انفارمیشن سیکیورٹی پالیسی
EITCA اکیڈمی انفارمیشن سیکیورٹی پالیسی
یہ دستاویز یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کی انفارمیشن سیکیورٹی پالیسی (ISP) کی وضاحت کرتی ہے، جس کا باقاعدگی سے جائزہ لیا جاتا ہے اور اس کی تاثیر اور مطابقت کو یقینی بنانے کے لیے اسے اپ ڈیٹ کیا جاتا ہے۔ EITCI انفارمیشن سیکیورٹی پالیسی کی آخری اپ ڈیٹ 7 جنوری 2023 کو کی گئی تھی۔
حصہ 1۔ تعارف اور انفارمیشن سیکیورٹی پالیسی کا بیان
1.1. تعارف
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ رازداری، سالمیت، اور معلومات کی دستیابی اور ہمارے اسٹیک ہولڈرز کے اعتماد کو برقرار رکھنے میں معلومات کی حفاظت کی اہمیت کو تسلیم کرتا ہے۔ ہم حساس معلومات بشمول ذاتی ڈیٹا کو غیر مجاز رسائی، انکشاف، تبدیلی اور تباہی سے بچانے کے لیے پرعزم ہیں۔ ہم اپنے کلائنٹس کو قابل اعتماد اور غیر جانبدارانہ سرٹیفیکیشن خدمات فراہم کرنے کے اپنے مشن کی حمایت کے لیے ایک موثر انفارمیشن سیکیورٹی پالیسی کو برقرار رکھتے ہیں۔ انفارمیشن سیکیورٹی پالیسی معلوماتی اثاثوں کی حفاظت اور ہماری قانونی، ریگولیٹری، اور معاہدہ کی ذمہ داریوں کو پورا کرنے کے لیے ہمارے عزم کا خاکہ پیش کرتی ہے۔ ہماری پالیسی آئی ایس او 27001 اور آئی ایس او 17024 کے اصولوں پر مبنی ہے، جو کہ انفارمیشن سیکیورٹی مینجمنٹ اور سرٹیفیکیشن باڈیز کے آپریشنز کے معیارات کے لیے معروف بین الاقوامی معیارات ہیں۔
1.2 حکمت عملی پر مبنی بیان
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اس کے لیے پرعزم ہے:
- رازداری، سالمیت، اور معلوماتی اثاثوں کی دستیابی کا تحفظ،
- معلومات کی حفاظت اور ڈیٹا کی پروسیسنگ سے متعلق قانونی، ریگولیٹری، اور معاہدے کی ذمہ داریوں کی تعمیل کرتے ہوئے اس کے سرٹیفیکیشن کے عمل اور آپریشنز کو نافذ کرنا،
- اپنی انفارمیشن سیکیورٹی پالیسی اور متعلقہ انتظامی نظام کو مسلسل بہتر بنانا،
- ملازمین، ٹھیکیداروں اور شرکاء کو مناسب تربیت اور آگاہی فراہم کرنا،
- انفارمیشن سیکیورٹی پالیسی اور متعلقہ انفارمیشن سیکیورٹی مینجمنٹ سسٹم کے نفاذ اور دیکھ بھال میں تمام ملازمین اور ٹھیکیداروں کو شامل کرنا۔
1.3 دائرہ کار
یہ پالیسی یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے زیر ملکیت، کنٹرول شدہ، یا پروسیس شدہ تمام معلوماتی اثاثوں پر لاگو ہوتی ہے۔ اس میں تمام ڈیجیٹل اور جسمانی معلومات کے اثاثے شامل ہیں، جیسے سسٹم، نیٹ ورک، سافٹ ویئر، ڈیٹا، اور دستاویزات۔ یہ پالیسی ہمارے معلوماتی اثاثوں تک رسائی حاصل کرنے والے تمام ملازمین، ٹھیکیداروں، اور فریق ثالث سروس فراہم کرنے والوں پر بھی لاگو ہوتی ہے۔
1.4 تعمیل۔
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ متعلقہ معلوماتی حفاظتی معیارات کی تعمیل کرنے کے لیے پرعزم ہے، بشمول ISO 27001 اور ISO 17024۔ ہم اس پالیسی کی مسلسل مطابقت اور ان معیارات کے ساتھ تعمیل کو یقینی بنانے کے لیے باقاعدگی سے اس پالیسی کا جائزہ اور اپ ڈیٹ کرتے ہیں۔
حصہ 2۔ تنظیمی سلامتی
2.1 تنظیم کے حفاظتی اہداف
تنظیمی حفاظتی اقدامات کو لاگو کرکے، ہمارا مقصد اس بات کو یقینی بنانا ہے کہ ہمارے معلوماتی اثاثوں اور ڈیٹا پراسیسنگ کے طریقہ کار اور طریقہ کار کو اعلیٰ ترین سطح کی سیکیورٹی اور دیانتداری کے ساتھ انجام دیا جائے، اور یہ کہ ہم متعلقہ قانونی ضوابط اور معیارات کی تعمیل کرتے ہیں۔
2.2 معلومات کی حفاظت کے کردار اور ذمہ داریاں
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ پوری تنظیم میں معلومات کی حفاظت کے لئے کرداروں اور ذمہ داریوں کی وضاحت اور ان سے بات چیت کرتا ہے۔ اس میں معلومات کی حفاظت کے ضمن میں معلوماتی اثاثوں کے لیے واضح ملکیت تفویض کرنا، گورننس کا ڈھانچہ قائم کرنا، اور پوری تنظیم میں مختلف کرداروں اور محکموں کے لیے مخصوص ذمہ داریوں کی وضاحت کرنا شامل ہے۔
2.3۔ رسک مینجمنٹ
ہم ذاتی ڈیٹا پروسیسنگ سے متعلق خطرات سمیت تنظیم کے لیے معلومات کے تحفظ کے خطرات کی نشاندہی کرنے اور ان کی ترجیح دینے کے لیے باقاعدہ خطرے کی تشخیص کرتے ہیں۔ ہم ان خطرات کو کم کرنے کے لیے مناسب کنٹرول قائم کرتے ہیں، اور کاروباری ماحول اور خطرے کے منظر نامے میں ہونے والی تبدیلیوں کی بنیاد پر اپنے رسک مینجمنٹ کے طریقہ کار کا باقاعدگی سے جائزہ لیتے اور اپ ڈیٹ کرتے ہیں۔
2.4 معلومات کی حفاظت کی پالیسیاں اور طریقہ کار
ہم انفارمیشن سیکیورٹی پالیسیوں اور طریقہ کار کا ایک سیٹ قائم اور برقرار رکھتے ہیں جو صنعت کے بہترین طریقوں پر مبنی ہیں اور متعلقہ ضوابط اور معیارات کی تعمیل کرتے ہیں۔ یہ پالیسیاں اور طریقہ کار معلومات کی حفاظت کے تمام پہلوؤں کا احاطہ کرتے ہیں، بشمول ذاتی ڈیٹا پروسیسنگ، اور ان کی تاثیر کو یقینی بنانے کے لیے باقاعدگی سے ان کا جائزہ لیا جاتا ہے اور اپ ڈیٹ کیا جاتا ہے۔
2.5 سیکورٹی بیداری اور تربیت
ہم ان تمام ملازمین، ٹھیکیداروں، اور فریق ثالث کے شراکت داروں کو جو ذاتی ڈیٹا یا دیگر حساس معلومات تک رسائی رکھتے ہیں، کو باقاعدگی سے حفاظتی آگاہی اور تربیتی پروگرام فراہم کرتے ہیں۔ اس تربیت میں فشنگ، سوشل انجینئرنگ، پاس ورڈ حفظان صحت، اور معلومات کی حفاظت کے دیگر بہترین طریقوں جیسے موضوعات کا احاطہ کیا گیا ہے۔
2.6۔ جسمانی اور ماحولیاتی تحفظ
ہم اپنی سہولیات اور انفارمیشن سسٹم تک غیر مجاز رسائی، نقصان، یا مداخلت سے بچانے کے لیے مناسب جسمانی اور ماحولیاتی تحفظ کے کنٹرول کو نافذ کرتے ہیں۔ اس میں رسائی کنٹرول، نگرانی، نگرانی، اور بیک اپ پاور اور کولنگ سسٹم جیسے اقدامات شامل ہیں۔
2.7۔ انفارمیشن سیکیورٹی واقعہ کا انتظام
ہم نے ایک واقعہ کے انتظام کے عمل کو قائم کیا ہے جو ہمیں معلومات کی حفاظت کے کسی بھی واقعے کا فوری اور مؤثر جواب دینے کے قابل بناتا ہے۔ اس میں واقعات کی اطلاع دہندگی، اضافہ، تفتیش اور حل کے طریقہ کار کے ساتھ ساتھ تکرار کو روکنے اور واقعے کے ردعمل کی ہماری صلاحیتوں کو بہتر بنانے کے اقدامات شامل ہیں۔
2.8۔ آپریشنل تسلسل اور ڈیزاسٹر ریکوری
ہم نے آپریشنل تسلسل اور ڈیزاسٹر ریکوری کے منصوبے قائم کیے ہیں اور ان کا تجربہ کیا ہے جو ہمیں کسی رکاوٹ یا آفت کی صورت میں اپنے اہم آپریشنز کے افعال اور خدمات کو برقرار رکھنے کے قابل بناتے ہیں۔ ان منصوبوں میں ڈیٹا اور سسٹمز کے بیک اپ اور بازیافت کے طریقہ کار اور ذاتی ڈیٹا کی دستیابی اور سالمیت کو یقینی بنانے کے اقدامات شامل ہیں۔
2.9 تھرڈ پارٹی مینجمنٹ
ہم فریق ثالث کے ساتھ منسلک خطرات کے انتظام کے لیے مناسب کنٹرول قائم کرتے ہیں اور برقرار رکھتے ہیں جن کی ذاتی ڈیٹا یا دیگر حساس معلومات تک رسائی ہے۔ اس میں مناسب مستعدی، معاہدہ کی ذمہ داریاں، نگرانی، اور آڈٹ جیسے اقدامات کے ساتھ ساتھ ضرورت پڑنے پر شراکت کو ختم کرنے کے اقدامات شامل ہیں۔
حصہ 3۔ انسانی وسائل کی حفاظت
3.1 ملازمت کی اسکریننگ
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ نے اس بات کو یقینی بنانے کے لیے روزگار کی جانچ پڑتال کے لیے ایک عمل قائم کیا ہے کہ حساس معلومات تک رسائی کے حامل افراد قابل اعتماد ہیں اور ان کے پاس ضروری مہارتیں اور قابلیتیں ہیں۔
3.2. رسائی کنٹرول
ہم نے اس بات کو یقینی بنانے کے لیے رسائی کنٹرول کی پالیسیاں اور طریقہ کار قائم کیے ہیں کہ ملازمین کو صرف اپنی ملازمت کی ذمہ داریوں کے لیے ضروری معلومات تک رسائی حاصل ہو۔ رسائی کے حقوق کا باقاعدگی سے جائزہ اور اپ ڈیٹ کیا جاتا ہے تاکہ یہ یقینی بنایا جا سکے کہ ملازمین کو صرف ان معلومات تک رسائی حاصل ہے جس کی انہیں ضرورت ہے۔
3.3 معلومات کی حفاظت سے آگاہی اور تربیت
ہم تمام ملازمین کو مستقل بنیادوں پر انفارمیشن سیکیورٹی بیداری کی تربیت فراہم کرتے ہیں۔ اس تربیت میں پاس ورڈ سیکیورٹی، فشنگ اٹیک، سوشل انجینئرنگ اور سائبر سیکیورٹی کے دیگر پہلوؤں جیسے موضوعات کا احاطہ کیا گیا ہے۔
3.4. قابل قبول استعمال
ہم نے ایک قابل قبول استعمال کی پالیسی قائم کی ہے جو معلومات کے نظام اور وسائل کے قابل قبول استعمال کا خاکہ پیش کرتی ہے، بشمول کام کے مقاصد کے لیے استعمال ہونے والے ذاتی آلات۔
3.5 موبائل ڈیوائس سیکیورٹی
ہم نے موبائل آلات کے محفوظ استعمال کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول پاس کوڈز، انکرپشن، اور ریموٹ صاف کرنے کی صلاحیتوں کا استعمال۔
3.6۔ ختم کرنے کے طریقہ کار
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ نے اس بات کو یقینی بنانے کے لیے کہ حساس معلومات تک رسائی کو فوری اور محفوظ طریقے سے منسوخ کر دیا جائے، ملازمت یا معاہدے کے خاتمے کے لیے طریقہ کار قائم کیا ہے۔
3.7۔ تھرڈ پارٹی پرسنل
ہم نے فریق ثالث کے اہلکاروں کے انتظام کے لیے طریقہ کار قائم کیا ہے جو حساس معلومات تک رسائی رکھتے ہیں۔ ان پالیسیوں میں اسکریننگ، رسائی کنٹرول، اور معلومات کی حفاظت سے متعلق آگاہی کی تربیت شامل ہے۔
3.8۔ واقعات کی اطلاع دینا
ہم نے معلومات کی حفاظت کے واقعات یا خدشات کی اطلاع مناسب اہلکاروں یا حکام کو دینے کے لیے پالیسیاں اور طریقہ کار قائم کیا ہے۔
3.9 رازداری کے معاہدے
یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ ملازمین اور ٹھیکیداروں سے حساس معلومات کو غیر مجاز افشاء سے بچانے کے لیے رازداری کے معاہدوں پر دستخط کرنے کا تقاضا کرتا ہے۔
3.10 تادیبی کارروائیاں
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ نے ملازمین یا ٹھیکیداروں کے ذریعہ انفارمیشن سیکیورٹی پالیسی کی خلاف ورزیوں کی صورت میں تادیبی کارروائیوں کے لئے پالیسیاں اور طریقہ کار قائم کیا ہے۔
حصہ 4. رسک اسیسمنٹ اور مینجمنٹ
4.1. خطرہ کی تشخیص
ہم اپنے معلوماتی اثاثوں کو ممکنہ خطرات اور کمزوریوں کی نشاندہی کرنے کے لیے وقتاً فوقتاً خطرے کی تشخیص کرتے ہیں۔ ہم ان کے امکانات اور ممکنہ اثرات کی بنیاد پر خطرات کی شناخت، تجزیہ، تشخیص، اور ترجیح دینے کے لیے ایک منظم طریقہ استعمال کرتے ہیں۔ ہم اپنے معلوماتی اثاثوں سے وابستہ خطرات کا اندازہ لگاتے ہیں، بشمول سسٹمز، نیٹ ورکس، سافٹ ویئر، ڈیٹا اور دستاویزات۔
4.2 خطرے کا علاج
ہم خطرات کو کم کرنے یا قابل قبول سطح تک کم کرنے کے لیے رسک ٹریٹمنٹ کا عمل استعمال کرتے ہیں۔ خطرے کے علاج کے عمل میں مناسب کنٹرولز کا انتخاب، کنٹرول کو نافذ کرنا، اور کنٹرولز کی تاثیر کی نگرانی شامل ہے۔ ہم خطرے کی سطح، دستیاب وسائل اور کاروباری ترجیحات کی بنیاد پر کنٹرولز کے نفاذ کو ترجیح دیتے ہیں۔
4.3 خطرے کی نگرانی اور جائزہ
ہم باقاعدگی سے اپنے رسک مینجمنٹ کے عمل کی تاثیر کی نگرانی اور جائزہ لیتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ یہ متعلقہ اور موثر رہے۔ ہم اپنے رسک مینجمنٹ کے عمل کی کارکردگی کی پیمائش کرنے اور بہتری کے مواقع کی نشاندہی کرنے کے لیے میٹرکس اور اشارے استعمال کرتے ہیں۔ ہم اپنے وقتاً فوقتاً انتظامی جائزوں کے حصے کے طور پر اپنے رسک مینجمنٹ کے عمل کا بھی جائزہ لیتے ہیں تاکہ اس کی جاری مناسبیت، مناسبیت اور تاثیر کو یقینی بنایا جا سکے۔
4.4 رسک رسپانس پلاننگ
ہمارے پاس رسک رسپانس پلان موجود ہے تاکہ یہ یقینی بنایا جا سکے کہ ہم کسی بھی شناخت شدہ خطرات کا مؤثر طریقے سے جواب دے سکتے ہیں۔ اس پلان میں خطرات کی شناخت اور اطلاع دینے کے طریقہ کار کے ساتھ ساتھ ہر خطرے کے ممکنہ اثرات کا اندازہ لگانے اور مناسب ردعمل کے اقدامات کا تعین کرنے کے طریقہ کار شامل ہیں۔ ہمارے پاس ہنگامی منصوبے بھی ہیں تاکہ کسی اہم خطرے کی صورت میں کاروبار کے تسلسل کو یقینی بنایا جا سکے۔
4.5 آپریشنل اثرات کا تجزیہ
ہم اپنے کاروباری کاموں میں رکاوٹوں کے ممکنہ اثرات کی نشاندہی کرنے کے لیے وقتاً فوقتاً کاروباری اثرات کے تجزیے کرتے ہیں۔ اس تجزیے میں ہمارے کاروباری افعال، سسٹمز اور ڈیٹا کی تنقیدی تشخیص کے ساتھ ساتھ ہمارے صارفین، ملازمین اور دیگر اسٹیک ہولڈرز پر رکاوٹوں کے ممکنہ اثرات کا جائزہ بھی شامل ہے۔
4.6 تھرڈ پارٹی رسک مینجمنٹ
ہمارے پاس تھرڈ پارٹی رسک مینجمنٹ پروگرام موجود ہے تاکہ یہ یقینی بنایا جا سکے کہ ہمارے وینڈرز اور دیگر تھرڈ پارٹی سروس فراہم کرنے والے بھی خطرات کا مناسب انتظام کر رہے ہیں۔ اس پروگرام میں فریق ثالث کے ساتھ مشغول ہونے سے پہلے مستعدی کی جانچ پڑتال، فریق ثالث کی سرگرمیوں کی جاری نگرانی، اور فریق ثالث کے رسک مینجمنٹ کے طریقوں کے متواتر جائزے شامل ہیں۔
4.7 واقعہ کا جواب اور انتظام
ہمارے پاس ایک واقعہ کا ردعمل اور انتظامی منصوبہ ہے تاکہ یہ یقینی بنایا جا سکے کہ ہم کسی بھی سیکورٹی کے واقعات کا مؤثر طریقے سے جواب دے سکتے ہیں۔ اس پلان میں واقعات کی شناخت اور رپورٹنگ کے طریقہ کار کے ساتھ ساتھ ہر واقعے کے اثرات کا اندازہ لگانے اور مناسب ردعمل کے اقدامات کا تعین کرنے کے طریقہ کار شامل ہیں۔ ہمارے پاس کاروباری تسلسل کا منصوبہ بھی ہے تاکہ یہ یقینی بنایا جا سکے کہ کسی اہم واقعے کی صورت میں اہم کاروباری افعال جاری رہ سکتے ہیں۔
حصہ 5۔ جسمانی اور ماحولیاتی تحفظ
5.1 جسمانی حفاظت کا دائرہ
ہم نے جسمانی احاطے اور حساس معلومات کو غیر مجاز رسائی سے بچانے کے لیے جسمانی حفاظتی اقدامات قائم کیے ہیں۔
5.2. رسائی کنٹرول
ہم نے جسمانی احاطے کے لیے رسائی کنٹرول کی پالیسیاں اور طریقہ کار قائم کیے ہیں تاکہ یہ یقینی بنایا جا سکے کہ صرف مجاز اہلکاروں کو ہی حساس معلومات تک رسائی حاصل ہو۔
5.3 سامان کی حفاظت
ہم اس بات کو یقینی بناتے ہیں کہ حساس معلومات پر مشتمل تمام آلات جسمانی طور پر محفوظ ہیں، اور اس آلات تک رسائی صرف مجاز اہلکاروں تک محدود ہے۔
5.4 محفوظ ڈسپوزل
ہم نے کاغذی دستاویزات، الیکٹرانک میڈیا، اور ہارڈ ویئر سمیت حساس معلومات کو محفوظ طریقے سے ٹھکانے لگانے کے لیے طریقہ کار قائم کیا ہے۔
5.5. جسمانی ماحول
ہم اس بات کو یقینی بناتے ہیں کہ احاطے کا جسمانی ماحول، بشمول درجہ حرارت، نمی، اور روشنی، حساس معلومات کے تحفظ کے لیے موزوں ہے۔
5.6. بجلی کی فراہمی
ہم اس بات کو یقینی بناتے ہیں کہ احاطے میں بجلی کی فراہمی قابل اعتماد ہے اور بجلی کی بندش یا اضافے سے محفوظ ہے۔
5.7. آگ سے تحفظ
ہم نے آگ سے تحفظ کی پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول آگ کا پتہ لگانے اور دبانے کے نظام کی تنصیب اور دیکھ بھال۔
5.8 پانی کے نقصان سے تحفظ
ہم نے حساس معلومات کو پانی کے نقصان سے بچانے کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول سیلاب کا پتہ لگانے اور بچاؤ کے نظام کی تنصیب اور دیکھ بھال۔
5.9. سامان کی بحالی
ہم نے سامان کی دیکھ بھال کے لیے طریقہ کار قائم کیے ہیں، بشمول چھیڑ چھاڑ یا غیر مجاز رسائی کے اشارے کے لیے آلات کا معائنہ۔
5.10. قابل قبول استعمال
ہم نے ایک قابل قبول استعمال کی پالیسی قائم کی ہے جو جسمانی وسائل اور سہولیات کے قابل قبول استعمال کا خاکہ پیش کرتی ہے۔
5.11. ریموٹ رسائی
ہم نے حساس معلومات تک ریموٹ رسائی کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول محفوظ کنکشنز اور انکرپشن کا استعمال۔
5.12۔ نگرانی اور نگرانی
ہم نے غیر مجاز رسائی یا چھیڑ چھاڑ کا پتہ لگانے اور روکنے کے لیے جسمانی احاطے اور آلات کی نگرانی اور نگرانی کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں۔
حصہ 6. مواصلات اور آپریشنز سیکورٹی
6.1۔ نیٹ ورک سیکیورٹی مینجمنٹ
ہم نے نیٹ ورک سیکیورٹی کے انتظام کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول فائر والز کا استعمال، دخل اندازی کا پتہ لگانے اور روک تھام کے نظام، اور باقاعدہ سیکیورٹی آڈٹ۔
6.2 معلومات کی منتقلی
ہم نے حساس معلومات کی محفوظ منتقلی کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول انکرپشن اور محفوظ فائل ٹرانسفر پروٹوکول کا استعمال۔
6.3 تھرڈ پارٹی کمیونیکیشنز
ہم نے فریق ثالث کی تنظیموں کے ساتھ حساس معلومات کے محفوظ تبادلے کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول محفوظ کنکشن اور انکرپشن کا استعمال۔
6.4 میڈیا ہینڈلنگ
ہم نے میڈیا کی مختلف شکلوں میں حساس معلومات کو سنبھالنے کے لیے طریقہ کار قائم کیا ہے، بشمول کاغذی دستاویزات، الیکٹرانک میڈیا، اور پورٹیبل اسٹوریج ڈیوائسز۔
6.5 انفارمیشن سسٹم ڈویلپمنٹ اور مینٹیننس
ہم نے معلوماتی نظاموں کی ترقی اور دیکھ بھال کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول محفوظ کوڈنگ کے طریقوں کا استعمال، باقاعدہ سافٹ ویئر اپ ڈیٹس اور پیچ مینجمنٹ۔
6.6۔ میلویئر اور وائرس سے تحفظ
ہم نے انفارمیشن سسٹمز کو میلویئر اور وائرسز سے بچانے کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول اینٹی وائرس سافٹ ویئر کا استعمال اور باقاعدہ سیکیورٹی اپ ڈیٹس۔
6.7 بیک اپ اور بحالی
ہم نے ڈیٹا کے نقصان یا بدعنوانی کو روکنے کے لیے حساس معلومات کے بیک اپ اور بحالی کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں۔
6.8. ایونٹ مینجمنٹ
ہم نے سیکورٹی کے واقعات اور واقعات کی شناخت، تفتیش اور حل کے لیے پالیسیاں اور طریقہ کار قائم کیا ہے۔
6.9 خطرے کا انتظام
ہم نے معلوماتی نظام کی کمزوریوں کے نظم و نسق کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، جن میں کمزوری کی باقاعدہ تشخیص اور پیچ کا انتظام شامل ہے۔
6.10. رسائی کنٹرول
ہم نے معلوماتی نظاموں تک صارف کی رسائی کے انتظام کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول رسائی کنٹرول، صارف کی تصدیق، اور باقاعدہ رسائی کے جائزے کا استعمال۔
6.11۔ مانیٹرنگ اور لاگنگ
ہم نے انفارمیشن سسٹم کی سرگرمیوں کی نگرانی اور لاگنگ کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول آڈٹ ٹریلز کا استعمال اور سیکیورٹی واقعے کی لاگنگ۔
حصہ 7۔ انفارمیشن سسٹمز کا حصول، ترقی اور دیکھ بھال
7.1. ضروریات
ہم نے معلوماتی نظام کی ضروریات کی شناخت کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول کاروباری تقاضے، قانونی اور ضابطے کی ضروریات، اور حفاظتی تقاضے۔
7.2 فراہم کنندہ کے تعلقات
ہم نے انفارمیشن سسٹمز اور سروسز کے تیسرے فریق سپلائرز کے ساتھ تعلقات کے انتظام کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول سپلائرز کے حفاظتی طریقوں کا جائزہ۔
7.3 نظام کی ترقی
ہم نے معلوماتی نظام کی محفوظ ترقی کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول محفوظ کوڈنگ کے طریقوں کا استعمال، باقاعدہ جانچ، اور معیار کی یقین دہانی۔
7.4. سسٹم ٹیسٹنگ
ہم نے معلوماتی نظاموں کی جانچ کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول فعالیت کی جانچ، کارکردگی کی جانچ، اور سیکیورٹی کی جانچ۔
7.5 سسٹم کی قبولیت
ہم نے انفارمیشن سسٹمز کی قبولیت کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول جانچ کے نتائج کی منظوری، سیکیورٹی کے جائزے، اور صارف کی قبولیت کی جانچ۔
7.6. نظام کی بحالی
ہم نے انفارمیشن سسٹم کی دیکھ بھال کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول باقاعدہ اپ ڈیٹس، سیکیورٹی پیچ، اور سسٹم بیک اپ۔
7.7۔ سسٹم ریٹائرمنٹ
ہم نے ہارڈ ویئر اور ڈیٹا کو محفوظ طریقے سے ضائع کرنے سمیت انفارمیشن سسٹمز کی ریٹائرمنٹ کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں۔
7.8. ڈیٹا برقرار رکھنے
ہم نے قانونی اور ریگولیٹری تقاضوں کی تعمیل میں ڈیٹا کو برقرار رکھنے کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول حساس ڈیٹا کو محفوظ ذخیرہ کرنا اور اسے ضائع کرنا۔
7.9 انفارمیشن سسٹمز کے لیے حفاظتی تقاضے
ہم نے معلوماتی نظاموں کے لیے حفاظتی تقاضوں کی شناخت اور نفاذ کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول رسائی کنٹرول، خفیہ کاری، اور ڈیٹا کی حفاظت۔
7.10 محفوظ ترقیاتی ماحول
ہم نے انفارمیشن سسٹمز کے لیے محفوظ ترقیاتی ماحول کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول محفوظ ترقیاتی طریقوں، رسائی کے کنٹرول، اور محفوظ نیٹ ورک کنفیگریشنز کا استعمال۔
7.11۔ جانچ کے ماحول کا تحفظ
ہم نے انفارمیشن سسٹمز کے لیے ٹیسٹنگ ماحول کے تحفظ کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول محفوظ کنفیگریشنز، رسائی کنٹرولز، اور باقاعدہ سیکیورٹی ٹیسٹنگ کا استعمال۔
7.12۔ سیکیور سسٹم انجینئرنگ کے اصول
ہم نے انفارمیشن سسٹمز کے لیے محفوظ سسٹم انجینئرنگ کے اصولوں کے نفاذ کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول سیکیورٹی آرکیٹیکچرز، تھریٹ ماڈلنگ، اور محفوظ کوڈنگ کے طریقے۔
7.13۔ محفوظ کوڈنگ کے رہنما خطوط
ہم نے انفارمیشن سسٹمز کے لیے محفوظ کوڈنگ گائیڈ لائنز کے نفاذ کے لیے پالیسیاں اور طریقہ کار قائم کیے ہیں، بشمول کوڈنگ کے معیارات، کوڈ کے جائزے، اور خودکار جانچ کا استعمال۔
حصہ 8۔ ہارڈ ویئر کا حصول
8.1 معیارات کی پابندی
ہم انفارمیشن سیکیورٹی مینجمنٹ سسٹم (ISMS) کے لیے ISO 27001 معیار کی پابندی کرتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ ہارڈ ویئر کے اثاثے ہماری سیکیورٹی کی ضروریات کے مطابق خریدے گئے ہیں۔
8.2. خطرہ کی تشخیص
ہم ہارڈ ویئر کے اثاثوں کی خریداری سے پہلے خطرے کی تشخیص کرتے ہیں تاکہ ممکنہ حفاظتی خطرات کی نشاندہی کی جا سکے اور اس بات کو یقینی بنایا جا سکے کہ منتخب کردہ ہارڈویئر سیکورٹی کی ضروریات کو پورا کرتا ہے۔
8.3 دکانداروں کا انتخاب
ہم ہارڈ ویئر کے اثاثے صرف ان بھروسہ مند دکانداروں سے خریدتے ہیں جن کے پاس محفوظ مصنوعات کی فراہمی کا ثابت شدہ ٹریک ریکارڈ ہے۔ ہم وینڈر کی سیکیورٹی پالیسیوں اور طریقوں کا جائزہ لیتے ہیں، اور ان سے یہ یقین دہانی کرانے کا مطالبہ کرتے ہیں کہ ان کی مصنوعات ہماری سیکیورٹی کی ضروریات کو پورا کرتی ہیں۔
8.4 محفوظ ٹرانسپورٹ
ہم اس بات کو یقینی بناتے ہیں کہ ٹرانزٹ کے دوران چھیڑ چھاڑ، نقصان یا چوری کو روکنے کے لیے ہارڈ ویئر کے اثاثوں کو محفوظ طریقے سے ہمارے احاطے میں منتقل کیا جائے۔
8.5 صداقت کی تصدیق
ہم ترسیل کے وقت ہارڈ ویئر کے اثاثوں کی صداقت کی تصدیق کرتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ وہ جعلی یا چھیڑ چھاڑ نہیں ہیں۔
8.6۔ جسمانی اور ماحولیاتی کنٹرول
ہم ہارڈ ویئر کے اثاثوں کو غیر مجاز رسائی، چوری یا نقصان سے بچانے کے لیے مناسب جسمانی اور ماحولیاتی کنٹرول نافذ کرتے ہیں۔
8.7. ہارڈ ویئر کی تنصیب
ہم اس بات کو یقینی بناتے ہیں کہ تمام ہارڈ ویئر کے اثاثوں کو قائم کردہ حفاظتی معیارات اور رہنما خطوط کے مطابق ترتیب اور انسٹال کیا گیا ہے۔
8.8۔ ہارڈ ویئر کے جائزے
ہم ہارڈ ویئر کے اثاثوں کا وقتاً فوقتاً جائزہ لیتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ وہ ہماری حفاظتی تقاضوں کو پورا کرتے رہتے ہیں اور تازہ ترین سیکیورٹی پیچز اور اپ ڈیٹس کے ساتھ اپ ٹو ڈیٹ ہیں۔
8.9۔ ہارڈ ویئر کو ضائع کرنا
ہم ہارڈ ویئر کے اثاثوں کو محفوظ طریقے سے ضائع کرتے ہیں تاکہ حساس معلومات تک غیر مجاز رسائی کو روکا جا سکے۔
حصہ 9۔ مالویئر اور وائرس سے تحفظ
9.1 سافٹ ویئر اپ ڈیٹ کرنے کی پالیسی
ہم سرورز، ورک سٹیشنز، لیپ ٹاپس اور موبائل آلات سمیت یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ کے ذریعے استعمال کیے جانے والے تمام انفارمیشن سسٹمز پر اپ ٹو ڈیٹ اینٹی وائرس اور مالویئر پروٹیکشن سافٹ ویئر کو برقرار رکھتے ہیں۔ ہم اس بات کو یقینی بناتے ہیں کہ اینٹی وائرس اور مالویئر پروٹیکشن سافٹ ویئر کو اس کی وائرس ڈیفینیشن فائلوں اور سافٹ ویئر ورژنز کو مستقل بنیادوں پر خود بخود اپ ڈیٹ کرنے کے لیے ترتیب دیا گیا ہے، اور یہ کہ اس عمل کی باقاعدگی سے جانچ کی جاتی ہے۔
9.2 اینٹی وائرس اور میلویئر اسکیننگ
ہم کسی بھی وائرس یا مالویئر کا پتہ لگانے اور اسے ہٹانے کے لیے تمام انفارمیشن سسٹمز، بشمول سرورز، ورک سٹیشنز، لیپ ٹاپس، اور موبائل آلات کے باقاعدگی سے اسکین کرتے ہیں۔
9.3 غیر فعال اور غیر تبدیل کرنے والی پالیسی
ہم ایسی پالیسیاں نافذ کرتے ہیں جو صارفین کو کسی بھی انفارمیشن سسٹم پر اینٹی وائرس اور مالویئر پروٹیکشن سافٹ ویئر کو غیر فعال یا تبدیل کرنے سے روکتی ہیں۔
9.4. نگرانی
ہم وائرس یا میلویئر انفیکشن کے کسی بھی واقعے کی نشاندہی کرنے کے لیے اپنے اینٹی وائرس اور میلویئر پروٹیکشن سافٹ ویئر الرٹس اور لاگز کی نگرانی کرتے ہیں، اور ایسے واقعات کا بروقت جواب دیتے ہیں۔
9.5 ریکارڈ کی دیکھ بھال
ہم آڈیٹنگ کے مقاصد کے لیے اینٹی وائرس اور میلویئر پروٹیکشن سافٹ ویئر کی ترتیب، اپ ڈیٹس اور اسکینز کے ساتھ ساتھ وائرس یا میلویئر انفیکشن کے کسی بھی واقعے کے ریکارڈ کو برقرار رکھتے ہیں۔
9.6۔ سافٹ ویئر کے جائزے
ہم اپنے اینٹی وائرس اور مالویئر پروٹیکشن سافٹ ویئر کے وقتاً فوقتاً جائزے کرتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ یہ صنعت کے موجودہ معیارات پر پورا اترتا ہے اور ہماری ضروریات کے لیے مناسب ہے۔
9.7. تربیت اور آگہی
ہم تمام ملازمین کو وائرس اور مالویئر سے تحفظ کی اہمیت سے آگاہ کرنے کے لیے تربیت اور آگاہی کے پروگرام فراہم کرتے ہیں، اور کسی بھی مشتبہ سرگرمیوں یا واقعات کو پہچاننے اور اس کی اطلاع دینے کا طریقہ۔
حصہ 10۔ معلوماتی اثاثہ جات کا انتظام
10.1 معلوماتی اثاثہ انوینٹری
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ انفارمیشن اثاثوں کی انوینٹری کو برقرار رکھتا ہے جس میں تمام ڈیجیٹل اور فزیکل انفارمیشن اثاثے شامل ہیں، جیسے سسٹم، نیٹ ورکس، سافٹ ویئر، ڈیٹا اور دستاویزات۔ ہم معلوماتی اثاثوں کی درجہ بندی ان کی نازکیت اور حساسیت کی بنیاد پر کرتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ مناسب حفاظتی اقدامات پر عمل درآمد کیا جائے۔
10.2 معلومات اثاثہ ہینڈلنگ
ہم معلومات کے اثاثوں کے تحفظ کے لیے ان کی درجہ بندی کی بنیاد پر مناسب اقدامات نافذ کرتے ہیں، بشمول رازداری، سالمیت، اور دستیابی۔ ہم اس بات کو یقینی بناتے ہیں کہ تمام معلوماتی اثاثوں کو قابل اطلاق قوانین، ضوابط اور معاہدہ کی ضروریات کے مطابق ہینڈل کیا جائے۔ ہم اس بات کو بھی یقینی بناتے ہیں کہ تمام معلوماتی اثاثوں کو مناسب طریقے سے ذخیرہ کیا جائے، محفوظ کیا جائے اور جب مزید ضرورت نہ ہو تو اسے ضائع کر دیا جائے۔
10.3 معلوماتی اثاثہ کی ملکیت
ہم معلوماتی اثاثوں کی ملکیت افراد یا محکموں کو تفویض کرتے ہیں جو معلوماتی اثاثوں کے انتظام اور حفاظت کے ذمہ دار ہیں۔ ہم یہ بھی یقینی بناتے ہیں کہ معلوماتی اثاثوں کے مالکان معلوماتی اثاثوں کی حفاظت کے لیے اپنی ذمہ داریوں اور جوابدہی کو سمجھتے ہیں۔
10.4 معلومات اثاثہ تحفظ
ہم معلومات کے اثاثوں کی حفاظت کے لیے مختلف قسم کے تحفظ کے اقدامات کا استعمال کرتے ہیں، بشمول فزیکل کنٹرولز، ایکسیس کنٹرولز، انکرپشن، اور بیک اپ اور ریکوری کے عمل۔ ہم یہ بھی یقینی بناتے ہیں کہ تمام معلوماتی اثاثے غیر مجاز رسائی، ترمیم یا تباہی سے محفوظ ہیں۔
حصہ 11۔ رسائی کنٹرول
11.1 رسائی کنٹرول پالیسی
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے پاس رسائی کنٹرول پالیسی ہے جو معلومات کے اثاثوں تک رسائی دینے، ترمیم کرنے اور منسوخ کرنے کے تقاضوں کا خاکہ پیش کرتی ہے۔ رسائی کنٹرول ہمارے انفارمیشن سیکیورٹی مینجمنٹ سسٹم کا ایک اہم جزو ہے، اور ہم اسے اس بات کو یقینی بنانے کے لیے لاگو کرتے ہیں کہ ہمارے معلوماتی اثاثوں تک صرف مجاز افراد کی رسائی ہو۔
11.2 رسائی کنٹرول کا نفاذ
ہم کم از کم استحقاق کے اصول کی بنیاد پر رسائی کے کنٹرول کے اقدامات کو نافذ کرتے ہیں، جس کا مطلب ہے کہ افراد کو صرف ان معلوماتی اثاثوں تک رسائی حاصل ہے جو اپنے کام کے افعال کو انجام دینے کے لیے ضروری ہیں۔ ہم رسائی کے کنٹرول کے متعدد اقدامات استعمال کرتے ہیں، بشمول تصدیق، اجازت، اور اکاؤنٹنگ (AAA)۔ ہم معلومات کے اثاثوں تک رسائی کو کنٹرول کرنے کے لیے رسائی کنٹرول فہرستوں (ACLs) اور اجازتوں کا بھی استعمال کرتے ہیں۔
11.3 پاس ورڈ کی پالیسی
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے پاس پاس ورڈ کی پالیسی ہے جو پاس ورڈ بنانے اور ان کا نظم کرنے کے تقاضوں کو بیان کرتی ہے۔ ہمیں ایسے مضبوط پاس ورڈز کی ضرورت ہوتی ہے جو کم از کم 8 حروف کے ہوں، جس میں بڑے اور چھوٹے حروف، اعداد اور خصوصی حروف شامل ہوں۔ ہمیں وقتاً فوقتاً پاس ورڈ کی تبدیلیوں کی بھی ضرورت ہوتی ہے اور پچھلے پاس ورڈز کے دوبارہ استعمال پر پابندی لگاتے ہیں۔
11.4. صارف کا انتظام
ہمارے پاس صارف کے نظم و نسق کا عمل ہے جس میں صارف کے اکاؤنٹس بنانا، ترمیم کرنا اور حذف کرنا شامل ہے۔ صارف کے اکاؤنٹس کم از کم استحقاق کے اصول پر بنائے جاتے ہیں، اور رسائی صرف ان معلوماتی اثاثوں تک دی جاتی ہے جو فرد کے کام کے افعال کو انجام دینے کے لیے ضروری ہوتے ہیں۔ ہم باقاعدگی سے صارف اکاؤنٹس کا بھی جائزہ لیتے ہیں اور ایسے اکاؤنٹس کو ہٹاتے ہیں جن کی مزید ضرورت نہیں ہے۔
حصہ 12۔ انفارمیشن سیکیورٹی انڈینسڈ مینجمنٹ
12.1 واقعہ کے انتظام کی پالیسی
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے پاس ایک انسیڈنٹ مینجمنٹ پالیسی ہے جو سیکورٹی کے واقعات کا پتہ لگانے، رپورٹ کرنے، تشخیص کرنے اور ان کا جواب دینے کے تقاضوں کو بیان کرتی ہے۔ ہم حفاظتی واقعات کی تعریف کسی بھی ایسے واقعے کے طور پر کرتے ہیں جو معلومات کے اثاثوں یا سسٹمز کی رازداری، سالمیت، یا دستیابی سے سمجھوتہ کرتا ہے۔
12.2. واقعہ کی کھوج اور رپورٹنگ
ہم حفاظتی واقعات کا فوری پتہ لگانے اور رپورٹ کرنے کے لیے اقدامات کو نافذ کرتے ہیں۔ ہم سیکورٹی کے واقعات کا پتہ لگانے کے لیے مختلف طریقے استعمال کرتے ہیں، بشمول مداخلت کا پتہ لگانے کے نظام (IDS)، اینٹی وائرس سافٹ ویئر، اور صارف کی رپورٹنگ۔ ہم یہ بھی یقینی بناتے ہیں کہ تمام ملازمین سیکورٹی کے واقعات کی اطلاع دینے کے طریقہ کار سے واقف ہوں اور تمام مشتبہ واقعات کی رپورٹنگ کی حوصلہ افزائی کریں۔
12.3. واقعہ کی تشخیص اور جواب
ہمارے پاس حفاظتی واقعات کا اندازہ لگانے اور ان کی شدت اور اثرات کی بنیاد پر جواب دینے کا عمل ہے۔ ہم معلومات کے اثاثوں یا سسٹمز پر ان کے ممکنہ اثرات کی بنیاد پر واقعات کو ترجیح دیتے ہیں اور ان کا جواب دینے کے لیے مناسب وسائل مختص کرتے ہیں۔ ہمارے پاس ایک رسپانس پلان بھی ہے جس میں سیکیورٹی کے واقعات کی شناخت، ان پر مشتمل، تجزیہ، مٹانے، اور ان سے بازیابی کے طریقہ کار کے ساتھ ساتھ متعلقہ فریقوں کو مطلع کرنا، اور واقعے کے بعد کے جائزوں کا انعقاد شامل ہے، ہمارے واقعے کے ردعمل کے طریقہ کار کو تیز اور موثر جواب کو یقینی بنانے کے لیے ڈیزائن کیا گیا ہے۔ سیکورٹی کے واقعات تک. طریقہ کار کا باقاعدگی سے جائزہ لیا جاتا ہے اور ان کی تاثیر اور مطابقت کو یقینی بنانے کے لیے اپ ڈیٹ کیا جاتا ہے۔
12.4. واقعہ رسپانس ٹیم
ہمارے پاس ایک انسیڈنٹ ریسپانس ٹیم (IRT) ہے جو سیکیورٹی کے واقعات کا جواب دینے کی ذمہ دار ہے۔ IRT مختلف اکائیوں کے نمائندوں پر مشتمل ہے اور اس کی قیادت انفارمیشن سیکیورٹی آفیسر (ISO) کرتے ہیں۔ IRT واقعات کی شدت کا اندازہ لگانے، واقعے پر مشتمل، اور مناسب جوابی طریقہ کار شروع کرنے کے لیے ذمہ دار ہے۔
12.5 واقعہ کی رپورٹنگ اور جائزہ
ہم نے متعلقہ فریقوں، بشمول کلائنٹس، ریگولیٹری اتھارٹیز، اور قانون نافذ کرنے والے اداروں کو سیکورٹی کے واقعات کی اطلاع دینے کے لیے طریقہ کار قائم کیا ہے، جیسا کہ قابل اطلاق قوانین اور ضوابط کی ضرورت ہے۔ ہم واقعے کے ردعمل کے پورے عمل کے دوران متاثرہ فریقوں کے ساتھ رابطے کو بھی برقرار رکھتے ہیں، واقعے کی صورتحال اور اس کے اثرات کو کم کرنے کے لیے کیے جانے والے اقدامات کے بارے میں بروقت اپ ڈیٹ فراہم کرتے ہیں۔ ہم سیکورٹی کے تمام واقعات کا جائزہ بھی لیتے ہیں تاکہ اصل وجہ کی نشاندہی کی جا سکے اور مستقبل میں ایسے واقعات کو رونما ہونے سے روکا جا سکے۔
حصہ 13۔ بزنس کنٹینیوٹی مینجمنٹ اور ڈیزاسٹر ریکوری
13.1 کاروبار کے تسلسل کی منصوبہ بندی
اگرچہ یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ایک غیر منافع بخش تنظیم ہے اس کے پاس بزنس کنٹینیوٹی پلان (BCP) ہے جو کسی خلل ڈالنے والے واقعے کی صورت میں اس کے کاموں کے تسلسل کو یقینی بنانے کے طریقہ کار کا خاکہ پیش کرتا ہے۔ BCP تمام اہم آپریٹنگ عملوں کا احاطہ کرتا ہے اور خلل ڈالنے والے واقعے کے دوران اور اس کے بعد آپریشنز کو برقرار رکھنے کے لیے درکار وسائل کی نشاندہی کرتا ہے۔ یہ کسی رکاوٹ یا آفت کے دوران کاروباری کارروائیوں کو برقرار رکھنے، رکاوٹوں کے اثرات کا اندازہ لگانے، کسی خاص خلل ڈالنے والے واقعے کے تناظر میں انتہائی اہم آپریٹنگ عمل کی نشاندہی کرنے، اور ردعمل اور بحالی کے طریقہ کار کو تیار کرنے کے طریقہ کار کا بھی خاکہ پیش کرتا ہے۔
13.2 ڈیزاسٹر ریکوری پلاننگ
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے پاس ڈیزاسٹر ریکوری پلان (DRP) ہے جو کسی رکاوٹ یا آفت کی صورت میں ہمارے انفارمیشن سسٹم کو بحال کرنے کے طریقہ کار کا خاکہ پیش کرتا ہے۔ DRP میں ڈیٹا بیک اپ، ڈیٹا کی بحالی، اور سسٹم کی بازیابی کے طریقہ کار شامل ہیں۔ DRP کا باقاعدگی سے تجربہ کیا جاتا ہے اور اس کی تاثیر کو یقینی بنانے کے لیے اسے اپ ڈیٹ کیا جاتا ہے۔
13.3. کاروباری اثرات کا تجزیہ
ہم آپریشن کے اہم عمل اور ان کو برقرار رکھنے کے لیے درکار وسائل کی نشاندہی کرنے کے لیے بزنس امپیکٹ اینالیسس (BIA) کرتے ہیں۔ BIA ہماری بحالی کی کوششوں کو ترجیح دینے اور اس کے مطابق وسائل مختص کرنے میں ہماری مدد کرتا ہے۔
13.4 کاروبار کے تسلسل کی حکمت عملی
BIA کے نتائج کی بنیاد پر، ہم ایک کاروباری تسلسل کی حکمت عملی تیار کرتے ہیں جو کسی خلل ڈالنے والے واقعے کا جواب دینے کے طریقہ کار کا خاکہ پیش کرتی ہے۔ حکمت عملی میں BCP کو فعال کرنے، آپریشن کے اہم عمل کو بحال کرنے، اور متعلقہ اسٹیک ہولڈرز کے ساتھ بات چیت کرنے کے طریقہ کار شامل ہیں۔
13.5 جانچ اور دیکھ بھال
ہم باقاعدگی سے اپنے BCP اور DRP کو جانچتے اور برقرار رکھتے ہیں تاکہ ان کی تاثیر اور مطابقت کو یقینی بنایا جا سکے۔ ہم BCP/DRP کی توثیق کرنے اور بہتری کے لیے علاقوں کی نشاندہی کرنے کے لیے باقاعدہ ٹیسٹ کرواتے ہیں۔ ہم BCP اور DRP کو بھی اپ ڈیٹ کرتے ہیں تاکہ ہمارے کاموں میں تبدیلیوں یا خطرات کے منظر نامے کی عکاسی کی جا سکے۔ ٹیسٹنگ میں ٹیبل ٹاپ مشقیں، نقالی، اور طریقہ کار کی لائیو جانچ شامل ہے۔ ہم جانچ کے نتائج اور سیکھے گئے اسباق کی بنیاد پر اپنے منصوبوں کا جائزہ اور اپ ڈیٹ بھی کرتے ہیں۔
13.6۔ متبادل پروسیسنگ سائٹس
ہم متبادل آن لائن پروسیسنگ سائٹس کو برقرار رکھتے ہیں جن کا استعمال کسی رکاوٹ یا آفت کی صورت میں کاروبار کو جاری رکھنے کے لیے کیا جا سکتا ہے۔ متبادل پروسیسنگ سائٹیں ضروری انفراسٹرکچر اور سسٹمز سے لیس ہیں، اور ان کا استعمال اہم کاروباری عمل میں مدد کے لیے کیا جا سکتا ہے۔
حصہ 14۔ تعمیل اور آڈٹ
14.1. قوانین اور ضوابط کی تعمیل
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ معلومات کی حفاظت اور رازداری سے متعلق تمام قابل اطلاق قوانین اور ضوابط کی تعمیل کرنے کے لیے پرعزم ہے، بشمول ڈیٹا کے تحفظ کے قوانین، صنعت کے معیارات، اور معاہدہ کی ذمہ داریاں۔ ہم تمام متعلقہ تقاضوں اور معیارات کی تعمیل کو یقینی بنانے کے لیے اپنی پالیسیوں، طریقہ کار اور کنٹرولز کا باقاعدگی سے جائزہ اور اپ ڈیٹ کرتے ہیں۔ معلومات کے تحفظ کے تناظر میں ہم جن بنیادی معیارات اور فریم ورک کی پیروی کرتے ہیں ان میں شامل ہیں:
- ISO/IEC 27001 معیار انفارمیشن سیکیورٹی مینجمنٹ سسٹم (ISMS) کے نفاذ اور انتظام کے لیے رہنما خطوط فراہم کرتا ہے جس میں ایک اہم جزو کے طور پر خطرے کا انتظام شامل ہے۔ یہ ہمارے انفارمیشن سیکیورٹی مینجمنٹ سسٹم (ISMS) کو لاگو کرنے اور برقرار رکھنے کے لیے ایک حوالہ فریم ورک فراہم کرتا ہے جس میں خطرے کا انتظام بھی شامل ہے۔ اس معیاری دفعات کی تعمیل میں ہم معلومات کے تحفظ کے خطرات بشمول خطرات کی نشاندہی، تشخیص اور ان کا نظم کرتے ہیں۔
- یو ایس نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی (NIST) سائبرسیکیوریٹی فریم ورک سائبرسیکیوریٹی خطرات کی شناخت، تشخیص اور انتظام کے لیے رہنما خطوط فراہم کرتا ہے، بشمول خطرے کا انتظام۔
- نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹکنالوجی (NIST) سائبر سیکیورٹی کے خطرے کے انتظام کو بہتر بنانے کے لیے سائبر سیکیورٹی فریم ورک، جس میں فنکشنز کا ایک بنیادی سیٹ شامل ہے جس میں خطرے کا انتظام شامل ہے جس پر ہم اپنے سائبر سیکیورٹی کے خطرات کو منظم کرنے کے لیے عمل پیرا ہیں۔
- سائبرسیکیوریٹی کو بہتر بنانے کے لیے 20 سیکیورٹی کنٹرولز کے سیٹ پر مشتمل SANS کریٹیکل سیکیورٹی کنٹرولز، جس میں خطرات کا انتظام شامل ہے، خطرے کی اسکیننگ، پیچ کے انتظام، اور خطرے کے انتظام کے دیگر پہلوؤں پر مخصوص رہنمائی فراہم کرنا شامل ہے۔
- ادائیگی کارڈ انڈسٹری ڈیٹا سیکیورٹی اسٹینڈرڈ (PCI DSS)، اس تناظر میں خطرے کے انتظام کے حوالے سے کریڈٹ کارڈ کی معلومات کو سنبھالنے کی ضرورت ہے۔
- سینٹر فار انٹرنیٹ سیکیورٹی کنٹرولز (CIS) جس میں ہمارے انفارمیشن سسٹمز کی محفوظ کنفیگریشنز کو یقینی بنانے کے لیے کلیدی کنٹرولز میں سے ایک کے طور پر خطرے کا انتظام شامل ہے۔
- اوپن ویب ایپلیکیشن سیکیورٹی پروجیکٹ (OWASP)، جس میں ویب ایپلیکیشن سیکیورٹی کے سب سے اہم خطرات کی سرفہرست 10 فہرست ہے، بشمول کمزوریوں کی تشخیص جیسے انجیکشن حملے، ٹوٹی ہوئی تصدیق اور سیشن مینجمنٹ، کراس سائٹ اسکرپٹنگ (XSS) وغیرہ۔ ہم استعمال کرتے ہیں۔ ہماری کمزوری کے انتظام کی کوششوں کو ترجیح دینے اور ہمارے ویب سسٹمز کے حوالے سے انتہائی اہم خطرات پر توجہ مرکوز کرنے کے لیے OWASP ٹاپ 10۔
14.2 اندرونی آڈٹ
ہم اپنے انفارمیشن سیکیورٹی مینجمنٹ سسٹم (ISMS) کی تاثیر کا جائزہ لینے اور اس بات کو یقینی بنانے کے لیے کہ ہماری پالیسیوں، طریقہ کار اور کنٹرولز کی پیروی کی جا رہی ہے، ہم باقاعدہ اندرونی آڈٹ کرتے ہیں۔ اندرونی آڈٹ کے عمل میں عدم مطابقت کی نشاندہی، اصلاحی اقدامات کی ترقی، اور تدارک کی کوششوں کا سراغ لگانا شامل ہے۔
14.3 بیرونی آڈٹ
ہم وقتاً فوقتاً بیرونی آڈیٹرز کے ساتھ مشغول رہتے ہیں تاکہ قابل اطلاق قوانین، ضوابط اور صنعت کے معیارات کے ساتھ اپنی تعمیل کی توثیق کی جا سکے۔ ہم آڈیٹرز کو اپنی سہولیات، سسٹمز اور دستاویزات تک رسائی فراہم کرتے ہیں جیسا کہ ہماری تعمیل کی توثیق کرنے کی ضرورت ہے۔ ہم بیرونی آڈیٹرز کے ساتھ بھی کام کرتے ہیں تاکہ آڈٹ کے عمل کے دوران شناخت شدہ کسی بھی نتائج یا سفارشات کو حل کیا جا سکے۔
14.4 تعمیل کی نگرانی
ہم لاگو قوانین، ضوابط، اور صنعت کے معیارات کے ساتھ اپنی تعمیل کی مسلسل بنیادوں پر نگرانی کرتے ہیں۔ ہم تعمیل کی نگرانی کے لیے متعدد طریقے استعمال کرتے ہیں، بشمول متواتر جائزے، آڈٹ، اور فریق ثالث فراہم کنندگان کے جائزے۔ ہم تمام متعلقہ تقاضوں کی مسلسل تعمیل کو یقینی بنانے کے لیے اپنی پالیسیوں، طریقہ کار اور کنٹرولز کا باقاعدگی سے جائزہ اور اپ ڈیٹ بھی کرتے ہیں۔
حصہ 15۔ فریق ثالث کا انتظام
15.1 تھرڈ پارٹی مینجمنٹ پالیسی
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے پاس تھرڈ پارٹی مینجمنٹ پالیسی ہے جو ہمارے معلوماتی اثاثوں یا سسٹمز تک رسائی رکھنے والے فریق ثالث فراہم کنندگان کے انتخاب، تشخیص اور نگرانی کے تقاضوں کا خاکہ پیش کرتی ہے۔ یہ پالیسی تمام فریق ثالث فراہم کنندگان پر لاگو ہوتی ہے، بشمول کلاؤڈ سروس فراہم کرنے والے، وینڈرز، اور ٹھیکیدار۔
15.2 تیسری پارٹی کا انتخاب اور تشخیص
ہم فریق ثالث کے فراہم کنندگان کے ساتھ مشغول ہونے سے پہلے مناسب احتیاط برتتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ ان کے پاس ہمارے معلوماتی اثاثوں یا سسٹمز کی حفاظت کے لیے مناسب حفاظتی کنٹرول موجود ہیں۔ ہم معلومات کی حفاظت اور رازداری سے متعلق قابل اطلاق قوانین اور ضوابط کے ساتھ فریق ثالث فراہم کنندگان کی تعمیل کا بھی جائزہ لیتے ہیں۔
15.3 تھرڈ پارٹی مانیٹرنگ
ہم تیسرے فریق فراہم کنندگان کی مسلسل نگرانی کرتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ وہ معلومات کی حفاظت اور رازداری کے لیے ہماری ضروریات کو پورا کرتے رہیں۔ ہم فریق ثالث فراہم کنندگان کی نگرانی کے لیے متعدد طریقے استعمال کرتے ہیں، جن میں وقتاً فوقتاً جائزے، آڈٹ، اور سیکیورٹی کے واقعات کی رپورٹس کے جائزے شامل ہیں۔
15.4 معاہدے کے تقاضے
ہم فریق ثالث فراہم کنندگان کے ساتھ تمام معاہدوں میں معلومات کی حفاظت اور رازداری سے متعلق معاہدے کی ضروریات کو شامل کرتے ہیں۔ ان تقاضوں میں ڈیٹا کے تحفظ، حفاظتی کنٹرول، واقعہ کا انتظام، اور تعمیل کی نگرانی کے انتظامات شامل ہیں۔ ہم سیکیورٹی کے واقعے یا عدم تعمیل کی صورت میں معاہدوں کو ختم کرنے کی دفعات بھی شامل کرتے ہیں۔
حصہ 16۔ سرٹیفیکیشن کے عمل میں معلومات کی حفاظت
16.1 سرٹیفیکیشن کے عمل کی حفاظت
ہم اپنے سرٹیفیکیشن کے عمل سے متعلق تمام معلومات کی حفاظت کو یقینی بنانے کے لیے مناسب اور نظامی اقدامات کرتے ہیں، بشمول سرٹیفیکیشن کے خواہاں افراد کا ذاتی ڈیٹا۔ اس میں سرٹیفیکیشن سے متعلق تمام معلومات تک رسائی، اسٹوریج اور ٹرانسمیشن کے کنٹرول شامل ہیں۔ ان اقدامات پر عمل درآمد کرتے ہوئے، ہمارا مقصد یہ یقینی بنانا ہے کہ سرٹیفیکیشن کے عمل کو اعلیٰ ترین سطح کی سلامتی اور دیانتداری کے ساتھ انجام دیا جائے، اور یہ کہ سرٹیفیکیشن کے خواہاں افراد کے ذاتی ڈیٹا کو متعلقہ ضوابط اور معیارات کی تعمیل میں محفوظ کیا جائے۔
16.2 تصدیق اور اجازت
ہم اس بات کو یقینی بنانے کے لیے تصدیق اور اجازت کے کنٹرولز کا استعمال کرتے ہیں کہ صرف مجاز اہلکاروں کو سرٹیفیکیشن کی معلومات تک رسائی حاصل ہے۔ عملے کے کردار اور ذمہ داریوں میں تبدیلیوں کی بنیاد پر رسائی کے کنٹرولز کا باقاعدگی سے جائزہ لیا جاتا ہے اور ان کو اپ ڈیٹ کیا جاتا ہے۔
16.3. معلومات کی حفاظت
ہم ڈیٹا کی رازداری، سالمیت اور دستیابی کو یقینی بنانے کے لیے مناسب تکنیکی اور تنظیمی اقدامات کو لاگو کرکے سرٹیفیکیشن کے پورے عمل میں ذاتی ڈیٹا کی حفاظت کرتے ہیں۔ اس میں خفیہ کاری، رسائی کنٹرول، اور باقاعدہ بیک اپ جیسے اقدامات شامل ہیں۔
16.4 امتحانی عمل کی حفاظت
ہم دھوکہ دہی کو روکنے، نگرانی کرنے اور امتحانی ماحول کو کنٹرول کرنے کے لیے مناسب اقدامات کو نافذ کرکے امتحانی عمل کی حفاظت کو یقینی بناتے ہیں۔ ہم محفوظ اسٹوریج کے طریقہ کار کے ذریعے امتحانی مواد کی سالمیت اور رازداری کو بھی برقرار رکھتے ہیں۔
16.5 امتحانی مواد کی حفاظت
ہم مواد کی غیر مجاز رسائی، تبدیلی یا افشاء سے حفاظت کے لیے مناسب اقدامات پر عمل درآمد کرکے امتحانی مواد کی حفاظت کو یقینی بناتے ہیں۔ اس میں امتحانی مواد کے لیے محفوظ اسٹوریج، انکرپشن، اور رسائی کے کنٹرول کا استعمال شامل ہے، نیز امتحانی مواد کی غیر مجاز تقسیم یا پھیلاؤ کو روکنے کے لیے کنٹرولز شامل ہیں۔
16.6 امتحان کی فراہمی کی حفاظت
ہم امتحانی ماحول تک غیر مجاز رسائی یا اس میں ہیرا پھیری کو روکنے کے لیے مناسب اقدامات پر عمل درآمد کرتے ہوئے امتحان کی ترسیل کی حفاظت کو یقینی بناتے ہیں۔ اس میں امتحانی ماحول کی نگرانی، آڈیٹنگ اور کنٹرول اور امتحان کے مخصوص طریقوں جیسے دھوکہ دہی یا دیگر حفاظتی خلاف ورزیوں کو روکنے کے اقدامات شامل ہیں۔
16.7 امتحان کے نتائج کی حفاظت
ہم نتائج کی غیر مجاز رسائی، تبدیلی، یا انکشاف سے تحفظ کے لیے مناسب اقدامات پر عمل درآمد کرکے امتحانی نتائج کی حفاظت کو یقینی بناتے ہیں۔ اس میں امتحانی نتائج کے لیے محفوظ اسٹوریج، خفیہ کاری، اور رسائی کے کنٹرول کا استعمال شامل ہے، نیز امتحانی نتائج کی غیر مجاز تقسیم یا پھیلاؤ کو روکنے کے لیے کنٹرولز شامل ہیں۔
16.8 سرٹیفکیٹس کے اجراء کی حفاظت
ہم دھوکہ دہی اور سرٹیفکیٹس کے غیر مجاز اجراء کو روکنے کے لیے مناسب اقدامات پر عمل درآمد کرتے ہوئے سرٹیفکیٹس کے اجراء کی حفاظت کو یقینی بناتے ہیں۔ اس میں سرٹیفکیٹ حاصل کرنے والے افراد کی شناخت کی تصدیق اور محفوظ اسٹوریج اور جاری کرنے کا طریقہ کار شامل ہے۔
16.9 شکایات اور اپیلیں۔
ہم نے سرٹیفیکیشن کے عمل سے متعلق شکایات اور اپیلوں کے انتظام کے لیے طریقہ کار قائم کیا ہے۔ ان طریقہ کار میں عمل کی رازداری اور غیر جانبداری کو یقینی بنانے کے اقدامات اور شکایات اور اپیلوں سے متعلق معلومات کی حفاظت شامل ہے۔
16.10 سرٹیفیکیشن کے عمل کوالٹی مینجمنٹ
ہم نے سرٹیفیکیشن کے عمل کے لیے ایک کوالٹی مینجمنٹ سسٹم (QMS) قائم کیا ہے جس میں عمل کی تاثیر، کارکردگی اور حفاظت کو یقینی بنانے کے اقدامات شامل ہیں۔ QMS میں باقاعدہ آڈٹ اور عمل کے جائزے اور ان کے حفاظتی کنٹرول شامل ہیں۔
16.11۔ سرٹیفیکیشن کے عمل کی سیکورٹی میں مسلسل بہتری
ہم اپنے سرٹیفیکیشن کے عمل اور ان کے سیکیورٹی کنٹرولز میں مسلسل بہتری کے لیے پرعزم ہیں۔ اس میں کاروباری ماحول میں تبدیلیوں، ریگولیٹری تقاضوں، اور انفارمیشن سیکیورٹی مینجمنٹ کے بہترین طریقوں پر مبنی سرٹیفیکیشن سے متعلق پالیسیوں اور طریقہ کار کی سیکیورٹی کے باقاعدہ جائزے اور اپ ڈیٹس شامل ہیں، انفارمیشن سیکیورٹی مینجمنٹ کے لیے ISO 27001 معیار کے ساتھ ساتھ ISO کے ساتھ۔ 17024 سرٹیفیکیشن باڈیز آپریٹنگ اسٹینڈرڈ۔
حصہ 17۔ بند کرنے کی دفعات
17.1 پالیسی کا جائزہ اور اپ ڈیٹ
یہ انفارمیشن سیکیورٹی پالیسی ایک زندہ دستاویز ہے جو ہماری آپریشنل ضروریات، ریگولیٹری تقاضوں، یا انفارمیشن سیکیورٹی مینجمنٹ کے بہترین طریقوں میں تبدیلیوں کی بنیاد پر مسلسل جائزوں اور اپ ڈیٹس سے گزرتی ہے۔
17.2 تعمیل کی نگرانی
ہم نے اس انفارمیشن سیکیورٹی پالیسی اور متعلقہ سیکیورٹی کنٹرولز کی تعمیل کی نگرانی کے لیے طریقہ کار قائم کیا ہے۔ تعمیل کی نگرانی میں اس پالیسی کے مقاصد کو حاصل کرنے میں باقاعدگی سے آڈٹ، تشخیص، اور سیکورٹی کنٹرولز کے جائزے اور ان کی تاثیر شامل ہے۔
17.3 سیکیورٹی کے واقعات کی اطلاع دینا
ہم نے اپنے انفارمیشن سسٹم سے متعلق سیکورٹی کے واقعات کی اطلاع دینے کے لیے طریقہ کار قائم کیا ہے، بشمول افراد کے ذاتی ڈیٹا سے متعلق۔ ملازمین، ٹھیکیداروں، اور دیگر اسٹیک ہولڈرز کی حوصلہ افزائی کی جاتی ہے کہ وہ کسی بھی سیکورٹی کے واقعات یا مشتبہ واقعات کی اطلاع جلد از جلد نامزد سیکورٹی ٹیم کو دیں۔
17.4. تربیت اور آگہی
ہم ملازمین، ٹھیکیداروں، اور دیگر اسٹیک ہولڈرز کو باقاعدہ تربیت اور آگاہی پروگرام فراہم کرتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ وہ معلومات کی حفاظت سے متعلق اپنی ذمہ داریوں اور ذمہ داریوں سے آگاہ ہیں۔ اس میں سیکورٹی پالیسیوں اور طریقہ کار کے بارے میں تربیت، اور افراد کے ذاتی ڈیٹا کی حفاظت کے اقدامات شامل ہیں۔
17.5. ذمہ داری اور احتساب۔
ہم تمام ملازمین، ٹھیکیداروں، اور دیگر اسٹیک ہولڈرز کو اس انفارمیشن سیکیورٹی پالیسی اور متعلقہ سیکیورٹی کنٹرولز کی تعمیل کے لیے ذمہ دار اور جوابدہ قرار دیتے ہیں۔ ہم انتظامیہ کو اس بات کو یقینی بنانے کے لیے بھی جوابدہ ٹھہراتے ہیں کہ معلومات کے مؤثر حفاظتی کنٹرول کو نافذ کرنے اور برقرار رکھنے کے لیے مناسب وسائل مختص کیے گئے ہیں۔
یہ انفارمیشن سیکیورٹی پالیسی یوروپن آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے انفارمیشن سیکیورٹی مینجمنٹ فریم ورک کا ایک اہم جزو ہے اور معلومات کے اثاثوں اور پروسیس شدہ ڈیٹا کی حفاظت، رازداری، رازداری، سالمیت اور معلومات کی دستیابی کو یقینی بنانے، اور ریگولیٹری اور معاہدے کے تقاضوں کی تعمیل کرنے کے لیے ہمارے عزم کو ظاہر کرتی ہے۔