- Profilerr
- Informationssikkerheds-politik
Informationssikkerheds-politik
Informationssikkerhedspolitikken udstikker grundlaget for beskyttelsen af information, lettelse af sikkerhedsstyringsbeslutninger og retning for de mål, der etablerer, forfremmer og sikrer de bedste informationssikkerhedskontroller. Politikken dækker al information og informationssystemer, herunder information og informationssystemer, der anvendes, administreres eller drives af et selskab på dette websted. Informationssikkerhedspolitikken beskytter fortrolighed, integritet og tilgængelighed af dens data, klassificering og håndtering af information og håndtering af overtrædelser af denne politik.
Informationssikkerhedspolitikken giver et integreret sæt af beskyttelsesforanstaltninger, som skal anvendes ensartet på vores websted for at sikre et sikkert driftsmiljø for dets operationer.
FORMÅL
Styringen af informationssikkerhed er den rimelige udvælgelse og effektive implementering af passende kontroller for at beskytte kritiske organisationers informationselementer. Kontroller og styringsprocesser, kombineret med den efterfølgende overvågning af deres egnethed og effektivitet, udgør de to primære elementer i informationssikkerhedsprogrammet. De tre mål for informationssikkerhed omfatter:
- Fortrolighed: Beskyttelse af følsom information mod udlevering til uautoriserede personer eller systemer;
- Integritet: Sikring af nøjagtighed, fuldstændighed og rettidighed af information;
- Tilgængelighed: Sikring af, at information og væsentlige tjenester er tilgængelige for autoriserede brugere, når det er nødvendigt.
OMFANG
Denne politik gælder for alle medarbejdere, kontrakttagere, partnere, praktikanter/trainees, der arbejder i vores virksomhed. Tredjeparts serviceudbydere, der leverer hostingtjenester, eller hvor data er placeret uden for virksomhedens lokaler, skal også overholde denne politik.
Omfanget af denne Informationssikkerhedspolitik betyder, at informationen er lagret, kommunikeret og behandlet indenfor vores virksomhed og virksomhedens data på outsourcede placeringer.
MÅL
Målet med Informationssikkerhedspolitikken er at give vores virksomhed en tilgang til styring af informationstrusler og direktiver for beskyttelse af informationselementer til alle enheder og dem, der er kontraheret til at levere service.
KLASSIFIKATION AF INFORMATIONSELE-MENTER
Virksomhedens informationsaktiver er opdelt i fire kategorier: Offentlig, Intern, Fortrolig og Begrænset. Alle større informationselementer skal have en udpeget ejer, der er ansvarlig for at etablere godkendelses- og autorisationsprocedurer i overensstemmelse med disse kategorier, hvor det bemærkes, at:
- Offentlig information kan generelt stilles til rådighed eller distribueres til offentligheden. Dette er information, der ikke kræver beskyttelse, og når det anvendes som tiltænkt, ville have ringe eller ingen skadelig virkning på virksomhedens forpligtelser med hensyn til privatlivets beskyttelse.
- Fortrolig information er kun til intern brug med adgang kun for personale, der har brug for det i forbindelse med udførelsen af deres virksomhedsansvar (fortrolig information omfatter information, der er beskyttet af statslige lovgivning eller forretningsmæssige kontraktlige forpligtelser) og kræver beskyttelse af privatliv og sikkerhed.
- Begrænset information, som skal holdes strengt fortrolig med adgang på et strengt "behov for at vide" grundlag. Eksempler inkluderer information, der påvirker nationale interesser og/eller national sikkerhed.
Al personale bør være opmærksomme på deres lovmæssige og virksomhedsmæssige ansvar vedrørende uhensigtsmæssig brug, deling eller frigivelse af information til en anden part. Enhver tredjepart, der modtager fortrolig eller begrænset information, skal være autoriseret til at gøre det, og den enkelte eller deres organisation skal have vedtaget informationssikkerhedsforanstaltninger, der garanterer fortroligheden og integriteten af disse data.
Fortrolig information bør beskyttes for at forhindre uautoriseret adgang eller eksponering.
Begrænset information har den højeste følsomhedsgrad og udgør den største risiko for virksomheden, staten og personer, hvis sådanne oplysninger bliver tilgået af eller udsat for uautoriserede parter. Derfor er virksomhedens medarbejdere, der håndterer Begrænset Information, eller som bruger systemer, der lagrer, transmitterer eller manipulerer Begrænset Information, forpligtede til at opretholde fortroligheden, integriteten og tilgængeligheden af sådanne informationer/data til enhver tid.
INFORMATIONSSIKKERHEDS-STYRING
Informationssikkerhedsstyring består af ledelse, organisatoriske strukturer og processer, der beskytter information og begrænser de voksende informationssikkerhedstrusler.
Kritiske resultater af informationssikkerhedsstyring inkluderer:
- Sammenhæng mellem informationssikkerhed og forretningsstrategi for at støtte organisationsmæssige mål
- Håndtering og reduktion af risici og reduktion af potentielle virkninger på informationressourcer til et acceptabelt niveau
- Styring af informationssikkerheds præstation ved at måle, overvåge og rapportere informationssikkerhedsstyringsmålinger for at sikre, at organisationsmæssige mål nås
- Optimering af informationssikkerhedsinvesteringer til støtte for organisationsmæssige mål. Det er vigtigt at overveje den organisatoriske nødvendighed og fordelene ved informationssikkerhedsstyring.
ANSVAR
Marketingafdelingen er ansvarlig for webstedets indhold og for at sikre, at materialer opfylder lovmæssige og politiske krav.
IT-afdelingen er ansvarlig for sikkerheden, funktionaliteten og infrastrukturen på webstedet. Systemadministratorer vil overvåge vores websted angående responstid og løse eventuelle problemer, der opstår.
BEVIDSTHED OG KOMMUNIKATION
Det er vigtigt, at alle aspekter af informationssikkerhed, herunder fortrolighed, privatliv og procedurer vedrørende systemadgang, inkorporeres i formelle personaleinduktionsprocedurer og formidles til eksisterende personale på regelmæssig basis.
Ved ansættelsesstart bør personalet gøres opmærksom på, at de ikke må videregive nogen oplysninger, de måtte have adgang til i forbindelse med deres ansættelse. Personalet skal også gøres opmærksom på, at de ikke bør forsøge at få adgang til data, der ikke er nødvendige som led i deres normale opgaver.