carVertical

Политика информационной безопасности

1. Политика информационной безопасности (далее — «Политика») — это основной документ компании UAB cV Group (далее — «cV Group» или «Компания»), касающийся ее системы управления информационной безопасностью (далее — «ISMS»). Документацию ISMS и/или отдельные ее части могут получить стороны, связанные с информацией cV Group.

2. Назначение политики — изложить подход руководства cV Group к информационной безопасности, защитить всю информацию, которую cV Group получает, отправляет, создает, контролирует и использует в устной, письменной и электронной форме, от всех возможных угроз (внешних и внутренних, умышленных и случайных), способных повлиять на деятельность и репутацию cV Group.

3. Чтобы выполнить назначение ISMS, в компании поставили такие задачи в области информационной безопасности:

  • Гарантировать и контролировать информационную безопасность, учитывая стратегические цели компании cV Group по предоставлению ее услуг.
  • Обеспечить и контролировать соблюдение внешних и внутренних требований к информационной безопасности путем периодических оценок соблюдения требований и устранения выявленных нарушений.
  • Гарантировать устранение нарушений информационной безопасности и их причин, а также внедрение контроля происшествий в сфере информационной безопасности.
  • Гарантировать надлежащий выбор и применение мер информационной безопасности и обработки данных с помощью ежегодной оценки рисков и внедрения необходимых мер информационной безопасности.
  • Гарантировать эффективность применяемых мер информационной безопасности.
  • Гарантировать надлежащее качество плана по управлению непрерывностью деятельности с помощью периодических проверок и испытаний.

4. Информация — стратегически важный актив для операций cV Group. Поэтому ее утрата, незаконное изменение, повреждение, раскрытие и прекращение обработки могут нарушить деятельность cV Group. В связи с этим Политика управления информационной безопасностью задает основополагающие принципы, которых должны придерживаться все сотрудники и подрядчики cV Group, а также другие связанные стороны, сотрудничающие с cV Group.

5. Действие Политики управления информационной безопасностью распространяется на все процессы cV Group, связанные с оказываемыми услугами, и охватывает информацию в устной и письменной форме, информационные системы, компьютерные сети, физические среды, виртуальные среды, сотрудников, связанные стороны, партнеров, подрядчиков и других лиц, работающих в cV Group, в том числе сотрудников, работающих на третьи стороны и на законных основаниях обрабатывающих информацию cV Group.

6. Информационная безопасность включает три основных аспекта:

  • Конфиденциальность информации — защита информации от несанкционированного раскрытия.
  • Целостность информации — защита информации от несанкционированного или случайного изменения.
  • Доступность информации — обеспечение доступности информации, когда это необходимо для надлежащей деятельности cV Group.

7. Назначение регулирования:

  • Обеспечение безопасности информационных активов, включая данные клиентов, полученные из различных источников и от третьих сторон, их конфиденциальности, целостности, доступности, а также сохранности материальных (компьютеры, коммуникационные устройства, помещения и т. д.) и нематериальных (репутация, образ и т. д.) активов.
  • Определение ответственности за информационную безопасность.
  • Предоставление ссылок на документы, связанные с безопасностью, которые формируют систему управления информационной безопасностью.

8. Документы ISMS необходимо пересматривать не реже одного раза в год.

9. Выполнение требований к информационной безопасности cV Group обеспечивается и управляется путем постоянного планирования, внедрения, оценки и совершенствования ISMS в соответствии с требованиями стандарта ISO/IEC 27001 (а также его более новых версий).

10. Сертификат ISMS компании cV Group охватывает все продукты в области информационных технологий и связанные проекты в группе компаний.

11. Управление информационной безопасностью в cV Group основано на контроле рисков. Оценка рисков, связанных с информационной безопасностью, создает условия для принятия мер по ее контролю в cV Group, направленных на достижение основных целей группы cV Group в отношении ее деятельности и информационной безопасности.

12. Оценку рисков, связанных с информационной безопасностью cV Group, проводят каждый календарный год в соответствии с утвержденной Политикой оценки рисков. Во время оценки рисков, связанных с информационной безопасностью, необходимо выполнять проверку условий в Компании.

13. Действие Политики также распространяется на carVertical OÜ, применяя требования к третьим сторонам, как описано в настоящей Политике.