carVertical

Zásady informačnej bezpečnosti

1. Zásady informačnej bezpečnosti (ďalej len „zásady“) sú hlavným dokumentom systému riadenia informačnej bezpečnosti (ďalej len „ISMS“) spoločnosti UAB cV Group (ďalej len „cV Group“ alebo „spoločnosť“). Dokumenty ISMS a/alebo ich samostatné časti môžu byť sprístupnené stranám, ktoré súvisia s informáciami spoločnosti cV Group.

2. Cieľom zásad je prezentovať postoj vedenia spoločnosti cV Group k informačnej bezpečnosti a chrániť všetky verbálne, písomné a elektronické informácie, ktoré skupina cV Group prijíma, odosiela, vytvára, spravuje a používa, pred všetkými možnými hrozbami: vonkajšími, vnútornými, úmyselnými alebo náhodnými, ktoré môžu ovplyvniť činnosť a dobré meno spoločnosti cV Group.

3. Na realizáciu cieľov ISMS sú stanovené tieto ciele informačnej bezpečnosti:

  • zabezpečiť a riadiť informačnú bezpečnosť s ohľadom na strategické ciele spoločnosti cV Group pri poskytovaní jej služieb;
  • zabezpečenie a riadenie súladu s externými a internými požiadavkami na informačnú bezpečnosť vykonávaním pravidelného hodnotenia súladu a odstraňovaním zistených nezrovnalostí;
  • zabezpečiť riešenie porušení informačnej bezpečnosti a odstránenie ich príčin, implementovať riadenie incidentov informačnej bezpečnosti;
  • zabezpečiť vhodný výber a implementáciu opatrení na zabezpečenie a spracovanie informácií, vykonanie ročného posudzovania rizík a implementáciu požadovaných opatrení na informačnú bezpečnosť;
  • zabezpečiť účinnosť uplatňovaných opatrení informačnej bezpečnosti;
  • zabezpečiť primeranosť plánu riadenia kontinuity obchodných činností jeho pravidelným preskúmavaním a testovaním.

4. Informácie sú strategicky dôležitým aktívom pre činnosť spoločnosti cV Group, preto ich strata, nezákonná zmena, poškodenie, zverejnenie alebo ukončenie spracovania informácií môže spôsobiť narušenie činnosti spoločnosti cV Group. Z tohto dôvodu tieto zásady riadenia informačnej bezpečnosti stanovujú základné usmernenia, ktoré sa zaväzujú dodržiavať všetci zamestnanci, dodávatelia a iné súvisiace strany, ktoré obchodujú so spoločnosťou cV Group.

5. Zásady riadenia informačnej bezpečnosti sa vzťahujú na všetky obchodné procesy spoločnosti cV Group súvisiace s poskytovanými službami a zahŕňajú verbálne a písomné informácie, informačné systémy, počítačové siete, fyzické prostredie, virtuálne prostredie, zamestnancov, súvisiace osoby, partnerov, dodávateľov alebo iné osoby pracujúce v spoločnosti cV Group vrátane zamestnancov pracujúcich pre tretie strany a tých, ktorí legálne spracúvajú informácie spoločnosti cV Group.

6. Informačná bezpečnosť zahŕňa tri hlavné aspekty:

  • dôvernosť informácií – ochrana informácií pred neoprávneným zverejnením;
  • integrita informácií – ochrana informácií pred neoprávnenou alebo náhodnou zmenou;
  • prístupnosť informácií – zabezpečenie dostupnosti informácií, keď sú potrebné na riadny výkon činností spoločnosti cV Group.

7. Účelom nariadení je:

  • chrániť svoje informačné aktíva vrátane údajov klientov získaných z rôznych zdrojov a od tretích strán, pričom tieto aspekty zahŕňajú dôvernosť, integritu, dostupnosť a hmotné (napr. počítačové a komunikačné zariadenia, priestory atď.) aj nehmotné (napr. povesť, imidž) aspekty;
  • určiť zodpovednosť za informačnú bezpečnosť;
  • poskytnúť odkazy na bezpečnostné dokumenty, ktoré tvoria systém riadenia informačnej bezpečnosti.

8. Dokumenty ISMS sa musia revidovať aspoň raz ročne.

9. Implementácia požiadaviek na informačnú bezpečnosť spoločnosti cV Group sa zabezpečuje a riadi prostredníctvom dôsledného plánovania, implementácie, hodnotenia a zlepšovania ISMS v súlade s požiadavkami normy ISO/IEC 27001 (ako aj jej najnovších verzií)

10. Rozsah certifikácie ISMS spoločnosti cV Group zahŕňa všetky produkty informačných technológií a súvisiace projekty v skupine spoločností.

11. Riadenie informačnej bezpečnosti v spoločnosti cV Group je založené na riadení rizík. Posúdenie rizík informačnej bezpečnosti vytvára podmienky pre opatrenia riadenia informačnej bezpečnosti uplatňované v obchodnej činnosti spoločnosti cV Group na splnenie hlavných cieľov činností spoločnosti cV Group a informačnej bezpečnosti.

12. Riziká informačnej bezpečnosti spoločnosti cV Group sa hodnotia každý kalendárny rok podľa schválených zásad posudzovania rizík. Počas posudzovania rizík v oblasti informačnej bezpečnosti by sa malo vykonať preskúmanie kontextu spoločnosti.

13. Zásady sa vzťahujú aj na spoločnosť carVertical OÜ, ktorá uplatňuje požiadavky na tretie strany, ako je opísané v týchto zásadách.