Πολιτική Ασφάλειας Πληροφοριών | Software Competitiveness International

Πολιτικη ασφαλειας πληροφοριων της Εταιρειας Software Competitiveness International Α.Ε. (SoftCom International)

Η διοίκηση της Εταιρείας SoftCom International έχει δεσμευτεί για τη τήρηση της Εμπιστευτικότητας, της Ακεραιότητας και της Διαθεσιμότητας όλων των φυσικών και ηλεκτρονικών στοιχείων και πληροφοριών, μέσα από την οργάνωση της, προκειμένου να διατηρηθεί το ανταγωνιστικό της πλεονέκτημα, η νομική, κανονιστική και συμβατική της συμμόρφωση , καθώς και η εμπορική της εικόνα.

Οι απαιτήσεις για την Ασφάλεια των Πληροφοριών θα συνεχίσουν να είναι συμβατές με τους σκοπούς της SoftCom International. Το ISMS είναι ένας μηχανισμός που επιτρέπει την ανταλλαγή πληροφοριών, τις ηλεκτρονικές διαδικασίες και τη μείωση του κινδύνου σε θέματα πληροφοριών, σε αποδεκτά επίπεδα.

Η τρέχουσα Επιχειρησιακή Στρατηγική και το Πλαίσιο Διαχείρισης Κινδύνων της Εταιρείας SoftCom International παρέχουν τις συνθήκες για τον εντοπισμό, την αξιολόγηση και τον έλεγχο του κινδύνου σε θέματα πληροφοριών μέσω της δημιουργίας και της συντήρησης του ISMS (Information Security Management System). Η αποτίμηση του ρίσκου, η δήλωση της δυνατότητας εφαρμογής των προτύπων και το πλάνο αντιμετώπισης ρίσκου υποδεικνύουν τον τρόπο που ελέγχεται το ρίσκο σε θέματα πληροφοριών. Ο CISO (Chief Information Security Officer) είναι υπεύθυνος για τη διαχείριση και τη συντήρηση του σχεδίου αντιμετώπισης κινδύνων που αφορούν την Ασφάλεια Πληροφοριών και Δεδομένων. Επιπλέον αποτιμήσεις τέτοιων κινδύνων ενδέχεται να εφαρμοστούν για να καθορίσουν κατάλληλους ελέγχους (controls) για συγκεκριμένους κινδύνους, όπου απαιτείται.

Αυτό σημαίνει ότι η διοίκηση, οι εργαζόμενοι με πλήρη ή μερική απασχόληση, οι υπεργολάβοι, οι προστηθέντες, οι σύμβουλοι έργων και τυχόν εξωτερικοί φορείς, είναι κατάλληλα ενημερωμένοι και συνεχώς ενημερώνονται, για τις ευθύνες τους (οι οποίες ορίζονται στην περιγραφή των καθηκόντων τους ή των συμβάσεων τους) σχετικά με την τήρηση της Ασφάλειας των Πληροφοριών, για την αναφορά τυχόν παραβιάσεων της Ασφάλειας (σύμφωνα με την εφαρμοζόμενη πολιτική και τις διαδικασίες) και για να ενεργούν σύμφωνα με τις απαιτήσεις του ISMS. Οι συνέπειες της παραβίασης της Πολιτικής Ασφάλειας περιγράφονται στη πειθαρχική πολιτική της Εταιρείας (που αποτελεί μέρος της σύμβασης των εργαζομένων). Όλοι οι εργαζόμενοι εκπαιδεύονται στο να είναι ευαισθητοποιημένοι σε θέματα Ασφάλειας Πληροφοριών, ενώ μεγαλύτερης εξειδίκευσης εργαζόμενοι ή ομάδες έχουν πιο εξειδικευμένη εκπαίδευση σε θέματα Ασφάλειας. Με βάση την Πολιτική της Εταιρείας, «Ασφάλεια Πληροφοριών» ορίζεται ως η τήρηση των εξής:

Διαθεσιμότητα. Σημαίνει ότι οι πληροφορίες και τα συναφή περιουσιακά στοιχεία θα πρέπει να είναι προσιτά στους εξουσιοδοτημένους χρήστες, όταν και όπου απαιτείται, και για αυτό θα πρέπει να είναι φυσικά ασφαλή. Το δίκτυο των υπολογιστών πρέπει να είναι ανθεκτικό και ο Οργανισμός θα πρέπει να είναι σε θέση να εντοπίζει και να ανταποκρίνεται γρήγορα σε περιστατικά (όπως ιούς και άλλα κακόβουλα προγράμματα) που απειλούν τη συνεχή διαθεσιμότητα των περιουσιακών στοιχείων, των συστημάτων και των πληροφοριών. Πρέπει να υπάρχουν κατάλληλα σχέδια για τη συνεχόμενη λειτουργία της επιχείρησης.
Εμπιστευτικότητα. Αυτό περιλαμβάνει τη διασφάλιση ότι οι πληροφορίες είναι προσβάσιμες μόνο σε όσους εξουσιοδοτούνται να έχουν πρόσβαση σε αυτές και ως εκ τούτου αποτρέπεται τόσο η εσκεμμένη όσο και η τυχαία μη εξουσιοδοτημένη πρόσβαση στις πληροφορίες του Οργανισμού (και στην επιχειρησιακή τεχνογνωσία) και στα συστήματά του (συμπεριλαμβανομένου του δικτύου (των δικτύων), της ιστοσελίδας (των ιστοσελίδων) και του extranet ( των extranets)).
Ακεραιότητα. Αυτό περιλαμβάνει τη διασφάλιση της ακρίβειας και της πληρότητας των μεθόδων των πληροφοριών και των διαδικασιών, και ως εκ τούτου απαιτείται η πρόληψη σκόπιμης ή τυχαίας, πλήρους ή μερικής καταστροφής ή μη εξουσιοδοτημένης τροποποίησης, είτε των υλικών περιουσιακών στοιχείων της Εταιρείας είτε των ηλεκτρονικών της δεδομένων. Υφίσταται κατάλληλο εναλλακτικό σχέδιο (που να περιλαμβάνει το/τα δίκτυα, την/τις ιστοσελίδες, το/τα δίκτυα Extranet) και σχέδια αντιγράφων ασφαλείας καθώς και αναφορά για οποιουδήποτε περιστατικό που αφορά την Ασφάλεια.

Διαθεσιμότητα. Σημαίνει ότι οι πληροφορίες και τα συναφή περιουσιακά στοιχεία θα πρέπει να είναι προσιτά στους εξουσιοδοτημένους χρήστες, όταν και όπου απαιτείται, και για αυτό θα πρέπει να είναι φυσικά ασφαλή. Το δίκτυο των υπολογιστών πρέπει να είναι ανθεκτικό και ο Οργανισμός θα πρέπει να είναι σε θέση να εντοπίζει και να ανταποκρίνεται γρήγορα σε περιστατικά (όπως ιούς και άλλα κακόβουλα προγράμματα) που απειλούν τη συνεχή διαθεσιμότητα των περιουσιακών στοιχείων, των συστημάτων και των πληροφοριών. Πρέπει να υπάρχουν κατάλληλα σχέδια για τη συνεχόμενη λειτουργία της επιχείρησης.
Εμπιστευτικότητα. Αυτό περιλαμβάνει τη διασφάλιση ότι οι πληροφορίες είναι προσβάσιμες μόνο σε όσους εξουσιοδοτούνται να έχουν πρόσβαση σε αυτές και ως εκ τούτου αποτρέπεται τόσο η εσκεμμένη όσο και η τυχαία μη εξουσιοδοτημένη πρόσβαση στις πληροφορίες του Οργανισμού (και στην επιχειρησιακή τεχνογνωσία) και στα συστήματά του (συμπεριλαμβανομένου του δικτύου (των δικτύων), της ιστοσελίδας (των ιστοσελίδων) και του extranet ( των extranets)).
Ακεραιότητα. Αυτό περιλαμβάνει τη διασφάλιση της ακρίβειας και της πληρότητας των μεθόδων των πληροφοριών και των διαδικασιών, και ως εκ τούτου απαιτείται η πρόληψη σκόπιμης ή τυχαίας, πλήρους ή μερικής καταστροφής ή μη εξουσιοδοτημένης τροποποίησης, είτε των υλικών περιουσιακών στοιχείων της Εταιρείας είτε των ηλεκτρονικών της δεδομένων. Υφίσταται κατάλληλο εναλλακτικό σχέδιο (που να περιλαμβάνει το/τα δίκτυα, την/τις ιστοσελίδες, το/τα δίκτυα Extranet) και σχέδια αντιγράφων ασφαλείας καθώς και αναφορά για οποιουδήποτε περιστατικό που αφορά την Ασφάλεια.

Ο Οργανισμός συμμορφώνεται με όλες τις σχετικές νομοθεσίες περί δεδομένων, τις οποίες εφαρμόζει στους τομείς που δραστηριοποιείται:

Τα Υλικά Περιουσιακά Στοιχεία. Το hardware των υπολογιστών, οι συσκευές δικτύωσης, τα καλώδια δεδομένων, τα τηλεφωνικά συστήματα καθώς και τα υλικά αρχεία δεδομένων είναι μέρος, ενδεικτικά και μη περιοριστικά, της Υλικής Περιουσίας της Εταιρείας.
Πληροφοριακά Περιουσιακά Στοιχεία. Σε αυτά συμπεριλαμβάνονται πληροφορίες που είναι τυπωμένες ή καταγεγραμμένες σε χαρτί, που μεταφέρονται μέσω ταχυδρομείου ή προφορικά σε συζητήσεις, καθώς και πληροφορίες που αποθηκεύονται ηλεκτρονικά σε διακομιστές, ιστοσελίδες, extranet, ενδοδικτυακά, σε σταθερούς ηλεκτρονικούς υπολογιστές, σε φορητούς υπολογιστές, σε κινητά τηλέφωνα και PDA, καθώς και σε CD-ROM, USB sticks, backup tapes και οποιασδήποτε άλλα ψηφιακά ή μαγνητικά μέσα, καθώς και πληροφορίες που διαβιβάζονται ηλεκτρονικά με οποιοδήποτε μέσο. Στο πλαίσιο αυτό, με τον όρο «δεδομένα» εννοούμε επίσης και τις οδηγίες που εξηγούν τον τρόπο διαχείρισης των πληροφοριών (π.χ το λογισμικό: λειτουργικά συστήματα, εφαρμογές, utilities, κλπ.).
Η Εταιρεία. Η Εταιρεία και οι συνεργάτες που αποτελούν μέρος του ολοκληρωμένου δικτύου μας και έχουν υπογράψει την Πολιτική Ασφαλείας μας έχουν αποδεχθεί και το ISMS της εταιρείας.

Τα Υλικά Περιουσιακά Στοιχεία. Το hardware των υπολογιστών, οι συσκευές δικτύωσης, τα καλώδια δεδομένων, τα τηλεφωνικά συστήματα καθώς και τα υλικά αρχεία δεδομένων είναι μέρος, ενδεικτικά και μη περιοριστικά, της Υλικής Περιουσίας της Εταιρείας.
Πληροφοριακά Περιουσιακά Στοιχεία. Σε αυτά συμπεριλαμβάνονται πληροφορίες που είναι τυπωμένες ή καταγεγραμμένες σε χαρτί, που μεταφέρονται μέσω ταχυδρομείου ή προφορικά σε συζητήσεις, καθώς και πληροφορίες που αποθηκεύονται ηλεκτρονικά σε διακομιστές, ιστοσελίδες, extranet, ενδοδικτυακά, σε σταθερούς ηλεκτρονικούς υπολογιστές, σε φορητούς υπολογιστές, σε κινητά τηλέφωνα και PDA, καθώς και σε CD-ROM, USB sticks, backup tapes και οποιασδήποτε άλλα ψηφιακά ή μαγνητικά μέσα, καθώς και πληροφορίες που διαβιβάζονται ηλεκτρονικά με οποιοδήποτε μέσο. Στο πλαίσιο αυτό, με τον όρο «δεδομένα» εννοούμε επίσης και τις οδηγίες που εξηγούν τον τρόπο διαχείρισης των πληροφοριών (π.χ το λογισμικό: λειτουργικά συστήματα, εφαρμογές, utilities, κλπ.).
Η Εταιρεία. Η Εταιρεία και οι συνεργάτες που αποτελούν μέρος του ολοκληρωμένου δικτύου μας και έχουν υπογράψει την Πολιτική Ασφαλείας μας έχουν αποδεχθεί και το ISMS της εταιρείας.

Είναι η Πολιτική της Εταιρείας μας που εξασφαλίζει τους ακόλουθους στόχους:

Οι πληροφορίες είναι προσβάσιμες μόνον σε εξουσιοδοτημένα άτομα εντός ή εκτός της Εταιρείας.
Η εμπιστευτικότητα των πληροφοριών διατηρείται.
Η ακεραιότητα των πληροφοριών διατηρείται καθ’ όλη τη διαδικασία.
Σχέδια επιχειρησιακής συνέχειας έχουν καθιερωθεί, διατηρηθεί και δοκιμαστεί.
Όλο το προσωπικό είναι εκπαιδευμένο σε θέματα Ασφάλειας των Πληροφοριών και έχουν ενημερωθεί ότι η συμμόρφωση με την Πολιτική της Εταιρείας είναι υποχρεωτική.
Όλες οι παραβιάσεις της Ασφάλειας των Πληροφοριών καθώς και ύποπτα αδύναμα σημεία αναφέρονται και διερευνώνται.
Οι διαδικασίες υπάρχουν για τη υποστήριξη της Πολιτικής Ασφάλειας, συμπεριλαμβανομένων των μέτρων ελέγχου για ιούς, των κωδικών πρόσβασης, και των σχεδίων επιχειρησιακής συνέχειας.
Οι επιχειρηματικές απαιτήσεις για τη διαθεσιμότητα των πληροφοριών και των συστημάτων πρέπει να τηρούνται.
Ο CISO είναι υπεύθυνος για τη τήρηση της Πολιτικής, παρέχοντας υποστήριξη και συμβουλές κατά την εφαρμογή της.
Όλοι οι Μάνατζερς, οι υπεύθυνοι ομάδων («SPOCs»: single point of contact), το διοικητικό προσωπικό της Εταιρείας (business administration, IT & Systems administration) και οι επόπτες (QM, CISO, internal auditors) είναι άμεσα υπεύθυνοι για την εφαρμογή της Πολιτικής Ασφάλειας Πληροφοριών και τη διασφάλιση της συμμόρφωσης του προσωπικού στην Πολιτική αυτή κατά την υλοποίηση των δραστηριοτήτων του.
Η χρήση και διαχείριση των Προσωπικών Δεδομένων στην Εταιρεία μας διέπεται από την κείμενη νομοθεσία και περιορίζεται στον συγκεκριμένο σκοπό για τον οποίο προορίζονται. Η Εταιρεία μας εναρμονίζεται με τα δικαιώματα των Υποκειμένων, βάσει του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαικού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την Προστασία των Φυσικών Προσώπων έναντι της επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα.

Οι πληροφορίες είναι προσβάσιμες μόνον σε εξουσιοδοτημένα άτομα εντός ή εκτός της Εταιρείας.
Η εμπιστευτικότητα των πληροφοριών διατηρείται.
Η ακεραιότητα των πληροφοριών διατηρείται καθ’ όλη τη διαδικασία.
Σχέδια επιχειρησιακής συνέχειας έχουν καθιερωθεί, διατηρηθεί και δοκιμαστεί.
Όλο το προσωπικό είναι εκπαιδευμένο σε θέματα Ασφάλειας των Πληροφοριών και έχουν ενημερωθεί ότι η συμμόρφωση με την Πολιτική της Εταιρείας είναι υποχρεωτική.
Όλες οι παραβιάσεις της Ασφάλειας των Πληροφοριών καθώς και ύποπτα αδύναμα σημεία αναφέρονται και διερευνώνται.
Οι διαδικασίες υπάρχουν για τη υποστήριξη της Πολιτικής Ασφάλειας, συμπεριλαμβανομένων των μέτρων ελέγχου για ιούς, των κωδικών πρόσβασης, και των σχεδίων επιχειρησιακής συνέχειας.
Οι επιχειρηματικές απαιτήσεις για τη διαθεσιμότητα των πληροφοριών και των συστημάτων πρέπει να τηρούνται.
Ο CISO είναι υπεύθυνος για τη τήρηση της Πολιτικής, παρέχοντας υποστήριξη και συμβουλές κατά την εφαρμογή της.
Όλοι οι Μάνατζερς, οι υπεύθυνοι ομάδων («SPOCs»: single point of contact), το διοικητικό προσωπικό της Εταιρείας (business administration, IT & Systems administration) και οι επόπτες (QM, CISO, internal auditors) είναι άμεσα υπεύθυνοι για την εφαρμογή της Πολιτικής Ασφάλειας Πληροφοριών και τη διασφάλιση της συμμόρφωσης του προσωπικού στην Πολιτική αυτή κατά την υλοποίηση των δραστηριοτήτων του.
Η χρήση και διαχείριση των Προσωπικών Δεδομένων στην Εταιρεία μας διέπεται από την κείμενη νομοθεσία και περιορίζεται στον συγκεκριμένο σκοπό για τον οποίο προορίζονται. Η Εταιρεία μας εναρμονίζεται με τα δικαιώματα των Υποκειμένων, βάσει του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαικού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την Προστασία των Φυσικών Προσώπων έναντι της επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα.

Επειδή οι ανάγκες της εργασίας μας αλλάζουν, αναγνωρίζουμε ότι θα πρέπει και το δικό μας Σύστημα Διοίκησης να αλλάζει και να βελτιώνεται για να καλύπτονται οι ανάγκες μας. Για το σκοπό αυτό, θέτουμε συνεχώς νέους στόχους και επανεξετάζουμε τακτικά τις διαδικασίες μας.

Αυτή η Πολιτική έχει εγκριθεί από τον Διευθύνοντα Σύμβουλο της Εταιρείας SoftCom International και πρέπει να επανεξετάζεται από την Ομάδα Διοίκησης σε ετήσια βάση.

SoftCom International Chief Executive Officer

Dr. Ζωή Αικατερινίδη

Νοέμβριος 2018