1. Σκοπός
Ο σκοπός της παρούσας πολιτικής είναι να καθοριστούν οι βασικές αρχές προκειμένου να διασφαλιστούν η Ασφάλεια όλων των Πληροφοριών.
2. Πεδίο Εφαρμογής
Η παρούσα πολιτική εφαρμόζεται σε όλα τα πληροφοριακά συστήματα και επηρεάζει όλους τους υπαλλήλους και όλα τα τρίτα μέρη. Οποιαδήποτε εξαίρεση από την παρούσα Πολιτική Ασφάλειας πρέπει να είναι τεκμηριωμένη και εγκεκριμένη από την Διοίκηση της ABCIT
3. Διαχείριση Αλλαγών και Αναθεωρήσεων
Ο Υπεύθυνος Διαχείρισης Ασφάλειας Πληροφοριών είναι υπεύθυνος για το περιεχόμενο αλλά και την ανασκόπηση της παρούσας πολιτικής. Η παρούσα πολιτική θα ανασκοπείται από τον Υπεύθυνο Διαχείρισης Ασφάλειας Πληροφοριών τουλάχιστον μία φορά το χρόνο και όταν επικαιροποιείται ή αλλάζει/εμπλουτίζεται, θα προκύπτει νέα έκδοση (και σε κάθε περίπτωση η ανασκόπηση της πολιτικής αυτής θα αναφέρεται στην ετήσια Ανασκόπηση από την Διοίκηση), ώστε να τεκμηριωθεί ότι είναι απολύτως συμβατή με τους στόχους αλλά και τις ανάγκες της επιχείρησης. Επίσης η παρούσα Πολιτική δύναται να αναθεωρηθεί όταν αυτό επιβάλλεται από εξωγενείς παράγοντες όπως διάφορα περιστατικά παραβιάσεις ασφαλείας.
4. Συμμόρφωση με την Παρούσα Πολιτική
Η διοίκηση της εταιρείας είναι υπεύθυνη για την εφαρμογή της παρούσας πολιτικής ώστε να διασφαλιστεί ότι όλοι οι εργαζόμενοι την γνωρίζουν αλλά και την αποδέχονται. Όλο το προσωπικό αλλά και τα τρίτα μέρη πρέπει να εφαρμόζουν (οι πρώτοι) και να είναι συμβατοί (οι δεύτεροι) με την παρούσα Πολιτική. Η παραβίαση ή η μη εφαρμογή της παρούσας πολιτικής θα έχει αρνητικό αντίκτυπο το οποίο μπορεί να οδηγήσει σε παραβίαση της εμπιστευτικότητας, της ακεραιότητας, και της διαθεσιμότητας, κάτι το οποίο μπορεί να φανεί καταστροφικό για την ίδια την εταιρεία. Όλες οι παραβιάσεις της παρούσας πολιτικής θα πρέπει να αναφέρονται στη διοίκηση της εταιρείας ώστε να λαμβάνονται όλα τα απαραίτητα μέτρα.
5. Αναλυτική Περιγραφή
- Η παρούσα Πολιτική αποτελεί το βασικότερο σημείο αναφοράς στην εφαρμογή του ISMS της εταιρείας, στα πλαίσια του ISO 27001.
- Όλες οι Διαδικασίες του ISMS αναφέρονται σε αυτήν (άμεσα ή έμμεσα).
- Σε κάθε περίπτωση όλα τα τρίτα μέρη που λειτουργούν για λογαριασμό της εταιρείας (π.χ τεχνικοί) είτε λειτουργούν εντός της εταιρείας εκτελώντας εργασίες για λογαριασμό της, ενημερώνονται για την πολιτική ασφάλειας και τον τρόπο εφαρμογής της.
- Η παρούσα Πολιτική οφείλει να είναι απολύτως συμβατή με το Εθνικό και Κοινοτικό Κανονιστικό Δίκαιο χωρίς καμία απόκλιση, και ειδικότερα τον Κανονισμό Προσωπικών Δεδομένων GDPR. Η εταιρεία οφείλει να κινείται εντός νομοθετικών ορίων.
- Η Διοίκηση δεσμεύεται για την υποστήριξη στην τήρηση και εφαρμογή της Πολιτικής Ασφάλειας, καθώς και να παρέχει τους απαραίτητους πόρους για την εφαρμογή της. Ο Υπεύθυνος Ασφάλειας Πληροφοριών, αντιπροσωπεύει την Διοίκηση της εταιρείας σε θέματα Ασφάλειας Πληροφοριών και αποτελεί βασικό Σύμβουλο της Διοίκησης.
- Ο Υπεύθυνος Ασφάλειας Πληροφοριών πρέπει απαραιτήτως αν έχει γνώση των πληροφοριακών συστημάτων και εφαρμογών της εταιρείας αλλά και την ικανότητα να μετουσιώνει τις πολιτικές ασφάλειας σε διαδικασίες που αναφέρονται σε πληροφορικά συστήματα.
- Εκτός από την υποχρεωτικότητα να ανασκοπείται η παρούσα Πολιτική τουλάχιστον μία φορά ανά έτος, αυτή θα ανασκοπείται και θα αναθεωρείται (αν χρειαστεί) όταν συμβούν ένα από τα εξής περιστατικά:
- Αλλαγές στις Κανονιστικές απαιτήσεις, σε Νόμους που αφορούν την Ασφάλεια Πληροφοριών αλλά και την Ασφάλεια Προσωπικών δεδομένων.
- Σημαντικές αλλαγές στην υλικοτεχνική υποδομή της εταιρείας (σε ότι αφορά τα πληροφοριακά συστήματα).
- Παραβιάσεις Ασφαλείας και γενικά ότι έκτακτο περιστατικό συνέβη και είχε στόχο την κλοπή ή/και καταστροφή των Πληροφοριών και των Συστημάτων που την διαχειρίζονται.
- Όλο το στελεχιακό δυναμικό της ABCIT θα είναι αρωγός στην προσπάθεια εφαρμογής της παρούσας Πολιτικής αλλά και της συνεχούς επικαιροποίησης της (ανάλογα με τις τεχνολογικές εξελίξεις και τις απαιτήσεις των καιρών).
- Η ανάλυση κινδύνων καθώς και τα προληπτικά μέτρα που θα προκύπτουν από αυτήν, θα είναι η κατευθυντήρια γραμμή πάνω στην οποία θα κινείται η παρούσα πολιτική.
- Όλο το στελεχιακό δυναμικό της ABCIT θα λαμβάνει συνεχή εκπαίδευση από εξειδικευμένους του χώρου της Ασφάλειας στον τομέα της πληροφορικής ώστε να έχουν διαρκώς επικαιροποιημένη κατάρτιση.
- Έχει διαμορφώσει ένα πλαίσιο μέσω του οποίου γίνεται εφικτή η δυνατότητα να τεθούν συγκεκριμένοι και ποσοτικά μετρήσιμοι στόχοι που αφορούν την ασφάλεια των πληροφοριών. Οι στόχοι αυτοί με βάση την οργανωτική δομή της εταιρείας και το τι αφορούν εφαρμόζονται στο σύνολο των τμημάτων που εμπλέκονται στις εκάστοτε διαδικασίες. Οι στόχοι αυτοί μπορεί να εμπλουτίζονται και να ανανεώνονται με αντίστοιχες αποφάσεις της Διοίκησης της εταιρείας.
- Η ABCIT εφαρμόζει συγκεκριμένα κριτήρια αξιολόγησης κινδύνων. Τα κριτήρια αυτά καταγράφονται στη μεθοδολογία εκτίμησης κινδύνων της εταιρείας. Βασικό συστατικό της μεθοδολογίας αυτής είναι ο καθορισμός των παγίων της εταιρείας (assets) τα οποία είναι εμπλέκονται στην λειτουργία κάθε έργου και κατόπιν ο προσδιορισμός όλων των κινδύνων που αφορούν τα πάγια αυτά.
- Κάθε πελάτης της ABCIT, απολαμβάνει υψηλά Standards Ασφάλειας, είτε από φυσικό, είτε από τεχνικής φύσεως κίνδυνο, καθώς έχει εγκαταστήσει υψηλής τεχνολογίας εξοπλισμό ελέγχου με απώτερο σκοπό την διασφάλιση των δεδομένων των πελατών της.
- Η ABCIT ευελπιστεί σε ευρύτερη συνεργασία, καθώς μπορεί να εγγυηθεί δύο πολύ βασικές έννοιες: Ποιότητα και Ασφάλεια.
- Με την εφαρμογή του παρόντος Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, η ABCIT έχει τους εξής αντικειμενικούς σκοπούς:
· Διασφάλιση της Ασφάλειας των Πληροφοριών των πελατών αλλά και της Εταιρείας
· Διασφάλισης της Επιχειρησιακής Συνέχειας
· Διασφάλιση τήρησης της Νομοθεσίας, με έμφαση στην ικανοποίηση όλων των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR)