د معلوماتو امنیت پالیسي
د EITCA اکاډمۍ د معلوماتو امنیت پالیسي
دا سند د اروپا IT تصدیق کولو انسټیټیوټ د معلوماتو امنیت پالیسي (ISP) مشخص کوي ، کوم چې په منظم ډول بیاکتنه کیږي او تازه کیږي ترڅو د دې اغیزمنتوب او تړاو ډاډمن کړي. د EITCI معلوماتو امنیت پالیسۍ ته وروستی تازه معلومات د جنوري په 7 مه 2023 جوړ شوی و.
1 برخه. پیژندنه او د معلوماتو امنیت پالیسۍ بیان
1.1. پېژندنه
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ د محرمیت ، بشپړتیا او معلوماتو شتون او زموږ د برخه اخیستونکو باور ساتلو کې د معلوماتو امنیت اهمیت پیژني. موږ د حساسو معلوماتو ساتنې ته ژمن یو، د شخصي معلوماتو په شمول، د غیر مجاز لاسرسي، افشا کولو، بدلون او ویجاړولو څخه. موږ خپلو پیرودونکو ته د باور وړ او بې طرفه تصدیق خدماتو چمتو کولو زموږ د ماموریت ملاتړ کولو لپاره د معلوماتو امنیت مؤثره پالیسي ساتو. د معلوماتو د امنیت پالیسي د معلوماتو د شتمنیو د ساتنې او زموږ د قانوني، تنظیمي، او قراردادي مکلفیتونو د پوره کولو لپاره زموږ ژمنتیا په ګوته کوي. زموږ پالیسي د ISO 27001 او ISO 17024 پر اصولو ولاړه ده، د معلوماتو امنیت مدیریت او د تصدیق کولو ادارو عملیاتي معیارونو لپاره مخکښ نړیوال معیارونه.
1.2. د پالیسۍ بیان
د اروپا د معلوماتي ټکنالوجۍ تصدیق انسټیټیوټ دې ته ژمن دی:
- د معلوماتو د شتمنیو د محرمیت، بشپړتیا او شتون ساتنه،
- د معلوماتو امنیت او د معلوماتو پروسس کولو پورې اړوند قانوني ، تنظیمي او قراردادي مکلفیتونو سره مطابقت د دې تصدیق پروسې او عملیاتو پلي کول ،
- په دوامداره توګه د هغې د معلوماتو امنیت پالیسۍ او اړوند مدیریت سیسټم ښه کول،
- کارمندانو، قراردادیانو او ګډون کوونکو ته د کافي روزنې او پوهاوي چمتو کول،
- د معلوماتو د امنیت پالیسۍ او اړونده معلوماتو امنیت مدیریت سیسټم پلي کولو او ساتنې کې د ټولو کارمندانو او قراردادیانو ګډون.
1.3. سکوپ
دا پالیسي د ټولو معلوماتو شتمنیو باندې تطبیق کیږي چې ملکیت، کنټرول، یا د اروپا د معلوماتي ټیکنالوژۍ تصدیق انسټیټیوټ لخوا پروسس شوي. پدې کې ټول ډیجیټل او فزیکي معلومات شامل دي، لکه سیسټمونه، شبکې، سافټویر، ډاټا، او اسناد. دا پالیسي په ټولو کارمندانو، قراردادیانو، او د دریمې ډلې خدماتو چمتو کونکو باندې هم پلي کیږي چې زموږ د معلوماتو شتمنیو ته لاسرسی لري.
1.4. تعمیل
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ د ISO 27001 او ISO 17024 په شمول د اړوندو معلوماتو امنیتي معیارونو سره مطابقت ته ژمن دی. موږ په منظمه توګه دا پالیسي بیاکتنه او تازه کوو ترڅو د دې معیارونو سره د دوامداره مطابقت او موافقت ډاډ ترلاسه کړو.
2 برخه. سازماني امنیت
2.1. د سازمان امنیتي اهداف
د سازماني امنیتي اقداماتو په پلي کولو سره، موږ موخه دا ده چې ډاډ ترلاسه کړو چې زموږ د معلوماتو شتمنۍ او د معلوماتو پروسس کولو کړنې او پروسیجرونه د لوړې کچې امنیت او بشپړتیا سره ترسره کیږي، او دا چې موږ د اړونده قانوني مقرراتو او معیارونو سره مطابقت لرو.
2.2. د معلوماتو امنیت رول او مسؤلیتونه
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ په ټوله اداره کې د معلوماتو امنیت لپاره رول او مسؤلیتونه تعریفوي او اړیکه نیسي. پدې کې د معلوماتو امنیت سره په ټکر کې د معلوماتو شتمنیو لپاره د واضح مالکیت ټاکل شامل دي، د حکومتدارۍ جوړښت رامینځته کول، او په ټوله اداره کې د مختلفو رولونو او څانګو لپاره د ځانګړو مسؤلیتونو تعریف کول شامل دي.
2.3. د خطر اداره کول
موږ سازمان ته د معلوماتو امنیت خطرونو پیژندلو او لومړیتوب ورکولو لپاره منظم خطر ارزونه ترسره کوو ، پشمول د شخصي معلوماتو پروسس کولو پورې اړوند خطرونه. موږ د دې خطرونو د کمولو لپاره مناسب کنټرولونه رامینځته کوو، او په منظمه توګه د سوداګرۍ چاپیریال او د ګواښ منظرې د بدلونونو پراساس زموږ د خطر مدیریت کړنالرې بیاکتنه او تازه کوو.
2.4. د معلوماتو امنیت پالیسۍ او پروسیجرونه
موږ د معلوماتو د خوندیتوب پالیسیو او طرزالعملونو یو سیټ رامینځته کوو او ساتو چې د صنعت غوره کړنو پراساس دي او د اړوندو مقرراتو او معیارونو سره مطابقت لري. دا پالیسۍ او طرزالعملونه د معلوماتو امنیت ټول اړخونه پوښي، په شمول د شخصي معلوماتو پروسس کول، او په منظمه توګه بیاکتنه او تازه کیږي ترڅو د دوی اغیزمنتوب ډاډمن کړي.
2.5. امنیتي پوهاوی او روزنه
موږ ټولو کارمندانو، قراردادیانو، او د دریمې ډلې شریکانو ته چې شخصي معلوماتو یا نورو حساسو معلوماتو ته لاسرسی لري منظم امنیتي پوهاوی او روزنیز پروګرامونه چمتو کوو. دا روزنه د فشینګ، ټولنیز انجینرۍ، پټنوم حفظ الصحه، او د معلوماتو د خوندیتوب نور غوره تمرینونه په څیر موضوعات پوښي.
2.6. فزیکي او چاپیریال امنیت
موږ مناسب فزیکي او چاپیریالي امنیت کنټرولونه پلي کوو ترڅو زموږ تاسیساتو او معلوماتو سیسټمونو ته د غیر مجاز لاسرسي ، زیان یا مداخلې پروړاندې ساتنه وکړي. پدې کې اقدامات شامل دي لکه د لاسرسي کنټرولونه، نظارت، څارنه، او د بیک اپ بریښنا او کولنګ سیسټمونه.
2.7. د معلوماتو امنیت پیښې مدیریت
موږ د پیښې مدیریت پروسه رامینځته کړې چې موږ ته دا وړتیا راکوي چې هرډول معلوماتي امنیتي پیښو ته په چټکه او مؤثره توګه ځواب ووایو چې پیښیږي. پدې کې د راپور ورکولو، زیاتوالي، تحقیقاتو، او د پیښو حل کولو طرزالعملونه شامل دي، او همدارنګه د بیا تکرار مخنیوي او زموږ د پیښو غبرګون وړتیاوو ته وده ورکولو لپاره اقدامات شامل دي.
2.8. عملیاتي دوام او د ناورین بیا رغونه
موږ عملیاتي تسلسل او د ناورین بیا رغونه پلانونه رامینځته کړي او ازمول شوي دي چې موږ ته د دې وړتیا راکوي چې د ګډوډي یا ناورین په حالت کې زموږ مهم عملیاتي دندې او خدمات وساتو. په دې پلانونو کې د معلوماتو او سیسټمونو د بیک اپ او بیا رغولو طرزالعملونه، او د شخصي معلوماتو شتون او بشپړتیا ډاډمن کولو لپاره اقدامات شامل دي.
2.9. د دریمې ډلې مدیریت
موږ د دریمې ډلې شریکانو سره تړلي خطرونو اداره کولو لپاره مناسب کنټرولونه رامینځته کوو او ساتو چې شخصي معلوماتو یا نورو حساسو معلوماتو ته لاسرسی لري. پدې کې اقدامات شامل دي لکه مناسب احتیاط، قراردادي مکلفیتونه، څارنه، او پلټنې، او همدارنګه د اړتیا په صورت کې د شراکت د پای ته رسولو اقدامات شامل دي.
دریمه برخه. د بشري منابعو امنیت
3.1. د کار موندنې سکرینینګ
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ د کارموندنې سکرینینګ لپاره یوه پروسه رامینځته کړې ترڅو ډاډ ترلاسه کړي چې حساس معلوماتو ته لاسرسی لرونکي اشخاص د باور وړ دي او اړین مهارتونه او وړتیاوې لري.
3.2. د لاسرسي کنټرول
موږ د لاسرسي کنټرول پالیسۍ او طرزالعملونه رامینځته کړي ترڅو ډاډ ترلاسه کړي چې کارمندان یوازې د دوی د دندې مسؤلیتونو لپاره اړین معلوماتو ته لاسرسی لري. د لاسرسي حقونه په منظم ډول بیاکتنه او تازه کیږي ترڅو ډاډ ترلاسه شي چې کارمندان یوازې هغه معلوماتو ته لاسرسی لري چې دوی ورته اړتیا لري.
3.3. د معلوماتو امنیت پوهاوی او روزنه
موږ په منظم ډول ټولو کارمندانو ته د معلوماتو امنیت پوهاوي روزنه ورکوو. دا روزنه د پاسورډ امنیت ، فشینګ بریدونه ، ټولنیز انجینري او د سایبر امنیت نور اړخونه پوښي.
3.4. د منلو وړ کارول
موږ د منلو وړ کارولو پالیسي رامینځته کړې چې د معلوماتو سیسټمونو او سرچینو د منلو وړ کارول په ګوته کوي ، پشمول د شخصي وسیلو په شمول چې د کار اهدافو لپاره کارول کیږي.
3.5. د ګرځنده وسیلې امنیت
موږ د ګرځنده وسیلو د خوندي کارونې لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د پاس کوډونو کارول ، کوډ کول او د لرې پرتو پاکولو وړتیا.
3.6. د ختمولو طرزالعملونه
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ د دندې یا قرارداد پای ته رسولو لپاره طرزالعملونه رامینځته کړي ترڅو ډاډ ترلاسه کړي چې حساس معلوماتو ته لاسرسی په سمدستي او خوندي توګه لغوه کیږي.
3.7. د دریمې ډلې پرسونل
موږ د دریمې ډلې پرسونل مدیریت لپاره طرزالعملونه رامینځته کړي چې حساس معلوماتو ته لاسرسی لري. په دې پالیسیو کې سکرینینګ، د لاسرسي کنټرول، او د معلوماتو د امنیت د پوهاوي روزنه شامله ده.
3.8. د پیښو راپور ورکول
موږ مناسب پرسونل یا چارواکو ته د معلوماتو امنیتي پیښو یا اندیښنو راپور ورکولو لپاره پالیسۍ او طرزالعملونه رامینځته کړي.
3.9. د محرمیت تړونونه
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ کارمندانو او قراردادیانو ته اړتیا لري چې د محرمیت تړونونه لاسلیک کړي ترڅو حساس معلومات د غیر مجاز افشا کیدو څخه خوندي کړي.
3.10. انضباطي کړنې
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ د کارمندانو یا قراردادیانو لخوا د معلوماتو امنیت پالیسۍ سرغړونې په صورت کې د انضباطي کړنو لپاره پالیسۍ او طرزالعملونه رامینځته کړي.
څلورمه برخه. د خطر ارزونه او مدیریت
4.1. د خطر ارزونه
موږ د وخت د خطر ارزونه ترسره کوو ترڅو زموږ د معلوماتو شتمنیو احتمالي ګواښونه او زیان منونکي وپیژنو. موږ د خطرونو د پیژندلو، تحلیل، ارزولو، او لومړیتوب ورکولو لپاره د دوی د احتمال او احتمالي اغیزو پر بنسټ یو جوړښتي چلند کاروو. موږ د سیسټمونو، شبکو، سافټویر، ډاټا، او اسنادو په شمول زموږ د معلوماتو شتمنیو سره تړلي خطرونه ارزوو.
4.2. د خطر درملنه
موږ د منلو وړ کچې ته د خطرونو کمولو یا کمولو لپاره د خطر درملنې پروسې کاروو. د خطر درملنې په پروسه کې د مناسبو کنټرولونو غوره کول، د کنټرولونو پلي کول، او د کنټرول اغیزمنتوب څارنه شامله ده. موږ د خطر د کچې، شته منابعو، او د سوداګرۍ لومړیتوبونو پر بنسټ د کنټرولونو پلي کولو ته لومړیتوب ورکوو.
4.3. د خطر څارنه او بیاکتنه
موږ په منظمه توګه زموږ د خطر مدیریت پروسې اغیزمنتوب څارنه او بیاکتنه کوو ترڅو ډاډ ترلاسه کړو چې دا اړونده او مؤثره پاتې کیږي. موږ د خپلو خطرونو مدیریت پروسې فعالیت اندازه کولو لپاره میټریکونه او شاخصونه کاروو او د پرمختګ لپاره فرصتونه پیژنو. موږ د خطر مدیریت پروسې زموږ د دورې مدیریت بیاکتنې برخې په توګه هم بیاکتنه کوو ترڅو د دې دوامداره مناسبیت ، مناسبیت او اغیزمنتوب ډاډ ترلاسه کړو.
4.4. د خطر ځواب پلان کول
موږ د خطر غبرګون پلان لرو ترڅو ډاډ ترلاسه کړو چې موږ کولی شو هر پیژندل شوي خطرونو ته په مؤثره توګه ځواب ووایو. پدې پلان کې د خطرونو پیژندلو او راپور ورکولو طرزالعملونه شامل دي، په بیله بیا د هر خطر د احتمالي اغیزو ارزولو او د مناسب غبرګون اقداماتو ټاکلو پروسې. موږ بیړني پلانونه هم لرو ترڅو د پام وړ خطر پیښې په صورت کې د سوداګرۍ دوام تضمین کړو.
4.5. د عملیاتي اغیزو تحلیل
موږ دوره ایزو سوداګریزو اغیزو تحلیلونه ترسره کوو ترڅو زموږ د سوداګرۍ عملیاتو کې د خنډونو احتمالي اغیزې وپیژنو. پدې تحلیل کې زموږ د سوداګریزو دندو، سیسټمونو او معلوماتو د انتقاد ارزونه، او همدارنګه زموږ په پیرودونکو، کارمندانو، او نورو شریکانو باندې د خنډونو احتمالي اغیزې ارزونه شامله ده.
4.6. د دریمې ډلې د خطر مدیریت
موږ د دریمې ډلې خطر مدیریت برنامه لرو ترڅو ډاډ ترلاسه کړو چې زموږ پلورونکي او د دریمې ډلې نور خدمت چمتو کونکي هم په مناسب ډول خطرونه اداره کوي. پدې برنامه کې د دریمې ډلې سره د ښکیل کیدو دمخه د احتیاط چیکونه ، د دریمې ډلې فعالیتونو دوامداره نظارت ، او د دریمې ډلې د خطر مدیریت تمرینونو دوره ایزې ارزونې شاملې دي.
4.7. د پیښې ځواب او مدیریت
موږ د پیښو غبرګون او مدیریت پلان لرو ترڅو ډاډ ترلاسه کړو چې موږ کولی شو هرډول امنیتي پیښو ته په مؤثره توګه ځواب ووایو. پدې پلان کې د پیښو د پیژندلو او راپور ورکولو طرزالعملونه شامل دي، په بیله بیا د هرې پیښې د اغیزو ارزولو پروسې او د مناسب غبرګون اقداماتو ټاکل. موږ د سوداګرۍ دوام پلان هم لرو ترڅو ډاډ ترلاسه کړو چې د پام وړ پیښې په صورت کې د سوداګرۍ مهم فعالیتونه دوام کولی شي.
5 برخه. فزیکي او چاپیریال امنیت
5.1. د فزیکي امنیت محیط
موږ د فزیکي ځای او حساس معلوماتو د غیر مجاز لاسرسي څخه د ساتنې لپاره فزیکي امنیت اقدامات رامینځته کړي.
5.2. د لاسرسي کنټرول
موږ د فزیکي احاطې لپاره د لاسرسي کنټرول پالیسۍ او طرزالعملونه رامینځته کړي ترڅو ډاډ ترلاسه کړي چې یوازې مجاز پرسونل حساس معلوماتو ته لاسرسی لري.
5.3. د تجهیزاتو امنیت
موږ ډاډ ورکوو چې ټول تجهیزات چې حساس معلومات لري په فزیکي توګه خوندي دي، او دې تجهیزاتو ته لاسرسی یوازې د مجاز پرسونل پورې محدود دی.
5.4. خوندي تخریب
موږ د حساسو معلوماتو د خوندي تصفیې لپاره طرزالعملونه رامینځته کړي، پشمول د کاغذ اسناد، بریښنایی رسنۍ، او هارډویر.
5.5. فزیکي چاپیریال
موږ ډاډ ورکوو چې د احاطې فزیکي چاپیریال، په شمول د تودوخې، رطوبت، او رڼا، د حساسو معلوماتو د ساتنې لپاره مناسب دی.
5.6. د بریښنا رسول
موږ ډاډ ترلاسه کوو چې ودانۍ ته د بریښنا رسول د باور وړ دي او د بریښنا بندیدو یا سرجونو پروړاندې خوندي دي.
5.7. د اور وژنې ساتنه
موږ د اور وژنې پالیسۍ او طرزالعملونه رامینځته کړي دي، پشمول د اور کشف او د فشار سیسټمونو نصب او ساتنه.
۵.۸. د اوبو د زیانونو ساتنه
موږ د اوبو له زیانونو څخه د حساسو معلوماتو د ساتنې لپاره پالیسي او طرزالعملونه جوړ کړي دي، په شمول د سیلاب کشف او مخنیوي سیسټمونو نصب او ساتنه.
5.9. د تجهیزاتو ساتنه
موږ د تجهیزاتو د ساتنې لپاره طرزالعملونه رامینځته کړي، په شمول د تجهیزاتو معاینه کول د لاسوهنې یا غیر مجاز لاسرسي نښو لپاره.
5.10. د منلو وړ کارول
موږ د منلو وړ کارولو پالیسي رامینځته کړې چې د فزیکي سرچینو او تاسیساتو د منلو وړ کارول په ګوته کوي.
5.11. لرې لاسرسی
موږ حساس معلوماتو ته د لیرې لاسرسي لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د خوندي اړیکو او کوډ کولو کارول.
۵.۱۲ څارنه او څارنه
موږ د فزیکي ځایونو او تجهیزاتو د څارنې او څارنې لپاره پالیسۍ او طرزالعملونه رامینځته کړي ترڅو د غیر مجاز لاسرسي یا لاسوهنې کشف او مخنیوی وکړي.
برخه. 6. مخابراتي او عملیاتي امنیت
6.1. د شبکې امنیت مدیریت
موږ د شبکې امنیت مدیریت لپاره پالیسۍ او طرزالعملونه رامینځته کړي، پشمول د اور وژونکو کارول، د مداخلې کشف او مخنیوي سیسټمونه، او منظم امنیتي پلټنې.
6.2. د معلوماتو لیږد
موږ د حساسو معلوماتو د خوندي لیږد لپاره پالیسۍ او طرزالعملونه رامینځته کړي، په شمول د کوډ کولو او خوندي فایل لیږد پروتوکولونو کارول.
6.3. د دریمې ډلې اړیکې
موږ د دریمې ډلې سازمانونو سره د حساسو معلوماتو د خوندي تبادلې لپاره پالیسۍ او طرزالعملونه رامینځته کړي دي، په شمول د خوندي اړیکو او کوډ کولو کارول.
6.4. د رسنیو اداره کول
موږ د رسنیو په مختلفو بڼو کې د حساسو معلوماتو د سمبالولو لپاره طرزالعملونه جوړ کړي دي، په شمول د کاغذ اسناد، بریښنایی رسنۍ، او د پورټ ایبل ذخیره کولو وسایل.
6.5. د معلوماتو سیسټمونو پراختیا او ساتنه
موږ د معلوماتو سیسټمونو پراختیا او ساتنې لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د خوندي کوډ کولو تمرینونو کارول ، منظم سافټویر تازه کول او پیچ مدیریت.
6.6. د مالویر او ویروسونو ساتنه
موږ د مالویر او ویروسونو په وړاندې د معلوماتو سیسټمونو ساتنې لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د انټي ویروس سافټویر کارول او منظم امنیت تازه معلومات.
6.7. بیک اپ او بیا رغونه
موږ د حساس معلوماتو د بیک اپ او بیا رغولو لپاره پالیسي او طرزالعملونه رامینځته کړي ترڅو د معلوماتو ضایع کیدو یا فساد مخه ونیسي.
6.8. د پیښو مدیریت
موږ د امنیتي پیښو او پیښو د پیژندلو، څیړنې او حل لپاره پالیسي او طرزالعملونه جوړ کړي دي.
6.9. د زیان مننې مدیریت
موږ د معلوماتو سیسټم زیانمننې مدیریت لپاره پالیسۍ او طرزالعملونه رامینځته کړي، په شمول د منظم زیانمننې ارزونې او پیچ مدیریت کارول.
6.10. د لاسرسي کنټرول
موږ معلوماتو سیسټمونو ته د کارونکي لاسرسي مدیریت لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د لاسرسي کنټرولونو کارول ، د کارونکي تصدیق کول ، او د لاسرسي منظم بیاکتنې.
6.11. څارنه او ننوتل
موږ د معلوماتو سیسټم فعالیتونو نظارت او ننوتلو لپاره پالیسي او طرزالعملونه رامینځته کړي ، پشمول د پلټنې د لارو کارول او د امنیتي پیښو ثبت کول.
برخه 7. د معلوماتو سیسټمونو استملاک، پراختیا او ساتنه
7.1. اړتیاوې
موږ د معلوماتو سیسټم اړتیاو پیژندلو لپاره پالیسي او طرزالعملونه رامینځته کړي، پشمول د سوداګرۍ اړتیاوې، قانوني او تنظیمي اړتیاوې، او امنیتي اړتیاوې.
7.2. د عرضه کوونکي اړیکې
موږ د معلوماتو سیسټمونو او خدماتو د دریمې ډلې عرضه کونکو سره د اړیکو مدیریت لپاره پالیسۍ او طرزالعملونه رامینځته کړي دي، په شمول د عرضه کونکو د امنیتي کړنو ارزونه.
7.3. د سیسټم پراختیا
موږ د معلوماتو سیسټمونو د خوندي پرمختګ لپاره پالیسۍ او طرزالعملونه رامینځته کړي، په شمول د خوندي کوډ کولو تمرینونو کارول، منظم ازموینه، او د کیفیت تضمین.
7.4. د سیسټم ازموینه
موږ د معلوماتو سیسټمونو ازموینې لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د فعالیت ازموینې ، د فعالیت ازموینې ، او امنیت ازموینې.
7.5. د سیسټم منل
موږ د معلوماتو سیسټمونو منلو لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د ازموینې پایلو تصویب ، امنیت ارزونې ، او د کارونکي منلو ازموینې.
7.6. د سیسټم ساتنه
موږ د معلوماتو سیسټمونو ساتلو لپاره پالیسي او طرزالعملونه رامینځته کړي، پشمول د منظم تازه کولو، امنیتي پیچونو، او سیسټم بیک اپ.
7.7. د سیسټم تقاعد
موږ د معلوماتو سیسټمونو د تقاعد لپاره پالیسۍ او طرزالعملونه رامینځته کړي، په شمول د هارډویر او ډیټا خوندي ضایع کول.
7.8. د معلوماتو ساتل
موږ د قانوني او تنظیمي اړتیاو سره په مطابقت کې د معلوماتو ساتلو لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د حساس معلوماتو خوندي ذخیره او ضایع کول.
7.9. د معلوماتو سیسټمونو لپاره د امنیت اړتیاوې
موږ د معلوماتو سیسټمونو لپاره د امنیت اړتیاو پیژندلو او پلي کولو لپاره پالیسي او طرزالعملونه رامینځته کړي ، پشمول د لاسرسي کنټرولونه ، کوډ کول او د معلوماتو محافظت.
7.10. خوندي پرمختیایي چاپیریال
موږ د معلوماتو سیسټمونو لپاره د خوندي پرمختیا چاپیریال لپاره پالیسۍ او طرزالعملونه رامینځته کړي دي، په شمول د خوندي پرمختیایي کړنو کارول، د لاسرسي کنټرول، او خوندي شبکې ترتیبونه.
7.11. د ازموینې چاپیریال ساتنه
موږ د معلوماتو سیسټمونو لپاره د ازموینې چاپیریال ساتنې لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د خوندي تشکیلاتو کارول ، لاسرسي کنټرولونه ، او منظم امنیت ازموینې.
7.12. د خوندي سیسټم انجنیري اصول
موږ د معلوماتو سیسټمونو لپاره د خوندي سیسټم انجینرۍ اصولو پلي کولو لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د امنیت جوړښتونو کارول ، د ګواښ ماډلینګ ، او خوندي کوډ کولو کړنې.
7.13 د خوندي کوډ کولو لارښوونې
موږ د معلوماتو سیسټمونو لپاره د خوندي کوډ کولو لارښودونو پلي کولو لپاره پالیسۍ او طرزالعملونه رامینځته کړي ، پشمول د کوډ کولو معیارونو کارول ، د کوډ بیاکتنې ، او اتوماتیک ازموینې.
8 برخه. د هارډویر استملاک
۸.۱. د معیارونو اطاعت
موږ د معلوماتو امنیت مدیریت سیسټم (ISMS) لپاره د ISO 27001 معیارونو ته غاړه کیږدو ترڅو ډاډ ترلاسه کړو چې د هارډویر شتمنۍ زموږ د امنیت اړتیاو سره سم پیرود شوي.
8.2. د خطر ارزونه
موږ د هارډویر اثاثو پیرود کولو دمخه د خطر ارزونه ترسره کوو ترڅو احتمالي امنیتي خطرونه وپیژنو او ډاډ ترلاسه کړو چې ټاکل شوي هارډویر د امنیت اړتیاوې پوره کوي.
8.3. د پلورونکو انتخاب
موږ د هارډویر شتمنۍ یوازې د باور وړ پلورونکو څخه اخلو چې د خوندي محصولاتو وړاندې کولو ثابت ریکارډ لري. موږ د پلورونکي امنیتي تګلارې او کړنې بیاکتنه کوو، او له دوی څخه غواړو چې ډاډ ترلاسه کړي چې د دوی محصولات زموږ امنیتي اړتیاوې پوره کوي.
۸.۴. خوندي ترانسپورت
موږ ډاډ ترلاسه کوو چې د هارډویر اثاثې په خوندي ډول زموږ ځای ته لیږدول کیږي ترڅو د لیږد پرمهال د لاسوهنې ، زیان یا غلا مخه ونیول شي.
۸.۵. د صداقت تصدیق
موږ د سپارلو پر مهال د هارډویر اثاثو اعتبار تصدیق کوو ترڅو ډاډ ترلاسه کړو چې دوی جعلي ندي یا له مینځه وړل شوي ندي.
۸.۶. فزیکي او چاپیریال کنټرولونه
موږ مناسب فزیکي او چاپیریال کنټرولونه پلي کوو ترڅو د هارډویر شتمنیو د غیر مجاز لاسرسي ، غلا یا زیان څخه ساتنه وکړو.
8.7. د هارډویر نصب
موږ ډاډ ترلاسه کوو چې د هارډویر ټولې شتمنۍ د تاسیس شوي امنیتي معیارونو او لارښوونو سره سم تنظیم شوي او نصب شوي.
۸.۸. د هارډویر بیاکتنې
موږ د هارډویر شتمنیو دوره ای بیاکتنې ترسره کوو ترڅو ډاډ ترلاسه کړو چې دوی زموږ د امنیت اړتیاو پوره کولو ته دوام ورکوي او د وروستي امنیتي پیچونو او تازه معلوماتو سره تازه دي.
۸.۹. د هارډویر ضایع کول
موږ د هارډویر شتمنۍ په خوندي ډول تصفیه کوو ترڅو حساس معلوماتو ته د غیر مجاز لاسرسي مخه ونیسي.
9 برخه. د مالویر او ویروسونو ساتنه
9.1. د سافټویر تازه کولو پالیسي
موږ د ټولو معلوماتو سیسټمونو کې د انټي ویروس او مالویر محافظت سافټویر تازه ساتو چې د اروپا د معلوماتي ټیکنالوژۍ تصدیق انسټیټیوټ لخوا کارول کیږي، په شمول د سرورونو، ورک سټیشنونو، لپټاپونو، او ګرځنده وسیلو. موږ ډاډ ترلاسه کوو چې د انټي ویروس او مالویر محافظت سافټویر ترتیب شوی ترڅو په اوتومات ډول د دې ویروس تعریف فایلونه او سافټویر نسخې په منظم ډول تازه کړي ، او دا پروسه په منظم ډول ازمول کیږي.
9.2. د انټي ویروس او مالویر سکینګ
موږ د ټولو معلوماتو سیسټمونو منظم سکینونه ترسره کوو، پشمول د سرورونو، ورک سټیشنونو، لپټاپونو، او ګرځنده وسیلو په شمول، د ویروس یا مالویر کشف او لرې کولو لپاره.
9.3. د نه غیر فعال کولو او نه بدلولو پالیسي
موږ پالیسي پلي کوو چې کاروونکي د هر معلوماتي سیسټم کې د انټي ویروس او مالویر محافظت سافټویر غیر فعال یا بدلولو څخه منع کوي.
9.4. څارنه
موږ د ویروس یا مالویر انتاناتو هرې پیښې پیژندلو لپاره زموږ د ویروس ضد او مالویر محافظت سافټویر خبرتیاوې او لاګونه څارو ، او په وخت سره ورته پیښو ته ځواب ووایو.
9.5. د ریکارډونو ساتنه
موږ د انټي ویروس او مالویر محافظت سافټویر ترتیبونو ، تازه معلوماتو او سکینونو ریکارډ ساتو ، په بیله بیا د ویروس یا مالویر انتاناتو پیښې د پلټنې موخو لپاره.
9.6. د سافټویر بیاکتنې
موږ د خپل ویروس ضد او مالویر محافظت سافټویر وختي بیاکتنې ترسره کوو ترڅو ډاډ ترلاسه کړو چې دا د اوسني صنعت معیارونه پوره کوي او زموږ د اړتیاو لپاره کافي دي.
9.7. روزنه او پوهاوی
موږ د روزنې او پوهاوي پروګرامونه چمتو کوو ترڅو ټولو کارمندانو ته د ویروس او مالویر محافظت اهمیت په اړه زده کړه ورکړي، او د شکمنو فعالیتونو یا پیښو پیژندلو او راپور ورکولو څرنګوالی.
10 برخه. د معلوماتو د شتمنیو مدیریت
10.1. د معلوماتو د شتمنیو لیست
د اروپا د IT تصدیق کولو انسټیټیوټ د معلوماتو شتمنیو لیست ساتي چې پکې ټولې ډیجیټل او فزیکي معلوماتي شتمنۍ شاملې دي لکه سیسټمونه، شبکې، سافټویر، ډاټا، او اسناد. موږ د معلوماتو شتمنۍ د دوی د انتقاد او حساسیت پراساس طبقه بندي کوو ترڅو ډاډ ترلاسه کړو چې مناسب محافظت اقدامات پلي کیږي.
10.2. د معلوماتو د شتمنیو اداره کول
موږ د محرمیت، بشپړتیا، او شتون په شمول د دوی د طبقه بندي پر بنسټ د معلوماتو شتمنیو د ساتنې لپاره مناسب اقدامات پلي کوو. موږ ډاډ ترلاسه کوو چې د معلوماتو ټولې شتمنۍ د نافذه قوانینو، مقرراتو، او قراردادي اړتیاو سره سم اداره کیږي. موږ دا هم ډاډه کوو چې د معلوماتو ټولې شتمنۍ په سمه توګه زیرمه شوي، خوندي شوي، او کله چې نور اړتیا نه وي له مینځه وړل کیږي.
10.3. د معلوماتو شتمنۍ ملکیت
موږ اشخاصو یا څانګو ته د معلوماتو شتمنۍ مالکیت ورکوو چې د معلوماتو شتمنیو اداره کولو او ساتنې مسولیت لري. موږ دا هم ډاډه کوو چې د معلوماتو شتمنۍ مالکین د معلوماتو شتمنیو د ساتنې لپاره د دوی مسؤلیتونه او حساب ورکونه پوهیږي.
10.4. د معلوماتو د شتمنیو ساتنه
موږ د معلوماتو شتمنیو د ساتنې لپاره مختلف محافظتي اقدامات کاروو، پشمول فزیکي کنټرولونه، د لاسرسي کنټرولونه، کوډ کول، او د بیک اپ او بیا رغونې پروسې. موږ دا هم ډاډه کوو چې د معلوماتو ټولې شتمنۍ د غیرقانوني لاسرسي، تعدیل، یا ویجاړولو په وړاندې خوندي دي.
11 برخه. د لاسرسي کنټرول
11.1. د لاسرسي کنټرول پالیسي
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ د لاسرسي کنټرول پالیسي لري چې د معلوماتو شتمنیو ته د لاسرسي ، بدلولو او لغوه کولو اړتیاوې په ګوته کوي. د لاسرسي کنټرول زموږ د معلوماتو امنیت مدیریت سیسټم یوه مهمه برخه ده، او موږ دا پلي کوو ترڅو ډاډ ترلاسه کړو چې یوازې مجاز اشخاص زموږ معلوماتو شتمنیو ته لاسرسی لري.
11.2. د لاسرسي کنټرول پلي کول
موږ د لږترلږه امتیازاتو د اصولو پراساس د لاسرسي کنټرول اقدامات پلي کوو، پدې معنی چې افراد یوازې د معلوماتو شتمنیو ته لاسرسی لري چې د دوی د دندې دندو ترسره کولو لپاره اړین دي. موږ د لاسرسي کنټرول مختلف اقدامات کاروو ، پشمول د تصدیق ، اختیار او محاسبې (AAA). موږ د معلوماتو شتمنیو ته د لاسرسي کنټرول لپاره د لاسرسي کنټرول لیستونه (ACLs) او اجازې هم کاروو.
11.3. د پټنوم پالیسي
د اروپا د IT تصدیق کولو انسټیټیوټ د پاسورډ پالیسي لري چې د پاسورډونو رامینځته کولو او اداره کولو اړتیاوې په ګوته کوي. موږ قوي پاسورډونو ته اړتیا لرو چې لږترلږه 8 حروف اوږد وي، د لوی او کوچني حروفونو، شمیرو او ځانګړو حروفونو ترکیب سره. موږ د وخت د پاسورډ بدلونونو ته هم اړتیا لرو او د پخوانیو پاسورډونو بیا کارول منع کوو.
.11.4... کارن سمبالښت
موږ د کارونکي مدیریت پروسه لرو چې پکې د کارن حسابونو رامینځته کول ، ترمیم کول او حذف کول شامل دي. د کارن حسابونه د لږ تر لږه امتیازاتو د اصولو پر بنسټ جوړ شوي، او لاسرسی یوازې د معلوماتو شتمنیو ته ورکول کیږي چې د فرد د دندې دندو ترسره کولو لپاره اړین وي. موږ په منظم ډول د کارن حسابونو بیاکتنه کوو او هغه حسابونه لرې کوو چې نور ورته اړتیا نلري.
12 برخه. د معلوماتو امنیت د پیښو مدیریت
12.1. د پیښو مدیریت پالیسي
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ د پیښو مدیریت پالیسي لري چې د امنیتي پیښو موندلو، راپور ورکولو، ارزونې، او ځواب ویلو اړتیاوې په ګوته کوي. موږ امنیتي پیښې د هرې پیښې په توګه تعریفوو چې د معلوماتو د شتمنیو یا سیسټمونو محرمیت، بشپړتیا، یا شتون سره موافقت کوي.
12.2. د پیښو کشف او راپور ورکول
موږ د امنیتي پیښو د سمدستي کشف او راپور ورکولو لپاره اقدامات پلي کوو. موږ د امنیت پیښې کشف کولو لپاره مختلف میتودونه کاروو ، پشمول د مداخلې کشف سیسټم (IDS) ، د انټي ویروس سافټویر ، او د کارونکي راپور ورکول. موږ دا هم ډاډه کوو چې ټول کارمندان د امنیتي پیښو راپور ورکولو طرزالعملونو څخه خبر دي او د ټولو شکمنو پیښو راپور ورکولو ته هڅوو.
12.3. د پیښو ارزونه او ځواب
موږ د امنیتي پیښو د شدت او اغیزو پر بنسټ د ارزونې او ځواب ویلو پروسه لرو. موږ د معلوماتو شتمنیو یا سیسټمونو باندې د احتمالي اغیزو پراساس پیښو ته لومړیتوب ورکوو او د ځواب ویلو لپاره مناسبې سرچینې تخصیص کوو. موږ د غبرګون پالن هم لرو چې په کې د امنیتي پیښو د پیژندلو، درلودلو، تحلیل کولو، له منځه وړلو، له منځه وړلو، او همدارنګه د اړوندو خواوو خبرتیا، او د پیښې وروسته بیاکتنې ترسره کولو لپاره طرزالعملونه شامل دي چې زموږ د پیښې غبرګون طرزالعملونه د ګړندي او اغیزمن ځواب ډاډمن کولو لپاره ډیزاین شوي. امنیتي پیښو ته. طرزالعملونه په منظمه توګه بیاکتنه کیږي او تازه کیږي ترڅو د دوی اغیزمنتوب او تړاو ډاډمن کړي.
12.4. د پیښې غبرګون ټیم
موږ د پیښو د غبرګون ټیم (IRT) لرو چې د امنیتي پیښو د ځواب ویلو مسولیت لري. IRT د مختلفو واحدونو له استازو څخه جوړه ده او د معلوماتو امنیت افسر (ISO) لخوا رهبري کیږي. IRT د پیښو د شدت د ارزولو، د پیښې په درلودلو، او د مناسب غبرګون طرزالعملونو پیل کولو مسولیت لري.
12.5. د پیښو راپور ورکول او بیاکتنه
موږ اړوندو خواوو ته د امنیتي پیښو د راپور ورکولو لپاره طرزالعملونه رامینځته کړي دي، په شمول د پیرودونکو، تنظیم کونکو چارواکو، او د قانون پلي کونکو ادارو، لکه څنګه چې د نافذه قوانینو او مقرراتو له مخې اړین دي. موږ د پیښې د غبرګون پروسې په اوږدو کې د اغیزمنو اړخونو سره هم اړیکه ساتو، د پیښې وضعیت او د هغې د اغیزو کمولو لپاره هر ډول اقدامات په وخت سره تازه معلومات چمتو کوو. موږ د ټولو امنیتي پیښو بیاکتنه هم ترسره کوو ترڅو اصلي لامل وپیژنو او په راتلونکي کې د ورته پیښو مخه ونیسو.
13 برخه. د سوداګرۍ دوام مدیریت او د ناورین بیا رغونه
13.1. د سوداګرۍ دوام پلان کول
که څه هم د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ یو غیر انتفاعي سازمان دی چې دا د سوداګرۍ دوام پالن (BCP) لري چې د ګډوډۍ پیښې په صورت کې د خپلو عملیاتو دوام ډاډمن کولو لپاره طرزالعملونه په ګوته کوي. BCP ټول مهم عملیاتي پروسې پوښي او هغه سرچینې پیژني چې د یوې ګډوډي پیښې پرمهال او وروسته د عملیاتو ساتلو لپاره اړین دي. دا د ګډوډۍ یا ناورین پرمهال د سوداګرۍ عملیاتو ساتلو لپاره طرزالعملونه هم په ګوته کوي ، د اختلالاتو اغیزې ارزوي ، د یوې ځانګړې تخریبي پیښې په شرایطو کې خورا مهم عملیاتي پروسې پیژندل ، او د غبرګون او بیا رغونې پروسیجرونو رامینځته کول.
13.2. د ناورین د بیا رغونې پلان
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ د ناورین د بیا رغونې پلان (DRP) لري چې د ګډوډۍ یا ناورین په صورت کې زموږ د معلوماتو سیسټمونو بیا رغولو طرزالعملونه په ګوته کوي. په DRP کې د معلوماتو بیک اپ، د معلوماتو بیا رغونه، او د سیسټم بیا رغونه پروسیجرونه شامل دي. DRP په منظم ډول ازمول کیږي او تازه کیږي ترڅو د دې اغیزمنتوب ډاډمن کړي.
13.3. د سوداګرۍ اغیزې تحلیل
موږ د سوداګرۍ اغیزې تحلیل (BIA) ترسره کوو ترڅو د عملیاتو مهمې پروسې او د دوی ساتلو لپاره اړین سرچینې وپیژنو. BIA موږ سره مرسته کوي چې زموږ د بیا رغونې هڅو ته لومړیتوب ورکړو او د هغې مطابق سرچینې تخصیص کړو.
13.4. د سوداګرۍ دوام ستراتیژي
د BIA د پایلو پراساس، موږ د سوداګرۍ دوام ستراتیژي رامینځته کوو چې د ګډوډۍ پیښې ته د ځواب ویلو طرزالعملونه په ګوته کوي. په دې ستراتیژۍ کې د BCP فعالولو، د عملیاتو د مهمو پروسو بیا رغونه، او د اړوندو شریکانو سره د خبرو اترو طرزالعملونه شامل دي.
13.5. ازموینه او ساتنه
موږ په منظمه توګه خپل BCP او DRP ازموینه او ساتو ترڅو د دوی اغیزمنتوب او تړاو ډاډمن کړو. موږ منظمې ازموینې ترسره کوو ترڅو د BCP/DRP تایید او د پرمختګ لپاره ساحې وپیژنو. موږ د اړتیا سره سم BCP او DRP هم تازه کوو ترڅو زموږ په عملیاتو یا د ګواښونو منظره کې بدلون منعکس کړي. په ازموینه کې د میز ټاپ تمرینونه، سمولونه، او د طرزالعملونو ژوندی ازموینه شامله ده. موږ د ازموینو د پایلو او زده شویو درسونو پراساس خپل پلانونه هم بیاکتنه او تازه کوو.
13.6. د بدیل پروسس کولو سایټونه
موږ د آنلاین پروسس کولو بدیل سایټونه ساتو چې د ګډوډۍ یا ناورین په حالت کې د سوداګرۍ عملیاتو ته دوام ورکولو لپاره کارول کیدی شي. د پروسس کولو بدیل ځایونه په اړینو زیربناوو او سیسټمونو سمبال دي، او د مهمو سوداګریزو پروسو مالتړ لپاره کارول کیدی شي.
14 برخه. اطاعت او پلټنه
14.1. د قوانینو او مقرراتو اطاعت
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ ژمن دی چې د معلوماتو امنیت او محرمیت پورې اړوند د ټولو پلي کیدو قوانینو او مقرراتو سره سم عمل وکړي ، پشمول د معلوماتو محافظت قوانین ، د صنعت معیارونه ، او قراردادي مکلفیتونه. موږ په منظمه توګه خپلې پالیسۍ، طرزالعملونه، او کنټرولونه بیاکتنه او تازه کوو ترڅو ډاډ ترلاسه کړو چې د ټولو اړوندو اړتیاو او معیارونو سره مطابقت لري. اصلي معیارونه او چوکاټونه چې موږ یې د معلوماتو امنیت شرایطو کې تعقیب کوو عبارت دي له:
- د ISO/IEC 27001 معیار د معلوماتو امنیت مدیریت سیسټم (ISMS) پلي کولو او مدیریت لپاره لارښوونې چمتو کوي کوم چې د زیان مننې مدیریت د کلیدي برخې په توګه شامل دي. دا زموږ د معلوماتو امنیت مدیریت سیسټم پلي کولو او ساتلو لپاره د حوالې چوکاټ چمتو کوي (ISMS) په شمول د زیان مننې مدیریت. د دې معیاري احکامو سره سم موږ د معلوماتو امنیت خطرونه پیژنو، ارزونه او اداره کوو، په شمول د زیانونو.
- د متحده ایالاتو د سټنډرډونو او ټیکنالوژۍ ملي انسټیټیوټ (NIST) د سایبر امنیت چوکاټ د سایبر امنیت خطرونو پیژندلو ، ارزونې او اداره کولو لپاره لارښوونې چمتو کوي ، پشمول د زیان مننې مدیریت.
- د سټنډرډونو او ټیکنالوژۍ ملي انسټیټیوټ (NIST) د سایبر امنیت خطر مدیریت ښه کولو لپاره د سایبر امنیت چوکاټ ، د دندو اصلي سیټ سره د زیان مننې مدیریت په شمول چې موږ د خپل سایبر امنیت خطرونو اداره کولو ته غاړه کیږو.
- د SANS مهم امنیتي کنټرولونه د سایبر امنیت ښه کولو لپاره د 20 امنیتي کنټرولونو سیټ لري، د زیان مننې مدیریت په شمول د زیان مننې مدیریت، د زیان مننې مدیریت، پیچ مدیریت او نورو اړخونو په اړه ځانګړي لارښوونې چمتو کوي.
- د تادیې کارت صنعت ډیټا امنیت معیار (PCI DSS) ، پدې شرایطو کې د زیان مننې مدیریت په اړه د کریډیټ کارت معلوماتو اداره کولو ته اړتیا لري.
- د انټرنیټ امنیت کنټرول مرکز (CIS) په شمول د زیان مننې مدیریت یو له کلیدي کنټرولونو څخه دی چې زموږ د معلوماتو سیسټمونو خوندي تنظیمات ډاډمن کړي.
- د پرانیستې ویب غوښتنلیک امنیت پروژه (OWASP)، د ویب اپلیکیشن خورا مهم امنیتي خطرونو د 10 غوره لیست سره، په شمول د زیان منونکو ارزونو لکه د انجیکشن بریدونه، مات شوي تصدیق او د سیشن مدیریت، کراس سایټ سکریپټینګ (XSS) او داسې نور. د OWASP غوره 10 زموږ د زیان مننې مدیریت هڅو ته لومړیتوب ورکوي او زموږ د ویب سیسټمونو په اړه خورا مهم خطرونو باندې تمرکز کوي.
14.2. داخلی څیړنه
موږ منظم داخلي پلټنې ترسره کوو ترڅو زموږ د معلوماتو امنیت مدیریت سیسټم (ISMS) اغیزمنتوب ارزونه وکړي او ډاډ ترلاسه کړي چې زموږ پالیسۍ، طرزالعملونه او کنټرولونه تعقیب کیږي. د داخلي پلټنې په پروسه کې د غیر موافقت پیژندنه، د اصلاحي کړنو پراختیا، او د اصالحي هڅو تعقیب شامل دي.
14.3. بهرنۍ پلټنې
موږ په دوره توګه د بهرنیو پلټونکو سره ښکیل یو ترڅو د تطبیق وړ قوانینو، مقرراتو، او صنعت معیارونو سره زموږ موافقت تایید کړي. موږ پلټونکو ته زموږ اسانتیاوو، سیسټمونو او اسنادو ته د لاسرسۍ سره چمتو کوو چې زموږ د موافقت تصدیق کولو لپاره اړین وي. موږ د بهرنیو پلټونکو سره هم کار کوو ترڅو د پلټنې پروسې په جریان کې پیژندل شوي کومې موندنې یا سپارښتنې په نښه کړي.
14.4. د اطاعت څارنه
موږ په دوامداره توګه د نافذه قوانینو، مقرراتو، او د صنعت معیارونو سره زموږ د اطاعت څارنه کوو. موږ د موافقت څارلو لپاره مختلف میتودونه کاروو، پشمول د دوره ایزې ارزونې، پلټنې، او د دریمې ډلې چمتو کونکو بیاکتنې. موږ هم په منظمه توګه زموږ پالیسي، طرزالعملونه، او کنټرولونه بیاکتنه او تازه کوو ترڅو ډاډ ترلاسه کړو چې د ټولو اړوندو اړتیاو سره دوامداره اطاعت.
15 برخه. د دریمې ډلې مدیریت
15.1. د دریمې ډلې مدیریت پالیسي
د اروپا د معلوماتي ټکنالوجۍ تصدیق کولو انسټیټیوټ د دریمې ډلې مدیریت پالیسي لري چې د دریمې ډلې چمتو کونکو غوره کولو ، ارزونې او نظارت لپاره اړتیاوې په ګوته کوي چې زموږ د معلوماتو شتمنیو یا سیسټمونو ته لاسرسی لري. پالیسي په ټولو دریم اړخ چمتو کونکو باندې پلي کیږي ، پشمول د کلاوډ خدماتو چمتو کونکي ، پلورونکي او قراردادیان.
15.2. د دریمې ډلې انتخاب او ارزونه
موږ د دریمې ډلې چمتو کونکو سره د ښکیل کیدو دمخه د پام وړ احتیاط ترسره کوو ترڅو ډاډ ترلاسه کړو چې دوی زموږ د معلوماتو شتمنیو یا سیسټمونو ساتلو لپاره کافي امنیت کنټرولونه لري. موږ همدارنګه د دریمې ډلې چمتو کونکي د تطبیق وړ قوانینو او مقرراتو سره د معلوماتو د امنیت او محرمیت سره مطابقت ارزوو.
15.3. د دریمې ډلې څارنه
موږ د دریمې ډلې چمتو کونکي په دوامداره توګه څارو ترڅو ډاډ ترلاسه کړو چې دوی د معلوماتو امنیت او محرمیت لپاره زموږ اړتیاو ته دوام ورکوي. موږ د دریمې ډلې چمتو کونکو نظارت کولو لپاره مختلف میتودونه کاروو ، پشمول دوره ایزې ارزونې ، پلټنې او د امنیتي پیښو راپورونو بیاکتنې.
15.4. د تړون اړتیاوې
موږ د دریمې ډلې چمتو کونکو سره په ټولو قراردادونو کې د معلوماتو امنیت او محرمیت پورې اړوند قراردادي اړتیاوې شاملې کوو. پدې اړتیاو کې د معلوماتو محافظت ، امنیت کنټرولونه ، د پیښې مدیریت ، او د اطاعت نظارت شرایط شامل دي. موږ د امنیتي پیښې یا نه اطاعت په صورت کې د قراردادونو د لغوه کولو شرایط هم شاملوو.
برخه 16. د تصدیق پروسې کې د معلوماتو امنیت
16.1 د تصدیق پروسې امنیت
موږ زموږ د تصدیق پروسې پورې اړوند د ټولو معلوماتو امنیت ډاډمن کولو لپاره کافي او سیسټمیک اقدامات کوو ، پشمول د تصدیق غوښتونکي اشخاصو شخصي معلوماتو. پدې کې د تصدیق پورې اړوند ټولو معلوماتو ته د لاسرسي ، ذخیره کولو او لیږد کنټرولونه شامل دي. د دې اقداماتو پلي کولو سره ، موږ هدف لرو چې ډاډ ترلاسه کړو چې د تصدیق پروسې د لوړې کچې امنیت او بشپړتیا سره ترسره کیږي ، او دا چې د تصدیق غوښتونکي اشخاصو شخصي معلومات د اړوندو مقرراتو او معیارونو سره په مطابقت کې خوندي دي.
16.2. تصدیق او واک ورکول
موږ د تصدیق او اختیار کنټرولونه کاروو ترڅو ډاډ ترلاسه کړو چې یوازې مجاز پرسونل د تصدیق معلوماتو ته لاسرسی لري. د لاسرسي کنټرولونه په منظم ډول بیاکتنه کیږي او د پرسونل په رول او مسؤلیتونو کې د بدلونونو پراساس تازه کیږي.
16.3. د ډاټا ساتنه
موږ د تصدیق کولو پروسې په اوږدو کې د مناسبو تخنیکي او تنظیمي اقداماتو پلي کولو له لارې شخصي معلومات خوندي کوو ترڅو د معلوماتو محرمیت ، بشپړتیا او شتون تضمین کړي. پدې کې اقدامات شامل دي لکه کوډ کول، د لاسرسي کنټرول، او منظم بیک اپ.
16.4. د ازموینې پروسې امنیت
موږ د آزموینې د چاپیریال د درغلۍ، څارنې او کنټرول لپاره د مناسبو اقداماتو په پلي کولو سره د ازموینې پروسې امنیت ډاډمن کوو. موږ د خوندي ذخیره کولو پروسیجرونو له لارې د ازموینې موادو بشپړتیا او محرمیت هم ساتو.
16.5. د ازموینې مینځپانګې امنیت
موږ د محتوا د غیر مجاز لاسرسي، بدلون، یا افشا کولو په وړاندې د ساتنې لپاره د مناسبو اقداماتو په پلي کولو سره د ازموینې مینځپانګې امنیت ډاډمن کوو. پدې کې د ازموینې مینځپانګې لپاره د خوندي ذخیره کولو ، کوډ کولو او لاسرسي کنټرولونو کارول شامل دي ، په بیله بیا د ازموینې مینځپانګې غیر مجاز توزیع یا خپرولو مخنیوي لپاره کنټرولونه.
16.6. د ازموینې د سپارلو امنیت
موږ د ازموینې چاپیریال ته د غیر مجاز لاسرسي یا لاسوهنې مخنیوي لپاره د مناسبو اقداماتو په پلي کولو سره د ازموینې تحویلي امنیت تضمین کوو. پدې کې اقدامات شامل دي لکه د ازموینې چاپیریال څارنه، پلټنه او کنټرول او د ازموینې ځانګړي طریقې، د درغلۍ یا نورو امنیتي سرغړونو مخنیوي لپاره.
16.7. د ازموینې د پایلو امنیت
موږ د پایلو د غیر مجاز لاسرسي ، بدلون یا افشا کولو پروړاندې د ساتنې لپاره د مناسبو اقداماتو پلي کولو سره د ازموینې پایلو امنیت تضمین کوو. پدې کې د ازموینې پایلو لپاره د خوندي ذخیره کولو ، کوډ کولو او لاسرسي کنټرولونو کارول شامل دي ، او همدارنګه د ازموینې پایلو غیر مجاز توزیع یا خپرولو مخنیوي لپاره کنټرولونه شامل دي.
16.8. د سندونو د صادرولو امنیت
موږ د تقلب او غیر مجاز سندونو صادرولو مخنیوي لپاره د مناسبو اقداماتو په پلي کولو سره د سندونو صادرولو امنیت تضمین کوو. پدې کې د هغو اشخاصو د هویت تصدیق کولو کنټرولونه شامل دي چې سندونه ترلاسه کوي او خوندي ذخیره کول او جاري کولو پروسیجرونه.
16.9. شکایتونه او استیناف
موږ د تصدیق پروسې پورې اړوند د شکایتونو او استیناف اداره کولو لپاره طرزالعملونه رامینځته کړي. په دې طرزالعملونو کې د پروسې د محرمیت او بې پرېتوب د یقیني کولو لپاره اقدامات شامل دي، او د شکایاتو او استیناف اړوند معلوماتو امنیت.
16.10. د تصدیق پروسې کیفیت مدیریت
موږ د تصدیق پروسې لپاره د کیفیت مدیریت سیسټم (QMS) رامینځته کړی چې پکې د پروسې مؤثریت ، موثریت او امنیت ډاډمن کولو لپاره اقدامات شامل دي. په QMS کې د پروسې منظمې پلټنې او بیاکتنې او د دوی امنیت کنټرولونه شامل دي.
16.11. د تصدیق پروسې دوامداره ښه والی امنیت
موږ ژمن یو چې زموږ د تصدیق پروسې دوامداره پرمختګ او د دوی امنیت کنټرولونه. پدې کې د سوداګرۍ چاپیریال کې د بدلونونو ، تنظیمي اړتیاو ، او د معلوماتو امنیت مدیریت کې غوره عملونو پراساس د تصدیق پورې اړوند پالیسیو او پروسیجرونو امنیت منظم بیاکتنې او تازه کول شامل دي ، د معلوماتو امنیت مدیریت لپاره د ISO 27001 معیار سره په مطابقت کې ، او همدارنګه د ISO سره. د 17024 تصدیق کولو ادارې عملیاتي معیار.
17 برخه. د تړلو احکام
17.1. د پالیسۍ بیاکتنه او تازه کول
دا د معلوماتو امنیت پالیسي یو ژوندی سند دی چې زموږ د عملیاتي اړتیاو ، تنظیمي اړتیاو ، یا د معلوماتو امنیت مدیریت کې غوره عملونو کې د بدلونونو پراساس د دوامداره بیاکتنې او تازه معلوماتو څخه تیریږي.
17.2. د اطاعت څارنه
موږ د دې معلوماتو امنیت پالیسي او اړوندو امنیتي کنټرولونو سره موافقت څارلو لپاره طرزالعملونه رامینځته کړي. د موافقت څارنه کې منظمې پلټنې، ارزونې او د امنیتي کنټرول بیاکتنې، او د دې پالیسۍ موخو ته د رسیدو لپاره د دوی اغیزمنتوب شامل دي.
17.3. د امنیتي پیښو راپور ورکول
موږ د خپلو معلوماتو سیسټمونو پورې اړوند د امنیتي پیښو راپور ورکولو لپاره طرزالعملونه رامینځته کړي ، پشمول د افرادو شخصي معلوماتو پورې اړوند. کارمندان، قراردادیان او نور شریکان هڅول کیږي چې د کومې امنیتي پیښې یا شکمن پیښې په اړه ژر تر ژره ټاکل شوي امنیتي ټیم ته راپور ورکړي.
17.4. روزنه او پوهاوی
موږ کارمندانو، قراردادیانو او نورو شریکانو ته منظم روزنیز او د پوهاوي پروګرامونه چمتو کوو ترڅو ډاډ ترلاسه کړو چې دوی د معلوماتو امنیت پورې اړوند د دوی مسؤلیتونو او مکلفیتونو څخه خبر دي. پدې کې د امنیتي پالیسیو او طرزالعملونو روزنه، او د افرادو د شخصي معلوماتو د ساتنې لپاره اقدامات شامل دي.
17.5. مسؤلیت او حساب ورکونه
موږ ټول کارمندان، قراردادیان، او نور شریکان د دې معلوماتو امنیت پالیسۍ او اړونده امنیتي کنټرولونو سره د مطابقت لپاره مسؤل او حساب ورکوونکي یو. موږ د دې ډاډ ترلاسه کولو لپاره مدیریت حساب ورکوو چې د معلوماتو اغیزمن امنیت کنټرول پلي کولو او ساتلو لپاره مناسبې سرچینې تخصیص شوي.
دا د معلوماتو امنیت پالیسي د اروپا د معلوماتي ټیکنالوژۍ تصدیق کولو انسټیټیوټ د معلوماتو امنیت مدیریت چوکاټ یوه مهمه برخه ده او د معلوماتو د شتمنیو او پروسس شوي ډیټا خوندي کولو ، محرمیت ، محرمیت ، بشپړتیا او د معلوماتو شتون یقیني کولو لپاره زموږ ژمنتیا څرګندوي او د تنظیمي او قراردادي اړتیاو سره مطابقت لري.