carVertical

Informationssäkerhetspolicy

1. Informationssäkerhetspolicyn (nedan kallad Policyn) är ett huvuddokument i ledningssystemet för informationssäkerhet (nedan kallat ISMS) hos UAB ”cV Group” (nedan kallat cV Group eller Företaget). ISMS-dokumenten och/eller delar av dem finns tillgängliga för de parter som berörs av cV Groups information.

2. Syftet med denna policy är att redogöra CV Groups ledningens ståndpunkt i informationssäkerhetsfrågor och att skydda all muntlig, skriftlig och elektronisk information som tas emot, skickas, skapas, bearbetas och används av cV Group, mot alla möjliga hot: externa, interna, avsiktliga eller oavsiktliga som kan påverka cV Groups verksamhet och rykte.

3. Följande informationssäkerhetsmål har fastställts för genomförandet av ISMS syften:

  • Att säkerställa och hantera informationssäkerhet med beaktande av cV Groups strategiska mål som syftar till att tillhandahålla företagets tjänster
  • Att säkerställa och hantera efterlevnad av externa och interna informationssäkerhetskrav genom regelbundna bedömningar av överensstämmelse och eliminering av identifierade avvikelser
  • Att se till att brott mot informationssäkerheten åtgärdas och att deras orsaker elimineras och att hanteringen av informationssäkerhetsincidenter genomförs
  • Att säkerställa ett lämpligt val och genomförande av informationssäkerhets- och hanteringsåtgärder genom den årliga riskbedömningen och genomförandet av nödvändiga informationssäkerhetsåtgärder
  • Att säkerställa att de informationssäkerhetsåtgärder som tillämpas är effektiva
  • Att säkerställa en lämplig plan för kontinuitetshantering i verksamheten genom att regelbundet granska och testa den

4. Informationen är en strategiskt viktig tillgång för cV Groups verksamhet och därför kan dess förlust, obehörig ändring, kränkning av dess sekretess, integritet eller tillgänglighet, avslöjande eller upphörande av dess behandling störa CV-koncernens verksamhet. Denna policy för hantering av informationssäkerheten fastställer därför de viktigaste riktlinjer som cV Groups alla anställda, leverantörer och andra relaterade parter måste följa.

5. Policyn för hantering av informationssäkerheten gäller alla verksamhetsprocesser inom cV Group relaterade till de tjänster som tillhandahålls och omfattar muntlig och skriftlig information, informationssystem, datanätverk, fysisk miljö, virtuell miljö, anställda, relaterade parter, partners, leverantörer eller andra personer som arbetar för cV Group, inklusive anställda som arbetar för tredje man och de som behörigt behandlar cV Groups information.

6. Informationssäkerheten omfattar tre huvudaspekter:

  • Informationssekretess: skydd av information mot obehörigt avslöjande
  • Informationsintegritet: skydd av information mot obehöriga eller oavsiktliga ändringar
  • Informationstillgänglighet: att se till att informationen är tillgänglig när det är nödvändigt för att cV Groups verksamhet ska kunna drivas på rätt sätt.

7. Syftet med reglerna och kraven är följande:

  • Att skydda informationstillgångar, inklusive kunddata från olika källor och från tredje man, inklusive sekretess, integritet, tillgänglighet och både materiella (t.ex. datorer och kommunikationsenheter, lokaler osv.) och immateriella (t.ex. rykte, image) aspekter
  • Att fastställa ansvaret för informationssäkerhet
  • Att tillhandahålla länkar till säkerhetsdokument som utgör ledningssystem för informationssäkerhet

8. ISMS-dokumenten ska granskas minst en gång om året.

9. Implementering av cV Groups informationssäkerhetskrav säkerställs och hanteras genom en konsekvent planering, implementering, utvärdering och förbättring av ISMS i enlighet med kraven i ISO/IEC 27001-standarden (och dess senaste versioner).

10. cV Groups ISMS-certifiering omfattar alla IT-produkter och relaterade projekt inom koncernföretagen.

11. cV Groups hantering av informationssäkerhet bygger på riskhantering. Riskbedömning av informationssäkerheten bidrar till att säkerställa att de åtgärder för hantering av informationssäkerheten som tillämpas i cV Groups verksamhet uppnår de viktigaste målen för CV Groups verksamhet och informationssäkerhet.

12. cV Groups informationssäkerhetsrisk ska bedömas varje kalenderår i enlighet med den godkända riskbedömningspolicyn. Företagets situation bör granskas i samband med riskbedömningen av informationssäkerheten.

13. Denna policy gäller även carVertical OÜ som tillämpar de krav som beskrivs i Policyn gentemot tredje man.