ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΠΡΟΣΤΑΣΙΑΣ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ
E-ON INTEGRATION
Έκδοση 1.0. 1/7/2020
Η Εταιρεία μας δεσμεύεται για την αποτελεσματική λειτουργία και τη συνεχή βελτίωση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών και Ιδιωτικού Απορρήτου με σκοπό την προστασία της Εμπιστευτικότητας, της Ακεραιότητας και της Διαθεσιμότητας σύμφωνα με τις απαιτήσεις των:
- ISO 27001:2013 Σύστημα διαχείρισης της ασφάλειας πληροφοριών
- Το σύστημα διαχείρισης της ιδιωτικότητας των πληροφοριών ISO 27701:2019
- Όλη την ισχύουσα εθνική, ευρωπαϊκή και διεθνή νομοθεσία
Λαμβάνοντας υπόψη τα ανωτέρω:
1. Η εταιρεία μας σχεδιάζει, εφαρμόζει και βελτιώνει συνεχώς τις πολιτικές, τις διαδικασίες, τα τεχνικά και οργανωτικά μέτρα σχετικά με την ασφάλεια των πληροφοριών και την προστασία της ιδιωτικής ζωής.
2. Παρέχει προγράμματα εκπαίδευσης και ευαισθητοποίησης στους εργαζόμενους και σε τρίτους που εμπλέκονται στη λειτουργία των Συστημάτων Διαχείρισης της
3. Θέτει στόχους και σχετικούς δείκτες KPI για τη μέτρηση της αποτελεσματικότητας των Συστημάτων Διαχείρισης
4. Παρέχει τους απαιτούμενους πόρους για την επίτευξη των στόχων που θέτει
5. Μεριμνά για τη δημοσίευση της παρούσας πολιτικής στον δικτυακό τόπο.
Συγκεκριμένα:
Στόχος της Πολιτικής Ασφάλειας Πληροφοριών της E-ON INTEGRATION είναι η προστασία της Εμπιστευτικότητας, της Ακεραιότητας και της Διαθεσιμότητας των δεδομένων που απασχολούνται στην εταιρεία μας, παρέχοντας παράλληλα αξία στον τρόπο με τον οποίο ασκούμε τις δραστηριότητές μας. Ισχύει για όλους τους χρήστες και όλες τις πληροφορίες που βρίσκονται υπό την εξουσία της εταιρείας μας. Η προστασία της Εμπιστευτικότητας, της Ακεραιότητας και της Διαθεσιμότητας είναι βασικές αρχές της ασφάλειας πληροφοριών και μπορεί να οριστεί ως εξής:
- Εμπιστευτικότητα - Διασφάλιση ότι οι πληροφορίες είναι προσβάσιμες μόνο στα πρόσωπα που έχουν εξουσιοδοτηθεί να έχουν πρόσβαση.
- Ακεραιότητα - Προστασία της ακρίβειας και της πληρότητας των πληροφοριών και των μεθόδων που χρησιμοποιούνται για την επεξεργασία και τη διαχείρισή τους.
- Διαθεσιμότητα - Διασφάλιση ότι τα περιουσιακά στοιχεία των πληροφοριών (πληροφορίες, συστήματα, εγκαταστάσεις, δίκτυα και υπολογιστές) είναι προσβάσιμα και χρησιμοποιήσιμα όταν απαιτείται από εξουσιοδοτημένο πρόσωπο.
Η E-ON INTEGRATION αναγνωρίζει ότι οι πληροφορίες της επιχείρησής μας είναι ένα κρίσιμο περιουσιακό στοιχείο και ως εκ τούτου η ικανότητά μας να διαχειριζόμαστε, να ελέγχουμε και να προστατεύουμε αυτό το περιουσιακό στοιχείο έχει άμεσο και σημαντικό αντίκτυπο στη μελλοντική μας επιτυχία.
Το παρόν έγγραφο καθορίζει το πλαίσιο βάσει του οποίου γίνεται η διαχείριση της ασφάλειας των πληροφοριών μας, προκειμένου να διασφαλίσουμε ότι μπορούμε να διαχειριζόμαστε, να ελέγχουμε και να προστατεύουμε αποτελεσματικά και αποδοτικά τα περιουσιακά στοιχεία των επιχειρηματικών μας πληροφοριών και τα περιουσιακά στοιχεία των πληροφοριών που εμπιστεύονται στην E-ON INTEGRATION τα ενδιαφερόμενα μέρη, οι εταίροι, οι πελάτες και άλλα τρίτα μέρη.
Σκοπός
Σκοπός της Πολιτικής Ασφάλειας Πληροφοριών της E-ON INTEGRATION είναι να περιγράψει τις ενέργειες και τις συμπεριφορές που απαιτούνται για να διασφαλιστεί ότι λαμβάνεται η δέουσα μέριμνα για την αποφυγή ακατάλληλων κινδύνων για την E-ON INTEGRATION, τους επιχειρηματικούς εταίρους της, τα ενδιαφερόμενα μέρη της και τους πελάτες της ή άλλα τρίτα μέρη.
Σε ποιον εφαρμόζεται
Η Πολιτική Ασφάλειας Πληροφοριών της E-ON INTEGRATION εφαρμόζεται εξίσου σε κάθε άτομο, οντότητα ή διαδικασία που αλληλεπιδρά με οποιονδήποτε Πληροφοριακό Πόρο της E-ON INTEGRATION.
Αρμοδιότητες
Στην E-On Integration υπάρχουν καθημερινοί έλεγχοι των διαδικασιών και του προσωπικού τόσο από τη διοικητική ομάδα όσο και από τα διευθυντικά στελέχη που συμμετέχουν ενεργά στις καθημερινές λειτουργίες της εταιρείας. Όσον αφορά την Εμπιστευτικότητα, την Ακεραιότητα και τη Διαθεσιμότητα κάθε είδους πληροφοριών, κάθε άτομο στην εταιρεία, ανεξάρτητα από το βαθμό και τη θέση του, έχει τη δική του συμμετοχή και ρόλο βάσει σαφώς καθορισμένων ειδικών πολιτικών. Επίσης, υπάρχουν ειδικές ρήτρες που περιλαμβάνονται στις συμβάσεις τους.
Εκτελεστική διοίκηση (ΔΣ)
- Διασφαλίζει ότι εφαρμόζεται ένα κατάλληλο σύστημα διαχείρισης της ασφάλειας των πληροφοριών με βάση τον κίνδυνο για την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας όλων των πόρων πληροφοριών που συλλέγονται ή διατηρούνται από ή για λογαριασμό της E-ON INTEGRATION.
- Διασφαλίζει ότι οι διαδικασίες ασφάλειας πληροφοριών ενσωματώνονται στις διαδικασίες στρατηγικού και επιχειρησιακού σχεδιασμού για τη διασφάλιση της αποστολής του οργανισμού.
- Διασφαλίζει ότι η ομάδα διαχείρισης έχει την απαραίτητη εξουσία να διασφαλίζει τους πόρους πληροφοριών που βρίσκονται υπό τον έλεγχό της στο πλαίσιο του συστήματος διαχείρισης της ασφάλειας πληροφοριών της E-ON INTEGRATION.
- Ορίζει τον υπεύθυνο ασφάλειας πληροφοριών και αναθέτει την εξουσία στο εν λόγω άτομο να διασφαλίζει τη συμμόρφωση με τις ισχύουσες απαιτήσεις ασφάλειας πληροφοριών.
- Διασφαλίζει ότι ο υπεύθυνος ασφάλειας πληροφοριών, σε συντονισμό με τη διοικητική ομάδα, υποβάλλει εκθέσεις στο ΔΣ όποτε απαιτείται σχετικά με την αποτελεσματικότητα του συστήματος διαχείρισης της ασφάλειας πληροφοριών της E-ON INTEGRATION ή οποιεσδήποτε νέες απαιτήσεις.
Υπεύθυνος ασφάλειας πληροφοριών
- Διαχειρίζεται με τη βοήθεια της ομάδας διαχείρισης τη συμμόρφωση με όλες τις σχετικές νομοθετικές, κανονιστικές και συμβατικές απαιτήσεις.
- Αξιολογεί μετά από συστάσεις της ομάδας διαχείρισης τους κινδύνους για την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα όλων των πόρων πληροφοριών που συλλέγονται ή διατηρούνται από ή για λογαριασμό της E-ON INTEGRATION.
- Διευκολύνει την ανάπτυξη και υιοθέτηση υποστηρικτικών πολιτικών, διαδικασιών, προτύπων και κατευθυντήριων γραμμών για την παροχή επαρκούς ασφάλειας πληροφοριών και συνέχειας των λειτουργιών.
- Διασφαλίζει ότι η E-ON INTEGRATION έχει εκπαιδεύσει όλο το προσωπικό για την υποστήριξη της συμμόρφωσης με τις πολιτικές, τις διαδικασίες, τα πρότυπα και τις κατευθυντήριες γραμμές για την ασφάλεια των πληροφοριών.
- Διασφαλίζει ότι παρέχεται κατάλληλη εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών στο προσωπικό της εταιρείας, συμπεριλαμβανομένων τυχόν συμβασιούχων.
- Εφαρμόζει και διατηρεί μια διαδικασία για το σχεδιασμό, την εφαρμογή, την αξιολόγηση και την τεκμηρίωση διορθωτικών ενεργειών για την αντιμετώπιση τυχόν ελλείψεων στις πολιτικές, τις διαδικασίες και τις πρακτικές ασφάλειας πληροφοριών της E-ON INTEGRATION.
- Αναπτύσσει και εφαρμόζει διαδικασίες για τον έλεγχο και την αξιολόγηση της αποτελεσματικότητας του προγράμματος ασφάλειας πληροφοριών της E-ON INTEGRATION σύμφωνα με τους καθορισμένους στόχους.
- Αναπτύσσει και εφαρμόζει διαδικασία για την αξιολόγηση των κινδύνων που σχετίζονται με τους προμηθευτές και τη διαχείριση των σχέσεων με τους προμηθευτές.
Ομάδα διαχείρισης (ανώτερα στελέχη)
- Διασφαλίζει τη συμμόρφωση με τις ισχύουσες απαιτήσεις ασφάλειας πληροφοριών.
- Διαμορφώνει, αναθεωρεί και συνιστά πολιτικές ασφάλειας πληροφοριών.
- Εγκρίνει υποστηρικτικές διαδικασίες, πρότυπα και κατευθυντήριες γραμμές σχετικά με την ασφάλεια των πληροφοριών.
- Αξιολογεί την επάρκεια και την αποτελεσματικότητα των πολιτικών ασφάλειας πληροφοριών και συντονίζει την εφαρμογή των ελέγχων ασφάλειας πληροφοριών.
- Εντοπίζει και συνιστά τον τρόπο χειρισμού της μη συμμόρφωσης.
- Παρέχει σαφείς κατευθύνσεις και ορατή διοικητική υποστήριξη για πρωτοβουλίες ασφάλειας πληροφοριών.
- Προωθεί την εκπαίδευση, την κατάρτιση και την ευαισθητοποίηση για την ασφάλεια των πληροφοριών σε όλη την E-ON INTEGRATION και δρομολογεί σχέδια για τη διατήρηση της ευαισθητοποίησης για την ασφάλεια των πληροφοριών.
- Εκπαιδεύει τις ομάδες και το προσωπικό του σχετικά με τις τρέχουσες νομικές, κανονιστικές και συμμορφωτικές αλλαγές, καθώς και τα νέα και τις τάσεις του κλάδου.
- Εντοπίζει σημαντικές αλλαγές απειλών και ευπάθειες.
- Αξιολογεί τις πληροφορίες που λαμβάνει από τις διαδικασίες παρακολούθησης.
- Εξετάζει τις πληροφορίες για περιστατικά ασφάλειας πληροφοριών και συνιστά ενέργειες παρακολούθησης.
- Αναφέρει στον υπεύθυνο ασφάλειας πληροφοριών την αποτελεσματικότητα του συστήματος διαχείρισης ασφάλειας πληροφοριών της E-ON INTEGRATION, συμπεριλαμβανομένης της προόδου των διορθωτικών ενεργειών.
Όλοι οι υπάλληλοι, οι εργολάβοι και το λοιπό προσωπικό τρίτων
- Κατανοούν τις ευθύνες τους για τη συμμόρφωση με το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών της E-ON INTEGRATION.
- Υπογράφουν επίσημα και συμφωνούν να συμμορφώνονται με όλες τις ισχύουσες πολιτικές, πρότυπα και κατευθυντήριες γραμμές που έχουν θεσπιστεί.
- Να χρησιμοποιούν τους πληροφοριακούς πόρους της E-ON INTEGRATION σύμφωνα με όλες τις πολιτικές ασφάλειας πληροφοριών της E-ON INTEGRATION.
- Να ζητούν καθοδήγηση από τους ανώτερους διευθυντές για ερωτήσεις ή θέματα σχετικά με την ασφάλεια των πληροφοριών.
Πολιτική
- Η E-ON INTEGRATION διατηρεί και επικοινωνεί μια Πολιτική Ασφάλειας Πληροφοριών, η οποία αποτελείται από πολιτικές, πρότυπα, διαδικασίες και κατευθυντήριες γραμμές για συγκεκριμένα θέματα που:
o εξυπηρετούν την προστασία της Εμπιστευτικότητας, της Ακεραιότητας και της Διαθεσιμότητας των Πόρων Πληροφοριών που διατηρούνται στην εταιρεία μας, χρησιμοποιώντας διοικητικούς, φυσικούς και τεχνικούς ελέγχους.
o Παρέχουν αξία στον τρόπο με τον οποίο διεξάγουμε τις δραστηριότητές μας και υποστηρίζουν τους θεσμικούς στόχους.
- Η πολιτική μας για την ασφάλεια των πληροφοριών βοηθά όλους να κατανοήσουν την αξία των μέτρων ασφαλείας, καθώς και την κατεύθυνση που απαιτείται για την τήρηση των κανόνων. Επίσης, διατυπώνει τις στρατηγικές που εφαρμόζονται και τα βήματα που πρέπει να ληφθούν για τη μείωση της ευπάθειας, την παρακολούθηση για περιστατικά και την αντιμετώπιση των απειλών ασφαλείας.
- Η πολιτική ασφάλειας των πληροφοριών σε όλο της το εύρος επανεξετάζεται τουλάχιστον ετησίως ή μετά από σημαντικές αλλαγές στο περιβάλλον ασφάλειας των πληροφοριών.
Επιβολή
Το προσωπικό που διαπιστώνεται ότι έχει παραβιάσει την παρούσα πολιτική μπορεί να υπόκειται σε πειθαρχικά μέτρα, μέχρι και την απόλυση από την υπηρεσία, και σε σχετικές αστικές ή ποινικές κυρώσεις.
Οποιοσδήποτε πωλητής, σύμβουλος ή εργολάβος βρεθεί να έχει παραβιάσει την παρούσα πολιτική μπορεί να υποστεί κυρώσεις μέχρι και αφαίρεση των δικαιωμάτων πρόσβασης, καταγγελία της σύμβασης ή των συμβάσεων και σχετικές αστικές ή ποινικές κυρώσεις.
Η παρούσα ενημέρωση και όλα τα έγγραφα που σχετίζονται με αυτήν, επανεξετάζονται και αναθεωρούνται περιοδικά, όπου απαιτείται, από τον υπεύθυνο προστασίας δεδομένων σύμφωνα με την Πολιτική Ασφάλειας Πληροφοριών και Προστασίας της Ιδιωτικότητας.