carVertical

Infoturbe poliitika

1. Infoturbe poliitika (edaspidi „poliitika”) on UAB cV Groupi (edaspidi „cV Group” või „äriühing”) infoturbe juhtimissüsteemi (edaspidi „ITJS”) põhidokument. ITJSi dokumentidele ja/või nende osadele on juurdepääs cV Groupi infoga teabega seotud osapooltel.

2. Käesoleva poliitika eesmärk on sätestada cV Groupi juhtkonna seisukoht infoturbe küsimustes ja kaitsta kogu cV Groupi poolt vastu võetavat, saadetavat, loodavat, töödeldavat ja kasutatavat suulist, kirjalikku ja elektroonilist teavet kõikide võimalike ohtude eest – väliste, sisemiste, tahtlike või juhuslike ohtude eest, mis võivad mõjutada cV Groupi tegevust ja mainet.

3. ITJS ülesannete täitmiseks on seatud järgmised infoturbe eesmärgid:

  • tagada ja hallata infoturvet kooskõlas cV Groupi strateegiliste eesmärkidega, mille eesmärk on pakkuda äriühingu teenuseid;
  • tagada ja hallata vastavust välistele ja sisestele infoturbe nõuetele, teostades perioodilisi vastavushindamisi ja kõrvaldades tuvastatud mittevastavused;
  • tagada, et infoturbe rikkumised parandatakse ja nende põhjused kõrvaldatakse, ning rakendada infoturbe intsidentide haldamist;
  • tagada infoturbe- ja haldusmeetmete asjakohane valik ja rakendamine, viies läbi iga-aastase riskianalüüsi ja rakendades vajalikke infoturbe meetmeid;
  • tagada rakendatavate infoturbe meetmete tõhusus;
  • tagada asjakohane äritegevuse järjepidevuse juhtimise kava, vaadates selle perioodiliselt läbi ja testides.

4. Teave on CV Groupi strateegiliselt oluline vara, seetõttu võib selle kaotus, ebaseaduslik muutmine, konfidentsiaalsuse, terviklikkuse või kättesaadavuse rikkumine, avalikustamine või töötlemise lõpetamine häirida CV Groupi tegevust. Seetõttu sätestab käesolev infoturbe haldamise poliitika põhisuunised, mida peavad järgima kõik CV Groupi töötajad, töövõtjad ja teised CV Groupi tegevuses osalevad isikud.

5. Infoturbe haldamise poliitika kehtib kõigi CV Groupi äriprotsesside suhtes, mis on seotud osutatavate teenustega, ning hõlmab suulist ja kirjalikku teavet, infosüsteeme, arvutivõrke, füüsilist keskkonda, virtuaalset keskkonda, töötajaid, seotud osapooli, partnereid, töövõtjaid või muid CV Groupi heaks töötavaid isikuid, sealhulgas kolmandate isikute heaks töötavad töötajad ja isikud, kes töötlevad CV Groupi teavet seaduslikult. 

6. Infoturve hõlmab kolme peamist aspekti: 

  • teabe konfidentsiaalsus – teabe kaitse volitamata avalikustamise eest;
  • teabe terviklikkus – teabe kaitse volitamata või juhuslike muudatuste eest;
  • teabe kättesaadavus – tagamine, et teave on kättesaadav, kui seda on vaja cV Groupi tegevuse nõuetekohaseks teostamiseks.

7. Eeskirjade ja nõuete eesmärk on:

  • kaitsta teabevarasid, sealhulgas erinevatest allikatest ja kolmandatelt isikutelt saadud kliendiandmeid, hõlmates konfidentsiaalsust, terviklikkust, kättesaadavust ning nii materiaalseid (nt arvutid ja sidevahendid, ruumid jne) kui ka immateriaalseid (nt maine, kuvand) aspekte;
  • kehtestada vastutus infoturbe eest;
  • esitada viited infoturbe juhtimissüsteemi moodustavatele turbedokumentidele.

8. ITJSi dokumendid tuleb läbi vaadata vähemalt kord aastas.

9. cV Groupi infoturbe nõuete rakendamine tagatakse ja hallatakse ITJSi järjepideva planeerimise, rakendamise, hindamise ja parendamise kaudu vastavalt ISO/IEC 27001 standardi (ja selle viimaste versioonide) nõuetele.

10. cV Groupi ITJSi sertifitseerimine hõlmab kõiki infotehnoloogia tooteid ja nendega seotud projekte, mis teostatakse selle kontserni raames.

11. cV Groupi infoturbe haldamine põhineb riskijuhtimisel. Infoturbe riskide hindamine aitab tagada, et cV Groupi tegevuses rakendatavad infoturbe haldamise meetmed saavutaksid cV Groupi tegevuse ja infoturbe peamised eesmärgid.

12. cV Groupi infoturbe riskid hinnatakse iga kalendriaasta jooksul vastavalt heakskiidetud riskide hindamise poliitikale. Infoturbe riskide hindamisel tuleb läbi vaadata äriühingu olukord.

13. Käesolev poliitika kehtib ka carVertical OÜ suhtes, mis kohaldab poliitikas kirjeldatud nõudeid kolmandate isikute suhtes.