UVODNE DOLOČBE
Ta dokument predstavlja povzetek krovne varnostne politike in povzetek varnostnih kontrol ter postopkov za zagotavljanje informacijske varnosti. Namenjen je poslovnim partnerjem družbe.
Povzetek je za poslovne partnerje družbe dostopen le preko spletne strani družbe. Družba si pridržuje pravico do sprememb vsebine tega dokumenta v skladu z njenimi poslovnimi potrebami, ter standardi na področju informacijske varnosti.
Povzetek je javno dostopen na spletni strani družbe, zato družba poslovnih partnerjev o spremembah ne obvešča.
NAMEN IN CILJI
V družbi se zavedamo, da so za uspešno poslovanje družbe, varne in zanesljive informacije in informacijska sredstva, ključnega pomena. V ta namen družba z organizacijskimi predpisi in delovnimi navodili določa, kako informacijsko premoženje zaščititi.
Namen varnostne politike je ugotoviti pomembnost informacij za poslovanje družbe in jih ustrezno zaščititi v smislu zagotavljanja zaupnosti, celovitosti in razpoložljivosti (CIA).
Cilj varovanja informacij je preprečevati oziroma zmanjšati posledice varnostnih incidentov na najmanjšo možno mero ter zagotavljati neprekinjeno poslovanje.
OBSEG VARNOSTNE POLITIKE
Z varnostno politiko, navodili in postopki varovanja informacij ureja družba vse poslovne procese za zagotavljanje informacijskih storitev družbe.
Pri oblikovanju varnostnih politik, pravil, navodil, izjav in postopkov upoštevamo zlasti: • veljavno nacionalno zakonodajo in zakonodajo EU • ISO/IEC 27001: 2022 standard • varnostne prakse na področju informacijske varnosti, ki so v skladu z zakonodajo.
Krovna in področne politike kot del SUVI, vključujejo postopke varovanja informacij, ki so predstavljeni v štirih področjih standarda varovanja informacij ISO/IEC 27001:2022 ter so skladni s cilji varovanja informacij:
▪ Organizacijski nadzor
▪ Nadzor ljudi
▪ Fizični nadzor
▪ Tehnološki nadzor
KLASIFIKACIJA INFORMACIJ
V družbi smo izvedli klasifikacijo informacij glede na njihov pomen in naravo ter opredelili način upravljanja za vsako stopnjo klasifikacije informacij.
•
POSLOVNO SODELOVANJE
V družbi striktno skrbimo za varovanje informacij in osebnih podatkov tako, da z vsemi subjekti (naročniki, dobavitelji, partnerji, sodelavci) sklepamo Pogodbe o varovanju poslovnih skrivnosti in varovanju osebnih podatkov.
Vstop v prostore družbe
Zunanje osebe, ki so dogovorile sestanek v naši družbi, sprejmemo pri vhodu v prostore družbe in jihodpeljemo v sejno sobo, kjer potekajo vsi sestanki z zunanjimi osebami.
Po končanem sestanku, zunaje osebe pospremimo do izhoda.
Poslovna skrivnost
Podatke, ki so poslovna skrivnost družbe, morajo varovati tudi osebe zunaj družbe, če so vedele ali če bi glede na naravo podatka morale vedeti, da je podatek poslovna skrivnost. Prepovedano je ravnanje, s katerim bi osebe zunaj družbe poskušale v nasprotju z zakonom in voljo družbe pridobiti podatke, ki so poslovna skrivnost družbe.
Zunanje osebe, ki na kakršenkoli način sodelujejo z družbo in se zaradi tega sodelovanja lahko seznanijo s podatki opredeljenimi kot poslovna skrivnost se morajo zavezati k varovanju poslovne skrivnosti. V ta namen mora vsak zunanji pogodbeni izvajalec pred seznanitvijo s podatki, ki so opredeljeni kot poslovna skrivnost podpisati Izjavo o varovanju poslovne skrivnosti.
Prepovedano je ravnanje, s katerim bi osebe zunaj družbe poskušale v nasprotju z zakonom in voljo družbe pridobiti podatke, ki so poslovna skrivnost družbe.
Varovanje osebnih podatkov
V družbi izvajamo ukrepe za preprečevanje uhajanja podatkov za sisteme, omrežja in vse druge naprave, ki obdelujejo, shranjujejo ali prenašajo občutljive podatke, zaradi odkrivanja in preprečevanja nepooblaščenega razkrivanja in pridobivanja informacij s strani posameznikov ali sistemov.
Ti ukrepi obsegajo širok spekter tehničnih, organizacijskih in pravnih ukrepov, ki so zasnovani za preprečevanje nepooblaščenega dostopa, uporabe, razkrivanja, spreminjanja ali uničenja podatkov.
UPRAVLJANJE TVEGANJ
V izogib oziroma z namenom zmanjšanja morebitnih posledic, smo identificirali tveganja in določiti morebitne grožnje, ki bi lahko privedle do izgube zaupnosti, celovitosti in razpoložljivosti informacijskega sredstva.
Družba ima vzpostavljen sistem identifikacije varnostnih kontrol, s katerimi zmanjšujemo ranljivosti.
ODGOVORNOSTI IN PRISTOJNOSTI
Vodstvo družbe je odgovorno za vpeljavo sistema vodenja varovanja informacij, za spremljanje in nadziranje učinkovitosti varnostnih ukrepov in postopkov. Za upoštevanje in izvajanje posameznih varnostnih ukrepov in postopkov so zadolženi vsi zaposleni, vodstvo podjetja pa je odgovorno za izvajanje varnostne politike v celoti in za zagotovitev potrebnih finančnih in človeških virov.
V proces stalnega izboljševanja varnosti informacij in informacijskih sredstev so vključeni vsi zaposleni. Naloga odgovorne osebe je, da zaposlene ustrezno seznani z varnostnimi zahtevami in kontrolami ter jih usposobi za varno uporabo informacij, informacijskih sredstev in naprav informacijske tehnologije.
VZDRŽEVANJE VARNOSTNE POLITIKE
Ob spremembah zakonodaje, pojavu novih groženj, novih varnostnih incidentov, spremembah organizacijske ali tehnične infrastrukture, ki vplivajo na varovanje informacij in informacijskih sistemov, družba sistem varovanja informacij nenehno prilagaja z uvajanjem novih in dopolnjevanjem obstoječih varnostnih ukrepov in postopkov.
UPRAVLJANJE Z VARNOSTNIMI INCIDENTI
Družba je s politiko upravljanja incidentov vzpostavila varnostne mehanizme pri odpravi oziroma zmanjšanju nezaželenih posledic incidentov pri izvajanju poslovanja. Družba je v politiki upravljanja incidentov opredelila, da bo incidente reševala glede na kritičnost posameznega incidenta in v skladu s sprejetimi politikami varovanja informacij in neprekinjenega poslovanja ter zakonodajo.
Družba je za področje varovanja informacij določila skrbnika Sistema upravljanja varnosti informacij (SUVI), kateremu so dolžni vsi zaposleni in pogodbeni sodelavci prijaviti zaznane varnostne dogodke in incidente.
Skrbnik SUVI mora v skladu s sprejetimi akti in svojimi pooblastili beležiti vse podatke o prijavljenih dogodkih in incidentih, voditi evidenco incidentov in skupaj z zaposlenimi in s pogodbenimi sodelavci izvajati aktivnosti odprave oziroma zmanjšanja posledic incidentov.
KOMUNICIRANJE
Za izmenjavo informacij uporabljamo različne komunikacijske zmogljivosti, od elektronske pošte, nalaganja z interneta, uporabe telefonov, do uporabe različnih nosilcev podatkov.
Pri izmenjavi informacij zagotavljamo zaščito informacij pred prestrezanjem, kopiranjem, spreminjanjem, napačnim usmerjanjem in uničenjem ter jih ščitimo pred zlonamerno kodo.
Za zaščito zaupnosti in celovitosti zaupnih informacij po potrebi uporabljamo kriptografske tehnike.
NADZOR DOSTOPA
Fizični dostop do varovanih območij, kjer se nahajajo podatki in dokumenti ter informacijska in komunikacijska oprema, se omejuje z ukrepi, ki zagotavljajo primerno varovanje informacij in premoženja podjetja.
Uporabniki tretjih strank morajo ob prenehanju pogodbe ali sporazuma, vrniti vsa sredstva v naši lasti, ki lahko obsegajo prejeto programsko opremo, strojno opremo, dokumente in ostala sredstva.
Uporabniki tretjih strank morajo ob koncu sodelovanja vrniti vse pravice do dostopa. V kolikor je pogodbenik ali uporabnik tretje stranke uporabljal gesla za račune, ki ostajajo aktivni, ta gesla spremenimo.
Pravice do dostopa lahko zmanjšamo ali odvzamemo tudi pred samim formalnim zaključkom sodelovanja.
NEPREKINJENO POSLOVANJE
Za ustrezno upravljanje neprekinjenega poslovanja je družba vzpostavila strategije neprekinjenega poslovanja, ki opredeljujejo postopke v primeru incidentov.
Družba zagotavlja redna testiranja in preglede politike neprekinjenega poslovanja. S testiranjem neprekinjenega poslovanja zagotavljamo, da poznajo to politiko in svoje odgovornosti v zvezi s tem vsi člani skupine za reševanje krizne situacije, po potrebi pa tudi drugo osebje naše družbe.
SPREMLJANJE ZAKONODAJE
V družbi redno spremljamo področno zakonodajo kot tudi zakonodajo, ki ureja varovanje osebnih podatkov, poslovno skrivnost in informacijsko varnost. S spremembami redno seznanjamo vse zaposlene, po potrebi pa tudi partnerje.
OBJAVA IN VELJAVNOST DOKUMENTA
Ta dokument je objavljen na spletni družbe in velja od dneva objave.
Datum objave: 7. 3. 2025
Direktorica družbe