1 Introducere
Prezentul document definește politica de securitate a informațiilor a Real Consulting S.A.
În calitate de companie modernă și orientată spre viitor, Real Consulting recunoaște, la nivel de conducere, necesitatea asigurării funcționării continue și neîntrerupte a activității sale, în beneficiul clienților, acționarilor și al celorlalte părți interesate.
Pentru a garanta un astfel de nivel de continuitate operațională, Real Consulting a implementat un Sistem de Management al Securității Informației (ISMS) în conformitate cu Standardul Internațional ISO/IEC 27001. Acest standard definește cerințele pentru un ISMS bazat pe cele mai bune practici recunoscute la nivel internațional.
Funcționarea ISMS aduce numeroase beneficii companiei, printre care:
• Protejarea fluxurilor de venituri și a profitabilității companiei;
• Asigurarea furnizării de bunuri și servicii către clienți;
• Menținerea și creșterea valorii pentru acționari;
• Conformitatea cu cerințele legale și de reglementare.
Real Consulting a decis să mențină certificarea completă ISO/IEC 27001, astfel încât implementarea efectivă a celor mai bune practici în materie de securitate a informațiilor să fie validată de o terță parte independentă, un Organism de Certificare Înregistrat (RCB).
Această politică se aplică tuturor sistemelor, persoanelor și proceselor care constituie sistemele informatice ale organizației, inclusiv membrilor consiliului de administrație, directorilor, angajaților, furnizorilor și altor terțe părți care au acces la sistemele Real Consulting.
2. Politica de securitate a informațiilor
2.1 Cerințe privind securitatea informațiilor
O definiție clară a cerințelor privind securitatea informațiilor în cadrul Real Consulting va fi stabilită și menținută împreună cu departamentele interne, astfel încât toate activitățile ISMS să fie orientate către îndeplinirea acestor cerințe. Cerințele legale, de reglementare și contractuale vor fi de asemenea documentate și integrate în procesul de planificare. Cerințele specifice referitoare la securitatea sistemelor sau serviciilor noi ori modificate vor fi identificate și luate în considerare în cadrul etapei de proiectare a fiecărui proiect.
Un principiu fundamental al Sistemului de Management al Securității Informației al Real Consulting este că măsurile de control implementate sunt determinate de nevoile de afaceri, iar acest lucru va fi comunicat în mod regulat întregului personal prin ședințe de echipă și documente informative.
2.2 Cadrul de stabilire a obiectivelor
Se va utiliza un ciclu regulat pentru stabilirea obiectivelor privind securitatea informațiilor, astfel încât acestea să coincidă cu ciclul de planificare bugetară. Aceasta va asigura alocarea unei finanțări adecvate pentru activitățile de îmbunătățire identificate. Obiectivele se vor baza pe o înțelegere clară a cerințelor de afaceri, fundamentată pe procesul de revizuire a managementului, în cadrul căruia pot fi obținute opiniile părților interesate relevante.
Obiectivele de securitate a informațiilor vor fi documentate pentru o perioadă de timp stabilită, împreună cu detalii privind modul în care vor fi realizate. Acestea vor fi evaluate și monitorizate ca parte a revizuirilor de management, pentru a se asigura că rămân relevante și aplicabile. Dacă sunt necesare modificări, acestea vor fi gestionate prin procesul de management al schimbărilor.
În conformitate cu standardul ISO/IEC 27001, controalele de referință detaliate în Anexa A a standardului vor fi adoptate, acolo unde este cazul, de către Real Consulting. Acestea vor fi revizuite periodic, ținând cont de rezultatele evaluărilor de risc și în conformitate cu planurile de tratament al riscurilor legate de securitatea informațiilor.
În plus, vor fi adoptate și implementate, după caz, controale suplimentare și îmbunătățite din următoarele coduri de practică:
• ISO/IEC 27002 – Cod de practică pentru controalele de securitate a informațiilor
• ISO/IEC 27017 – Cod de practică pentru controalele de securitate a informațiilor, bazat pe ISO/IEC 27002, pentru serviciile cloud
• ISO/IEC 27018 – Cod de bune practici pentru protecția informațiilor cu caracter personal (PII) în cloud-urile publice, care acționează ca procesatori de PII
Adoptarea acestor coduri de bune practici oferă o garanție suplimentară clienților noștri și contribuie la conformitatea cu legislația internațională privind protecția datelor.
2.3 Îmbunătățirea continuă a ISMS
Politica Real Consulting privind îmbunătățirea continuă presupune:
• Îmbunătățirea constantă a eficacității ISMS
• Perfecționarea proceselor existente pentru a le alinia la bunele practici definite în standardul ISO/IEC 27001 și în standardele conexe
• Obținerea certificării ISO/IEC 27001 și menținerea acesteia pe termen lung
• Creșterea nivelului de proactivitate (și a percepției părților interesate asupra proactivității) în domeniul securității informațiilor
• Crearea de procese și controale de securitate a informațiilor mai măsurabile, pentru a furniza o bază solidă pentru decizii informate
• Revizuirea anuală a indicatorilor relevanți pentru a evalua necesitatea ajustării acestora, pe baza datelor istorice colectate
• Colectarea de idei de îmbunătățire prin întâlniri regulate și alte forme de comunicare cu părțile interesate
• Analizarea ideilor de îmbunătățire în cadrul ședințelor periodice de management, pentru prioritizare și evaluarea termenelor și beneficiilor
• Ideile de îmbunătățire pot fi obținute din orice sursă, inclusiv de la angajați, clienți, furnizori, personal IT, evaluări de risc și rapoarte de serviciu. Odată identificate, acestea vor fi înregistrate și evaluate în cadrul revizuirilor de management
2.4 Domeniile de aplicare ale politicii de securitate a informațiilor
Real Consulting definește politici într-o gamă largă de domenii legate de securitatea informațiilor, detaliate într-un set cuprinzător de documente de politică care însoțesc prezenta politică generală de securitate a informațiilor. Aceste documente au rolul de a asigura respectarea celor trei dimensiuni fundamentale ale securității informațiilor: confidențialitatea, integritatea și disponibilitatea informațiilor.
Fiecare dintre aceste politici este definită și agreată de una sau mai multe persoane cu competență în domeniul respectiv și, odată aprobată formal, este comunicată unui public corespunzător, atât în cadrul organizației, cât și în afara acesteia.
2.5 Aplicarea politicii de securitate a informațiilor
Prevederile de politică cuprinse în prezentul document au fost revizuite și aprobate de conducerea de vârf a Real Consulting și trebuie respectate. Nerespectarea acestor politici de către un angajat poate atrage aplicarea măsurilor disciplinare, conform Procedurii disciplinare a organizației.
Întrebările referitoare la orice politică a Real Consulting trebuie adresate, în primul rând, superiorului ierarhic direct al angajatului.