carVertical

Politika informacijske varnosti

1. Pravilnik o informacijski varnosti (v nadaljevanju – Pravilnik) je glavni dokument sistema upravljanja informacijske varnosti (v nadaljevanju - ISMS) družbe UAB cV Group (v nadaljevanju - cV Group ali Družba). Dokumenti ISMS in/ali njihovi posamezni deli se lahko posredujejo strankam, povezanim z informacijami družbe cV Group.

2. Namen pravilnika je predstaviti stališče vodstva družbe cV Group do informacijske varnosti in zaščititi vse ustne, pisne in elektronske informacije, ki jih družba cV Group prejme, pošlje, ustvari, upravlja in uporablja, pred vsemi možnimi grožnjami: zunanjimi, notranjimi, namernimi ali naključnimi, ki lahko vplivajo na dejavnosti in ugled družbe cV Group.

3. Za izvajanje ciljev sistema ISMS so določeni naslednji cilji informacijske varnosti:

  • zagotavljanje in upravljanje informacijske varnosti ob upoštevanju strateških ciljev družbe cV Group za zagotavljanje njenih storitev;
  • zagotavljanje in upravljanje skladnosti z zunanjimi in notranjimi zahtevami glede informacijske varnosti z rednim ocenjevanjem skladnosti in odpravljanjem ugotovljenih neskladij;
  • zagotavlja reševanje kršitev informacijske varnosti in odpravljanje njihovih vzrokov ter izvaja upravljanje incidentov informacijske varnosti;
  • zagotavljanje ustrezne izbire in izvajanja ukrepov za varnost in obdelavo informacij, izvajanje letne ocene tveganja in izvajanje zahtevanih ukrepov za varnost informacij;
  • zagotavljanje učinkovitosti uporabljenih ukrepov informacijske varnosti;
  • zagotavljanje ustreznosti načrta upravljanja neprekinjenega poslovanja z rednim pregledovanjem in preizkušanjem načrta.

4. Informacije so strateško pomembno sredstvo za poslovanje družbe cV Group, zato lahko njihova izguba, nezakonito spreminjanje, poškodovanje, razkritje ali prekinitev obdelave informacij povzročijo motnje v poslovanju družbe cV Group. Zato ta pravilnik upravljanja informacijske varnosti določa osnovne smernice, ki jih morajo upoštevati vsi zaposleni v družbi cV Group, izvajalci in druge povezane stranke, ki poslujejo z družbo cV Group.

5. Pravilnik upravljanja informacijske varnosti se uporablja za vse poslovne procese družbe cV Group, povezane z opravljenimi storitvami, in vključuje ustne in pisne informacije, informacijske sisteme, računalniška omrežja, fizično okolje, virtualno okolje, zaposlene, povezane stranke, partnerje, izvajalce ali druge osebe, zaposlene v družbi cV Group, vključno z zaposlenimi, ki delajo za tretje osebe, in tistimi, ki zakonito obdelujejo podatke družbe cV Group.

6. Informacijska varnost vključuje tri glavne vidike:

  • zaupnost informacij – zaščita informacij pred nepooblaščenim razkritjem;
  • celovitost informacij – zaščita informacij pred nepooblaščenimi ali naključnimi spremembami;
  • dostopnost informacij – zagotavljanje, da so informacije dostopne, ko so potrebne za pravilno izvajanje dejavnosti družbe cV Group.

7. Namen predpisov je:

  • zaščititi svoja informacijska sredstva, vključno s podatki o strankah, prejetimi iz različnih virov in tretjih oseb, kar zajema zaupnost, integriteto, dostopnost ter tako oprijemljive (npr. računalniške in komunikacijske naprave, prostori itd.) kot nematerialne (npr. ugled, podoba) vidike;
  • določiti odgovornost za informacijsko varnost;
  • zagotoviti sklice na varnostne dokumente, ki sestavljajo sistem upravljanja informacijske varnosti.

8. Dokumente ISMS je treba pregledati vsaj enkrat na leto.

9. Izvajanje zahtev za informacijsko varnost družbe cV Group se zagotavlja in upravlja z doslednim načrtovanjem, izvajanjem, ocenjevanjem in izboljševanjem sistema ISMS v skladu z zahtevami standarda ISO/IEC 27001 (in njegovih najnovejših različic).

10. Področje certificiranja ISMS družbe cV Group vključuje vse izdelke informacijske tehnologije in z njimi povezane projekte v skupini podjetij.

11. Upravljanje informacijske varnosti v družbi cV Group temelji na upravljanju tveganj. Ocena tveganja informacijske varnosti ustvarja pogoje za ukrepe upravljanja informacijske varnosti, ki se uporabljajo pri poslovanju družbe cV Group, da se izpolnijo glavni cilji dejavnosti družbe cV Group in informacijske varnosti.

12. Tveganja informacijske varnosti družbe cV Group se ocenijo vsako koledarsko leto v skladu z odobreno politiko ocenjevanja tveganj. Med ocenjevanjem tveganja informacijske varnosti je treba pregledati kontekst podjetja.

13. Pravilnik velja tudi za carVertical OÜ, ki uporablja zahteve za tretje osebe, kot je opisano v Politiki.