carVertical

Informācijas drošības politika

1. Informācijas drošības politika (turpmāk – Politika) ir galvenais UAB „cV Group“ (turpmāk – „cV Group“ vai Sabiedrība) Informācijas drošības vadības sistēmas (turpmāk – IDVS) dokuments. Ar IDVS dokumentiem un (vai) to daļām var iepazīties ar „cV Group“ informāciju saistītās puses.

2. Šīs Politikas mērķis ir izklāstīt “cV Group” vadības pozīciju informācijas drošības jautājumos un aizsargāt visu “cV Group” mutisko, rakstisko un elektronisko informāciju, ko tā saņem, sūta, rada, apstrādā un izmanto, no visiem iespējamajiem apdraudējumiem – ārējiem, iekšējiem, tīšiem vai nejaušiem, kuri var ietekmēt “cV Group” darbību un reputāciju.

3. IDVS mērķa sasniegšanai tiek uzstādīti šādi informācijas drošības mērķi:

  • nodrošināt un pārvaldīt informācijas drošību, ņemot vērā “cV Group” stratēģiskos mērķus Sabiedrības pakalpojumu sniegšanā;
  • veicot regulārus atbilstības novērtējumus un novēršot konstatētās neatbilstības, nodrošināt un pārvaldīt atbilstību ārējās un iekšējās informācijas drošības prasībām;
  • nodrošināt informācijas drošības pārkāpumu novēršanu un to iemeslu likvidēšanu, īstenot informācijas drošības incidentu vadību;
  • veicot ikgadējo risku novērtējumu un īstenojot nepieciešamos informācijas drošības pasākumus, nodrošināt atbilstošu informācijas drošības un apstrādes pasākumu izvēli un ieviešanu;
  • nodrošināt izmantojamo informācijas drošības pasākumu efektivitāti;
  • nodrošināt pienācīgu darbības nepārtrauktības vadības plānu, to regulāri pārskatot un testējot.

4. Informācija ir stratēģiski svarīgs “cV Group” darbības aktīvs, tādēļ tās zaudēšana, nelikumīga grozīšana, konfidencialitātes, integritātes vai pieejamības pārkāpšana, tās izpaušana vai apstrādes pārtraukšana var traucēt “cV Group” darbību. Tādēļ šī Informācijas drošības vadības politika nosaka pamatnostādnes, kas jāievēro visiem “cV Group” darbiniekiem, darbuzņēmējiem un citām saistītajām pusēm, kas sadarbojas ar “cV Group”.

5. Informācijas drošības vadības politika tiek piemērota visiem “cV Group” darbības procesiem, kas saistīti ar sniedzamajiem pakalpojumiem, un ietver mutisko un rakstisko informāciju, informācijas sistēmas, datortīklus, fizisko vidi, virtuālo vidi, darbiniekus, saistītās puses, partnerus, darbuzņēmējus vai citas “cV Group” strādājošas personas, ieskaitot trešajām pusēm strādājošus darbiniekus un tos, kuri likumīgi apstrādā “cV Group” informāciju.

6. Informācijas drošība ietver trīs galvenos aspektus:

  • informācijas konfidencialitāti – informācijas aizsardzību pret nelikumīgu izpaušanu;
  • informācijas integritāti – informācijas aizsardzību pret nelikumīgiem vai nejaušiem grozījumiem;
  • informācijas piekļūstamību – garantijas, ka informācija ir pieejama, kad tā nepieciešama pienācīgai “cV Group” darbības īstenošanai.

7. Noteikumu un prasību mērķis ir:

  • aizsargāt informācijas aktīvus, ieskaitot no dažādiem avotiem un trešajām pusēm saņemtos klientu datus, ietverot konfidencialitāti, integritāti, pieejamību un gan materiālos (piem., datori un sakaru iekārtas, telpas u.c.), gan nemateriālos (piem., reputācija, tēls) aspektus;
  • noteikt atbildību par informācijas drošību;
  • sniegt norādes uz drošības dokumentiem, kas veido informācijas drošības vadības sistēmu.

8. IDVS dokumenti jāpārskata ne retāk kā reizi gadā.

9. “cV Group” informācijas drošības prasību īstenošana tiek nodrošināta un vadīta, pastāvīgi plānojot, īstenojot, novērtējot un pilnveidojot IDVS atbilstoši ISO/IEC 27001 standarta (un tā jaunāko versiju) prasībām.

10. “cV Group” IDVS sertificēšana ietver visus informācijas tehnoloģiju produktus un saistītos šajā uzņēmumu grupā īstenojamos projektus.

11. “cV Group” informācijas drošības vadība pamatojas risku pārvaldībā. Informācijas drošības risku novērtējums palīdz nodrošināt, lai ar “cV Group” darbībā piemērojamajiem informācijas drošības vadības pasākumiem tiktu sasniegti galvenie “cV Group” darbības un informācijas drošības mērķi.

12. “cV Group” informācijas drošības riski tiek vērtēti katru kalendāro gadu, atbilstoši apstiprinātajai risku vērtēšanas politikai. Veicot informācijas drošības risku novērtējumu, nepieciešams pārskatīt Sabiedrības situāciju. 

13. Šī Politika tiek piemērota arī “carVertical OÜ”, kas Politikā izklāstītās prasības piemēro trešajām pusēm.