Profilerr

Informācijas drošības politika

Informācijas Drošības Politika nosaka pamatu informācijas aizsardzībai, atvieglojot drošības pārvaldības lēmumu pieņemšanu un virzot tos mērķus, kas nosaka, veicina un nodrošina vislabāko informācijas drošības kontroli. Politika attiecas uz visu informāciju un informācijas sistēmām, tostarp informāciju un informācijas sistēmām, ko uzņēmums izmanto, pārvalda vai izmanto šajā tīmekļa vietnē. Informācijas drošības politika aizsargā tās datu konfidencialitāti, integritāti un pieejamību, informācijas klasificēšanai un apstrādei, kā arī šīs politikas pārkāpumu novēršanai.

Informācijas drošības politika nodrošina integrētu aizsardzības pasākumu kopumu, kas vienādi jāpiemēro visā mūsu tīmekļa vietnē, lai garantētu drošu darbības vidi.

MĒRĶIS

Informācijas Drošības pārvaldība ir saprātīga atbilstošu kontroles mehānismu izvēle un efektīva īstenošana, lai aizsargātu kritiski svarīgus organizācijas informācijas aktīvus. Kontroles un pārvaldības procesi kopā ar to piemērotības un efektivitātes uzraudzību veido divus galvenos informācijas drošības programmas elementus. Trīs informācijas drošības mērķi ir šādi:

  • Konfidencialitāte: Slepenas informācijas aizsardzība pret izpaušanu nepiederošām personām vai sistēmām;
  • Integritāte: Informācijas precizitātes, pilnīguma un savlaicīguma nodrošināšana;
  • Pieejamība: Informācijas un svarīgu pakalpojumu pieejamības nodrošināšana pilnvarotiem lietotājiem, kad tas ir nepieciešams.

DARBĪBAS JOMA

Šī politika attiecas uz visiem mūsu uzņēmumā strādājošajiem darbiniekiem, darbuzņēmējiem, partneriem, praktikantiem/apmācību stažieriem. Šo politiku ievēro arī trešo pušu pakalpojumu sniedzēji, kas sniedz hostinga pakalpojumus vai kuru dati tiek glabāti ārpus uzņēmuma telpām.

Šīs informācijas drošības politikas darbības joma ir informācija, kas tiek glabāta, paziņota un apstrādāta mūsu uzņēmumā un uzņēmuma dati ārpakalpojumu vietās.

MĒRĶI

Informācijas drošības politikas mērķis ir nodrošināt mūsu uzņēmumam pieeju informācijas risku pārvaldībai un informācijas aktīvu aizsardzības vadlīnijas visām struktūrvienībām un tiem, ar kuriem noslēgti līgumi par pakalpojumu sniegšanu.

INFORMĀCIJAS AKTĪVU KLASIFIKĀCIJA

Uzņēmuma informācijas aktīvi ir iedalīti četrās kategorijās: Publiski, Iekšēji, Konfidenciāli un Ierobežoti. Visiem nozīmīgākajiem informācijas aktīviem ir jābūt ieceltam īpašniekam, kurš ir atbildīgs par šīm kategorijām atbilstošu autentifikācijas un autorizācijas procedūru izveidi, ievērojot, ka:

  1. Publisko informāciju parasti var darīt pieejamu vai izplatīt plašai sabiedrībai. Tā ir informācija, kurai nav nepieciešama aizsardzība, un, ja to izmanto atbilstoši paredzētajam mērķim, tai būtu maza vai nekāda nelabvēlīga ietekme uz uzņēmuma darbību, aktīviem vai reputāciju attiecībā uz uzņēmuma pienākumiem saistībā ar informācijas konfidencialitāti.
  2. Konfidenciāla informācija ir paredzēta tikai iekšējai lietošanai, un tai var piekļūt tikai darbinieki, kuriem tā nepieciešama, pildot uzņēmuma pienākumus (konfidenciāla informācija ietver informāciju, ko aizsargā Valsts tiesību akti vai uzņēmuma līgumsaistības), un tai nepieciešama privātuma un drošības aizsardzība.
  3. Ierobežota informācija, kas ir stingri konfidenciāla, un piekļuve tai ir stingri atkarīga no “nepieciešamības zināt”. Kā piemēru var minēt informāciju, kas ietekmē valsts intereses un/vai valsts drošību.

Visiem darbiniekiem jāapzinās sava juridiskā un korporatīvā atbildība attiecībā uz neatbilstošu informācijas izmantošanu, kopīgošanu vai nodošanu citai pusei. Jebkurai trešajai personai, kas saņem konfidenciālu vai ierobežotas pieejamības informāciju, jābūt pilnvarotai to saņemt, un šai personai vai tās organizācijai ir jāpieņem informācijas drošības pasākumi, kas garantē šo datu konfidencialitāti un integritāti.

Konfidenciāla informācija ir jāaizsargā, lai nepieļautu nesankcionētu piekļuvi vai izpaušanu.

Ierobežotai informācijai ir visaugstākais sensitivitātes līmenis, un tā rada vislielāko risku uzņēmumam, valstij un privātpersonām, ja šādai informācijai piekļūst vai to izpauž nepiederošas personas. Tāpēc uzņēmuma darbiniekiem, kuri rīkojas ar ierobežotas pieejamības informāciju vai kuri izmanto sistēmas, kurās tiek glabāta, pārraidīta vai apstrādāta ierobežotas pieejamības informācija, ir pienākums pastāvīgi saglabāt šādas informācijas/datu konfidencialitāti, integritāti un pieejamību.

INFORMĀCIJAS DROŠĪBAS PĀRVALDĪBA

Informācijas drošības pārvaldību veido vadība, organizatoriskās struktūras un procesi, kas aizsargā informāciju un mazina pieaugošos informācijas drošības draudus.

Informācijas drošības pārvaldības kritiskie rezultāti ir šādi:

  • Informācijas drošības saskaņošana ar uzņēmējdarbības stratēģiju, lai atbalstītu organizācijas mērķus.
  • Risku pārvaldība un mazināšana un potenciālās ietekmes uz informācijas resursiem samazināšana līdz pieņemamam līmenim.
  • Informācijas drošības darbības rezultātu pārvaldība, mērot, uzraugot un ziņojot par informācijas drošības pārvaldības rādītājiem, lai nodrošinātu organizācijas mērķu sasniegšanu.
  • Informācijas drošības ieguldījumu optimizācija, lai atbalstītu organizācijas mērķus. Ir svarīgi apsvērt informācijas drošības pārvaldības organizatorisko nepieciešamību un ieguvumus.

ATBILDĪBA

Mārketinga Departaments ir atbildīgs par tīmekļa vietnes saturu un nodrošina, ka materiāli atbilst juridiskajām un politikas prasībām.

IT Departaments ir atbildīgs par tīmekļa vietnes drošību, funkcionalitāti un infrastruktūru. Sistēmas Administratori uzraudzīs mūsu tīmekļa vietnes reakcijas laiku un novērsīs visas radušās problēmas.

INFORMĒTĪBA UN SAZIŅA

Ir svarīgi, lai visi informācijas drošības aspekti, tostarp konfidencialitāte, privātums un procedūras saistībā ar piekļuvi sistēmai, tiktu iekļauti oficiālajās darbinieku ievadprocedūrās un regulāri tiktu paziņoti esošajiem darbiniekiem.

Uzsākot darba attiecības, darbiniekus jāinformē par to, ka viņi nedrīkst izpaust nekādu informāciju, kas viņiem var būt pieejama parastā darba gaitā. Personāls arī jāinformē par to, ka viņš nedrīkst meklēt piekļuvi datiem, kas nav nepieciešami viņa parasto pienākumu veikšanai.