Informacijos saugumo politika

Informacijos saugumo politika nustato informacijos apsaugos pagrindus, palengvina saugumo valdymo sprendimų priėmimą ir formuoja tikslus, kurie nustato, skatina ir užtikrina geriausią informacijos saugumo kontrolę. Politika apima visą informaciją ir informacines sistemas, įskaitant informaciją ir informacines sistemas, kurias šioje svetainėje naudoja, valdo ar eksploatuoja įmonė. Informacijos saugumo politika saugo duomenų konfidencialumą, vientisumą ir prieinamumą, siekiant klasifikuoti ir tvarkyti informaciją bei kovoti su šios politikos pažeidimais.

Informacijos saugumo politikoje pateikiamas integruotas apsaugos priemonių rinkinys, kuris turi būti vienodai taikomas visoje mūsų svetainėje, kad būtų užtikrinta saugi veiklos aplinka.

TIKSLAS

Informacijos saugos valdymas yra pagrįstas tinkamų kontrolės priemonių parinkimu ir veiksmingu jų įgyvendinimu, siekiant apsaugoti svarbiausią organizacijos informacinius išteklius. Kontrolės ir valdymo procesai kartu su tolesniu jų tinkamumo ir veiksmingumo stebėjimu yra du pagrindiniai informacijos saugumo programos elementai. Trys informacijos saugumo tikslai apima šias nuostatas:

• Konfidencialumas: neskelbtinos informacijos apsauga nuo atskleidimo neįgaliotiems asmenims ar sistemoms;
• Vientisumas: informacijos tikslumo, išsamumo ir savalaikiškumo apsaugojimas;
• Prieinamumas: užtikrinimas, kad informacija ir svarbios paslaugos būtų prieinamos įgaliotiems vartotojams, kai to reikia.

TAIKYMO SRITIS

Ši politika taikoma visiems mūsų įmonės darbuotojams, rangovams, partneriams, praktikantams/stažuotojams. Trečiųjų šalių paslaugų teikėjai, teikiantys svetainių prieglobos („hosting) paslaugas arba kurių duomenys laikomi ne Bendrovės patalpose, taip pat privalo laikytis šios politikos.

Šios informacijos saugumo politikos taikoma visai informacijai, kuri saugoma, perduodama ir apdorojama mūsų įmonėje, ir įmonės duomenims kitose mūsų užsakymus vykdančiose vietose.

TIKSLAI

Informacijos saugumo politikos tikslas – suformuoti mūsų įmonės požiūrį į informacijos rizikos valdymą ir nuostatas dėl informacinių išteklių apsaugos visiems padaliniams ir tiems, kurie turi įvairias paslaugų teikimo sutartis.

INFORMACINIŲ IŠTEKLIŲ KLASIFIKACIJA

Įmonės informacinis turtas skirstomas į keturias kategorijas: viešas, vidinis, konfidencialus ir ribotos prieigos. Visi pagrindiniai informacijos ištekliai turi turėti paskirtą savininką, atsakingą už autentifikavimo ir autorizacijos procedūrų, atitinkančių šias kategorijas, įgyvendinimą, atsižvelgiant į tai, kad:

1. Vieša informacija paprastai gali būti prieinama arba platinama plačiajai visuomenei. Tai informacija, kuriai nereikia apsaugos ir, naudojant pagal paskirtį, neturės jokio neigiamo poveikio įmonės veiklai, turtui ar reputacijai, susijusiai su informacijos privatumu.
2. Konfidenciali informacija yra skirta tik vidiniam naudojimui, prieiga suteikiama tik tiems darbuotojams, kuriems jos reikia vykdant savo pareigas įmonėje (konfidenciali informacija taip pat apima informaciją, kuri yra saugoma valstybės teisės aktų arba verslo sutartinių įsipareigojimų) ir reikalauja privatumo bei saugumo priemonių.
3. Apribota informacija turi būti laikoma griežtai konfidencialia ir prieinama remiantis griežtai „reikia žinoti“ principu. Pavyzdžiui, informacija, daranti įtaką nacionaliniams interesams ir (arba) nacionaliniam saugumui.

Visi darbuotojai turėtų žinoti apie savo teisės aktų ir įmonės nuostatų apibrėžta atsakomybę, susijusią su netinkamu informacijos naudojimu, dalijimusi ar perdavimu kitai šaliai. Bet kuri trečioji šalis, gaunanti konfidencialią ar riboto naudojimo informaciją, turi būti įgaliota tai daryti, o tas asmuo arba organizacija turi imtis informacijos saugumo priemonių, kurios garantuoja tų duomenų konfidencialumą ir vientisumą.

Konfidenciali informacija turėtų būti apsaugota, kad būtų išvengta neteisėtos prieigos ar atskleidimo.

Riboto naudojimo informacija turi didžiausią jautrumo lygį ir kelia didžiausią pavojų įmonei, valstybei ir asmenims, jei tokia informacija būtų prieinama arba atskleista neįgaliotoms šalims. Todėl įmonės darbuotojai, tvarkantys riboto naudojimo informaciją arba naudojantys sistemas, kuriose saugoma, perduodama ar manipuliuojama riboto naudojimo informacija, privalo visą laiką užtikrinti tokios informacijos/duomenų konfidencialumą, vientisumą ir prieinamumą.

INFORMACIJOS SAUGUMO VALDYMAS

Informacijos saugumo valdymas susideda iš vadovavimo, organizacinių struktūrų ir procesų, kurie saugo informaciją ir mažina didėjančias informacijos saugumo grėsmes.

Svarbūs informacijos saugumo valdymo rezultatai yra šie:

• Informacijos saugumo suderinimas su verslo strategija, siekiant palaikyti organizacijos tikslus
• Rizikų valdymas ir sušvelninimas bei galimo poveikio informaciniams ištekliams sumažinimas iki priimtino lygio
• Informacijos saugumo efektyvumo valdymas matuojant, stebint ir teikiant ataskaitas informacijos saugumo valdymo rodiklius, siekiant užtikrinti, kad organizacijos tikslai būtų pasiekti
• Investicijų į informacijos saugumą optimizavimas remiantis organizacijos tikslais. Svarbu atsižvelgti į informacijos saugumo valdymo organizacinę būtinybę ir naudą.

ATSAKOMYBĖ

Rinkodaros skyrius yra atsakingas už svetainės turinį ir užtikrinimą, kad jos medžiaga atitiktų teisinius ir politikoje nurodytus reikalavimus.

IT skyrius yra atsakingas už svetainės saugumą, funkcionalumą ir infrastruktūrą. Sistemos administratoriai stebės mūsų svetainės atsako laiką ir spręs visas iškilusias problemas.

SĄMONINGUMAS IR KOMUNIKACIJA

Labai svarbu, kad visi informacijos saugumo aspektai, įskaitant konfidencialumą, privatumą ir su prieiga prie sistemos susijusias procedūras, būtų įtraukti į oficialias personalo supažindinimo procedūras ir reguliariai perteikiami esamiems darbuotojams.

Pradėdami dirbti, darbuotojai turėtų būti informuoti, kad jie neturi atskleisti jokios informacijos, su kuria jie gali susipažinti įprastoje darbo eigoje. Darbuotojai taip pat turi būti informuoti, kad jie neturėtų siekti prieigos prie duomenų, kurių nereikia atliekant įprastines pareigas.