தகவல் பாதுகாப்பு கொள்கை
EITCA அகாடமி தகவல் பாதுகாப்புக் கொள்கை
இந்த ஆவணம் ஐரோப்பிய IT சான்றளிப்பு நிறுவனத்தின் தகவல் பாதுகாப்புக் கொள்கையை (ISP) குறிப்பிடுகிறது, இது அதன் செயல்திறனையும் பொருத்தத்தையும் உறுதிசெய்ய தொடர்ந்து மதிப்பாய்வு செய்யப்பட்டு புதுப்பிக்கப்படுகிறது. EITCI தகவல் பாதுகாப்புக் கொள்கைக்கான கடைசிப் புதுப்பிப்பு ஜனவரி 7, 2023 அன்று செய்யப்பட்டது.
பகுதி 1. அறிமுகம் மற்றும் தகவல் பாதுகாப்பு கொள்கை அறிக்கை
1.1. அறிமுகம்
தகவல்களின் ரகசியத்தன்மை, ஒருமைப்பாடு மற்றும் கிடைக்கும் தன்மை மற்றும் எங்கள் பங்குதாரர்களின் நம்பிக்கையைப் பராமரிப்பதில் தகவல் பாதுகாப்பின் முக்கியத்துவத்தை ஐரோப்பிய IT சான்றிதழ் நிறுவனம் அங்கீகரிக்கிறது. தனிப்பட்ட தரவு உட்பட முக்கியமான தகவல்களை அங்கீகரிக்கப்படாத அணுகல், வெளிப்படுத்துதல், மாற்றம் செய்தல் மற்றும் அழித்தல் ஆகியவற்றிலிருந்து பாதுகாப்பதில் நாங்கள் கடமைப்பட்டுள்ளோம். எங்கள் வாடிக்கையாளர்களுக்கு நம்பகமான மற்றும் பாரபட்சமற்ற சான்றிதழ் சேவைகளை வழங்குவதற்கான எங்கள் பணியை ஆதரிக்க பயனுள்ள தகவல் பாதுகாப்புக் கொள்கையை நாங்கள் பராமரிக்கிறோம். தகவல் பாதுகாப்புக் கொள்கையானது, தகவல் சொத்துக்களைப் பாதுகாப்பதற்கும், எங்கள் சட்ட, ஒழுங்குமுறை மற்றும் ஒப்பந்தக் கடமைகளைச் சந்திப்பதற்கும் எங்களின் உறுதிப்பாட்டை கோடிட்டுக் காட்டுகிறது. எங்கள் கொள்கை ISO 27001 மற்றும் ISO 17024 இன் கொள்கைகளை அடிப்படையாகக் கொண்டது, இது தகவல் பாதுகாப்பு மேலாண்மை மற்றும் சான்றிதழ் அமைப்புகளின் செயல்பாட்டுத் தரங்களுக்கான முன்னணி சர்வதேச தரநிலைகள் ஆகும்.
1.2 காப்புறுதி அறிக்கை
ஐரோப்பிய தகவல் தொழில்நுட்ப சான்றிதழ் நிறுவனம் உறுதிபூண்டுள்ளது:
- தகவல் சொத்துக்களின் இரகசியத்தன்மை, ஒருமைப்பாடு மற்றும் கிடைக்கும் தன்மையைப் பாதுகாத்தல்,
- தகவல் பாதுகாப்பு மற்றும் அதன் சான்றிதழ் செயல்முறைகள் மற்றும் செயல்பாடுகளை செயல்படுத்தும் தரவை செயலாக்குவது தொடர்பான சட்ட, ஒழுங்குமுறை மற்றும் ஒப்பந்தக் கடமைகளுக்கு இணங்குதல்,
- அதன் தகவல் பாதுகாப்புக் கொள்கை மற்றும் தொடர்புடைய மேலாண்மை அமைப்பைத் தொடர்ந்து மேம்படுத்துதல்,
- பணியாளர்கள், ஒப்பந்ததாரர்கள் மற்றும் பங்கேற்பாளர்களுக்கு போதுமான பயிற்சி மற்றும் விழிப்புணர்வை வழங்குதல்,
- தகவல் பாதுகாப்புக் கொள்கை மற்றும் தொடர்புடைய தகவல் பாதுகாப்பு மேலாண்மை அமைப்பு ஆகியவற்றை செயல்படுத்துதல் மற்றும் பராமரிப்பதில் அனைத்து பணியாளர்கள் மற்றும் ஒப்பந்ததாரர்களை ஈடுபடுத்துதல்.
1.3. நோக்கம்
இந்தக் கொள்கை ஐரோப்பிய IT சான்றளிப்பு நிறுவனத்தால் சொந்தமான, கட்டுப்படுத்தப்பட்ட அல்லது செயலாக்கப்பட்ட அனைத்து தகவல் சொத்துக்களுக்கும் பொருந்தும். அமைப்புகள், நெட்வொர்க்குகள், மென்பொருள், தரவு மற்றும் ஆவணப்படுத்தல் போன்ற அனைத்து டிஜிட்டல் மற்றும் இயற்பியல் தகவல் சொத்துக்கள் இதில் அடங்கும். எங்கள் தகவல் சொத்துக்களை அணுகும் அனைத்து பணியாளர்கள், ஒப்பந்ததாரர்கள் மற்றும் மூன்றாம் தரப்பு சேவை வழங்குநர்களுக்கும் இந்தக் கொள்கை பொருந்தும்.
1.4. இணங்குதல்
ISO 27001 மற்றும் ISO 17024 உள்ளிட்ட தொடர்புடைய தகவல் பாதுகாப்புத் தரங்களுக்கு இணங்குவதற்கு ஐரோப்பிய ஐடி சான்றளிப்பு நிறுவனம் உறுதிபூண்டுள்ளது. இந்தக் கொள்கையின் தற்போதைய தொடர்பையும், இந்த தரநிலைகளுடன் இணங்குவதையும் உறுதிப்படுத்த, நாங்கள் தொடர்ந்து மதிப்பாய்வு செய்து புதுப்பிக்கிறோம்.
பகுதி 2. நிறுவன பாதுகாப்பு
2.1 அமைப்பின் பாதுகாப்பு இலக்குகள்
நிறுவன பாதுகாப்பு நடவடிக்கைகளை செயல்படுத்துவதன் மூலம், எங்கள் தகவல் சொத்துக்கள் மற்றும் தரவு செயலாக்க நடைமுறைகள் மற்றும் நடைமுறைகள் மிக உயர்ந்த பாதுகாப்பு மற்றும் ஒருமைப்பாட்டுடன் நடத்தப்படுவதையும், தொடர்புடைய சட்ட விதிமுறைகள் மற்றும் தரநிலைகளுக்கு நாங்கள் இணங்குவதையும் உறுதிசெய்வதை நோக்கமாகக் கொண்டுள்ளோம்.
2.2 தகவல் பாதுகாப்பு பாத்திரங்கள் மற்றும் பொறுப்புகள்
ஐரோப்பிய தகவல் தொழில்நுட்ப சான்றிதழ் நிறுவனம் நிறுவனம் முழுவதும் தகவல் பாதுகாப்பிற்கான பாத்திரங்கள் மற்றும் பொறுப்புகளை வரையறுத்து தொடர்பு கொள்கிறது. தகவல் பாதுகாப்பு தொடர்பான தகவல் சொத்துக்களுக்கு தெளிவான உரிமையை வழங்குதல், நிர்வாகக் கட்டமைப்பை நிறுவுதல் மற்றும் நிறுவனம் முழுவதும் உள்ள பல்வேறு பாத்திரங்கள் மற்றும் துறைகளுக்கான குறிப்பிட்ட பொறுப்புகளை வரையறுத்தல் ஆகியவை இதில் அடங்கும்.
2.3. இடர் மேலாண்மை
தனிப்பட்ட தரவு செயலாக்கம் தொடர்பான அபாயங்கள் உட்பட, நிறுவனத்திற்கான தகவல் பாதுகாப்பு அபாயங்களைக் கண்டறிந்து முன்னுரிமை அளிக்க நாங்கள் வழக்கமான இடர் மதிப்பீடுகளை நடத்துகிறோம். இந்த அபாயங்களைக் குறைப்பதற்கு பொருத்தமான கட்டுப்பாடுகளை நாங்கள் உருவாக்குகிறோம், மேலும் வணிகச் சூழல் மற்றும் அச்சுறுத்தல் நிலப்பரப்பில் ஏற்படும் மாற்றங்கள் ஆகியவற்றின் அடிப்படையில் எங்களின் இடர் மேலாண்மை அணுகுமுறையை தொடர்ந்து மதிப்பாய்வு செய்து புதுப்பிக்கிறோம்.
2.4 தகவல் பாதுகாப்பு கொள்கைகள் மற்றும் நடைமுறைகள்
தொழில்துறையின் சிறந்த நடைமுறைகள் மற்றும் தொடர்புடைய விதிமுறைகள் மற்றும் தரங்களுக்கு இணங்கக்கூடிய தகவல் பாதுகாப்புக் கொள்கைகள் மற்றும் நடைமுறைகளின் தொகுப்பை நாங்கள் நிறுவி பராமரிக்கிறோம். இந்தக் கொள்கைகள் மற்றும் நடைமுறைகள் தனிப்பட்ட தரவு செயலாக்கம் உட்பட, தகவல் பாதுகாப்பின் அனைத்து அம்சங்களையும் உள்ளடக்கியது, மேலும் அவற்றின் செயல்திறனை உறுதிசெய்ய தொடர்ந்து மதிப்பாய்வு செய்யப்பட்டு புதுப்பிக்கப்படும்.
2.5 பாதுகாப்பு விழிப்புணர்வு மற்றும் பயிற்சி
தனிப்பட்ட தரவு அல்லது பிற முக்கியத் தகவல்களை அணுகக்கூடிய அனைத்து ஊழியர்கள், ஒப்பந்ததாரர்கள் மற்றும் மூன்றாம் தரப்பு கூட்டாளர்களுக்கு வழக்கமான பாதுகாப்பு விழிப்புணர்வு மற்றும் பயிற்சித் திட்டங்களை நாங்கள் வழங்குகிறோம். இந்த பயிற்சியானது ஃபிஷிங், சமூக பொறியியல், கடவுச்சொல் சுகாதாரம் மற்றும் பிற தகவல் பாதுகாப்பு சிறந்த நடைமுறைகள் போன்ற தலைப்புகளை உள்ளடக்கியது.
2.6 உடல் மற்றும் சுற்றுச்சூழல் பாதுகாப்பு
எங்கள் வசதிகள் மற்றும் தகவல் அமைப்புகளுக்கு அங்கீகரிக்கப்படாத அணுகல், சேதம் அல்லது குறுக்கீடு ஆகியவற்றிலிருந்து பாதுகாக்க பொருத்தமான உடல் மற்றும் சுற்றுச்சூழல் பாதுகாப்புக் கட்டுப்பாடுகளை நாங்கள் செயல்படுத்துகிறோம். அணுகல் கட்டுப்பாடுகள், கண்காணிப்பு, கண்காணிப்பு மற்றும் காப்பு சக்தி மற்றும் குளிரூட்டும் அமைப்புகள் போன்ற நடவடிக்கைகள் இதில் அடங்கும்.
2.7 தகவல் பாதுகாப்பு நிகழ்வு மேலாண்மை
நாங்கள் ஒரு சம்பவ மேலாண்மை செயல்முறையை நிறுவியுள்ளோம், இது நிகழக்கூடிய எந்தவொரு தகவல் பாதுகாப்பு சம்பவங்களுக்கும் விரைவாகவும் திறம்படவும் பதிலளிக்க உதவுகிறது. புகாரளித்தல், அதிகரிப்பு, விசாரணை மற்றும் சம்பவங்களைத் தீர்ப்பதற்கான நடைமுறைகள், அதே போல் மீண்டும் நிகழாமல் தடுப்பதற்கான நடவடிக்கைகள் மற்றும் எங்கள் சம்பவ மறுமொழி திறன்களை மேம்படுத்துதல் ஆகியவை இதில் அடங்கும்.
2.8 செயல்பாட்டு தொடர்ச்சி மற்றும் பேரிடர் மீட்பு
இடையூறு அல்லது பேரழிவு ஏற்பட்டால் எங்கள் முக்கியமான செயல்பாடுகள் மற்றும் சேவைகளை பராமரிக்க உதவும் செயல்பாட்டு தொடர்ச்சி மற்றும் பேரழிவு மீட்பு திட்டங்களை நாங்கள் நிறுவி சோதனை செய்துள்ளோம். இந்தத் திட்டங்களில் தரவு மற்றும் அமைப்புகளின் காப்புப் பிரதி மற்றும் மீட்புக்கான நடைமுறைகள் மற்றும் தனிப்பட்ட தரவின் கிடைக்கும் தன்மை மற்றும் ஒருமைப்பாட்டை உறுதி செய்வதற்கான நடவடிக்கைகள் ஆகியவை அடங்கும்.
2.9 மூன்றாம் தரப்பு மேலாண்மை
தனிப்பட்ட தரவு அல்லது பிற முக்கியத் தகவல்களை அணுகக்கூடிய மூன்றாம் தரப்பு கூட்டாளர்களுடன் தொடர்புடைய அபாயங்களை நிர்வகிப்பதற்கான பொருத்தமான கட்டுப்பாடுகளை நாங்கள் நிறுவி பராமரிக்கிறோம். இதில் உரிய விடாமுயற்சி, ஒப்பந்தக் கடமைகள், கண்காணிப்பு மற்றும் தணிக்கைகள் போன்ற நடவடிக்கைகள், தேவைப்படும் போது கூட்டாண்மைகளை நிறுத்துவதற்கான நடவடிக்கைகள் ஆகியவை அடங்கும்.
பகுதி 3. மனித வள பாதுகாப்பு
3.1 வேலைவாய்ப்பு திரையிடல்
முக்கியமான தகவல்களை அணுகக்கூடிய நபர்கள் நம்பகமானவர்கள் மற்றும் தேவையான திறன்கள் மற்றும் தகுதிகளைக் கொண்டிருப்பதை உறுதி செய்வதற்காக, ஐரோப்பிய தகவல் தொழில்நுட்ப சான்றிதழ் நிறுவனம் வேலைவாய்ப்புத் திரையிடலுக்கான செயல்முறையை நிறுவியுள்ளது.
3.2. அணுகல் கட்டுப்பாடு
பணியாளர்கள் தங்கள் பணிப் பொறுப்புகளுக்குத் தேவையான தகவல்களை மட்டுமே அணுகுவதை உறுதிசெய்ய அணுகல் கட்டுப்பாட்டுக் கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம். அணுகல் உரிமைகள் மதிப்பாய்வு செய்யப்பட்டு, ஊழியர்களுக்குத் தேவையான தகவல்களை மட்டுமே அணுகுவதை உறுதிசெய்ய தொடர்ந்து புதுப்பிக்கப்படும்.
3.3 தகவல் பாதுகாப்பு விழிப்புணர்வு மற்றும் பயிற்சி
அனைத்து ஊழியர்களுக்கும் தகவல் பாதுகாப்பு விழிப்புணர்வு பயிற்சியை நாங்கள் தொடர்ந்து வழங்குகிறோம். இந்த பயிற்சியானது கடவுச்சொல் பாதுகாப்பு, ஃபிஷிங் தாக்குதல்கள், சமூக பொறியியல் மற்றும் இணைய பாதுகாப்பின் பிற அம்சங்கள் போன்ற தலைப்புகளை உள்ளடக்கியது.
3.4. ஏற்றுக்கொள்ளக்கூடிய பயன்பாடு
பணி நோக்கங்களுக்காகப் பயன்படுத்தப்படும் தனிப்பட்ட சாதனங்கள் உட்பட தகவல் அமைப்புகள் மற்றும் ஆதாரங்களின் ஏற்றுக்கொள்ளக்கூடிய பயன்பாட்டைக் கோடிட்டுக் காட்டும் ஏற்றுக்கொள்ளக்கூடிய பயன்பாட்டுக் கொள்கையை நாங்கள் உருவாக்கியுள்ளோம்.
3.5 மொபைல் சாதன பாதுகாப்பு
கடவுக்குறியீடுகளின் பயன்பாடு, குறியாக்கம் மற்றும் தொலைநிலை துடைக்கும் திறன்கள் உட்பட மொபைல் சாதனங்களின் பாதுகாப்பான பயன்பாட்டிற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம்.
3.6 பணிநீக்கம் நடைமுறைகள்
முக்கியமான தகவல்களுக்கான அணுகல் உடனடியாகவும் பாதுகாப்பாகவும் திரும்பப் பெறப்படுவதை உறுதி செய்வதற்காக வேலை அல்லது ஒப்பந்தத்தை நிறுத்துவதற்கான நடைமுறைகளை ஐரோப்பிய IT சான்றிதழ் நிறுவனம் நிறுவியுள்ளது.
3.7. மூன்றாம் தரப்பு பணியாளர்கள்
முக்கியமான தகவல்களை அணுகக்கூடிய மூன்றாம் தரப்பு பணியாளர்களை நிர்வகிப்பதற்கான நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம். இந்தக் கொள்கைகளில் திரையிடல், அணுகல் கட்டுப்பாடு மற்றும் தகவல் பாதுகாப்பு விழிப்புணர்வு பயிற்சி ஆகியவை அடங்கும்.
3.8 சம்பவங்களைப் புகாரளித்தல்
தகவல் பாதுகாப்பு சம்பவங்கள் அல்லது கவலைகளை உரிய பணியாளர்கள் அல்லது அதிகாரிகளிடம் புகாரளிப்பதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம்.
3.9 இரகசிய ஒப்பந்தங்கள்
ஐரோப்பிய IT சான்றளிப்பு நிறுவனம், அங்கீகரிக்கப்படாத வெளிப்பாட்டிலிருந்து முக்கியமான தகவல்களைப் பாதுகாக்க, பணியாளர்கள் மற்றும் ஒப்பந்ததாரர்கள் இரகசிய ஒப்பந்தங்களில் கையெழுத்திட வேண்டும்.
3.10 ஒழுங்கு நடவடிக்கைகள்
பணியாளர்கள் அல்லது ஒப்பந்ததாரர்களால் தகவல் பாதுகாப்புக் கொள்கை மீறல்கள் ஏற்பட்டால் ஒழுங்கு நடவடிக்கைகளுக்கான கொள்கைகள் மற்றும் நடைமுறைகளை ஐரோப்பிய IT சான்றிதழ் நிறுவனம் நிறுவியுள்ளது.
பகுதி 4. இடர் மதிப்பீடு மற்றும் மேலாண்மை
4.1. இடர் மதிப்பீடு
எங்களின் தகவல் சொத்துக்களுக்கு சாத்தியமான அச்சுறுத்தல்கள் மற்றும் பாதிப்புகளை அடையாளம் காண நாங்கள் அவ்வப்போது இடர் மதிப்பீடுகளை மேற்கொள்கிறோம். அபாயங்களை அவற்றின் சாத்தியக்கூறு மற்றும் சாத்தியமான தாக்கத்தின் அடிப்படையில் அடையாளம் காணவும், பகுப்பாய்வு செய்யவும், மதிப்பீடு செய்யவும் மற்றும் முன்னுரிமைப்படுத்தவும் கட்டமைக்கப்பட்ட அணுகுமுறையைப் பயன்படுத்துகிறோம். அமைப்புகள், நெட்வொர்க்குகள், மென்பொருள், தரவு மற்றும் ஆவணங்கள் உட்பட, எங்கள் தகவல் சொத்துக்களுடன் தொடர்புடைய அபாயங்களை நாங்கள் மதிப்பிடுகிறோம்.
4.2 ஆபத்து சிகிச்சை
ஏற்றுக்கொள்ளக்கூடிய அளவிற்கு அபாயங்களைக் குறைக்க அல்லது குறைக்க ஆபத்து சிகிச்சை செயல்முறையைப் பயன்படுத்துகிறோம். இடர் சிகிச்சை செயல்முறையானது பொருத்தமான கட்டுப்பாடுகளைத் தேர்ந்தெடுப்பது, கட்டுப்பாடுகளைச் செயல்படுத்துதல் மற்றும் கட்டுப்பாடுகளின் செயல்திறனைக் கண்காணிப்பது ஆகியவை அடங்கும். ஆபத்து நிலை, கிடைக்கும் வளங்கள் மற்றும் வணிக முன்னுரிமைகள் ஆகியவற்றின் அடிப்படையில் கட்டுப்பாடுகளை செயல்படுத்துவதற்கு முன்னுரிமை அளிக்கிறோம்.
4.3 இடர் கண்காணிப்பு மற்றும் மதிப்பாய்வு
எங்களின் இடர் மேலாண்மை செயல்முறையானது தொடர்புடையதாகவும் பயனுள்ளதாகவும் இருப்பதை உறுதிசெய்ய, அதன் செயல்திறனை நாங்கள் தொடர்ந்து கண்காணித்து மதிப்பாய்வு செய்கிறோம். எங்களின் இடர் மேலாண்மை செயல்முறையின் செயல்திறனை அளவிடுவதற்கும் முன்னேற்றத்திற்கான வாய்ப்புகளை அடையாளம் காணவும் அளவீடுகள் மற்றும் குறிகாட்டிகளைப் பயன்படுத்துகிறோம். எங்களின் இடர் மேலாண்மை செயல்முறையை அதன் தற்போதைய பொருத்தம், போதுமான தன்மை மற்றும் செயல்திறனை உறுதி செய்வதற்காக எங்களின் காலமுறை மேலாண்மை மதிப்பாய்வுகளின் ஒரு பகுதியாக மதிப்பாய்வு செய்கிறோம்.
4.4 இடர் பதில் திட்டமிடல்
அடையாளம் காணப்பட்ட எந்த அபாயங்களுக்கும் நாங்கள் திறம்பட பதிலளிக்க முடியும் என்பதை உறுதிசெய்ய, எங்களிடம் இடர் பதில் திட்டம் உள்ளது. இந்தத் திட்டத்தில் இடர்களைக் கண்டறிந்து அறிக்கையிடுவதற்கான நடைமுறைகளும், ஒவ்வொரு ஆபத்தின் சாத்தியமான தாக்கத்தையும் மதிப்பிடுவதற்கான செயல்முறைகள் மற்றும் தகுந்த பதிலளிப்பு நடவடிக்கைகளைத் தீர்மானித்தல் ஆகியவை அடங்கும். குறிப்பிடத்தக்க இடர் நிகழ்வின் போது வணிகத் தொடர்ச்சியை உறுதி செய்வதற்கான தற்செயல் திட்டங்களும் எங்களிடம் உள்ளன.
4.5 செயல்பாட்டு தாக்க பகுப்பாய்வு
எங்கள் வணிகச் செயல்பாடுகளுக்கு ஏற்படும் இடையூறுகளின் சாத்தியமான தாக்கத்தை அடையாளம் காண, அவ்வப்போது வணிக தாக்க பகுப்பாய்வுகளை நடத்துகிறோம். இந்த பகுப்பாய்வில் எங்கள் வணிகச் செயல்பாடுகள், அமைப்புகள் மற்றும் தரவுகளின் முக்கியத்துவத்தின் மதிப்பீடு மற்றும் எங்கள் வாடிக்கையாளர்கள், பணியாளர்கள் மற்றும் பிற பங்குதாரர்கள் மீதான இடையூறுகளின் சாத்தியமான தாக்கத்தின் மதிப்பீடு ஆகியவை அடங்கும்.
4.6 மூன்றாம் தரப்பு இடர் மேலாண்மை
எங்கள் விற்பனையாளர்கள் மற்றும் பிற மூன்றாம் தரப்பு சேவை வழங்குநர்களும் இடர்களை சரியான முறையில் நிர்வகிப்பதை உறுதிசெய்ய மூன்றாம் தரப்பு இடர் மேலாண்மை திட்டம் உள்ளது. இந்த திட்டத்தில் மூன்றாம் தரப்பினருடன் ஈடுபடுவதற்கு முன் உரிய விடாமுயற்சி சோதனைகள், மூன்றாம் தரப்பு செயல்பாடுகளை தொடர்ந்து கண்காணித்தல் மற்றும் மூன்றாம் தரப்பு இடர் மேலாண்மை நடைமுறைகளின் அவ்வப்போது மதிப்பீடுகள் ஆகியவை அடங்கும்.
4.7. நிகழ்வு பதில் மற்றும் மேலாண்மை
எந்தவொரு பாதுகாப்புச் சம்பவங்களுக்கும் நாங்கள் திறம்பட பதிலளிக்க முடியும் என்பதை உறுதிப்படுத்த, ஒரு சம்பவ பதில் மற்றும் நிர்வாகத் திட்டம் எங்களிடம் உள்ளது. இந்தத் திட்டத்தில் சம்பவங்களைக் கண்டறிந்து அறிக்கையிடுவதற்கான நடைமுறைகளும், ஒவ்வொரு சம்பவத்தின் தாக்கத்தையும் மதிப்பிடுவதற்கான செயல்முறைகள் மற்றும் பொருத்தமான பதிலளிப்பு நடவடிக்கைகளைத் தீர்மானித்தல் ஆகியவை அடங்கும். முக்கியமான வணிகச் செயல்பாடுகள் ஒரு குறிப்பிடத்தக்க சம்பவத்தின் போது தொடரலாம் என்பதை உறுதிப்படுத்த, வணிகத் தொடர்ச்சித் திட்டமும் எங்களிடம் உள்ளது.
பகுதி 5. உடல் மற்றும் சுற்றுச்சூழல் பாதுகாப்பு
5.1 உடல் பாதுகாப்பு சுற்றளவு
அங்கீகரிக்கப்படாத அணுகலில் இருந்து உடல் வளாகங்கள் மற்றும் முக்கியமான தகவல்களைப் பாதுகாக்க உடல் பாதுகாப்பு நடவடிக்கைகளை நாங்கள் நிறுவியுள்ளோம்.
5.2. அணுகல் கட்டுப்பாடு
அங்கீகரிக்கப்பட்ட பணியாளர்கள் மட்டுமே முக்கியமான தகவல்களை அணுகுவதை உறுதிசெய்ய, இயற்பியல் வளாகத்திற்கான அணுகல் கட்டுப்பாட்டுக் கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
5.3 உபகரணங்கள் பாதுகாப்பு
முக்கியமான தகவல்களைக் கொண்ட அனைத்து உபகரணங்களும் உடல் ரீதியாக பாதுகாப்பாக இருப்பதை நாங்கள் உறுதிசெய்கிறோம், மேலும் இந்த உபகரணத்திற்கான அணுகல் அங்கீகரிக்கப்பட்ட பணியாளர்களுக்கு மட்டுமே.
5.4 பாதுகாப்பான அகற்றல்
காகித ஆவணங்கள், மின்னணு ஊடகம் மற்றும் வன்பொருள் உள்ளிட்ட முக்கியமான தகவல்களைப் பாதுகாப்பாக அகற்றுவதற்கான நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
5.5. உடல் சூழல்
வெப்பநிலை, ஈரப்பதம் மற்றும் வெளிச்சம் உள்ளிட்ட வளாகத்தின் இயற்பியல் சூழல், முக்கியத் தகவலின் பாதுகாப்பிற்குப் பொருத்தமானது என்பதை நாங்கள் உறுதிசெய்கிறோம்.
5.6. மின்சாரம்
வளாகத்திற்கு மின்சாரம் வழங்குவது நம்பகமானது மற்றும் மின் தடைகள் அல்லது அலைகளுக்கு எதிராக பாதுகாக்கப்படுவதை நாங்கள் உறுதிசெய்கிறோம்.
5.7. தீ பாதுகாப்பு
தீ கண்டறிதல் மற்றும் அடக்கும் அமைப்புகளை நிறுவுதல் மற்றும் பராமரித்தல் உள்ளிட்ட தீ பாதுகாப்பு கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
5.8 நீர் சேதம் பாதுகாப்பு
வெள்ளம் கண்டறிதல் மற்றும் தடுப்பு அமைப்புகளை நிறுவுதல் மற்றும் பராமரித்தல் உட்பட, நீர் சேதத்திலிருந்து முக்கியமான தகவல்களைப் பாதுகாப்பதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
5.9. உபகரண பராமரிப்பு
உபகரணங்களைப் பராமரிப்பதற்கான நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம், இதில் சேதம் அல்லது அங்கீகரிக்கப்படாத அணுகல் அறிகுறிகளுக்கான உபகரணங்களை ஆய்வு செய்தல்.
5.10. ஏற்றுக்கொள்ளக்கூடிய பயன்பாடு
பௌதீக வளங்கள் மற்றும் வசதிகளின் ஏற்றுக்கொள்ளக்கூடிய பயன்பாட்டைக் கோடிட்டுக் காட்டும் ஏற்றுக்கொள்ளக்கூடிய பயன்பாட்டுக் கொள்கையை நாங்கள் நிறுவியுள்ளோம்.
5.11. தொலைநிலை அணுகல்
பாதுகாப்பான இணைப்புகள் மற்றும் குறியாக்கத்தைப் பயன்படுத்துதல் உள்ளிட்ட முக்கியமான தகவல்களுக்கான தொலைநிலை அணுகலுக்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம்.
5.12 கண்காணிப்பு மற்றும் கண்காணிப்பு
அங்கீகரிக்கப்படாத அணுகல் அல்லது சேதத்தை கண்டறிவதற்கும் தடுப்பதற்கும் உடல் வளாகங்கள் மற்றும் உபகரணங்களை கண்காணிப்பதற்கும் கண்காணிப்பதற்கும் கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
பகுதி. 6. தகவல் தொடர்பு மற்றும் செயல்பாட்டு பாதுகாப்பு
6.1 பிணைய பாதுகாப்பு மேலாண்மை
ஃபயர்வால்களின் பயன்பாடு, ஊடுருவல் கண்டறிதல் மற்றும் தடுப்பு அமைப்புகள் மற்றும் வழக்கமான பாதுகாப்பு தணிக்கைகள் உட்பட நெட்வொர்க் பாதுகாப்பை நிர்வகிப்பதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
6.2 தகவல் பரிமாற்றம்
குறியாக்கம் மற்றும் பாதுகாப்பான கோப்பு பரிமாற்ற நெறிமுறைகளின் பயன்பாடு உட்பட, முக்கியமான தகவல்களின் பாதுகாப்பான பரிமாற்றத்திற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
6.3 மூன்றாம் தரப்பு தகவல்தொடர்புகள்
பாதுகாப்பான இணைப்புகள் மற்றும் குறியாக்கத்தைப் பயன்படுத்துதல் உட்பட, மூன்றாம் தரப்பு நிறுவனங்களுடன் முக்கியமான தகவல்களைப் பாதுகாப்பான பரிமாற்றத்திற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம்.
6.4 ஊடக கையாளுதல்
காகித ஆவணங்கள், மின்னணு ஊடகங்கள் மற்றும் சிறிய சேமிப்பக சாதனங்கள் உட்பட பல்வேறு வகையான ஊடகங்களில் முக்கியமான தகவல்களைக் கையாள்வதற்கான நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
6.5 தகவல் அமைப்புகள் மேம்பாடு மற்றும் பராமரிப்பு
பாதுகாப்பான குறியீட்டு நடைமுறைகளின் பயன்பாடு, வழக்கமான மென்பொருள் புதுப்பிப்புகள் மற்றும் பேட்ச் மேலாண்மை உள்ளிட்ட தகவல் அமைப்புகளின் மேம்பாடு மற்றும் பராமரிப்புக்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
6.6. மால்வேர் மற்றும் வைரஸ்கள் பாதுகாப்பு
தீம்பொருள் மற்றும் வைரஸ்களுக்கு எதிராக தகவல் அமைப்புகளைப் பாதுகாப்பதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம், இதில் வைரஸ் எதிர்ப்பு மென்பொருளின் பயன்பாடு மற்றும் வழக்கமான பாதுகாப்பு புதுப்பிப்புகள் அடங்கும்.
6.7. காப்பு மற்றும் மறுசீரமைப்பு
தரவு இழப்பு அல்லது ஊழலைத் தடுக்க, முக்கியமான தகவல்களை காப்புப் பிரதி எடுப்பதற்கும் மீட்டெடுப்பதற்கும் கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம்.
6.8. நிகழ்ச்சி மேலாண்மை
பாதுகாப்பு சம்பவங்கள் மற்றும் நிகழ்வுகளின் அடையாளம், விசாரணை மற்றும் தீர்வுக்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம்.
6.9 பாதிப்பு மேலாண்மை
வழக்கமான பாதிப்பு மதிப்பீடுகள் மற்றும் பேட்ச் மேனேஜ்மென்ட் பயன்பாடு உட்பட, தகவல் அமைப்பு பாதிப்புகளை நிர்வகிப்பதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
6.10. அணுகல் கட்டுப்பாடு
அணுகல் கட்டுப்பாடுகளின் பயன்பாடு, பயனர் அங்கீகாரம் மற்றும் வழக்கமான அணுகல் மதிப்புரைகள் உட்பட, தகவல் அமைப்புகளுக்கான பயனர் அணுகலை நிர்வகிப்பதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
6.11. கண்காணிப்பு மற்றும் பதிவு செய்தல்
தணிக்கைச் சுவடுகளைப் பயன்படுத்துதல் மற்றும் பாதுகாப்புச் சம்பவத்தைப் பதிவு செய்தல் உள்ளிட்ட தகவல் அமைப்பின் செயல்பாடுகளைக் கண்காணித்தல் மற்றும் பதிவுசெய்வதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
பகுதி 7. தகவல் அமைப்புகள் கையகப்படுத்தல், மேம்பாடு மற்றும் பராமரிப்பு
7.1. தேவைகள்
வணிகத் தேவைகள், சட்ட மற்றும் ஒழுங்குமுறைத் தேவைகள் மற்றும் பாதுகாப்புத் தேவைகள் உள்ளிட்ட தகவல் அமைப்புத் தேவைகளை அடையாளம் காண்பதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம்.
7.2 சப்ளையர் உறவுகள்
சப்ளையர்களின் பாதுகாப்பு நடைமுறைகளை மதிப்பீடு செய்வது உட்பட, தகவல் அமைப்புகள் மற்றும் சேவைகளின் மூன்றாம் தரப்பு சப்ளையர்களுடனான உறவுகளை நிர்வகிப்பதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
7.3 அமைப்பு வளர்ச்சி
பாதுகாப்பான குறியீட்டு நடைமுறைகளின் பயன்பாடு, வழக்கமான சோதனை மற்றும் தர உத்தரவாதம் உள்ளிட்ட தகவல் அமைப்புகளின் பாதுகாப்பான வளர்ச்சிக்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
7.4 கணினி சோதனை
செயல்பாட்டு சோதனை, செயல்திறன் சோதனை மற்றும் பாதுகாப்பு சோதனை உள்ளிட்ட தகவல் அமைப்புகளின் சோதனைக்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
7.5 அமைப்பு ஏற்றுக்கொள்ளல்
சோதனை முடிவுகளின் ஒப்புதல், பாதுகாப்பு மதிப்பீடுகள் மற்றும் பயனர் ஏற்றுக்கொள்ளும் சோதனை உட்பட தகவல் அமைப்புகளை ஏற்றுக்கொள்வதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
7.6. கணினி பராமரிப்பு
வழக்கமான புதுப்பிப்புகள், பாதுகாப்பு இணைப்புகள் மற்றும் கணினி காப்புப்பிரதிகள் உட்பட தகவல் அமைப்புகளை பராமரிப்பதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம்.
7.7. கணினி ஓய்வு
வன்பொருள் மற்றும் தரவைப் பாதுகாப்பாக அகற்றுவது உட்பட, தகவல் அமைப்புகளின் ஓய்வுக்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
7.8. தரவு வைத்திருத்தல்
சட்ட மற்றும் ஒழுங்குமுறைத் தேவைகளுக்கு இணங்க தரவைத் தக்கவைத்துக்கொள்வதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம், இதில் முக்கியமான தரவை பாதுகாப்பான சேமிப்பகம் மற்றும் அகற்றுதல் ஆகியவை அடங்கும்.
7.9 தகவல் அமைப்புகளுக்கான பாதுகாப்புத் தேவைகள்
அணுகல் கட்டுப்பாடுகள், குறியாக்கம் மற்றும் தரவுப் பாதுகாப்பு உள்ளிட்ட தகவல் அமைப்புகளுக்கான பாதுகாப்புத் தேவைகளை அடையாளம் கண்டு செயல்படுத்துவதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் உருவாக்கியுள்ளோம்.
7.10. பாதுகாப்பான மேம்பாட்டு சூழல்கள்
பாதுகாப்பான மேம்பாட்டு நடைமுறைகள், அணுகல் கட்டுப்பாடுகள் மற்றும் பாதுகாப்பான நெட்வொர்க் உள்ளமைவுகளின் பயன்பாடு உட்பட, தகவல் அமைப்புகளுக்கான பாதுகாப்பான மேம்பாட்டு சூழல்களுக்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
7.11. சோதனை சூழலின் பாதுகாப்பு
பாதுகாப்பான உள்ளமைவுகளின் பயன்பாடு, அணுகல் கட்டுப்பாடுகள் மற்றும் வழக்கமான பாதுகாப்பு சோதனைகள் உட்பட, தகவல் அமைப்புகளுக்கான சோதனை சூழல்களின் பாதுகாப்பிற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
7.12. பாதுகாப்பான கணினி பொறியியல் கோட்பாடுகள்
பாதுகாப்பு கட்டமைப்புகளின் பயன்பாடு, அச்சுறுத்தல் மாதிரியாக்கம் மற்றும் பாதுகாப்பான குறியீட்டு நடைமுறைகள் உட்பட, தகவல் அமைப்புகளுக்கான பாதுகாப்பான கணினி பொறியியல் கொள்கைகளை செயல்படுத்துவதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
7.13. பாதுகாப்பான குறியீட்டு வழிகாட்டுதல்கள்
குறியீட்டு தரநிலைகள், குறியீடு மதிப்புரைகள் மற்றும் தானியங்கு சோதனை ஆகியவற்றின் பயன்பாடு உட்பட, தகவல் அமைப்புகளுக்கான பாதுகாப்பான குறியீட்டு வழிகாட்டுதல்களை செயல்படுத்துவதற்கான கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம்.
பகுதி 8. வன்பொருள் கையகப்படுத்தல்
8.1 தரநிலைகளை கடைபிடித்தல்
எங்கள் பாதுகாப்புத் தேவைகளுக்கு ஏற்ப வன்பொருள் சொத்துக்கள் வாங்கப்படுவதை உறுதிசெய்ய, தகவல் பாதுகாப்பு மேலாண்மை அமைப்புக்கான (ISMS) ISO 27001 தரநிலையை நாங்கள் கடைபிடிக்கிறோம்.
8.2. இடர் மதிப்பீடு
சாத்தியமான பாதுகாப்பு அபாயங்களைக் கண்டறிந்து, தேர்ந்தெடுக்கப்பட்ட வன்பொருள் பாதுகாப்புத் தேவைகளைப் பூர்த்திசெய்கிறதா என்பதை உறுதிப்படுத்த, வன்பொருள் சொத்துக்களை வாங்குவதற்கு முன் இடர் மதிப்பீட்டை நடத்துகிறோம்.
8.3 விற்பனையாளர்கள் தேர்வு
பாதுகாப்பான தயாரிப்புகளை வழங்குவதில் நிரூபிக்கப்பட்ட சாதனைப் பதிவைக் கொண்ட நம்பகமான விற்பனையாளர்களிடமிருந்து மட்டுமே நாங்கள் வன்பொருள் சொத்துக்களை வாங்குகிறோம். விற்பனையாளரின் பாதுகாப்புக் கொள்கைகள் மற்றும் நடைமுறைகளை நாங்கள் மதிப்பாய்வு செய்கிறோம், மேலும் அவர்களின் தயாரிப்புகள் எங்கள் பாதுகாப்புத் தேவைகளைப் பூர்த்தி செய்கின்றன என்பதற்கான உத்தரவாதத்தை வழங்க வேண்டும்.
8.4 பாதுகாப்பான போக்குவரத்து
பரிமாற்றத்தின் போது சேதப்படுத்துதல், சேதப்படுத்துதல் அல்லது திருடப்படுவதைத் தடுக்க வன்பொருள் சொத்துக்கள் பாதுகாப்பாக எங்கள் வளாகத்திற்கு கொண்டு செல்லப்படுவதை உறுதிசெய்கிறோம்.
8.5 நம்பகத்தன்மை சரிபார்ப்பு
வன்பொருள் சொத்துக்கள் போலியானவை அல்லது சிதைக்கப்படவில்லை என்பதை உறுதிசெய்ய, டெலிவரி செய்யப்பட்டவுடன் அவற்றின் நம்பகத்தன்மையை நாங்கள் சரிபார்க்கிறோம்.
8.6 உடல் மற்றும் சுற்றுச்சூழல் கட்டுப்பாடுகள்
அங்கீகரிக்கப்படாத அணுகல், திருட்டு அல்லது சேதத்திலிருந்து வன்பொருள் சொத்துக்களைப் பாதுகாக்க பொருத்தமான உடல் மற்றும் சுற்றுச்சூழல் கட்டுப்பாடுகளை நாங்கள் செயல்படுத்துகிறோம்.
8.7. வன்பொருள் நிறுவல்
அனைத்து வன்பொருள் சொத்துக்களும் நிறுவப்பட்ட பாதுகாப்பு தரநிலைகள் மற்றும் வழிகாட்டுதல்களின்படி கட்டமைக்கப்பட்டு நிறுவப்பட்டிருப்பதை உறுதிசெய்கிறோம்.
8.8 வன்பொருள் விமர்சனங்கள்
வன்பொருள் சொத்துக்கள் எங்கள் பாதுகாப்புத் தேவைகளைத் தொடர்ந்து பூர்த்தி செய்வதையும், சமீபத்திய பாதுகாப்பு இணைப்புகள் மற்றும் புதுப்பிப்புகளுடன் புதுப்பித்த நிலையில் இருப்பதையும் உறுதிசெய்ய அவ்வப்போது மதிப்பாய்வுகளை மேற்கொள்கிறோம்.
8.9 வன்பொருள் அகற்றல்
முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைத் தடுக்க, வன்பொருள் சொத்துக்களை பாதுகாப்பான முறையில் அப்புறப்படுத்துகிறோம்.
பகுதி 9. மால்வேர் மற்றும் வைரஸ்கள் பாதுகாப்பு
9.1 மென்பொருள் புதுப்பித்தல் கொள்கை
சர்வர்கள், பணிநிலையங்கள், மடிக்கணினிகள் மற்றும் மொபைல் சாதனங்கள் உட்பட ஐரோப்பிய ஐடி சான்றளிப்பு நிறுவனம் பயன்படுத்தும் அனைத்து தகவல் அமைப்புகளிலும் புதுப்பித்த வைரஸ் எதிர்ப்பு மற்றும் தீம்பொருள் பாதுகாப்பு மென்பொருளை நாங்கள் பராமரித்து வருகிறோம். வைரஸ் எதிர்ப்பு மற்றும் மால்வேர் பாதுகாப்பு மென்பொருளானது அதன் வைரஸ் வரையறை கோப்புகள் மற்றும் மென்பொருள் பதிப்புகளைத் தானாகப் புதுப்பிக்கும் வகையில் உள்ளமைக்கப்பட்டுள்ளதையும், இந்தச் செயல்முறை தொடர்ந்து சோதிக்கப்படுவதையும் உறுதிசெய்கிறோம்.
9.2 வைரஸ் எதிர்ப்பு மற்றும் மால்வேர் ஸ்கேனிங்
வைரஸ்கள் அல்லது தீம்பொருளைக் கண்டறிந்து அகற்ற, சர்வர்கள், பணிநிலையங்கள், மடிக்கணினிகள் மற்றும் மொபைல் சாதனங்கள் உள்ளிட்ட அனைத்து தகவல் அமைப்புகளையும் நாங்கள் வழக்கமாக ஸ்கேன் செய்கிறோம்.
9.3 முடக்குதல் மற்றும் மாற்றுதல் இல்லாத கொள்கை
எந்தவொரு தகவல் அமைப்பிலும் வைரஸ் எதிர்ப்பு மற்றும் தீம்பொருள் பாதுகாப்பு மென்பொருளை முடக்கவோ அல்லது மாற்றவோ பயனர்களைத் தடைசெய்யும் கொள்கைகளை நாங்கள் செயல்படுத்துகிறோம்.
9.4. கண்காணிப்பு
வைரஸ் அல்லது மால்வேர் நோய்த்தொற்றுகளின் ஏதேனும் சம்பவங்களை அடையாளம் காணவும், அது போன்ற சம்பவங்களுக்கு உரிய நேரத்தில் பதிலளிப்பதற்காகவும் எங்கள் வைரஸ் எதிர்ப்பு மற்றும் தீம்பொருள் பாதுகாப்பு மென்பொருள் விழிப்பூட்டல்கள் மற்றும் பதிவுகளை நாங்கள் கண்காணிக்கிறோம்.
9.5 பதிவுகள் பராமரிப்பு
ஆண்டி வைரஸ் மற்றும் மால்வேர் பாதுகாப்பு மென்பொருள் உள்ளமைவு, புதுப்பிப்புகள் மற்றும் ஸ்கேன்கள், அத்துடன் வைரஸ் அல்லது மால்வேர் நோய்த்தொற்றுகளின் ஏதேனும் சம்பவங்கள் ஆகியவற்றை தணிக்கை நோக்கங்களுக்காக நாங்கள் பராமரிக்கிறோம்.
9.6 மென்பொருள் விமர்சனங்கள்
எங்களின் வைரஸ் எதிர்ப்பு மற்றும் மால்வேர் பாதுகாப்பு மென்பொருளானது தற்போதைய தொழில்துறை தரநிலைகளை பூர்த்திசெய்கிறது மற்றும் எங்கள் தேவைகளுக்கு போதுமானது என்பதை உறுதிசெய்ய அவ்வப்போது மதிப்பாய்வுகளை மேற்கொள்கிறோம்.
9.7. பயிற்சி மற்றும் விழிப்புணர்வு
வைரஸ் மற்றும் மால்வேர் பாதுகாப்பின் முக்கியத்துவம் மற்றும் சந்தேகத்திற்கிடமான செயல்பாடுகள் அல்லது சம்பவங்களை எவ்வாறு அங்கீகரிப்பது மற்றும் புகாரளிப்பது என்பது குறித்து அனைத்து ஊழியர்களுக்கும் பயிற்சி மற்றும் விழிப்புணர்வு திட்டங்களை வழங்குகிறோம்.
பகுதி 10. தகவல் சொத்து மேலாண்மை
10.1 தகவல் சொத்து இருப்பு
அமைப்புகள், நெட்வொர்க்குகள், மென்பொருள், தரவு மற்றும் ஆவணங்கள் போன்ற அனைத்து டிஜிட்டல் மற்றும் இயற்பியல் தகவல் சொத்துக்களையும் உள்ளடக்கிய தகவல் சொத்துக்களின் பட்டியலை ஐரோப்பிய IT சான்றளிப்பு நிறுவனம் பராமரிக்கிறது. தகுந்த பாதுகாப்பு நடவடிக்கைகள் செயல்படுத்தப்படுவதை உறுதி செய்வதற்காக, தகவல் சொத்துக்களை அவற்றின் விமர்சனம் மற்றும் உணர்திறன் அடிப்படையில் வகைப்படுத்துகிறோம்.
10.2 தகவல் சொத்து கையாளுதல்
இரகசியத்தன்மை, ஒருமைப்பாடு மற்றும் கிடைக்கும் தன்மை உட்பட, அவற்றின் வகைப்பாட்டின் அடிப்படையில் தகவல் சொத்துக்களைப் பாதுகாப்பதற்கான பொருத்தமான நடவடிக்கைகளை நாங்கள் செயல்படுத்துகிறோம். பொருந்தக்கூடிய சட்டங்கள், விதிமுறைகள் மற்றும் ஒப்பந்தத் தேவைகளுக்கு ஏற்ப அனைத்து தகவல் சொத்துக்களும் கையாளப்படுவதை உறுதிசெய்கிறோம். அனைத்து தகவல் சொத்துக்களும் முறையாக சேமிக்கப்பட்டு, பாதுகாக்கப்பட்டு, தேவையில்லாத போது அகற்றப்படுவதையும் நாங்கள் உறுதிசெய்கிறோம்.
10.3 தகவல் சொத்து உரிமை
தகவல் சொத்துக்களை நிர்வகிப்பதற்கும் பாதுகாப்பதற்கும் பொறுப்பான தனிநபர்கள் அல்லது துறைகளுக்கு தகவல் சொத்து உரிமையை நாங்கள் வழங்குகிறோம். தகவல் சொத்துக்களைப் பாதுகாப்பதற்கான அவர்களின் பொறுப்புகள் மற்றும் பொறுப்புகளை தகவல் சொத்து உரிமையாளர்கள் புரிந்துகொள்வதையும் நாங்கள் உறுதிசெய்கிறோம்.
10.4 தகவல் சொத்து பாதுகாப்பு
உடல் கட்டுப்பாடுகள், அணுகல் கட்டுப்பாடுகள், குறியாக்கம் மற்றும் காப்புப் பிரதி மற்றும் மீட்பு செயல்முறைகள் உட்பட, தகவல் சொத்துக்களைப் பாதுகாக்க பல்வேறு பாதுகாப்பு நடவடிக்கைகளை நாங்கள் பயன்படுத்துகிறோம். அனைத்து தகவல் சொத்துக்களும் அங்கீகரிக்கப்படாத அணுகல், மாற்றம் அல்லது அழிவுக்கு எதிராக பாதுகாக்கப்படுவதையும் உறுதிசெய்கிறோம்.
பகுதி 11. அணுகல் கட்டுப்பாடு
11.1. அணுகல் கட்டுப்பாட்டுக் கொள்கை
ஐரோப்பிய ஐடி சான்றளிப்பு நிறுவனம் அணுகல் கட்டுப்பாட்டுக் கொள்கையைக் கொண்டுள்ளது, இது தகவல் சொத்துக்களுக்கான அணுகலை வழங்குதல், மாற்றுதல் மற்றும் திரும்பப் பெறுதல் ஆகியவற்றின் தேவைகளை கோடிட்டுக் காட்டுகிறது. அணுகல் கட்டுப்பாடு என்பது எங்கள் தகவல் பாதுகாப்பு மேலாண்மை அமைப்பின் ஒரு முக்கிய அங்கமாகும், மேலும் அங்கீகரிக்கப்பட்ட தனிநபர்கள் மட்டுமே எங்கள் தகவல் சொத்துக்களை அணுகுவதை உறுதி செய்வதற்காக நாங்கள் அதை செயல்படுத்துகிறோம்.
11.2 அணுகல் கட்டுப்பாடு செயல்படுத்தல்
குறைந்தபட்ச சலுகையின் கொள்கையின் அடிப்படையில் அணுகல் கட்டுப்பாட்டு நடவடிக்கைகளை நாங்கள் செயல்படுத்துகிறோம், அதாவது தனிநபர்கள் தங்கள் வேலை செயல்பாடுகளைச் செய்வதற்குத் தேவையான தகவல் சொத்துக்களை மட்டுமே அணுக முடியும். அங்கீகாரம், அங்கீகாரம் மற்றும் கணக்கியல் (AAA) உள்ளிட்ட பல்வேறு அணுகல் கட்டுப்பாட்டு நடவடிக்கைகளை நாங்கள் பயன்படுத்துகிறோம். தகவல் சொத்துக்களுக்கான அணுகலைக் கட்டுப்படுத்த அணுகல் கட்டுப்பாட்டுப் பட்டியல்கள் (ACLகள்) மற்றும் அனுமதிகளையும் நாங்கள் பயன்படுத்துகிறோம்.
11.3. கடவுச்சொல் கொள்கை
ஐரோப்பிய ஐடி சான்றளிப்பு நிறுவனம் கடவுச்சொற்களை உருவாக்குவதற்கும் நிர்வகிப்பதற்குமான தேவைகளைக் கோடிட்டுக் காட்டும் கடவுச்சொல் கொள்கையைக் கொண்டுள்ளது. பெரிய மற்றும் சிறிய எழுத்துக்கள், எண்கள் மற்றும் சிறப்பு எழுத்துகள் ஆகியவற்றின் கலவையுடன், குறைந்தபட்சம் 8 எழுத்துகள் நீளமுள்ள வலுவான கடவுச்சொற்கள் தேவை. எங்களுக்கு அவ்வப்போது கடவுச்சொல் மாற்றங்கள் தேவை மற்றும் முந்தைய கடவுச்சொற்களை மீண்டும் பயன்படுத்துவதைத் தடைசெய்கிறோம்.
11.4. பயனர் மேலாண்மை
எங்களிடம் பயனர் மேலாண்மை செயல்முறை உள்ளது, அதில் பயனர் கணக்குகளை உருவாக்குதல், மாற்றுதல் மற்றும் நீக்குதல் ஆகியவை அடங்கும். பயனர் கணக்குகள் குறைந்தபட்ச சலுகையின் கொள்கையின் அடிப்படையில் உருவாக்கப்படுகின்றன, மேலும் தனிநபரின் வேலை செயல்பாடுகளைச் செய்வதற்குத் தேவையான தகவல் சொத்துக்களுக்கு மட்டுமே அணுகல் வழங்கப்படுகிறது. நாங்கள் தொடர்ந்து பயனர் கணக்குகளை மதிப்பாய்வு செய்து, இனி தேவைப்படாத கணக்குகளை அகற்றுவோம்.
பகுதி 12. தகவல் பாதுகாப்பு நிகழ்வு மேலாண்மை
12.1 சம்பவ மேலாண்மை கொள்கை
ஐரோப்பிய ஐடி சான்றளிப்பு நிறுவனம், பாதுகாப்பு சம்பவங்களைக் கண்டறிதல், புகாரளித்தல், மதிப்பீடு செய்தல் மற்றும் பதிலளிப்பதற்கான தேவைகளைக் கோடிட்டுக் காட்டும் ஒரு சம்பவ மேலாண்மைக் கொள்கையைக் கொண்டுள்ளது. தகவல் சொத்துக்கள் அல்லது அமைப்புகளின் ரகசியத்தன்மை, ஒருமைப்பாடு அல்லது கிடைக்கும் தன்மையை சமரசம் செய்யும் எந்தவொரு நிகழ்வாக பாதுகாப்பு சம்பவங்களை நாங்கள் வரையறுக்கிறோம்.
12.2 சம்பவம் கண்டறிதல் மற்றும் அறிக்கை செய்தல்
பாதுகாப்பு சம்பவங்களை உடனுக்குடன் கண்டறிந்து புகாரளிப்பதற்கான நடவடிக்கைகளை நாங்கள் செயல்படுத்துகிறோம். ஊடுருவல் கண்டறிதல் அமைப்புகள் (IDS), வைரஸ் தடுப்பு மென்பொருள் மற்றும் பயனர் அறிக்கையிடல் உள்ளிட்ட பாதுகாப்பு சம்பவங்களைக் கண்டறிய பல்வேறு முறைகளைப் பயன்படுத்துகிறோம். பாதுகாப்புச் சம்பவங்களைப் புகாரளிப்பதற்கான நடைமுறைகள் குறித்து அனைத்து ஊழியர்களும் அறிந்திருப்பதையும், சந்தேகத்திற்குரிய அனைத்து சம்பவங்களைப் புகாரளிப்பதை ஊக்குவிக்கவும் நாங்கள் உறுதிசெய்கிறோம்.
12.3 சம்பவ மதிப்பீடு மற்றும் பதில்
பாதுகாப்பு சம்பவங்களை அவற்றின் தீவிரம் மற்றும் தாக்கத்தின் அடிப்படையில் மதிப்பிடுவதற்கும் பதிலளிப்பதற்கும் எங்களிடம் ஒரு செயல்முறை உள்ளது. தகவல் சொத்துக்கள் அல்லது அமைப்புகளில் அவற்றின் சாத்தியமான தாக்கத்தின் அடிப்படையில் சம்பவங்களுக்கு முன்னுரிமை அளிப்போம் மற்றும் அவற்றுக்கு பதிலளிப்பதற்கு பொருத்தமான ஆதாரங்களை ஒதுக்குகிறோம். எங்களிடம் ஒரு பதிலளிப்புத் திட்டம் உள்ளது, அதில் பாதுகாப்பு சம்பவங்களை அடையாளம் காண்பது, உள்ளடக்கியது, பகுப்பாய்வு செய்தல், அழித்தல் மற்றும் மீள்வது மற்றும் தொடர்புடைய தரப்பினருக்கு அறிவிப்பது மற்றும் சம்பவத்திற்குப் பிந்தைய மதிப்பாய்வுகளை நடத்துவது ஆகியவை அடங்கும். பாதுகாப்பு சம்பவங்களுக்கு. நடைமுறைகள் அவற்றின் செயல்திறனையும் பொருத்தத்தையும் உறுதிசெய்ய தொடர்ந்து மதிப்பாய்வு செய்யப்பட்டு புதுப்பிக்கப்படுகின்றன.
12.4 சம்பவ மறுமொழி குழு
பாதுகாப்புச் சம்பவங்களுக்குப் பதிலளிப்பதற்குப் பொறுப்பான சம்பவ மறுமொழிக் குழு (ஐஆர்டி) எங்களிடம் உள்ளது. IRT ஆனது பல்வேறு பிரிவுகளின் பிரதிநிதிகளைக் கொண்டது மற்றும் தகவல் பாதுகாப்பு அதிகாரி (ISO) தலைமையில் உள்ளது. சம்பவங்களின் தீவிரத்தை மதிப்பிடுவதற்கும், சம்பவத்தை உள்ளடக்கியதற்கும், பொருத்தமான பதிலளிப்பு நடைமுறைகளைத் தொடங்குவதற்கும் IRT பொறுப்பாகும்.
12.5 சம்பவ அறிக்கை மற்றும் மதிப்பாய்வு
பொருந்தக்கூடிய சட்டங்கள் மற்றும் விதிமுறைகளின்படி, வாடிக்கையாளர்கள், ஒழுங்குமுறை அதிகாரிகள் மற்றும் சட்ட அமலாக்க முகவர் உள்ளிட்ட தொடர்புடைய தரப்பினருக்கு பாதுகாப்பு சம்பவங்களைப் புகாரளிப்பதற்கான நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம். சம்பவத்தின் பதிலளிப்பு செயல்முறை முழுவதும் பாதிக்கப்பட்ட தரப்பினருடன் நாங்கள் தொடர்பைப் பேணுகிறோம், சம்பவத்தின் நிலை மற்றும் அதன் தாக்கத்தைத் தணிக்க எடுக்கப்படும் நடவடிக்கைகள் குறித்த சரியான நேரத்தில் அறிவிப்புகளை வழங்குகிறோம். மூல காரணத்தை அடையாளம் காணவும், எதிர்காலத்தில் இதுபோன்ற சம்பவங்கள் நிகழாமல் தடுக்கவும் அனைத்து பாதுகாப்பு சம்பவங்களையும் நாங்கள் மதிப்பாய்வு செய்கிறோம்.
பகுதி 13. வணிகத் தொடர்ச்சி மேலாண்மை மற்றும் பேரிடர் மீட்பு
13.1. வணிக தொடர்ச்சி திட்டமிடல்
ஐரோப்பிய ஐடி சான்றளிப்பு நிறுவனம் ஒரு இலாப நோக்கற்ற அமைப்பாக இருந்தாலும், அது ஒரு வணிகத் தொடர்ச்சித் திட்டத்தை (BCP) கொண்டுள்ளது, இது இடையூறு விளைவிக்கும் சம்பவத்தின் போது அதன் செயல்பாடுகளின் தொடர்ச்சியை உறுதி செய்வதற்கான நடைமுறைகளை கோடிட்டுக் காட்டுகிறது. BCP அனைத்து முக்கியமான இயக்க செயல்முறைகளையும் உள்ளடக்கியது மற்றும் இடையூறு விளைவிக்கும் சம்பவத்தின் போது மற்றும் அதற்குப் பிறகு செயல்பாடுகளை பராமரிக்க தேவையான ஆதாரங்களை அடையாளம் காட்டுகிறது. ஒரு இடையூறு அல்லது பேரழிவின் போது வணிக நடவடிக்கைகளைப் பராமரிப்பது, இடையூறுகளின் தாக்கத்தை மதிப்பிடுவது, ஒரு குறிப்பிட்ட சீர்குலைவு சம்பவத்தின் பின்னணியில் மிகவும் முக்கியமான இயக்க செயல்முறைகளை அடையாளம் காண்பது மற்றும் பதில் மற்றும் மீட்பு நடைமுறைகளை உருவாக்குவதற்கான நடைமுறைகளையும் இது கோடிட்டுக் காட்டுகிறது.
13.2 பேரிடர் மீட்பு திட்டமிடல்
ஐரோப்பிய தகவல் தொழில்நுட்ப சான்றிதழ் நிறுவனம் பேரழிவு மீட்புத் திட்டத்தை (டிஆர்பி) கொண்டுள்ளது, இது இடையூறு அல்லது பேரழிவு ஏற்பட்டால் எங்கள் தகவல் அமைப்புகளை மீட்டெடுப்பதற்கான நடைமுறைகளை கோடிட்டுக் காட்டுகிறது. தரவு காப்புப்பிரதி, தரவு மறுசீரமைப்பு மற்றும் கணினி மீட்புக்கான நடைமுறைகளை DRP கொண்டுள்ளது. டிஆர்பி அதன் செயல்திறனை உறுதிசெய்ய தொடர்ந்து சோதிக்கப்பட்டு புதுப்பிக்கப்படுகிறது.
13.3. வணிக தாக்க பகுப்பாய்வு
முக்கியமான செயல்பாட்டு செயல்முறைகள் மற்றும் அவற்றைப் பராமரிப்பதற்குத் தேவையான ஆதாரங்களைக் கண்டறிய வணிகத் தாக்கப் பகுப்பாய்வை (BIA) நடத்துகிறோம். BIA எங்களின் மீட்பு முயற்சிகளுக்கு முன்னுரிமை அளிக்கவும், அதற்கேற்ப வளங்களை ஒதுக்கவும் உதவுகிறது.
13.4 வணிக தொடர்ச்சி உத்தி
BIA இன் முடிவுகளின் அடிப்படையில், இடையூறு விளைவிக்கும் சம்பவத்திற்கு பதிலளிப்பதற்கான நடைமுறைகளை கோடிட்டுக் காட்டும் வணிகத் தொடர்ச்சி உத்தியை நாங்கள் உருவாக்குகிறோம். மூலோபாயம் BCP ஐ செயல்படுத்துதல், முக்கியமான செயல்பாட்டு செயல்முறைகளை மீட்டமைத்தல் மற்றும் தொடர்புடைய பங்குதாரர்களுடன் தொடர்புகொள்வதற்கான நடைமுறைகளை உள்ளடக்கியது.
13.5 சோதனை மற்றும் பராமரிப்பு
எங்கள் BCP மற்றும் DRP ஆகியவற்றின் செயல்திறனையும் பொருத்தத்தையும் உறுதிசெய்ய நாங்கள் தொடர்ந்து சோதித்து பராமரிக்கிறோம். BCP/DRP ஐ சரிபார்க்கவும் மற்றும் முன்னேற்றத்திற்கான பகுதிகளை அடையாளம் காணவும் நாங்கள் வழக்கமான சோதனைகளை நடத்துகிறோம். எங்களின் செயல்பாடுகள் அல்லது அச்சுறுத்தல் நிலப்பரப்பில் ஏற்படும் மாற்றங்களை பிரதிபலிக்கும் வகையில் BCP மற்றும் DRPஐயும் புதுப்பிக்கிறோம். சோதனையில் டேப்லெட் பயிற்சிகள், உருவகப்படுத்துதல்கள் மற்றும் நடைமுறைகளின் நேரடி சோதனை ஆகியவை அடங்கும். சோதனை முடிவுகள் மற்றும் கற்றுக்கொண்ட பாடங்களின் அடிப்படையில் நாங்கள் எங்கள் திட்டங்களை மதிப்பாய்வு செய்து புதுப்பிக்கிறோம்.
13.6. மாற்று செயலாக்க தளங்கள்
இடையூறு அல்லது பேரழிவு ஏற்பட்டால் வணிக நடவடிக்கைகளைத் தொடரப் பயன்படுத்தக்கூடிய மாற்று ஆன்லைன் செயலாக்க தளங்களை நாங்கள் பராமரிக்கிறோம். மாற்று செயலாக்க தளங்கள் தேவையான உள்கட்டமைப்புகள் மற்றும் அமைப்புகளுடன் பொருத்தப்பட்டுள்ளன, மேலும் முக்கியமான வணிக செயல்முறைகளை ஆதரிக்க பயன்படுத்தப்படலாம்.
பகுதி 14. இணக்கம் மற்றும் தணிக்கை
14.1. சட்டங்கள் மற்றும் ஒழுங்குமுறைகளுடன் இணங்குதல்
தரவுப் பாதுகாப்புச் சட்டங்கள், தொழில் தரநிலைகள் மற்றும் ஒப்பந்தக் கடமைகள் உட்பட, தகவல் பாதுகாப்பு மற்றும் தனியுரிமை தொடர்பான அனைத்து பொருந்தக்கூடிய சட்டங்கள் மற்றும் விதிமுறைகளுக்கு இணங்க ஐரோப்பிய ஐடி சான்றிதழ் நிறுவனம் உறுதிபூண்டுள்ளது. தொடர்புடைய அனைத்து தேவைகள் மற்றும் தரநிலைகளுடன் இணங்குவதை உறுதிசெய்ய, எங்கள் கொள்கைகள், நடைமுறைகள் மற்றும் கட்டுப்பாடுகளை நாங்கள் தொடர்ந்து மதிப்பாய்வு செய்து புதுப்பிக்கிறோம். தகவல் பாதுகாப்பு சூழலில் நாங்கள் பின்பற்றும் முக்கிய தரநிலைகள் மற்றும் கட்டமைப்புகள் பின்வருமாறு:
- ISO/IEC 27001 தரநிலையானது, ஒரு தகவல் பாதுகாப்பு மேலாண்மை அமைப்பை (ISMS) செயல்படுத்துதல் மற்றும் நிர்வகிப்பதற்கான வழிகாட்டுதல்களை வழங்குகிறது, இதில் பாதிப்பு மேலாண்மை ஒரு முக்கிய அங்கமாக உள்ளது. பாதிப்பு மேலாண்மை உட்பட எங்கள் தகவல் பாதுகாப்பு மேலாண்மை அமைப்பை (ISMS) செயல்படுத்துவதற்கும் பராமரிப்பதற்கும் இது ஒரு குறிப்பு கட்டமைப்பை வழங்குகிறது. இந்த நிலையான விதிகளுக்கு இணங்க, பாதிப்புகள் உட்பட தகவல் பாதுகாப்பு அபாயங்களைக் கண்டறிந்து, மதிப்பிடுகிறோம் மற்றும் நிர்வகிக்கிறோம்.
- யுஎஸ் நேஷனல் இன்ஸ்டிடியூட் ஆஃப் ஸ்டாண்டர்ட்ஸ் அண்ட் டெக்னாலஜி (என்ஐஎஸ்டி) சைபர் செக்யூரிட்டி ஃபிரேம்வொர்க், பாதிப்பு மேலாண்மை உட்பட சைபர் பாதுகாப்பு அபாயங்களைக் கண்டறிதல், மதிப்பீடு செய்தல் மற்றும் நிர்வகிப்பதற்கான வழிகாட்டுதல்களை வழங்குகிறது.
- நேஷனல் இன்ஸ்டிடியூட் ஆஃப் ஸ்டாண்டர்ட்ஸ் அண்ட் டெக்னாலஜி (என்ஐஎஸ்டி) சைபர் செக்யூரிட்டி ரிஸ்க் மேனேஜ்மென்ட்டை மேம்படுத்துவதற்கான சைபர் செக்யூரிட்டி ஃப்ரேம்வொர்க், எங்கள் இணையப் பாதுகாப்பு அபாயங்களை நிர்வகிப்பதற்கு நாங்கள் கடைபிடிக்கும் பாதிப்பு மேலாண்மை உள்ளிட்ட முக்கிய செயல்பாடுகள்.
- SANS கிரிட்டிகல் செக்யூரிட்டி கன்ட்ரோல்ஸ் சைபர் பாதுகாப்பை மேம்படுத்த 20 பாதுகாப்புக் கட்டுப்பாடுகளைக் கொண்டுள்ளது, பாதிப்பு மேலாண்மை உட்பட பல பகுதிகளை உள்ளடக்கியது, பாதிப்பு ஸ்கேனிங், பேட்ச் மேனேஜ்மென்ட் மற்றும் பாதிப்பு மேலாண்மையின் பிற அம்சங்களில் குறிப்பிட்ட வழிகாட்டுதலை வழங்குகிறது.
- பேமென்ட் கார்டு இண்டஸ்ட்ரி டேட்டா செக்யூரிட்டி ஸ்டாண்டர்ட் (பிசிஐ டிஎஸ்எஸ்), இந்த சூழலில் பாதிப்பு மேலாண்மை தொடர்பான கிரெடிட் கார்டு தகவலைக் கையாள வேண்டும்.
- இணைய பாதுகாப்பு கட்டுப்பாடுகளுக்கான மையம் (CIS) எங்கள் தகவல் அமைப்புகளின் பாதுகாப்பான உள்ளமைவுகளை உறுதி செய்வதற்கான முக்கிய கட்டுப்பாடுகளில் ஒன்றாக பாதிப்பு மேலாண்மை உட்பட.
- ஓப்பன் வெப் அப்ளிகேஷன் செக்யூரிட்டி ப்ராஜெக்ட் (OWASP), இன்ஜெக்ஷன் தாக்குதல்கள், உடைந்த அங்கீகாரம் மற்றும் அமர்வு மேலாண்மை, கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS) போன்ற பாதிப்புகள் மதிப்பீடு உட்பட, மிக முக்கியமான இணைய பயன்பாட்டு பாதுகாப்பு அபாயங்களின் முதல் 10 பட்டியலுடன். OWASP டாப் 10 எங்கள் பாதிப்பு மேலாண்மை முயற்சிகளுக்கு முன்னுரிமை அளிப்பதற்கும், எங்கள் இணைய அமைப்புகளைப் பொறுத்தவரை மிகவும் முக்கியமான அபாயங்களில் கவனம் செலுத்துவதற்கும்.
14.2. உள்துறை தணிக்கை
எங்கள் தகவல் பாதுகாப்பு மேலாண்மை அமைப்பின் (ISMS) செயல்திறனை மதிப்பிடுவதற்கும் எங்கள் கொள்கைகள், நடைமுறைகள் மற்றும் கட்டுப்பாடுகள் பின்பற்றப்படுவதை உறுதி செய்வதற்கும் நாங்கள் வழக்கமான உள் தணிக்கைகளை மேற்கொள்கிறோம். உள் தணிக்கை செயல்முறையானது இணக்கமற்றவற்றை அடையாளம் காணுதல், சரிசெய்தல் செயல்களின் வளர்ச்சி மற்றும் சரிசெய்தல் முயற்சிகளைக் கண்காணித்தல் ஆகியவற்றை உள்ளடக்கியது.
14.3. வெளிப்புற தணிக்கை
பொருந்தக்கூடிய சட்டங்கள், ஒழுங்குமுறைகள் மற்றும் தொழில் தரநிலைகளுடன் நாங்கள் இணங்குவதைச் சரிபார்க்க, வெளிப்புற தணிக்கையாளர்களுடன் அவ்வப்போது ஈடுபடுவோம். எங்கள் இணக்கத்தை சரிபார்க்க தேவையான எங்கள் வசதிகள், அமைப்புகள் மற்றும் ஆவணங்களுக்கான அணுகலை தணிக்கையாளர்களுக்கு வழங்குகிறோம். தணிக்கைச் செயல்பாட்டின் போது அடையாளம் காணப்பட்ட ஏதேனும் கண்டுபிடிப்புகள் அல்லது பரிந்துரைகளை நிவர்த்தி செய்ய வெளிப்புற தணிக்கையாளர்களுடன் நாங்கள் பணியாற்றுகிறோம்.
14.4. இணக்க கண்காணிப்பு
பொருந்தக்கூடிய சட்டங்கள், ஒழுங்குமுறைகள் மற்றும் தொழில்துறை தரநிலைகளுடன் நாங்கள் இணக்கமாக இருப்பதை நாங்கள் தொடர்ந்து கண்காணிக்கிறோம். காலமுறை மதிப்பீடுகள், தணிக்கைகள் மற்றும் மூன்றாம் தரப்பு வழங்குநர்களின் மதிப்புரைகள் உட்பட இணக்கத்தைக் கண்காணிக்க பல்வேறு முறைகளைப் பயன்படுத்துகிறோம். தொடர்புடைய அனைத்துத் தேவைகளுக்கும் தொடர்ந்து இணங்குவதை உறுதிசெய்ய, எங்கள் கொள்கைகள், நடைமுறைகள் மற்றும் கட்டுப்பாடுகளை நாங்கள் தொடர்ந்து மதிப்பாய்வு செய்து புதுப்பிக்கிறோம்.
பகுதி 15. மூன்றாம் தரப்பு மேலாண்மை
15.1. மூன்றாம் தரப்பு மேலாண்மை கொள்கை
ஐரோப்பிய IT சான்றளிப்பு நிறுவனம் ஒரு மூன்றாம் தரப்பு மேலாண்மைக் கொள்கையைக் கொண்டுள்ளது, இது எங்கள் தகவல் சொத்துக்கள் அல்லது அமைப்புகளுக்கான அணுகலைக் கொண்ட மூன்றாம் தரப்பு வழங்குநர்களைத் தேர்ந்தெடுப்பது, மதிப்பீடு செய்தல் மற்றும் கண்காணிப்பதற்கான தேவைகளை கோடிட்டுக் காட்டுகிறது. கிளவுட் சேவை வழங்குநர்கள், விற்பனையாளர்கள் மற்றும் ஒப்பந்ததாரர்கள் உட்பட அனைத்து மூன்றாம் தரப்பு வழங்குநர்களுக்கும் இந்தக் கொள்கை பொருந்தும்.
15.2 மூன்றாம் தரப்பு தேர்வு மற்றும் மதிப்பீடு
எங்கள் தகவல் சொத்துக்கள் அல்லது அமைப்புகளைப் பாதுகாக்க, மூன்றாம் தரப்பு வழங்குநர்களிடம் போதுமான பாதுகாப்புக் கட்டுப்பாடுகள் உள்ளனவா என்பதை உறுதிசெய்ய, அவர்களுடன் ஈடுபடுவதற்கு முன், நாங்கள் உரிய விடாமுயற்சியை மேற்கொள்கிறோம். தகவல் பாதுகாப்பு மற்றும் தனியுரிமை தொடர்பான பொருந்தக்கூடிய சட்டங்கள் மற்றும் ஒழுங்குமுறைகளுடன் மூன்றாம் தரப்பு வழங்குநர்களின் இணக்கத்தையும் நாங்கள் மதிப்பிடுகிறோம்.
15.3. மூன்றாம் தரப்பு கண்காணிப்பு
மூன்றாம் தரப்பு வழங்குநர்கள் தகவல் பாதுகாப்பு மற்றும் தனியுரிமைக்கான எங்கள் தேவைகளை அவர்கள் தொடர்ந்து பூர்த்தி செய்வதை உறுதி செய்வதற்காக நாங்கள் தொடர்ந்து கண்காணிக்கிறோம். மூன்றாம் தரப்பு வழங்குநர்களைக் கண்காணிக்க, அவ்வப்போது மதிப்பீடுகள், தணிக்கைகள் மற்றும் பாதுகாப்பு சம்பவ அறிக்கைகளின் மதிப்புரைகள் உட்பட பல்வேறு முறைகளைப் பயன்படுத்துகிறோம்.
15.4 ஒப்பந்தத் தேவைகள்
மூன்றாம் தரப்பு வழங்குநர்களுடனான அனைத்து ஒப்பந்தங்களிலும் தகவல் பாதுகாப்பு மற்றும் தனியுரிமை தொடர்பான ஒப்பந்தத் தேவைகளை நாங்கள் உள்ளடக்குகிறோம். இந்தத் தேவைகளில் தரவுப் பாதுகாப்பு, பாதுகாப்புக் கட்டுப்பாடுகள், சம்பவ மேலாண்மை மற்றும் இணக்க கண்காணிப்பு ஆகியவற்றுக்கான விதிகள் அடங்கும். பாதுகாப்புச் சம்பவம் அல்லது இணக்கமின்மை ஏற்பட்டால் ஒப்பந்தங்களை முடிப்பதற்கான விதிகளையும் நாங்கள் உள்ளடக்கியுள்ளோம்.
பகுதி 16. சான்றிதழ் செயல்முறைகளில் தகவல் பாதுகாப்பு
16.1 சான்றிதழ் செயல்முறைகளின் பாதுகாப்பு
சான்றிதழைக் கோரும் தனிநபர்களின் தனிப்பட்ட தரவு உட்பட, எங்கள் சான்றிதழ் செயல்முறைகள் தொடர்பான அனைத்து தகவல்களின் பாதுகாப்பை உறுதிப்படுத்த போதுமான மற்றும் முறையான நடவடிக்கைகளை நாங்கள் எடுக்கிறோம். சான்றிதழ் தொடர்பான அனைத்து தகவல்களின் அணுகல், சேமிப்பு மற்றும் பரிமாற்றத்திற்கான கட்டுப்பாடுகள் இதில் அடங்கும். இந்த நடவடிக்கைகளைச் செயல்படுத்துவதன் மூலம், சான்றிதழ் செயல்முறைகள் மிக உயர்ந்த அளவிலான பாதுகாப்பு மற்றும் நேர்மையுடன் நடத்தப்படுவதையும், சான்றிதழ் கோரும் தனிநபர்களின் தனிப்பட்ட தரவுகள் தொடர்புடைய விதிமுறைகள் மற்றும் தரநிலைகளுக்கு இணங்கப் பாதுகாக்கப்படுவதையும் உறுதிசெய்வதை நோக்கமாகக் கொண்டுள்ளோம்.
16.2 அங்கீகாரம் மற்றும் அங்கீகாரம்
அங்கீகரிக்கப்பட்ட பணியாளர்கள் மட்டுமே சான்றிதழ் தகவலை அணுகுவதை உறுதிசெய்ய, அங்கீகாரம் மற்றும் அங்கீகாரக் கட்டுப்பாடுகளைப் பயன்படுத்துகிறோம். அணுகல் கட்டுப்பாடுகள், பணியாளர்கள் மற்றும் பொறுப்புகளில் ஏற்படும் மாற்றங்களின் அடிப்படையில் தொடர்ந்து மதிப்பாய்வு செய்யப்பட்டு புதுப்பிக்கப்படும்.
16.3. தரவு பாதுகாப்பு
தரவின் ரகசியத்தன்மை, ஒருமைப்பாடு மற்றும் கிடைக்கும் தன்மையை உறுதிசெய்ய பொருத்தமான தொழில்நுட்ப மற்றும் நிறுவன நடவடிக்கைகளை செயல்படுத்துவதன் மூலம் சான்றிதழ் செயல்முறை முழுவதும் தனிப்பட்ட தரவைப் பாதுகாக்கிறோம். குறியாக்கம், அணுகல் கட்டுப்பாடுகள் மற்றும் வழக்கமான காப்புப்பிரதிகள் போன்ற நடவடிக்கைகள் இதில் அடங்கும்.
16.4. தேர்வு செயல்முறைகளின் பாதுகாப்பு
மோசடியைத் தடுக்கவும், கண்காணிக்கவும் மற்றும் தேர்வு சூழலைக் கட்டுப்படுத்தவும் பொருத்தமான நடவடிக்கைகளை செயல்படுத்துவதன் மூலம் தேர்வு செயல்முறைகளின் பாதுகாப்பை நாங்கள் உறுதிசெய்கிறோம். பாதுகாப்பான சேமிப்பு நடைமுறைகள் மூலம் தேர்வுப் பொருட்களின் நேர்மை மற்றும் ரகசியத்தன்மையையும் நாங்கள் பராமரிக்கிறோம்.
16.5 தேர்வு உள்ளடக்கத்தின் பாதுகாப்பு
அங்கீகரிக்கப்படாத அணுகல், மாற்றம் அல்லது உள்ளடக்கத்தை வெளிப்படுத்துதல் ஆகியவற்றிலிருந்து பாதுகாப்பதற்கான பொருத்தமான நடவடிக்கைகளைச் செயல்படுத்துவதன் மூலம் தேர்வு உள்ளடக்கத்தின் பாதுகாப்பை உறுதிசெய்கிறோம். பரீட்சை உள்ளடக்கத்திற்கான பாதுகாப்பான சேமிப்பு, குறியாக்கம் மற்றும் அணுகல் கட்டுப்பாடுகள், அத்துடன் பரீட்சை உள்ளடக்கத்தை அங்கீகரிக்கப்படாத விநியோகம் அல்லது பரப்புதலைத் தடுப்பதற்கான கட்டுப்பாடுகள் ஆகியவை இதில் அடங்கும்.
16.6. தேர்வு விநியோகத்தின் பாதுகாப்பு
பரீட்சை சூழலை அங்கீகரிக்கப்படாத அணுகல் அல்லது கையாளுதல் ஆகியவற்றைத் தடுக்க பொருத்தமான நடவடிக்கைகளை செயல்படுத்துவதன் மூலம் தேர்வு விநியோகத்தின் பாதுகாப்பை உறுதிசெய்கிறோம். கண்காணிப்பு, தணிக்கை மற்றும் தேர்வு சூழல் மற்றும் குறிப்பிட்ட தேர்வு அணுகுமுறைகள், மோசடி அல்லது பிற பாதுகாப்பு மீறல்களைத் தடுப்பது போன்ற நடவடிக்கைகள் இதில் அடங்கும்.
16.7. தேர்வு முடிவுகளின் பாதுகாப்பு
அங்கீகரிக்கப்படாத அணுகல், மாற்றுதல் அல்லது முடிவுகளை வெளியிடுதல் ஆகியவற்றிலிருந்து பாதுகாப்பதற்கான பொருத்தமான நடவடிக்கைகளை செயல்படுத்துவதன் மூலம் தேர்வு முடிவுகளின் பாதுகாப்பை உறுதிசெய்கிறோம். பரீட்சை முடிவுகளுக்கான பாதுகாப்பான சேமிப்பு, குறியாக்கம் மற்றும் அணுகல் கட்டுப்பாடுகள், அத்துடன் தேர்வு முடிவுகளின் அங்கீகரிக்கப்படாத விநியோகம் அல்லது பரவலைத் தடுப்பதற்கான கட்டுப்பாடுகள் ஆகியவை இதில் அடங்கும்.
16.8 சான்றிதழ் வழங்கல் பாதுகாப்பு
மோசடி மற்றும் அங்கீகாரமற்ற சான்றிதழ்களை வழங்குவதைத் தடுக்க உரிய நடவடிக்கைகளை செயல்படுத்துவதன் மூலம் சான்றிதழ் வழங்கலின் பாதுகாப்பை உறுதிசெய்கிறோம். சான்றிதழ்களைப் பெறும் தனிநபர்களின் அடையாளத்தைச் சரிபார்ப்பதற்கான கட்டுப்பாடுகள் மற்றும் பாதுகாப்பான சேமிப்பு மற்றும் வழங்கல் நடைமுறைகள் ஆகியவை இதில் அடங்கும்.
16.9 புகார்கள் மற்றும் முறையீடுகள்
சான்றிதழ் செயல்முறை தொடர்பான புகார்கள் மற்றும் மேல்முறையீடுகளை நிர்வகிப்பதற்கான நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம். இந்த நடைமுறைகள், செயல்பாட்டின் இரகசியத்தன்மை மற்றும் பாரபட்சமற்ற தன்மையை உறுதி செய்வதற்கான நடவடிக்கைகள் மற்றும் புகார்கள் மற்றும் முறையீடுகள் தொடர்பான தகவலின் பாதுகாப்பு ஆகியவற்றை உள்ளடக்கியது.
16.10. சான்றிதழ் செயல்முறைகள் தர மேலாண்மை
செயல்பாட்டின் செயல்திறன், செயல்திறன் மற்றும் பாதுகாப்பை உறுதி செய்வதற்கான நடவடிக்கைகளை உள்ளடக்கிய சான்றிதழ் செயல்முறைகளுக்காக ஒரு தர மேலாண்மை அமைப்பை (QMS) நாங்கள் நிறுவியுள்ளோம். QMS ஆனது வழக்கமான தணிக்கைகள் மற்றும் செயல்முறைகளின் மதிப்புரைகள் மற்றும் அவற்றின் பாதுகாப்பு கட்டுப்பாடுகளை உள்ளடக்கியது.
16.11. சான்றிதழ் செயல்முறைகளின் பாதுகாப்பின் தொடர்ச்சியான முன்னேற்றம்
எங்கள் சான்றிதழ் செயல்முறைகள் மற்றும் அவற்றின் பாதுகாப்பு கட்டுப்பாடுகளை தொடர்ந்து மேம்படுத்துவதற்கு நாங்கள் கடமைப்பட்டுள்ளோம். வணிகச் சூழலில் ஏற்படும் மாற்றங்கள், ஒழுங்குமுறைத் தேவைகள் மற்றும் தகவல் பாதுகாப்பு நிர்வாகத்தில் சிறந்த நடைமுறைகள், தகவல் பாதுகாப்பு மேலாண்மைக்கான ISO 27001 தரநிலை மற்றும் ISO ஆகியவற்றுடன் இணங்குதல் ஆகியவற்றின் அடிப்படையில் சான்றிதழ் தொடர்பான கொள்கைகள் மற்றும் செயல்முறைகளின் வழக்கமான மதிப்பாய்வுகள் மற்றும் புதுப்பிப்புகள் இதில் அடங்கும். 17024 சான்றிதழ் அமைப்புகள் செயல்படும் தரநிலை.
பகுதி 17. மூடும் ஏற்பாடுகள்
17.1. கொள்கை மதிப்பாய்வு மற்றும் புதுப்பித்தல்
இந்தத் தகவல் பாதுகாப்புக் கொள்கையானது, எங்கள் செயல்பாட்டுத் தேவைகள், ஒழுங்குமுறைத் தேவைகள் அல்லது தகவல் பாதுகாப்பு நிர்வாகத்தில் சிறந்த நடைமுறைகள் ஆகியவற்றின் அடிப்படையில் தொடர்ந்து மதிப்பாய்வுகள் மற்றும் புதுப்பிப்புகளுக்கு உட்படும் ஒரு உயிருள்ள ஆவணமாகும்.
17.2. இணக்க கண்காணிப்பு
இந்தத் தகவல் பாதுகாப்புக் கொள்கை மற்றும் தொடர்புடைய பாதுகாப்புக் கட்டுப்பாடுகளுடன் இணங்குவதைக் கண்காணிப்பதற்கான நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம். இணங்குதல் கண்காணிப்பில் வழக்கமான தணிக்கைகள், மதிப்பீடுகள் மற்றும் பாதுகாப்புக் கட்டுப்பாடுகளின் மதிப்புரைகள் மற்றும் இந்தக் கொள்கையின் நோக்கங்களை அடைவதில் அவற்றின் செயல்திறன் ஆகியவை அடங்கும்.
17.3. பாதுகாப்பு சம்பவங்களைப் புகாரளித்தல்
தனிநபர்களின் தனிப்பட்ட தரவுகள் உட்பட, எங்கள் தகவல் அமைப்புகளுடன் தொடர்புடைய பாதுகாப்பு சம்பவங்களைப் புகாரளிப்பதற்கான நடைமுறைகளை நாங்கள் நிறுவியுள்ளோம். பணியாளர்கள், ஒப்பந்ததாரர்கள் மற்றும் பிற பங்குதாரர்கள் ஏதேனும் பாதுகாப்பு சம்பவங்கள் அல்லது சந்தேகத்திற்குரிய சம்பவங்கள் குறித்து விரைவில் நியமிக்கப்பட்ட பாதுகாப்புக் குழுவிடம் தெரிவிக்க ஊக்குவிக்கப்படுகிறார்கள்.
17.4. பயிற்சி மற்றும் விழிப்புணர்வு
பணியாளர்கள், ஒப்பந்ததாரர்கள் மற்றும் பிற பங்குதாரர்களுக்கு தகவல் பாதுகாப்பு தொடர்பான அவர்களின் பொறுப்புகள் மற்றும் கடமைகள் பற்றி அவர்கள் அறிந்திருப்பதை உறுதி செய்வதற்காக நாங்கள் வழக்கமான பயிற்சி மற்றும் விழிப்புணர்வு திட்டங்களை வழங்குகிறோம். பாதுகாப்புக் கொள்கைகள் மற்றும் நடைமுறைகள் குறித்த பயிற்சி மற்றும் தனிநபர்களின் தனிப்பட்ட தரவைப் பாதுகாப்பதற்கான நடவடிக்கைகள் ஆகியவை இதில் அடங்கும்.
17.5. பொறுப்பு மற்றும் பொறுப்பு
இந்தத் தகவல் பாதுகாப்புக் கொள்கை மற்றும் தொடர்புடைய பாதுகாப்புக் கட்டுப்பாடுகளுக்கு இணங்குவதற்கு நாங்கள் அனைத்துப் பணியாளர்கள், ஒப்பந்ததாரர்கள் மற்றும் பிற பங்குதாரர்களையும் பொறுப்பாகவும் பொறுப்பாகவும் வைத்திருக்கிறோம். பயனுள்ள தகவல் பாதுகாப்புக் கட்டுப்பாடுகளை செயல்படுத்துவதற்கும் பராமரிப்பதற்கும் பொருத்தமான ஆதாரங்கள் ஒதுக்கப்படுவதை உறுதிசெய்வதற்கும் நாங்கள் நிர்வாகத்தை பொறுப்பேற்கிறோம்.
இந்த தகவல் பாதுகாப்புக் கொள்கையானது Euroepan IT சான்றளிப்பு நிறுவனத்தின் தகவல் பாதுகாப்பு மேலாண்மை கட்டமைப்பின் ஒரு முக்கிய அங்கமாகும், மேலும் தகவல் சொத்துக்கள் மற்றும் செயலாக்கப்பட்ட தரவைப் பாதுகாப்பதில் எங்கள் உறுதிப்பாட்டை நிரூபிக்கிறது, இரகசியத்தன்மை, தனியுரிமை, ஒருமைப்பாடு மற்றும் தகவலின் கிடைக்கும் தன்மை மற்றும் ஒழுங்குமுறை மற்றும் ஒப்பந்தத் தேவைகளுக்கு இணங்குகிறது.