1. Definicja bezpieczeństwa
Przez bezpieczeństwo informacji rozumie się zapewnienie:
- poufności informacji (uniemożliwienie dostępu do danych osobom trzecim);
- integralności informacji (uniknięcie nieautoryzowanych zmian w danych);
- dostępności informacji (zapewnienie dostępu do danych w każdym momencie żądanym przez użytkownika);
- rozliczalności operacji wykonywanych na informacjach (zapewnienie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał).
Zarząd Firmy stosuje adekwatne do sytuacji środki, aby zapewnić bezpieczeństwo informacji w Firmie.
2. Oznaczanie danych
Jako dane podlegające szczególnej ochronie (informacje poufne) rozumie się:
- informacje o realizowanych kontraktach (zarówno planowane, bieżące jak i historyczne),
- informacje finansowe Firmy,
- informacje organizacyjne,
- dane dostępowe do systemów IT,
- dane osobowe,
- informacje stanowiące o przewadze konkurencyjnej Firmy,
- inne informacje oznaczone jako „informacji poufne” lub „dane poufne”.
3. Zasada minimalnych uprawnień
W ramach nadawania uprawnień do danych przetwarzanych w systemach IT Firmy stosowana jest zasada „minimalnych uprawnień”, to znaczy przydzielane są minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku. Tylko Administrator może przyznać stosowne uprawnienia.
4. Dostęp do danych poufnych na serwerach:
- dostęp do danych poufnych realizowany jest na przeznaczonych do tego serwerach;
- dostęp do danych poufnych (udany lub nieudany) na serwerach jest odnotowywany.
Lista systemów objętych tego typu działaniami dostępna jest w osobnym dokumencie.
5. Zabezpieczenie serwerów
Serwery są zabezpieczone przed nieautoryzowanym dostępem osób trzecich.
Stosowane środki ochrony to:
- zainstalowane na stacjach systemy firewall oraz antywirus,
- wdrożony system aktualizacji systemu operacyjnego oraz jego składników,
- wymaganie podania hasła przed uzyskaniem dostępu serwera.
6. Odpowiedzialność pracowników za dane poufne
Każdy pracownik odpowiada za utrzymanie w tajemnicy danych poufnych, do których dostęp został mu powierzony.
7. Dokumentowanie bezpieczeństwa
Firma prowadzi dokumentacje w zakresie:
- obecnie wykorzystywanych metod zabezpieczeń systemów IT,
- ewentualnych naruszeń bezpieczeństwa systemów IT,
- dostępów do zbiorów danych / systemów udzielonych pracownikom.
Wszelkie zmiany w obszarach objętych dokumentacją uwzględniane są w tejże dokumentacji.
8. Dane osobowe
Szczegółowe wytyczne dotyczące przetwarzania danych osobowych zawarte są w osobnym dokumencie - https://sklep.uczesane-mysli.pl/content/2-polityka-prywatnosci
9. Kopie zapasowe:
- Każde istotne dane (w tym dane poufne) są archiwizowane na wypadek awarii w firmowej infrastrukturze IT;
- Nośniki z kopiami zapasowymi są przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym;
- Okresowo kopie zapasowe są testowane pod względem rzeczywistej możliwości odtworzenia danych.