carVertical

Политика за информационна сигурност

1. Политиката за информационна сигурност (наричана по-долу – Политиката) е основният документ на системата за управление на информационната сигурност (наричана по-долу – СУИС) на UAB „cV Group“ (наричана по-долу - „cV Group“ или Дружеството). С документите на СУИС и (или) техните части могат да запознаят страни, свързани с информацията на „cV Group“.

2. Целта на тази Политика е да определи позицията на ръководството на „cV Group“ по въпросите на информационната сигурност и да защити цялата устна, писмена и електронна информация, получена, изпратена, създадена, обработена и използвана от „cV Group“, от всички възможни заплахи: външни, вътрешни, умишлени или случайни, които могат да повлияят на дейността и репутацията на „cV Group“.

3. За изпълнение на задачите на СУИС са определени следните цели за информационна сигурност:

  • осигуряване и управление на информационната сигурност, като се вземат предвид стратегическите цели на „cV Group“, насочени към предоставяне на услугите на Дружеството;
  • осигуряване и управление на съответствието с външните и вътрешните изисквания за информационна сигурност чрез провеждане на периодични оценки на съответствието и отстраняване на установените несъответствия;
  • осигуряване на коригиране на нарушенията на информационната сигурност и отстраняване на причините за тях и прилагане на управление на инциденти, свързани с информационната сигурност;
  • осигуряване на подходящ избор и прилагане на мерки за информационна сигурност и обработка чрез провеждане на годишна оценка на риска и прилагане на необходимите мерки за информационна сигурност;
  • осигуряване на ефективността на прилаганите мерки за информационна сигурност;
  • осигуряване на подходящ план за управление на непрекъснатостта на дейността чрез периодичен преглед и тестване.

4. Информацията е стратегически важен актив за дейността на „cV Group“, следователно нейната загуба, неразрешена промяна, нарушаване на нейната поверителност, цялост или наличност, разкриване или прекратяване на обработката ѝ може да наруши дейността на „cV Group“. Следователно, настоящата Политика за управление на информационната сигурност определя основните насоки, които трябва да се спазват от всички служители, контрагенти и други свързани страни на „cV Group“, работещи с „cV Group“.

5. Политиката за управление на информационната сигурност се прилага за всички бизнес процеси на „cV Group“, свързани с предоставяните услуги, и обхваща устна и писмена информация, информационни системи, компютърни мрежи, физическа среда, виртуална среда, служители, свързани страни, партньори, контрагенти или други лица, работещи за „cV Group“, включително служители, работещи за трети страни, и тези, които законно обработват информация за „cV Group“.

6. Информационната сигурност обхваща три основни аспекта:

  • поверителност на информацията – защита на информацията от неразрешено разкриване;
  • цялост на информацията – защита на информацията от неразрешени или случайни промени;
  • наличност на информация – гарантиране, че информацията е налична, когато е необходима за правилното изпълнение на дейностите на „cV Group“.

7. Целта на правилата и изискванията е:

  • защита на информационните активи, включително клиентски данни, получени от различни източници и трети страни, като се обхващат поверителност, цялост, наличност и както материални (напр. компютри и комуникационни устройства, помещения и др.), така и нематериални (напр. репутация, имидж) аспекти;
  • определяне на отговорността за информационната сигурност;
  • предоставяне на препратки към документи за сигурност, които представляват системата за управление на информационната сигурност.

8. Документите за СУИС трябва да се преглеждат поне веднъж годишно.

9. Изпълнението на изискванията за информационна сигурност на „cV Group“ се осигурява и управлява чрез последователно планиране, внедряване, оценяване и подобряване на информационната система за управление на информацията (ISMS) в съответствие с изискванията на стандарта ISO/IEC 27001 (и неговите най-нови версии).

10. Сертификацията по ISMS на „cV Group“ обхваща всички продукти на информационните технологии и свързани с тях проекти, реализирани в тази група компании.

11. Управлението на информационната сигурност на „cV Group“ се основава на управление на риска. Оценката на риска за информационната сигурност помага да се гарантира, че мерките за управление на информационната сигурност, прилагани в дейностите на „cV Group“, постигат основните цели на дейностите на „cV Group“ и информационната сигурност.

12. Рискът за информационната сигурност на „cV Group“ се оценява всяка календарна година в съответствие с одобрената политика за оценка на риска. При провеждане на оценка на риска за информационната сигурност следва да се преразгледа състоянието на Дружеството.

13. Тази Политика се прилага и за „carVertical OÜ“, която прилага изискванията, описани в Политиката, към трети страни.