Politica de Securitate a Informatiei
Introducere
Acest document definește politica de securitate a informațiilor Organizatiei
Ca o afacere modernă și orientată spre viitor, Organizatia recunoaște la niveluri superioare, necesitatea de a se asigura că afacerea acesteia funcționează fără probleme și fără întrerupere în beneficiul clienților, acționarilor și altor părți interesate.
Pentru a asigura un astfel de nivel de funcționare continuă, Organizația a implementat un set de controale de securitate a informațiilor pentru a-și aborda riscurile percepute.
Siguranța informațiilor are multe beneficii pentru afaceri, inclusiv:
- Protecția fluxurilor de venituri și rentabilitatea companiei
- Asigurarea furnizării de bunuri și servicii a clienților
- Menținerea și sporirea valorii acționarilor
- Respectarea cerințelor legale și de reglementare juridică
Această politică se aplică tuturor sistemelor, persoanelor și proceselor care constituie sistemele informatice ale organizației, inclusiv membrii consiliului, directorii, angajații, furnizorii și alte părți terțe care au acces la sistemele Organizatiei.
Următoarele documente justificative sunt relevante pentru această politică de securitate a informațiilor și oferă informații suplimentare despre modul în care sunt aplicate:
- Politica Sistemelor Cloud
- Politica Dispozitivelor Mobile
- Politica de Acces Control
- Politica Criptografica
- Politica de Securitate Fizica
- Politica Anti Malware
- Politica de Securitate a Retelei
- Politica Mesageriei Electronice
- Politica privind Protecția Datelor
Politica de Securitate a Informației
Cerinte privind Securitatea Informațiilor
O definire clară a cerințelor privind securitatea informațiilor în cadrul [Numelui Organizației] va fi convenită și menținută împreună cu clienții interni și cu serviciul cloud, astfel încât toată activitatea de securitate a informațiilor să se concentreze asupra îndeplinirii acestor cerințe. Cerințele legale, de reglementare și contractuale vor fi, de asemenea, documentate și introduse în procesul de planificare. Cerințele specifice cu privire la securitatea sistemelor, a serviciilor noi, sau schimbate, vor fi captate ca parte a etapei de proiectare a fiecărui proiect.
Este un principiu fundamental al programului de securitate al informațiilor Organizatiei, astfel incat controalele implementate sunt determinate de nevoile afacerii va fi comunicat în mod regulat întregului personal prin întâlniri de echipă și documente de informare.
Cadrul Stabilirii Obiectivelor
Un ciclu regulat va fi utilizat pentru stabilirea obiectivelor de securitate a informațiilor, care să coincidă cu ciclul de planificare bugetară. Aceasta va asigura obținerea unei finanțări adecvate pentru activitățile de îmbunătățire identificate. Aceste obiective vor fi bazate pe o înțelegere clară a cerințelor afacerii, informate de procesul de revizuire a conducerii, pe parcursul căruia pot fi obținute opiniile părților interesate relevante.
Obiectivele securității informațiilor vor fi documentate pentru o perioadă de timp convenită, împreună cu detalii despre modul în care acestea vor fi atinse. Acestea vor fi evaluate și monitorizate ca parte a reviziilor de conducere pentru a se asigura că rămân valabile. Dacă sunt necesare modificări, acestea vor fi rezolvate prin procesul de gestionare a schimbării.
Controlul securității informațiilor va fi adoptat, după caz, de Organizație. Acestea vor fi revizuite în mod regulat, în funcție de rezultatul evaluărilor riscurilor și în conformitate cu planurile de tratare a riscurilor legate de securitatea informațiilor.
În plus, vor fi adoptate și implementate, după caz, controale sporite și suplimentare din codurile de practică relevante. Adoptarea acestor coduri de practică va oferi o asigurare suplimentară clienților noștri și va contribui în continuare la respectarea legislației internaționale privind protecția datelor.
Îmbunătățirea continuă a securității informațiilor
Politica Organizatiei în ceea ce privește îmbunătățirea continuă este:
- Îmbunătățirea continuă a eficienței controalelor de securitate a informațiilor
- Îmbunătățirea proceselor actuale pentru a le aduce în concordanță cu bunele practici definite în cadrul standardelor relevante asupra securității informațiilor;
- Creșterea nivelului de proactivitate (și percepția părților interesate despre proactivitate) în ceea ce privește securitatea informațiilor
- Asigurarea mai multor procese și controale de securitate a informațiilor pentru a oferi o bază solidă pentru luarea deciziilor în cunoștință de cauză
- Revizuirea anuala a valorilor relevante pentru a evalua dacă este adecvată modificarea acestora pe baza datelor istorice colectate
- Obțineți idei de îmbunătățire prin întâlniri regulate și prin alte forme de comunicare cu părțile interesate, inclusiv clienții serviciului cloud
- Revedeți ideile de îmbunătățire la întâlniri regulate de gestionare pentru a prioritiza și evalua termenii și beneficiile
Idei pentru îmbunătățiri pot fi obținute din orice sursă, inclusiv angajați, clienți, furnizori, personal IT, evaluări de risc și rapoarte de servicii. Odată identificate, acestea vor fi înregistrate și evaluate ca parte a revizuirilor manageriale.
Zonele Politicii de Securitate a Informațiilor
Organizatia definește politica într-o mare varietate de domenii legate de securitatea informațiilor care sunt descrise în detaliu într-un set cuprinzător de documente de politici care însoțește această politică generală de securitate a informațiilor.
Fiecare dintre aceste politici este definită și convenită de una sau mai multe persoane cu competențe în domeniul respectiv și, odată aprobată în mod oficial, este comunicată unui public adecvat, atât în cadrul organizației, cât și extern.
Tabelul de mai jos prezintă politicile individuale din cadrul setului de documentații și rezumă conținutul fiecărei politici și publicul țintă al părților interesate.
Politica de control a accesului la sistemele IT si aplicații
Introducere
Controlul accesului asupra informatiilor noastre este o parte fundamentala a unei strategii de aparare cu rol in securitatea informatiilor. Daca trebuie sa protejam eficient confidentialitatea, integritatea si disponibilitatea datelor securizate, atunci trebuie sa ne asiguram ca exista un amestec complex de controale fizice si logice.
Insa politica noastra, in ceea ce priveste controlul accesului, trebuie sa asigure ca masurile pe care le punem in aplicare sunt adecvate cerintei de protectie a afacerii si nu sunt, in zadar, riguroase. Prin urmare, politica trebuie sa se bazeze pe o intelegere clara a cerintelor specificate de proprietarii activelor implicate.
Aceste cerinte pot depinde de factori precum:
- Clasificarea de securitate a informatiilor stocate si procesate de un anumit sistem sau serviciu.
- Legislatia relevanta care se poate aplica in România
- Cadrul de reglementare in care functioneaza organizatia si sistemul.
- Obligatiile contractuale fata de parti terte externe
- Amenintarile, vulnerabilitatile si riscurile implicate
- Disponibilitatea organizatiei pentru risc.
Aceasta politica de control a accesului este conceputa astfel incat sa tina seama de cerintele de securitate ale afacerilor si ale informatiilor organizatiei si este supusa unei revizuiri periodice pentru a se asigura ca aceasta ramane adecvata.
Acest control se aplica tuturor sistemelor, persoanelor si proceselor ce constituie sistemele informatice ale organizatiei, inclusiv membrii consiliului, directorii, angajatii, furnizorii si alte parti terte care au acces la sistemele Organizatiei.
Urmatoarele politici si proceduri sunt relevante pentru acest document:
- Politica privind Dispozitivele Mobile
- Politica de Securitate a Retelei
- Politica privind Cloud Computing
Cerinte de Afaceri pentru Accesul Controlului
Cerintele pentru accesul controlului trebuie sa fie stabilite pentru toate persoanele si toate sistemele Oragnizatiei.
Cerintele privind securitatea informatiilor trebuie sa fie clar specificate in documentul de specificatii privind cerintele de afaceri si trebuie sa tina seama de standardele organizatiei.
Pe langa cerintele specificate, un numar de principii generale vor fi folosite in timpul elaborarii controalelor de acces pentru sistemele si serviciile Organizatiei.
Acestea sunt:
- Apararea in Profunzime– Securitatea nu trebuie sa depinde de nici un control unic, ci sa fie suma unui numar de controale complementare
- Cel mai mic Privilegiu– Abordarea implicita trebuie sa fie aceea de a presupune ca accesul nu este necesar, mai degraba decat sa presupunem ca este
- Trebuie sa Stii– Accesul este acordat numai informatiilor necesare pentru a indeplini un rol, si nimic mai mult
- Trebuie Folosit– Utilizatorii vor putea accesa facilitatile fizice si logice necesare pentru rolul lor.
Respectarea acestor principii de baza va contribui la mentinerea sigurantei sistemelor, prin reducerea vulnerabilitatilor si, prin urmare, a numarului si gravitatii incidentelor de securitate care apar.
Ca parte a selectiei furnizorilor de servicii Cloud, trebuie luate in considerare urmatoarele considerente legate de acces:
- Functiile de inregistrare si de anulare a inregistrarii a utilizatorului
- Facilitati pentru gestionarea drepturilor de acces la serviciul Cloud.
- In ce masura poate fi controlat accesul la serviciile Cloud, functiile serviciului Cloud si datele clientilor serviciului Cloud pe baza cerintelor
- Disponibilitatea autentificarii a mai multor utilizatori pentru conturile de administrator
- Proceduri de alocare a informatiilor secrete, cum ar fi parolele.
Respectarea acestor cerinte ca parte a procesului de selectie va asigura ca prevederile acestei politici pot fi respectate atat in Cloud, cat si in cadrul sistemelor din premisa.
Gestionarea Accesului Utilizatorilor
Procedurile formale de control al accesului utilizatorilor trebuie sa fie documentate, implementate si actualizate pentru fiecare aplicare si sistem informatic, pentru a asigura accesul autorizat si pentru a-l impiedica pe cel neautorizat. Acestea trebuie sa acopere toate etapele ciclului de viata al accesului utilizatorilor, de la inregistrarea initiala a utilizatorilor noi pana la anularea finala a inregistrarii utilizatorilor ce nu mai au nevoie de acces.
Drepturile de acces ale utilizatorilor trebuie revizuite in cadrul intervalelor regulate, pentru a se asigura ca drepturile corespunzatoare sunt inca alocate. Conturile de administrare a sistemului trebuie furnizate numai utilizatorilor ce trebuie sa efectueze sarcini de administrare a sistemului.
Inregistrarea si Anularea Inregistrarii Utilizatorului
O cerere pentru acces asupra sistemelor informatice si retelei Organizatiei trebuie mai intai inaintata la [Biroul de Serviciu IT] pentru aprobare. Toate cererile vor fi procesate conform unei proceduri oficiale care asigura efectuarea unor verificari adecvate de securitate si obtinerea corecta a unei autorizatii, inaintea de crearea contului de utilizator. Principiul sagregarii sarcinilor se va aplica astfel incat crearea contului de utilizator si atribuirea permiselor sa fie efectuate de persoane diferite.
Fiecare cont de utilizator va avea un nume de utilizator unic ce nu este impartit cu niciun alt utilizator si este asociat cu un anumit individ. Cu alte cuvinte, nu reprezinta un titlu de job sau un rol. Conturile de utilizator generice, adica conturile unice ce urmeaza a fi utilizate de un grup de persoane nu trebuie sa fie create, intrucat ofera o alocare insuficienta a responsabilitatii.
Initial, trebuie creata o parola puternica in configurarea contului si comunicata utilizatorului prin mijloace sigure. Utilizatorul va avea obligatia de a schimba parola la prima utilizare a contului.
Atunci cand un angajat paraseste organizatia in circumstante normale, accesul acestuia asupra sistemelor informatice trebuie suspendat in ultima zi lucratoare a angajatului. Este responsabilitatea superiorului ierarhic sa solicite suspendarea drepturilor de acces prin [Biroul de Serviciu IT].
In situatiile exceptionale in care se considera ca exista riscul ca angajatul sa actioneze, inainte sau dupa reziliere, astfel incat sa dauneze organizatia, o cerere de eliminare a accesului poate fi aprobata si pusa in practica inainte de notificarea de reziliere. Aceasta precautie se va aplica in special in cazul in care persoana in cauza are drepturi privilegiate de acces, de ex. administratorul domeniului.
Conturile de utilizator trebuie initial suspendate sau dezactivate si nu eliminate. Numele conturilor de utilizator nu trebuie refolosite, intrucat acest lucru poate cauza confuzie in cazul unei investigatii ulterioare.
Furnizarea accesului utilizatorilor
Fiecare utilizator trebuie sa aiba drepturi de acces si permisiuni asupra sistemelor informatice ce sunt proportionale cu sarcinile care sunt asteptate sa le indeplineasca. In general, aceasta va fi bazata pe roluri, adica un cont de utilizator va fi adaugat unui grup ce a fost creat cu permisiunile de acces cerute de rolul respectiv.
Rolurile de grup trebuie sa fie mentinute in conformitate cu cerintele Organizației/ afacerii, iar orice modificare a acestora trebuie autorizata si controlata in mod oficial prin intermediul procesului de gestionare a schimbarilor.
Conditiile suplimentare ad-hoc nu trebuie acordate conturilor de utilizator din afara rolurilor grupului; in cazul in care sunt necesare astfel de permisiuni, aceasta trebuie abordata ca o schimbare si solicitata in mod oficial.
Eliminarea sau Ajustarea Drepturilor de acces
In cazul necesitatii unei ajutari a dreptului de acces sau a permisiunilor, de ex. datorita unui rol individual schimbator, acest lucru trebuie sa se realizeze ca parte a schimbarii rolului. Trebuie sa fie asigurat ca drepturile de acces care nu mai sunt necesare in cadrul noului rol sunt eliminate din contul de utilizator. In cazul in care un utilizator isi asuma un rol nou in plus fata de cel existent (mai degraba decat in loc de), atunci trebuie sa se solicite un rol compozit nou prin gestionarea modificarilor. Se va acorda o atentie deosebita oricarei probleme legate de separarea sarcinilor.
In niciun caz administratorii nu vor putea sa-si schimbe propriile conturi de utilizator sau permisiuni.
Administrarea Drepturilor de Acces Privilegiate
Drepturile de acces privilegiate, cum ar fi cele asociate conturilor la nivel de administrator, trebuie sa fie identificate pentru fiecare sistem sau retea si sa fie strict controlate. In general, utilizatorii tehnici (cum ar fi personalul de asistenta IT) nu vor folosi zilnic conturile de utilizator cu acces privilegiat, mai degraba un cont de utilizator separat „admin” trebuie sa fie creat si utilizat numai atunci cand sunt necesare privilegii suplimentare. Aceste conturi trebuie sa fie specifice unui individ, de ex. „Popescu George Admin”; conturile generice de administrare nu trebuie utilizate deoarece ofera o identificare insuficienta a utilizatorului.
Accesul la permisiunile de administrator trebuie sa fie alocate numai persoanelor a caror roluri necesita astfel de permisiuni si care au beneficiat de o instruire suficienta pentru a intelege implicatiile utilizarii acestora.
Utilizarea conturilor de utilizator cu acces privilegiat in rutine automatizate, cum ar fi lucrari de tip sortare sau interfata, trebuie evitata acolo unde este posibil. In cazul in care acest lucru este inevitabil, parola utilizata trebuie protejata si modificata in mod regulat.
Autentificarea Utilizatorului pentru Conexiuni Externe
In conformitate cu politica de securitate a retelei, utilizarea modem-urilor pe PC-uri sau dispozitive ce nu sunt din cadrul organizatiei sau dispozitive conectate la reteaua organizatiei pot compromite securitatea retelei. O aprobare specifica trebuie obtinuta de la [Biroul de Servicii IT] inainte de a conecta orice echipament la reteaua organizatiei.
In cazul in care accesul la retea este necesar prin intermediul retelelor VPN, trebuie solicitata o cerere prin [Biroul de Servicii IT]. O politica de utilizare a autentificarii cu doi factori pentru accesul de la distanta va fi folosita in conformitate cu principiul „ceva ce aveti si ceva ce stiti”, pentru a reduce riscul accesului neautorizat de pe internet.
Pentru informatii suplimentare, consultati Politica Dispozitivelor Mobile
Accesul de la Distanță al Furnizorului asupra Retelei Organizatiei
Agentiile partenere sau furnizorii terti nu trebuie sa primeasca detalii despre cum sa acceseze reteaua organizatiei fara permisiunea [Biroului de Servicii IT]. Orice modificare a conexiunii furnizorului (de exemplu, la terminarea unui contract) trebuie trimisa imediat la [Biroul de Servicii IT], astfel incat accesul sa poata fi actualizat sau oprit. Toate permisiunile si metodele de acces trebuie sa fie controlate de [Biroul de Servicii IT].
Partenerii sau furnizorii terti trebuie sa contacteze [Biroul de Servicii IT] cu fiecare ocazie, pentru a solicita permisiunea de a se conecta la retea, iar un jurnal de activitate trebuie pastrat. Software-ul de acces de la distanta si conturile de utilizator trebuie dezactivate atunci cand nu sunt utilizate.
Revizuirea Drepturilor de Acces ale Utilizatorului
In mod regulat (cel putin o data pe an), proprietarii de bunuri si sisteme vor fi obligati sa analizeze cine are acces in domeniile lor de responsabilitate si nivelul de acces disponibil. Aceasta va fi identificarea:
- Persoanele ce nu ar trebui sa aiba acces (de ex. cei ce parasesc Organizația)
- Conturi de utilizator cu un acces mai mare decat cel cerut de rol
- Conturi de utilizator cu alocari de roluri incorecte
- Conturi de utilizator ce nu ofera o identificare adecvata, de ex. conturile generice sau impartite.
- Orice alta problem ce nu respecta aceasta politica
Aceasta revizuire ca fi efectuata in conformitate cu o procedura oficiala si cu orice actiuni corective identificate si efectuate.
O revizuire a conturilor de utilizator cu acces privilegiat va fi efectuata de [Managerul de Securitate a Informatiilor] trimestrial, pentru a se asigura ca aceasta politica este respectata.
Autentificarea Utilizatorilor și Politica de Parole
O parola puternica este o bariera esentiala impotriva accesului neautorizat. Din pacate, aceasta zona este deseori dovedita a fi o legatura slaba in strategia de securitate a organizatiei si sunt disponibile o multitudine de modalitati ce imbunatatesc securitatea autentificarii utilizatorilor, inclusiv diferite forme de autentificare cu doi factori si tehnici biometrice.
Politica Organizatiei este de a utiliza metode suplimentare de autentificare bazate pe o evaluare a riscurilor ce iau in considerare:
- Valoarea bunurilor protejate
- Gradul de amenintare considerat existent
- Costul metodei suplimentare de autentificare
- Usurinta utilizarii si a caracterului practic al metodei propuse
- Orice alte controale relevante in vigoare
Utilizarea metodelor de autentificare multifactoriala trebuie sa fie justificata pe baza factorilor de mai sus, pusa in aplicare si mentinuta in siguranta, dupa caz.
Single Sign-On (SSO) va fi utilizata in cadrul retelei interne in care sunt suportate de sistemele relevante, cu exceptia cazului in care cerintele de securitate sunt considerate de a fi de asa natura incat este necesara o conectare ulterioara.
Responsabilitatile Utilizatorului
Pentru a-si exercita atentia cuvenita si pentru a incerca sa asigure securitatea informatiilor sale, Organizația cheltuie timp și bani semnificativi in implementarea unor controale eficiente pentru a reduce riscul si vulnerabilitatile. Cu toate acestea, multe depind inca de gradul de ingrijire exercitat de utilizatorii de retele si sisteme in rolurile lor de zi cu zi. Multe incalcari recente de securitate au fost cauzate, in mare masura, de accesul neautorizat la conturile de utilizator ce rezulta din furtul sau ghicitul parolelor.
Prin urmare, este esential ca fiecare utilizator sa-si joace rolul in protejarea accesului acordat si sa se asigure ca nu este folosit contul sau pentru a dauna organizatiei.
Pentru a maximiza securitatea informatiilor noastre, fiecare utilizator trebuie sa:
- Foloseasca o parola puternica, adica o parola ce respecta regulile stabilite in aceasta politica.
- Nu spuna nimanui parola sis a nu permita nimanui sa foloseasca contul.
- Nu inregistreze parola in scris sau electronic, de exemplu intr-un fisier sau e-mail
- Evite utilizarea aceleiasi parola pentru alte conturi de utilizator, personale sau legate de afaceri
- Asigure ca orice PC sau dispozitiv pe care il lasa nesupravegheat, conectat la retea, este blocat sau deconectat.
- Nu lase nimic pe ecran ce sa contina informatii de acces, cum ar fi numele de conectare si parolele
- Informeze [Biroul de servicii IT] despre orice modificare a rolului si a cerintelor de acces.
Nerespectarea acestor cerinte poate determina organizatia sa ia masuri disciplinare impotriva persoanei/persoanelor in cauza.
Controlul de Acces asupra Sistemelor si Aplicatiilor
Ca parte a procesului de evaluare a sistemelor noi sau modificate semnificativ, trebuie abordate cerintele pentru un control efectiv al accesului si trebuie implementate masuri adecvate.
Acestea trebuie sa cuprinda un model cuprinzator de securitate care include suport pentru urmatoarele:
- Crearea de conturi individuale de utilizator
- Definirea rolurilor sau grupurilor la care pot fi allocate conturile de utilizator
- Alocarea permisiunilor catre obiecte (de exemplu, fisiere, programme, meniuri) de diferite tipuri (de exemplu, cititi, scrieti, stergeti, executati) la subiecte (conturi si grupuri de utilizatori)
- Furnizarea de vizualizari diferite ale optiunilor din meniuri si ale datelor in functie de contul de utilizator si nivelele de permisiune ale acestuia
- Administrarea contului de utilizator, inclusive abilitatea de a dezactiva si sterge conturile
- Controalele de conectare a utilizatorilor, cum ar fi:
- Nu se afiseaza parola asa cum este introdusa
- Blocarea contului odata ce numarul de incercari gresite de conectare depaseste un prag specificat
- Ofera informatii despre numarul de incercari de conectare nereusite si ultima conectare reusita odata ce utilizatorul a fost conectat cu succes
- Restrictii de conectare bazate pe data si timp
- Restrictii de conectare asupra dispozitivului si locatiei
- Timpul de inactivitate al utilizatorului
- Administrarea parolei, incluzand:
- Abilitatea utilizatorului de a schimba parola
- Control asupra parolelor acceptabile
- Expirarea parolei
- Stocarea si transmisia parolei criptate
- Facilitati de audit pentru securitate, inclusive logare/delogare, incercari de conectare nereusite, activitati de acces la obiecte si administrare de cont
In timpul dezvoltarii software-ului, codul sursa al programului trebuie sa fie protejat impotriva accesului neautorizat.
Accesul la programele de utilitate care ofera o metoda de ocolire a securitatii sistemului (de exemplu, instrumentele de manipulare a datelor) trebuie strict controlat si utilizarea lor limitata pentru indivizii identificati si circumstantele identificate, de ex. ca parte a unui proiect numit sau schimbare.
Politica de Acceptare a Protecției Datelor de către angajați
Introducere
Organizatia trateaza cu seriozitate maxima problema securitatii informatiilor. Avem datoria de a proteja informatiile pe care le colectam si folosim in beneficiul organizatiei si al clientilor sai. In functie de angajat, va fi de asteptat sa respectati pe deplin toate politicile de securitate a informatiilor si sa raportati orice incalcare, de care ati putea fi constient, a acestor politici.
Acest document ofera un rezumat al principalelor idei ale politicilor relevante si solicita sa semnati, dovedind ca ati citit si ati inteles prevederile acesteia.
Orice persoana ce incalca politica de securitate a informatiilor poate fi subiectul unor masuri disciplinare. In cazul savarsirii unei infractiuni, pot fi luate masuri suplimentare pentru a ajuta la urmarirea penala a infractorului/infractorilor.
Daca nu intelegeti implicatiile acestei politici sau modul in care va poate afecta, va rugam, cu prima ocazie, sa solicitati sfatul manager-ului dumneavoastra.
Acest control se aplica tuturor sistemelor, persoanelor si proceselor ce constituie sistemele de informatie ale organizatiei, inclusiv membrii consiliului, directorii, angajatii, furnizorii si alte parti terte ce au acces la sistemele Organizatiei.
Urmatoarele politici si proceduri sunt relevante pentru acest document:
- Politica de Securitate a Informatiilor
- Politica de Mesagerie Electronica
- Politica Dispozitivelor Mobile
- Politica Protectiei Datelor
- Politica Cloud Computing
- Politica Accesului Controlului
- Politica Anti-Malware
- Procedura de Interventie in Cazul Incidentelor de Securitate a Informatiilor
Politica de Folosire Acceptabila
Va rog sa va asigurati ca ati citit urmatorul rezumat al principalelor idei ale politicilor organizatiei in ceea ce priveste securitatea informatiilor.
- Recunosc ca utilizarea de catre mine a sistemelor informatice si de comunicatii a [Numelui Organizatiei] poate fi monitorizata si/sau inregistrata in scopuri legale.
- Sunt de acord cu faptul ca sunt responsabil pentru folosirea si protejarea acreditarilor utilizatorului (cont de utilizator si parola, simbol de acces sau alte elemente ce imi pot fi furnizate)
- Nu voi folosi numele de utilizator si parola altcuiva pentru a accesa sistemele companiei.
- Nu voi incerca sa accesez sistemele unui computer la care nu am primit acces.
- Voi proteja orice material trimis, primit, stocat sau prelucrat de mine, in functie de nivelul de clasificare atribuit acestuia, inclusiv copii electronice si pe hartie.
- Ma voi asigura sa marchez orice material securizat pe care il creez conform instructiunilor publicate, astfel incat sa ramana protejat corespunzator.
- Nu voi trimite informatii securizate prin intermediul internetului (email sau alte metode), decat daca sunt folosite metode adecvate (ex. criptarea), pentru a fi protejate de accesul neautorizat.
- Ma voi asigura intotdeauna ca introduc adresa de email a destinatarului corect, astfel incat informatiile securizate sa nu fie compromise.
- Ma voi asigura ca nu sunt privit de catre persoane neautorizate in timp ce lucrez si voi avea grija in timpul tiparirii informatiilor securizate.
- Voi pastra in siguranta documentele securizate tiparite si va asigur ca acestea vor fi distruse corect cand nu vor mai fi necesare.
- Nu voi lasa computerul nesupravegheat, astfel incat accesul neautorizat sa poata fi obtinut prin intermediul contului meu in timp ce eu sunt plecat.
- Ma voi familiariza cu politica de securitate a organizatiei, procedurile si orice alta instructiune speciala referitoare la munca mea.
- Voi informa de urgenta managerul meu daca detectez, suspectez sau sunt martor al unui incident ce poate reprezenta o incalcare a securitatii, sau daca observ orice slabiciune de securitate a informatiilor in sisteme sau servicii.
- Nu voi incerca sa ocolesc sau subminez controalele de securitate ale sistemului, sau sa le utilizez in alte scopuri decat cele intentionate.
- Nu voi scoate echipamentul sau informatiile din incinta organizatiei fara o aprobare corespunzatoare.
- Voi lua masuri de precautie pentru a proteja toate computerele si dispozitivele mobile atunci cand le transport in afara spatiilor organizatiei (de exemplu lasand un laptop nesupravegheat sau expus intr-o masina, astfel incat sa atraga atentia hotilor).
- Nu voi introduce virusi sau alte programe daunatoare in sistem sau in retea.
- Nu voi incerca sa dezactivez protectia antivirus instalata la calculatorul meu.
- Voi respecta obligatiile legale, nationale sau contractuale pe care organizatia mi le-a impus ca fiind relevante pentru rolul meu.
- La parasirea organizatiei, imi voi informa managerul inainte de indepartarea tuturor informatiilor importante retinute in contul meu.