Profilerr

Zásady informačnej bezpečnosti

Zásady informačnej bezpečnosti stanovujú základ pre ochranu informácií, uľahčujú rozhodovanie v oblasti správy bezpečnosti a smerujú k cieľom, ktoré stanovujú, podporujú a zabezpečujú optimálne kontroly informačnej bezpečnosti. Tieto zásady sa vzťahujú na všetky informácie a informačné systémy, vrátane informácií a informačných systémov, ktoré spoločnosť používa, spravuje alebo prevádzkuje na tejto webovej stránke. Zásady informačnej bezpečnosti chránia dôvernosť, integritu a dostupnosť údajov, slúžia na klasifikáciu a spracovanie informácií a na riešenie porušení týchto zásad.

Zásady informačnej bezpečnosti poskytujú integrovaný súbor ochranných opatrení, ktoré musia byť jednotne uplatňované na našej webovej stránke, aby sa zabezpečilo bezpečné prevádzkové prostredie pre jej činnosť.

ÚČEL

Správa informačnej bezpečnosti je odôvodnený výber a účinné zavádzanie vhodných kontrolných mechanizmov na ochranu kritických informačných aktív organizácie. Kontrolné mechanizmy a procesy riadenia spolu s následným monitorovaním ich vhodnosti a účinnosti tvoria dva hlavné prvky programu informačnej bezpečnosti. Tri ciele informačnej bezpečnosti zahŕňajú:

  • Dôvernosť: Ochrana citlivých informácií pred zverejnením neoprávneným osobám alebo systémom;
  • Integritu: Ochrana presnosti, úplnosti a aktuálnosti informácií;
  • Dostupnosť: Zabezpečenie, aby informácie a dôležité služby boli v prípade potreby dostupné oprávneným používateľom.

ROZSAH

Tieto zásady sa vzťahujú na všetkých zamestnancov, dodávateľov, partnerov, stážistov/praktikantov pracujúcich v našej spoločnosti. Tretie strany poskytujúce hostingové služby alebo služby, pri ktorých sú údaje uchovávané mimo priestorov spoločnosti, musia tiež dodržiavať túto politiku.

Rozsah týchto zásad informačnej bezpečnosti sa vzťahuje na informácie uchovávané, komunikované a spracovávané v rámci našej spoločnosti a na údaje spoločnosti v externých lokalitách.

CIELE

Cieľom zásad informačnej bezpečnosti je poskytnúť našej spoločnosti prístup k správe informačných rizík a smernice na ochranu informačných zdrojov pre všetky jednotky a subjekty a tiež pre tých, ktorí sú zmluvne zaviazaní nám poskytovať služby.

KLASIFIKÁCIA INFORMÁCIÍ

Informácie spoločnosti sú klasifikované do štyroch kategórií: verejné, interné, dôverné a obmedzené. Všetky dôležité informácie musia mať určeného vlastníka, ktorý je zodpovedný za zavedenie postupov overovania a autorizácie zodpovedajúcich týmto kategóriám, berúc do úvahy, že:

  1. Verejné informácie môžu byť vo všeobecnosti sprístupnené alebo distribuované širokej verejnosti. Ide o informácie, ktoré nevyžadujú ochranu a pri použití v súlade s účelom nemajú žiadny alebo len minimálny nepriaznivý vplyv na prevádzku, aktíva alebo povesť spoločnosti v súvislosti s povinnosťami, týkajúcimi sa ochrany súkromia informácií.
  2. Dôverné informácie sú určené výlučne na internú potrebu a prístup k nim majú len zamestnanci, ktorí ich potrebujú na plnenie svojich povinností v spoločnosti (dôverné informácie zahŕňajú informácie, ktoré sú chránené štátnymi právnymi predpismi alebo zmluvnými povinnosťami spoločnosti) a vyžadujú ochranu súkromia a bezpečnosti.
  3. Obmedzené informácie, ktoré musia byť prísne dôverné a prístupné len na základe potreby. Príkladom sú informácie, ktoré ovplyvňujú národné záujmy a/alebo národnú bezpečnosť.

Všetci zamestnanci by si mali byť vedomí svojich právnych a podnikových povinností týkajúcich sa nevhodného používania, zdieľania alebo zverejňovania informácií inej strane. Akákoľvek tretia strana, ktorá získa dôverné alebo obmedzené informácie, musí mať na to oprávnenie a táto osoba alebo jej organizácia musí prijať opatrenia na ochranu informácií, ktoré zaručujú dôvernosť a integritu týchto údajov.

Dôverné informácie by mali byť chránené, aby sa zabránilo neoprávnenému prístupu alebo ich zverejneniu.

Obmedzené informácie majú najvyššiu úroveň citlivosti a predstavujú najväčšie riziko pre spoločnosť, štát a jednotlivcov, ak by k týmto informáciám mali prístup alebo by boli zverejnené neoprávneným stranám. Zamestnanci spoločnosti, ktorí pracujú s obmedzenými informáciami alebo používajú systémy, ktoré ukladajú, prenášajú alebo spracúvajú obmedzené informácie, sú preto povinní zachovávať dôvernosť, integritu a dostupnosť týchto informácií/údajov za každých okolností.

RIADENIE BEZPEČNOSTI INFORMÁCIÍ

Riadiaca funkcia v oblasti bezpečnosti informácií pozostáva z vedenia, organizačných štruktúr a procesov, ktoré chránia informácie a zmierňujú rastúce hrozby pre bezpečnosť informácií.

Kľúčové výstupy riadenia bezpečnosti informácií zahŕňajú:

  • Zosúladenie bezpečnosti informácií s obchodnou stratégiou pre podporu organizačných cieľov
  • Riadenie a zmierňovanie rizík a znižovanie potenciálnych vplyvov na informačné zdroje na prijateľnú úroveň
  • Správa výkonu informačnej bezpečnosti prostredníctvom merania, monitorovania a podávania správ o metrikách riadenia informačnej bezpečnosti s cieľom zabezpečiť dosiahnutie organizačných cieľov
  • Optimalizácia investícií do informačnej bezpečnosti na podporu organizačných cieľov. Je dôležité zvážiť organizačnú nevyhnutnosť a prínosy riadenia informačnej bezpečnosti.

ZODPOVEDNOSŤ

Oddelenie marketingu je zodpovedné za obsah webovej stránky a za zabezpečenie, aby materiály spĺňali zákonné a politické požiadavky.

Oddelenie IT je zodpovedné za bezpečnosť, funkčnosť a infraštruktúru webovej stránky. Systémoví administrátori budú monitorovať našu webovú stránku z hľadiska reakčného času a riešiť operatívne všetky vzniknuté problémy.

INFORMOVANOSŤ A KOMUNIKÁCIA

Je nevyhnutné, aby všetky aspekty informačnej bezpečnosti, vrátane dôvernosti, súkromia a postupov týkajúcich sa prístupu k systému, boli zahrnuté do formálnych postupov zaškolenia zamestnancov a pravidelne sprostredkované existujúcim zamestnancom.

Pri nástupe do zamestnania by mali byť zamestnanci informovaní, že nesmú prezradiť žiadne informácie, ku ktorým majú prístup v rámci bežného výkonu svojej práce. Zamestnanci musia byť tiež informovaní, že nemajú vyhľadávať prístup k údajom, ktoré nie sú potrebné v rámci ich bežných povinností.