carVertical

Політика інформаційної безпеки

1. Політика інформаційної безпеки (далі — Політика) — це головний документ компанії UAB cV Group (далі — cV Group або Компанія) щодо системи управління інформаційною безпекою (далі — СУІБ). Документи СУІБ і її окремі частини можна надавати сторонам, які мають доступ до інформації cV Group.

2. Мета політики — показати позицію керівництва cV Group щодо інформаційної безпеки, а також захистити всю усну, письмову та електронну інформацію, отриману, надіслану, створену, упорядковану та використану cV Group, від усіх можливих загроз: зовнішніх, внутрішніх, умисних або випадкових — здатних вплинути на діяльність і репутацію cV Group.

3. Щоб реалізувати завдання СУІБ, визначено такі цілі інформаційної безпеки:

  • гарантувати й регулювати інформаційну безпеку з урахуванням стратегічних цілей cV Group щодо надання своїх послуг;
  • гарантувати й регулювати дотримання зовнішніх і внутрішніх вимог щодо інформаційної безпеки шляхом регулярної оцінки дотримання вимог та усунення виявлених невідповідностей;
  • гарантувати розслідування порушень інформаційної безпеки й усунення їхніх причин шляхом регулювання інцидентів інформаційної безпеки;
  • гарантувати належний вибір і впровадження заходів щодо інформаційної безпеки й обробки інформації шляхом проведення щорічної оцінки ризиків і вжиття необхідних заходів щодо захисту інформації;
  • гарантувати ефективність ужитих заходів щодо захисту інформації;
  • гарантувати належне виконання Плану управління безперервністю бізнесу шляхом регулярного перегляду та перевірок.

4. Інформація — стратегічно важливий для діяльності cV Group актив, а тому його втрата, незаконна зміна, пошкодження, розголошення або припинення обробки може завадити роботі cV Group. Тож Політика щодо управління інформаційною безпекою визначає основні принципи, яких зобов’язані дотримуватися всі працівники cV Group, підрядники й інші пов’язані сторони, що співпрацюють із cV Group.

5. Політика щодо управління інформаційною безпекою застосовується до всіх бізнес-процесів cV Group, пов’язаних із наданням послуг, а також до усної та письмової інформації, інформаційних систем, комп’ютерних мереж, фізичного середовища, віртуального середовища, працівників, пов’язаних сторін, партнерів, підрядників й інших осіб, які працюють у cV Group, зокрема осіб, які працюють на третіх сторін, і осіб, які законно обробляють інформацію cV Group.

6. Інформаційна безпека ґрунтується на трьох головних аспектах:

  • конфіденційність інформації — захист інформації від несанкціонованого розкриття;
  • цілісність інформації — захист інформації від несанкціонованих або випадкових змін;
  • доступність інформації — гарантія доступу до інформації, коли вона необхідна для належного виконання діяльності cV Group.

7. Мета правил:

  • захистити інформаційні активи, зокрема дані клієнтів, отримані від різних джерел і третіх сторін, їхню конфіденційність, цілісність і доступність, а також матеріальні (наприклад, комп’ютерні та комунікаційні пристрої, приміщення тощо) і нематеріальні (наприклад, репутація, імідж) компоненти;
  • визначити відповідальність за інформаційну безпеку;
  • посилатися на документи з безпеки, які формують систему управління інформаційною безпекою.

8. Документи СУІБ потрібно переглядати щонайменше раз на рік.

9. Упровадження вимог cV Group щодо інформаційної безпеки гарантується та управляється шляхом систематичного планування, упровадження, оцінки та вдосконалення СУІБ відповідно до вимог стандарту ISO/IEC 27001 (а також актуальних версій).

10. Сертифікація СУІБ cV Group поширюється на всі продукти інформаційної галузі й пов’язані з ними проєкти в певних компаніях.

11. Управління інформаційною безпекою в cV Group ґрунтується на управлінні ризиками. Оцінка ризиків інформаційної безпеки створює передумови для впровадження заходів щодо управління інформаційною безпекою в бізнес-процесах cV Group, спрямованих на досягнення основних цілей діяльності cV Group і захист інформації.

12. Ризики інформаційної безпеки в cV Group оцінюють щороку відповідно до затвердженої Політики оцінки ризиків. Під час оцінки ризиків інформаційної безпеки потрібно проводити аналіз середовища Компанії.

13. Крім того, Політика застосовується до компанії carVertical OÜ, яка впроваджує вимоги до третіх сторін, описаних у цій Політиці.