carVertical

Informacijos saugumo politika

1. Informacijos saugumo politika (toliau – Politika) – pagrindinis UAB „cV Group“ (toliau – „cV Group“ arba Bendrovė) informacinio saugumo valdymo sistemos (toliau – ISVS) dokumentas. Su ISVS dokumentais ir (arba) jų dalimis susipažinti gali su „cV Group“ informacija susijusios šalys.

2. Šios Politikos tikslas – išdėstyti „cV Group“ vadovybės poziciją informacijos saugumo klausimais ir apsaugoti visą „cV Group“ gaunamą, siunčiamą, kuriamą, tvarkomą ir naudojamą žodinę, rašytinę ir elektroninę informaciją nuo visų galimų grėsmių: išorinių, vidinių, tyčinių ar atsitiktinių, kurios gali turėti įtakos „cV Group“ veiklai ir reputacijai.

3. ISVS uždaviniams įgyvendinti nustatyti šie informacijos saugumo tikslai:

  • užtikrinti ir valdyti informacijos saugumą, atsižvelgiant į „cV Group“ strateginius tikslus, kuriais siekiama teikti Bendrovės paslaugas;
  • atliekant periodiškus atitikties vertinimus ir pašalinant nustatytus neatitikimus, užtikrinti ir valdyti atitiktį išorės ir vidaus informacijos saugumo reikalavimams;
  • užtikrinti, kad informacijos saugumo pažeidimai būtų ištaisyti, o jų priežastys ̶̶ pašalintos ir įgyvendinti informacijos saugumo incidentų valdymą;
  • atliekant metinį rizikos vertinimą ir įgyvendinant reikiamas informacijos saugumo priemones, užtikrinti tinkamą informacijos saugumo ir tvarkymo priemonių parinkimą ir įgyvendinimą;
  • užtikrinti taikomų informacijos saugumo priemonių veiksmingumą;
  • užtikrinti tinkamą veiklos tęstinumo valdymo planą, periodiškai jį peržiūrint ir testuojant.

4. Informacija – strategiškai svarbus „cV Group“ veiklos turtas, todėl ją praradus, neteisėtai pakeitus, pažeidus jos konfidencialumų, vientisumą ar prieinamumą, ją atskleidus ar nutraukus jos tvarkymą gali sutrikti „cV Group“ veikla. Dėl to ši informacijos saugumo valdymo politika nustato pagrindines gaires, kurių privalo laikytis visi „cV Group“ darbuotojai, rangovai ir kitos su „cV Group“ reikalų turinčios susijusios šalys.

5. Informacijos saugumo valdymo politika taikoma visiems „CV Group“ veiklos procesams, susijusiems su teikiamomis paslaugomis, ir apima žodinę bei rašytinę informaciją, informacines sistemas, kompiuterinius tinklus, fizinę aplinką, virtualią aplinką, darbuotojus, susijusias šalis, partnerius, rangovus ar kitus „cV Group“ dirbančius asmenis, įskaitant trečiosioms šalims dirbančius darbuotojus ir tuos, kurie teisėtai tvarko „cV Group“ informaciją.

6. Informacijos saugumas apima tris pagrindinius aspektus:

  • informacijos konfidencialumą – informacijos apsaugą nuo neteisėto atskleidimo;
  • informacijos vientisumą – informacijos apsaugą nuo neteisėtų ar atsitiktinių pakeitimų;
  • informacijos prieinamumą – užtikrinimą, kad informacija būtų prieinama, kai ji reikalinga tinkamam „cV Group“ veiklos vykdymui.

7. Taisyklių ir reikalavimų tikslas yra:

  • apsaugoti informacinį turtą, įskaitant iš įvairių šaltinių ir trečiųjų šalių gautus klientų duomenis, apimant konfidencialumą, vientisumą, prieinamumą ir tiek materialius (pvz., kompiuteriai ir ryšio įrenginiai, patalpos ir kt.), tiek nematerialius (pvz., reputacija, įvaizdis) aspektus;
  • nustatyti atsakomybę už informacijos saugumą;
  • pateikti nuorodas į saugumo dokumentus, sudarančius informacijos saugumo valdymo sistemą.

8. ISVS dokumentai turi būti peržiūrimi ne rečiau kaip kartą per metus.

9. „cV Group“ informacijos saugumo reikalavimų įgyvendinimas užtikrinamas ir valdomas nuosekliai planuojant, įgyvendinant, vertinant ir tobulinant ISVS pagal ISO/IEC 27001 standarto (ir jo naujausių versijų) reikalavimus.

10. „cV Group“ ISVS sertifikavimas apima visus informacinių technologijų produktus ir susijusius šioje įmonių grupėje vykdomus projektus.

11. „cV Group“ informacijos saugumo valdymas pagrįstas rizikos valdymu. Informacijos saugumo rizikos vertinimas padeda užtikrinti, kad „cV Group“ veikloje taikomomis informacijos saugumo valdymo priemonėmis būtų pasiekti pagrindiniai „cV Group“ veiklos ir informacijos saugumo tikslai.

12. „cV Group“ informacijos saugumo rizika vertinama kiekvienais kalendoriniais metais pagal patvirtintą rizikos vertinimo politiką. Atliekant informacijos saugumo rizikos vertinimą, turėtų būti peržiūrima Bendrovės situacija. 

13. Ši Politika taip pat taikoma „carVertical OÜ“, kuri taiko Politikoje aprašytus reikalavimus trečiosioms šalims.