- Profilerr
- Politika informační bezpečnosti
Politika informační bezpečnosti
Politika informační bezpečnosti stanovuje základ pro ochranu informací, usnadňuje rozhodování v oblasti řízení bezpečnosti a řídí cíle, které implementují, podporují a zajišťují nejlepší kontroly bezpečnosti informací. Politika se týká všech informačních systémů, včetně informačních systémů používaných, spravovaných nebo provozovaných společností na těchto webových stránkách. Zásady informační bezpečnosti chrání důvěrnost, integritu a dostupnost svých dat pro klasifikaci a manipulaci s informacemi a pro řešení porušení této politiky.
Politika informační bezpečnosti poskytuje integrovaný soubor ochranných opatření. Ty musí být jednotně uplatňovány na celé naší webové stránce, cílem je zajištění zabezpečeného provozního prostředí pro její operace.
ÚČEL
Řízení informační bezpečnosti tvoří rozumný výběr a účinná implementace vhodných kontrol k ochraně kritických informačních aktiv organizace. Kontrolní a řídící procesy spolu s následným sledováním jejich vhodnosti a účinnosti tvoří dva základní prvky programu Informační bezpečnost. Mezi tři cíle tohoto programu patří:
- Důvěrnost: ochrana citlivých informací před zveřejněním neoprávněným osobám nebo systémům;
- Integrita: zajištění přesnosti, úplnosti a aktuálnosti informací;
- Dostupnost: zajištění, že informace a důležité služby jsou v případě potřeby přístupné oprávněným uživatelům.
ROZSAH
Tato politika se vztahuje na všechny zaměstnance, dodavatele, partnery, stážisty/internisty pracující v naší společnosti. Poskytovatelé služeb třetích stran, kteří nabízejíhostingové služby nebo kde jsou data uchovávána mimo prostory společnosti, musí tuto politiku dodržovat také.
Rozsah této Politiky informační bezpečnosti je informace uchovávaná, sdělovaná a zpracovávaná v rámci naší společnosti a firemní data napříč outsourcovanými lokalitami.
CÍLE
Cílem Politiky informační bezpečnosti je poskytnout naší společnosti přístup k řízení informačních rizik a směrnic pro ochranu informačních aktiv všem jednotkám a osobám, které mají smlouvu na poskytování služeb.
KLASIFIKACE INFORMAČNÍCH AKTIV
Informační aktiva společnosti jsou rozdělena do čtyř kategorií: Veřejné, Interní, Důvěrné a Vyhrazené. Všechna hlavní informační aktiva musí mít stanoveného vlastníka, který je odpovědný za zavedení postupů verifikace a autorizace úměrných těmto kategoriím, přičemž je třeba poznamenat, že:
- Veřejné informace mohou být obecně zpřístupňovány nebo distribuovány široké veřejnosti. Jedná se o informace, které nevyžadují ochranu a při zamýšleném použití by měly malý nebo žádný nepříznivý dopad na provoz, majetek nebo pověst závazků společnosti, týkajících se ochrany osobních údajů.
- Důvěrné informace jsou určeny pouze pro interní použití a mají k nim přístup pouze zaměstnanci, kteří je potřebují v rámci plnění svých povinností společnosti (důvěrné informace zahrnují informace chráněny státní legislativou nebo obchodními smluvními závazky) a vyžadují ochranu soukromí a bezpečnosti.
- Chráněné informace, které musí být přísně důvěrné s přístupem na základě striktně hlídané „potřeby vědět“. Příklady zahrnují informace ovlivňující národní zájmy a/nebo národní bezpečnost.
Všichni zaměstnanci by si měli být vědomi své právní a podnikové odpovědnosti týkající se nevhodného používání, sdílení nebo poskytování informací jiné nebo třetí straně. Jakákoli třetí strana, která obdrží důvěrné nebo omezené informace, k tomu musí mít oprávnění a tato osoba nebo její organizace musí přijmout opatření pro bezpečnost informací, která garantují důvěrnost a integritu těchto údajů.
Důvěrné informace by měly být chráněny, cílem je zabránit neoprávněnému přístupu nebo expozici.
Chráněné informace jsou nejcitlivější a představují největší riziko pro společnost, stát a jednotlivce, pokud by k těmto informacím měly přístup neoprávněné strany nebo by byly vystaveny neoprávněným stranám. Zaměstnanci společnosti, kteří nakládají s chráněnými informacemi nebo kteří používají systémy, ukládající, přenášející nebo manipulující s chráněnými informacemi, jsou proto povinni neustále zachovávat důvěrnost, integritu a dostupnost takových informací/dat.
ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI
Řízení informační bezpečnosti se skládá z vedení, organizačních struktur a procesů, které chrání informace a zmírňují rostoucí hrozby informační bezpečnosti.
Mezi kritické výsledky řízení informační bezpečnosti patří:
- Sladění informační bezpečnosti s obchodní strategií na podporu organizačních cílů.
- Řízení a zmírňování rizik a snižování potenciálních dopadů na informační zdroje na přijatelnou úroveň.
- Řízení výkonu informační bezpečnosti měřením, monitorováním a vykazováním metrik řízení informační bezpečnosti, cílem je zajistit dosažení cílů organizace.
- Optimalizace investic do informační bezpečnosti na podporu organizačních cílů. Je důležité zvážit organizační nezbytnost a přínosy řízení informační bezpečnosti.
ODPOVĚDNOST
Marketingové oddělení je odpovědné za obsah webových stránek a garanci, že materiály splňují právní požadavky a odpovídají příslušným politikám.
Oddělení IT je odpovědné za bezpečnost, funkčnost a infrastrukturu webu. Správci systému budou sledovat naši webovou stránku z hlediska doby odezvy a řešení případných problémů.
INFORMOVANOST A KOMUNIKACE
Je nezbytné, aby všechny aspekty informační bezpečnosti, včetně důvěrnosti, soukromí a postupů souvisejících s přístupem k systému, byly začleněny do formálních postupů pro implementaci zaměstnanců a pravidelně předávány stávajícím zaměstnancům.
Zaměstnanci by si měli být při nástupu do zaměstnání vědomi, že nesmějí prozradit žádné informace, ke kterým mohou mít přístup při běžném výkonu zaměstnání. Zaměstnanci si také musí být vědomi toho, že by neměli usilovat o přístup k údajům, které nejsou vyžadovány jako součást jejich běžných povinností.