Πολιτική Ασφάλειας Πληροφοριών

H «CONNECTING DOTS Ι.Κ.Ε.» είναι προσηλωμένη στην παροχή υψηλής ποιότητας υπηρεσιών αλλά και στην προσπάθεια ανάπτυξης ενός δημιουργικού περιβάλλοντος έρευνας και εργασίας. Η Διοίκηση της Εταιρείας δεσμεύεται στη διασφάλιση της Ποιότητας και της Ασφάλειας Πληροφοριών και Προσωπικών Δεδομένων. Η δέσμευση της Διοίκησης αλλά και όλου του προσωπικού της Εταιρείας για τη συνεχή βελτίωση των παρεχόμενων υπηρεσιών αποτελεί στρατηγικό στόχο διοίκησης και ευθύνης.
Η Εταιρεία μας αναγνωρίζει την Ποιότητα και την Ασφάλεια των Πληροφοριών και Προσωπικών Δεδομένων ως θεμελιακό στοιχείο για την πραγμάτωση του οράματος και την επίτευξη της αποστολής της. Αφετηρία της πολιτικής ασφάλειας πληροφοριών αποτελεί η δέσμευση της Διοίκησης και του Προσωπικού της Εταιρείας για την αξιόπιστη και συνεχή βελτίωση της ποιότητας και της ασφάλειας των παρεχόμενων υπηρεσιών και των εταιρικών σχέσεων.
Για να επιτευχθούν όλα τα παραπάνω, η «CONNECTING DOTS Ι.Κ.Ε.» έχει εγκαταστήσει, εφαρμόζει και βελτιώνει συνεχώς ένα Εσωτερικό Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών.

Επισκόπηση Πολιτικής

Αυτή η πολιτική αποτελεί την Πολιτική Ασφάλειας Πληροφοριών και είναι σύμφωνη με το αναγνωρισμένο διεθνές πρότυπο ISO 27001:2013. Αυτό το πρότυπο διασφαλίζει ότι η Εταιρεία συμμορφώνεται με τις ακόλουθες αρχές ασφαλείας:

  1. Εμπιστευτικότητα: όλες οι ευαίσθητες πληροφορίες θα προστατεύονται από μη εξουσιοδοτημένη πρόσβαση ή αποκάλυψη.
  2. Ακεραιότητα: όλες οι πληροφορίες θα προστατεύονται από τυχαία, κακόβουλη και δόλια αλλαγή ή καταστροφή.
  3. Διαθεσιμότητα: οι υπηρεσίες πληροφοριών θα είναι διαθέσιμες καθ’ όλη τη διάρκεια που έχει συμφωνηθεί με τους χρήστες και θα προστατεύονται από τυχαία ή κακόβουλη ζημιά ή διακοπή υπηρεσίας.

Η «CONNECTING DOTS Ι.Κ.Ε.» δεσμεύεται να διασφαλίσει ότι τηρούνται όλες οι πτυχές της ασφάλειας των πληροφοριών για την εκπλήρωση των νόμιμων λειτουργιών της.

Η συμμόρφωση με τις πολιτικές και τις διαδικασίες ασφάλειας πληροφοριών της «CONNECTING DOTS Ι.Κ.Ε.» είναι υποχρεωτική για όλο το προσωπικό.

Ο Διευθύνων Σύμβουλος εγκρίνει τη συγκεκριμένη πολιτική. Η Επιτροπή Ποιότητας και Ασφάλειας Πληροφοριών έχει την ευθύνη να διασφαλίσει ότι η πολιτική εφαρμόζεται και τηρείται.

Η πολιτική ασφαλείας πληροφοριών επιβεβαιώνει τη δέσμευση της «CONNECTING DOTS Ι.Κ.Ε.» για συνεχή βελτίωση και αναδεικνύει τους βασικούς τομείς για την αποτελεσματική ασφάλεια των πληροφοριών της.

Λεπτομέρειες Πολιτικής

Ευθύνες και Δέσμευση Διοίκησης

Η Διοίκηση δεσμεύεται να πληροί όλες τις ισχύουσες απαιτήσεις αυτής της πολιτικής καθώς και τη συνεχή βελτίωση του ΣΔΑΠ, και ως εκ τούτου έχει καθιερώσει την πολιτική ασφάλειας πληροφοριών έτσι ώστε:

να είναι κατάλληλη για το σκοπό της Εταιρείας,

να περιλαμβάνει στόχους ασφάλειας πληροφοριών και να παρέχει το πλαίσιο για τον καθορισμό συνεχόμενων στόχων ασφάλειας πληροφοριών.

Η πολιτική ασφάλειας πληροφοριών είναι διαθέσιμη ως τεκμηριωμένη πληροφορία, επικοινωνείται εντός της Εταιρείας και είναι διαθέσιμη στα ενδιαφερόμενα μέρη, όταν απαιτείται.

Ηγεσία και Δέσμευση

Η Διοίκηση της Εταιρείας έχει ενεργό ρόλο και δεσμεύεται για την ορθή λειτουργία του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών. Συγκεκριμένα:

  1. διασφαλίζει ότι η πολιτική ασφάλειας πληροφοριών και οι στόχοι ασφάλειας πληροφοριών που έχουν καθοριστεί είναι συμβατοί με το στρατηγικό προσανατολισμό της Εταιρείας,
  2. διασφαλίζει ότι οι απαιτήσεις του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών έχουν ενσωματωθεί στις διαδικασίες της Εταιρείας,
  3. διασφαλίζει ότι οι πόροι που απαιτούνται για το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών είναι διαθέσιμοι,
  4. έχει γνωστοποιήσει σε όλα τα συμβαλλόμενα μέλη τη σημασία της αποτελεσματικής διαχείρισης της ασφάλειας των πληροφοριών και της συμμόρφωσης με τις απαιτήσεις του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών,
  5. διασφαλίζει ότι το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών επιτυγχάνει τα επιδιωκόμενα αποτελέσματα,
  6. καθοδηγεί και υποστηρίζει το προσωπικό ώστε να συμβάλλει στην αποτελεσματικότητα του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών,
  7. προάγει τη συνεχή βελτίωση και υποστηρίζει άλλους σχετικούς διαχειριστικούς ρόλους να επιδείξουν την ηγεσία τους, όπως ισχύει για τους τομείς ευθύνης τους.

Στόχοι Ασφάλειας Πληροφοριών

Οι στόχοι ασφάλειας πληροφοριών έχουν καθιερωθεί και είναι συμβατοί με τη στρατηγική κατεύθυνση της Εταιρείας. Ο βασικός στόχος είναι να λειτουργεί σύμφωνα με τις ενότητες του Διεθνούς Προτύπου ISO 27001:2013 που αναφέρονται παρακάτω.

Επιπλέον, οι στόχοι ασφάλειας πληροφοριών θα καθοριστούν από τη Διοίκηση ως ένα συνεχές έργο και στις ανασκοπήσεις της Διοίκησης που αφορούν ΣΔΑΠ θα δημιουργηθεί και θα εφαρμοστεί πολιτική στόχων ασφάλειας πληροφοριών ως μέρος του ΣΔΑΠ.

Οι στόχοι διαχείρισης της ασφάλειας πληροφοριών θα καθορίζονται και θα παρακολουθούνται τακτικά για να διασφαλίζεται ότι επιτυγχάνονται.

Η «CONNECTING DOTS Ι.Κ.Ε.» επιδιώκει να βελτιώνει συνεχώς το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με το PLAN-DO-CHECK-ACT για τη βελτίωση των διαδικασιών που ενσωματώνονται στο ΣΔΑΠ της.

Οργάνωση της Ασφάλειας Πληροφοριών

Η σημασία που αποδίδεται στην ασφάλεια των πληροφοριών εντός της «CONNECTING DOTS Ι.Κ.Ε.» αποδεικνύεται από τη θέσπιση της Επιτροπής Ποιότητας και Ασφάλειας Πληροφοριών. Η Επιτροπή ασχολείται με διάφορα ζητήματα σχετικά με την ασφάλεια πληροφοριών όπως:

  1. αναθεώρηση και πρόοδος στρατηγικών θεμάτων ασφάλειας,
  2. δημιουργία εξωτερικών σχέσεων με άλλους συμβούλους ασφάλειας πληροφοριών,
  3. εκτίμηση του αντικτύπου νέων νομοθετικών ή κανονιστικών απαιτήσεων που επιβάλλονται στην «CONNECTING DOTS Ι.Κ.Ε.».
  4. παρακολούθηση της αποτελεσματικότητας του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών («ΣΔΑΠ») (π.χ. μέσω των αποτελεσμάτων των αναφορών του εσωτερικού ελέγχου και των συμβάντων ασφαλείας),
  5. σύσταση και έγκριση αλλαγών στο ΣΔΑΠ.

Η Επιτροπή Ποιότητας και Ασφάλειας Πληροφοριών συνεδριάζει τακτικά για να παρακολουθεί τα παραπάνω ζητήματα προκειμένου να διασφαλίσει τη συνεχή αποτελεσματικότητα του ΣΔΑΠ της «CONNECTING DOTS Ι.Κ.Ε.».

Η διαδικασία αναθεώρησης του ΣΔΑΠ ορίζεται στην πολιτική ανασκόπησης της Διοίκησης.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α06 Πολιτική Οργάνωσης της Ασφάλειας Πληροφοριών.

Ασφάλεια Ανθρώπινων Πόρων

Όλο το ανθρώπινο δυναμικό της Εταιρίας εργάζεται σύμφωνα με τις πολιτικές και διαδικασίες που περιλαμβάνουν οι ειδικές απαιτήσεις ασφάλειας πληροφοριών. Επιπλέον, η «Πολιτική Αποδεκτής Χρήσης» διασφαλίζει ότι οι εργαζόμενοι ενημερώνονται ότι οφείλουν να ακολουθούν τις βέλτιστες πρακτικές σχετικά με την ασφάλεια των πληροφοριών που έχει καθιερωθεί από την «CONNECTING DOTS Ι.Κ.Ε.». Υπάρχει συγκεκριμένη διαδικασία για όλους τους υπαλλήλους που αποχωρούν από την «CONNECTING DOTS Ι.Κ.Ε.» (συμπεριλαμβανομένων των προσωρινών και των υπαλλήλων με σύμβαση) η οποία είναι να απενεργοποιήσουν το λογαριασμό τους και να ανακτήσουν όλα τα στοιχεία της ιδιοκτησίας.

Όλοι οι νέοι υπάλληλοι εκπαιδεύονται στις διαδικασίες και τους τομείς που περιγράφονται παραπάνω ως μέρος του προγράμματος ένταξής τους τους στην Εταιρεία. Η συνεχής εκπαίδευση παρέχεται με τη μορφή τακτικών ενημερώσεων και εκπαιδευτικών προγραμμάτων.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α07 Πολιτική Ασφάλειας Ανθρώπινων Πόρων.

Διαχείριση Αγαθών

Οι πληροφορίες της «CONNECTING DOTS Ι.Κ.Ε.» ταξινομούνται ανάλογα με την ευαισθησία τους και ορίζεται για αυτές ένας ιδιοκτήτης. Η Εταιρεία διατηρεί κατάλογο πληροφοριακών αγαθών ο οποίος θα ενημερώνεται τακτικά, σύμφωνα με την εκτίμηση κινδύνου και θα προστατεύεται ανάλογα.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α08 Πολιτική Διαχείρισης Πληροφοριακών Αγαθών.

Έλεγχος Πρόσβασης

Οι εργαζόμενοι οφείλουν να γνωρίζουν και να ακολουθούν έναν αριθμό ελέγχων και διαδικασιών που υφίστανται για να περιορίσουν την πρόσβαση σε εμπιστευτικές πληροφορίες. Ο ΥΣΔΑΠ είναι υπεύθυνος τόσο για τη δημιουργία όσο και για τη διατήρηση ισχυρών ελέγχων πρόσβασης.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α09 Πολιτική Ελέγχου Πρόσβασης.

Κρυπτογράφηση

Όταν κρυπτογραφικά στοιχεία ελέγχου χρησιμοποιούνται από την «CONNECTING DOTS Ι.Κ.Ε.», αναπτύσσεται και εφαρμόζεται πολιτική για τη χρήση κρυπτογραφικών ελέγχων για την προστασία των πληροφοριών.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α10 Πολιτική Κρυπτογράφησης.

Φυσική και Περιβαλλοντική Ασφάλεια

Το προσωπικό οφείλει να γνωρίζει και να ακολουθεί τα συνολικά μέτρα, τους ελέγχους και τις διαδικασίες που έχουν σχεδιαστεί για να εξασφαλίζεται ο επαρκής έλεγχος της φυσικής ασφάλειας. Αυτά περιλαμβάνουν:

  1. κτίρια και μεμονωμένα συστήματα συναγερμού,
  2. περιορισμένη πρόσβαση στο κτίριο και επιπλέον περιορισμένη πρόσβαση εντός αυτού,
  3. ασφαλή ερμάρια, συρτάρια, αποθηκευτικοί χώροι,
  4. ασφαλής δημιουργία αντιγράφων ασφαλείας εκτός σύνδεσης και αρχειοθέτηση,
  5. πολιτική καθαρού γραφείου,
  6. πολιτική καθαρής οθόνης

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α11 Πολιτική Φυσικής και Περιβαλλοντικής Ασφάλειας.

Ασφάλεια Λειτουργίας

Η «CONNECTING DOTS Ι.Κ.Ε.» διασφαλίζει τη σωστή και ασφαλή λειτουργία των εγκαταστάσεων στις οποίες επεξεργάζονται πληροφορίες.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α12 Πολιτική Ασφάλειας Επιχειρησιακής Λειτουργίας.

Ασφάλεια Επικοινωνιών

Το προσωπικό οφείλει να γνωρίζει ότι η χρήση της τεχνολογίας και των επικοινωνιών καθορίζεται, ελέγχεται και διαχειρίζεται από την Εταιρεία. Η Εταιρεία είναι υπεύθυνη για τη διασφάλιση της εφαρμογής των κατάλληλων μέτρων και διαδικασιών ασφάλειας πληροφοριών. Η «CONNECTING DOTS Ι.Κ.Ε.» διασφαλίζει ότι η ασφάλεια γύρω από το δίκτυο, την φορητή και την απομακρυσμένη εργασία προστατεύονται επαρκώς.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α13 Πολιτική Ασφάλειας Επικοινωνιών.

Απόκτηση, Ανάπτυξη και Συντήρηση Συστημάτων

Η Εταιρεία διασφαλίζει ότι οι κατάλληλες διαδικασίες ασφάλειας πληροφοριών περιλαμβάνονται σε όλα τα έργα.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α14 Πολιτική Απόκτησης, Ανάπτυξης και Συντήρησης Πληροφοριακών Συστημάτων.

Σχέσεις Προμηθευτών

Οι απαιτήσεις ασφάλειας πληροφοριών για το μετριασμό των κινδύνων που σχετίζονται με την πρόσβαση του προμηθευτή στα αγαθά της Εταιρείας συμφωνούνται και τεκμηριώνονται με τον προμηθευτή.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α15 Πολιτική Ασφαλούς Διαχείρισης Προμηθευτών.

Διαχείριση Περιστατικών Ασφάλειας Πληροφοριών

Τα αρχεία διαχείρισης συμβάντων ασφαλείας διατηρούνται κεντρικά, ενημερώνονται και παρακολουθούνται μέσω του συστήματος διαχείρισης συμβάντων. Όλοι οι εργαζόμενοι οφείλουν να γνωρίζουν τι είναι ένα πραγματικό ή πιθανό συμβάν ασφαλείας, πώς να αναφέρουν το περιστατικό και σε ποιον να το αναφέρουν.

Η ευθύνη για την εποπτεία των παραβιάσεων της τεχνικής και φυσικής ασφάλειας ανήκει στον Υπεύθυνο Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΥΣΔΑΠ).

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α16 Πολιτική Διαχείρισης Συμβάντων Ασφαλείας.

Διαχείριση Ασφάλειας Πληροφοριών και Επιχειρησιακής Συνέχειας

Η Εταιρεία διασφαλίζει τη συνεπή και αποτελεσματική προσέγγιση στη διαχείριση μεγάλων περιστατικών ασφάλειας πληροφοριών, συμπεριλαμβανομένων των αδυναμιών και των επιπτώσεων ασφάλειας επικοινωνιών στη διαχείριση της επιχειρησιακής συνέχειας.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α17 Πολιτική Ασφάλειας Πληροφοριών Διαχείρισης Επιχειρησιακής Συνέχειας.

Συμμόρφωση

Η «CONNECTING DOTS Ι.Κ.Ε.» αποφεύγει τις παραβιάσεις νομικών, νομοθετικών, κανονιστικών ή συμβατικών υποχρεώσεων που σχετίζονται με την ασφάλεια των πληροφοριών και τυχόν απαιτήσεις ασφάλειας.

Η «CONNECTING DOTS Ι.Κ.Ε.» λαμβάνει τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια ή αλλοίωση, και μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση. Ειδικότερα, η «CONNECTING DOTS Ι.Κ.Ε.» λαμβάνει μέτρα που αποσκοπούν να διασφαλίσουν ότι:

  1. Όποιος διαχειρίζεται και διατηρεί προσωπικά δεδομένα γνωρίζει ότι είναι συμβατικά υπεύθυνος για την τήρηση ορθών πρακτικών προστασίας δεδομένων.
  2. Όσοι διαχειρίζονται και διατηρούν προσωπικά δεδομένα είναι κατάλληλα εκπαιδευμένοι για να το κάνουν.
  3. Όποιος διαχειρίζεται και διατηρεί προσωπικά δεδομένα εποπτεύεται κατάλληλα.

Η «CONNECTING DOTS Ι.Κ.Ε.» έχει θεσπίσει την πολιτική Α18 Πολιτική Συμμόρφωσης.

Αναθεώρηση

Το παρόν έγγραφο πρέπει να αναθεωρείται τουλάχιστον μία φορά κάθε χρόνο από τον ιδιοκτήτη του. Ο ιδιοκτήτης του εγγράφου πρέπει να διασφαλίσει ότι εφαρμόζεται ο σωστός αριθμός έκδοσης στο έγγραφο μόλις πραγματοποιηθεί ο έλεγχος.

Παραβίαση

Οποιοσδήποτε εργαζόμενος διαπιστωθεί ότι παραβίασε τη συγκεκριμένη πολιτική υπάρχει περίπτωση να βρεθεί αντιμέτωπος με πειθαρχική δίωξη, ή και διακοπή της εργασίας του.

Συμμόρφωση

Ο ιδιοκτήτης του εγγράφου ή ένας εξουσιοδοτημένος πληρεξούσιος μπορεί να διενεργεί τακτικούς ελέγχους συμμόρφωσης του παρόντος εγγράφου για την καταγραφή των αποδεικτικών στοιχείων της ανασκόπησης, μαζί με τυχόν διορθωτικές ή προληπτικές ενέργειες που έχουν συμφωνηθεί ως αποτέλεσμα περιστατικών μη συμμόρφωσης.