Profilerr

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji określa podstawy ochrony informacji, ułatwiając podejmowanie decyzji w zakresie zarządzania bezpieczeństwem i ukierunkowując te cele, które ustanawiają, promują i zapewniają najlepsze kontrole bezpieczeństwa informacji. Polityka obejmuje wszystkie informacje i systemy informacyjne, w tym informacje i systemy informacyjne używane, zarządzane lub obsługiwane przez firmę na tej stronie internetowej. Polityka bezpieczeństwa informacji chroni poufność, integralność i dostępność danych, klasyfikuje i obsługuje informacje oraz zajmuje się naruszeniami tej polityki.

Polityka bezpieczeństwa informacji zapewnia zintegrowany zestaw środków ochrony, które muszą być jednolicie stosowane na naszej stronie internetowej, aby zapewnić bezpieczne środowisko operacyjne dla jej działalności.

CEL

Zarządzanie bezpieczeństwem informacji polega na rozsądnym wyborze i skutecznym wdrożeniu odpowiednich mechanizmów kontrolnych w celu ochrony krytycznych zasobów informacyjnych organizacji.  Kontrole i procesy zarządzania, w połączeniu z późniejszym monitorowaniem ich adekwatności i skuteczności, tworzą dwa podstawowe elementy programu bezpieczeństwa informacji.  Trzy cele bezpieczeństwa informacji obejmują

  • Poufność: Ochrona wrażliwych informacji przed ujawnieniem nieupoważnionym osobom lub systemom;
  • Integralność: Ochrona dokładności, kompletności i aktualności informacji;
  • Dostępność: Zapewnienie, że informacje i istotne usługi są dostępne dla upoważnionych użytkowników, gdy jest to wymagane.

ZAKRES

Niniejsza polityka dotyczy wszystkich pracowników, wykonawców, partnerów, stażystów/praktykantów pracujących w naszej firmie. Zewnętrzni dostawcy usług świadczący usługi hostingowe lub w przypadku, gdy dane są przechowywane poza siedzibą firmy, również muszą przestrzegać niniejszej polityki.

Zakres niniejszej Polityki bezpieczeństwa informacji obejmuje informacje przechowywane, przekazywane i przetwarzane w naszej firmie oraz dane firmy w lokalizacjach zewnętrznych.

CELE

Celem Polityki bezpieczeństwa informacji jest zapewnienie naszej firmie podejścia do zarządzania ryzykiem związanym z informacjami oraz wytycznych dotyczących ochrony aktywów informacyjnych dla wszystkich jednostek i podmiotów, którym zlecono świadczenie usług.

KLASYFIKACJA AKTYWÓW INFORMACYJNYCH

Aktywa informacyjne firmy są podzielone na cztery kategorie: Publiczne, Wewnętrzne, Poufne i Zastrzeżone. Wszystkie główne zasoby informacyjne muszą mieć wyznaczonego właściciela, który jest odpowiedzialny za ustanowienie procedur uwierzytelniania i autoryzacji współmiernych do tych kategorii, zauważając, że:

  1. Informacje publiczne mogą być generalnie udostępniane lub rozpowszechniane ogółowi społeczeństwa. Są to informacje, które nie wymagają ochrony, a gdy są wykorzystywane zgodnie z przeznaczeniem, miałyby niewielki lub żaden negatywny wpływ na operacje, aktywa lub reputację zobowiązań firmy dotyczących prywatności informacji.
  2. Informacje poufne są przeznaczone wyłącznie do użytku wewnętrznego, a dostęp do nich mają wyłącznie pracownicy, którzy potrzebują ich w trakcie wykonywania swoich obowiązków w firmie (informacje poufne obejmują informacje chronione przez ustawodawstwo państwowe lub zobowiązania umowne firmy) i wymagają ochrony prywatności i bezpieczeństwa.
  3. Informacje zastrzeżone, które mają być utrzymywane w ścisłej poufności, a dostęp do nich musi być ściśle określony. Przykłady obejmują informacje mające wpływ na interesy narodowe i/lub bezpieczeństwo narodowe.

Wszyscy pracownicy powinni być świadomi swoich obowiązków prawnych i korporacyjnych w zakresie niewłaściwego wykorzystywania, udostępniania lub przekazywania informacji innym stronom. Każda strona trzecia otrzymująca informacje poufne lub zastrzeżone musi być do tego upoważniona, a osoba ta lub jej organizacja musi przyjąć środki bezpieczeństwa informacji, które gwarantują poufność i integralność tych danych.

Informacje poufne powinny być chronione, aby zapobiec nieautoryzowanemu dostępowi lub ujawnieniu.

Zastrzeżone informacje mają najwyższy poziom wrażliwości i stanowią największe ryzyko dla firmy, państwa i osób fizycznych, jeśli takie informacje zostaną udostępnione lub ujawnione nieupoważnionym stronom. W związku z tym pracownicy firmy, którzy mają do czynienia z informacjami zastrzeżonymi lub korzystają z systemów, które przechowują, przesyłają lub przetwarzają informacje zastrzeżone, są zobowiązani do zachowania poufności, integralności i dostępności takich informacji/danych przez cały czas.

ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Zarządzanie bezpieczeństwem informacji obejmuje przywództwo, struktury organizacyjne i procesy, które chronią informacje i łagodzą rosnące zagrożenia dla bezpieczeństwa informacji.

Krytyczne wyniki zarządzania bezpieczeństwem informacji obejmują:

  • Dostosowanie bezpieczeństwa informacji do strategii biznesowej w celu wspierania celów organizacyjnych
  • Zarządzanie i ograniczanie ryzyka oraz redukcja potencjalnego wpływu na zasoby informacyjne do akceptowalnego poziomu.
  • Zarządzanie wydajnością bezpieczeństwa informacji poprzez pomiar, monitorowanie i raportowanie wskaźników zarządzania bezpieczeństwem informacji w celu zapewnienia osiągnięcia celów organizacyjnych
  • Optymalizacja inwestycji w bezpieczeństwo informacji w celu wspierania celów organizacyjnych. Ważne jest, aby wziąć pod uwagę konieczność organizacyjną i korzyści płynące z zarządzania bezpieczeństwem informacji.

ODPOWIEDZIALNOŚĆ

Dział marketingu jest odpowiedzialny za zawartość strony internetowej i zapewnienie, że materiały spełniają wymogi prawne i polityczne.

Dział IT jest odpowiedzialny za bezpieczeństwo, funkcjonalność i infrastrukturę strony internetowej. Administratorzy systemu będą monitorować niniejszą stronę internetową pod kątem czasu reakcji i rozwiązywania wszelkich napotkanych problemów.

ŚWIADOMOŚĆ I KOMUNIKACJA

Istotne jest, aby wszystkie aspekty bezpieczeństwa informacji, w tym poufność, prywatność i procedury związane z dostępem do systemu, zostały włączone do formalnych procedur wprowadzania pracowników i regularnie przekazywane obecnym pracownikom.

W momencie rozpoczęcia zatrudnienia pracownicy powinni być świadomi, że nie mogą ujawniać żadnych informacji, do których mogą mieć dostęp w normalnym toku zatrudnienia. Pracownicy muszą być również świadomi, że nie powinni ubiegać się o dostęp do danych, które nie są wymagane w ramach ich normalnych obowiązków.