carVertical

Informatiebeveiligingsbeleid

1. Het Informatiebeveiligingsbeleid (hierna: “Beleid”) vormt het belangrijkste document van het Managementsystem voor informatiebeveiliging (hierna: “ISMS”) van UAB cV Group (hierna: “cV Group” of de “Onderneming”). De ISMS-documenten, geheel of gedeeltelijk, zijn toegankelijk voor alle partijen die betrokken zijn bij de verwerking of het gebruik van informatie van cV Group.

2. Het doel van dit Beleid is het standpunt van het management van cV Group ten aanzien van informatiebeveiliging vast te leggen en alle mondelinge, schriftelijke en elektronische informatie die cV Group ontvangt, verzendt, creëert, verwerkt of gebruikt, te beschermen tegen alle mogelijke bedreigingen (extern of intern, opzettelijk of onopzettelijk) die de activiteiten, reputatie of integriteit van cV Group kunnen beïnvloeden.

3. De onderstaande informatiebeveiligingsdoelstellingen zijn vastgesteld ter verwezenlijking van de doelstellingen van het ISMS:

  • Informatiebeveiliging waarborgen en beheren in overeenstemming met de strategische doelstellingen van de cV Groep voor de levering van de diensten van de Onderneming;
  • Naleving van externe en interne informatiebeveiligingsvereisten waarborgen en beheren door middel van periodieke nalevingsbeoordelingen en het verhelpen van geconstateerde gevallen van niet-naleving;
  • Behandelen van informatiebeveiligingsincidenten door ervoor te zorgen dat inbreuken worden verholpen en de onderliggende oorzaken worden aangepakt;
  • Selectie en implementatie van informatiebeveiligings- en beheersmaatregelen waarborgen door jaarlijkse risicobeoordelingen en de toepassing van passende maatregelen;
  • Effectiviteit van informatiebeveiligingsmaatregelen waarborgen;
  • Bedrijfscontinuïteitsplan adequaat houden door periodieke beoordeling en testen.

4. Informatie is een strategisch bedrijfsmiddel voor de activiteiten van cV Group. Informatie is van strategisch belang voor de activiteiten van de cV Groep en het verlies, de ongeoorloofde wijziging, de schending van de vertrouwelijkheid, integriteit of beschikbaarheid, de openbaarmaking of de onderbreking van de verwerking ervan kan de activiteiten van de cV Groep verstoren. Daarom beschrijft dit Informatiebeveiligingsbeleid de basisrichtlijnen die moeten worden gevolgd door alle medewerkers van cV Group, contractanten en andere partijen die betrokken zijn bij de verwerking of het gebruik van informatie van de organisatie.

5. Het Beleid voor het beheer van informatiebeveiliging is van toepassing op alle bedrijfsprocessen van de cV Groep die verband houden met de geleverde diensten. Het Beleid heeft betrekking op alle vormen van informatie (mondeling, schriftelijk en elektronisch) alsook op informatiesystemen, computernetwerken, fysieke en virtuele omgevingen, medewerkers, gelieerde ondernemingen, verbonden partijen, partners, aannemers en anderen die voor cV Groep werken, inclusief externe medewerkers en alle personen die op legitieme wijze met informatie van cV Groep omgaan.

6. Informatiebeveiliging omvat drie belangrijke aspecten:

  • Vertrouwelijkheid van informatie: het beschermen van informatie tegen ongeautoriseerde openbaarmaking;
  • Integriteit van informatie: het beschermen van informatie tegen ongeoorloofde of onopzettelijke wijzigingen;
  • Beschikbaarheid van informatie: het waarborgen dat informatie beschikbaar is wanneer dit nodig is voor een effectieve uitvoering van de bedrijfsactiviteiten van de cV Groep.

7. Het doel van de regels en vereisten is:

  • Het beschermen van informatie, inclusief klantgegevens uit diverse bronnen en van derden, met inbegrip van vertrouwelijkheid, integriteit en beschikbaarheid, alsook materiële elementen (bijvoorbeeld computers, communicatieapparatuur, gebouwen) en immateriële elementen (zoals reputatie en imago);
  • Het vaststellen van verantwoordelijkheden met betrekking tot informatiebeveiliging;
  • Het verwijzen naar beveiligingsdocumenten die deel uitmaken van het informatiebeveiligingsbeheersysteem.

8. De ISMS-documentatie wordt minstens één keer per jaar herzien.

9. De implementatie van de informatiebeveiligingsvereisten van cV Group wordt gewaarborgd en beheerd via consistente planning, uitvoering, evaluatie en continue verbetering van het ISMS, in overeenstemming met de eisen van ISO/IEC 27001, inclusief de meest recente versies.

10. De ISMS-certificering van de cV Groep is van toepassing op alle informatietechnologieproducten en gerelateerde projecten binnen de Groep.

11. Het informatiebeveiligingsbeheer van de cV Groep is gebaseerd op risicomanagement. Risicobeoordelingen op het gebied van informatiebeveiliging helpen te waarborgen dat de toegepaste beheersmaatregelen effectief bijdragen aan het behalen van de belangrijkste operationele en informatiebeveiligingsdoelstellingen van de cV Groep.

12. Het informatiebeveiligingsrisico van de cV Groep wordt jaarlijks beoordeeld in overeenstemming met het goedgekeurde risicobeoordelingsbeleid. De risicobeoordeling voor informatiebeveiliging dient een beoordeling van de huidige bedrijfsomstandigheden en -situatie te omvatten.

13. Dit Beleid is eveneens van toepassing op carVertical OÜ, dat de in dit Beleid beschreven vereisten ook toepast op derden.