carVertical

Politik for informationssikkerhed

1. Informationssikkerhedspolitikken (i det følgende benævnt "politikken") er hoveddokumentet i UAB cV Groups (i det følgende benævnt "cV Group" eller "virksomheden") system til styring af informationssikkerhed (i det følgende benævnt "ISMS"). ISMS-dokumenter og/eller separate dele af dem kan udleveres til parter, der er relateret til cV Group-oplysninger, så de kan få adgang til dem.

2. Formålet med politikken er at præsentere cV Groups ledelses holdning til informationssikkerhed og at beskytte alle mundtlige, skriftlige og elektroniske oplysninger, der modtages, sendes, oprettes, administreres og bruges af cV Group, mod alle mulige trusler: eksterne, interne, forsætlige eller utilsigtede, som kan påvirke cV Groups aktiviteter og omdømme.

3. Med henblik på at implementere ISMS-målene er følgende informationssikkerhedsmål fastsat:

  • sikre og administrere informationssikkerhed under hensyntagen til cV Groups strategiske mål med henblik på at levere sine tjenester
  • sikre og administrere overholdelse af eksterne og interne informationssikkerhedskrav ved at udføre periodisk overensstemmelsesvurdering og eliminere identificerede afvigelser
  • sikre løsning af overtrædelser af informationssikkerheden og eliminering af årsagerne til dem ved at implementere styring af informationssikkerhedshændelser
  • sikre passende udvælgelse og implementering af informationssikkerheds- og behandlingsforanstaltninger, udføre en årlig risikovurdering og implementere de nødvendige informationssikkerhedsforanstaltninger
  • sikre effektiviteten af de anvendte informationssikkerhedsforanstaltninger
  • sikre, at planen for styring af forretningskontinuitet er tilstrækkelig ved regelmæssigt at gennemgå og teste den.

4. Information er et strategisk vigtigt aktiv for cV Groups drift, og derfor kan tab, ulovlig ændring, beskadigelse, offentliggørelse eller ophør af informationsbehandling forårsage forstyrrelser i cV Groups drift. Derfor fastlægger denne politik for styring af informationssikkerhed de grundlæggende retningslinjer, som alle medarbejdere i cV Group, entreprenører og andre relaterede parter, der driver forretning med cV Group, forpligter sig til at overholde.

5. Politikken for styring af informationssikkerhed gælder for alle cV Groups forretningsprocesser i forbindelse med leverede tjenester og omfatter mundtlig og skriftlig information, informationssystemer, computernetværk, fysisk miljø, virtuelt miljø, medarbejdere, relaterede parter, partnere, entreprenører eller andre personer, der arbejder for cV Group, herunder medarbejdere, der arbejder for tredjeparter, og dem, der lovligt behandler cV Groups oplysninger.

6. Informationssikkerhed omfatter tre hovedaspekter:

  • Informationsfortrolighed - beskyttelse af information mod uautoriseret offentliggørelse
  • Informationsintegritet - beskyttelse af information mod uautoriserede eller utilsigtede ændringer
  • Informationstilgængelighed - at sikre, at information er tilgængelig, når det er nødvendigt for korrekt udførelse af cV Groups aktiviteter.

7. Formålet med reglerne er:

  • At beskytte sine informationsaktiver, herunder kundedata, der modtages fra forskellige kilder og tredjeparter, hvilket omfatter fortrolighed, integritet, tilgængelighed og både materielle (f.eks. computer- og kommunikationsudstyr, lokaler osv.) og immaterielle (f.eks. omdømme, image) aspekter
  • fastlægge ansvaret for informationssikkerhed
  • tilvejebringe henvisninger til de sikkerhedsdokumenter, der udgør styringssystemet for informationssikkerhed.

8. ISMS-dokumenterne skal gennemgås mindst én gang om året.

9. Implementeringen af cV Groups informationssikkerhedskrav sikres og styres gennem konsekvent planlægning, implementering, evaluering og forbedring af ISMS i overensstemmelse med kravene i standarden ISO/IEC 27001 (samt de seneste versioner).

10. Omfanget af cV Groups ISMS-certificering omfatter alle informationsteknologiprodukter og relaterede projekter i gruppen af virksomheder.

11. Styringen af informationssikkerheden i cV Group er baseret på risikostyring. Risikovurdering af informationssikkerhed skaber forudsætningerne for, at de foranstaltninger til styring af informationssikkerhed, der anvendes i cV Groups forretning, opfylder hovedmålene for cV Groups aktiviteter og informationssikkerhed.

12. cV Groups informationssikkerhedsrisici evalueres hvert kalenderår i henhold til den godkendte politik for risikovurdering. En gennemgang af virksomhedens kontekst bør udføres under risikovurderingen af informationssikkerheden.

13. Politikken gælder også for carVertical OÜ, som anvender kravene til tredjeparter som beskrevet i politikken.