carVertical

Politika informacijske sigurnosti

1. Politika informacijske sigurnosti (u daljnjem tekstu: Politika) predstavlja glavni dokument sustava upravljanja informacijskom sigurnošću (u daljnjem tekstu: SUIS) društva UAB „cV Group“ (u daljnjem tekstu: „cV Group“, ili Društvo). Stranke povezane s informacijama „cV Group“ mogu se upoznati s dokumentima koji se odnose na SUIS i/ili njihovim dijelovima.

2. Svrha ove Politike je utvrđivanje stava uprave „cV Group“ o pitanjima informacijske sigurnosti te osiguranje zaštite svih usmenih, pisanih i elektroničkih informacija koje „cV Group“ prima, šalje, stvara, obrađuje i koristi od svih mogućih prijetnji, i to: od vanjskih, unutarnjih, namjernih ili slučajnih prijetnji, koje mogu utjecati na djelatnost i ugled „cV Group“.

3. Za provedbu zadataka u okviru SUIS-a postavljeni su sljedeći ciljevi informacijske sigurnosti:

  • osiguranje i upravljanje informacijskom sigurnošću, uzimajući u obzir strateške ciljeve „cV Group“, koji su usmjereni na pružanje usluga Društva;
  • osiguranje i upravljanje usklađenošću s vanjskim i unutarnjim zahtjevima informacijske sigurnosti provođenjem periodičnih procjena usklađenosti i uklanjanjem utvrđenih neusklađenosti;
  • osiguranje ispravljanja kršenja informacijske sigurnosti i uklanjanje njihovih uzroka te provođenje upravljanja incidentima informacijske sigurnosti;
  • osiguranje odgovarajućeg odabira i provedbe mjera informacijske sigurnosti i obrade provođenjem godišnje procjene rizika i provedbom potrebnih mjera informacijske sigurnosti;
  • osiguranje učinkovitosti primijenjenih mjera informacijske sigurnosti;
  • osiguranje odgovarajućeg plana upravljanja kontinuitetom poslovanja periodičnim pregledom i testiranjem.

4. Informacije predstavljaju strateški važnu imovinu poslovanja, stoga gubitak informacija, neovlaštena izmjena istih, kršenje njihove povjerljivosti, integriteta ili dostupnosti, otkrivanje ili prekid obrade istih mogu dovesti do poremećaja djelatnosti „cV Group“. Stoga predmetna politika upravljanja informacijskom sigurnošću utvrđuje osnovne smjernice kojih se moraju pridržavati svi zaposlenici i izvođači radova u „cV Group“, a također ostale povezane stranke koje posluju s „cV Group“.

5. Politika upravljanja informacijskom sigurnošću primjenjuje se na sve poslovne procese „CV Group“ koji su povezani s pruženim uslugama i uključuje usmene i pisane informacije, informacijske sustave, računalne mreže, fizičko okruženje, virtualno okruženje, zaposlenike, povezane stranke, partnere, izvođače radova ili druge osobe koje rade za „cV Group“, uključujući zaposlenike koji rade za treće stranke i one koji na zakoniti način obrađuju informacije „cV Group“.

6. Informacijska sigurnost uključuje tri sljedeća glavna aspekta:

  • povjerljivost informacija – zaštita informacija od neovlaštenog otkrivanja;
  • cjelovitost informacija – zaštita informacija od neovlaštenih ili slučajnih promjena;
  • dostupnost informacija – osiguranje dostupnosti informacija kada su iste potrebne za pravilno vođenje djelatnosti „cV Group“.

7. Svrha pravila i zahtjeva je sljedeća:

  • zaštita informacijske imovine, uključujući podatke o klijentima dobivene iz različitih izvora i od trećih stranaka, što obuhvaća povjerljivost, cjelovitost, dostupnost te materijalne (npr. računala i komunikacijski uređaji, prostorije itd.) i nematerijalne (npr. ugled, imidž) aspekte;
  • utvrđivanje odgovornosti za sigurnost informacija;
  • dostavljanje referenca na dokumente o sigurnosti koji čine sustav upravljanja informacijskom sigurnošću.

8. Pregled dokumenata koji su povezani sa SUIS-om mora se vršiti barem jednom godišnje.

9. Provedba zahtjeva „cV Group“ za informacijsku sigurnost osigurava se i upravlja dosljednim planiranjem, implementacijom, procjenom i poboljšanjem SUIS-a u skladu sa zahtjevima norme ISO/IEC 27001 (i njezinih najnovijih verzija).

10. Certificiranje SUIS-a „cV Group“ pokriva sve proizvode informacijske tehnologije i povezane projekte koji se provode unutar ove grupacije.

11. Upravljanje informacijskom sigurnošću „cV Group“ temelji se na upravljanju rizicima. Procjena rizika informacijske sigurnosti pomaže osigurati da mjere i alati za upravljanje informacijskom sigurnošću koji se primjenjuju u poslovnom djelatnosti „cV Group“ postižu glavne ciljeve poslovanja i informacijske sigurnosti „cV Group“.

12. Rizik informacijske sigurnosti „cV Group“ procjenjuje se svake kalendarske godine u skladu s odobrenom politikom procjene rizika. Prilikom provođenja procjene rizika informacijske sigurnosti mora se obaviti pregled situacije u Društvu.

13. Ova Politika se također primjenjuje u „carVertical OÜ“, koje primjenjuje zahtjeve opisane u Politici na treće stranke.