkos ir grėsmių aplinkos pokyčiais.
2.4. Informacijos saugumo politika ir procedūros
Mes nustatome ir prižiūrime informacijos saugos politikos ir procedūrų rinkinį, pagrįstą geriausia pramonės praktika ir atitinkančius atitinkamus reglamentus bei standartus. Ši politika ir procedūros apima visus informacijos saugumo aspektus, įskaitant asmens duomenų tvarkymą, ir yra reguliariai peržiūrimos ir atnaujinamos, siekiant užtikrinti jų veiksmingumą.
2.5. Saugumo supratimas ir mokymas
Visiems darbuotojams, rangovams ir trečiųjų šalių partneriams, turintiems prieigą prie asmens duomenų ar kitos neskelbtinos informacijos, reguliariai teikiame saugumo supratimo ir mokymo programas. Šiuose mokymuose aptariamos tokios temos kaip sukčiavimas, socialinė inžinerija, slaptažodžių higiena ir kitos geriausios informacijos saugos praktikos.
2.6. Fizinis ir aplinkos saugumas
Įdiegiame atitinkamas fizines ir aplinkos apsaugos priemones, kad apsaugotume nuo neteisėtos prieigos, sugadinimo ar trukdžių mūsų patalpoms ir informacinėms sistemoms. Tai apima tokias priemones kaip prieigos kontrolė, stebėjimas, stebėjimas ir atsarginės maitinimo bei aušinimo sistemos.
2.7. Informacijos saugumo incidentų valdymas
Sukūrėme incidentų valdymo procesą, kuris leidžia greitai ir efektyviai reaguoti į bet kokius galimus informacijos saugumo incidentus. Tai apima pranešimo apie incidentus, eskalavimo, tyrimo ir sprendimo procedūras, taip pat priemones, skirtas užkirsti kelią jų pasikartojimui ir pagerinti mūsų reagavimo į incidentus galimybes.
2.8. Veiklos tęstinumas ir atkūrimas po nelaimių
Sukūrėme ir išbandėme veiklos tęstinumo ir atkūrimo po nelaimingų atsitikimų planus, kurie leidžia mums išlaikyti svarbiausias veiklos funkcijas ir paslaugas įvykus sutrikimui ar nelaimei. Į šiuos planus įtrauktos duomenų ir sistemų atsarginės kopijos ir atkūrimo procedūros bei priemonės, užtikrinančios asmens duomenų prieinamumą ir vientisumą.
2.9. Trečiųjų šalių valdymas
Mes nustatome ir palaikome tinkamas kontrolės priemones, skirtas valdyti riziką, susijusią su trečiųjų šalių partneriais, turinčiais prieigą prie asmens duomenų ar kitos neskelbtinos informacijos. Tai apima tokias priemones kaip deramas patikrinimas, sutartiniai įsipareigojimai, stebėjimas ir auditas, taip pat partnerysčių nutraukimo, kai būtina, priemones.
3 dalis. Žmogiškųjų išteklių saugumas
3.1. Užimtumo patikra
Europos IT sertifikavimo institutas sukūrė užimtumo patikros procesą, siekdamas užtikrinti, kad asmenys, turintys prieigą prie slaptos informacijos, būtų patikimi ir turėtų reikiamų įgūdžių bei kvalifikacijos.
3.2. Prieigos kontrolė
Sukūrėme prieigos kontrolės politiką ir procedūras, siekdami užtikrinti, kad darbuotojai turėtų prieigą tik prie informacijos, būtinos jų darbo pareigoms atlikti. Prieigos teisės yra reguliariai peržiūrimos ir atnaujinamos, siekiant užtikrinti, kad darbuotojai turėtų prieigą tik prie jiems reikalingos informacijos.
3.3. Informacijos saugumo supratimas ir mokymas
Reguliariai visiems darbuotojams organizuojame informacijos saugumo suvokimo mokymus. Šie mokymai apima tokias temas kaip slaptažodžių sauga, sukčiavimo atakos, socialinė inžinerija ir kiti kibernetinio saugumo aspektai.
3.4. Priimtinas naudojimas
Sukūrėme priimtino naudojimo politiką, kuri apibrėžia priimtiną informacinių sistemų ir išteklių, įskaitant asmeninius darbo tikslais naudojamus įrenginius, naudojimą.
3.5. Mobiliųjų įrenginių apsauga
Sukūrėme saugaus mobiliųjų įrenginių naudojimo politiką ir procedūras, įskaitant slaptažodžių naudojimą, šifravimą ir nuotolinio valymo galimybes.
3.6. Nutraukimo procedūros
Europos IT sertifikavimo institutas nustatė darbo ar sutarties nutraukimo procedūras, siekdamas užtikrinti, kad prieiga prie jautrios informacijos būtų atšaukta greitai ir saugiai.
3.7. Trečiosios šalies personalas
Mes nustatėme trečiųjų šalių personalo, turinčio prieigą prie slaptos informacijos, valdymo procedūras. Ši politika apima patikrinimą, prieigos kontrolę ir informuotumo apie informacijos saugumą mokymą.
3.8. Pranešimas apie incidentus
Mes nustatėme politiką ir procedūras, skirtas pranešti apie informacijos saugumo incidentus arba susirūpinimą keliančius klausimus atitinkamam personalui arba institucijoms.
3.9. Konfidencialumo susitarimai
Europos IT sertifikavimo institutas reikalauja, kad darbuotojai ir rangovai pasirašytų konfidencialumo sutartis, kad apsaugotų jautrią informaciją nuo neteisėto atskleidimo.
3.10. Drausminiai veiksmai
Europos IT sertifikavimo institutas nustatė drausminių priemonių politiką ir procedūras, jei darbuotojai ar rangovai pažeidžia informacijos saugumo politiką.
4 dalis. Rizikos vertinimas ir valdymas
4.1. Rizikos vertinimas
Periodiškai atliekame rizikos vertinimus, kad nustatytų galimas grėsmes ir mūsų informacijos išteklių pažeidžiamumą. Rizikai nustatyti, analizuoti, įvertinti ir nustatyti prioritetus pagal jų tikimybę ir galimą poveikį naudojame struktūrinį metodą. Vertiname riziką, susijusią su mūsų informacijos turtu, įskaitant sistemas, tinklus, programinę įrangą, duomenis ir dokumentus.
4.2. Rizikos gydymas
Mes naudojame rizikos gydymo procesą, kad sumažintume arba sumažintume riziką iki priimtino lygio. Rizikos valdymo procesas apima tinkamų kontrolės priemonių parinkimą, kontrolės įgyvendinimą ir kontrolės veiksmingumo stebėjimą. Pirmenybę teikiame kontrolės priemonių įgyvendinimui pagal rizikos lygį, turimus išteklius ir verslo prioritetus.
4.3. Rizikos stebėjimas ir peržiūra
Reguliariai stebime ir peržiūrime savo rizikos valdymo proceso efektyvumą, siekdami užtikrinti, kad jis išliktų aktualus ir veiksmingas. Rizikos valdymo proceso našumui įvertinti ir tobulinimo galimybėms nustatyti naudojame metrikas ir rodiklius. Mes taip pat peržiūrime rizikos valdymo procesą kaip dalį periodinių vadovų peržiūrų, kad užtikrintume nuolatinį jo tinkamumą, adekvatumą ir efektyvumą.
4.4. Rizikos atsako planavimas
Turime reagavimo į riziką planą, kad galėtume veiksmingai reaguoti į bet kokią nustatytą riziką. Į šį planą įtrauktos rizikos nustatymo ir ataskaitų teikimo procedūros, taip pat galimo kiekvienos rizikos poveikio įvertinimo ir tinkamų atsakomųjų veiksmų nustatymo procesai. Taip pat turime nenumatytų atvejų planus, kad užtikrintume veiklos tęstinumą reikšmingo rizikos įvykio atveju.
4.5. Veiklos poveikio analizė
Periodiškai atliekame poveikio verslui analizę, kad nustatytų galimą sutrikimų poveikį mūsų verslo veiklai. Ši analizė apima mūsų verslo funkcijų, sistemų ir duomenų kritiškumo įvertinimą, taip pat galimo sutrikimų poveikio mūsų klientams, darbuotojams ir kitoms suinteresuotosioms šalims įvertinimą.
4.6. Trečiųjų šalių rizikos valdymas
Mes turime trečiųjų šalių rizikos valdymo programą, kad užtikrintume, jog mūsų pardavėjai ir kiti trečiųjų šalių paslaugų teikėjai taip pat tinkamai valdytų riziką. Ši programa apima deramo patikrinimo patikrinimus prieš bendradarbiaujant su trečiosiomis šalimis, nuolatinę trečiųjų šalių veiklos stebėseną ir periodinius trečiųjų šalių rizikos valdymo praktikos vertinimus.
4.7. Reagavimas į incidentus ir jų valdymas
Turime reagavimo į incidentus ir valdymo planą, kad galėtume veiksmingai reaguoti į bet kokius saugumo incidentus. Šis planas apima incidentų nustatymo ir pranešimo apie juos procedūras, taip pat kiekvieno incidento poveikio įvertinimo ir tinkamų reagavimo veiksmų nustatymo procesus. Taip pat turime verslo tęstinumo planą, kad įvykus reikšmingam incidentui būtų galima tęsti svarbias verslo funkcijas.
5 dalis. Fizinė ir aplinkos apsauga
5.1. Fizinės apsaugos perimetras
Mes nustatėme fizines saugumo priemones, skirtas apsaugoti fizines patalpas ir jautrią informaciją nuo neteisėtos prieigos.
5.2. Prieigos kontrolė
Mes nustatėme fizinių patalpų prieigos kontrolės politiką ir procedūras, siekdami užtikrinti, kad tik įgalioti darbuotojai turėtų prieigą prie slaptos informacijos.
5.3. Įrangos apsauga
Užtikriname, kad visa įranga, kurioje yra neskelbtinos informacijos, būtų fiziškai apsaugota, o prieiga prie šios įrangos yra ribojama tik įgaliotiems darbuotojams.
5.4. Saugus šalinimas
Mes nustatėme saugaus slaptos informacijos, įskaitant popierinius dokumentus, elektronines laikmenas ir techninę įrangą, šalinimo procedūras.
5.5. Fizinė aplinka
Užtikriname, kad fizinė patalpų aplinka, įskaitant temperatūrą, drėgmę, apšvietimą, būtų tinkama jautrios informacijos apsaugai.
5.6. Maitinimas
Užtikriname, kad elektros energijos tiekimas į patalpas būtų patikimas ir apsaugotas nuo elektros nutrūkimų ar viršįtampių.
5.7. Priešgaisrinė apsauga
Esame sukūrę priešgaisrinės apsaugos politiką ir procedūras, įskaitant gaisro aptikimo ir gesinimo sistemų įrengimą ir priežiūrą.
5.8. Apsauga nuo vandens žalos
Sukūrėme politiką ir procedūras, skirtas apsaugoti neskelbtiną informaciją nuo vandens daromos žalos, įskaitant potvynių aptikimo ir prevencijos sistemų įrengimą ir priežiūrą.
5.9. Įrangos priežiūra
Esame nustatę įrangos priežiūros procedūras, įskaitant įrangos patikrinimą, ar nėra klastojimo ar neteisėtos prieigos požymių.
5.10. Priimtinas naudojimas
Sukūrėme priimtino naudojimo politiką, kuri apibrėžia priimtiną fizinių išteklių ir patalpų naudojimą.
5.11. Nuotolinė prieiga
Mes nustatėme nuotolinės prieigos prie neskelbtinos informacijos politiką ir procedūras, įskaitant saugaus ryšio ir šifravimo naudojimą.
5.12. Stebėjimas ir priežiūra
Mes nustatėme fizinių patalpų ir įrangos stebėjimo ir priežiūros politiką ir procedūras, kad aptiktume ir užkirstume kelią neteisėtai prieigai ar klastojimui.
dalis. 6. Ryšių ir operacijų saugumas
6.1. Tinklo saugumo valdymas
Sukūrėme tinklo saugumo valdymo politiką ir procedūras, įskaitant užkardų naudojimą, įsibrovimų aptikimo ir prevencijos sistemas bei reguliarius saugumo auditus.
6.2. Informacijos perdavimas
Mes nustatėme saugaus neskelbtinos informacijos perdavimo politiką ir procedūras, įskaitant šifravimo ir saugaus failų perdavimo protokolų naudojimą.
6.3. Trečiųjų šalių ryšiai
Mes nustatėme saugaus keitimosi neskelbtina informacija su trečiųjų šalių organizacijomis politiką ir procedūras, įskaitant saugių ryšių ir šifravimo naudojimą.
6.4. Žiniasklaidos tvarkymas
Esame sukūrę procedūras, kaip tvarkyti neskelbtiną informaciją įvairiose laikmenose, įskaitant popierinius dokumentus, elektronines laikmenas ir nešiojamus saugojimo įrenginius.
6.5. Informacinių sistemų kūrimas ir priežiūra
Mes nustatėme informacinių sistemų kūrimo ir priežiūros politiką ir procedūras, įskaitant saugaus kodavimo praktikos naudojimą, reguliarius programinės įrangos atnaujinimus ir pataisų valdymą.
6.6. Apsauga nuo kenkėjiškų programų ir virusų
Nustatėme informacinių sistemų apsaugos nuo kenkėjiškų programų ir virusų politiką ir procedūras, įskaitant antivirusinės programinės įrangos naudojimą ir reguliarius saugos atnaujinimus.
6.7. Atsarginė kopija ir atkūrimas
Mes nustatėme slaptos informacijos atsarginių kopijų kūrimo ir atkūrimo politiką ir procedūras, kad išvengtume duomenų praradimo ar sugadinimo.
6.8. Renginių organizavimas
Sukūrėme saugumo incidentų ir įvykių nustatymo, tyrimo ir sprendimo taisykles ir procedūras.
6.9. Pažeidžiamumo valdymas
Sukūrėme informacinių sistemų pažeidžiamumų valdymo politiką ir procedūras, įskaitant reguliarų pažeidžiamumo vertinimą ir pataisų valdymą.
6.10. Prieigos kontrolė
Mes nustatėme vartotojų prieigos prie informacinių sistemų valdymo politiką ir procedūras, įskaitant prieigos kontrolės naudojimą, vartotojo autentifikavimą ir reguliarias prieigos peržiūras.
6.11. Stebėjimas ir registravimas
Sukūrėme informacinės sistemos veiklos stebėjimo ir registravimo politiką ir procedūras, įskaitant audito sekų naudojimą ir saugumo incidentų registravimą.
7 dalis. Informacinių sistemų įsigijimas, plėtra ir priežiūra
7.1. Reikalavimai
Mes nustatėme informacinių sistemų reikalavimų, įskaitant verslo reikalavimus, teisinius ir reguliavimo reikalavimus bei saugumo reikalavimus, nustatymo politiką ir procedūras.
7.2. Tiekėjų santykiai
Sukūrėme santykių su trečiosiomis šalimis informacinių sistemų ir paslaugų tiekėjais valdymo politiką ir procedūras, įskaitant tiekėjų saugumo praktikos vertinimą.
7.3. Sistemos kūrimas
Mes nustatėme saugaus informacinių sistemų kūrimo politiką ir procedūras, įskaitant saugaus kodavimo praktikos naudojimą, reguliarų testavimą ir kokybės užtikrinimą.
7.4. Sistemos testavimas
Sukūrėme informacinių sistemų testavimo politiką ir procedūras, įskaitant funkcionalumo testavimą, našumo testavimą ir saugos testavimą.
7.5. Sistemos priėmimas
Sukūrėme informacinių sistemų priėmimo politiką ir procedūras, įskaitant testavimo rezultatų patvirtinimą, saugos vertinimus ir vartotojų priėmimo testus.
7.6. Sistemos priežiūra
Sukūrėme informacinių sistemų priežiūros politiką ir procedūras, įskaitant reguliarius atnaujinimus, saugos pataisas ir sistemos atsargines kopijas.
7.7. Sistemos išėjimas į pensiją
Sukūrėme informacinių sistemų pašalinimo politiką ir procedūras, įskaitant saugų aparatinės įrangos ir duomenų šalinimą.
7.8. Duomenų saugojimas
Mes nustatėme duomenų saugojimo politiką ir procedūras pagal teisinius ir reguliavimo reikalavimus, įskaitant saugų neskelbtinų duomenų saugojimą ir šalinimą.
7.9. Informacinių sistemų saugumo reikalavimai
Sukūrėme informacinių sistemų saugumo reikalavimų, įskaitant prieigos kontrolę, šifravimą ir duomenų apsaugą, nustatymo ir įgyvendinimo politiką ir procedūras.
7.10. Saugi plėtros aplinka
Sukūrėme politiką ir procedūras, skirtas saugiai informacinių sistemų kūrimo aplinkai, įskaitant saugios kūrimo praktikos, prieigos kontrolės ir saugių tinklo konfigūracijų naudojimą.
7.11. Bandymų aplinkos apsauga
Sukūrėme informacinių sistemų testavimo aplinkų apsaugos politiką ir procedūras, įskaitant saugių konfigūracijų naudojimą, prieigos kontrolę ir reguliarų saugumo testavimą.
7.12. Saugios sistemos inžinerijos principai
Sukūrėme politiką ir procedūras, skirtas informacinių sistemų saugių sistemų inžinerijos principų įgyvendinimui, įskaitant saugos architektūrų naudojimą, grėsmių modeliavimą ir saugaus kodavimo praktiką.
7.13. Saugaus kodavimo gairės
Sukūrėme politiką ir procedūras, skirtas informacinių sistemų saugaus kodavimo gairėms įgyvendinti, įskaitant kodavimo standartų naudojimą, kodų peržiūras ir automatizuotą testavimą.
8 dalis. Techninės įrangos įsigijimas
8.1. Standartų laikymasis
Mes laikomės informacijos saugumo valdymo sistemos (ISMS) ISO 27001 standarto, kad užtikrintume, jog techninės įrangos turtas būtų perkamas pagal mūsų saugumo reikalavimus.
8.2. Rizikos vertinimas
Prieš įsigydami techninį turtą atliekame rizikos vertinimą, kad nustatytų galimas saugumo rizikas ir įsitikintume, kad pasirinkta techninė įranga atitinka saugumo reikalavimus.
8.3. Pardavėjų pasirinkimas
Aparatūros turtą perkame tik iš patikimų pardavėjų, kurie turi įrodytą patirtį tiekdami saugius produktus. Mes peržiūrime pardavėjo saugos politiką ir praktiką ir reikalaujame, kad jie užtikrintų, kad jų produktai atitinka mūsų saugos reikalavimus.
8.4. Saugus transportas
Užtikriname, kad techninės įrangos turtas būtų saugiai gabenamas į mūsų patalpas, kad būtų išvengta sugadinimo, sugadinimo ar vagystės transportavimo metu.
8.5. Autentiškumo patikrinimas
Pristatydami patikriname aparatinės įrangos autentiškumą, kad įsitikintume, jog jie nėra padirbti ar sugadinti.
8.6. Fizinė ir aplinkos kontrolė
Diegiame atitinkamą fizinę ir aplinkos kontrolę, kad apsaugotume techninės įrangos turtą nuo neteisėtos prieigos, vagystės ar sugadinimo.
8.7. Aparatinės įrangos diegimas
Užtikriname, kad visas techninės įrangos turtas būtų sukonfigūruotas ir įdiegtas pagal nustatytus saugumo standartus ir gaires.
8.8. Aparatinės įrangos apžvalgos
Reguliariai atliekame techninės įrangos peržiūrą, siekdami užtikrinti, kad jie ir toliau atitiktų mūsų saugos reikalavimus ir būtų atnaujinami su naujausiais saugos pataisomis ir naujinimais.
8.9. Aparatūros šalinimas
Aparatūros turtą disponuojame saugiai, kad išvengtume neteisėtos prieigos prie neskelbtinos informacijos.
9 dalis. Apsauga nuo kenkėjiškų programų ir virusų
9.1. Programinės įrangos atnaujinimo politika
Visose Europos IT sertifikavimo instituto naudojamose informacinėse sistemose, įskaitant serverius, darbo vietas, nešiojamus kompiuterius ir mobiliuosius įrenginius, palaikome atnaujintą antivirusinę ir kenkėjiškų programų apsaugos programinę įrangą. Užtikriname, kad apsaugos nuo virusų ir kenkėjiškų programų programinė įranga būtų sukonfigūruota taip, kad reguliariai atnaujintų virusų apibrėžimo failus ir programinės įrangos versijas, ir kad šis procesas būtų reguliariai tikrinamas.
9.2. Antivirusinių ir kenkėjiškų programų nuskaitymas
Reguliariai atliekame visų informacinių sistemų, įskaitant serverius, darbo vietas, nešiojamus kompiuterius ir mobiliuosius įrenginius, nuskaitymą, kad aptiktume ir pašalintume bet kokius virusus ar kenkėjiškas programas.
9.3. Neišjungti ir nekeisti politika
Vykdome politiką, kuri draudžia vartotojams išjungti arba keisti apsaugos nuo virusų ir kenkėjiškų programų programinę įrangą bet kurioje informacinėje sistemoje.
9.4. Stebėjimas
Stebime savo antivirusinės ir apsaugos nuo kenkėjiškų programų programinės įrangos įspėjimus ir žurnalus, kad nustatytų bet kokius virusų ar kenkėjiškų programų infekcijų atvejus ir į tokius incidentus reaguotume laiku.
9.5. Įrašų tvarkymas
Audito tikslais saugome antivirusinės ir apsaugos nuo kenkėjiškų programų programinės įrangos konfigūracijos, atnaujinimų ir nuskaitymų įrašus, taip pat bet kokius virusų ar kenkėjiškų programų užkrėtimo atvejus.
9.6. Programinės įrangos apžvalgos
Periodiškai atliekame antivirusinės ir kenkėjiškų programų apsaugos programinės įrangos peržiūras, siekdami užtikrinti, kad ji atitiktų dabartinius pramonės standartus ir atitiktų mūsų poreikius.
9.7. Mokymas ir sąmoningumas
Mes teikiame mokymo ir informavimo programas, skirtas informuoti visus darbuotojus apie apsaugos nuo virusų ir kenkėjiškų programų svarbą ir kaip atpažinti ir pranešti apie bet kokią įtartiną veiklą ar incidentus.
10 dalis. Informacinio turto valdymas
10.1. Informacinio turto inventorius
Europos IT sertifikavimo institutas tvarko informacijos išteklių sąrašą, kuriame yra visas skaitmeninis ir fizinis informacijos turtas, pvz., sistemos, tinklai, programinė įranga, duomenys ir dokumentacija. Informacijos išteklius klasifikuojame pagal jų kritiškumą ir jautrumą, siekdami užtikrinti, kad būtų įgyvendintos tinkamos apsaugos priemonės.
10.2. Informacinio turto tvarkymas
Mes įgyvendiname tinkamas priemones, kad apsaugotume informacijos turtą pagal jų klasifikaciją, įskaitant konfidencialumą, vientisumą ir prieinamumą. Užtikriname, kad visas informacijos turtas būtų tvarkomas pagal galiojančius įstatymus, reglamentus ir sutartinius reikalavimus. Taip pat užtikriname, kad visas informacijos turtas būtų tinkamai saugomas, apsaugotas ir pašalintas, kai nebereikia.
10.3. Informacinio turto nuosavybė
Informacinio turto nuosavybės teisę priskiriame asmenims arba skyriams, atsakingiems už informacijos turto valdymą ir apsaugą. Taip pat užtikriname, kad informacijos išteklių savininkai suprastų savo pareigas ir atsakomybę už informacijos turto apsaugą.
10.4. Informacinio turto apsauga
Informacijos turtui apsaugoti naudojame įvairias apsaugos priemones, įskaitant fizinius valdiklius, prieigos kontrolę, šifravimą ir atsarginių kopijų kūrimo bei atkūrimo procesus. Taip pat užtikriname, kad visas informacijos turtas būtų apsaugotas nuo neteisėtos prieigos, pakeitimo ar sunaikinimo.
11 dalis. Prieigos kontrolė
11.1. Prieigos kontrolės politika
Europos IT sertifikavimo institutas turi prieigos kontrolės politiką, kuri apibrėžia prieigos prie informacijos išteklių suteikimo, keitimo ir atšaukimo reikalavimus. Prieigos kontrolė yra svarbi mūsų informacijos saugumo valdymo sistemos sudedamoji dalis, todėl ją įgyvendiname siekdami užtikrinti, kad tik įgalioti asmenys galėtų pasiekti mūsų informacijos išteklius.
11.2. Prieigos kontrolės įgyvendinimas
Prieigos kontrolės priemones diegiame remdamiesi mažiausios privilegijos principu, o tai reiškia, kad asmenys turi prieigą tik prie informacinio turto, reikalingo jų darbo funkcijoms atlikti. Mes naudojame įvairias prieigos kontrolės priemones, įskaitant autentifikavimą, autorizavimą ir apskaitą (AAA). Taip pat naudojame prieigos kontrolės sąrašus (ACL) ir leidimus, kad galėtume valdyti prieigą prie informacijos išteklių.
11.3. Slaptažodžio politika
Europos IT sertifikavimo institutas turi slaptažodžių politiką, kurioje išdėstyti slaptažodžių kūrimo ir tvarkymo reikalavimai. Reikalaujame tvirtų slaptažodžių, kurių ilgis būtų bent 8 simboliai su didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių deriniu. Taip pat reikalaujame periodiškai keisti slaptažodžius ir draudžiame pakartotinai naudoti ankstesnius slaptažodžius.
11.4. Vartotojų valdymas
Turime vartotojų valdymo procesą, kuris apima vartotojų paskyrų kūrimą, keitimą ir ištrynimą. Vartotojų paskyros kuriamos remiantis mažiausių privilegijų principu, o prieiga suteikiama tik prie informacijos turto, reikalingo asmens darbo funkcijoms atlikti. Taip pat reguliariai peržiūrime vartotojų paskyras ir pašaliname nebereikalingas paskyras.
12 dalis. Informacijos saugumo incidentų valdymas
12.1. Incidentų valdymo politika
Europos IT sertifikavimo institutas turi incidentų valdymo politiką, kuri apibrėžia saugumo incidentų aptikimo, pranešimo, įvertinimo ir reagavimo į juos reikalavimus. Saugumo incidentus apibrėžiame kaip bet kokį įvykį, kuris pažeidžia informacijos išteklių ar sistemų konfidencialumą, vientisumą arba prieinamumą.
12.2. Incidentų aptikimas ir pranešimas
Įdiegiame priemones, skirtas greitai aptikti ir pranešti apie saugumo incidentus. Saugos incidentams aptikti naudojame įvairius metodus, įskaitant įsibrovimų aptikimo sistemas (IDS), antivirusinę programinę įrangą ir vartotojų ataskaitų teikimą. Taip pat užtikriname, kad visi darbuotojai žinotų pranešimo apie saugumo incidentus procedūras ir skatiname pranešti apie visus įtariamus incidentus.
12.3. Įvykio įvertinimas ir atsakas
Turime saugumo incidentų įvertinimo ir reagavimo į juos procesą, atsižvelgdami į jų sunkumą ir poveikį. Mes teikiame pirmenybę incidentams, atsižvelgdami į galimą jų poveikį informacijos turtui ar sistemoms, ir skiriame atitinkamus išteklius, kad į juos reaguotume. Taip pat turime reagavimo planą, apimantį saugumo incidentų nustatymo, suvaldymo, analizės, likvidavimo ir atsigavimo procedūras, taip pat atitinkamų šalių informavimą ir peržiūrą po incidento. Mūsų reagavimo į incidentus procedūros sukurtos taip, kad būtų užtikrintas greitas ir veiksmingas atsakas. į saugumo incidentus. Procedūros reguliariai peržiūrimos ir atnaujinamos, siekiant užtikrinti jų veiksmingumą ir aktualumą.
12.4. Reagavimo į incidentus komanda
Turime reagavimo į incidentus komandą (IRT), kuri yra atsakinga už reagavimą į saugumo incidentus. IRT sudaro įvairių padalinių atstovai ir jai vadovauja informacijos saugumo pareigūnas (ISO). IRT yra atsakinga už incidentų sunkumo įvertinimą, incidento sustabdymą ir atitinkamų reagavimo procedūrų inicijavimą.
12.5. Pranešimas apie įvykį ir apžvalga
Mes nustatėme procedūras, skirtas pranešti apie saugumo incidentus atitinkamoms šalims, įskaitant klientus, reguliavimo institucijas ir teisėsaugos institucijas, kaip reikalaujama pagal galiojančius įstatymus ir kitus teisės aktus. Taip pat palaikome ryšį su paveiktomis šalimis viso reagavimo į incidentą proceso metu, laiku informuodami apie incidento būseną ir veiksmus, kurių imamasi siekiant sumažinti jo poveikį. Taip pat atliekame visų saugumo incidentų peržiūrą, siekdami nustatyti pagrindinę priežastį ir užkirsti kelią panašiems incidentams ateityje.
13 dalis. Veiklos tęstinumo valdymas ir atkūrimas nelaimės atveju
13.1. Veiklos tęstinumo planavimas
Nors Europos IT sertifikavimo institutas yra ne pelno siekianti organizacija, jis turi Verslo tęstinumo planą (BCP), kuriame išdėstytos procedūros, užtikrinančios jo veiklos tęstinumą įvykus trikdymui. BCP apima visus svarbiausius veiklos procesus ir nustato išteklius, reikalingus veiklai palaikyti per trikdantį incidentą ir po jo. Jame taip pat aprašomos procedūros, kaip palaikyti verslo veiklą sutrikimo ar nelaimės metu, įvertinti sutrikimų poveikį, nustatyti svarbiausius veiklos procesus konkretaus trikdančio incidento kontekste ir parengti reagavimo ir atkūrimo procedūras.
13.2. Atkūrimo po nelaimių planavimas
Europos IT sertifikavimo institutas turi atkūrimo pagal nelaimę planą (DRP), kuriame aprašomos mūsų informacinių sistemų atkūrimo procedūros sutrikimo ar nelaimės atveju. DRP apima duomenų atsarginės kopijos, duomenų atkūrimo ir sistemos atkūrimo procedūras. DRP yra reguliariai tikrinamas ir atnaujinamas, siekiant užtikrinti jo veiksmingumą.
13.3. Verslo poveikio analizė
Atliekame poveikio verslui analizę (BIA), siekdami nustatyti svarbiausius veiklos procesus ir jiems palaikyti reikalingus išteklius. BIA padeda mums nustatyti atkūrimo pastangų prioritetus ir atitinkamai paskirstyti išteklius.
13.4. Veiklos tęstinumo strategija
Remdamiesi BIA rezultatais, kuriame veiklos tęstinumo strategiją, kurioje nurodomos reagavimo į trikdantį incidentą procedūros. Strategija apima BCP aktyvavimo, kritinių veiklos procesų atkūrimo ir bendravimo su atitinkamomis suinteresuotosiomis šalimis procedūras.
13.5. Testavimas ir priežiūra
Reguliariai tikriname ir prižiūrime savo BCP ir DRP, kad užtikrintume jų efektyvumą ir tinkamumą. Reguliariai atliekame testus, kad patvirtintume BCP/DRP ir nustatytų tobulinimo sritis. Taip pat prireikus atnaujiname BCP ir DRP, kad atspindėtų mūsų veiklos ar grėsmių aplinkos pokyčius. Testavimas apima pratimus ant stalo, modeliavimą ir tiesioginį procedūrų testavimą. Taip pat peržiūrime ir atnaujiname savo planus, remdamiesi testų rezultatais ir įgytomis pamokomis.
13.6. Alternatyvios apdorojimo svetainės
Mes turime alternatyvias internetines apdorojimo svetaines, kurios gali būti naudojamos verslo veiklai tęsti įvykus sutrikimui ar nelaimei. Alternatyviose apdorojimo vietose yra įrengta reikiama infrastruktūra ir sistemos, jos gali būti naudojamos svarbiems verslo procesams palaikyti.
14 dalis. Atitiktis ir auditas
14.1. Įstatymų ir taisyklių laikymasis
Europos IT sertifikavimo institutas yra įsipareigojęs laikytis visų taikomų įstatymų ir reglamentų, susijusių su informacijos saugumu ir privatumu, įskaitant duomenų apsaugos įstatymus, pramonės standartus ir sutartinius įsipareigojimus. Reguliariai peržiūrime ir atnaujiname savo politiką, procedūras ir kontrolės priemones, siekdami užtikrinti, kad būtų laikomasi visų atitinkamų reikalavimų ir standartų. Pagrindiniai standartai ir sistemos, kurių laikomės informacijos saugumo kontekste, yra šie:
- ISO/IEC 27001 standartas, kuriame pateikiamos informacijos saugumo valdymo sistemos (ISMS), kurios pagrindinis komponentas yra pažeidžiamumo valdymas, diegimo ir valdymo gairės. Tai yra informacinio saugumo valdymo sistemos (ISMS), įskaitant pažeidžiamumo valdymą, diegimo ir priežiūros atskaitos sistema. Laikydamiesi šio standarto nuostatų, nustatome, vertiname ir valdome informacijos saugumo riziką, įskaitant pažeidžiamumą.
- JAV nacionalinio standartų ir technologijų instituto (NIST) kibernetinio saugumo sistema, teikianti gaires, kaip nustatyti, įvertinti ir valdyti kibernetinio saugumo riziką, įskaitant pažeidžiamumo valdymą.
- Nacionalinio standartų ir technologijų instituto (NIST) kibernetinio saugumo sistema, skirta kibernetinio saugumo rizikos valdymui tobulinti, su pagrindinėmis funkcijomis, įskaitant pažeidžiamumo valdymą, kurių laikomės valdydami kibernetinio saugumo riziką.
- SANS Critical Security Controls, kuriame yra 20 saugos valdiklių rinkinys, skirtas kibernetiniam saugumui pagerinti, apimantis įvairias sritis, įskaitant pažeidžiamumo valdymą, teikiančias konkrečias pažeidžiamumo nuskaitymo, pataisų valdymo ir kitų pažeidžiamumo valdymo aspektų gaires.
- Mokėjimo kortelių pramonės duomenų saugos standartas (PCI DSS), reikalaujantis tvarkyti kredito kortelės informaciją, atsižvelgiant į pažeidžiamumo valdymą šiame kontekste.
- Interneto saugos kontrolės centras (CIS), įskaitant pažeidžiamumo valdymą kaip vieną iš pagrindinių valdiklių, užtikrinančių saugią mūsų informacinių sistemų konfigūraciją.
- Open Web Application Security Project (OWASP), kuriame yra 10 svarbiausių žiniatinklio programų saugos pavojų sąrašas, įskaitant pažeidžiamumo įvertinimą, pvz., injekcijos atakas, neveikiantį autentifikavimą ir seansų valdymą, kelių svetainių scenarijų (XSS) ir kt. OWASP Top 10, kad būtų teikiama pirmenybė mūsų pažeidžiamumo valdymo pastangoms ir daugiausia dėmesio būtų skiriama svarbiausioms mūsų žiniatinklio sistemoms kylančioms rizikoms.
14.2. Vidaus audito
Mes atliekame reguliarius vidinius auditus, kad įvertintume informacijos saugumo valdymo sistemos (ISMS) efektyvumą ir užtikrintume, kad būtų laikomasi mūsų politikos, procedūrų ir kontrolės priemonių. Vidaus audito procesas apima neatitikimų nustatymą, korekcinių veiksmų parengimą ir ištaisymo pastangų sekimą.
14.3. Išorinis auditas
Reguliariai bendradarbiaujame su išorės auditoriais, kad patvirtintume, kaip laikomės taikomų įstatymų, taisyklių ir pramonės standartų. Suteikiame auditoriams prieigą prie mūsų patalpų, sistemų ir dokumentų, kurių reikia, kad patvirtintume atitiktį. Taip pat bendradarbiaujame su išorės auditoriais, kad išspręstume visas audito proceso metu nustatytas išvadas ar rekomendacijas.
14.4. Atitikties stebėjimas
Mes nuolat stebime, kaip laikomės taikomų įstatymų, taisyklių ir pramonės standartų. Siekdami stebėti, kaip laikomasi reikalavimų, naudojame įvairius metodus, įskaitant periodinius vertinimus, auditus ir trečiųjų šalių teikėjų peržiūras. Taip pat reguliariai peržiūrime ir atnaujiname savo politiką, procedūras ir kontrolės priemones, kad užtikrintume nuolatinį visų atitinkamų reikalavimų laikymąsi.
15 dalis. Trečiųjų šalių valdymas
15.1. Trečiųjų šalių valdymo politika
Europos IT sertifikavimo institutas turi Trečiųjų šalių valdymo politiką, kuri apibrėžia trečiųjų šalių teikėjų, turinčių prieigą prie mūsų informacijos išteklių ar sistemų, atrankos, vertinimo ir stebėjimo reikalavimus. Politika taikoma visiems trečiųjų šalių teikėjams, įskaitant debesijos paslaugų teikėjus, pardavėjus ir rangovus.
15.2. Trečiosios šalies atranka ir vertinimas
Prieš bendradarbiaudami su trečiųjų šalių teikėjais atliekame deramus patikrinimus, siekdami užtikrinti, kad jie taikytų tinkamas saugos priemones, skirtas apsaugoti mūsų informacijos turtą ar sistemas. Taip pat vertiname, ar trečiųjų šalių teikėjai laikosi taikomų įstatymų ir taisyklių, susijusių su informacijos saugumu ir privatumu.
15.3. Trečiųjų šalių stebėjimas
Mes nuolat stebime trečiųjų šalių teikėjus, siekdami užtikrinti, kad jie ir toliau atitiktų mūsų informacijos saugumo ir privatumo reikalavimus. Naudojame įvairius metodus trečiųjų šalių teikėjams stebėti, įskaitant periodinius vertinimus, auditus ir saugumo incidentų ataskaitų peržiūras.
15.4. Sutartiniai reikalavimai
Į visas sutartis su trečiųjų šalių teikėjais įtraukiame sutartinius reikalavimus, susijusius su informacijos saugumu ir privatumu. Šie reikalavimai apima nuostatas dėl duomenų apsaugos, saugumo kontrolės, incidentų valdymo ir atitikties stebėjimo. Taip pat įtraukiame nuostatas dėl sutarčių nutraukimo saugumo incidento ar reikalavimų nesilaikymo atveju.
16 dalis. Informacijos saugumas sertifikavimo procesuose
16.1 Sertifikavimo procesų saugumas
Mes imamės adekvačių ir sisteminių priemonių, kad užtikrintume visos informacijos, susijusios su mūsų sertifikavimo procesais, įskaitant asmenų, norinčių gauti sertifikatą, asmens duomenų saugumą. Tai apima visos su sertifikavimu susijusios informacijos prieigos, saugojimo ir perdavimo valdiklius. Įgyvendindami šias priemones siekiame užtikrinti, kad sertifikavimo procesai būtų vykdomi aukščiausiu saugumo ir vientisumo lygiu, o sertifikavimo siekiančių asmenų asmens duomenys būtų apsaugoti laikantis atitinkamų reglamentų ir standartų.
16.2. Autentifikavimas ir autorizacija
Naudojame autentifikavimo ir autorizacijos valdiklius, siekdami užtikrinti, kad tik įgalioti darbuotojai turėtų prieigą prie sertifikavimo informacijos. Prieigos kontrolė yra reguliariai peržiūrima ir atnaujinama atsižvelgiant į personalo vaidmenų ir pareigų pokyčius.
16.3. Duomenų apsauga
Asmens duomenis saugome viso sertifikavimo proceso metu, įgyvendindami tinkamas technines ir organizacines priemones, užtikrinančias duomenų konfidencialumą, vientisumą ir prieinamumą. Tai apima tokias priemones kaip šifravimas, prieigos valdymas ir reguliarios atsarginės kopijos.
16.4. Egzaminavimo procesų saugumas
Egzaminavimo procesų saugumą užtikriname diegdami atitinkamas sukčiavimo prevencijos priemones, stebime ir kontroliuojame egzaminų aplinką. Taip pat užtikriname tyrimo medžiagos vientisumą ir konfidencialumą taikydami saugias saugojimo procedūras.
16.5. Egzamino turinio saugumas
Egzamino turinio saugumą užtikriname diegdami atitinkamas priemones, apsaugančias nuo neteisėtos turinio prieigos, pakeitimo ar atskleidimo. Tai apima saugaus tyrimo turinio saugojimo, šifravimo ir prieigos valdiklių naudojimą, taip pat kontrolės priemones, skirtas užkirsti kelią neteisėtam tyrimo turinio platinimui ar platinimui.
16.6. Egzamino pristatymo saugumas
Užtikriname egzaminų pristatymo saugumą įgyvendindami atitinkamas priemones, kad būtų išvengta neteisėtos prieigos prie egzaminų aplinkos ar manipuliavimo ja. Tai apima tokias priemones kaip egzaminų aplinkos stebėjimas, auditas ir kontrolė bei tam tikri tyrimo metodai, siekiant užkirsti kelią sukčiavimui ar kitiems saugumo pažeidimams.
16.7. Egzaminų rezultatų saugumas
Tyrimo rezultatų saugumą užtikriname įgyvendindami atitinkamas priemones, apsaugančias nuo neteisėtos prieigos, pakeitimo ar rezultatų atskleidimo. Tai apima saugaus tyrimo rezultatų saugojimo, šifravimo ir prieigos kontrolės naudojimą, taip pat kontrolės priemones, skirtas užkirsti kelią neteisėtam tyrimo rezultatų platinimui ar platinimui.
16.8. Sertifikatų išdavimo saugumas
Sertifikatų išdavimo saugumą užtikriname įgyvendindami atitinkamas sukčiavimo ir neteisėto sertifikatų išdavimo prevencijos priemones. Tai apima sertifikatus gaunančių asmenų tapatybės tikrinimo ir saugaus saugojimo bei išdavimo procedūras.
16.9. Skundai ir apeliacijos
Esame nustatę skundų ir apeliacijų, susijusių su sertifikavimo procesu, tvarkymo procedūras. Šios procedūros apima priemones, užtikrinančias proceso konfidencialumą ir nešališkumą bei informacijos, susijusios su skundais ir apeliacijomis, saugumą.
16.10. Sertifikavimo procesai Kokybės vadyba
Sertifikavimo procesams sukūrėme Kokybės vadybos sistemą (KVS), kuri apima priemones, užtikrinančias procesų efektyvumą, efektyvumą ir saugumą. KVS apima reguliarius procesų ir jų saugumo kontrolės auditus ir peržiūras.
16.11. Nuolatinis sertifikavimo procesų saugumo tobulinimas
Esame įsipareigoję nuolat tobulinti savo sertifikavimo procesus ir jų saugumo kontrolę. Tai apima reguliarias su sertifikavimu susijusių politikos ir procedūrų saugumo peržiūras ir atnaujinimus, remiantis verslo aplinkos pokyčiais, reguliavimo reikalavimais ir geriausia informacijos saugos valdymo praktika, laikantis ISO 27001 informacijos saugumo valdymo standarto, taip pat ISO. 17024 sertifikavimo įstaigų veiklos standartas.
17 dalis. Baigiamosios nuostatos
17.1. Politikos peržiūra ir atnaujinimas
Ši informacijos saugos politika yra gyvas dokumentas, kuris nuolat peržiūrimas ir atnaujinamas, atsižvelgiant į mūsų veiklos reikalavimų, reguliavimo reikalavimų arba geriausios informacijos saugumo valdymo praktikos pasikeitimus.
17.2. Atitikties stebėjimas
Mes nustatėme procedūras, skirtas stebėti, kaip laikomasi šios informacijos saugumo politikos ir susijusių saugumo kontrolės priemonių. Atitikties stebėjimas apima reguliarius saugumo kontrolės ir jų efektyvumo siekiant šios politikos tikslų auditus, vertinimus ir peržiūras.
17.3. Pranešimas apie saugumo incidentus
Nustatėme pranešimo apie saugumo incidentus, susijusius su mūsų informacinėmis sistemomis, įskaitant susijusius su asmenų asmens duomenimis, procedūras. Darbuotojai, rangovai ir kitos suinteresuotosios šalys raginamos kuo greičiau pranešti apie visus saugumo incidentus ar įtariamus incidentus paskirtai saugos komandai.
17.4. Mokymas ir sąmoningumas
Reguliariai rengiame mokymus ir informavimo programas darbuotojams, rangovams ir kitoms suinteresuotoms šalims, siekdami užtikrinti, kad jie žinotų savo pareigas ir įsipareigojimus, susijusius su informacijos saugumu. Tai apima mokymus apie saugumo politiką ir procedūras bei asmenų asmens duomenų apsaugos priemones.
17.5. Atsakomybė ir atskaitomybė
Visus darbuotojus, rangovus ir kitas suinteresuotas šalis laikome atsakingais už šios informacijos saugos politikos ir susijusių saugumo kontrolės priemonių laikymąsi. Mes taip pat laikome vadovybės atsakingos už tai, kad būtų skiriami tinkami ištekliai veiksmingai informacijos saugumo kontrolei įgyvendinti ir palaikyti.
Ši informacijos saugos politika yra esminis Europos IT sertifikavimo instituto informacijos saugumo valdymo sistemos komponentas ir parodo mūsų įsipareigojimą apsaugoti informacijos turtą ir apdorotus duomenis, užtikrinti informacijos konfidencialumą, privatumą, vientisumą ir prieinamumą bei laikytis norminių ir sutartinių reikalavimų.