信息安全政策
1. 解释性备忘录
Kymos 依靠 ICT(信息和通信技术)系统来实现其目标。
必须对这些系统进行勤勉管理,采取适当措施保护其免受意外或蓄意破坏,以免影响所处理信息或所提供服务的可用性、完整性和机密性。
信息安全的目标是确保信息质量和服务的持续提供,通过预防性行动、日常活动监控以及对事件的迅速反应来实现。
为了抵御这些威胁,需要采取一种能够适应不断变化的环境条件的策略,以确保服务的持续提供。
这意味着各部门必须实施 ISO 27001 和 NIS 2 指令(附件 I 第 5 点“卫生部门”,结合 NACE Rev.2 第 C 节第 21 点“药品制造”)所要求的安全措施,并持续监控服务交付水平,跟踪、分析和纠正报告的漏洞,并准备有效的事件响应以确保所提供服务的连续性。
不同部门必须确保 ICT 安全贯穿系统生命周期的每个阶段,从构思到退役,包括开发或采购决策以及运营活动。
安全要求和资金需要在 ICT 项目的规划、招标申请和招标文件中予以明确和包含。各部门需要根据 NIS2 指令第 29.a 条的要求,做好预防、检测、反应和从事件中恢复的准备。
2. 安全事件管理
2.1 预防
各部门必须避免,或至少尽可能防止信息或服务因安全事件而受到损害。ISO 27001 和 NIS2 指令均规定,系统的设计和配置必须确保默认安全,并符合“按需知密”的最小权限政策。
为此,各部门必须根据 NIS2 指令中规定的要求,实施 ISO 27001 确定的最低安全措施,以及通过威胁和风险评估确定的任何额外控制措施。这些控制措施以及所有人员的安全角色和职责必须得到明确定义和记录。
为确保符合政策,各部门必须:
- 为关键或机密信息系统建立安全区域。
- 在系统投入运行前进行授权。
- 定期评估安全性,包括对日常配置更改的评估。
- 要求第三方进行定期审查,以获得独立评估。
2.2 检测
由于事件可能导致服务迅速退化(从简单的减速到停滞),服务部门必须持续监控运行情况,以检测服务交付水平的异常,并根据 ISO 27001 和 NIS 2 的规定采取相应行动。
监控在建立防御线时尤为重要。应建立检测、分析和报告机制,定期向负责人报告,并在参数出现与预设正常值的重大偏差时及时报告。
入侵检测系统主要监控和审计组织的资源,验证是否违反安全政策,并尝试及早有效地识别任何恶意活动。
必须根据需要建立以下分类:
- 网络级入侵检测系统。
- 系统级入侵检测系统。
2.3 响应
各部门必须:
- 建立有效响应安全事件的机制。
- 为有关在其他部门或其他机构检测到的事件的通信指定联络点。
- 建立与事件相关的信息交换协议。
2.4 恢复
为确保关键服务的可用性,组织将确保存在连续性计划及相关的恢复活动。
3. 范围
本政策适用于支持由 Kymos Group 管理的医药、生物技术和化妆品产品的分析、质量控制和认证的信息系统。
4. 使命与提供的服务
Kymos 作为一家私营公司,负责管理其利益,并在为公共行政部门和/或医药行业私营公司提供服务的范围内,通过提供有助于满足所提供服务需求的服务,客观地服务于普遍利益。
5. 监管框架
信息安全的法律框架由以下各项建立:
- ISO/IEC 27001:2022,信息安全、网络安全和隐私保护。
- 欧洲议会和理事会 2022 年 12 月 14 日关于在全联盟范围内确保高水平共同网络安全措施的指令 (EU) 2022/2555 (NIS 2) 及其当地实施立法。
5.1 个人数据保护
- 欧洲议会和理事会 2016 年 4 月 27 日关于在个人数据处理方面保护个人及此类数据自由流动的第 (EU) 2016/679 号条例,并废除第 95/46/EC 号指令(通用数据保护条例)。
- 12 月 5 日关于个人数据保护和数字权利保障的第 3/2018 号法律。
5.2 电子政务与电子签名
- 欧洲议会和理事会第 910/2014 号条例(内部市场电子交易的电子识别和信托服务)。
- 11 月 11 日关于监管电子信托服务某些方面的第 6/2020 号法律。
- COM (2001) 298 – 最终版,欧盟委员会 – 网络和信息安全:欧洲政策方法提案。
- 11 月 11 日关于监管电子信托服务某些方面的第 6/2020 号法律。
5.3 网络和信息安全
- 经合组织信息系统和网络安全指南。迈向安全文化。作为现行立法的补充,目前有国际标准 UNE ISO/IEC 27002“信息安全管理良好实践规范”,该标准已成为审计组织信息安全相关方面的标准。
6. 安全组织:委员会角色与职责
安全委员会是在组织层面协调信息安全的机构。
它应由信息安全官以及受 ISO 27001 和 NIS2 影响的其他领域的代表组成。
- 源自个人数据处理的职责,支持数据保护官 (DPO) 履行其职能。
- 解决主管上级机构和不同部门的关切。
- 定期向上级汇报信息安全状况。
- 促进信息安全管理体系 (ISMS) 的持续改进。
- 制定组织信息安全演进战略。
- 协调不同领域在信息安全方面的努力,确保努力的一致性,与该领域决定的战略保持一致,并避免重复劳动。
- 制定(并定期审查)信息安全政策。
- 批准信息安全内部规定。
- 从信息安全的角度制定并批准管理员、操作员和用户的培训及资质要求。
- 监控组织承担的主要残留风险,并建议可能采取的行动。
- 监控安全事件管理流程的绩效,并就此建议可能的行动。特别是,确保信息安全事件管理中不同安全领域的协调。
- 推动定期审计,以验证组织安全义务的履行情况。
- 批准改进组织信息安全的计划。
- 确保在所有项目中,从最初的规范到实施,都考虑到信息安全。
- 解决不同负责人之间和/或组织不同领域之间可能出现的职责冲突,在自身无权决定的情况下向上级沟通。
发生信息安全事件时
它应批准安全改进计划及其相应的预算分配。信息安全委员会不是技术委员会,但它应定期向其自身或外部技术人员寻求相关信息以进行决策。信息安全委员会应就其必须决定或发表意见的事项征求建议。此类建议应根据具体情况确定,并可采取不同的形式:
- 内部、外部或混合专业工作组。
- 外部咨询。
- 参加课程或其他类型的培训或经验分享环境。
信息安全官是信息安全委员会的秘书,其职责如下:
- 召集信息安全委员会会议。
- 准备委员会会议讨论的主题,为决策提供及时信息。
- 编写会议纪要。
- 负责直接或委托执行委员会的决定。
6.1 角色定义
安全政策必须明确负责确保合规的人员,且行政组织的所有成员都必须知晓该政策。
组织中建立了以下与信息安全相关的角色。
6.1.1 信息经理
对应于最高层管理机构级别,该机构了解组织的使命,确定其打算实现的目标,并负责确保这些目标的实现。
其职能可分配给自然人或由信息安全委员会承担。
应针对组织处理的每项信息确定承担该职能的人员或机构。
相关职能与职责
- 设定安全信息的要求。
- 对关键信息的使用及其保护负有最终责任。
- 应确定信息每个维度的安全级别。
- 虽然信息级别的正式批准取决于信息经理,但信息经理可以向信息安全官、ISMS 经理和系统安全管理员(如适用)寻求建议。
与其他角色的兼容性
此角色可与服务经理的角色重合。
此角色不应与信息安全官、ISMS 经理或系统安全管理员(如适用)的角色重合。
6.1.2 服务经理
如果与信息经理不同,其级别可以是最高层管理机构(如信息经理),也可以是执行董事或管理层级别,负责了解每个部门的工作以及各部门如何协调以实现相关上级机构设定的目标。
其职能可分配给自然人或由信息安全委员会承担。
应针对组织提供的每项服务确定承担该职能的人员或机构。
相关职能与职责
- 建立服务的安全要求。
- 对某些服务的使用及其保护负有最终责任。在存在服务提供商的情况下,应负责管理和减轻其控制下可能导致服务可用性事件的错误或疏忽行为。
- 应确定服务每个维度的安全级别。
- 虽然级别的正式批准取决于服务经理,但服务经理可以向信息安全官、ISMS 经理和系统安全管理员(如适用)寻求建议。
- 服务的提供必须始终满足其处理的信息的安全要求,以及服务的安全要求,并增加可用性要求及其他要求,如可访问性和互操作性。
与其他角色的兼容性
此角色可与信息经理的角色重合。
此角色不应与信息安全官、ISMS 经理或系统安全管理员(如适用)的角色重合。
6.1.3 信息安全官 / CISO
对应于执行董事或管理层级别。
组织中应正式任命仅一名信息安全官,但信息安全官可将部分职能委托给其他称为代表的人员。
相关职能与职责
- 应直接向信息安全委员会报告。
- 应担任信息安全委员会秘书。
- 召集信息安全委员会。
- 维护所用信息、所供服务和信息系统的安全。
- 促进信息安全培训和意识。
- 应与 ISMS 经理一起汇总信息和服务负责人的安全要求,并确定系统的关键性。
- 进行风险分析。
- 根据 ISO 27001 和 NIS2 要求的安全措施以及风险分析的结果,制作适用性声明。
- 向管理层和委员会其他成员提供有关实施风险分析中选择的处理选项和所需安全措施后预期的残留风险水平的信息。
- 应协调系统安全文档的编制。
- 应在信息安全委员会框架内参与制定信息安全政策,供管理层批准。
- 应在信息安全委员会框架内参与起草和批准组织的信息安全政策、程序和内部规定。
- 制定、维护并批准运营信息安全程序。
- 应定期向安全委员会提供安全行动、信息安全事件和系统安全状态的摘要。
- 应与 ISMS 经理共同制定安全改进计划,供信息安全委员会批准。
- 应促进培训和意识提升,并为人员制定信息安全培训和意识计划,该计划应由信息安全委员会批准。
- 应验证由 ISMS 经理制定的系统连续性计划,该计划应由信息安全委员会批准,并由 ISMS 经理定期测试。
- 批准 ISMS 经理提出的在资产和流程的整个生命周期(规范、架构、开发、运营和变更)中考虑信息安全的指南。
发生信息安全事件时
信息安全官应分析并提出保护措施,以防止未来发生类似事件。
与其他角色的兼容性
此角色不得与 ISMS 经理和系统安全管理员(如适用)的角色重合。
职能委托
对于某些信息系统,如果由于其复杂性、分布、元素的物理分离或用户数量而需要额外人员来履行信息安全官的职能,信息安全官可在事先获得信息安全委员会批准的情况下,任命认为必要的委托安全官。
通过指定代表来委托职能。最终责任仍由信息安全官承担。
委托安全官应负责信息安全官委托的所有职能,并直接向信息安全官报告。
6.1.4 ISMS 经理
对应于运营总监级别。
应正式任命一名自然人为 ISMS 经理。
相关职能与职责
其职能如下:
- 建立、审查和维护组织的信息安全政策。
- 协调风险的识别、分析和处理。
- 确保安全控制和措施的应用。
- 协调内部 ISMS 审计及由此产生的纠正措施。
- 与信息安全官合作管理 ISMS 文档,包括适用性声明 (SoA)。
- 与信息安全官、DPO 和其他关键角色合作,确保整个组织的安全性与隐私集成。
发生信息安全事件时
应计划在系统中实施保护措施,并执行批准的安全计划。
与其他角色的兼容性
此角色不应与系统安全管理员和信息安全官的角色重合。
6.1.5 系统安全管理员
对应于 IT 系统安全方面的合格员工级别。
系统安全管理员应由 ISMS 经理提名,系统安全管理员应就所管理系统的所有信息安全相关事项向其报告。
相关职能与职责
- 实施、管理和维护适用于信息系统的安全措施。
- 确保严格执行既定的安全控制措施。
- 确保根据组织的信息安全要求启用、保留和监控审计追踪和所需的安全日志。
- 为系统、用户及相关的内部和外部资产实施、操作和维护所需的安全程序、机制和控制措施。
- 确保应用批准的信息系统管理程序以及所需的安全机制和服务。
- 在适当情况下,对信息系统安全机制和服务所基于的硬件和软件进行管理、配置和更新。
- 监控硬件和软件的安装、修改和升级,确保安全性不受损害。
- 批准对信息系统当前配置的更改,确保现有的安全机制和服务保持运行。
- 向 ISMS 经理报告任何与安全相关的异常、损害或漏洞。
- 监控系统的安全状态。
发生信息安全事件时
- 对其负责的系统中的安全事件进行记录、核算和管理。
- 执行批准的安全计划。
- 隔离事件以防止扩散到未受事件损害的其他元素。
- 如果信息受到损害并可能产生严重后果,应做出短期决策(这些行动应记录在案)。
- 如果系统关键元素的可用性受到影响,应确保其完整性。
- 维护和检索系统及其相关服务存储的信息。
- 调查事件:确定事件的特征、手段、动机和来源。
与其他角色的兼容性
此角色不应与 ISMS 经理和信息安全官的角色重合。
职能委托
对于某些信息系统,如果由于其复杂性、分布、元素的物理分离或用户数量而需要额外人员来履行系统安全管理员的职能,系统安全管理员可在事先获得信息安全委员会批准的情况下,任命认为必要的委托系统安全管理员。
通过指定代表来委托职能。最终责任仍由系统安全管理员承担。
委托系统安全管理员应负责系统安全管理员委托的所有职能,并直接向系统安全管理员报告。
6.1.6 数据保护官
数据保护官是 RGPD(欧洲数据保护条例)和适用的西班牙关于个人数据一般保护的第 3/2018 号组织法所规定的角色。
该角色应由自然人承担。
相关职能与职责
- 直接向最高层级报告有关个人数据保护的建议、评估或意见。
- 在发生可能影响个人数据的安全事件时,与信息安全官合作。
- 监督内部及外部供应商对适用隐私法的遵守情况。
- 协助评估与个人数据相关的风险及其保护措施。
- 参与与数据保护事项相关的意识提升和培训活动。
6.2 ISO 27001 和 NIS 2 项下的职责
主要职责与安全措施的对应关系如下:
在这方面,请参阅以下文档:“REG-03 RACI”。
7. 个人数据
Kymos 处理个人数据,因此,组织根据 RGPD 的规定拥有相应的 处理活动登记簿。
所有 Kymos Group 信息系统均应符合法规要求的安全级别,以适应所收集个人数据的性质和目的。
8. 风险管理
8.1 理由
所有受本政策约束的系统都将被要求进行风险分析,评估其面临的威胁和风险。
风险分析将作为确定应采取的安全措施的基础,这些措施应在风险分析及其适用性声明中详细列出。
8.2 风险评估标准
为了统一风险分析方法,信息安全委员会应针对处理的不同类型信息和提供的不同服务建立基准评估。
详细的风险评估标准应在组织制定的风险评估方法中具体说明,该方法基于公认的标准和实践。
应处理所有可能严重阻碍组织运营能力或组织使命实现的风险。
应特别优先考虑涉及中断所提供服务的风险。
8.3 处理指南
信息安全委员会将优化资源可用性,以满足不同系统的安全需求,促进水平投资。
8.4 残留风险接受流程
残留风险应由信息安全官确定。
在实施处理选项(包括实施 ISO 27002 和 NIS2 指令中预见的安全措施)后,每项信息预期的残留风险水平应由信息安全委员会接受。
残留风险水平应由信息安全官提交给信息安全委员会 (ISC),委员会应视情况评估、批准或纠正拟议的处理选项。
8.5 进行或更新风险评估的必要性
根据 ISO 27001 和 NIS2 指令的要求,风险分析及其处理必须是一项常规活动。在以下情况下应重复此分析:
- 定期进行,至少每年一次。
- 当所处理的信息发生重大变化时。
- 当所提供的服务发生重大变化时。
- 当处理信息并参与提供服务的系统发生重大变化时。
- 当发生严重安全事件时。
- 当报告严重漏洞时。
9. 员工义务
组织的所有成员都有义务了解并遵守本信息安全政策及适用于其的安全规定,信息安全委员会有责任提供必要手段确保信息传达到受影响的人员。
遵守本安全政策对参与组织流程的所有内部和外部人员都是强制性的,根据集体劳动协议,不遵守本政策构成就业方面的严重违规行为。
在这方面,组织拥有文档“IT-REGU-04 员工职责和角色安全规定”。
10. 员工培训与意识
管理层致力于 Kymos Group 员工的专业培训和意识提升。
Kymos 的目标是不断提高员工的网络安全意识,为此,组织开展:
- 及时发布网络安全信息简报,应对风险情况。
- 面向全体员工的年度网络安全进修培训。
- 零星的网络钓鱼模拟活动,至少每两年一次。
11. 第三方
当服务由其他组织提供或信息由其他组织管理时,应让他们知晓本信息安全政策,建立各自信息安全委员会的报告和协调渠道,并建立应对安全事件的程序。
在使用第三方服务或向第三方提供信息的情况下,应让他们知晓本安全政策以及适用于这些服务或信息的员工角色和职责。该第三方应受本政策规定的义务约束,并可制定自己的操作程序以履行这些义务。
应建立具体的事件报告和解决程序。应确保第三方人员具备足够的安全意识,至少达到本政策规定的水平。
如果第三方无法满足上述段落要求的政策任何方面,则需要信息安全官提供一份报告,说明所涉及的风险及处理方式。此类报告应由信息安全委员会审查,并由信息和服务经理以及管理层批准。
12. 安全政策的审查与批准
信息安全政策应由信息安全委员会按计划的时间间隔(不超过一年)或每当发生重大变化时进行审查,以确保其持续的适宜性、充分性和有效性。
对信息安全政策的任何更改均应由信息安全委员会审查并由管理层批准。
管理层应确保所有人员理解并履行其信息安全职责,并应促进对信息安全政策、程序和控制措施的遵守,并为其实施提供必要的支持和资源。
最后,信息安全政策应传达并提供给所有 Kymos Group 人员和利益相关者。
