Polityka bezpieczeństwa informacji


Niniejsza Polityka bezpieczeństwa informacji to podstawowy element ramowego systemu zarządzania bezpieczeństwem informacji w Yours Clothing Limited.

Systemy zarządzania danymi osobowymi i systemy informatyczne są niezbędne firmie do prowadzenia działalności. Zdarzenia związane z utratą poufności, integralności lub ujawnieniem danych mogą być kosztowne. Poważne zdarzenia, np. niewywiązywanie się z obowiązków wynikających z przepisów prawa o ochronie informacji, mogą zaszkodzić reputacji firmy.

1. Założenia, cele i zakres Polityki

  • 1.1. Założenia

    Założenia Polityki bezpieczeństwa informacji firmy Yours Clothing Limited:

    • Poufność – dane są chronione przed niepowołanym dostępem, a dostęp do nich mają wyłącznie osoby upoważnione.
    • Integralność – informacje są kompletne i dokładne. Wszystkie systemy, zasoby i sieci działają poprawnie i zgodnie ze specyfikacjami.
    • Zarządzanie ryzykiem – podejmowane są odpowiednie działania, aby ograniczać ryzyko udostępnienia i ujawnienia informacji.
    • Zgodność – zapewniona jest zgodność z obowiązującym prawem, regulacjami i warunkami umów.

    Niestosowanie się do Polityki bezpieczeństwa informacji firmy Yours Clothing Limited może poskutkować działaniami dyscyplinarnymi.

  • 1.2. Cele

    Celem niniejszej Polityki jest zapewnienie bezpieczeństwa informacji osób, systemów informatycznych, aplikacji i sieci należących lub wykorzystywanych przez firmę Yours Clothing Limited poprzez:

    • upewnienie się, że wszyscy pracownicy znają odpowiednie przepisy prawa i ich przestrzegają, jak opisano w niniejszej Polityce i innych odpowiednich dokumentach;
    • wyjaśnienie podstawowych zasad bezpieczeństwa oraz sposobu ich stosowania w firmie;
    • upewnienie się, że wszyscy pracownicy w pełni rozumieją obowiązki, jakie na nich spoczywają w zakresie spójnego podejścia do kwestii bezpieczeństwa;
    • kształtowanie i utrzymywanie świadomości związanej z zapewnieniem bezpieczeństwa informacji – integralnej części codziennej pracy;
    • ochronę zasobów informacyjnych firmy.
  • 1.3. Zakres
    • Ta Polityka dotyczy wszystkich informacji, systemów informatycznych, sieci, aplikacji, lokalizacji i użytkowników Yours Clothing Limited oraz zasobów udostępnionych w ramach umowy.

2. Obowiązek zapewnienia bezpieczeństwa informacji

  • 2.1. Obowiązek zapewnienia bezpieczeństwa informacji w całości spoczywa na Zarządzie firmy Yours Clothing. Zarząd jest odpowiedzialny za nadzorowanie i wdrożenie niniejszej polityki oraz wynikających z niej procedur.
  • 2.2. Na bezpośrednich przełożonych spoczywa obowiązek upewnienia się, że ich pracownicy (etatowi i tymczasowi) oraz podwykonawcy znają:
    • zagadnienia Polityki bezpieczeństwa informacji, które mają zastosowanie w ich dziale;
    • swoje obowiązki w kwestii bezpieczeństwa informacji;
    • miejsce i sposób uzyskania porady w kwestiach związanych z bezpieczeństwem informacji.
  • 2.3. Wszyscy pracownicy mają obowiązek przestrzegania procedur bezpieczeństwa w tym również tych dotyczących zachowania poufności i integralności danych.
  • 2.4. Polityka bezpieczeństwa informacji będzie podlegała corocznemu przeglądowi i aktualizacji.
  • 2.5. Bezpośredni przełożeni są odpowiedzialni za bezpieczeństwo środowisk fizycznych, w których dane są udostępniane, przetwarzane lub przechowywane.
  • 2.6. Wszyscy pracownicy są odpowiedzialni za bezpieczeństwo operacyjne wykorzystywanych systemów informatycznych.
  • 2.7. Wszyscy użytkownicy systemu mają obowiązek stosowania się do obowiązujących wymogów bezpieczeństwa oraz dbania o przestrzeganie wysokich standardów w zakresie poufności, integralności i dostępności wykorzystywanych przez nich informacji.
  • 2.8. Przed uzyskaniem dostępu do systemów informatycznych firmy zewnętrzni podwykonawcy muszą podpisać stosowne umowy. W świetle tych umów pracownicy i zewnętrzni podwykonawcy mają obowiązek przestrzegać wszystkich odpowiednich regulaminów dotyczących bezpieczeństwa.

3. Przepisy

  • 3.1. Firma Yours Clothing Limited jest zobowiązana do przestrzegania stosownego prawa obowiązującego w Wielkiej Brytanii i Unii Europejskiej. Obowiązek przestrzegania przepisów spoczywa również na pracownikach i przedstawicielach, którzy mogą być osobiście odpowiedzialni za naruszenie bezpieczeństwa informacji.

4. Ramy Polityki

  • 4.1. Zarządzanie środkami bezpieczeństwa
    • Obowiązek zapewnienia bezpieczeństwa informacji spoczywa na Zarządzie.
    • Menedżerowie działów są odpowiedzialni za wdrażanie, monitorowanie i dokumentowanie wymogów dotyczących bezpieczeństwa informacji oraz informowanie zespołów o nich.
  • 4.2. Szkolenie dotyczące bezpieczeństwa informacji
    • Szkolenie dotyczące bezpieczeństwa informacji stanowi część procesu szkolenia nowych pracowników.
    • Wiedza pracowników w tym zakresie jest sprawdzana, utrwalana i – w razie potrzeby – aktualizowana.
  • 4.3. Umowy zatrudnienia
    • Wszystkie umowy zatrudnienia zawierają klauzulę poufności.
    • Przewodnik dla pracownika oraz szkolenia wprowadzające przedstawiają oczekiwania wobec pracowników związane z bezpieczeństwem informacji.
  • 4.4. Kontrola bezpieczeństwa zasobów
    • Wszystkie zasoby IT (tzn. sprzęt, oprogramowanie, aplikacje) są pod nadzorem wyznaczonej osoby, która jest również odpowiedzialna za ich bezpieczeństwo informacyjne.
  • 4.5. Kontrole dostępu
    • Wstęp do obszarów o ograniczonym dostępie, w których znajdują się systemy informatyczne lub dane, mają wyłącznie osoby upoważnione i mające uzasadnioną potrzebę korzystania z nich.
  • 4.6. Kontrola dostępu do infrastruktury informatycznej
    • Dostęp do infrastruktury informatycznej mają wyłącznie upoważnieni użytkownicy mający również uzasadnioną potrzebę korzystania z niej.
  • 4.7. Kontrola dostępu do aplikacji
    • Dostęp do danych, narzędzi systemowych i bibliotek źródłowych programów mają wyłącznie upoważnieni użytkownicy mający również uzasadnioną potrzebę korzystania z niej (np. administratorzy systemu lub baz danych).
  • 4.8. Bezpieczeństwo sprzętu
    • Aby zminimalizować ryzyko utraty lub zniszczenia zasobów, sprzęt jest fizycznie chroniony przed zagrożeniami środowiska naturalnego.
  • 4.9. Procedury dotyczące infrastruktury informatycznej i sieci
    • Zarządzanie infrastrukturą informatyczną i sieciami odbywa się zgodnie ze standardowymi udokumentowanymi procedurami, które zostały zatwierdzone przez Zarząd.
  • 4.10. Ocena ryzyka dla bezpieczeństwa informacji
    • Ocena ryzyka i zarządzanie nim wymaga identyfikacji i oceny ilościowej zagrożeń związanych z bezpieczeństwem informacji z uwzględnieniem postrzeganej wartości zasobu, dotkliwości skutków oraz prawdopodobieństwa wystąpienia.
      Zidentyfikowane zagrożenia związane z bezpieczeństwem informacji zostaną zarejestrowane w centralnym rejestrze zagrożeń firmy. Zostaną również opracowane plany działań umożliwiające szybkie podjęcie kroków naprawczych. Rejestr zagrożeń i plany działania będą przeglądane regularnie. Wszystkie wdrożone rozwiązania mające na celu ochronę bezpieczeństwa informacji również będą regularnie analizowane. Analizy pomogą zidentyfikować zarówno obszary, w których stosuje się najlepsze praktyki, jak i wymagające poprawy. Dodatkowo pozwoli to wykryć potencjalne zagrożenia, które mogły pojawić się od ostatniej analizy.
  • 4.11. Wydarzenia związane z bezpieczeństwem i luki systemu zabezpieczeń
    • Wszystkie wydarzenia związane z bezpieczeństwem informacji i domniemane luki systemu zabezpieczeń są zgłaszane. Następnie zostaną poddane analizie, aby ustalić ich przyczynę i znaczenie, a w konsekwencji – uniknąć podobnych zdarzeń w przyszłości.
  • 4.12. Ochrona przed złośliwym oprogramowaniem
    • Aby zabezpieczyć się przed zagrożeniami ze strony złośliwego oprogramowania, firma Yours Clothing stosuje odpowiednie środki zapobiegawcze i przestrzega procedur zarządzania wykorzystywanymi programami. Użytkownicy nie mogą instalować programów na urządzeniach należących do firmy bez zgody Menedżera IT lub dyrektora.
  • 4.13. Nośniki użytkownika
    • Wszelkie nośniki wymienne z oprogramowaniem lub danymi pochodzącymi ze źródeł zewnętrznych lub z których korzystano na sprzęcie zewnętrznym muszą zostać zatwierdzone przez Menedżera IT lub dyrektora, zanim zostaną wykorzystane w firmie Yours Clothing. Takie nośniki należy również sprawdzić pod kątem wirusów przed podłączeniem ich do sprzętu firmowego.
  • 4.14. Monitorowanie wykorzystania systemu i dostępu do niego
    • Firma prowadzi rejestr dostępu do systemu i wykorzystania danych przez wszystkich pracowników.
    • Firma Yours Clothing regularnie sprawdza, czy przestrzegane są zapisy niniejszej polityki i inne obowiązujące regulaminy. Dodatkowo firma zastrzega sobie prawo monitorowania działań w sytuacji, gdy zachodzi podejrzenie naruszenia zapisów polityki. W świetle Ustawy o regulacji praw do dochodzenia (The Regulation of Investigatory Powers Act 2000) pracodawca ma prawo monitorowania i rejestrowania komunikacji elektronicznej pracowników (w tym komunikacji telefonicznej), aby:
      • ustalać fakty;
      • wykrywać i badać przypadki nieupoważnionego wykorzystania systemu;
      • zapobiegać przestępstwom i je wykrywać;
      • określać lub przedstawiać standardy, których przestrzegają (lub powinny przestrzegać) osoby korzystające z systemu (kontrola jakości i szkolenia);
      • chronić interesy bezpieczeństwa krajowego;
      • działać zgodnie z praktykami lub procedurami regulacyjnymi;
      • zapewniać wydajne działanie systemu.

      Wszelkie działania monitorujące będą prowadzone zgodnie z zapisami powyższej ustawy oraz Ustawy o prawach człowieka (Human Rights Act).

  • 4.15. Akredytacja systemów informatycznych
    • Firma Yours Clothing gwarantuje, że wszystkie systemy informatyczne, aplikacje i sieci są objęte planem bezpieczeństwa i zostały zatwierdzone przez Zarząd przed ich wdrożeniem.
  • 4.16. Kontrola zmiany systemu
    • Zmiany systemów informatycznych, aplikacji lub sieci będą sprawdzane i zatwierdzane przez Menedżera IT i Zarząd.
  • 4.17. Prawa własności intelektualnej
    • Firma Yours Clothing dba o odpowiednie licencjonowanie i zatwierdzanie wszystkich produktów informacyjnych. Użytkownicy nie mogą instalować programów na urządzeniach należących do firmy bez zgody Menedżera IT lub dyrektora.
  • 4.18. Plany ciągłości działania i odzyskiwania danych
    • Firma gwarantuje, że opracowano plany oceny wpływu na przedsiębiorstwo, ciągłości działania i odzyskiwania danych w odniesieniu do informacji, aplikacji, systemów i sieci kluczowych dla funkcjonowania firmy.
  • 4.19. Raportowanie
    • Menedżer IT regularnie składa Zarządowi raporty o statusie bezpieczeństwa danych.
Sign Up for Exclusive News and Offers >Close