তথ্য নিরাপত্তা নীতি
EITCA একাডেমী তথ্য নিরাপত্তা নীতি
এই দস্তাবেজটি ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউটের তথ্য সুরক্ষা নীতি (ISP) নির্দিষ্ট করে, যা এর কার্যকারিতা এবং প্রাসঙ্গিকতা নিশ্চিত করতে নিয়মিত পর্যালোচনা এবং আপডেট করা হয়। EITCI তথ্য নিরাপত্তা নীতির সর্বশেষ আপডেটটি 7ই জানুয়ারী 2023-এ করা হয়েছিল।
পার্ট 1. ভূমিকা এবং তথ্য নিরাপত্তা নীতি বিবৃতি
1.1. ভূমিকা
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট গোপনীয়তা, অখণ্ডতা এবং তথ্যের প্রাপ্যতা এবং আমাদের স্টেকহোল্ডারদের আস্থা বজায় রাখতে তথ্য সুরক্ষার গুরুত্ব স্বীকার করে। আমরা ব্যক্তিগত তথ্য সহ সংবেদনশীল তথ্য, অননুমোদিত অ্যাক্সেস, প্রকাশ, পরিবর্তন এবং ধ্বংস থেকে রক্ষা করতে প্রতিশ্রুতিবদ্ধ। আমাদের ক্লায়েন্টদের নির্ভরযোগ্য এবং নিরপেক্ষ সার্টিফিকেশন পরিষেবা প্রদানের আমাদের লক্ষ্যকে সমর্থন করার জন্য আমরা একটি কার্যকর তথ্য নিরাপত্তা নীতি বজায় রাখি। তথ্য নিরাপত্তা নীতি তথ্য সম্পদ রক্ষা এবং আমাদের আইনি, নিয়ন্ত্রক, এবং চুক্তিগত বাধ্যবাধকতা পূরণের জন্য আমাদের প্রতিশ্রুতির রূপরেখা দেয়। আমাদের নীতি ISO 27001 এবং ISO 17024-এর নীতির উপর ভিত্তি করে, তথ্য নিরাপত্তা ব্যবস্থাপনা এবং সার্টিফিকেশন সংস্থার অপারেশন স্ট্যান্ডার্ডগুলির জন্য শীর্ষস্থানীয় আন্তর্জাতিক মান।
1.2। নীতি বিবৃতি
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট প্রতিশ্রুতিবদ্ধ:
- তথ্য সম্পদের গোপনীয়তা, অখণ্ডতা এবং প্রাপ্যতা রক্ষা করা,
- তথ্য সুরক্ষা এবং ডেটা প্রক্রিয়াকরণ সম্পর্কিত আইনী, নিয়ন্ত্রক এবং চুক্তিবদ্ধ বাধ্যবাধকতাগুলি মেনে চলার মাধ্যমে এর সার্টিফিকেশন প্রক্রিয়া এবং ক্রিয়াকলাপগুলি বাস্তবায়ন করা,
- ক্রমাগত তার তথ্য নিরাপত্তা নীতি এবং সংশ্লিষ্ট ব্যবস্থাপনা সিস্টেম উন্নত করা,
- কর্মচারী, ঠিকাদার এবং অংশগ্রহণকারীদের পর্যাপ্ত প্রশিক্ষণ এবং সচেতনতা প্রদান,
- তথ্য নিরাপত্তা নীতি এবং সংশ্লিষ্ট তথ্য নিরাপত্তা ব্যবস্থাপনা সিস্টেম বাস্তবায়ন ও রক্ষণাবেক্ষণে সমস্ত কর্মচারী এবং ঠিকাদারদের জড়িত করা।
1.3 টি সুযোগ
এই নীতি ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউটের মালিকানাধীন, নিয়ন্ত্রিত বা প্রক্রিয়াকৃত সমস্ত তথ্য সম্পদের ক্ষেত্রে প্রযোজ্য। এর মধ্যে সমস্ত ডিজিটাল এবং শারীরিক তথ্য সম্পদ, যেমন সিস্টেম, নেটওয়ার্ক, সফ্টওয়্যার, ডেটা এবং ডকুমেন্টেশন অন্তর্ভুক্ত রয়েছে। এই নীতিটি সমস্ত কর্মচারী, ঠিকাদার এবং তৃতীয় পক্ষের পরিষেবা প্রদানকারীদের জন্যও প্রযোজ্য যারা আমাদের তথ্য সম্পদ অ্যাক্সেস করে৷
1.4। সম্মতি
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট ISO 27001 এবং ISO 17024 সহ প্রাসঙ্গিক তথ্য নিরাপত্তা মান মেনে চলতে প্রতিশ্রুতিবদ্ধ। এই মানগুলির সাথে চলমান প্রাসঙ্গিকতা এবং সম্মতি নিশ্চিত করতে আমরা নিয়মিত এই নীতি পর্যালোচনা এবং আপডেট করি।
পার্ট 2. সাংগঠনিক নিরাপত্তা
2.1। সংস্থার নিরাপত্তা লক্ষ্য
সাংগঠনিক নিরাপত্তা ব্যবস্থা বাস্তবায়নের মাধ্যমে, আমরা নিশ্চিত করতে চাই যে আমাদের তথ্য সম্পদ এবং ডেটা প্রক্রিয়াকরণ অনুশীলন এবং পদ্ধতিগুলি সর্বোচ্চ স্তরের নিরাপত্তা এবং অখণ্ডতার সাথে পরিচালিত হয় এবং আমরা প্রাসঙ্গিক আইনি প্রবিধান ও মান মেনে চলি।
2.2। তথ্য নিরাপত্তা ভূমিকা এবং দায়িত্ব
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট সংস্থা জুড়ে তথ্য সুরক্ষার জন্য ভূমিকা এবং দায়িত্বগুলিকে সংজ্ঞায়িত করে এবং যোগাযোগ করে৷ এর মধ্যে রয়েছে তথ্য নিরাপত্তার সংস্পর্শে তথ্য সম্পদের জন্য স্পষ্ট মালিকানা বরাদ্দ করা, একটি শাসন কাঠামো প্রতিষ্ঠা করা এবং সংগঠন জুড়ে বিভিন্ন ভূমিকা এবং বিভাগের জন্য নির্দিষ্ট দায়িত্ব নির্ধারণ করা।
2.3। ঝুকি ব্যবস্থাপনা
ব্যক্তিগত ডেটা প্রক্রিয়াকরণের সাথে সম্পর্কিত ঝুঁকি সহ সংস্থার তথ্য নিরাপত্তা ঝুঁকি চিহ্নিত করতে এবং অগ্রাধিকার দিতে আমরা নিয়মিত ঝুঁকি মূল্যায়ন করি। আমরা এই ঝুঁকিগুলি প্রশমিত করার জন্য উপযুক্ত নিয়ন্ত্রণ প্রতিষ্ঠা করি এবং ব্যবসার পরিবেশ এবং হুমকির ল্যান্ডস্কেপের পরিবর্তনের উপর ভিত্তি করে নিয়মিতভাবে আমাদের ঝুঁকি ব্যবস্থাপনা পদ্ধতির পর্যালোচনা ও আপডেট করি।
2.4। তথ্য নিরাপত্তা নীতি এবং পদ্ধতি
আমরা তথ্য সুরক্ষা নীতি এবং পদ্ধতির একটি সেট স্থাপন এবং বজায় রাখি যা শিল্পের সর্বোত্তম অনুশীলনের উপর ভিত্তি করে এবং প্রাসঙ্গিক প্রবিধান এবং মান মেনে চলে। এই নীতিগুলি এবং পদ্ধতিগুলি ব্যক্তিগত ডেটা প্রক্রিয়াকরণ সহ তথ্য সুরক্ষার সমস্ত দিক কভার করে এবং তাদের কার্যকারিতা নিশ্চিত করার জন্য নিয়মিত পর্যালোচনা এবং আপডেট করা হয়।
2.5। নিরাপত্তা সচেতনতা এবং প্রশিক্ষণ
ব্যক্তিগত ডেটা বা অন্যান্য সংবেদনশীল তথ্যের অ্যাক্সেস আছে এমন সমস্ত কর্মচারী, ঠিকাদার এবং তৃতীয় পক্ষের অংশীদারদের আমরা নিয়মিত নিরাপত্তা সচেতনতা এবং প্রশিক্ষণ প্রোগ্রাম প্রদান করি। এই প্রশিক্ষণে ফিশিং, সোশ্যাল ইঞ্জিনিয়ারিং, পাসওয়ার্ড হাইজিন এবং অন্যান্য তথ্য নিরাপত্তার সর্বোত্তম অনুশীলনের মতো বিষয়গুলি অন্তর্ভুক্ত রয়েছে৷
2.6। শারীরিক এবং পরিবেশগত নিরাপত্তা
আমরা আমাদের সুবিধা এবং তথ্য সিস্টেমে অননুমোদিত অ্যাক্সেস, ক্ষতি, বা হস্তক্ষেপ থেকে রক্ষা করার জন্য উপযুক্ত শারীরিক এবং পরিবেশগত নিরাপত্তা নিয়ন্ত্রণগুলি প্রয়োগ করি। এতে অ্যাক্সেস নিয়ন্ত্রণ, নজরদারি, পর্যবেক্ষণ, এবং ব্যাকআপ পাওয়ার এবং কুলিং সিস্টেমের মতো ব্যবস্থা অন্তর্ভুক্ত রয়েছে।
2.7। তথ্য নিরাপত্তা ঘটনা ব্যবস্থাপনা
আমরা একটি ইভেন্ট ম্যানেজমেন্ট প্রসেস প্রতিষ্ঠা করেছি যা আমাদেরকে যেকোন তথ্য নিরাপত্তার ঘটনা ঘটতে পারে তা দ্রুত এবং কার্যকরভাবে সাড়া দিতে সক্ষম করে। এর মধ্যে রিপোর্টিং, বৃদ্ধি, তদন্ত, এবং ঘটনার সমাধানের পদ্ধতি, সেইসাথে পুনরাবৃত্তি প্রতিরোধ এবং আমাদের ঘটনার প্রতিক্রিয়া ক্ষমতা উন্নত করার ব্যবস্থা অন্তর্ভুক্ত রয়েছে।
2.8। অপারেশনাল ধারাবাহিকতা এবং দুর্যোগ পুনরুদ্ধার
আমরা অপারেশনাল ধারাবাহিকতা এবং বিপর্যয় পুনরুদ্ধারের পরিকল্পনাগুলি প্রতিষ্ঠিত এবং পরীক্ষা করেছি যা আমাদের একটি বিপর্যয় বা বিপর্যয়ের ক্ষেত্রে আমাদের গুরুত্বপূর্ণ অপারেশন ফাংশন এবং পরিষেবাগুলি বজায় রাখতে সক্ষম করে। এই পরিকল্পনাগুলির মধ্যে ডেটা এবং সিস্টেমগুলির ব্যাকআপ এবং পুনরুদ্ধারের পদ্ধতি এবং ব্যক্তিগত ডেটার প্রাপ্যতা এবং অখণ্ডতা নিশ্চিত করার ব্যবস্থা অন্তর্ভুক্ত রয়েছে।
2.9। তৃতীয় পক্ষের ব্যবস্থাপনা
ব্যক্তিগত ডেটা বা অন্যান্য সংবেদনশীল তথ্যের অ্যাক্সেস আছে এমন তৃতীয় পক্ষের অংশীদারদের সাথে সম্পর্কিত ঝুঁকিগুলি পরিচালনা করার জন্য আমরা যথাযথ নিয়ন্ত্রণ স্থাপন এবং বজায় রাখি। এর মধ্যে যথাযথ অধ্যবসায়, চুক্তিভিত্তিক বাধ্যবাধকতা, নিরীক্ষণ এবং নিরীক্ষার পাশাপাশি প্রয়োজনে অংশীদারিত্ব বন্ধ করার ব্যবস্থা অন্তর্ভুক্ত রয়েছে।
পার্ট 3. মানব সম্পদ নিরাপত্তা
3.1। কর্মসংস্থান স্ক্রীনিং
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট সংবেদনশীল তথ্যের অ্যাক্সেস সহ ব্যক্তিদের বিশ্বস্ত এবং প্রয়োজনীয় দক্ষতা এবং যোগ্যতা রয়েছে তা নিশ্চিত করার জন্য কর্মসংস্থান স্ক্রীনিংয়ের জন্য একটি প্রক্রিয়া প্রতিষ্ঠা করেছে।
3.2। প্রবেশাধিকার নিয়ন্ত্রণ
কর্মচারীদের শুধুমাত্র তাদের কাজের দায়িত্বের জন্য প্রয়োজনীয় তথ্যে অ্যাক্সেস আছে তা নিশ্চিত করার জন্য আমরা অ্যাক্সেস নিয়ন্ত্রণ নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি। কর্মীদের শুধুমাত্র তাদের প্রয়োজনীয় তথ্যে অ্যাক্সেস আছে তা নিশ্চিত করার জন্য অ্যাক্সেসের অধিকারগুলি নিয়মিত পর্যালোচনা এবং আপডেট করা হয়।
3.3। তথ্য নিরাপত্তা সচেতনতা এবং প্রশিক্ষণ
আমরা নিয়মিতভাবে সমস্ত কর্মীদের তথ্য নিরাপত্তা সচেতনতা প্রশিক্ষণ প্রদান করি। এই প্রশিক্ষণে পাসওয়ার্ড সুরক্ষা, ফিশিং আক্রমণ, সামাজিক প্রকৌশল এবং সাইবার নিরাপত্তার অন্যান্য দিকগুলির মতো বিষয়গুলি অন্তর্ভুক্ত রয়েছে৷
3.4. গ্রহণযোগ্য ব্যবহার
আমরা একটি গ্রহণযোগ্য ব্যবহার নীতি প্রতিষ্ঠা করেছি যা কাজের উদ্দেশ্যে ব্যবহৃত ব্যক্তিগত ডিভাইস সহ তথ্য সিস্টেম এবং সংস্থানগুলির গ্রহণযোগ্য ব্যবহারের রূপরেখা দেয়৷
3.5। মোবাইল ডিভাইস নিরাপত্তা
আমরা পাসকোড, এনক্রিপশন এবং দূরবর্তী মোছার ক্ষমতা সহ মোবাইল ডিভাইসগুলির নিরাপদ ব্যবহারের জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি৷
3.6। সমাপ্তি পদ্ধতি
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট সংবেদনশীল তথ্যের অ্যাক্সেস অবিলম্বে এবং নিরাপদে প্রত্যাহার করা হয়েছে তা নিশ্চিত করার জন্য নিয়োগ বা চুক্তির অবসানের পদ্ধতি স্থাপন করেছে।
3.7। তৃতীয় পক্ষের কর্মী
আমরা তৃতীয় পক্ষের কর্মীদের পরিচালনার জন্য পদ্ধতি স্থাপন করেছি যাদের স্পর্শকাতর তথ্যে অ্যাক্সেস রয়েছে। এই নীতিগুলির মধ্যে স্ক্রীনিং, অ্যাক্সেস নিয়ন্ত্রণ এবং তথ্য সুরক্ষা সচেতনতা প্রশিক্ষণ জড়িত।
3.8। রিপোর্টিং ঘটনা
আমরা যথাযথ কর্মী বা কর্তৃপক্ষকে তথ্য নিরাপত্তার ঘটনা বা উদ্বেগ প্রতিবেদন করার জন্য নীতি ও পদ্ধতি স্থাপন করেছি।
3.9। গোপনীয়তা চুক্তি
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউটের কর্মচারী এবং ঠিকাদারদের গোপনীয়তা চুক্তিতে স্বাক্ষর করতে হয় যাতে অননুমোদিত প্রকাশ থেকে সংবেদনশীল তথ্য রক্ষা করা যায়।
3.10। শৃঙ্খলামূলক ব্যবস্থা
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট কর্মচারী বা ঠিকাদারদের দ্বারা তথ্য সুরক্ষা নীতি লঙ্ঘনের ক্ষেত্রে শাস্তিমূলক পদক্ষেপের জন্য নীতি এবং পদ্ধতি স্থাপন করেছে।
পার্ট 4. ঝুঁকি মূল্যায়ন এবং ব্যবস্থাপনা
4.1। ঝুঁকি মূল্যায়ন
আমরা আমাদের তথ্য সম্পদের সম্ভাব্য হুমকি এবং দুর্বলতা সনাক্ত করতে পর্যায়ক্রমিক ঝুঁকি মূল্যায়ন পরিচালনা করি। আমরা তাদের সম্ভাবনা এবং সম্ভাব্য প্রভাবের উপর ভিত্তি করে ঝুঁকি চিহ্নিত করতে, বিশ্লেষণ করতে, মূল্যায়ন করতে এবং অগ্রাধিকার দিতে একটি কাঠামোগত পদ্ধতি ব্যবহার করি। আমরা সিস্টেম, নেটওয়ার্ক, সফ্টওয়্যার, ডেটা এবং ডকুমেন্টেশন সহ আমাদের তথ্য সম্পদের সাথে সম্পর্কিত ঝুঁকিগুলি মূল্যায়ন করি।
4.2। ঝুঁকির চিকিৎসা
আমরা একটি গ্রহণযোগ্য স্তরে ঝুঁকি প্রশমিত বা হ্রাস করার জন্য একটি ঝুঁকি চিকিত্সা প্রক্রিয়া ব্যবহার করি। ঝুঁকি চিকিত্সা প্রক্রিয়ার মধ্যে রয়েছে উপযুক্ত নিয়ন্ত্রণ নির্বাচন করা, নিয়ন্ত্রণ বাস্তবায়ন করা এবং নিয়ন্ত্রণের কার্যকারিতা পর্যবেক্ষণ করা। আমরা ঝুঁকির স্তর, উপলব্ধ সংস্থান এবং ব্যবসার অগ্রাধিকারের উপর ভিত্তি করে নিয়ন্ত্রণ বাস্তবায়নকে অগ্রাধিকার দিই।
4.3। ঝুঁকি পর্যবেক্ষণ এবং পর্যালোচনা
আমরা নিয়মিত আমাদের ঝুঁকি ব্যবস্থাপনা প্রক্রিয়ার কার্যকারিতা নিরীক্ষণ এবং পর্যালোচনা করি যাতে এটি প্রাসঙ্গিক এবং কার্যকর থাকে। আমরা আমাদের ঝুঁকি ব্যবস্থাপনা প্রক্রিয়ার কার্যকারিতা পরিমাপ করতে এবং উন্নতির সুযোগ সনাক্ত করতে মেট্রিক এবং সূচক ব্যবহার করি। এর চলমান উপযুক্ততা, পর্যাপ্ততা এবং কার্যকারিতা নিশ্চিত করতে আমরা আমাদের পর্যায়ক্রমিক ব্যবস্থাপনা পর্যালোচনার অংশ হিসাবে আমাদের ঝুঁকি ব্যবস্থাপনা প্রক্রিয়া পর্যালোচনা করি।
4.4। ঝুঁকি প্রতিক্রিয়া পরিকল্পনা
আমরা যে কোনো চিহ্নিত ঝুঁকিতে কার্যকরভাবে সাড়া দিতে পারি তা নিশ্চিত করার জন্য আমাদের একটি ঝুঁকি প্রতিক্রিয়া পরিকল্পনা রয়েছে। এই পরিকল্পনায় ঝুঁকি চিহ্নিতকরণ এবং রিপোর্ট করার পদ্ধতি, সেইসাথে প্রতিটি ঝুঁকির সম্ভাব্য প্রভাব মূল্যায়ন এবং উপযুক্ত প্রতিক্রিয়া ক্রিয়া নির্ধারণের প্রক্রিয়া অন্তর্ভুক্ত রয়েছে। গুরুত্বপূর্ণ ঝুঁকিপূর্ণ ঘটনা ঘটলে ব্যবসার ধারাবাহিকতা নিশ্চিত করার জন্য আমাদের কাছে আকস্মিক পরিকল্পনাও রয়েছে।
4.5। অপারেশনাল প্রভাব বিশ্লেষণ
আমাদের ব্যবসায়িক ক্রিয়াকলাপে বাধার সম্ভাব্য প্রভাব চিহ্নিত করতে আমরা পর্যায়ক্রমিক ব্যবসায়িক প্রভাব বিশ্লেষণ পরিচালনা করি। এই বিশ্লেষণে আমাদের ব্যবসায়িক ফাংশন, সিস্টেম এবং ডেটার সমালোচনামূলক মূল্যায়নের পাশাপাশি আমাদের গ্রাহক, কর্মচারী এবং অন্যান্য স্টেকহোল্ডারদের উপর বাধার সম্ভাব্য প্রভাবের মূল্যায়ন অন্তর্ভুক্ত রয়েছে।
4.6। তৃতীয় পক্ষের ঝুঁকি ব্যবস্থাপনা
আমাদের বিক্রেতা এবং অন্যান্য তৃতীয় পক্ষের পরিষেবা প্রদানকারীরাও যথাযথভাবে ঝুঁকি পরিচালনা করছে তা নিশ্চিত করার জন্য আমাদের কাছে একটি তৃতীয়-পক্ষের ঝুঁকি ব্যবস্থাপনা প্রোগ্রাম রয়েছে। এই প্রোগ্রামটিতে তৃতীয় পক্ষের সাথে জড়িত হওয়ার আগে যথাযথ পরিশ্রমের পরীক্ষা, তৃতীয় পক্ষের কার্যকলাপের চলমান নিরীক্ষণ এবং তৃতীয় পক্ষের ঝুঁকি ব্যবস্থাপনা অনুশীলনের পর্যায়ক্রমিক মূল্যায়ন অন্তর্ভুক্ত রয়েছে।
4.7। ঘটনা প্রতিক্রিয়া এবং ব্যবস্থাপনা
যেকোনও নিরাপত্তার ঘটনায় আমরা কার্যকরভাবে সাড়া দিতে পারি তা নিশ্চিত করার জন্য আমাদের কাছে একটি ঘটনা প্রতিক্রিয়া এবং ব্যবস্থাপনা পরিকল্পনা রয়েছে। এই পরিকল্পনায় ঘটনা সনাক্তকরণ এবং রিপোর্ট করার পদ্ধতি, সেইসাথে প্রতিটি ঘটনার প্রভাব মূল্যায়ন এবং উপযুক্ত প্রতিক্রিয়া ক্রিয়া নির্ধারণের প্রক্রিয়া অন্তর্ভুক্ত রয়েছে। আমাদের কাছে একটি ব্যবসায়িক ধারাবাহিকতা পরিকল্পনা রয়েছে যাতে একটি গুরুত্বপূর্ণ ঘটনা ঘটলে গুরুত্বপূর্ণ ব্যবসায়িক কার্যাবলী চলতে পারে।
পার্ট 5। শারীরিক এবং পরিবেশগত নিরাপত্তা
5.1। শারীরিক নিরাপত্তা পরিধি
আমরা অননুমোদিত অ্যাক্সেস থেকে শারীরিক প্রাঙ্গণ এবং সংবেদনশীল তথ্য রক্ষা করার জন্য শারীরিক নিরাপত্তা ব্যবস্থা স্থাপন করেছি।
5.2। প্রবেশাধিকার নিয়ন্ত্রণ
শুধুমাত্র অনুমোদিত কর্মীদের সংবেদনশীল তথ্যে অ্যাক্সেস রয়েছে তা নিশ্চিত করার জন্য আমরা ভৌত প্রাঙ্গনের জন্য অ্যাক্সেস নিয়ন্ত্রণ নীতি এবং পদ্ধতি স্থাপন করেছি।
5.3। সরঞ্জাম নিরাপত্তা
আমরা নিশ্চিত করি যে সংবেদনশীল তথ্য ধারণকারী সমস্ত সরঞ্জাম শারীরিকভাবে সুরক্ষিত, এবং এই সরঞ্জামগুলিতে অ্যাক্সেস শুধুমাত্র অনুমোদিত কর্মীদের জন্য সীমাবদ্ধ।
5.4। নিরাপদ নিষ্পত্তি
আমরা কাগজের নথি, ইলেকট্রনিক মিডিয়া এবং হার্ডওয়্যার সহ সংবেদনশীল তথ্যের নিরাপদ নিষ্পত্তির জন্য পদ্ধতি স্থাপন করেছি।
5.5. ভৌত পরিবেশ
আমরা নিশ্চিত করি যে তাপমাত্রা, আর্দ্রতা এবং আলো সহ প্রাঙ্গনের ভৌত পরিবেশ সংবেদনশীল তথ্য সুরক্ষার জন্য উপযুক্ত৷
5.6. বিদ্যুৎ সরবরাহ
আমরা নিশ্চিত করি যে প্রাঙ্গনে বিদ্যুৎ সরবরাহ নির্ভরযোগ্য এবং বিদ্যুৎ বিভ্রাট বা ঢেউ থেকে সুরক্ষিত।
5.7. ফায়ার প্রোটেকশন
আমরা ফায়ার ডিটেকশন এবং সাপ্রেশন সিস্টেমের ইনস্টলেশন ও রক্ষণাবেক্ষণ সহ অগ্নি সুরক্ষা নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি।
৫.৮। জল ক্ষতি সুরক্ষা
আমরা বন্যা সনাক্তকরণ এবং প্রতিরোধ ব্যবস্থা স্থাপন এবং রক্ষণাবেক্ষণ সহ জলের ক্ষতি থেকে সংবেদনশীল তথ্য রক্ষা করার জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি।
5.9. সরঞ্জাম রক্ষণাবেক্ষণ
আমরা সরঞ্জামগুলির রক্ষণাবেক্ষণের জন্য পদ্ধতিগুলি স্থাপন করেছি, যার মধ্যে হস্তক্ষেপ বা অননুমোদিত অ্যাক্সেসের লক্ষণগুলির জন্য সরঞ্জামগুলির পরিদর্শন সহ।
5.10. গ্রহণযোগ্য ব্যবহার
আমরা একটি গ্রহণযোগ্য ব্যবহার নীতি প্রতিষ্ঠা করেছি যা ভৌত সম্পদ এবং সুবিধার গ্রহণযোগ্য ব্যবহারের রূপরেখা দেয়।
5.11. দূরবর্তী অ্যাক্সেস
আমরা সুরক্ষিত সংযোগ এবং এনক্রিপশন ব্যবহার সহ সংবেদনশীল তথ্যে দূরবর্তী অ্যাক্সেসের জন্য নীতি এবং পদ্ধতি স্থাপন করেছি।
5.12। মনিটরিং এবং নজরদারি
আমরা অননুমোদিত অ্যাক্সেস বা টেম্পারিং সনাক্ত এবং প্রতিরোধ করার জন্য ভৌত প্রাঙ্গণ এবং সরঞ্জামগুলির নিরীক্ষণ এবং নজরদারির জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠিত করেছি।
অংশ। 6. যোগাযোগ এবং অপারেশন নিরাপত্তা
6.1। নেটওয়ার্ক নিরাপত্তা ব্যবস্থাপনা
আমরা ফায়ারওয়াল ব্যবহার, অনুপ্রবেশ সনাক্তকরণ এবং প্রতিরোধ ব্যবস্থা, এবং নিয়মিত নিরাপত্তা অডিট সহ নেটওয়ার্ক নিরাপত্তা পরিচালনার জন্য নীতি এবং পদ্ধতি স্থাপন করেছি।
6.2। তথ্য স্থানান্তর
আমরা এনক্রিপশন এবং সুরক্ষিত ফাইল স্থানান্তর প্রোটোকল ব্যবহার সহ সংবেদনশীল তথ্যের নিরাপদ স্থানান্তরের জন্য নীতি এবং পদ্ধতি স্থাপন করেছি।
6.3। তৃতীয় পক্ষের যোগাযোগ
আমরা নিরাপদ সংযোগ এবং এনক্রিপশন ব্যবহার সহ তৃতীয় পক্ষের সংস্থাগুলির সাথে সংবেদনশীল তথ্যের নিরাপদ আদান-প্রদানের জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি৷
6.4। মিডিয়া হ্যান্ডলিং
কাগজের নথি, ইলেকট্রনিক মিডিয়া এবং পোর্টেবল স্টোরেজ ডিভাইস সহ মিডিয়ার বিভিন্ন ধরনের সংবেদনশীল তথ্য পরিচালনার জন্য আমরা পদ্ধতি স্থাপন করেছি।
6.5। তথ্য সিস্টেম উন্নয়ন এবং রক্ষণাবেক্ষণ
আমরা নিরাপদ কোডিং অনুশীলন, নিয়মিত সফ্টওয়্যার আপডেট এবং প্যাচ পরিচালনা সহ তথ্য সিস্টেমের বিকাশ এবং রক্ষণাবেক্ষণের জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি।
৬.৬। ম্যালওয়্যার এবং ভাইরাস সুরক্ষা
আমরা অ্যান্টি-ভাইরাস সফ্টওয়্যার ব্যবহার এবং নিয়মিত নিরাপত্তা আপডেট সহ ম্যালওয়্যার এবং ভাইরাসগুলির বিরুদ্ধে তথ্য সিস্টেমগুলিকে রক্ষা করার জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি৷
৬.৭। ব্যাকআপ এবং পুনরুদ্ধার
আমরা ডেটা হারানো বা দুর্নীতি প্রতিরোধ করার জন্য সংবেদনশীল তথ্যের ব্যাকআপ এবং পুনরুদ্ধারের জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠিত করেছি।
6.8। ইভেন্ট ম্যানেজমেন্ট
আমরা নিরাপত্তা ঘটনা এবং ঘটনা সনাক্তকরণ, তদন্ত এবং সমাধানের জন্য নীতি ও পদ্ধতি স্থাপন করেছি।
৬.৯। দুর্বলতা ব্যবস্থাপনা
আমরা নিয়মিত দুর্বলতা মূল্যায়ন এবং প্যাচ ব্যবস্থাপনা ব্যবহার সহ তথ্য সিস্টেমের দুর্বলতাগুলির পরিচালনার জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি৷
6.10। প্রবেশাধিকার নিয়ন্ত্রণ
আমরা তথ্য সিস্টেমে ব্যবহারকারীর অ্যাক্সেস পরিচালনার জন্য নীতি এবং পদ্ধতি স্থাপন করেছি, যার মধ্যে অ্যাক্সেস নিয়ন্ত্রণের ব্যবহার, ব্যবহারকারীর প্রমাণীকরণ এবং নিয়মিত অ্যাক্সেস পর্যালোচনা রয়েছে।
6.11। পর্যবেক্ষণ এবং লগিং
আমরা অডিট ট্রেইল ব্যবহার এবং নিরাপত্তা ঘটনা লগিং সহ তথ্য সিস্টেমের ক্রিয়াকলাপগুলির নিরীক্ষণ এবং লগিংয়ের জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি৷
পার্ট 7. তথ্য সিস্টেম অধিগ্রহণ, উন্নয়ন এবং রক্ষণাবেক্ষণ
7.1। আবশ্যকতা
আমরা ব্যবসায়িক প্রয়োজনীয়তা, আইনি এবং নিয়ন্ত্রক প্রয়োজনীয়তা এবং নিরাপত্তা প্রয়োজনীয়তা সহ তথ্য সিস্টেমের প্রয়োজনীয়তা সনাক্তকরণের জন্য নীতি এবং পদ্ধতি স্থাপন করেছি।
7.2। সরবরাহকারী সম্পর্ক
আমরা সরবরাহকারীদের নিরাপত্তা অনুশীলনের মূল্যায়ন সহ তথ্য সিস্টেম এবং পরিষেবাগুলির তৃতীয়-পক্ষ সরবরাহকারীদের সাথে সম্পর্ক পরিচালনার জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি৷
7.3। সিস্টেম উন্নয়ন
আমরা নিরাপদ কোডিং অনুশীলন, নিয়মিত পরীক্ষা এবং গুণমানের নিশ্চয়তা সহ তথ্য ব্যবস্থার নিরাপদ বিকাশের জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি।
7.4। সিস্টেম টেস্টিং
আমরা কার্যকারিতা পরীক্ষা, কর্মক্ষমতা পরীক্ষা, এবং নিরাপত্তা পরীক্ষা সহ তথ্য সিস্টেমের পরীক্ষার জন্য নীতি ও পদ্ধতি স্থাপন করেছি।
7.5। সিস্টেম গ্রহণ
আমরা পরীক্ষার ফলাফলের অনুমোদন, নিরাপত্তা মূল্যায়ন, এবং ব্যবহারকারীর গ্রহণযোগ্যতা পরীক্ষা সহ তথ্য সিস্টেমের গ্রহণযোগ্যতার জন্য নীতি এবং পদ্ধতি স্থাপন করেছি।
7.6. সিস্টেম রক্ষণাবেক্ষণ
আমরা নিয়মিত আপডেট, নিরাপত্তা প্যাচ এবং সিস্টেম ব্যাকআপ সহ তথ্য সিস্টেমের রক্ষণাবেক্ষণের জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠিত করেছি।
7.7। সিস্টেম অবসর
আমরা হার্ডওয়্যার এবং ডেটার নিরাপদ নিষ্পত্তি সহ তথ্য সিস্টেমের অবসরের জন্য নীতি এবং পদ্ধতি স্থাপন করেছি।
৮. ডেটা ধরে রাখা
আমরা সংবেদনশীল ডেটার নিরাপদ সঞ্চয় এবং নিষ্পত্তি সহ আইনি এবং নিয়ন্ত্রক প্রয়োজনীয়তাগুলি মেনে ডেটা ধরে রাখার জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি৷
৭.৯। তথ্য সিস্টেমের জন্য নিরাপত্তা প্রয়োজনীয়তা
অ্যাক্সেস কন্ট্রোল, এনক্রিপশন এবং ডেটা সুরক্ষা সহ তথ্য সিস্টেমগুলির জন্য নিরাপত্তা প্রয়োজনীয়তা সনাক্তকরণ এবং বাস্তবায়নের জন্য আমরা নীতি এবং পদ্ধতি স্থাপন করেছি।
7.10। নিরাপদ উন্নয়ন পরিবেশ
আমরা তথ্য সিস্টেমের জন্য নিরাপদ উন্নয়ন পরিবেশের জন্য নীতি এবং পদ্ধতি স্থাপন করেছি, যার মধ্যে নিরাপদ উন্নয়ন অনুশীলন, অ্যাক্সেস নিয়ন্ত্রণ এবং নিরাপদ নেটওয়ার্ক কনফিগারেশনের ব্যবহার রয়েছে।
7.11। পরীক্ষার পরিবেশের সুরক্ষা
নিরাপদ কনফিগারেশন, অ্যাক্সেস নিয়ন্ত্রণ এবং নিয়মিত নিরাপত্তা পরীক্ষার ব্যবহার সহ তথ্য সিস্টেমের জন্য পরীক্ষার পরিবেশ সুরক্ষার জন্য আমরা নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি।
7.12। সুরক্ষিত সিস্টেম ইঞ্জিনিয়ারিং নীতি
আমরা নিরাপত্তা স্থাপত্য ব্যবহার, হুমকি মডেলিং, এবং নিরাপদ কোডিং অনুশীলন সহ তথ্য সিস্টেমের জন্য সুরক্ষিত সিস্টেম ইঞ্জিনিয়ারিং নীতিগুলি বাস্তবায়নের জন্য নীতি এবং পদ্ধতিগুলি প্রতিষ্ঠা করেছি৷
7.13। নিরাপদ কোডিং নির্দেশিকা
আমরা কোডিং মান, কোড পর্যালোচনা এবং স্বয়ংক্রিয় পরীক্ষার ব্যবহার সহ তথ্য সিস্টেমের জন্য সুরক্ষিত কোডিং নির্দেশিকা বাস্তবায়নের জন্য নীতি ও পদ্ধতি স্থাপন করেছি।
পার্ট 8. হার্ডওয়্যার অধিগ্রহণ
8.1। মানদণ্ড মেনে চলা
আমাদের নিরাপত্তা প্রয়োজনীয়তা অনুযায়ী হার্ডওয়্যার সম্পদ সংগ্রহ করা হয়েছে তা নিশ্চিত করতে আমরা তথ্য নিরাপত্তা ব্যবস্থাপনা সিস্টেমের (ISMS) জন্য ISO 27001 মান মেনে চলি।
8.2। ঝুঁকি মূল্যায়ন
সম্ভাব্য নিরাপত্তা ঝুঁকি চিহ্নিত করতে এবং নির্বাচিত হার্ডওয়্যার নিরাপত্তা প্রয়োজনীয়তা পূরণ করে তা নিশ্চিত করতে আমরা হার্ডওয়্যার সম্পদ সংগ্রহ করার আগে ঝুঁকি মূল্যায়ন করি।
8.3। বিক্রেতা নির্বাচন
আমরা কেবলমাত্র বিশ্বস্ত বিক্রেতাদের কাছ থেকে হার্ডওয়্যার সম্পদ সংগ্রহ করি যাদের নিরাপদ পণ্য সরবরাহের প্রমাণিত ট্র্যাক রেকর্ড রয়েছে। আমরা বিক্রেতার নিরাপত্তা নীতি এবং অনুশীলনগুলি পর্যালোচনা করি এবং তাদের পণ্যগুলি আমাদের নিরাপত্তা প্রয়োজনীয়তাগুলি পূরণ করে এমন নিশ্চয়তা প্রদান করতে চাই৷
8.4। নিরাপদ পরিবহন
আমরা নিশ্চিত করি যে ট্রানজিটের সময় টেম্পারিং, ক্ষতি, বা চুরি প্রতিরোধ করার জন্য হার্ডওয়্যার সম্পদগুলি নিরাপদে আমাদের প্রাঙ্গনে পরিবহন করা হয়।
8.5। সত্যতা যাচাই
আমরা ডেলিভারির সময় হার্ডওয়্যার সম্পদের সত্যতা যাচাই করি যাতে সেগুলি জাল বা কারচুপি করা হয় না।
৮.৬। শারীরিক এবং পরিবেশগত নিয়ন্ত্রণ
আমরা অননুমোদিত অ্যাক্সেস, চুরি বা ক্ষতি থেকে হার্ডওয়্যার সম্পদ রক্ষা করার জন্য উপযুক্ত শারীরিক এবং পরিবেশগত নিয়ন্ত্রণ প্রয়োগ করি।
8.7. হার্ডওয়্যার ইনস্টলেশন
আমরা নিশ্চিত করি যে সমস্ত হার্ডওয়্যার সম্পদগুলি প্রতিষ্ঠিত নিরাপত্তা মান এবং নির্দেশিকা অনুসারে কনফিগার এবং ইনস্টল করা হয়েছে।
৮.৮। হার্ডওয়্যার পর্যালোচনা
আমরা হার্ডওয়্যার সম্পদের পর্যায়ক্রমিক পর্যালোচনা করি তা নিশ্চিত করার জন্য যে তারা আমাদের নিরাপত্তার প্রয়োজনীয়তাগুলি মেটাতে চলেছে এবং সর্বশেষ নিরাপত্তা প্যাচ এবং আপডেটগুলির সাথে আপ টু ডেট রয়েছে৷
৮.৯। হার্ডওয়্যার নিষ্পত্তি
সংবেদনশীল তথ্যে অননুমোদিত অ্যাক্সেস রোধ করতে আমরা একটি নিরাপদ উপায়ে হার্ডওয়্যার সম্পদ নিষ্পত্তি করি।
পার্ট 9. ম্যালওয়্যার এবং ভাইরাস সুরক্ষা
9.1। সফ্টওয়্যার আপডেট করার নীতি
আমরা সার্ভার, ওয়ার্কস্টেশন, ল্যাপটপ এবং মোবাইল ডিভাইস সহ ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট দ্বারা ব্যবহৃত সমস্ত তথ্য সিস্টেমে আপ-টু-ডেট অ্যান্টি-ভাইরাস এবং ম্যালওয়্যার সুরক্ষা সফ্টওয়্যার বজায় রাখি। আমরা নিশ্চিত করি যে অ্যান্টি-ভাইরাস এবং ম্যালওয়্যার সুরক্ষা সফ্টওয়্যারটি নিয়মিতভাবে এর ভাইরাস সংজ্ঞা ফাইল এবং সফ্টওয়্যার সংস্করণগুলি স্বয়ংক্রিয়ভাবে আপডেট করার জন্য কনফিগার করা হয়েছে এবং এই প্রক্রিয়াটি নিয়মিত পরীক্ষা করা হয়।
9.2। অ্যান্টি-ভাইরাস এবং ম্যালওয়্যার স্ক্যানিং
আমরা সার্ভার, ওয়ার্কস্টেশন, ল্যাপটপ, এবং মোবাইল ডিভাইস সহ সমস্ত তথ্য সিস্টেমের নিয়মিত স্ক্যান করি, যেকোনো ভাইরাস বা ম্যালওয়্যার সনাক্ত করতে এবং অপসারণ করতে।
9.3। নো-অক্ষম এবং নো-পরিবর্তন নীতি
আমরা নীতিগুলি প্রয়োগ করি যা ব্যবহারকারীদের যেকোনো তথ্য সিস্টেমে অ্যান্টি-ভাইরাস এবং ম্যালওয়্যার সুরক্ষা সফ্টওয়্যার অক্ষম বা পরিবর্তন করতে নিষেধ করে৷
9.4। পর্যবেক্ষণ
ভাইরাস বা ম্যালওয়্যার সংক্রমণের কোনো ঘটনা শনাক্ত করার জন্য আমরা আমাদের অ্যান্টি-ভাইরাস এবং ম্যালওয়্যার সুরক্ষা সফ্টওয়্যার সতর্কতা এবং লগগুলি নিরীক্ষণ করি এবং সময়মতো এই ধরনের ঘটনার প্রতিক্রিয়া জানাই৷
9.5। রেকর্ড রক্ষণাবেক্ষণ
আমরা অডিট করার উদ্দেশ্যে অ্যান্টি-ভাইরাস এবং ম্যালওয়্যার সুরক্ষা সফ্টওয়্যার কনফিগারেশন, আপডেট এবং স্ক্যানের পাশাপাশি ভাইরাস বা ম্যালওয়্যার সংক্রমণের যে কোনও ঘটনার রেকর্ড বজায় রাখি।
9.6। সফ্টওয়্যার পর্যালোচনা
আমরা আমাদের অ্যান্টি-ভাইরাস এবং ম্যালওয়্যার সুরক্ষা সফ্টওয়্যারটির পর্যায়ক্রমিক পর্যালোচনা করি যাতে এটি বর্তমান শিল্পের মান পূরণ করে এবং আমাদের প্রয়োজনের জন্য পর্যাপ্ত।
9.7. প্রশিক্ষণ এবং সচেতনতা
আমরা ভাইরাস এবং ম্যালওয়্যার সুরক্ষার গুরুত্ব সম্পর্কে সমস্ত কর্মচারীকে শিক্ষিত করার জন্য প্রশিক্ষণ এবং সচেতনতামূলক প্রোগ্রাম সরবরাহ করি এবং কীভাবে কোনও সন্দেহজনক কার্যকলাপ বা ঘটনাকে চিনতে এবং রিপোর্ট করতে হয়।
পার্ট 10. তথ্য সম্পদ ব্যবস্থাপনা
10.1। তথ্য সম্পদ জায়
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট তথ্য সম্পদের একটি ইনভেন্টরি রক্ষণাবেক্ষণ করে যাতে সমস্ত ডিজিটাল এবং শারীরিক তথ্য সম্পদ, যেমন সিস্টেম, নেটওয়ার্ক, সফ্টওয়্যার, ডেটা এবং ডকুমেন্টেশন অন্তর্ভুক্ত থাকে। যথাযথ সুরক্ষা ব্যবস্থা কার্যকর করা হয়েছে তা নিশ্চিত করার জন্য আমরা তথ্য সম্পদকে তাদের সমালোচনা এবং সংবেদনশীলতার ভিত্তিতে শ্রেণিবদ্ধ করি।
10.2। তথ্য সম্পদ হ্যান্ডলিং
আমরা গোপনীয়তা, অখণ্ডতা এবং প্রাপ্যতা সহ তাদের শ্রেণীবিভাগের উপর ভিত্তি করে তথ্য সম্পদ রক্ষা করার জন্য যথাযথ ব্যবস্থা বাস্তবায়ন করি। আমরা নিশ্চিত করি যে সমস্ত তথ্য সম্পদ প্রযোজ্য আইন, প্রবিধান এবং চুক্তির প্রয়োজনীয়তা অনুসারে পরিচালিত হয়। আমরা নিশ্চিত করি যে সমস্ত তথ্য সম্পদ সঠিকভাবে সংরক্ষিত, সুরক্ষিত এবং যখন আর প্রয়োজন হয় না তখন নিষ্পত্তি করা হয়।
10.3। তথ্য সম্পদের মালিকানা
আমরা তথ্য সম্পদের ব্যবস্থাপনা ও সুরক্ষার জন্য দায়ী ব্যক্তি বা বিভাগকে তথ্য সম্পদের মালিকানা বরাদ্দ করি। আমরা এটাও নিশ্চিত করি যে তথ্য সম্পদের মালিকরা তথ্য সম্পদ রক্ষার জন্য তাদের দায়িত্ব এবং দায়বদ্ধতা বোঝেন।
10.4। তথ্য সম্পদ সুরক্ষা
আমরা শারীরিক নিয়ন্ত্রণ, অ্যাক্সেস নিয়ন্ত্রণ, এনক্রিপশন, এবং ব্যাকআপ এবং পুনরুদ্ধার প্রক্রিয়া সহ তথ্য সম্পদের সুরক্ষার জন্য বিভিন্ন সুরক্ষা ব্যবস্থা ব্যবহার করি। আমরা নিশ্চিত করি যে সমস্ত তথ্য সম্পদ অননুমোদিত অ্যাক্সেস, পরিবর্তন বা ধ্বংসের বিরুদ্ধে সুরক্ষিত।
পার্ট 11। অ্যাক্সেস কন্ট্রোল
11.1। অ্যাক্সেস কন্ট্রোল নীতি
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউটের একটি অ্যাক্সেস কন্ট্রোল নীতি রয়েছে যা তথ্য সম্পদে অ্যাক্সেস প্রদান, পরিবর্তন এবং প্রত্যাহার করার প্রয়োজনীয়তার রূপরেখা দেয়। অ্যাক্সেস কন্ট্রোল আমাদের তথ্য নিরাপত্তা ব্যবস্থাপনা সিস্টেমের একটি গুরুত্বপূর্ণ উপাদান, এবং শুধুমাত্র অনুমোদিত ব্যক্তিদের আমাদের তথ্য সম্পদে অ্যাক্সেস আছে তা নিশ্চিত করার জন্য আমরা এটি বাস্তবায়ন করি।
11.2। অ্যাক্সেস কন্ট্রোল বাস্তবায়ন
আমরা ন্যূনতম বিশেষাধিকারের নীতির উপর ভিত্তি করে অ্যাক্সেস নিয়ন্ত্রণ ব্যবস্থা বাস্তবায়ন করি, যার অর্থ হল যে ব্যক্তিদের শুধুমাত্র তাদের কাজের কার্য সম্পাদনের জন্য প্রয়োজনীয় তথ্য সম্পদগুলিতে অ্যাক্সেস রয়েছে। আমরা প্রমাণীকরণ, অনুমোদন, এবং অ্যাকাউন্টিং (AAA) সহ বিভিন্ন অ্যাক্সেস নিয়ন্ত্রণ ব্যবস্থা ব্যবহার করি। এছাড়াও আমরা তথ্য সম্পদের অ্যাক্সেস নিয়ন্ত্রণ করতে অ্যাক্সেস কন্ট্রোল লিস্ট (ACLs) এবং অনুমতি ব্যবহার করি।
11.3। পাসওয়ার্ড নীতি
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউটের একটি পাসওয়ার্ড নীতি রয়েছে যা পাসওয়ার্ড তৈরি এবং পরিচালনার প্রয়োজনীয়তার রূপরেখা দেয়। আমাদের বড় হাতের এবং ছোট হাতের অক্ষর, সংখ্যা এবং বিশেষ অক্ষরের সংমিশ্রণ সহ কমপক্ষে 8 অক্ষর দীর্ঘ শক্তিশালী পাসওয়ার্ড প্রয়োজন। এছাড়াও আমাদের পর্যায়ক্রমে পাসওয়ার্ড পরিবর্তনের প্রয়োজন হয় এবং পূর্ববর্তী পাসওয়ার্ডের পুনরায় ব্যবহার নিষিদ্ধ করা হয়।
11.4. ব্যবহারকারী ব্যবস্থাপনা
আমাদের একটি ব্যবহারকারী ব্যবস্থাপনা প্রক্রিয়া রয়েছে যার মধ্যে ব্যবহারকারীর অ্যাকাউন্ট তৈরি করা, পরিবর্তন করা এবং মুছে ফেলা অন্তর্ভুক্ত রয়েছে। ব্যবহারকারীর অ্যাকাউন্টগুলি ন্যূনতম বিশেষাধিকারের নীতির উপর ভিত্তি করে তৈরি করা হয় এবং শুধুমাত্র ব্যক্তির কাজের ফাংশনগুলি সম্পাদন করার জন্য প্রয়োজনীয় তথ্য সম্পদগুলিতে অ্যাক্সেস দেওয়া হয়। এছাড়াও আমরা নিয়মিত ব্যবহারকারীর অ্যাকাউন্টগুলি পর্যালোচনা করি এবং অ্যাকাউন্টগুলি সরিয়ে ফেলি যেগুলির আর প্রয়োজন নেই৷
পার্ট 12. তথ্য নিরাপত্তা ঘটনা ব্যবস্থাপনা
12.1। ঘটনা ব্যবস্থাপনা নীতি
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউটের একটি ঘটনা ব্যবস্থাপনা নীতি রয়েছে যা নিরাপত্তা ঘটনা সনাক্তকরণ, প্রতিবেদন করা, মূল্যায়ন এবং প্রতিক্রিয়া জানানোর প্রয়োজনীয়তার রূপরেখা দেয়। আমরা নিরাপত্তা ঘটনাকে এমন কোনো ঘটনা হিসেবে সংজ্ঞায়িত করি যা তথ্য সম্পদ বা সিস্টেমের গোপনীয়তা, অখণ্ডতা বা উপলব্ধতার সাথে আপস করে।
12.2। ঘটনা সনাক্তকরণ এবং রিপোর্টিং
আমরা নিরাপত্তা সংক্রান্ত ঘটনাগুলি সনাক্ত করতে এবং তাৎক্ষণিকভাবে রিপোর্ট করার ব্যবস্থা বাস্তবায়ন করি। আমরা নিরাপত্তা ঘটনা শনাক্ত করতে বিভিন্ন পদ্ধতি ব্যবহার করি, যার মধ্যে ইনট্রুশন ডিটেকশন সিস্টেম (IDS), অ্যান্টিভাইরাস সফ্টওয়্যার এবং ব্যবহারকারীর রিপোর্টিং। আমরা এটাও নিশ্চিত করি যে সমস্ত কর্মচারী নিরাপত্তা সংক্রান্ত ঘটনা রিপোর্ট করার পদ্ধতি সম্পর্কে সচেতন এবং সমস্ত সন্দেহজনক ঘটনার রিপোর্ট করার জন্য উৎসাহিত করি।
12.3। ঘটনা মূল্যায়ন এবং প্রতিক্রিয়া
নিরাপত্তা ঘটনাগুলির তীব্রতা এবং প্রভাবের উপর ভিত্তি করে মূল্যায়ন এবং প্রতিক্রিয়া করার জন্য আমাদের একটি প্রক্রিয়া রয়েছে৷ তথ্য সম্পদ বা সিস্টেমে তাদের সম্ভাব্য প্রভাবের উপর ভিত্তি করে আমরা ঘটনাকে অগ্রাধিকার দিই এবং তাদের প্রতিক্রিয়া জানাতে উপযুক্ত সংস্থান বরাদ্দ করি। আমাদের একটি প্রতিক্রিয়া পরিকল্পনাও রয়েছে যাতে নিরাপত্তার ঘটনাগুলি সনাক্তকরণ, ধারণ, বিশ্লেষণ, নির্মূল এবং পুনরুদ্ধারের পদ্ধতিগুলি অন্তর্ভুক্ত রয়েছে, সেইসাথে প্রাসঙ্গিক পক্ষগুলিকে অবহিত করা এবং ঘটনা পরবর্তী পর্যালোচনাগুলি পরিচালনা করার জন্য আমাদের ঘটনার প্রতিক্রিয়া পদ্ধতিগুলি একটি দ্রুত এবং কার্যকর প্রতিক্রিয়া নিশ্চিত করার জন্য ডিজাইন করা হয়েছে৷ নিরাপত্তার ঘটনায়। পদ্ধতিগুলি নিয়মিত পর্যালোচনা করা হয় এবং তাদের কার্যকারিতা এবং প্রাসঙ্গিকতা নিশ্চিত করার জন্য আপডেট করা হয়।
12.4। ইনসিডেন্ট রেসপন্স টিম
আমাদের একটি ইনসিডেন্ট রেসপন্স টিম (IRT) আছে যা নিরাপত্তা সংক্রান্ত ঘটনার প্রতিক্রিয়া জানাতে দায়বদ্ধ। আইআরটি বিভিন্ন ইউনিটের প্রতিনিধিদের সমন্বয়ে গঠিত এবং তথ্য সুরক্ষা অফিসার (আইএসও) এর নেতৃত্বে থাকে। আইআরটি ঘটনার তীব্রতা মূল্যায়ন, ঘটনা ধারণ করা এবং উপযুক্ত প্রতিক্রিয়া প্রক্রিয়া শুরু করার জন্য দায়ী।
12.5। ঘটনা রিপোর্টিং এবং পর্যালোচনা
আমরা প্রযোজ্য আইন ও প্রবিধানের প্রয়োজন অনুসারে ক্লায়েন্ট, নিয়ন্ত্রক কর্তৃপক্ষ এবং আইন প্রয়োগকারী সংস্থাগুলি সহ প্রাসঙ্গিক পক্ষের কাছে নিরাপত্তা সংক্রান্ত ঘটনাগুলি রিপোর্ট করার পদ্ধতি স্থাপন করেছি। আমরা ঘটনার প্রতিক্রিয়া প্রক্রিয়া জুড়ে ক্ষতিগ্রস্ত পক্ষগুলির সাথে যোগাযোগ বজায় রাখি, ঘটনার স্থিতি এবং এর প্রভাব কমানোর জন্য যে কোনও পদক্ষেপ নেওয়ার বিষয়ে সময়মত আপডেট প্রদান করি। আমরা মূল কারণ শনাক্ত করতে এবং ভবিষ্যতে এই ধরনের ঘটনা যাতে না ঘটে তা প্রতিরোধ করতে সমস্ত নিরাপত্তা ঘটনার পর্যালোচনা করি৷
পার্ট 13. ব্যবসার ধারাবাহিকতা ব্যবস্থাপনা এবং দুর্যোগ পুনরুদ্ধার
13.1। বাণিজ্যিক ধারাবাহিকতা পরিকল্পনা
যদিও ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট একটি অলাভজনক সংস্থা এটির একটি বিজনেস কন্টিনিউটি প্ল্যান (বিসিপি) রয়েছে যা একটি বিঘ্নিত ঘটনা ঘটলে এর কার্যক্রমের ধারাবাহিকতা নিশ্চিত করার পদ্ধতির রূপরেখা দেয়। BCP সমস্ত জটিল অপারেটিং প্রক্রিয়াগুলিকে কভার করে এবং একটি বিঘ্নিত ঘটনার সময় এবং পরে অপারেশন বজায় রাখার জন্য প্রয়োজনীয় সংস্থানগুলি সনাক্ত করে। এটি একটি বিঘ্ন বা বিপর্যয়ের সময় ব্যবসায়িক ক্রিয়াকলাপ বজায় রাখার পদ্ধতির রূপরেখা দেয়, ব্যাঘাতের প্রভাব মূল্যায়ন করে, একটি নির্দিষ্ট বিপর্যয়মূলক ঘটনার প্রেক্ষাপটে সবচেয়ে গুরুত্বপূর্ণ অপারেটিং প্রক্রিয়াগুলি সনাক্ত করে এবং প্রতিক্রিয়া এবং পুনরুদ্ধারের পদ্ধতিগুলি বিকাশ করে।
13.2। দুর্যোগ পুনরুদ্ধার পরিকল্পনা
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউটের একটি ডিজাস্টার রিকভারি প্ল্যান (ডিআরপি) রয়েছে যা কোনও ব্যাঘাত বা বিপর্যয়ের ক্ষেত্রে আমাদের তথ্য ব্যবস্থা পুনরুদ্ধার করার পদ্ধতির রূপরেখা দেয়। DRP-তে ডেটা ব্যাকআপ, ডেটা পুনরুদ্ধার এবং সিস্টেম পুনরুদ্ধারের পদ্ধতি অন্তর্ভুক্ত রয়েছে। DRP নিয়মিত পরীক্ষা করা হয় এবং এর কার্যকারিতা নিশ্চিত করার জন্য আপডেট করা হয়।
13.3। ব্যবসায়িক প্রভাব বিশ্লেষণ
আমরা একটি বিজনেস ইমপ্যাক্ট অ্যানালাইসিস (বিআইএ) পরিচালনা করি যাতে ক্রিটিক্যাল অপারেশন প্রসেস এবং সেগুলি বজায় রাখার জন্য প্রয়োজনীয় সংস্থানগুলি সনাক্ত করা যায়। BIA আমাদের পুনরুদ্ধারের প্রচেষ্টাকে অগ্রাধিকার দিতে এবং সেই অনুযায়ী সম্পদ বরাদ্দ করতে সাহায্য করে।
13.4। ব্যবসার ধারাবাহিকতা কৌশল
BIA-এর ফলাফলের উপর ভিত্তি করে, আমরা একটি ব্যবসায়িক ধারাবাহিকতা কৌশল তৈরি করি যা একটি বিঘ্নিত ঘটনার প্রতিক্রিয়া জানানোর পদ্ধতির রূপরেখা দেয়। কৌশলটির মধ্যে রয়েছে BCP সক্রিয় করার পদ্ধতি, গুরুত্বপূর্ণ অপারেশন প্রক্রিয়াগুলি পুনরুদ্ধার করা এবং প্রাসঙ্গিক স্টেকহোল্ডারদের সাথে যোগাযোগ করা।
13.5। পরীক্ষা এবং রক্ষণাবেক্ষণ
তাদের কার্যকারিতা এবং প্রাসঙ্গিকতা নিশ্চিত করতে আমরা নিয়মিত আমাদের BCP এবং DRP পরীক্ষা করি এবং বজায় রাখি। আমরা BCP/DRP যাচাই করার জন্য নিয়মিত পরীক্ষা করি এবং উন্নতির জন্য ক্ষেত্রগুলি চিহ্নিত করি। আমাদের অপারেশন বা হুমকির ল্যান্ডস্কেপের পরিবর্তনগুলি প্রতিফলিত করার জন্য আমরা প্রয়োজন অনুযায়ী BCP এবং DRP আপডেট করি। টেস্টিং এর মধ্যে রয়েছে ট্যাবলেটপ ব্যায়াম, সিমুলেশন এবং পদ্ধতির লাইভ টেস্টিং। আমরা পরীক্ষার ফলাফল এবং শেখা পাঠের উপর ভিত্তি করে আমাদের পরিকল্পনাগুলি পর্যালোচনা এবং আপডেট করি।
13.6। বিকল্প প্রক্রিয়াকরণ সাইট
আমরা বিকল্প অনলাইন প্রক্রিয়াকরণ সাইটগুলি বজায় রাখি যা কোনও ব্যাঘাত বা বিপর্যয়ের ক্ষেত্রে ব্যবসায়িক ক্রিয়াকলাপ চালিয়ে যেতে ব্যবহার করা যেতে পারে। বিকল্প প্রক্রিয়াকরণ সাইটগুলি প্রয়োজনীয় অবকাঠামো এবং সিস্টেমের সাথে সজ্জিত, এবং গুরুত্বপূর্ণ ব্যবসায়িক প্রক্রিয়াগুলিকে সমর্থন করার জন্য ব্যবহার করা যেতে পারে।
পার্ট 14. কমপ্লায়েন্স এবং অডিট
14.1. আইন ও প্রবিধানের সাথে সম্মতি
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউট তথ্য সুরক্ষা আইন, শিল্পের মান এবং চুক্তিভিত্তিক বাধ্যবাধকতা সহ তথ্য সুরক্ষা এবং গোপনীয়তা সম্পর্কিত সমস্ত প্রযোজ্য আইন এবং প্রবিধান মেনে চলতে প্রতিশ্রুতিবদ্ধ। সমস্ত প্রাসঙ্গিক প্রয়োজনীয়তা এবং স্ট্যান্ডার্ডগুলির সাথে সম্মতি নিশ্চিত করতে আমরা নিয়মিত আমাদের নীতি, পদ্ধতি এবং নিয়ন্ত্রণগুলি পর্যালোচনা এবং আপডেট করি। তথ্য সুরক্ষা প্রসঙ্গে আমরা যে প্রধান মান এবং কাঠামো অনুসরণ করি তার মধ্যে রয়েছে:
- ISO/IEC 27001 স্ট্যান্ডার্ড একটি ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম (ISMS) বাস্তবায়ন এবং পরিচালনার জন্য নির্দেশিকা প্রদান করে যার মধ্যে একটি মূল উপাদান হিসাবে দুর্বলতা ব্যবস্থাপনা অন্তর্ভুক্ত রয়েছে। এটি দুর্বলতা ব্যবস্থাপনা সহ আমাদের তথ্য সুরক্ষা ব্যবস্থাপনা সিস্টেম (ISMS) বাস্তবায়ন এবং বজায় রাখার জন্য একটি রেফারেন্স ফ্রেমওয়ার্ক প্রদান করে। এই মানক বিধানগুলির সাথে সম্মতিতে আমরা দুর্বলতা সহ তথ্য সুরক্ষা ঝুঁকিগুলি সনাক্ত করি, মূল্যায়ন করি এবং পরিচালনা করি।
- ইউএস ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) সাইবারসিকিউরিটি ফ্রেমওয়ার্ক দুর্বলতা ব্যবস্থাপনা সহ সাইবার নিরাপত্তা ঝুঁকি চিহ্নিতকরণ, মূল্যায়ন এবং পরিচালনার জন্য নির্দেশিকা প্রদান করে।
- ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) সাইবার নিরাপত্তা ঝুঁকি ব্যবস্থাপনার উন্নতির জন্য সাইবারসিকিউরিটি ফ্রেমওয়ার্ক, যার মধ্যে দুর্বলতা ব্যবস্থাপনা সহ ফাংশনগুলির একটি মূল সেট রয়েছে যা আমরা আমাদের সাইবার নিরাপত্তা ঝুঁকিগুলি পরিচালনা করতে মেনে চলি।
- SANS ক্রিটিক্যাল সিকিউরিটি কন্ট্রোল যাতে সাইবার সিকিউরিটি উন্নত করার জন্য 20টি নিরাপত্তা নিয়ন্ত্রণের একটি সেট রয়েছে, যা দুর্বলতা ব্যবস্থাপনা সহ বিভিন্ন ক্ষেত্রকে কভার করে, দুর্বলতা স্ক্যানিং, প্যাচ ম্যানেজমেন্ট এবং দুর্বলতা ব্যবস্থাপনার অন্যান্য দিকগুলির উপর সুনির্দিষ্ট নির্দেশনা প্রদান করে।
- পেমেন্ট কার্ড ইন্ডাস্ট্রি ডেটা সিকিউরিটি স্ট্যান্ডার্ড (PCI DSS), এই প্রসঙ্গে দুর্বলতা ব্যবস্থাপনা সংক্রান্ত ক্রেডিট কার্ড তথ্য পরিচালনার প্রয়োজন।
- ইন্টারনেট সিকিউরিটি কন্ট্রোল সেন্টার (CIS) আমাদের তথ্য সিস্টেমের সুরক্ষিত কনফিগারেশন নিশ্চিত করার জন্য অন্যতম প্রধান নিয়ন্ত্রণ হিসাবে দুর্বলতা ব্যবস্থাপনা সহ।
- ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট (OWASP), সবচেয়ে গুরুত্বপূর্ণ ওয়েব অ্যাপ্লিকেশন নিরাপত্তা ঝুঁকির শীর্ষ 10 তালিকা সহ, যার মধ্যে দুর্বলতা মূল্যায়ন যেমন ইনজেকশন আক্রমণ, ভাঙা প্রমাণীকরণ এবং সেশন পরিচালনা, ক্রস-সাইট স্ক্রিপ্টিং (XSS) ইত্যাদি সহ। আমাদের দুর্বলতা ব্যবস্থাপনার প্রচেষ্টাকে অগ্রাধিকার দিতে এবং আমাদের ওয়েব সিস্টেমের ক্ষেত্রে সবচেয়ে গুরুত্বপূর্ণ ঝুঁকিগুলির উপর ফোকাস করার জন্য OWASP শীর্ষ 10।
14.2। অভ্যন্তরীণ নিরীক্ষা
আমরা আমাদের ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম (ISMS) এর কার্যকারিতা মূল্যায়ন করার জন্য নিয়মিত অভ্যন্তরীণ অডিট পরিচালনা করি এবং নিশ্চিত করি যে আমাদের নীতি, পদ্ধতি এবং নিয়ন্ত্রণগুলি অনুসরণ করা হচ্ছে। অভ্যন্তরীণ নিরীক্ষা প্রক্রিয়ার মধ্যে অসঙ্গতি সনাক্তকরণ, সংশোধনমূলক কর্মের বিকাশ এবং প্রতিকার প্রচেষ্টার ট্র্যাকিং অন্তর্ভুক্ত রয়েছে।
14.3। বাহ্যিক নিরীক্ষা
প্রযোজ্য আইন, প্রবিধান এবং শিল্পের মানগুলির সাথে আমাদের সম্মতি যাচাই করার জন্য আমরা পর্যায়ক্রমে বহিরাগত নিরীক্ষকদের সাথে জড়িত থাকি। আমরা নিরীক্ষকদের আমাদের সুবিধা, সিস্টেম এবং ডকুমেন্টেশনের অ্যাক্সেস দিয়ে থাকি যা আমাদের সম্মতি যাচাই করার জন্য প্রয়োজনীয়। অডিট প্রক্রিয়া চলাকালীন চিহ্নিত যেকোন ফলাফল বা সুপারিশের সমাধান করার জন্য আমরা বহিরাগত নিরীক্ষকদের সাথেও কাজ করি।
14.4। কমপ্লায়েন্স মনিটরিং
আমরা চলমান ভিত্তিতে প্রযোজ্য আইন, প্রবিধান এবং শিল্পের মানগুলির সাথে আমাদের সম্মতি পর্যবেক্ষণ করি। আমরা পর্যায়ক্রমিক মূল্যায়ন, অডিট এবং তৃতীয় পক্ষ প্রদানকারীদের পর্যালোচনা সহ সম্মতি নিরীক্ষণ করতে বিভিন্ন পদ্ধতি ব্যবহার করি। সমস্ত প্রাসঙ্গিক প্রয়োজনীয়তার সাথে চলমান সম্মতি নিশ্চিত করতে আমরা নিয়মিত আমাদের নীতি, পদ্ধতি এবং নিয়ন্ত্রণগুলি পর্যালোচনা এবং আপডেট করি।
পার্ট 15. তৃতীয় পক্ষের ব্যবস্থাপনা
15.1। তৃতীয় পক্ষের ব্যবস্থাপনা নীতি
ইউরোপীয় আইটি সার্টিফিকেশন ইনস্টিটিউটের একটি তৃতীয় পক্ষের ব্যবস্থাপনা নীতি রয়েছে যা আমাদের তথ্য সম্পদ বা সিস্টেমে অ্যাক্সেস আছে এমন তৃতীয়-পক্ষ প্রদানকারীদের নির্বাচন, মূল্যায়ন এবং নিরীক্ষণের প্রয়োজনীয়তার রূপরেখা দেয়। নীতিটি ক্লাউড পরিষেবা প্রদানকারী, বিক্রেতা এবং ঠিকাদার সহ সমস্ত তৃতীয়-পক্ষ প্রদানকারীদের জন্য প্রযোজ্য।
15.2। তৃতীয় পক্ষ নির্বাচন এবং মূল্যায়ন
আমাদের তথ্য সম্পদ বা সিস্টেমগুলিকে সুরক্ষিত করার জন্য তাদের পর্যাপ্ত নিরাপত্তা নিয়ন্ত্রণ রয়েছে তা নিশ্চিত করার জন্য আমরা তৃতীয়-পক্ষ প্রদানকারীদের সাথে জড়িত হওয়ার আগে যথাযথ পরিশ্রম করি। আমরা তথ্য নিরাপত্তা এবং গোপনীয়তা সম্পর্কিত প্রযোজ্য আইন এবং প্রবিধানগুলির সাথে তৃতীয়-পক্ষ প্রদানকারীদের সম্মতি মূল্যায়ন করি।
15.3। থার্ড-পার্টি মনিটরিং
আমরা তৃতীয় পক্ষের সরবরাহকারীদের তথ্য সুরক্ষা এবং গোপনীয়তার জন্য আমাদের প্রয়োজনীয়তাগুলি পূরণ করে চলেছে তা নিশ্চিত করতে একটি চলমান ভিত্তিতে পর্যবেক্ষণ করি। আমরা পর্যায়ক্রমিক মূল্যায়ন, অডিট এবং নিরাপত্তা ঘটনার প্রতিবেদনের পর্যালোচনা সহ তৃতীয়-পক্ষ প্রদানকারীদের নিরীক্ষণ করার জন্য বিভিন্ন পদ্ধতি ব্যবহার করি।
15.4। চুক্তিভিত্তিক প্রয়োজনীয়তা
আমরা তৃতীয়-পক্ষ প্রদানকারীদের সাথে সমস্ত চুক্তিতে তথ্য সুরক্ষা এবং গোপনীয়তা সম্পর্কিত চুক্তিগত প্রয়োজনীয়তাগুলি অন্তর্ভুক্ত করি। এই প্রয়োজনীয়তাগুলির মধ্যে ডেটা সুরক্ষা, নিরাপত্তা নিয়ন্ত্রণ, ঘটনা ব্যবস্থাপনা এবং সম্মতি পর্যবেক্ষণের বিধান অন্তর্ভুক্ত রয়েছে। আমরা একটি নিরাপত্তা ঘটনা বা অ-সম্মতির ক্ষেত্রে চুক্তির সমাপ্তির বিধানও অন্তর্ভুক্ত করি।
পার্ট 16. সার্টিফিকেশন প্রক্রিয়ায় তথ্য নিরাপত্তা
16.1 সার্টিফিকেশন প্রক্রিয়ার নিরাপত্তা
আমরা আমাদের সার্টিফিকেশন প্রক্রিয়ার সাথে সম্পর্কিত সমস্ত তথ্যের নিরাপত্তা নিশ্চিত করার জন্য পর্যাপ্ত এবং পদ্ধতিগত ব্যবস্থা গ্রহণ করি, যার মধ্যে সার্টিফিকেশন চাইছেন এমন ব্যক্তিদের ব্যক্তিগত ডেটা সহ। এর মধ্যে সমস্ত সার্টিফিকেশন সম্পর্কিত তথ্য অ্যাক্সেস, স্টোরেজ এবং ট্রান্সমিশনের নিয়ন্ত্রণ অন্তর্ভুক্ত রয়েছে। এই ব্যবস্থাগুলি বাস্তবায়নের মাধ্যমে, আমরা নিশ্চিত করি যে সার্টিফিকেশন প্রক্রিয়াগুলি সর্বোচ্চ স্তরের নিরাপত্তা এবং অখণ্ডতার সাথে পরিচালিত হয় এবং সার্টিফিকেশন চাওয়া ব্যক্তিদের ব্যক্তিগত ডেটা প্রাসঙ্গিক প্রবিধান এবং মান মেনে সুরক্ষিত থাকে৷
16.2। প্রমাণীকরণ এবং অনুমোদন
শুধুমাত্র অনুমোদিত কর্মীদের সার্টিফিকেশন তথ্য অ্যাক্সেস আছে তা নিশ্চিত করতে আমরা প্রমাণীকরণ এবং অনুমোদন নিয়ন্ত্রণ ব্যবহার করি। কর্মীদের ভূমিকা এবং দায়িত্বের পরিবর্তনের ভিত্তিতে অ্যাক্সেস নিয়ন্ত্রণগুলি নিয়মিত পর্যালোচনা এবং আপডেট করা হয়।
16.3। তথ্য সুরক্ষা
আমরা গোপনীয়তা, অখণ্ডতা এবং ডেটার প্রাপ্যতা নিশ্চিত করার জন্য উপযুক্ত প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থা বাস্তবায়নের মাধ্যমে সার্টিফিকেশন প্রক্রিয়া জুড়ে ব্যক্তিগত ডেটা রক্ষা করি। এর মধ্যে রয়েছে এনক্রিপশন, অ্যাক্সেস কন্ট্রোল এবং নিয়মিত ব্যাকআপের মতো ব্যবস্থা।
16.4। পরীক্ষার প্রক্রিয়ার নিরাপত্তা
আমরা প্রতারণা রোধ, পর্যবেক্ষণ এবং পরীক্ষার পরিবেশ নিয়ন্ত্রণের জন্য যথাযথ ব্যবস্থা গ্রহণের মাধ্যমে পরীক্ষার প্রক্রিয়াগুলির নিরাপত্তা নিশ্চিত করি। আমরা নিরাপদ স্টোরেজ পদ্ধতির মাধ্যমে পরীক্ষার উপকরণগুলির অখণ্ডতা এবং গোপনীয়তা বজায় রাখি।
16.5। পরীক্ষার বিষয়বস্তুর নিরাপত্তা
অননুমোদিত অ্যাক্সেস, পরিবর্তন, বা বিষয়বস্তু প্রকাশের বিরুদ্ধে সুরক্ষার জন্য যথাযথ ব্যবস্থা বাস্তবায়নের মাধ্যমে আমরা পরীক্ষার বিষয়বস্তুর নিরাপত্তা নিশ্চিত করি। এর মধ্যে পরীক্ষার বিষয়বস্তুর জন্য নিরাপদ স্টোরেজ, এনক্রিপশন এবং অ্যাক্সেস নিয়ন্ত্রণের ব্যবহার, সেইসাথে পরীক্ষার বিষয়বস্তুর অননুমোদিত বিতরণ বা প্রচার রোধ করার জন্য নিয়ন্ত্রণ অন্তর্ভুক্ত রয়েছে।
16.6। পরীক্ষার ডেলিভারির নিরাপত্তা
আমরা পরীক্ষার পরিবেশে অননুমোদিত প্রবেশ বা হেরফের রোধ করার জন্য যথাযথ ব্যবস্থা বাস্তবায়নের মাধ্যমে পরীক্ষার বিতরণের নিরাপত্তা নিশ্চিত করি। এর মধ্যে রয়েছে প্রতারণা বা অন্যান্য নিরাপত্তা লঙ্ঘন প্রতিরোধ করার জন্য পরীক্ষার পরিবেশের পর্যবেক্ষণ, নিরীক্ষা এবং নিয়ন্ত্রণ এবং নির্দিষ্ট পরীক্ষার পদ্ধতির মতো ব্যবস্থা।
16.7। পরীক্ষার ফলাফলের নিরাপত্তা
আমরা ফলাফলের অননুমোদিত অ্যাক্সেস, পরিবর্তন বা প্রকাশের বিরুদ্ধে সুরক্ষার জন্য যথাযথ ব্যবস্থা বাস্তবায়নের মাধ্যমে পরীক্ষার ফলাফলের নিরাপত্তা নিশ্চিত করি। এর মধ্যে পরীক্ষার ফলাফলের জন্য নিরাপদ সঞ্চয়স্থান, এনক্রিপশন এবং অ্যাক্সেস নিয়ন্ত্রণের ব্যবহার, সেইসাথে পরীক্ষার ফলাফলের অননুমোদিত বিতরণ বা প্রচার রোধ করার জন্য নিয়ন্ত্রণ অন্তর্ভুক্ত রয়েছে।
16.8। সার্টিফিকেট প্রদানের নিরাপত্তা
আমরা প্রতারণা এবং অননুমোদিত সার্টিফিকেট ইস্যু প্রতিরোধে যথাযথ ব্যবস্থা বাস্তবায়নের মাধ্যমে সার্টিফিকেট প্রদানের নিরাপত্তা নিশ্চিত করি। এর মধ্যে শংসাপত্র প্রাপ্ত ব্যক্তিদের পরিচয় যাচাইকরণ এবং নিরাপদ সঞ্চয়স্থান এবং ইস্যু করার পদ্ধতি অন্তর্ভুক্ত রয়েছে।
16.9। অভিযোগ এবং আপিল
আমরা শংসাপত্র প্রক্রিয়ার সাথে সম্পর্কিত অভিযোগ এবং আপিল পরিচালনার জন্য পদ্ধতি স্থাপন করেছি। এই প্রক্রিয়াগুলির মধ্যে প্রক্রিয়াটির গোপনীয়তা এবং নিরপেক্ষতা নিশ্চিত করার ব্যবস্থা এবং অভিযোগ এবং আপিল সম্পর্কিত তথ্যের নিরাপত্তা অন্তর্ভুক্ত রয়েছে।
16.10। সার্টিফিকেশন প্রসেস কোয়ালিটি ম্যানেজমেন্ট
আমরা সার্টিফিকেশন প্রক্রিয়াগুলির জন্য একটি গুণমান ব্যবস্থাপনা সিস্টেম (QMS) প্রতিষ্ঠা করেছি যার মধ্যে প্রক্রিয়াগুলির কার্যকারিতা, দক্ষতা এবং নিরাপত্তা নিশ্চিত করার ব্যবস্থা অন্তর্ভুক্ত রয়েছে। QMS-এর মধ্যে রয়েছে নিয়মিত অডিট এবং প্রক্রিয়াগুলির পর্যালোচনা এবং তাদের নিরাপত্তা নিয়ন্ত্রণ।
16.11। সার্টিফিকেশন প্রক্রিয়া নিরাপত্তা ক্রমাগত উন্নতি
আমরা আমাদের সার্টিফিকেশন প্রক্রিয়া এবং তাদের নিরাপত্তা নিয়ন্ত্রণের ক্রমাগত উন্নতির জন্য প্রতিশ্রুতিবদ্ধ। এতে তথ্য নিরাপত্তা ব্যবস্থাপনার জন্য ISO 27001 স্ট্যান্ডার্ডের সাথে সম্মতিতে ব্যবসায়িক পরিবেশ, নিয়ন্ত্রক প্রয়োজনীয়তা এবং তথ্য নিরাপত্তা ব্যবস্থাপনার সর্বোত্তম অনুশীলনের উপর ভিত্তি করে সার্টিফিকেশন সম্পর্কিত নীতি এবং পদ্ধতির নিরাপত্তার নিয়মিত পর্যালোচনা এবং আপডেট অন্তর্ভুক্ত রয়েছে। 17024 সার্টিফিকেশন সংস্থা অপারেটিং স্ট্যান্ডার্ড।
পার্ট 17. বন্ধ করার বিধান
17.1। নীতি পর্যালোচনা এবং আপডেট
এই তথ্য নিরাপত্তা নীতি একটি জীবন্ত নথি যা আমাদের কর্মক্ষম প্রয়োজনীয়তা, নিয়ন্ত্রক প্রয়োজনীয়তা, বা তথ্য নিরাপত্তা ব্যবস্থাপনার সর্বোত্তম অনুশীলনের পরিবর্তনের উপর ভিত্তি করে পর্যালোচনা এবং আপডেটগুলি অব্যাহত রাখে।
17.2। কমপ্লায়েন্স মনিটরিং
আমরা এই তথ্য নিরাপত্তা নীতি এবং সংশ্লিষ্ট নিরাপত্তা নিয়ন্ত্রণের সাথে সম্মতি নিরীক্ষণের জন্য পদ্ধতি স্থাপন করেছি। সম্মতি পর্যবেক্ষণের মধ্যে রয়েছে নিয়মিত অডিট, মূল্যায়ন এবং নিরাপত্তা নিয়ন্ত্রণের পর্যালোচনা এবং এই নীতির উদ্দেশ্য অর্জনে তাদের কার্যকারিতা।
17.3। নিরাপত্তা ঘটনা রিপোর্টিং
আমরা আমাদের তথ্য সিস্টেমের সাথে সম্পর্কিত নিরাপত্তা ঘটনাগুলি রিপোর্ট করার পদ্ধতি স্থাপন করেছি, যার মধ্যে ব্যক্তিদের ব্যক্তিগত ডেটা সম্পর্কিত সেগুলিও রয়েছে৷ কর্মচারী, ঠিকাদার এবং অন্যান্য স্টেকহোল্ডারদের যত তাড়াতাড়ি সম্ভব মনোনীত নিরাপত্তা টিমের কাছে কোনও নিরাপত্তা ঘটনা বা সন্দেহজনক ঘটনা রিপোর্ট করতে উত্সাহিত করা হয়।
17.4. প্রশিক্ষণ এবং সচেতনতা
আমরা কর্মচারী, ঠিকাদার এবং অন্যান্য স্টেকহোল্ডারদের নিয়মিত প্রশিক্ষণ এবং সচেতনতা প্রোগ্রাম প্রদান করি যাতে তারা তথ্য নিরাপত্তা সম্পর্কিত তাদের দায়িত্ব এবং বাধ্যবাধকতা সম্পর্কে সচেতন থাকে। এর মধ্যে রয়েছে নিরাপত্তা নীতি ও পদ্ধতির প্রশিক্ষণ এবং ব্যক্তিদের ব্যক্তিগত তথ্য রক্ষার ব্যবস্থা।
17.5. দায়িত্ব এবং জবাবদিহিতা
আমরা সমস্ত কর্মচারী, ঠিকাদার এবং অন্যান্য স্টেকহোল্ডারদের এই তথ্য সুরক্ষা নীতি এবং সম্পর্কিত নিরাপত্তা নিয়ন্ত্রণগুলি মেনে চলার জন্য দায়ী এবং দায়বদ্ধ রাখি। কার্যকর তথ্য নিরাপত্তা নিয়ন্ত্রণ বাস্তবায়ন এবং বজায় রাখার জন্য যথাযথ সম্পদ বরাদ্দ করা হয়েছে তা নিশ্চিত করার জন্য আমরা ব্যবস্থাপনাকেও দায়বদ্ধ রাখি।
এই তথ্য নিরাপত্তা নীতিটি ইউরোপান আইটি সার্টিফিকেশন ইনস্টিটিউটের তথ্য নিরাপত্তা ব্যবস্থাপনা কাঠামোর একটি গুরুত্বপূর্ণ উপাদান এবং তথ্য সম্পদ এবং প্রক্রিয়াকৃত ডেটা সুরক্ষা, গোপনীয়তা, গোপনীয়তা, অখণ্ডতা এবং তথ্যের প্রাপ্যতা নিশ্চিত করার জন্য এবং নিয়ন্ত্রক ও চুক্তির প্রয়োজনীয়তাগুলি মেনে চলার প্রতি আমাদের প্রতিশ্রুতি প্রদর্শন করে৷