سياسة أمن المعلومات
سياسة أمن معلومات أكاديمية EITCA
تحدد هذه الوثيقة سياسة أمن المعلومات (ISP) الخاصة بالمعهد الأوروبي لشهادة تكنولوجيا المعلومات ، والتي تتم مراجعتها وتحديثها بانتظام لضمان فعاليتها وأهميتها. تم إجراء آخر تحديث لسياسة أمن المعلومات EITCI في 7 يناير 2023.
الجزء 1. مقدمة وبيان سياسة أمن المعلومات
1.1. مقدمة
يقر المعهد الأوروبي لشهادة تكنولوجيا المعلومات بأهمية أمن المعلومات في الحفاظ على سرية المعلومات وسلامتها وتوافرها وثقة أصحاب المصلحة لدينا. نحن ملتزمون بحماية المعلومات الحساسة ، بما في ذلك البيانات الشخصية ، من الوصول غير المصرح به والكشف والتعديل والتدمير. نحافظ على سياسة فعالة لأمن المعلومات لدعم مهمتنا المتمثلة في تقديم خدمات شهادات موثوقة ومحايدة لعملائنا. تحدد سياسة أمن المعلومات التزامنا بحماية أصول المعلومات والوفاء بالتزاماتنا القانونية والتنظيمية والتعاقدية. تستند سياستنا على مبادئ ISO 27001 و ISO 17024 ، المعايير الدولية الرائدة لإدارة أمن المعلومات ومعايير عمليات هيئات التصديق.
1.2 بيان السياسة
يلتزم المعهد الأوروبي لشهادات تكنولوجيا المعلومات بما يلي:
- حماية سرية أصول المعلومات وسلامتها وتوافرها ،
- الامتثال للالتزامات القانونية والتنظيمية والتعاقدية المتعلقة بأمن المعلومات ومعالجة البيانات وتنفيذ عمليات وعمليات الاعتماد الخاصة بها ،
- التحسين المستمر لسياسة أمن المعلومات ونظام الإدارة ذات الصلة ،
- توفير التدريب والوعي المناسب للموظفين والمقاولين والمشاركين ،
- إشراك جميع الموظفين والمقاولين في تنفيذ وصيانة سياسة أمن المعلومات ونظام إدارة أمن المعلومات ذات الصلة.
1.3. نطاق
تنطبق هذه السياسة على جميع أصول المعلومات التي يمتلكها المعهد الأوروبي لشهادات تكنولوجيا المعلومات أو يتحكم فيها أو يعالجها. يشمل ذلك جميع أصول المعلومات الرقمية والمادية ، مثل الأنظمة والشبكات والبرامج والبيانات والوثائق. تنطبق هذه السياسة أيضًا على جميع الموظفين والمقاولين ومقدمي الخدمات الخارجيين الذين يصلون إلى أصول المعلومات الخاصة بنا.
1.4. الالتزام
يلتزم المعهد الأوروبي لشهادة تكنولوجيا المعلومات بالامتثال لمعايير أمن المعلومات ذات الصلة ، بما في ذلك ISO 27001 و ISO 17024. ونحن نراجع بانتظام هذه السياسة ونحدّثها لضمان استمرار ملاءمتها والامتثال لهذه المعايير.
الجزء 2. الأمن التنظيمي
2.1. أهداف أمن المنظمة
من خلال تنفيذ تدابير الأمان التنظيمية ، نهدف إلى ضمان أن أصول المعلومات وممارسات وإجراءات معالجة البيانات الخاصة بنا تتم بأعلى مستوى من الأمان والنزاهة ، وأننا نلتزم باللوائح والمعايير القانونية ذات الصلة.
2.2. أدوار ومسؤوليات أمن المعلومات
يحدد المعهد الأوروبي لشهادة تكنولوجيا المعلومات الأدوار والمسؤوليات المتعلقة بأمن المعلومات وينقلها عبر المؤسسة. يتضمن ذلك تعيين ملكية واضحة لأصول المعلومات في سياق أمن المعلومات ، وإنشاء هيكل حوكمة ، وتحديد مسؤوليات محددة لمختلف الأدوار والإدارات عبر المنظمة.
2.3. إدارة المخاطر
نجري تقييمات منتظمة للمخاطر لتحديد مخاطر أمن المعلومات وتحديد أولوياتها بالنسبة للمؤسسة ، بما في ذلك المخاطر المتعلقة بمعالجة البيانات الشخصية. نحن نضع ضوابط مناسبة للتخفيف من هذه المخاطر ، ونقوم بانتظام بمراجعة وتحديث نهج إدارة المخاطر الخاص بنا بناءً على التغييرات في بيئة الأعمال ومناظر التهديدات.
2.4 سياسات وإجراءات أمن المعلومات
نحن نؤسس ونحافظ على مجموعة من سياسات وإجراءات أمن المعلومات التي تستند إلى أفضل الممارسات الصناعية وتتوافق مع اللوائح والمعايير ذات الصلة. تغطي هذه السياسات والإجراءات جميع جوانب أمن المعلومات ، بما في ذلك معالجة البيانات الشخصية ، وتتم مراجعتها وتحديثها بانتظام لضمان فعاليتها.
2.5 التوعية الأمنية والتدريب
نحن نقدم برامج توعية وتدريب أمنية منتظمة لجميع الموظفين والمتعاقدين وشركاء الجهات الخارجية الذين لديهم إمكانية الوصول إلى البيانات الشخصية أو غيرها من المعلومات الحساسة. يغطي هذا التدريب موضوعات مثل التصيد الاحتيالي والهندسة الاجتماعية ونظافة كلمة المرور وأفضل ممارسات أمان المعلومات الأخرى.
2.6. الأمن المادي والبيئي
نحن نطبق ضوابط أمنية مادية وبيئية مناسبة للحماية من الوصول غير المصرح به أو التلف أو التدخل في منشآتنا وأنظمة المعلومات الخاصة بنا. وهذا يشمل تدابير مثل ضوابط الوصول والمراقبة والمراقبة والطاقة الاحتياطية وأنظمة التبريد.
2.7. إدارة حوادث أمن المعلومات
لقد أنشأنا عملية إدارة الحوادث التي تمكننا من الاستجابة بسرعة وفعالية لأي حوادث أمن المعلومات التي قد تحدث. يتضمن ذلك إجراءات الإبلاغ عن الحوادث وتصعيدها والتحقيق فيها وحلها ، بالإضافة إلى تدابير لمنع تكرارها وتحسين قدراتنا على الاستجابة للحوادث.
2.8. استمرارية التشغيل والتعافي من الكوارث
لقد وضعنا واختبرنا خطط الاستمرارية التشغيلية والتعافي من الكوارث التي تمكننا من الحفاظ على وظائف وخدمات العمليات الحيوية في حالة حدوث اضطراب أو كارثة. تتضمن هذه الخطط إجراءات للنسخ الاحتياطي واستعادة البيانات والأنظمة ، وتدابير لضمان توافر البيانات الشخصية وسلامتها.
2.9 إدارة الطرف الثالث
نحن نؤسس ونحافظ على ضوابط مناسبة لإدارة المخاطر المرتبطة بشركاء الجهات الخارجية الذين لديهم إمكانية الوصول إلى البيانات الشخصية أو غيرها من المعلومات الحساسة. وهذا يشمل تدابير مثل العناية الواجبة ، والالتزامات التعاقدية ، والرصد ، والتدقيق ، وكذلك تدابير لإنهاء الشراكات عند الضرورة.
الجزء 3. أمن الموارد البشرية
3.1. فحص العمالة
أنشأ المعهد الأوروبي لشهادة تكنولوجيا المعلومات عملية لفحص التوظيف للتأكد من أن الأفراد الذين لديهم إمكانية الوصول إلى المعلومات الحساسة جديرون بالثقة ولديهم المهارات والمؤهلات اللازمة.
3.2. صلاحية التحكم صلاحية الدخول
لقد وضعنا سياسات وإجراءات للتحكم في الوصول لضمان وصول الموظفين فقط إلى المعلومات اللازمة لمسؤولياتهم الوظيفية. تتم مراجعة حقوق الوصول وتحديثها بانتظام لضمان وصول الموظفين إلى المعلومات التي يحتاجون إليها فقط.
3.3 التوعية بأمن المعلومات والتدريب
نحن نقدم تدريبًا للتوعية بأمن المعلومات لجميع الموظفين على أساس منتظم. يغطي هذا التدريب موضوعات مثل أمان كلمة المرور وهجمات التصيد والهندسة الاجتماعية وجوانب أخرى من الأمن السيبراني.
3.4. الاستخدام المقبول
لقد وضعنا سياسة استخدام مقبولة تحدد الاستخدام المقبول لأنظمة المعلومات والموارد ، بما في ذلك الأجهزة الشخصية المستخدمة لأغراض العمل.
3.5 أمان الجهاز المحمول
لقد وضعنا سياسات وإجراءات للاستخدام الآمن للأجهزة المحمولة ، بما في ذلك استخدام رموز المرور والتشفير وقدرات المسح عن بُعد.
3.6 إجراءات الإنهاء
وضع المعهد الأوروبي لشهادات تكنولوجيا المعلومات إجراءات لإنهاء التوظيف أو العقد لضمان إلغاء الوصول إلى المعلومات الحساسة على الفور وبشكل آمن.
3.7 موظفو الطرف الثالث
لقد وضعنا إجراءات لإدارة موظفي الجهات الخارجية الذين يمكنهم الوصول إلى المعلومات الحساسة. تتضمن هذه السياسات الفحص والتحكم في الوصول والتدريب على التوعية بأمن المعلومات.
3.8 الإبلاغ عن الحوادث
لقد وضعنا سياسات وإجراءات للإبلاغ عن حوادث أو مخاوف أمن المعلومات للموظفين أو السلطات المختصة.
3.9 اتفاقات السرية
يتطلب المعهد الأوروبي لشهادات تكنولوجيا المعلومات من الموظفين والمقاولين توقيع اتفاقيات سرية لحماية المعلومات الحساسة من الإفشاء غير المصرح به.
3.10. اجراءات تأديبية
وضع المعهد الأوروبي لشهادات تكنولوجيا المعلومات سياسات وإجراءات للإجراءات التأديبية في حالة انتهاك سياسة أمن المعلومات من قبل الموظفين أو المقاولين.
الجزء 4. تقييم المخاطر وإدارتها
4.1. تقييم المخاطر
نجري تقييمات دورية للمخاطر لتحديد التهديدات المحتملة ونقاط الضعف لأصول المعلومات الخاصة بنا. نحن نستخدم نهجًا منظمًا لتحديد المخاطر وتحليلها وتقييمها وترتيبها حسب الأولوية بناءً على احتمالية حدوثها وتأثيرها المحتمل. نقوم بتقييم المخاطر المرتبطة بأصول المعلومات لدينا ، بما في ذلك الأنظمة والشبكات والبرامج والبيانات والوثائق.
4.2 معالجة المخاطر
نحن نستخدم عملية معالجة المخاطر لتخفيف أو تقليل المخاطر إلى مستوى مقبول. تتضمن عملية معالجة المخاطر اختيار الضوابط المناسبة وتنفيذ الضوابط ومراقبة فعالية الضوابط. نعطي الأولوية لتنفيذ الضوابط بناءً على مستوى المخاطر والموارد المتاحة وأولويات العمل.
4.3 مراقبة المخاطر ومراجعتها
نحن نراقب بانتظام ونراجع فعالية عملية إدارة المخاطر لدينا للتأكد من أنها تظل ذات صلة وفعالة. نستخدم المقاييس والمؤشرات لقياس أداء عملية إدارة المخاطر لدينا وتحديد فرص التحسين. نقوم أيضًا بمراجعة عملية إدارة المخاطر لدينا كجزء من مراجعات الإدارة الدورية لدينا لضمان استمرار ملاءمتها وكفاءتها وفعاليتها.
4.4 تخطيط الاستجابة للمخاطر
لدينا خطة استجابة للمخاطر لضمان قدرتنا على الاستجابة بفعالية لأي مخاطر محددة. تتضمن هذه الخطة إجراءات لتحديد المخاطر والإبلاغ عنها ، بالإضافة إلى عمليات تقييم التأثير المحتمل لكل خطر وتحديد إجراءات الاستجابة المناسبة. لدينا أيضًا خطط طوارئ لضمان استمرارية العمل في حالة وقوع حدث خطر كبير.
4.5 تحليل الأثر التشغيلي
نجري تحليلات دورية لتأثير الأعمال لتحديد التأثير المحتمل للاضطرابات في عملياتنا التجارية. يتضمن هذا التحليل تقييمًا لأهمية وظائف وأنظمة وبيانات أعمالنا ، بالإضافة إلى تقييم التأثير المحتمل للاضطرابات على عملائنا وموظفينا وأصحاب المصلحة الآخرين.
4.6 إدارة مخاطر الطرف الثالث
لدينا برنامج إدارة مخاطر تابع لجهة خارجية لضمان أن البائعين ومقدمي الخدمات الآخرين يديرون أيضًا المخاطر بشكل مناسب. يتضمن هذا البرنامج فحوصات العناية الواجبة قبل الانخراط مع أطراف ثالثة ، والمراقبة المستمرة لأنشطة الطرف الثالث ، والتقييمات الدورية لممارسات إدارة مخاطر الأطراف الثالثة.
4.7 الاستجابة للحوادث وإدارتها
لدينا خطة للتعامل مع الحوادث وإدارتها لضمان قدرتنا على الاستجابة بفعالية لأي حوادث أمنية. تتضمن هذه الخطة إجراءات لتحديد الحوادث والإبلاغ عنها ، بالإضافة إلى عمليات تقييم تأثير كل حادث وتحديد إجراءات الاستجابة المناسبة. لدينا أيضًا خطة لاستمرارية الأعمال لضمان استمرار وظائف العمل المهمة في حالة وقوع حادث كبير.
الجزء 5. الأمن المادي والبيئي
5.1 محيط الأمان المادي
لقد وضعنا تدابير أمنية مادية لحماية المباني المادية والمعلومات الحساسة من الوصول غير المصرح به.
5.2. صلاحية التحكم صلاحية الدخول
لقد وضعنا سياسات وإجراءات للتحكم في الوصول للمباني المادية لضمان وصول الأفراد المصرح لهم فقط إلى المعلومات الحساسة.
5.3 أمن المعدات
نحن نضمن أن جميع المعدات التي تحتوي على معلومات حساسة مؤمنة ماديًا ، ويقتصر الوصول إلى هذه المعدات على الأفراد المصرح لهم فقط.
5.4. التخلص الآمن
لقد وضعنا إجراءات للتخلص الآمن من المعلومات الحساسة ، بما في ذلك المستندات الورقية والوسائط الإلكترونية والأجهزة.
5.5. البيئة المادية
نحن نضمن أن البيئة المادية للمباني ، بما في ذلك درجة الحرارة والرطوبة والإضاءة ، مناسبة لحماية المعلومات الحساسة.
شنومكس
نحن نضمن أن يكون مصدر الطاقة للمباني موثوقًا ومحميًا من انقطاع التيار الكهربائي أو الارتفاع المفاجئ في التيار.
5.7. الحماية من الحرائق
لقد وضعنا سياسات وإجراءات الحماية من الحرائق ، بما في ذلك تركيب وصيانة أنظمة الكشف عن الحرائق وإخمادها.
5.8 الحماية من أضرار المياه
لقد وضعنا سياسات وإجراءات لحماية المعلومات الحساسة من أضرار المياه ، بما في ذلك تركيب وصيانة أنظمة الكشف عن الفيضانات والوقاية منها.
5.9. صيانة المعدات
لقد وضعنا إجراءات لصيانة المعدات ، بما في ذلك فحص المعدات بحثًا عن علامات التلاعب أو الوصول غير المصرح به.
5.10. الاستخدام المقبول
لقد وضعنا سياسة استخدام مقبولة تحدد الاستخدام المقبول للموارد المادية والمرافق.
5.11. الوصول عن بعد
لقد وضعنا سياسات وإجراءات للوصول عن بُعد إلى المعلومات الحساسة ، بما في ذلك استخدام الاتصالات والتشفير الآمن.
5.12. المراقبة والمراقبة
لقد وضعنا سياسات وإجراءات لرصد ومراقبة المباني المادية والمعدات لاكتشاف ومنع الوصول غير المصرح به أو التلاعب.
جزء. 6. أمن الاتصالات والعمليات
6.1 إدارة أمن الشبكة
لقد وضعنا سياسات وإجراءات لإدارة أمان الشبكة ، بما في ذلك استخدام جدران الحماية ، وأنظمة الكشف عن التسلل والوقاية منه ، والتدقيق الأمني المنتظم.
6.2 نقل المعلومات
لقد وضعنا سياسات وإجراءات للنقل الآمن للمعلومات الحساسة ، بما في ذلك استخدام التشفير وبروتوكولات نقل الملفات الآمنة.
6.3 اتصالات الطرف الثالث
لقد وضعنا سياسات وإجراءات للتبادل الآمن للمعلومات الحساسة مع مؤسسات خارجية ، بما في ذلك استخدام الاتصالات الآمنة والتشفير.
6.4. التعامل مع وسائل الإعلام
لقد وضعنا إجراءات للتعامل مع المعلومات الحساسة في أشكال مختلفة من الوسائط ، بما في ذلك المستندات الورقية والوسائط الإلكترونية وأجهزة التخزين المحمولة.
6.5. تطوير نظم المعلومات وصيانتها
لقد وضعنا سياسات وإجراءات لتطوير أنظمة المعلومات وصيانتها ، بما في ذلك استخدام ممارسات الترميز الآمن وتحديثات البرامج المنتظمة وإدارة التصحيح.
6.6. الحماية من البرامج الضارة والفيروسات
لقد وضعنا سياسات وإجراءات لحماية أنظمة المعلومات من البرامج الضارة والفيروسات ، بما في ذلك استخدام برامج مكافحة الفيروسات والتحديثات الأمنية المنتظمة.
6.7 النسخ الاحتياطي والاستعادة
لقد وضعنا سياسات وإجراءات للنسخ الاحتياطي واستعادة المعلومات الحساسة لمنع فقدان البيانات أو تلفها.
6.8. إدارة الأحداث
لقد وضعنا سياسات وإجراءات لتحديد الحوادث والأحداث الأمنية والتحقيق فيها وحلها.
6.9 إدارة الضعف
لقد وضعنا سياسات وإجراءات لإدارة نقاط الضعف في نظام المعلومات ، بما في ذلك استخدام تقييمات الضعف المنتظمة وإدارة التصحيح.
6.10. صلاحية التحكم صلاحية الدخول
لقد وضعنا سياسات وإجراءات لإدارة وصول المستخدم إلى أنظمة المعلومات ، بما في ذلك استخدام ضوابط الوصول ، ومصادقة المستخدم ، ومراجعات الوصول المنتظمة.
6.11. المراقبة والتسجيل
لقد وضعنا سياسات وإجراءات لمراقبة أنشطة نظام المعلومات وتسجيلها ، بما في ذلك استخدام مسارات التدقيق وتسجيل الحوادث الأمنية.
الجزء 7. اقتناء نظم المعلومات وتطويرها وصيانتها
7.1. المتطلبات
لقد وضعنا سياسات وإجراءات لتحديد متطلبات نظام المعلومات ، بما في ذلك متطلبات العمل والمتطلبات القانونية والتنظيمية ومتطلبات الأمان.
7.2 علاقات الموردين
لقد وضعنا سياسات وإجراءات لإدارة العلاقات مع موردي الطرف الثالث لأنظمة وخدمات المعلومات ، بما في ذلك تقييم ممارسات أمن الموردين.
7.3. تطوير النظام
لقد وضعنا سياسات وإجراءات للتطوير الآمن لأنظمة المعلومات ، بما في ذلك استخدام ممارسات التشفير الآمنة والاختبار المنتظم وضمان الجودة.
7.4. اختبار النظام
لقد وضعنا سياسات وإجراءات لاختبار أنظمة المعلومات ، بما في ذلك اختبار الوظائف واختبار الأداء واختبار الأمان.
7.5 قبول النظام
لقد وضعنا سياسات وإجراءات لقبول أنظمة المعلومات ، بما في ذلك الموافقة على نتائج الاختبار ، وتقييمات الأمان ، واختبار قبول المستخدم.
7.6. صيانة النظام
لقد وضعنا سياسات وإجراءات لصيانة أنظمة المعلومات ، بما في ذلك التحديثات المنتظمة وتصحيحات الأمان والنسخ الاحتياطية للنظام.
7.7 تقاعد النظام
لقد وضعنا سياسات وإجراءات لإيقاف أنظمة المعلومات ، بما في ذلك التخلص الآمن من الأجهزة والبيانات.
7.8. الاحتفاظ بالبيانات
لقد وضعنا سياسات وإجراءات للاحتفاظ بالبيانات وفقًا للمتطلبات القانونية والتنظيمية ، بما في ذلك التخزين الآمن والتخلص من البيانات الحساسة.
7.9. متطلبات الأمن لأنظمة المعلومات
لقد وضعنا سياسات وإجراءات لتحديد وتنفيذ متطلبات الأمان لأنظمة المعلومات ، بما في ذلك ضوابط الوصول والتشفير وحماية البيانات.
7.10. بيئات التطوير الآمنة
لقد وضعنا سياسات وإجراءات لبيئات التطوير الآمنة لأنظمة المعلومات ، بما في ذلك استخدام ممارسات التطوير الآمنة ، وضوابط الوصول ، وتكوينات الشبكة الآمنة.
7.11. حماية بيئات الاختبار
لقد وضعنا سياسات وإجراءات لحماية بيئات الاختبار لأنظمة المعلومات ، بما في ذلك استخدام التكوينات الآمنة ، وضوابط الوصول ، والاختبار الأمني المنتظم.
7.12. مبادئ هندسة النظام الآمن
لقد وضعنا سياسات وإجراءات لتنفيذ مبادئ هندسة الأنظمة الآمنة لأنظمة المعلومات ، بما في ذلك استخدام معماريات الأمان ونمذجة التهديدات وممارسات التشفير الآمنة.
7.13. إرشادات الترميز الآمن
لقد وضعنا سياسات وإجراءات لتنفيذ إرشادات التشفير الآمن لأنظمة المعلومات ، بما في ذلك استخدام معايير الترميز ومراجعات الكود والاختبار الآلي.
الجزء 8. اقتناء الأجهزة
8.1 الالتزام بالمعايير
نحن نلتزم بمعيار ISO 27001 لنظام إدارة أمن المعلومات (ISMS) لضمان شراء أصول الأجهزة وفقًا لمتطلبات الأمان الخاصة بنا.
8.2. تقييم المخاطر
نجري تقييم المخاطر قبل شراء أصول الأجهزة لتحديد المخاطر الأمنية المحتملة والتأكد من أن الأجهزة المختارة تفي بمتطلبات الأمان.
8.3 اختيار البائعين
نحن نشتري أصول الأجهزة فقط من البائعين الموثوق بهم الذين لديهم سجل حافل في تقديم منتجات آمنة. نقوم بمراجعة سياسات وممارسات الأمان الخاصة بالبائعين ، ونطلب منهم تقديم ضمانات بأن منتجاتهم تلبي متطلبات الأمان الخاصة بنا.
8.4 النقل الآمن
نحن نضمن نقل أصول الأجهزة بأمان إلى منشآتنا لمنع العبث أو التلف أو السرقة أثناء النقل.
8.5 التحقق من الأصالة
نتحقق من صحة أصول الأجهزة عند التسليم للتأكد من عدم تزويرها أو العبث بها.
8.6 الضوابط المادية والبيئية
نحن نطبق ضوابط مادية وبيئية مناسبة لحماية أصول الأجهزة من الوصول غير المصرح به أو السرقة أو التلف.
8.7. تركيب الأجهزة
نحن نضمن تكوين جميع أصول الأجهزة وتثبيتها وفقًا لمعايير وإرشادات الأمان المعمول بها.
8.8 مراجعات الأجهزة
نجري مراجعات دورية لأصول الأجهزة للتأكد من استمرارها في تلبية متطلبات الأمان الخاصة بنا وتحديثها بأحدث تصحيحات الأمان والتحديثات.
8.9 التخلص من الأجهزة
نتخلص من أصول الأجهزة بطريقة آمنة لمنع الوصول غير المصرح به إلى المعلومات الحساسة.
الجزء 9. الحماية من البرامج الضارة والفيروسات
9.1 سياسة تحديث البرامج
نحتفظ ببرنامج محدث للحماية من الفيروسات والبرامج الضارة على جميع أنظمة المعلومات التي يستخدمها المعهد الأوروبي لشهادات تكنولوجيا المعلومات ، بما في ذلك الخوادم ومحطات العمل وأجهزة الكمبيوتر المحمولة والأجهزة المحمولة. نحن نضمن أن برنامج الحماية من الفيروسات والبرامج الضارة قد تم تكوينه لتحديث ملفات تعريف الفيروسات وإصدارات البرامج تلقائيًا بشكل منتظم ، وأن هذه العملية يتم اختبارها بانتظام.
9.2. فحص مكافحة الفيروسات والبرامج الضارة
نقوم بإجراء عمليات مسح منتظمة لجميع أنظمة المعلومات ، بما في ذلك الخوادم ومحطات العمل وأجهزة الكمبيوتر المحمولة والأجهزة المحمولة ، لاكتشاف وإزالة أي فيروسات أو برامج ضارة.
9.3 سياسة عدم التعطيل وعدم التغيير
نحن نفرض سياسات تحظر على المستخدمين تعطيل أو تغيير برامج الحماية من الفيروسات والبرامج الضارة على أي نظام معلومات.
9.4. مراقبة
نحن نراقب تنبيهات وسجلات برامج الحماية من الفيروسات والبرامج الضارة لتحديد أي حوادث إصابة بالفيروسات أو البرامج الضارة ، والاستجابة لمثل هذه الحوادث في الوقت المناسب.
9.5 صيانة السجلات
نحتفظ بسجلات لتكوين برامج الحماية من الفيروسات والبرامج الضارة والتحديثات والمسح الضوئي ، بالإضافة إلى أي حوادث إصابة بالفيروسات أو البرامج الضارة ، لأغراض التدقيق.
9.6 مراجعات البرامج
نجري مراجعات دورية لبرنامج الحماية من الفيروسات والبرامج الضارة لدينا للتأكد من أنه يفي بمعايير الصناعة الحالية ومناسب لاحتياجاتنا.
9.7. التدريب والتوعية
نحن نقدم برامج تدريبية وتوعوية لتثقيف جميع الموظفين حول أهمية الحماية من الفيروسات والبرامج الضارة ، وكيفية التعرف على أي أنشطة أو حوادث مشبوهة والإبلاغ عنها.
الجزء 10. إدارة أصول المعلومات
10.1. جرد أصول المعلومات
يحتفظ المعهد الأوروبي لشهادة تكنولوجيا المعلومات بجرد لأصول المعلومات التي تشمل جميع أصول المعلومات الرقمية والمادية ، مثل الأنظمة والشبكات والبرامج والبيانات والوثائق. نقوم بتصنيف أصول المعلومات بناءً على أهميتها وحساسيتها لضمان تنفيذ تدابير الحماية المناسبة.
10.2. معالجة أصول المعلومات
نقوم بتنفيذ التدابير المناسبة لحماية أصول المعلومات بناءً على تصنيفها ، بما في ذلك السرية والنزاهة والتوافر. نحن نضمن التعامل مع جميع أصول المعلومات وفقًا للقوانين واللوائح المعمول بها والمتطلبات التعاقدية. نحن نضمن أيضًا تخزين جميع أصول المعلومات وحمايتها والتخلص منها بشكل صحيح عند عدم الحاجة إليها.
10.3. ملكية أصول المعلومات
نقوم بتعيين ملكية أصول المعلومات للأفراد أو الإدارات المسؤولة عن إدارة أصول المعلومات وحمايتها. نحن نضمن أيضًا أن يفهم مالكو أصول المعلومات مسؤولياتهم ومسؤولياتهم لحماية أصول المعلومات.
10.4. حماية أصول المعلومات
نحن نستخدم مجموعة متنوعة من تدابير الحماية لحماية أصول المعلومات ، بما في ذلك الضوابط المادية ، وضوابط الوصول ، والتشفير ، وعمليات النسخ الاحتياطي والاسترداد. نحن نضمن أيضًا حماية جميع أصول المعلومات من الوصول أو التعديل أو التدمير غير المصرح به.
الجزء 11. التحكم في الوصول
11.1. سياسة التحكم في الوصول
لدى المعهد الأوروبي لشهادات تكنولوجيا المعلومات سياسة التحكم في الوصول التي تحدد متطلبات منح وتعديل وإلغاء الوصول إلى أصول المعلومات. يعد التحكم في الوصول عنصرًا مهمًا في نظام إدارة أمن المعلومات الخاص بنا ، ونقوم بتطبيقه لضمان وصول الأفراد المصرح لهم فقط إلى أصول المعلومات الخاصة بنا.
11.2. تنفيذ التحكم في الوصول
نقوم بتنفيذ إجراءات التحكم في الوصول بناءً على مبدأ الامتياز الأقل ، مما يعني أن الأفراد لا يمكنهم الوصول إلا إلى أصول المعلومات اللازمة لأداء وظائفهم الوظيفية. نحن نستخدم مجموعة متنوعة من إجراءات التحكم في الوصول ، بما في ذلك المصادقة والترخيص والمحاسبة (AAA). نستخدم أيضًا قوائم التحكم في الوصول (ACL) والأذونات للتحكم في الوصول إلى أصول المعلومات.
11.3. سياسة كلمة المرور
يمتلك المعهد الأوروبي لشهادات تكنولوجيا المعلومات سياسة كلمات المرور التي تحدد متطلبات إنشاء كلمات المرور وإدارتها. نحن نطلب كلمات مرور قوية تتكون من 8 أحرف على الأقل ، مع مزيج من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة. نطلب أيضًا إجراء تغييرات دورية لكلمات المرور ونحظر إعادة استخدام كلمات المرور السابقة.
11.4. إدارة المستخدم
لدينا عملية إدارة مستخدم تتضمن إنشاء وتعديل وحذف حسابات المستخدمين. يتم إنشاء حسابات المستخدمين على أساس مبدأ الامتياز الأقل ، ولا يُمنح الوصول إلا إلى أصول المعلومات اللازمة لأداء وظائف الوظيفة الفردية. نقوم أيضًا بمراجعة حسابات المستخدمين بانتظام وإزالة الحسابات التي لم تعد مطلوبة.
الجزء 12. إدارة حوادث أمن المعلومات
12.1. سياسة إدارة الحوادث
المعهد الأوروبي لشهادات تكنولوجيا المعلومات لديه سياسة إدارة الحوادث التي تحدد متطلبات الكشف عن الحوادث الأمنية والإبلاغ عنها وتقييمها والاستجابة لها. نحن نعرّف الحوادث الأمنية على أنها أي حدث يخل بسرية أو سلامة أو توفر أصول أو أنظمة المعلومات.
12.2. كشف الحوادث والإبلاغ عنها
ننفذ إجراءات للكشف عن الحوادث الأمنية والإبلاغ عنها على الفور. نحن نستخدم مجموعة متنوعة من الأساليب لاكتشاف الحوادث الأمنية ، بما في ذلك أنظمة كشف التسلل (IDS) ، وبرامج مكافحة الفيروسات ، وتقارير المستخدم. نضمن أيضًا أن يكون جميع الموظفين على دراية بإجراءات الإبلاغ عن الحوادث الأمنية ونشجع على الإبلاغ عن جميع الحوادث المشتبه بها.
12.3. تقييم الحوادث والاستجابة لها
لدينا عملية لتقييم الحوادث الأمنية والاستجابة لها بناءً على شدتها وتأثيرها. نعطي الأولوية للحوادث بناءً على تأثيرها المحتمل على أصول أو أنظمة المعلومات ونخصص الموارد المناسبة للاستجابة لها. لدينا أيضًا خطة استجابة تتضمن إجراءات لتحديد واحتواء وتحليل واستئصال واسترداد الحوادث الأمنية ، بالإضافة إلى إخطار الأطراف المعنية وإجراء مراجعات ما بعد الحادث ، تم تصميم إجراءات الاستجابة للحوادث لدينا لضمان استجابة سريعة وفعالة للحوادث الأمنية. تتم مراجعة الإجراءات وتحديثها بانتظام لضمان فعاليتها وأهميتها.
12.4. فريق الاستجابة للحوادث
لدينا فريق الاستجابة للحوادث (IRT) المسؤول عن الاستجابة للحوادث الأمنية. يتكون IRT من ممثلين من وحدات مختلفة ويقودهم مسؤول أمن المعلومات (ISO). إن IRT مسؤول عن تقييم شدة الحوادث ، واحتواء الحادث ، وبدء إجراءات الاستجابة المناسبة.
12.5. الإبلاغ عن الحوادث والمراجعة
لقد وضعنا إجراءات للإبلاغ عن الحوادث الأمنية للأطراف ذات الصلة ، بما في ذلك العملاء ، والسلطات التنظيمية ، ووكالات إنفاذ القانون ، كما هو مطلوب بموجب القوانين واللوائح المعمول بها. نحافظ أيضًا على التواصل مع الأطراف المتضررة طوال عملية الاستجابة للحادث ، ونقدم تحديثات في الوقت المناسب عن حالة الحادث وأي إجراءات يتم اتخاذها للتخفيف من تأثيرها. نقوم أيضًا بإجراء مراجعة لجميع الحوادث الأمنية لتحديد السبب الجذري ومنع وقوع حوادث مماثلة في المستقبل.
الجزء 13. إدارة استمرارية الأعمال والتعافي من الكوارث
13.1. تخطيط استمرارية الأعمال
على الرغم من أن المعهد الأوروبي لشهادات تكنولوجيا المعلومات هو منظمة غير ربحية ، إلا أنه يمتلك خطة استمرارية الأعمال (BCP) التي تحدد الإجراءات لضمان استمرارية عملياتها في حالة وقوع حادث معطّل. تغطي خطة العمل الأساسية (BCP) جميع عمليات التشغيل الحرجة وتحدد الموارد المطلوبة للحفاظ على العمليات أثناء وبعد وقوع حادث تخريبي. كما تحدد إجراءات الحفاظ على العمليات التجارية أثناء الاضطراب أو الكارثة ، وتقييم تأثير الاضطرابات ، وتحديد العمليات التشغيلية الأكثر أهمية في سياق حادثة معينة ، وتطوير إجراءات الاستجابة والتعافي.
13.2. تخطيط التعافي من الكوارث
لدى المعهد الأوروبي لشهادة تكنولوجيا المعلومات خطة للتعافي من الكوارث (DRP) تحدد إجراءات استعادة أنظمة المعلومات الخاصة بنا في حالة حدوث اضطراب أو كارثة. يتضمن DRP إجراءات النسخ الاحتياطي للبيانات واستعادة البيانات واستعادة النظام. يتم اختبار DRP وتحديثه بانتظام لضمان فعاليته.
13.3. تحليل تأثير الأعمال
نجري تحليل تأثير الأعمال (BIA) لتحديد عمليات التشغيل الحرجة والموارد المطلوبة للحفاظ عليها. يساعدنا BIA في تحديد أولويات جهود التعافي وتخصيص الموارد وفقًا لذلك.
13.4. إستراتيجية استمرارية الأعمال
بناءً على نتائج BIA ، نقوم بتطوير إستراتيجية استمرارية الأعمال التي تحدد إجراءات الاستجابة لحادث تخريبي. تتضمن الإستراتيجية إجراءات لتفعيل خطة استمرارية العمل ، واستعادة عمليات التشغيل الحرجة ، والتواصل مع أصحاب المصلحة المعنيين.
13.5. الاختبار والصيانة
نحن نختبر BCP و DRP بانتظام ونحافظ عليهما لضمان فعاليتهما وأهميتهما. نجري اختبارات منتظمة للتحقق من صحة BCP/DRP وتحديد مجالات التحسين. نقوم أيضًا بتحديث BCP و DRP حسب الضرورة لتعكس التغييرات في عملياتنا أو مشهد التهديدات. يشمل الاختبار تمارين الطاولة والمحاكاة والاختبار المباشر للإجراءات. نقوم أيضًا بمراجعة وتحديث خططنا بناءً على نتائج الاختبار والدروس المستفادة.
13.6. مواقع المعالجة البديلة
نحتفظ بمواقع معالجة بديلة عبر الإنترنت يمكن استخدامها لمواصلة العمليات التجارية في حالة حدوث اضطراب أو كارثة. تم تجهيز مواقع المعالجة البديلة بالبنى التحتية والأنظمة اللازمة ، ويمكن استخدامها لدعم العمليات التجارية الهامة.
الجزء 14. الامتثال والمراجعة
14.1. الامتثال للقوانين والأنظمة
يلتزم المعهد الأوروبي لشهادة تكنولوجيا المعلومات بالامتثال لجميع القوانين واللوائح المعمول بها المتعلقة بأمن المعلومات والخصوصية ، بما في ذلك قوانين حماية البيانات ومعايير الصناعة والالتزامات التعاقدية. نقوم بانتظام بمراجعة وتحديث سياساتنا وإجراءاتنا وضوابطنا لضمان الامتثال لجميع المتطلبات والمعايير ذات الصلة. تشمل المعايير والأطر الرئيسية التي نتبعها في سياق أمن المعلومات ما يلي:
- يوفر معيار ISO/IEC 27001 إرشادات لتنفيذ وإدارة نظام إدارة أمن المعلومات (ISMS) الذي يتضمن إدارة الثغرات الأمنية كمكون رئيسي. يوفر إطارًا مرجعيًا لتنفيذ وصيانة نظام إدارة أمن المعلومات (ISMS) بما في ذلك إدارة الثغرات الأمنية. وفقًا لهذه الأحكام القياسية ، نقوم بتحديد وتقييم وإدارة مخاطر أمن المعلومات ، بما في ذلك نقاط الضعف.
- يوفر إطار عمل الأمن السيبراني الصادر عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) إرشادات لتحديد وتقييم وإدارة مخاطر الأمن السيبراني ، بما في ذلك إدارة الثغرات الأمنية.
- إطار عمل الأمن السيبراني للمعهد الوطني للمعايير والتكنولوجيا (NIST) لتحسين إدارة مخاطر الأمن السيبراني ، مع مجموعة أساسية من الوظائف بما في ذلك إدارة الثغرات الأمنية التي نلتزم بها لإدارة مخاطر الأمن السيبراني.
- تحتوي SANS Critical Security Controls على مجموعة من 20 عنصر تحكم أمني لتحسين الأمن السيبراني ، وتغطي مجموعة من المجالات ، بما في ذلك إدارة الثغرات الأمنية ، وتوفير إرشادات محددة حول فحص الثغرات الأمنية ، وإدارة التصحيح ، والجوانب الأخرى لإدارة الثغرات الأمنية.
- معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) ، الذي يتطلب معالجة معلومات بطاقة الائتمان فيما يتعلق بإدارة الثغرات الأمنية في هذا السياق.
- مركز ضوابط أمان الإنترنت (CIS) بما في ذلك إدارة الثغرات الأمنية كأحد الضوابط الرئيسية لضمان التكوينات الآمنة لأنظمة المعلومات لدينا.
- مشروع أمان تطبيق الويب المفتوح (OWASP) ، مع قائمة العشرة الأوائل الخاصة به لأهم مخاطر أمان تطبيقات الويب ، بما في ذلك تقييم نقاط الضعف مثل هجمات الحقن ، والمصادقة المعطلة وإدارة الجلسة ، والبرمجة عبر المواقع (XSS) ، وما إلى ذلك. نستخدم OWASP Top 10 لتحديد أولويات جهود إدارة الثغرات الأمنية والتركيز على المخاطر الأكثر أهمية فيما يتعلق بأنظمة الويب الخاصة بنا.
14.2. التدقيق الداخلي
نجري عمليات تدقيق داخلية منتظمة لتقييم فعالية نظام إدارة أمن المعلومات لدينا (ISMS) والتأكد من اتباع سياساتنا وإجراءاتنا وضوابطنا. تتضمن عملية التدقيق الداخلي تحديد حالات عدم المطابقة ، وتطوير الإجراءات التصحيحية ، وتتبع جهود الإصلاح.
14.3. المراجعة الخارجية
نتعامل بشكل دوري مع المدققين الخارجيين للتحقق من امتثالنا للقوانين واللوائح المعمول بها ومعايير الصناعة. نحن نوفر للمدققين إمكانية الوصول إلى منشآتنا وأنظمتنا ووثائقنا كما هو مطلوب للتحقق من امتثالنا. نعمل أيضًا مع المدققين الخارجيين لمعالجة أي نتائج أو توصيات يتم تحديدها أثناء عملية التدقيق.
14.4. مراقبة الامتثال
نحن نراقب امتثالنا للقوانين واللوائح المعمول بها ومعايير الصناعة على أساس مستمر. نحن نستخدم مجموعة متنوعة من الأساليب لمراقبة الامتثال ، بما في ذلك التقييمات الدورية والتدقيق والمراجعات لموفري الطرف الثالث. نقوم أيضًا بمراجعة وتحديث سياساتنا وإجراءاتنا وضوابطنا بانتظام لضمان الامتثال المستمر لجميع المتطلبات ذات الصلة.
الجزء 15. إدارة الطرف الثالث
15.1. سياسة إدارة الطرف الثالث
لدى المعهد الأوروبي لشهادات تكنولوجيا المعلومات سياسة إدارة من طرف ثالث تحدد متطلبات اختيار وتقييم ومراقبة مزودي الطرف الثالث الذين لديهم إمكانية الوصول إلى أصول أو أنظمتنا المعلوماتية. تنطبق السياسة على جميع مزودي الطرف الثالث ، بما في ذلك موفرو الخدمات السحابية والبائعون والمقاولون.
15.2. اختيار وتقييم الطرف الثالث
نحن نبذل العناية الواجبة قبل التعامل مع مزودي الطرف الثالث للتأكد من أن لديهم ضوابط أمنية كافية لحماية أصول أو أنظمتنا المعلوماتية. نقوم أيضًا بتقييم امتثال مزودي الطرف الثالث للقوانين واللوائح المعمول بها المتعلقة بأمن المعلومات والخصوصية.
15.3. مراقبة الطرف الثالث
نحن نراقب مزودي الطرف الثالث على أساس مستمر للتأكد من استمرارهم في تلبية متطلباتنا لأمن المعلومات والخصوصية. نحن نستخدم مجموعة متنوعة من الأساليب لمراقبة مزودي الطرف الثالث ، بما في ذلك التقييمات الدورية والتدقيق ومراجعات تقارير الحوادث الأمنية.
15.4. المتطلبات التعاقدية
نقوم بتضمين المتطلبات التعاقدية المتعلقة بأمن المعلومات والخصوصية في جميع العقود مع مزودي الطرف الثالث. تتضمن هذه المتطلبات أحكامًا لحماية البيانات ، وضوابط الأمان ، وإدارة الحوادث ، ومراقبة الامتثال. نقوم أيضًا بتضمين أحكام لإنهاء العقود في حالة وقوع حادث أمني أو عدم الامتثال.
الجزء 16. أمن المعلومات في عمليات التصديق
16.1 أمن عمليات التصديق
نتخذ تدابير كافية ونظامية لضمان أمن جميع المعلومات المتعلقة بعمليات الاعتماد لدينا ، بما في ذلك البيانات الشخصية للأفراد الذين يسعون للحصول على الشهادة. يتضمن ذلك ضوابط الوصول إلى كافة المعلومات المتعلقة بالشهادة وتخزينها ونقلها. من خلال تنفيذ هذه الإجراءات ، نهدف إلى ضمان إجراء عمليات الاعتماد بأعلى مستوى من الأمان والنزاهة ، وحماية البيانات الشخصية للأفراد الذين يسعون للحصول على الشهادة وفقًا للوائح والمعايير ذات الصلة.
16.2. المصادقة والتخويل
نحن نستخدم ضوابط المصادقة والتفويض لضمان وصول الأفراد المصرح لهم فقط إلى معلومات الشهادة. تتم مراجعة ضوابط الوصول وتحديثها بانتظام بناءً على التغييرات في أدوار ومسؤوليات الموظفين.
16.3. حماية البيانات
نحمي البيانات الشخصية طوال عملية الاعتماد من خلال تنفيذ التدابير الفنية والتنظيمية المناسبة لضمان سرية البيانات وسلامتها وتوافرها. يتضمن ذلك إجراءات مثل التشفير وضوابط الوصول والنسخ الاحتياطي المنتظم.
16.4. أمن عمليات الامتحان
نحن نضمن أمان عمليات الفحص من خلال تنفيذ التدابير المناسبة لمنع الغش ، ومراقبة بيئة الفحص والتحكم فيها. نحافظ أيضًا على سلامة مواد الفحص وسريتها من خلال إجراءات التخزين الآمنة.
16.5. أمن محتوى الامتحان
نحن نضمن أمان محتوى الفحص من خلال تنفيذ التدابير المناسبة للحماية من الوصول غير المصرح به أو التغيير أو الكشف عن المحتوى. يتضمن ذلك استخدام التخزين الآمن والتشفير وضوابط الوصول لمحتوى الفحص ، بالإضافة إلى ضوابط منع التوزيع أو النشر غير المصرح به لمحتوى الفحص.
16.6. أمن تسليم الامتحان
نحن نضمن أمان تسليم الفحص من خلال تنفيذ التدابير المناسبة لمنع الوصول غير المصرح به إلى بيئة الفحص أو التلاعب بها. وهذا يشمل تدابير مثل المراقبة والتدقيق والتحكم في بيئة الفحص ونهج الفحص الخاصة ، لمنع الغش أو الانتهاكات الأمنية الأخرى.
16.7. أمن نتائج الامتحان
نحن نضمن أمان نتائج الفحص من خلال تنفيذ التدابير المناسبة للحماية من الوصول غير المصرح به أو التغيير أو الكشف عن النتائج. يتضمن ذلك استخدام التخزين الآمن والتشفير وضوابط الوصول لنتائج الفحص ، وكذلك الضوابط لمنع التوزيع غير المصرح به أو نشر نتائج الفحص.
16.8 تأمين إصدار الشهادات
نحن نضمن أمن إصدار الشهادات من خلال تنفيذ الإجراءات المناسبة لمنع الاحتيال وإصدار الشهادات غير المصرح به. ويشمل ذلك ضوابط للتحقق من هوية الأفراد الذين يتلقون الشهادات وتأمين إجراءات التخزين والإصدار.
16.9 الشكاوي وطلبات الاستئناف
لقد وضعنا إجراءات لإدارة الشكاوى والطعون المتعلقة بعملية الاعتماد. وتشمل هذه الإجراءات تدابير لضمان سرية ونزاهة العملية ، وأمن المعلومات المتعلقة بالشكاوى والطعون.
16.10. عمليات التصديق إدارة الجودة
لقد أنشأنا نظام إدارة الجودة (QMS) لعمليات إصدار الشهادات التي تتضمن تدابير لضمان فعالية وكفاءة وأمن العمليات. يتضمن نظام إدارة الجودة عمليات تدقيق ومراجعات منتظمة للعمليات وضوابطها الأمنية.
16.11. التحسين المستمر لأمن عمليات التصديق
نحن ملتزمون بالتحسين المستمر لعمليات الاعتماد لدينا وضوابط الأمان الخاصة بها. يتضمن ذلك المراجعات والتحديثات المنتظمة للسياسات والإجراءات الأمنية المتعلقة بالشهادة بناءً على التغييرات في بيئة الأعمال والمتطلبات التنظيمية وأفضل الممارسات في إدارة أمن المعلومات ، بما يتوافق مع معيار ISO 27001 لإدارة أمن المعلومات ، وكذلك مع ISO 17024 هيئات التصديق معيار التشغيل.
الجزء 17. أحكام ختامية
17.1. مراجعة السياسة وتحديثها
سياسة أمن المعلومات هذه هي وثيقة حية تخضع لمراجعات وتحديثات مستمرة بناءً على التغييرات في متطلباتنا التشغيلية أو المتطلبات التنظيمية أو أفضل الممارسات في إدارة أمن المعلومات.
17.2. مراقبة الامتثال
لقد وضعنا إجراءات لمراقبة الامتثال لسياسة أمن المعلومات هذه والضوابط الأمنية ذات الصلة. تشمل مراقبة الامتثال عمليات تدقيق وتقييمات ومراجعات منتظمة لضوابط الأمان ومدى فعاليتها في تحقيق أهداف هذه السياسة.
17.3. الإبلاغ عن الحوادث الأمنية
لقد وضعنا إجراءات للإبلاغ عن الحوادث الأمنية المتعلقة بأنظمة المعلومات لدينا ، بما في ذلك تلك المتعلقة بالبيانات الشخصية للأفراد. يتم تشجيع الموظفين والمقاولين وأصحاب المصلحة الآخرين على الإبلاغ عن أي حوادث أمنية أو حوادث مشتبه بها لفريق الأمن المعين في أقرب وقت ممكن.
17.4. التدريب والتوعية
نحن نقدم برامج تدريب وتوعية منتظمة للموظفين والمقاولين وأصحاب المصلحة الآخرين للتأكد من أنهم على دراية بمسؤولياتهم والتزاماتهم المتعلقة بأمن المعلومات. ويشمل ذلك التدريب على السياسات والإجراءات الأمنية ، وتدابير حماية البيانات الشخصية للأفراد.
17.5. المسؤولية والمساءلة
نحن نحمل جميع الموظفين والمقاولين وأصحاب المصلحة الآخرين المسؤولية والمساءلة عن الامتثال لسياسة أمن المعلومات هذه والضوابط الأمنية ذات الصلة. كما أننا نحمل الإدارة المسؤولية عن ضمان تخصيص الموارد المناسبة لتنفيذ والحفاظ على ضوابط فعالة لأمن المعلومات.
تعد سياسة أمن المعلومات هذه مكونًا مهمًا في إطار إدارة أمن المعلومات التابع لمعهد Euroepan IT Certification Institute وتوضح التزامنا بحماية أصول المعلومات والبيانات المعالجة ، وضمان السرية والخصوصية والسلامة وتوافر المعلومات ، والامتثال للمتطلبات التنظيمية والتعاقدية.