Latest Arrivals
Bestsellers
1000's NEW lines now discounted
Delivery
Sign Up TO OUR EMAILS

Polityka Bezpieczeństwa Informacji

Niniejsza Polityka bezpieczeństwa informacji to podstawowy element ramowego systemu zarządzania bezpieczeństwem informacji w Yours Clothing Limited.

Systemy zarządzania danymi osobowymi i systemy informatyczne są niezbędne firmie do prowadzenia działalności. Zdarzenia związane z utratą poufności, integralności lub ujawnieniem danych mogą być kosztowne. Poważne zdarzenia, np. niewywiązywanie się z obowiązków wynikających z przepisów prawa o ochronie informacji, mogą zaszkodzić reputacji firmy.

1.1. Założenia

Założenia Polityki bezpieczeństwa informacji firmy Yours Clothing Limited:

  • Poufność - dane są chronione przed niepowołanym dostępem, a dostęp do nich mają wyłącznie osoby upoważnione.

  • Integralność – informacje są kompletne i dokładne. Wszystkie systemy, zasoby i sieci działają poprawnie i zgodnie ze specyfikacjami.

  • Zarządzanie ryzykiem - podejmowane są odpowiednie działania, aby ograniczać ryzyko udostępnienia i ujawnienia informacji.

  • Zgodność – zapewniona jest zgodność z obowiązującym prawem, regulacjami i warunkami umów.

*Niestosowanie się do Polityki bezpieczeństwa informacji firmy Yours Clothing Limited może poskutkować działaniami dyscyplinarnymi.

1.2. Cele

Celem niniejszej Polityki jest zapewnienie bezpieczeństwa informacji osób, systemów informatycznych, aplikacji i sieci należących lub wykorzystywanych przez firmę Yours Clothing Limited poprzez:

  • Upewnienie się, że wszyscy pracownicy znają odpowiednie przepisy prawa i ich przestrzegają, jak opisano w niniejszej Polityce i innych odpowiednich dokumentach.

  • Wyjaśnienie podstawowych zasad bezpieczeństwa oraz sposobu ich stosowania w firmie.

  • Upewnienie się, że wszyscy pracownicy w pełni rozumieją obowiązki, jakie na nich spoczywają w zakresie spójnego podejścia do kwestii bezpieczeństwa.

  • Kształtowanie i utrzymywanie świadomości związanej z zapewnieniem bezpieczeństwa informacji – integralnej części codziennej pracy.

  • Ochronę zasobów informacyjnych firmy.

1.3. Zakres

  • Ta Polityka dotyczy wszystkich informacji, systemów informatycznych, sieci, aplikacji, lokalizacji i użytkowników Yours Clothing Limited oraz zasobów udostępnionych w ramach umowy.

2.1. Obowiązek zapewnienia bezpieczeństwa informacji w całości spoczywa na Zarządzie firmy Yours Clothing. Zarząd jest odpowiedzialny za nadzorowanie i wdrożenie niniejszej polityki oraz wynikających z niej procedur.

2.2. Na bezpośrednich przełożonych spoczywa obowiązek upewnienia się, że ich pracownicy (etatowi i tymczasowi) oraz podwykonawcy znają:

  • Zagadnienia Polityki bezpieczeństwa informacji, które mają zastosowanie w ich dziale.

  • Swoje obowiązki w kwestii bezpieczeństwa informacji.

  • Miejsce i sposób uzyskania porady w kwestiach związanych z bezpieczeństwem informacji.

2.3. Wszyscy pracownicy mają obowiązek przestrzegania procedur bezpieczeństwa w tym również tych dotyczących zachowania poufności i integralności danych.

2.4. Polityka bezpieczeństwa informacji będzie podlegała corocznemu przeglądowi i aktualizacji.

2.5. Bezpośredni przełożeni są odpowiedzialni za bezpieczeństwo środowisk fizycznych, w których dane są udostępniane, przetwarzane lub przechowywane.

2.6. Wszyscy pracownicy są odpowiedzialni za bezpieczeństwo operacyjne wykorzystywanych systemów informatycznych.

2.7. Wszyscy użytkownicy systemu mają obowiązek stosowania się do obowiązujących wymogów bezpieczeństwa oraz dbania o przestrzeganie wysokich standardów w zakresie poufności, integralności i dostępności wykorzystywanych przez nich informacji.

2.8. Przed uzyskaniem dostępu do systemów informatycznych firmy zewnętrzni podwykonawcy muszą podpisać stosowne umowy. W świetle tych umów pracownicy i zewnętrzni podwykonawcy mają obowiązek przestrzegać wszystkich odpowiednich regulaminów dotyczących bezpieczeństwa.

3.1. Firma Yours Clothing Limited jest zobowiązana do przestrzegania stosownego prawa obowiązującego w Wielkiej Brytanii i Unii Europejskiej. Obowiązek przestrzegania przepisów spoczywa również na pracownikach i przedstawicielach, którzy mogą być osobiście odpowiedzialni za naruszenie bezpieczeństwa informacji.

4.1. Zarządzanie Środkami Bezpieczeństwa

  • Obowiązek zapewnienia bezpieczeństwa informacji spoczywa na Zarządzie.

  • Menedżerowie działów są odpowiedzialni za wdrażanie, monitorowanie i dokumentowanie wymogów dotyczących bezpieczeństwa informacji oraz informowanie zespołów o nich.

4.2. Szkolenie Dotyczące Bezpieczeństwa Informacji

  • Szkolenie dotyczące bezpieczeństwa informacji stanowi część procesu szkolenia nowych pracowników.

  • Wiedza pracowników w tym zakresie jest sprawdzana, utrwalana i – w razie potrzeby – aktualizowana.

4.3. Umowy Zatrudnienia

  • Wszystkie umowy zatrudnienia zawierają klauzulę poufności.

  • Przewodnik dla pracownika oraz szkolenia wprowadzające przedstawiają oczekiwania wobec pracowników związane z bezpieczeństwem informacji.

4.4. Kontrola Bezpieczeństwa Zasobów

  • Wszystkie zasoby IT (tzn. sprzęt, oprogramowanie, aplikacje) są pod nadzorem wyznaczonej osoby, która jest również odpowiedzialna za ich bezpieczeństwo informacyjne.

4.5. Kontrole Dostępu

  • Wstęp do obszarów o ograniczonym dostępie, w których znajdują się systemy informatyczne lub dane, mają wyłącznie osoby upoważnione i mające uzasadnioną potrzebę korzystania z nich.

4.6. Kontrola Dostępu Do Infrastruktury Informatycznej

  • Dostęp do infrastruktury informatycznej mają wyłącznie upoważnieni użytkownicy mający również uzasadnioną potrzebę korzystania z niej.

4.7. Kontrola Dostępu Do Aplikacji

  • Dostęp do danych, narzędzi systemowych i bibliotek źródłowych programów mają wyłącznie upoważnieni użytkownicy mający również uzasadnioną potrzebę korzystania z niej (np. administratorzy systemu lub baz danych).

4.8. Bezpieczeństwo Sprzętu

  • Aby zminimalizować ryzyko utraty lub zniszczenia zasobów, sprzęt jest fizycznie chroniony przed zagrożeniami środowiska naturalnego.

4.9. Procedury Dotyczące Infrastruktury Informatycznej I Sieci

  • Zarządzanie infrastrukturą informatyczną i sieciami odbywa się zgodnie ze standardowymi udokumentowanymi procedurami, które zostały zatwierdzone przez Zarząd.

4.10. Ocena Ryzyka Dla Bezpieczeństwa Informacji

  • Ocena ryzyka i zarządzanie nim wymaga identyfikacji i oceny ilościowej zagrożeń związanych z bezpieczeństwem informacji z uwzględnieniem postrzeganej wartości zasobu, dotkliwości skutków oraz prawdopodobieństwa wystąpienia. Zidentyfikowane zagrożenia związane z bezpieczeństwem informacji zostaną zarejestrowane w centralnym rejestrze zagrożeń firmy. Zostaną również opracowane plany działań umożliwiające szybkie podjęcie kroków naprawczych. Rejestr zagrożeń i plany działania będą przeglądane regularnie. Wszystkie wdrożone rozwiązania mające na celu ochronę bezpieczeństwa informacji również będą regularnie analizowane. Analizy pomogą zidentyfikować zarówno obszary, w których stosuje się najlepsze praktyki, jak i wymagające poprawy. Dodatkowo pozwoli to wykryć potencjalne zagrożenia, które mogły pojawić się od ostatniej analizy. 

4.11. Wydarzenia Związane Z Bezpieczeństwem I Luki Systemu Zabezpieczeń

  • Wszystkie wydarzenia związane z bezpieczeństwem informacji i domniemane luki systemu zabezpieczeń są zgłaszane. Następnie zostaną poddane analizie, aby ustalić ich przyczynę i znaczenie, a w konsekwencji – uniknąć podobnych zdarzeń w przyszłości.

4.12. Ochrona Przed Złośliwym Oprogramowaniem

  • Aby zabezpieczyć się przed zagrożeniami ze strony złośliwego oprogramowania, firma Yours Clothing stosuje odpowiednie środki zapobiegawcze i przestrzega procedur zarządzania wykorzystywanymi programami. Użytkownicy nie mogą instalować programów na urządzeniach należących do firmy bez zgody Menedżera IT lub dyrektora.

4.13. Nośniki Użytkownika

  • Wszelkie nośniki wymienne z oprogramowaniem lub danymi pochodzącymi ze źródeł zewnętrznych lub z których korzystano na sprzęcie zewnętrznym muszą zostać zatwierdzone przez Menedżera IT lub dyrektora, zanim zostaną wykorzystane w firmie Yours Clothing. Takie nośniki należy również sprawdzić pod kątem wirusów przed podłączeniem ich do sprzętu firmowego.

4.14. Monitorowanie Wykorzystania Systemu I Dostępu Do Niego

  • Firma prowadzi rejestr dostępu do systemu i wykorzystania danych przez wszystkich pracowników.

  • Firma Yours Clothing regularnie sprawdza, czy przestrzegane są zapisy niniejszej polityki i inne obowiązujące regulaminy. Dodatkowo firma zastrzega sobie prawo monitorowania działań w sytuacji, gdy zachodzi podejrzenie naruszenia zapisów polityki. W świetle Ustawy o regulacji praw do dochodzenia (The Regulation of Investigatory Powers Act 2000) pracodawca ma prawo monitorowania i rejestrowania komunikacji elektronicznej pracowników (w tym komunikacji telefonicznej), aby:

  • Ustalać fakty

  • Wykrywać i badać przypadki nieupoważnionego wykorzystania systemu

  • Zapobiegać przestępstwom i je wykrywać

  • Określać lub przedstawiać standardy, których przestrzegają (lub powinny przestrzegać) osoby korzystające z systemu (kontrola jakości i szkolenia)

  • Chronić interesy bezpieczeństwa krajowego

  • Działać zgodnie z praktykami lub procedurami regulacyjnymi

  • Zapewniać wydajne działanie systemu.

Wszelkie działania monitorujące będą prowadzone zgodnie z zapisami powyższej ustawy oraz Ustawy o prawach człowieka (Human Rights Act).

4.15. Akredytacja Systemów Informatycznych

  • Firma Yours Clothing gwarantuje, że wszystkie systemy informatyczne, aplikacje i sieci są objęte planem bezpieczeństwa i zostały zatwierdzone przez Zarząd przed ich wdrożeniem.

4.16. Kontrola Zmiany Systemu

  • Zmiany systemów informatycznych, aplikacji lub sieci będą sprawdzane i zatwierdzane przez Menedżera IT i Zarząd.

4.17. Prawa Własności Intelektualnej

  • Firma Yours Clothing dba o odpowiednie licencjonowanie i zatwierdzanie wszystkich produktów informacyjnych. Użytkownicy nie mogą instalować programów na urządzeniach należących do firmy bez zgody Menedżera IT lub dyrektora.

4.18. Plany Ciągłości Działania I Odzyskiwania Danych

  • Firma gwarantuje, że opracowano plany oceny wpływu na przedsiębiorstwo, ciągłości działania i odzyskiwania danych w odniesieniu do informacji, aplikacji, systemów i sieci kluczowych dla funkcjonowania firmy.

4.19. Raportowanie

  • Menedżer IT regularnie składa Zarządowi raporty o statusie bezpieczeństwa danych.