Profilerr
  • Profilerr
  • Политика за информационна сигурност

Политика за информационна сигурност

Политиката за информационна сигурност определя основата за защита на информацията, улеснява вземането на решения за управление на сигурността и насочва към цели, които установяват, популяризират и осигуряват най-добрите контролни мерки за информационна сигурност. Тази политика обхваща цялата информация и информационни системи, включително тези, които се използват, управляват или оперират от компанията на този уеб сайт. Политиката за информационна сигурност защитава конфиденциалността, целостта и наличността на данните, класифицирането и обработката на информацията и справянето с нарушения на тази политика.

Политиката за информационна сигурност предоставя интегриран набор от мерки за защита, които трябва да се прилагат равномерно на нашия уеб сайт, за да се осигури защитена операционна среда за неговoто функциониране.

ЦЕЛ

Управлението на информационната сигурност представлява разумният избор и ефективното внедряване на подходящи контроли за защита на критичните, информационни активи на организацията. Контролите и управленските процеси, съчетани с последващото наблюдение на тяхната уместност и ефективност, формират двата основни елемента на програмата за информационна сигурност. Трите цели на информационната сигурност включват:

  • Конфиденциалност: защита на чувствителната информация от разкриване на неоторизирани лица или системи;
  • Цялост: осигуряване на точността, пълнотата и навременността на информацията;
  • Наличност: гарантиране, че информацията и важните услуги са достъпни за упълномощени потребители, когато е необходимо.

ОБХВАТ

Тази политика се прилага за всички служители, контрактори, партньори и стажанти/практиканти, работещи в нашата компания. Трети лица, които предоставят хостинг услуги или съхраняват данни извън помещенията на компанията, също трябва да спазват тази политика.

Обхватът на тази политика за информационна сигурност включва информацията, съхранявана, комуникирана и обработвана в рамките на нашата компания и данните на компанията в аутсорсвани локации.

ЦЕЛИ

Целта на политиката за информационна сигурност е да предостави на нашата компания подход за управление на информационните рискове и указания за защита на информационните активи на всички звена и на тези, които са наети да предоставят услуги.

Класификация на информационните активи

Информационните активи на компанията са класифицирани в четири категории: Публични, Вътрешни, Поверителни и Ограничени. Всички основни информационни активи трябва да имат номиниран собственик, който е отговорен за установяване на процедури за автентикация и авторизация, съответстващи на тези категории, като се отбелязва, че:

  1. Публичната информация обикновено може да бъде достъпна или разпространявана на широката общественост. Това е информация, която не изисква защита и при използване по предназначение, би имала малко или никакво неблагоприятно въздействие върху операциите, активите или репутацията на компанията, във връзка с информационната поверителност.
  2. Поверителната информация е за вътрешна употреба, с достъп единствено от служители, които се нуждаят от нея при изпълнение на служебните си задължения (поверителна информация включва информация, която е защитена от държавното законодателство или бизнес, договорни задължения) и изисква защита на поверителността и сигурността.
  3. Ограничената информация трябва да се пази строго конфиденциална, с достъп само на принципа „нужно да знае“. Примерите включват - информация, засягаща национални интереси и/или национална сигурност.

Всички служители трябва да са наясно със своите правни и корпоративни отговорности относно неправомерното използване, споделяне или разкриване на информация на друга страна. Всяка трета страна, която получава поверителна или ограничена информация, трябва да има разрешение за това и лицето, или организацията, трябва да са приели мерките за информационна сигурност, които гарантират поверителността и целостта на данните.

Поверителната информация трябва да бъде защитена, за да се предотврати неоторизиран достъп или излагане.

Ограничената информация има най-високо ниво на чувствителност и представлява най-голям риск за компанията, държавата и отделни лица, ако такава информация бъде достъпна или изложена на неоторизирани лица. Следователно, служителите на компанията, които обработват ограничена информация или използват системи, които съхраняват, предават или манипулират ограничена информация, са длъжни да поддържат поверителността, целостта и наличността на тази информация/данни по всяко време.

Управление на информационната сигурност

Управлението на информационната сигурност се състои от лидерство, организационни структури и процеси, които защитават информацията и намаляват нарастващите заплахи за информационната сигурност.

Критичните резултати от управлението на информационната сигурност включват:

  • Съответствие на информационната сигурност с бизнес стратегията за подкрепа на организационните цели.
  • Управление и намаляване на рисковете и потенциалното въздействия върху информационните ресурси до приемливо ниво.
  • Управление на представянето на информационната сигурност, чрез измерване, наблюдение и докладване на метрики за управлението на информационната сигурност, за да се гарантира, че организационните цели са постигнати.
  • Оптимизация на инвестициите в информационна сигурност, в подкрепа на организационните цели. Важно е да се разгледат нужфите на организацията и ползите от управлението на информационната сигурност.

Отговорност

Маркетинговият отдел е отговорен за съдържанието на уеб сайта и за гарантиране, че материалите отговарят на законовите и политическите изисквания.

ИТ отделът е отговорен за сигурността, функционалността и инфраструктурата на уеб сайта. Системните администратори ще наблюдават нашия уеб сайт за времето, необхоимо на отговор и за решаването на възникнали проблеми.

Осведоменост и комуникация

Важно е всички аспекти на информационната сигурност, включително конфиденциалност, поверителност и процедури, свързани с достъп до системата, да бъдат включени във формалните процедури за въвеждане на нови служители и редовно предавани на вече съществуващите служители.

При започване на работа, служителите трябва да бъдат информирани, че не трябва да разгласяват никаква информация, до която могат да имат достъп в хода на нормалната си работа. Служителите, също, трябва да бъдат информирани, че не трябва да търсят достъп до данни, които не са необходими за целите на техните обичайни задължения.