సమాచార భద్రతా విధానం
EITCA అకాడమీ సమాచార భద్రతా విధానం
ఈ పత్రం యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ యొక్క ఇన్ఫర్మేషన్ సెక్యూరిటీ పాలసీ (ISP)ని నిర్దేశిస్తుంది, దాని ప్రభావం మరియు ఔచిత్యాన్ని నిర్ధారించడానికి ఇది క్రమం తప్పకుండా సమీక్షించబడుతుంది మరియు నవీకరించబడుతుంది. EITCI సమాచార భద్రతా విధానానికి చివరి అప్డేట్ 7 జనవరి 2023న చేయబడింది.
పార్ట్ 1. పరిచయం మరియు సమాచార భద్రతా విధాన ప్రకటన
1.1. పరిచయం
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ గోప్యత, సమగ్రత మరియు సమాచార లభ్యత మరియు మా వాటాదారుల నమ్మకాన్ని నిర్వహించడంలో సమాచార భద్రత యొక్క ప్రాముఖ్యతను గుర్తిస్తుంది. అనధికారిక యాక్సెస్, బహిర్గతం, మార్పులు మరియు విధ్వంసం నుండి వ్యక్తిగత డేటాతో సహా సున్నితమైన సమాచారాన్ని రక్షించడానికి మేము కట్టుబడి ఉన్నాము. మా క్లయింట్లకు విశ్వసనీయమైన మరియు నిష్పాక్షికమైన ధృవీకరణ సేవలను అందించే మా మిషన్కు మద్దతు ఇవ్వడానికి మేము సమర్థవంతమైన సమాచార భద్రతా విధానాన్ని నిర్వహిస్తాము. సమాచార ఆస్తులను రక్షించడంలో మరియు మా చట్టపరమైన, నియంత్రణ మరియు ఒప్పంద బాధ్యతలను నెరవేర్చడంలో మా నిబద్ధతను సమాచార భద్రతా విధానం వివరిస్తుంది. మా విధానం ISO 27001 మరియు ISO 17024 సూత్రాలపై ఆధారపడింది, సమాచార భద్రత నిర్వహణ మరియు ధృవీకరణ సంస్థల కార్యకలాపాల ప్రమాణాల కోసం ప్రముఖ అంతర్జాతీయ ప్రమాణాలు.
1.2 విధాన ప్రకటన
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ దీనికి కట్టుబడి ఉంది:
- సమాచార ఆస్తుల గోప్యత, సమగ్రత మరియు లభ్యతను రక్షించడం,
- సమాచార భద్రత మరియు దాని ధృవీకరణ ప్రక్రియలు మరియు కార్యకలాపాలను అమలు చేసే డేటా ప్రాసెసింగ్కు సంబంధించిన చట్టపరమైన, నియంత్రణ మరియు ఒప్పంద బాధ్యతలను పాటించడం,
- దాని సమాచార భద్రతా విధానం మరియు సంబంధిత నిర్వహణ వ్యవస్థను నిరంతరం మెరుగుపరచడం,
- ఉద్యోగులు, కాంట్రాక్టర్లు మరియు పాల్గొనేవారికి తగిన శిక్షణ మరియు అవగాహన కల్పించడం,
- ఇన్ఫర్మేషన్ సెక్యూరిటీ పాలసీ మరియు సంబంధిత ఇన్ఫర్మేషన్ సెక్యూరిటీ మేనేజ్మెంట్ సిస్టమ్ యొక్క అమలు మరియు నిర్వహణలో ఉద్యోగులు మరియు కాంట్రాక్టర్లందరినీ చేర్చుకోవడం.
1.3. పరిధి
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ యాజమాన్యంలోని, నియంత్రించబడిన లేదా ప్రాసెస్ చేయబడిన అన్ని సమాచార ఆస్తులకు ఈ విధానం వర్తిస్తుంది. ఇది సిస్టమ్లు, నెట్వర్క్లు, సాఫ్ట్వేర్, డేటా మరియు డాక్యుమెంటేషన్ వంటి అన్ని డిజిటల్ మరియు భౌతిక సమాచార ఆస్తులను కలిగి ఉంటుంది. ఈ విధానం మా సమాచార ఆస్తులను యాక్సెస్ చేసే ఉద్యోగులు, కాంట్రాక్టర్లు మరియు థర్డ్-పార్టీ సర్వీస్ ప్రొవైడర్లందరికీ కూడా వర్తిస్తుంది.
1.4. వర్తింపు
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ ISO 27001 మరియు ISO 17024తో సహా సంబంధిత సమాచార భద్రతా ప్రమాణాలను పాటించడానికి కట్టుబడి ఉంది. ఈ ప్రమాణాలకు సంబంధించి కొనసాగుతున్న ఔచిత్యం మరియు సమ్మతిని నిర్ధారించడానికి మేము ఈ విధానాన్ని క్రమం తప్పకుండా సమీక్షిస్తాము మరియు నవీకరిస్తాము.
పార్ట్ 2. సంస్థాగత భద్రత
2.1 సంస్థ భద్రతా లక్ష్యాలు
సంస్థాగత భద్రతా చర్యలను అమలు చేయడం ద్వారా, మా సమాచార ఆస్తులు మరియు డేటా ప్రాసెసింగ్ పద్ధతులు మరియు విధానాలు అత్యున్నత స్థాయి భద్రత మరియు సమగ్రతతో నిర్వహించబడుతున్నాయని మరియు మేము సంబంధిత చట్టపరమైన నిబంధనలు మరియు ప్రమాణాలకు అనుగుణంగా ఉండేలా చూడాలని మేము లక్ష్యంగా పెట్టుకున్నాము.
2.2 సమాచార భద్రత పాత్రలు మరియు బాధ్యతలు
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ సంస్థ అంతటా సమాచార భద్రత కోసం పాత్రలు మరియు బాధ్యతలను నిర్వచిస్తుంది మరియు కమ్యూనికేట్ చేస్తుంది. సమాచార భద్రతకు సంబంధించిన సమాచార ఆస్తులకు స్పష్టమైన యాజమాన్యాన్ని కేటాయించడం, పాలనా నిర్మాణాన్ని ఏర్పాటు చేయడం మరియు సంస్థ అంతటా వివిధ పాత్రలు మరియు విభాగాలకు నిర్దిష్ట బాధ్యతలను నిర్వచించడం ఇందులో ఉన్నాయి.
2.3. ప్రమాద నిర్వహణ
వ్యక్తిగత డేటా ప్రాసెసింగ్కు సంబంధించిన రిస్క్లతో సహా సంస్థకు సమాచార భద్రతా ప్రమాదాలను గుర్తించడానికి మరియు ప్రాధాన్యతనిచ్చేందుకు మేము సాధారణ ప్రమాద అంచనాలను నిర్వహిస్తాము. మేము ఈ నష్టాలను తగ్గించడానికి తగిన నియంత్రణలను ఏర్పాటు చేస్తాము మరియు వ్యాపార వాతావరణం మరియు ముప్పు ల్యాండ్స్కేప్లో మార్పుల ఆధారంగా మా రిస్క్ మేనేజ్మెంట్ విధానాన్ని క్రమం తప్పకుండా సమీక్షిస్తాము మరియు అప్డేట్ చేస్తాము.
2.4 సమాచార భద్రతా విధానాలు మరియు విధానాలు
మేము పరిశ్రమ యొక్క ఉత్తమ అభ్యాసాల ఆధారంగా మరియు సంబంధిత నిబంధనలు మరియు ప్రమాణాలకు అనుగుణంగా ఉండే సమాచార భద్రతా విధానాలు మరియు విధానాల సమితిని ఏర్పాటు చేస్తాము మరియు నిర్వహిస్తాము. ఈ విధానాలు మరియు విధానాలు వ్యక్తిగత డేటా ప్రాసెసింగ్తో సహా సమాచార భద్రతకు సంబంధించిన అన్ని అంశాలను కవర్ చేస్తాయి మరియు వాటి ప్రభావాన్ని నిర్ధారించడానికి క్రమం తప్పకుండా సమీక్షించబడతాయి మరియు నవీకరించబడతాయి.
2.5 భద్రతా అవగాహన మరియు శిక్షణ
వ్యక్తిగత డేటా లేదా ఇతర సున్నితమైన సమాచారానికి యాక్సెస్ను కలిగి ఉన్న ఉద్యోగులు, కాంట్రాక్టర్లు మరియు మూడవ పక్ష భాగస్వాములందరికీ మేము క్రమమైన భద్రతా అవగాహన మరియు శిక్షణా కార్యక్రమాలను అందిస్తాము. ఈ శిక్షణలో ఫిషింగ్, సోషల్ ఇంజినీరింగ్, పాస్వర్డ్ పరిశుభ్రత మరియు ఇతర సమాచార భద్రత బెస్ట్ ప్రాక్టీసెస్ వంటి అంశాలు ఉంటాయి.
2.6 భౌతిక మరియు పర్యావరణ భద్రత
మా సౌకర్యాలు మరియు సమాచార వ్యవస్థలకు అనధికార ప్రాప్యత, నష్టం లేదా జోక్యం నుండి రక్షించడానికి మేము తగిన భౌతిక మరియు పర్యావరణ భద్రతా నియంత్రణలను అమలు చేస్తాము. ఇందులో యాక్సెస్ నియంత్రణలు, నిఘా, పర్యవేక్షణ మరియు బ్యాకప్ పవర్ మరియు కూలింగ్ సిస్టమ్లు వంటి చర్యలు ఉంటాయి.
2.7 సమాచార భద్రతా సంఘటన నిర్వహణ
ఏదైనా సమాచార భద్రతా సంఘటనలకు త్వరగా మరియు ప్రభావవంతంగా ప్రతిస్పందించడానికి మమ్మల్ని అనుమతించే సంఘటన నిర్వహణ ప్రక్రియను మేము ఏర్పాటు చేసాము. సంఘటనలను నివేదించడం, తీవ్రతరం చేయడం, దర్యాప్తు చేయడం మరియు రిజల్యూషన్ చేయడం, అలాగే పునరావృతం కాకుండా నిరోధించడం మరియు మా సంఘటన ప్రతిస్పందన సామర్థ్యాలను మెరుగుపరచడం వంటి చర్యలు ఇందులో ఉన్నాయి.
2.8 ఆపరేషనల్ కంటిన్యుటీ మరియు డిజాస్టర్ రికవరీ
మేము ఆపరేషనల్ కంటిన్యూటీ మరియు డిజాస్టర్ రికవరీ ప్లాన్లను ఏర్పాటు చేసాము మరియు పరీక్షించాము, ఇవి అంతరాయం లేదా విపత్తు సంభవించినప్పుడు మా క్లిష్టమైన కార్యకలాపాల విధులు మరియు సేవలను నిర్వహించడానికి మాకు వీలు కల్పిస్తాయి. ఈ ప్లాన్లలో డేటా మరియు సిస్టమ్ల బ్యాకప్ మరియు రికవరీ కోసం విధానాలు మరియు వ్యక్తిగత డేటా లభ్యత మరియు సమగ్రతను నిర్ధారించే చర్యలు ఉంటాయి.
2.9 మూడవ పక్ష నిర్వహణ
వ్యక్తిగత డేటా లేదా ఇతర సున్నితమైన సమాచారానికి ప్రాప్యత కలిగి ఉన్న మూడవ పక్ష భాగస్వాములతో సంబంధం ఉన్న నష్టాలను నిర్వహించడానికి మేము తగిన నియంత్రణలను ఏర్పాటు చేస్తాము మరియు నిర్వహిస్తాము. ఇది తగిన శ్రద్ధ, ఒప్పంద బాధ్యతలు, పర్యవేక్షణ మరియు ఆడిట్లు, అలాగే అవసరమైనప్పుడు భాగస్వామ్యాలను రద్దు చేయడం వంటి చర్యలను కలిగి ఉంటుంది.
పార్ట్ 3. మానవ వనరుల భద్రత
3.1 ఉపాధి స్క్రీనింగ్
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ సున్నితమైన సమాచారాన్ని యాక్సెస్ చేసే వ్యక్తులు విశ్వసనీయంగా మరియు అవసరమైన నైపుణ్యాలు మరియు అర్హతలను కలిగి ఉండేలా ఉపాధి స్క్రీనింగ్ కోసం ఒక ప్రక్రియను ఏర్పాటు చేసింది.
3.2. యాక్సెస్ నియంత్రణ
ఉద్యోగులు తమ ఉద్యోగ బాధ్యతలకు అవసరమైన సమాచారాన్ని మాత్రమే యాక్సెస్ చేయగలరని నిర్ధారించడానికి మేము యాక్సెస్ నియంత్రణ విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము. ఉద్యోగులు తమకు అవసరమైన సమాచారాన్ని మాత్రమే యాక్సెస్ చేయగలరని నిర్ధారించుకోవడానికి యాక్సెస్ హక్కులు సమీక్షించబడతాయి మరియు క్రమం తప్పకుండా నవీకరించబడతాయి.
3.3 సమాచార భద్రత అవగాహన మరియు శిక్షణ
మేము ఉద్యోగులందరికీ క్రమ పద్ధతిలో సమాచార భద్రత అవగాహన శిక్షణను అందిస్తాము. ఈ శిక్షణలో పాస్వర్డ్ భద్రత, ఫిషింగ్ దాడులు, సోషల్ ఇంజినీరింగ్ మరియు సైబర్ సెక్యూరిటీకి సంబంధించిన ఇతర అంశాలు ఉంటాయి.
3.4. ఆమోదయోగ్యమైన ఉపయోగం
మేము పని ప్రయోజనాల కోసం ఉపయోగించే వ్యక్తిగత పరికరాలతో సహా సమాచార వ్యవస్థలు మరియు వనరుల ఆమోదయోగ్యమైన వినియోగాన్ని వివరించే ఆమోదయోగ్యమైన వినియోగ విధానాన్ని ఏర్పాటు చేసాము.
3.5 మొబైల్ పరికర భద్రత
పాస్కోడ్లు, ఎన్క్రిప్షన్ మరియు రిమోట్ వైపింగ్ సామర్థ్యాలతో సహా మొబైల్ పరికరాల సురక్షిత ఉపయోగం కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
3.6 ముగింపు విధానాలు
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్, సున్నితమైన సమాచారానికి యాక్సెస్ వెంటనే మరియు సురక్షితంగా ఉపసంహరించబడుతుందని నిర్ధారించడానికి ఉపాధి లేదా ఒప్పందాన్ని రద్దు చేయడానికి విధానాలను ఏర్పాటు చేసింది.
3.7 థర్డ్-పార్టీ పర్సనల్
మేము సున్నితమైన సమాచారానికి ప్రాప్యత కలిగి ఉన్న మూడవ పక్షం సిబ్బంది నిర్వహణ కోసం విధానాలను ఏర్పాటు చేసాము. ఈ విధానాలలో స్క్రీనింగ్, యాక్సెస్ కంట్రోల్ మరియు ఇన్ఫర్మేషన్ సెక్యూరిటీ అవేర్నెస్ ట్రైనింగ్ ఉంటాయి.
3.8 సంఘటనలను నివేదించడం
సమాచార భద్రతా సంఘటనలు లేదా ఆందోళనలను సంబంధిత సిబ్బందికి లేదా అధికారులకు నివేదించడానికి మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
3.9 గోప్యత ఒప్పందాలు
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్కు ఉద్యోగులు మరియు కాంట్రాక్టర్లు గోప్యత ఒప్పందాలపై సంతకం చేయడం ద్వారా సున్నితమైన సమాచారాన్ని అనధికారిక బహిర్గతం నుండి రక్షించాలి.
3.10 క్రమశిక్షణా చర్యలు
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ ఉద్యోగులు లేదా కాంట్రాక్టర్ల ద్వారా సమాచార భద్రతా విధాన ఉల్లంఘనల విషయంలో క్రమశిక్షణా చర్యల కోసం విధానాలు మరియు విధానాలను ఏర్పాటు చేసింది.
పార్ట్ 4. రిస్క్ అసెస్మెంట్ మరియు మేనేజ్మెంట్
4.1. రిస్క్ అసెస్మెంట్
మా సమాచార ఆస్తులకు సంభావ్య బెదిరింపులు మరియు దుర్బలత్వాలను గుర్తించడానికి మేము కాలానుగుణ ప్రమాద అంచనాలను నిర్వహిస్తాము. మేము ప్రమాదాలను గుర్తించడానికి, విశ్లేషించడానికి, మూల్యాంకనం చేయడానికి మరియు వాటి సంభావ్యత మరియు సంభావ్య ప్రభావం ఆధారంగా వాటికి ప్రాధాన్యత ఇవ్వడానికి నిర్మాణాత్మక విధానాన్ని ఉపయోగిస్తాము. సిస్టమ్లు, నెట్వర్క్లు, సాఫ్ట్వేర్, డేటా మరియు డాక్యుమెంటేషన్తో సహా మా సమాచార ఆస్తులకు సంబంధించిన నష్టాలను మేము అంచనా వేస్తాము.
4.2 ప్రమాద చికిత్స
మేము ప్రమాదాలను తగ్గించడానికి లేదా ఆమోదయోగ్యమైన స్థాయికి తగ్గించడానికి ప్రమాద చికిత్స ప్రక్రియను ఉపయోగిస్తాము. ప్రమాద చికిత్స ప్రక్రియలో తగిన నియంత్రణలను ఎంచుకోవడం, నియంత్రణలను అమలు చేయడం మరియు నియంత్రణల ప్రభావాన్ని పర్యవేక్షించడం వంటివి ఉంటాయి. మేము ప్రమాద స్థాయి, అందుబాటులో ఉన్న వనరులు మరియు వ్యాపార ప్రాధాన్యతల ఆధారంగా నియంత్రణల అమలుకు ప్రాధాన్యతనిస్తాము.
4.3 రిస్క్ మానిటరింగ్ మరియు రివ్యూ
మా రిస్క్ మేనేజ్మెంట్ ప్రక్రియ సంబంధితంగా మరియు ప్రభావవంతంగా ఉందని నిర్ధారించుకోవడానికి మేము దాని ప్రభావాన్ని క్రమం తప్పకుండా పర్యవేక్షిస్తాము మరియు సమీక్షిస్తాము. మా రిస్క్ మేనేజ్మెంట్ ప్రాసెస్ పనితీరును కొలవడానికి మరియు మెరుగుదల కోసం అవకాశాలను గుర్తించడానికి మేము కొలమానాలు మరియు సూచికలను ఉపయోగిస్తాము. దాని కొనసాగుతున్న అనుకూలత, సమర్ధత మరియు ప్రభావాన్ని నిర్ధారించడానికి మా ఆవర్తన నిర్వహణ సమీక్షలలో భాగంగా మేము మా రిస్క్ మేనేజ్మెంట్ ప్రక్రియను కూడా సమీక్షిస్తాము.
4.4 రిస్క్ రెస్పాన్స్ ప్లానింగ్
గుర్తించబడిన ఏవైనా ప్రమాదాలకు మేము సమర్థవంతంగా ప్రతిస్పందించగలమని నిర్ధారించుకోవడానికి మా వద్ద రిస్క్ రెస్పాన్స్ ప్లాన్ ఉంది. ఈ ప్లాన్లో ప్రమాదాలను గుర్తించడం మరియు నివేదించడం, అలాగే ప్రతి ప్రమాదం యొక్క సంభావ్య ప్రభావాన్ని అంచనా వేయడం మరియు తగిన ప్రతిస్పందన చర్యలను నిర్ణయించడం వంటి ప్రక్రియలు ఉన్నాయి. గణనీయమైన ప్రమాద సంఘటన జరిగినప్పుడు వ్యాపార కొనసాగింపును నిర్ధారించడానికి మేము ఆకస్మిక ప్రణాళికలను కూడా కలిగి ఉన్నాము.
4.5 ఆపరేషనల్ ఇంపాక్ట్ అనాలిసిస్
మా వ్యాపార కార్యకలాపాలకు అంతరాయాల సంభావ్య ప్రభావాన్ని గుర్తించడానికి మేము క్రమానుగతంగా వ్యాపార ప్రభావ విశ్లేషణలను నిర్వహిస్తాము. ఈ విశ్లేషణలో మా వ్యాపార విధులు, సిస్టమ్లు మరియు డేటా యొక్క క్లిష్టత యొక్క అంచనా, అలాగే మా కస్టమర్లు, ఉద్యోగులు మరియు ఇతర వాటాదారులపై అంతరాయాల సంభావ్య ప్రభావం యొక్క మూల్యాంకనం ఉంటుంది.
4.6 థర్డ్-పార్టీ రిస్క్ మేనేజ్మెంట్
మా విక్రేతలు మరియు ఇతర థర్డ్-పార్టీ సర్వీస్ ప్రొవైడర్లు కూడా రిస్క్లను సముచితంగా నిర్వహిస్తున్నారని నిర్ధారించుకోవడానికి మేము మూడవ పార్టీ రిస్క్ మేనేజ్మెంట్ ప్రోగ్రామ్ని కలిగి ఉన్నాము. ఈ ప్రోగ్రామ్లో మూడవ పక్షాలతో నిమగ్నమయ్యే ముందు తగిన శ్రద్ధ తనిఖీలు, థర్డ్-పార్టీ కార్యకలాపాలపై కొనసాగుతున్న పర్యవేక్షణ మరియు థర్డ్-పార్టీ రిస్క్ మేనేజ్మెంట్ పద్ధతుల యొక్క ఆవర్తన అంచనాలు ఉంటాయి.
4.7 సంఘటన ప్రతిస్పందన మరియు నిర్వహణ
ఏదైనా భద్రతా సంఘటనలకు మేము సమర్థవంతంగా ప్రతిస్పందించగలమని నిర్ధారించుకోవడానికి మేము సంఘటన ప్రతిస్పందన మరియు నిర్వహణ ప్రణాళికను కలిగి ఉన్నాము. ఈ ప్రణాళికలో సంఘటనలను గుర్తించడం మరియు నివేదించడం, అలాగే ప్రతి సంఘటన యొక్క ప్రభావాన్ని అంచనా వేయడం మరియు తగిన ప్రతిస్పందన చర్యలను నిర్ణయించే ప్రక్రియలు ఉన్నాయి. ముఖ్యమైన సంఘటన జరిగినప్పుడు కీలకమైన వ్యాపార విధులు కొనసాగుతాయని నిర్ధారించుకోవడానికి మేము వ్యాపార కొనసాగింపు ప్రణాళికను కూడా కలిగి ఉన్నాము.
పార్ట్ 5. భౌతిక మరియు పర్యావరణ భద్రత
5.1 భౌతిక భద్రతా చుట్టుకొలత
భౌతిక ప్రాంగణం మరియు సున్నితమైన సమాచారాన్ని అనధికారిక యాక్సెస్ నుండి రక్షించడానికి మేము భౌతిక భద్రతా చర్యలను ఏర్పాటు చేసాము.
5.2. యాక్సెస్ నియంత్రణ
అధీకృత సిబ్బందికి మాత్రమే సున్నితమైన సమాచారానికి ప్రాప్యత ఉండేలా భౌతిక ప్రాంగణానికి యాక్సెస్ నియంత్రణ విధానాలు మరియు విధానాలను మేము ఏర్పాటు చేసాము.
5.3 సామగ్రి భద్రత
సున్నితమైన సమాచారాన్ని కలిగి ఉన్న అన్ని పరికరాలు భౌతికంగా సురక్షితంగా ఉన్నాయని మేము నిర్ధారిస్తాము మరియు ఈ పరికరానికి ప్రాప్యత అధీకృత సిబ్బందికి మాత్రమే పరిమితం చేయబడింది.
5.4 సురక్షిత పారవేయడం
పేపర్ డాక్యుమెంట్లు, ఎలక్ట్రానిక్ మీడియా మరియు హార్డ్వేర్తో సహా సున్నితమైన సమాచారాన్ని సురక్షితంగా పారవేసేందుకు మేము విధానాలను ఏర్పాటు చేసాము.
5.5. భౌతిక పర్యావరణం
ఉష్ణోగ్రత, తేమ మరియు వెలుతురుతో సహా ప్రాంగణంలోని భౌతిక వాతావరణం సున్నితమైన సమాచారం యొక్క రక్షణకు తగినదని మేము నిర్ధారిస్తాము.
5.6. విద్యుత్ సరఫరా
ప్రాంగణానికి విద్యుత్ సరఫరా నమ్మదగినదిగా మరియు విద్యుత్తు అంతరాయం లేదా సర్జ్ల నుండి రక్షించబడుతుందని మేము నిర్ధారిస్తాము.
5.7. అగ్ని రక్షణ
మేము ఫైర్ డిటెక్షన్ మరియు సప్రెషన్ సిస్టమ్ల ఇన్స్టాలేషన్ మరియు నిర్వహణతో సహా అగ్ని రక్షణ విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
5.8 నీటి నష్టం రక్షణ
వరద గుర్తింపు మరియు నివారణ వ్యవస్థల ఇన్స్టాలేషన్ మరియు నిర్వహణతో సహా నీటి నష్టం నుండి సున్నితమైన సమాచారాన్ని రక్షించడానికి మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
5.9. సామగ్రి నిర్వహణ
ట్యాంపరింగ్ లేదా అనధికారిక యాక్సెస్ సంకేతాల కోసం పరికరాల తనిఖీతో సహా పరికరాల నిర్వహణ కోసం మేము విధానాలను ఏర్పాటు చేసాము.
5.10. ఆమోదయోగ్యమైన ఉపయోగం
భౌతిక వనరులు మరియు సౌకర్యాల ఆమోదయోగ్యమైన వినియోగాన్ని వివరించే ఆమోదయోగ్యమైన వినియోగ విధానాన్ని మేము ఏర్పాటు చేసాము.
5.11 రిమోట్ యాక్సెస్
సురక్షిత కనెక్షన్లు మరియు ఎన్క్రిప్షన్తో సహా సున్నితమైన సమాచారానికి రిమోట్ యాక్సెస్ కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
5.12 పర్యవేక్షణ మరియు నిఘా
అనధికారిక యాక్సెస్ లేదా ట్యాంపరింగ్ను గుర్తించడం మరియు నిరోధించడం కోసం భౌతిక ప్రాంగణం మరియు పరికరాల పర్యవేక్షణ మరియు నిఘా కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
భాగం. 6. కమ్యూనికేషన్స్ మరియు ఆపరేషన్స్ సెక్యూరిటీ
6.1 నెట్వర్క్ సెక్యూరిటీ మేనేజ్మెంట్
మేము ఫైర్వాల్ల ఉపయోగం, చొరబాట్లను గుర్తించడం మరియు నివారణ వ్యవస్థలు మరియు సాధారణ భద్రతా ఆడిట్లతో సహా నెట్వర్క్ భద్రత నిర్వహణ కోసం విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
6.2 సమాచార బదిలీ
గుప్తీకరణ మరియు సురక్షిత ఫైల్ బదిలీ ప్రోటోకాల్ల వినియోగంతో సహా సున్నితమైన సమాచారాన్ని సురక్షిత బదిలీ కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
6.3 థర్డ్-పార్టీ కమ్యూనికేషన్స్
సురక్షిత కనెక్షన్లు మరియు ఎన్క్రిప్షన్తో సహా థర్డ్-పార్టీ సంస్థలతో సున్నితమైన సమాచారాన్ని సురక్షిత మార్పిడి కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
6.4 మీడియా నిర్వహణ
పేపర్ డాక్యుమెంట్లు, ఎలక్ట్రానిక్ మీడియా మరియు పోర్టబుల్ స్టోరేజ్ డివైజ్లతో సహా వివిధ రకాల మీడియాలలో సున్నితమైన సమాచారాన్ని నిర్వహించడానికి మేము విధానాలను ఏర్పాటు చేసాము.
6.5 సమాచార వ్యవస్థల అభివృద్ధి మరియు నిర్వహణ
సురక్షిత కోడింగ్ పద్ధతులు, సాధారణ సాఫ్ట్వేర్ అప్డేట్లు మరియు ప్యాచ్ మేనేజ్మెంట్తో సహా సమాచార వ్యవస్థల అభివృద్ధి మరియు నిర్వహణ కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
6.6 మాల్వేర్ మరియు వైరస్ల రక్షణ
మేము యాంటీ-వైరస్ సాఫ్ట్వేర్ మరియు సాధారణ భద్రతా అప్డేట్ల వాడకంతో సహా మాల్వేర్ మరియు వైరస్ల నుండి సమాచార వ్యవస్థలను రక్షించడానికి విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
6.7 బ్యాకప్ మరియు పునరుద్ధరణ
డేటా నష్టం లేదా అవినీతిని నిరోధించడానికి సున్నితమైన సమాచారం యొక్క బ్యాకప్ మరియు పునరుద్ధరణ కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
6.8. ఈవెంట్ మేనేజ్మెంట్
భద్రతా సంఘటనలు మరియు ఈవెంట్లను గుర్తించడం, దర్యాప్తు చేయడం మరియు పరిష్కరించడం కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
6.9 దుర్బలత్వ నిర్వహణ
సాధారణ దుర్బలత్వ అంచనాలు మరియు ప్యాచ్ నిర్వహణతో సహా సమాచార వ్యవస్థ దుర్బలత్వాల నిర్వహణ కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
6.10. యాక్సెస్ నియంత్రణ
మేము యాక్సెస్ నియంత్రణలు, వినియోగదారు ప్రమాణీకరణ మరియు సాధారణ యాక్సెస్ సమీక్షల వినియోగంతో సహా సమాచార సిస్టమ్లకు వినియోగదారు యాక్సెస్ నిర్వహణ కోసం విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
6.11 పర్యవేక్షణ మరియు లాగింగ్
మేము ఆడిట్ ట్రయల్స్ మరియు సెక్యూరిటీ ఇన్సిడెంట్ లాగింగ్తో సహా సమాచార వ్యవస్థ కార్యకలాపాల పర్యవేక్షణ మరియు లాగింగ్ కోసం విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
పార్ట్ 7. సమాచార వ్యవస్థల సేకరణ, అభివృద్ధి మరియు నిర్వహణ
7.1. అవసరాలు
మేము వ్యాపార అవసరాలు, చట్టపరమైన మరియు నియంత్రణ అవసరాలు మరియు భద్రతా అవసరాలతో సహా సమాచార సిస్టమ్ అవసరాల గుర్తింపు కోసం విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.2 సరఫరాదారు సంబంధాలు
మేము సరఫరాదారుల భద్రతా పద్ధతుల మూల్యాంకనంతో సహా సమాచార వ్యవస్థలు మరియు సేవల యొక్క మూడవ-పక్షం సరఫరాదారులతో సంబంధాల నిర్వహణ కోసం విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.3 సిస్టమ్ అభివృద్ధి
సురక్షిత కోడింగ్ పద్ధతులు, సాధారణ పరీక్ష మరియు నాణ్యత హామీని ఉపయోగించడంతో సహా సమాచార వ్యవస్థల సురక్షిత అభివృద్ధి కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.4 సిస్టమ్ టెస్టింగ్
కార్యాచరణ పరీక్ష, పనితీరు పరీక్ష మరియు భద్రతా పరీక్షలతో సహా సమాచార వ్యవస్థల పరీక్ష కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.5 సిస్టమ్ అంగీకారం
మేము పరీక్ష ఫలితాలు, భద్రతా అంచనాలు మరియు వినియోగదారు అంగీకార పరీక్షల ఆమోదంతో సహా సమాచార వ్యవస్థల ఆమోదం కోసం విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.6. సిస్టమ్ నిర్వహణ
మేము సాధారణ నవీకరణలు, భద్రతా ప్యాచ్లు మరియు సిస్టమ్ బ్యాకప్లతో సహా సమాచార సిస్టమ్ల నిర్వహణ కోసం విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.7 సిస్టమ్ రిటైర్మెంట్
హార్డ్వేర్ మరియు డేటా యొక్క సురక్షితమైన పారవేయడంతో సహా సమాచార వ్యవస్థల పదవీ విరమణ కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.8. డేటా నిలుపుదల
సున్నితమైన డేటాను సురక్షిత నిల్వ మరియు పారవేయడంతో సహా చట్టపరమైన మరియు నియంత్రణ అవసరాలకు అనుగుణంగా డేటాను నిలుపుకోవడం కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.9 సమాచార వ్యవస్థల కోసం భద్రతా అవసరాలు
యాక్సెస్ నియంత్రణలు, ఎన్క్రిప్షన్ మరియు డేటా రక్షణతో సహా సమాచార సిస్టమ్ల కోసం భద్రతా అవసరాల గుర్తింపు మరియు అమలు కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.10 సురక్షిత అభివృద్ధి పర్యావరణాలు
సురక్షిత అభివృద్ధి పద్ధతులు, యాక్సెస్ నియంత్రణలు మరియు సురక్షిత నెట్వర్క్ కాన్ఫిగరేషన్ల వినియోగంతో సహా సమాచార వ్యవస్థల కోసం సురక్షిత అభివృద్ధి వాతావరణాల కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.11 టెస్టింగ్ పర్యావరణాల రక్షణ
సురక్షిత కాన్ఫిగరేషన్లు, యాక్సెస్ నియంత్రణలు మరియు సాధారణ భద్రతా పరీక్షల వినియోగంతో సహా సమాచార వ్యవస్థల కోసం పరీక్షా వాతావరణాల రక్షణ కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.12 సురక్షిత సిస్టమ్ ఇంజనీరింగ్ సూత్రాలు
మేము భద్రతా నిర్మాణాలు, ముప్పు మోడలింగ్ మరియు సురక్షిత కోడింగ్ పద్ధతులను ఉపయోగించడంతో సహా సమాచార వ్యవస్థల కోసం సురక్షిత సిస్టమ్ ఇంజనీరింగ్ సూత్రాల అమలు కోసం విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
7.13 సురక్షిత కోడింగ్ మార్గదర్శకాలు
కోడింగ్ ప్రమాణాలు, కోడ్ సమీక్షలు మరియు స్వయంచాలక పరీక్షల వినియోగంతో సహా సమాచార వ్యవస్థల కోసం సురక్షిత కోడింగ్ మార్గదర్శకాల అమలు కోసం మేము విధానాలు మరియు విధానాలను ఏర్పాటు చేసాము.
పార్ట్ 8. హార్డ్వేర్ సముపార్జన
8.1 ప్రమాణాలకు కట్టుబడి ఉండటం
మా భద్రతా అవసరాలకు అనుగుణంగా హార్డ్వేర్ ఆస్తులు సేకరించబడుతున్నాయని నిర్ధారించుకోవడానికి మేము సమాచార భద్రతా నిర్వహణ వ్యవస్థ (ISMS) కోసం ISO 27001 ప్రమాణానికి కట్టుబడి ఉంటాము.
8.2. రిస్క్ అసెస్మెంట్
సంభావ్య భద్రతా ప్రమాదాలను గుర్తించడానికి మరియు ఎంచుకున్న హార్డ్వేర్ భద్రతా అవసరాలకు అనుగుణంగా ఉండేలా చూసుకోవడానికి మేము హార్డ్వేర్ ఆస్తులను సేకరించే ముందు ప్రమాద అంచనాను నిర్వహిస్తాము.
8.3 విక్రేతల ఎంపిక
సురక్షిత ఉత్పత్తులను అందించడంలో నిరూపితమైన ట్రాక్ రికార్డ్ ఉన్న విశ్వసనీయ విక్రేతల నుండి మాత్రమే మేము హార్డ్వేర్ ఆస్తులను సేకరిస్తాము. మేము విక్రేత యొక్క భద్రతా విధానాలు మరియు అభ్యాసాలను సమీక్షిస్తాము మరియు వారి ఉత్పత్తులు మా భద్రతా అవసరాలకు అనుగుణంగా ఉంటాయని హామీని అందించవలసి ఉంటుంది.
8.4 సురక్షిత రవాణా
రవాణా సమయంలో ట్యాంపరింగ్, నష్టం లేదా దొంగతనం నిరోధించడానికి హార్డ్వేర్ ఆస్తులు మా ప్రాంగణానికి సురక్షితంగా రవాణా చేయబడతాయని మేము నిర్ధారిస్తాము.
8.5 ప్రామాణికత ధృవీకరణ
హార్డ్వేర్ ఆస్తులు నకిలీవి కావు లేదా తారుమారు కాలేదని నిర్ధారించుకోవడానికి డెలివరీ తర్వాత వాటి ప్రామాణికతను మేము ధృవీకరిస్తాము.
8.6 భౌతిక మరియు పర్యావరణ నియంత్రణలు
అనధికార ప్రాప్యత, దొంగతనం లేదా నష్టం నుండి హార్డ్వేర్ ఆస్తులను రక్షించడానికి మేము తగిన భౌతిక మరియు పర్యావరణ నియంత్రణలను అమలు చేస్తాము.
8.7. హార్డ్వేర్ సంస్థాపన
అన్ని హార్డ్వేర్ ఆస్తులు ఏర్పాటు చేయబడిన భద్రతా ప్రమాణాలు మరియు మార్గదర్శకాలకు అనుగుణంగా కాన్ఫిగర్ చేయబడి, ఇన్స్టాల్ చేయబడతాయని మేము నిర్ధారిస్తాము.
8.8 హార్డ్వేర్ సమీక్షలు
హార్డ్వేర్ ఆస్తులు మా భద్రతా అవసరాలకు అనుగుణంగా ఉన్నాయని మరియు తాజా భద్రతా ప్యాచ్లు మరియు అప్డేట్లతో తాజాగా ఉన్నాయని నిర్ధారించుకోవడానికి మేము వాటిపై కాలానుగుణ సమీక్షలను నిర్వహిస్తాము.
8.9 హార్డ్వేర్ పారవేయడం
సున్నితమైన సమాచారానికి అనధికారిక యాక్సెస్ను నిరోధించడానికి మేము హార్డ్వేర్ ఆస్తులను సురక్షితమైన పద్ధతిలో పారవేస్తాము.
పార్ట్ 9. మాల్వేర్ మరియు వైరస్ల రక్షణ
9.1 సాఫ్ట్వేర్ నవీకరణ విధానం
సర్వర్లు, వర్క్స్టేషన్లు, ల్యాప్టాప్లు మరియు మొబైల్ పరికరాలతో సహా యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ ఉపయోగించే అన్ని సమాచార సిస్టమ్లపై మేము తాజా యాంటీ-వైరస్ మరియు మాల్వేర్ రక్షణ సాఫ్ట్వేర్ను నిర్వహిస్తాము. యాంటీ-వైరస్ మరియు మాల్వేర్ ప్రొటెక్షన్ సాఫ్ట్వేర్ దాని వైరస్ డెఫినిషన్ ఫైల్లు మరియు సాఫ్ట్వేర్ వెర్షన్లను రోజూ స్వయంచాలకంగా అప్డేట్ చేసేలా కాన్ఫిగర్ చేయబడిందని మరియు ఈ ప్రక్రియ క్రమం తప్పకుండా పరీక్షించబడుతుందని మేము నిర్ధారిస్తాము.
9.2 యాంటీ-వైరస్ మరియు మాల్వేర్ స్కానింగ్
మేము ఏవైనా వైరస్లు లేదా మాల్వేర్లను గుర్తించి, తీసివేయడానికి సర్వర్లు, వర్క్స్టేషన్లు, ల్యాప్టాప్లు మరియు మొబైల్ పరికరాలతో సహా అన్ని సమాచార సిస్టమ్లను క్రమం తప్పకుండా స్కాన్ చేస్తాము.
9.3 నో-డిసేబుల్ మరియు నో-ఆల్టరింగ్ పాలసీ
ఏదైనా సమాచార సిస్టమ్లో యాంటీ-వైరస్ మరియు మాల్వేర్ రక్షణ సాఫ్ట్వేర్ను నిలిపివేయడం లేదా మార్చడం నుండి వినియోగదారులను నిషేధించే విధానాలను మేము అమలు చేస్తాము.
9.4. పర్యవేక్షణ
మేము వైరస్ లేదా మాల్వేర్ ఇన్ఫెక్షన్ల యొక్క ఏవైనా సంఘటనలను గుర్తించడానికి మరియు అటువంటి సంఘటనలకు సకాలంలో ప్రతిస్పందించడానికి మా యాంటీ-వైరస్ మరియు మాల్వేర్ రక్షణ సాఫ్ట్వేర్ హెచ్చరికలు మరియు లాగ్లను పర్యవేక్షిస్తాము.
9.5 రికార్డుల నిర్వహణ
మేము ఆడిటింగ్ ప్రయోజనాల కోసం యాంటీ-వైరస్ మరియు మాల్వేర్ ప్రొటెక్షన్ సాఫ్ట్వేర్ కాన్ఫిగరేషన్, అప్డేట్లు మరియు స్కాన్ల రికార్డులను అలాగే వైరస్ లేదా మాల్వేర్ ఇన్ఫెక్షన్ల యొక్క ఏవైనా సంఘటనలను నిర్వహిస్తాము.
9.6 సాఫ్ట్వేర్ సమీక్షలు
మా యాంటీ-వైరస్ మరియు మాల్వేర్ ప్రొటెక్షన్ సాఫ్ట్వేర్ ప్రస్తుత పరిశ్రమ ప్రమాణాలకు అనుగుణంగా ఉందని మరియు మా అవసరాలకు సరిపోతుందని నిర్ధారించుకోవడానికి మేము వాటిపై ఎప్పటికప్పుడు సమీక్షలు నిర్వహిస్తాము.
9.7 శిక్షణ మరియు అవగాహన
వైరస్ మరియు మాల్వేర్ రక్షణ యొక్క ప్రాముఖ్యత గురించి మరియు ఏవైనా అనుమానాస్పద కార్యకలాపాలు లేదా సంఘటనలను గుర్తించి మరియు నివేదించడం గురించి ఉద్యోగులందరికీ అవగాహన కల్పించడానికి మేము శిక్షణ మరియు అవగాహన కార్యక్రమాలను అందిస్తాము.
పార్ట్ 10. సమాచార ఆస్తి నిర్వహణ
10.1 సమాచార ఆస్తి ఇన్వెంటరీ
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ సిస్టమ్లు, నెట్వర్క్లు, సాఫ్ట్వేర్, డేటా మరియు డాక్యుమెంటేషన్ వంటి అన్ని డిజిటల్ మరియు భౌతిక సమాచార ఆస్తులను కలిగి ఉన్న సమాచార ఆస్తుల జాబితాను నిర్వహిస్తుంది. మేము సమాచార ఆస్తులను వాటి క్లిష్టత మరియు సున్నితత్వం ఆధారంగా వర్గీకరిస్తాము.
10.2 సమాచార ఆస్తి నిర్వహణ
గోప్యత, సమగ్రత మరియు లభ్యతతో సహా వాటి వర్గీకరణ ఆధారంగా సమాచార ఆస్తులను రక్షించడానికి మేము తగిన చర్యలను అమలు చేస్తాము. అన్ని సమాచార ఆస్తులు వర్తించే చట్టాలు, నిబంధనలు మరియు ఒప్పంద అవసరాలకు అనుగుణంగా నిర్వహించబడుతున్నాయని మేము నిర్ధారిస్తాము. అన్ని సమాచార ఆస్తులు సరిగ్గా నిల్వ చేయబడి, రక్షించబడుతున్నాయని మరియు ఇకపై అవసరం లేనప్పుడు పారవేసినట్లు కూడా మేము నిర్ధారిస్తాము.
10.3 సమాచార ఆస్తి యాజమాన్యం
సమాచార ఆస్తుల నిర్వహణ మరియు రక్షణ బాధ్యత కలిగిన వ్యక్తులు లేదా విభాగాలకు మేము సమాచార ఆస్తి యాజమాన్యాన్ని కేటాయిస్తాము. సమాచార ఆస్తులను రక్షించడం కోసం సమాచార ఆస్తి యజమానులు వారి బాధ్యతలు మరియు బాధ్యతలను అర్థం చేసుకున్నారని కూడా మేము నిర్ధారిస్తాము.
10.4 సమాచార ఆస్తి రక్షణ
భౌతిక నియంత్రణలు, యాక్సెస్ నియంత్రణలు, ఎన్క్రిప్షన్ మరియు బ్యాకప్ మరియు పునరుద్ధరణ ప్రక్రియలతో సహా సమాచార ఆస్తులను రక్షించడానికి మేము అనేక రకాల రక్షణ చర్యలను ఉపయోగిస్తాము. మేము అన్ని సమాచార ఆస్తులు అనధికారిక యాక్సెస్, సవరణ లేదా విధ్వంసం నుండి రక్షించబడ్డాయని కూడా నిర్ధారిస్తాము.
పార్ట్ 11. యాక్సెస్ కంట్రోల్
11.1 యాక్సెస్ నియంత్రణ విధానం
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ ఒక యాక్సెస్ కంట్రోల్ పాలసీని కలిగి ఉంది, ఇది సమాచార ఆస్తులకు ప్రాప్యతను మంజూరు చేయడం, సవరించడం మరియు రద్దు చేయడం వంటి అవసరాలను వివరిస్తుంది. యాక్సెస్ నియంత్రణ అనేది మా సమాచార భద్రతా నిర్వహణ సిస్టమ్లో కీలకమైన భాగం మరియు మా సమాచార ఆస్తులకు అధీకృత వ్యక్తులు మాత్రమే ప్రాప్యత కలిగి ఉండేలా మేము దీన్ని అమలు చేస్తాము.
11.2 యాక్సెస్ నియంత్రణ అమలు
మేము కనీస ప్రత్యేక హక్కు సూత్రం ఆధారంగా యాక్సెస్ నియంత్రణ చర్యలను అమలు చేస్తాము, అంటే వ్యక్తులు వారి ఉద్యోగ విధులను నిర్వహించడానికి అవసరమైన సమాచార ఆస్తులకు మాత్రమే ప్రాప్యత కలిగి ఉంటారు. మేము ప్రామాణీకరణ, అధికారం మరియు అకౌంటింగ్ (AAA)తో సహా అనేక రకాల యాక్సెస్ నియంత్రణ చర్యలను ఉపయోగిస్తాము. సమాచార ఆస్తులకు ప్రాప్యతను నియంత్రించడానికి మేము యాక్సెస్ నియంత్రణ జాబితాలు (ACLలు) మరియు అనుమతులను కూడా ఉపయోగిస్తాము.
11.3 పాస్వర్డ్ విధానం
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ పాస్వర్డ్ పాలసీని కలిగి ఉంది, ఇది పాస్వర్డ్లను సృష్టించడం మరియు నిర్వహించడం కోసం అవసరాలను వివరిస్తుంది. పెద్ద అక్షరాలు మరియు చిన్న అక్షరాలు, సంఖ్యలు మరియు ప్రత్యేక అక్షరాల కలయికతో కనీసం 8 అక్షరాల పొడవు ఉండే బలమైన పాస్వర్డ్లు మాకు అవసరం. మాకు కాలానుగుణ పాస్వర్డ్ మార్పులు అవసరం మరియు మునుపటి పాస్వర్డ్ల పునర్వినియోగాన్ని నిషేధిస్తాము.
11.4. వాడుకరి నిర్వహణ
మేము వినియోగదారు ఖాతాలను సృష్టించడం, సవరించడం మరియు తొలగించడం వంటి వినియోగదారు నిర్వహణ ప్రక్రియను కలిగి ఉన్నాము. వినియోగదారు ఖాతాలు కనీస హక్కు సూత్రం ఆధారంగా సృష్టించబడతాయి మరియు వ్యక్తిగత ఉద్యోగ విధులను నిర్వహించడానికి అవసరమైన సమాచార ఆస్తులకు మాత్రమే ప్రాప్యత మంజూరు చేయబడుతుంది. మేము వినియోగదారు ఖాతాలను క్రమం తప్పకుండా సమీక్షిస్తాము మరియు ఇకపై అవసరం లేని ఖాతాలను తీసివేస్తాము.
పార్ట్ 12. ఇన్ఫర్మేషన్ సెక్యూరిటీ ఇన్సిడెంట్ మేనేజ్మెంట్
12.1 సంఘటన నిర్వహణ విధానం
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ భద్రతా సంఘటనలను గుర్తించడం, నివేదించడం, అంచనా వేయడం మరియు ప్రతిస్పందించడం వంటి అవసరాలను వివరించే సంఘటన నిర్వహణ విధానాన్ని కలిగి ఉంది. సమాచార ఆస్తులు లేదా సిస్టమ్ల గోప్యత, సమగ్రత లేదా లభ్యతను రాజీపడే ఏదైనా సంఘటనగా మేము భద్రతా సంఘటనలను నిర్వచించాము.
12.2 సంఘటన గుర్తింపు మరియు నివేదించడం
మేము భద్రతా సంఘటనలను వెంటనే గుర్తించి మరియు నివేదించడానికి చర్యలను అమలు చేస్తాము. చొరబాటు గుర్తింపు సిస్టమ్లు (IDS), యాంటీవైరస్ సాఫ్ట్వేర్ మరియు వినియోగదారు రిపోర్టింగ్తో సహా భద్రతా సంఘటనలను గుర్తించడానికి మేము వివిధ పద్ధతులను ఉపయోగిస్తాము. భద్రతా సంఘటనలను నివేదించడానికి మరియు అన్ని అనుమానిత సంఘటనలను నివేదించడానికి ప్రోత్సహిస్తున్న విధానాల గురించి ఉద్యోగులందరికీ తెలుసునని కూడా మేము నిర్ధారిస్తాము.
12.3 సంఘటన అంచనా మరియు ప్రతిస్పందన
భద్రతా సంఘటనల తీవ్రత మరియు ప్రభావం ఆధారంగా వాటిని అంచనా వేయడానికి మరియు ప్రతిస్పందించడానికి మాకు ఒక ప్రక్రియ ఉంది. సమాచార ఆస్తులు లేదా సిస్టమ్లపై వాటి సంభావ్య ప్రభావం ఆధారంగా మేము సంఘటనలకు ప్రాధాన్యతనిస్తాము మరియు వాటికి ప్రతిస్పందించడానికి తగిన వనరులను కేటాయిస్తాము. భద్రతా సంఘటనలను గుర్తించడం, కలిగి ఉండటం, విశ్లేషించడం, నిర్మూలించడం మరియు వాటి నుండి కోలుకోవడం, అలాగే సంబంధిత పార్టీలకు తెలియజేయడం మరియు సంఘటన తర్వాత సమీక్షలను నిర్వహించడం వంటి విధానాలను కలిగి ఉన్న ప్రతిస్పందన ప్రణాళిక కూడా మా వద్ద ఉంది. భద్రతా సంఘటనలకు. విధానాలు క్రమం తప్పకుండా సమీక్షించబడతాయి మరియు వాటి ప్రభావం మరియు ఔచిత్యాన్ని నిర్ధారించడానికి నవీకరించబడతాయి.
12.4 సంఘటన ప్రతిస్పందన బృందం
భద్రతాపరమైన సంఘటనలపై ప్రతిస్పందించడానికి మా వద్ద ఒక సంఘటన ప్రతిస్పందన బృందం (IRT) ఉంది. IRT వివిధ యూనిట్ల నుండి ప్రతినిధులతో కూడి ఉంటుంది మరియు ఇన్ఫర్మేషన్ సెక్యూరిటీ ఆఫీసర్ (ISO) నేతృత్వంలో ఉంటుంది. సంఘటనల తీవ్రతను అంచనా వేయడం, సంఘటనను కలిగి ఉండటం మరియు తగిన ప్రతిస్పందన విధానాలను ప్రారంభించడం IRT బాధ్యత.
12.5 సంఘటన రిపోర్టింగ్ మరియు సమీక్ష
వర్తించే చట్టాలు మరియు నిబంధనల ప్రకారం క్లయింట్లు, నియంత్రణ అధికారులు మరియు చట్టాన్ని అమలు చేసే ఏజెన్సీలతో సహా సంబంధిత పార్టీలకు భద్రతా సంఘటనలను నివేదించడానికి మేము విధానాలను ఏర్పాటు చేసాము. మేము సంఘటన ప్రతిస్పందన ప్రక్రియ అంతటా ప్రభావిత పక్షాలతో కమ్యూనికేషన్ను నిర్వహిస్తాము, సంఘటన యొక్క స్థితి మరియు దాని ప్రభావాన్ని తగ్గించడానికి తీసుకున్న ఏవైనా చర్యలపై సకాలంలో నవీకరణలను అందిస్తాము. మూల కారణాన్ని గుర్తించడానికి మరియు భవిష్యత్తులో ఇలాంటి సంఘటనలు జరగకుండా నిరోధించడానికి మేము అన్ని భద్రతా సంఘటనలను కూడా సమీక్షిస్తాము.
పార్ట్ 13. వ్యాపార కొనసాగింపు నిర్వహణ మరియు విపత్తు రికవరీ
13.1 వ్యాపార కొనసాగింపు ప్రణాళిక
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ ఒక లాభాపేక్ష లేని సంస్థ అయినప్పటికీ, అది ఒక వ్యాపార కొనసాగింపు ప్రణాళిక (BCP)ని కలిగి ఉంది, ఇది విఘాతం కలిగించే సంఘటన జరిగినప్పుడు దాని కార్యకలాపాల కొనసాగింపును నిర్ధారించే విధానాలను వివరిస్తుంది. BCP అన్ని క్లిష్టమైన ఆపరేటింగ్ ప్రక్రియలను కవర్ చేస్తుంది మరియు అంతరాయం కలిగించే సంఘటన సమయంలో మరియు తర్వాత కార్యకలాపాలను నిర్వహించడానికి అవసరమైన వనరులను గుర్తిస్తుంది. ఇది అంతరాయం లేదా విపత్తు సమయంలో వ్యాపార కార్యకలాపాలను నిర్వహించడం, అంతరాయాల ప్రభావాన్ని అంచనా వేయడం, నిర్దిష్ట అంతరాయం కలిగించే సంఘటన సందర్భంలో అత్యంత క్లిష్టమైన ఆపరేటింగ్ ప్రక్రియలను గుర్తించడం మరియు ప్రతిస్పందన మరియు పునరుద్ధరణ విధానాలను అభివృద్ధి చేయడం వంటి విధానాలను కూడా వివరిస్తుంది.
13.2 డిజాస్టర్ రికవరీ ప్లానింగ్
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ ఒక డిజాస్టర్ రికవరీ ప్లాన్ (DRP)ని కలిగి ఉంది, ఇది అంతరాయం లేదా విపత్తు సంభవించినప్పుడు మా సమాచార వ్యవస్థలను పునరుద్ధరించే విధానాలను వివరిస్తుంది. DRP డేటా బ్యాకప్, డేటా పునరుద్ధరణ మరియు సిస్టమ్ రికవరీ కోసం విధానాలను కలిగి ఉంటుంది. DRP దాని ప్రభావాన్ని నిర్ధారించడానికి క్రమం తప్పకుండా పరీక్షించబడుతుంది మరియు నవీకరించబడుతుంది.
13.3 వ్యాపార ప్రభావ విశ్లేషణ
క్లిష్టమైన ఆపరేషన్ ప్రక్రియలు మరియు వాటిని నిర్వహించడానికి అవసరమైన వనరులను గుర్తించడానికి మేము బిజినెస్ ఇంపాక్ట్ అనాలిసిస్ (BIA)ని నిర్వహిస్తాము. BIA మా పునరుద్ధరణ ప్రయత్నాలకు ప్రాధాన్యత ఇవ్వడానికి మరియు తదనుగుణంగా వనరులను కేటాయించడంలో మాకు సహాయపడుతుంది.
13.4 వ్యాపార కొనసాగింపు వ్యూహం
BIA ఫలితాల ఆధారంగా, విఘాతం కలిగించే సంఘటనకు ప్రతిస్పందించే విధానాలను వివరించే వ్యాపార కొనసాగింపు వ్యూహాన్ని మేము అభివృద్ధి చేస్తాము. వ్యూహంలో BCPని సక్రియం చేయడం, క్లిష్టమైన ఆపరేషన్ ప్రక్రియలను పునరుద్ధరించడం మరియు సంబంధిత వాటాదారులతో కమ్యూనికేట్ చేయడం వంటి విధానాలు ఉన్నాయి.
13.5 పరీక్ష మరియు నిర్వహణ
మేము మా BCP మరియు DRPలను వాటి ప్రభావం మరియు ఔచిత్యాన్ని నిర్ధారించడానికి క్రమం తప్పకుండా పరీక్షిస్తాము మరియు నిర్వహిస్తాము. మేము BCP/DRPని ధృవీకరించడానికి మరియు మెరుగుదల కోసం ప్రాంతాలను గుర్తించడానికి సాధారణ పరీక్షలను నిర్వహిస్తాము. మేము మా కార్యకలాపాలలో లేదా బెదిరింపుల ల్యాండ్స్కేప్లో మార్పులను ప్రతిబింబించేలా BCP మరియు DRPని కూడా అప్డేట్ చేస్తాము. టెస్టింగ్లో టేబుల్టాప్ వ్యాయామాలు, అనుకరణలు మరియు విధానాల ప్రత్యక్ష పరీక్ష ఉంటాయి. మేము పరీక్ష ఫలితాలు మరియు నేర్చుకున్న పాఠాల ఆధారంగా మా ప్లాన్లను కూడా సమీక్షిస్తాము మరియు అప్డేట్ చేస్తాము.
13.6 ప్రత్యామ్నాయ ప్రాసెసింగ్ సైట్లు
మేము అంతరాయం లేదా విపత్తు సంభవించినప్పుడు వ్యాపార కార్యకలాపాలను కొనసాగించడానికి ఉపయోగించే ప్రత్యామ్నాయ ఆన్లైన్ ప్రాసెసింగ్ సైట్లను నిర్వహిస్తాము. ప్రత్యామ్నాయ ప్రాసెసింగ్ సైట్లు అవసరమైన ఇన్ఫ్రాస్ట్రక్చర్లు మరియు సిస్టమ్లతో అమర్చబడి ఉంటాయి మరియు క్లిష్టమైన వ్యాపార ప్రక్రియలకు మద్దతు ఇవ్వడానికి ఉపయోగించవచ్చు.
పార్ట్ 14. వర్తింపు మరియు ఆడిట్
14.1. చట్టాలు మరియు నిబంధనలతో వర్తింపు
డేటా రక్షణ చట్టాలు, పరిశ్రమ ప్రమాణాలు మరియు ఒప్పంద బాధ్యతలతో సహా సమాచార భద్రత మరియు గోప్యతకు సంబంధించిన అన్ని వర్తించే చట్టాలు మరియు నిబంధనలకు అనుగుణంగా యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ కట్టుబడి ఉంది. మేము అన్ని సంబంధిత అవసరాలు మరియు ప్రమాణాలకు అనుగుణంగా ఉండేలా మా విధానాలు, విధానాలు మరియు నియంత్రణలను క్రమం తప్పకుండా సమీక్షిస్తాము మరియు నవీకరిస్తాము. సమాచార భద్రతా సందర్భంలో మేము అనుసరించే ప్రధాన ప్రమాణాలు మరియు ఫ్రేమ్వర్క్లు:
- ISO/IEC 27001 ప్రమాణం ఇన్ఫర్మేషన్ సెక్యూరిటీ మేనేజ్మెంట్ సిస్టమ్ (ISMS) అమలు మరియు నిర్వహణ కోసం మార్గదర్శకాలను అందిస్తుంది, ఇందులో దుర్బలత్వ నిర్వహణను కీలక అంశంగా కలిగి ఉంటుంది. ఇది దుర్బలత్వ నిర్వహణతో సహా మా సమాచార భద్రతా నిర్వహణ వ్యవస్థ (ISMS)ని అమలు చేయడానికి మరియు నిర్వహించడానికి సూచన ఫ్రేమ్వర్క్ను అందిస్తుంది. ఈ ప్రామాణిక నిబంధనలకు అనుగుణంగా మేము దుర్బలత్వాలతో సహా సమాచార భద్రతా ప్రమాదాలను గుర్తిస్తాము, అంచనా వేస్తాము మరియు నిర్వహిస్తాము.
- US నేషనల్ ఇన్స్టిట్యూట్ ఆఫ్ స్టాండర్డ్స్ అండ్ టెక్నాలజీ (NIST) సైబర్ సెక్యూరిటీ ఫ్రేమ్వర్క్ దుర్బలత్వ నిర్వహణతో సహా సైబర్ సెక్యూరిటీ రిస్క్లను గుర్తించడం, అంచనా వేయడం మరియు నిర్వహించడం కోసం మార్గదర్శకాలను అందిస్తుంది.
- సైబర్ సెక్యూరిటీ రిస్క్ మేనేజ్మెంట్ను మెరుగుపరచడం కోసం నేషనల్ ఇన్స్టిట్యూట్ ఆఫ్ స్టాండర్డ్స్ అండ్ టెక్నాలజీ (NIST) సైబర్సెక్యూరిటీ ఫ్రేమ్వర్క్, మా సైబర్ సెక్యూరిటీ రిస్క్లను నిర్వహించడానికి మేము కట్టుబడి ఉండే వల్నరబిలిటీ మేనేజ్మెంట్తో సహా కీలకమైన విధులను కలిగి ఉంది.
- SANS క్రిటికల్ సెక్యూరిటీ కంట్రోల్స్ సైబర్ సెక్యూరిటీని మెరుగుపరచడానికి 20 భద్రతా నియంత్రణల సమితిని కలిగి ఉంది, దుర్బలత్వ నిర్వహణతో సహా అనేక ప్రాంతాలను కవర్ చేస్తుంది, దుర్బలత్వ స్కానింగ్, ప్యాచ్ మేనేజ్మెంట్ మరియు దుర్బలత్వ నిర్వహణ యొక్క ఇతర అంశాలపై నిర్దిష్ట మార్గదర్శకత్వం అందిస్తుంది.
- చెల్లింపు కార్డ్ ఇండస్ట్రీ డేటా సెక్యూరిటీ స్టాండర్డ్ (PCI DSS), ఈ సందర్భంలో దుర్బలత్వ నిర్వహణకు సంబంధించి క్రెడిట్ కార్డ్ సమాచారాన్ని నిర్వహించడం అవసరం.
- మా సమాచార వ్యవస్థల యొక్క సురక్షిత కాన్ఫిగరేషన్లను నిర్ధారించడానికి కీ నియంత్రణలలో ఒకటిగా వల్నరబిలిటీ మేనేజ్మెంట్తో సహా సెంటర్ ఫర్ ఇంటర్నెట్ సెక్యూరిటీ కంట్రోల్స్ (CIS).
- ఓపెన్ వెబ్ అప్లికేషన్ సెక్యూరిటీ ప్రాజెక్ట్ (OWASP), ఇంజెక్షన్ దాడులు, బ్రోకెన్ అథెంటికేషన్ మరియు సెషన్ మేనేజ్మెంట్, క్రాస్-సైట్ స్క్రిప్టింగ్ (XSS) వంటి దుర్బలత్వ అంచనాలతో సహా అత్యంత క్లిష్టమైన వెబ్ అప్లికేషన్ సెక్యూరిటీ రిస్క్ల యొక్క టాప్ 10 జాబితాతో పాటు మేము ఉపయోగిస్తాము. మా దుర్బలత్వ నిర్వహణ ప్రయత్నాలకు ప్రాధాన్యత ఇవ్వడానికి మరియు మా వెబ్ సిస్టమ్లకు సంబంధించి అత్యంత క్లిష్టమైన నష్టాలపై దృష్టి పెట్టడానికి OWASP టాప్ 10.
14.2 అంతర్గత తనిఖీ
మా ఇన్ఫర్మేషన్ సెక్యూరిటీ మేనేజ్మెంట్ సిస్టమ్ (ISMS) ప్రభావాన్ని అంచనా వేయడానికి మరియు మా విధానాలు, విధానాలు మరియు నియంత్రణలు అనుసరించబడుతున్నాయని నిర్ధారించుకోవడానికి మేము క్రమం తప్పకుండా అంతర్గత తనిఖీలను నిర్వహిస్తాము. అంతర్గత ఆడిట్ ప్రక్రియలో నాన్-కాన్ఫార్మెన్స్ల గుర్తింపు, దిద్దుబాటు చర్యల అభివృద్ధి మరియు నివారణ ప్రయత్నాల ట్రాకింగ్ ఉంటాయి.
14.3 బాహ్య ఆడిట్
వర్తించే చట్టాలు, నిబంధనలు మరియు పరిశ్రమ ప్రమాణాలతో మా సమ్మతిని ధృవీకరించడానికి మేము కాలానుగుణంగా బాహ్య ఆడిటర్లతో నిమగ్నమై ఉంటాము. మా సమ్మతిని ధృవీకరించడానికి అవసరమైన మా సౌకర్యాలు, సిస్టమ్లు మరియు డాక్యుమెంటేషన్కు యాక్సెస్ను మేము ఆడిటర్లకు అందిస్తాము. ఆడిట్ ప్రక్రియలో గుర్తించబడిన ఏవైనా ఫలితాలు లేదా సిఫార్సులను పరిష్కరించడానికి మేము బాహ్య ఆడిటర్లతో కూడా పని చేస్తాము.
14.4 వర్తింపు పర్యవేక్షణ
మేము వర్తించే చట్టాలు, నిబంధనలు మరియు పరిశ్రమ ప్రమాణాలతో మా సమ్మతిని నిరంతరం పర్యవేక్షిస్తాము. క్రమానుగతంగా అంచనాలు, ఆడిట్లు మరియు థర్డ్-పార్టీ ప్రొవైడర్ల సమీక్షలతో సహా సమ్మతిని పర్యవేక్షించడానికి మేము వివిధ పద్ధతులను ఉపయోగిస్తాము. మేము మా విధానాలు, విధానాలు మరియు నియంత్రణలను అన్ని సంబంధిత అవసరాలకు అనుగుణంగా ఉండేలా క్రమం తప్పకుండా సమీక్షిస్తాము మరియు అప్డేట్ చేస్తాము.
పార్ట్ 15. మూడవ పక్షం నిర్వహణ
15.1 మూడవ పక్షం నిర్వహణ విధానం
యూరోపియన్ IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ మా సమాచార ఆస్తులు లేదా సిస్టమ్లకు యాక్సెస్ను కలిగి ఉన్న థర్డ్-పార్టీ ప్రొవైడర్లను ఎంచుకోవడం, అంచనా వేయడం మరియు పర్యవేక్షించడం వంటి అవసరాలను వివరించే థర్డ్-పార్టీ మేనేజ్మెంట్ పాలసీని కలిగి ఉంది. క్లౌడ్ సర్వీస్ ప్రొవైడర్లు, వెండర్లు మరియు కాంట్రాక్టర్లతో సహా అన్ని థర్డ్-పార్టీ ప్రొవైడర్లకు ఈ విధానం వర్తిస్తుంది.
15.2 మూడవ పక్షం ఎంపిక మరియు మూల్యాంకనం
మేము మా సమాచార ఆస్తులు లేదా సిస్టమ్లను రక్షించడానికి తగిన భద్రతా నియంత్రణలను కలిగి ఉండేలా థర్డ్-పార్టీ ప్రొవైడర్లతో నిమగ్నమయ్యే ముందు తగిన జాగ్రత్తలు తీసుకుంటాము. మేము సమాచార భద్రత మరియు గోప్యతకు సంబంధించిన వర్తించే చట్టాలు మరియు నిబంధనలతో థర్డ్-పార్టీ ప్రొవైడర్ల సమ్మతిని కూడా అంచనా వేస్తాము.
15.3 మూడవ పక్షం పర్యవేక్షణ
సమాచార భద్రత మరియు గోప్యత కోసం మా అవసరాలను వారు కొనసాగిస్తున్నారని నిర్ధారించుకోవడానికి మేము థర్డ్-పార్టీ ప్రొవైడర్లను నిరంతరం పర్యవేక్షిస్తాము. మేము థర్డ్-పార్టీ ప్రొవైడర్లను పర్యవేక్షించడానికి వివిధ పద్ధతులను ఉపయోగిస్తాము, వీటిలో ఆవర్తన అంచనాలు, ఆడిట్లు మరియు భద్రతా సంఘటన నివేదికల సమీక్షలు ఉంటాయి.
15.4 ఒప్పంద అవసరాలు
మేము థర్డ్-పార్టీ ప్రొవైడర్లతో అన్ని ఒప్పందాలలో సమాచార భద్రత మరియు గోప్యతకు సంబంధించిన ఒప్పంద అవసరాలను చేర్చుతాము. ఈ అవసరాలు డేటా రక్షణ, భద్రతా నియంత్రణలు, సంఘటన నిర్వహణ మరియు సమ్మతి పర్యవేక్షణ కోసం నిబంధనలను కలిగి ఉంటాయి. భద్రతాపరమైన సంఘటన లేదా సమ్మతి లేని సందర్భంలో ఒప్పందాలను రద్దు చేయడానికి మేము నిబంధనలను కూడా చేర్చుతాము.
పార్ట్ 16. ధృవీకరణ ప్రక్రియలలో సమాచార భద్రత
16.1 ధృవీకరణ ప్రక్రియల భద్రత
ధృవీకరణ కోరుకునే వ్యక్తుల వ్యక్తిగత డేటాతో సహా మా ధృవీకరణ ప్రక్రియలకు సంబంధించిన మొత్తం సమాచారం యొక్క భద్రతను నిర్ధారించడానికి మేము తగిన మరియు దైహిక చర్యలు తీసుకుంటాము. ఇది అన్ని ధృవీకరణ సంబంధిత సమాచారం యొక్క యాక్సెస్, నిల్వ మరియు ప్రసారం కోసం నియంత్రణలను కలిగి ఉంటుంది. ఈ చర్యలను అమలు చేయడం ద్వారా, ధృవీకరణ ప్రక్రియలు అత్యున్నత స్థాయి భద్రత మరియు సమగ్రతతో నిర్వహించబడుతున్నాయని మరియు ధృవీకరణను కోరుకునే వ్యక్తుల వ్యక్తిగత డేటా సంబంధిత నిబంధనలు మరియు ప్రమాణాలకు అనుగుణంగా రక్షించబడాలని మేము లక్ష్యంగా పెట్టుకున్నాము.
16.2 ప్రమాణీకరణ మరియు ఆథరైజేషన్
ధృవీకరణ సమాచారానికి అధీకృత సిబ్బంది మాత్రమే యాక్సెస్ కలిగి ఉండేలా మేము ప్రామాణీకరణ మరియు అధికార నియంత్రణలను ఉపయోగిస్తాము. సిబ్బంది పాత్రలు మరియు బాధ్యతలలో మార్పుల ఆధారంగా యాక్సెస్ నియంత్రణలు క్రమం తప్పకుండా సమీక్షించబడతాయి మరియు నవీకరించబడతాయి.
16.3. సమాచార రక్షణ
డేటా యొక్క గోప్యత, సమగ్రత మరియు లభ్యతను నిర్ధారించడానికి తగిన సాంకేతిక మరియు సంస్థాగత చర్యలను అమలు చేయడం ద్వారా మేము ధృవీకరణ ప్రక్రియ అంతటా వ్యక్తిగత డేటాను రక్షిస్తాము. ఇందులో గుప్తీకరణ, యాక్సెస్ నియంత్రణలు మరియు సాధారణ బ్యాకప్లు వంటి చర్యలు ఉంటాయి.
16.4 పరీక్షా ప్రక్రియల భద్రత
మోసాన్ని నిరోధించడానికి, పర్యవేక్షించడానికి మరియు పరీక్ష వాతావరణాన్ని నియంత్రించడానికి తగిన చర్యలను అమలు చేయడం ద్వారా పరీక్షా ప్రక్రియల భద్రతను మేము నిర్ధారిస్తాము. మేము సురక్షిత నిల్వ విధానాల ద్వారా పరీక్షా సామగ్రి యొక్క సమగ్రత మరియు గోప్యతను కూడా నిర్వహిస్తాము.
16.5 పరీక్ష కంటెంట్ భద్రత
కంటెంట్ యొక్క అనధికారిక యాక్సెస్, మార్పు లేదా బహిర్గతం నుండి రక్షించడానికి తగిన చర్యలను అమలు చేయడం ద్వారా మేము పరీక్ష కంటెంట్ యొక్క భద్రతను నిర్ధారిస్తాము. ఇది పరీక్ష కంటెంట్ కోసం సురక్షిత నిల్వ, గుప్తీకరణ మరియు యాక్సెస్ నియంత్రణల ఉపయోగం, అలాగే పరీక్ష కంటెంట్ యొక్క అనధికారిక పంపిణీ లేదా వ్యాప్తిని నిరోధించే నియంత్రణలను కలిగి ఉంటుంది.
16.6 పరీక్ష డెలివరీ భద్రత
పరీక్షా వాతావరణానికి అనధికారిక యాక్సెస్ లేదా తారుమారుని నిరోధించడానికి తగిన చర్యలను అమలు చేయడం ద్వారా పరీక్ష డెలివరీ యొక్క భద్రతను మేము నిర్ధారిస్తాము. మోసం లేదా ఇతర భద్రతా ఉల్లంఘనలను నివారించడానికి పరీక్షా వాతావరణం మరియు నిర్దిష్ట పరీక్షా విధానాలపై పర్యవేక్షణ, ఆడిటింగ్ మరియు నియంత్రణ వంటి చర్యలు ఇందులో ఉన్నాయి.
16.7 పరీక్ష ఫలితాల భద్రత
ఫలితాలను అనధికారిక యాక్సెస్, మార్పు లేదా బహిర్గతం నుండి రక్షించడానికి తగిన చర్యలను అమలు చేయడం ద్వారా మేము పరీక్ష ఫలితాల భద్రతను నిర్ధారిస్తాము. ఇది పరీక్ష ఫలితాల కోసం సురక్షిత నిల్వ, ఎన్క్రిప్షన్ మరియు యాక్సెస్ నియంత్రణల ఉపయోగం, అలాగే పరీక్ష ఫలితాల అనధికార పంపిణీ లేదా వ్యాప్తిని నిరోధించే నియంత్రణలను కలిగి ఉంటుంది.
16.8 సర్టిఫికెట్ల జారీ భద్రత
మేము మోసం మరియు అనధికారికంగా సర్టిఫికేట్ల జారీని నిరోధించడానికి తగిన చర్యలను అమలు చేయడం ద్వారా సర్టిఫికేట్ల జారీ భద్రతను నిర్ధారిస్తాము. సర్టిఫికేట్లను స్వీకరించే వ్యక్తుల గుర్తింపును మరియు సురక్షిత నిల్వ మరియు జారీ విధానాలను ధృవీకరించడానికి ఇది నియంత్రణలను కలిగి ఉంటుంది.
16.9 ఫిర్యాదులు మరియు అప్పీలు
మేము ధృవీకరణ ప్రక్రియకు సంబంధించిన ఫిర్యాదులు మరియు అప్పీళ్లను నిర్వహించడానికి విధానాలను ఏర్పాటు చేసాము. ఈ విధానాలు ప్రక్రియ యొక్క గోప్యత మరియు నిష్పాక్షికతను నిర్ధారించడానికి చర్యలు మరియు ఫిర్యాదులు మరియు అప్పీళ్లకు సంబంధించిన సమాచార భద్రతను కలిగి ఉంటాయి.
16.10 ధృవీకరణ ప్రక్రియల నాణ్యత నిర్వహణ
మేము ధృవీకరణ ప్రక్రియల కోసం క్వాలిటీ మేనేజ్మెంట్ సిస్టమ్ (QMS)ని ఏర్పాటు చేసాము, ఇందులో ప్రక్రియల ప్రభావం, సామర్థ్యం మరియు భద్రతను నిర్ధారించే చర్యలు ఉంటాయి. QMS ప్రక్రియల యొక్క సాధారణ ఆడిట్లు మరియు సమీక్షలు మరియు వాటి భద్రతా నియంత్రణలను కలిగి ఉంటుంది.
16.11 ధృవీకరణ ప్రక్రియల భద్రత యొక్క నిరంతర మెరుగుదల
మా ధృవీకరణ ప్రక్రియలు మరియు వాటి భద్రతా నియంత్రణల నిరంతర మెరుగుదలకు మేము కట్టుబడి ఉన్నాము. ఇది సమాచార భద్రత నిర్వహణ కోసం ISO 27001 ప్రమాణానికి అనుగుణంగా వ్యాపార వాతావరణంలో మార్పులు, నియంత్రణ అవసరాలు మరియు సమాచార భద్రత నిర్వహణలో ఉత్తమ అభ్యాసాల ఆధారంగా ధృవీకరణ సంబంధిత విధానాలు మరియు విధానాల భద్రత యొక్క సాధారణ సమీక్షలు మరియు నవీకరణలను కలిగి ఉంటుంది, అలాగే ISO 17024 సర్టిఫికేషన్ బాడీస్ ఆపరేటింగ్ స్టాండర్డ్.
పార్ట్ 17. ముగింపు నిబంధనలు
17.1 విధాన సమీక్ష మరియు నవీకరణ
ఈ ఇన్ఫర్మేషన్ సెక్యూరిటీ పాలసీ అనేది మా కార్యాచరణ అవసరాలు, నియంత్రణ అవసరాలు లేదా సమాచార భద్రతా నిర్వహణలో ఉత్తమ అభ్యాసాలలో మార్పుల ఆధారంగా సమీక్షలు మరియు నవీకరణలను కొనసాగించే జీవన పత్రం.
17.2 వర్తింపు పర్యవేక్షణ
మేము ఈ సమాచార భద్రతా విధానం మరియు సంబంధిత భద్రతా నియంత్రణలతో సమ్మతిని పర్యవేక్షించడానికి విధానాలను ఏర్పాటు చేసాము. వర్తింపు పర్యవేక్షణలో భద్రతా నియంత్రణల యొక్క సాధారణ ఆడిట్లు, అంచనాలు మరియు సమీక్షలు మరియు ఈ విధానం యొక్క లక్ష్యాలను సాధించడంలో వాటి ప్రభావం ఉంటుంది.
17.3 భద్రతా సంఘటనలను నివేదించడం
వ్యక్తుల వ్యక్తిగత డేటాతో సహా మా సమాచార వ్యవస్థలకు సంబంధించిన భద్రతా సంఘటనలను నివేదించడానికి మేము విధానాలను ఏర్పాటు చేసాము. ఉద్యోగులు, కాంట్రాక్టర్లు మరియు ఇతర వాటాదారులు ఏదైనా భద్రతా సంఘటనలు లేదా అనుమానిత సంఘటనలను వీలైనంత త్వరగా నియమించబడిన భద్రతా బృందానికి నివేదించమని ప్రోత్సహించబడ్డారు.
17.4 శిక్షణ మరియు అవగాహన
మేము ఉద్యోగులు, కాంట్రాక్టర్లు మరియు ఇతర వాటాదారులకు వారి బాధ్యతలు మరియు సమాచార భద్రతకు సంబంధించిన బాధ్యతల గురించి తెలుసుకునేలా వారికి క్రమ శిక్షణ మరియు అవగాహన కార్యక్రమాలను అందిస్తాము. ఇందులో భద్రతా విధానాలు మరియు విధానాలపై శిక్షణ మరియు వ్యక్తుల వ్యక్తిగత డేటాను రక్షించే చర్యలు ఉంటాయి.
17.5. బాధ్యత మరియు జవాబుదారీతనం
మేము ఈ సమాచార భద్రతా విధానం మరియు సంబంధిత భద్రతా నియంత్రణలకు అనుగుణంగా అన్ని ఉద్యోగులు, కాంట్రాక్టర్లు మరియు ఇతర వాటాదారులను బాధ్యులుగా మరియు జవాబుదారీగా ఉంచుతాము. సమర్థవంతమైన సమాచార భద్రతా నియంత్రణలను అమలు చేయడం మరియు నిర్వహించడం కోసం తగిన వనరులు కేటాయించబడ్డాయని నిర్ధారించుకోవడానికి మేము నిర్వహణ బాధ్యతను కూడా కలిగి ఉన్నాము.
ఈ సమాచార భద్రతా విధానం Euroepan IT సర్టిఫికేషన్ ఇన్స్టిట్యూట్ యొక్క ఇన్ఫర్మేషన్ సెక్యూరిటీ మేనేజ్మెంట్ ఫ్రేమ్వర్క్లో కీలకమైన భాగం మరియు సమాచార ఆస్తులు మరియు ప్రాసెస్ చేయబడిన డేటాను రక్షించడం, గోప్యత, గోప్యత, సమగ్రత మరియు సమాచార లభ్యతను నిర్ధారించడం మరియు నియంత్రణ మరియు ఒప్పంద అవసరాలకు అనుగుణంగా మా నిబద్ధతను ప్రదర్శిస్తుంది.