carVertical

Politika sigurnosti informacija

1. Politika sigurnosti informacija (u daljnjem tekstu – politika) je glavni dokument sistema upravljanja sigurnošću informacija (u daljnjem tekstu – ISMS) uAB cV grupe (u daljnjem tekstu – cV grupa ili Društvo). ISMS dokumenti i/ili njihovi odvojeni dijelovi mogu se dostaviti stranama povezanim s informacijama CV grupe radi pristupa.

2. Svrha politike je da predstavi stav menadžmenta CV grupe prema sigurnosti informacija i da zaštiti sve verbalne, pisane i elektronske informacije koje CV grupa prima, šalje, kreira, upravlja i koristi od svih mogućih prijetnji: vanjskih, unutarnjih, namjernih ili slučajnih, koje mogu utjecati na aktivnosti i ugled CV grupe.

3. Za realizaciju ciljeva ISMS-a, postavljeni su sljedeći ciljevi sigurnosti informacija:

  • osigurati i upravljati sigurnošću informacija, uzimajući u obzir strateške ciljeve CV grupe za pružanje svojih usluga;
  • osigurati i upravljati usklađenošću sa eksternim i internim zahtjevima za sigurnost informacija provođenjem periodične procjene usklađenosti i otklanjanjem uočenih neslaganja;
  • osigurati rješavanje kršenja sigurnosti informacija i otklanjanje njihovih uzroka, implementirajući upravljanje incidentima sigurnosti informacija;
  • osigurati odgovarajući odabir i implementaciju mjera sigurnosti i obrade informacija, provođenje godišnje procjene rizika i implementaciju potrebnih mjera sigurnosti informacija;
  • osigurati efikasnost primijenjenih mjera sigurnosti informacija;
  • osigurati adekvatnost plana upravljanja kontinuitetom poslovanja periodičnim pregledom i testiranjem istog.

4. Informacije su strateški važna imovina za poslovanje cV grupe, stoga njihov gubitak, nezakonita izmjena, oštećenje, otkrivanje ili prekid obrade informacija mogu uzrokovati poremećaje u poslovanju cV grupe. Zbog toga, ova politika upravljanja sigurnošću informacija utvrđuje osnovne smjernice kojih se obavezuju da se pridržavaju svi zaposleni u cV grupi, izvođači radova i druge povezane strane koje posluju sa cV grupom.

5. Politika upravljanja sigurnošću informacija primjenjuje se na sve poslovne procese cV grupe vezane za pružene usluge i uključuje usmene i pisane informacije, informacione sisteme, kompjuterske mreže, fizičko okruženje, virtuelno okruženje, zaposlene, povezane strane, partnere, izvođače radova ili druge osobe koje rade u cV grupi, uključujući zaposlene koji rade za treće strane i one koji legalno obrađuju informacije cV grupe.

6. Informaciona sigurnost uključuje tri glavna aspekta:

  • povjerljivost informacija – zaštita informacija od neovlaštenog otkrivanja;
  • integritet informacija – zaštita informacija od neovlaštenih ili slučajnih promjena;
  • Pristupačnost informacija – osiguravanje da su informacije dostupne kada su potrebne za pravilno obavljanje aktivnosti CV grupe.

7. Svrha propisa je:

  • Zaštititi vlastitu informacionu imovinu, uključujući podatke o klijentima primljene iz različitih izvora i trećih strana, obuhvatajući povjerljivost, integritet, dostupnost i opipljive (na primjer kompjuterski i komunikacijski uređaji, prostorije itd.) i nematerijalne (na primjer reputacija, imidž) aspekte;
  • utvrditi odgovornost za sigurnost informacija;
  • pružiti reference na sigurnosne dokumente koji čine sistem upravljanja sigurnošću informacija.

8. Dokumenti ISMS-a moraju se pregledati najmanje jednom godišnje.

9. Implementacija zahtjeva cV grupe za sigurnost informacija osigurava se i upravlja kroz dosljedno planiranje, implementaciju, evaluaciju i poboljšanje ISMS-a u skladu sa zahtjevima standarda ISO/IEC 27001 (kao i njegovim najnovijim verzijama).

10. Obim cV group ISMS certifikacije obuhvata sve proizvode informacionih tehnologija i srodne projekte u grupi kompanija.

11. Upravljanje sigurnošću informacija u cV grupi zasniva se na upravljanju rizicima. Procjena rizika sigurnosti informacija stvara uslove da mjere upravljanja sigurnošću informacija koje se primjenjuju u poslovanju CV grupe ostvare glavne ciljeve aktivnosti CV grupe i sigurnosti informacija.

12. Rizici sigurnosti informacija CV grupe procjenjuju se svake kalendarske godine u skladu s odobrenom politikom procjene rizika. Za vrijeme procjene rizika sigurnosti informacija treba izvršiti pregled konteksta kompanije.

13. Politika se isto tako primjenjuje na carVertical OÜ, koji primjenjuje zahtjeve za treće strane kako je opisano u politici.