ISMS politike
Sistem upravljanja informacijskom sigurnošću
Predmet ove politike je definisanje opštih pravaca i principa aktivnosti u Sistemu za upravljanje bezbijednošću (u daljem tekstu: ISMS) prema zahtijevima tekuće verzije standarda ISO 27001 kako bi se:
- obezbijedila povjerljivost, integritet i raspoloživost informacija
- minimizovala poslovna šteta sprečavanjem bezbijednosnih incidenata ili minimizovanjem njihovog uticaja,
- osigurao kontinuitet poslovanja,
- obezbjedio okvir za postavljanje i preispitivanje ISMS
Svrha ISMS-a je da zaštiti informacije kao vrijednu imovinu JUAS-a od svih mogućih bezbijednosnih pretnji bilo da su interne ili eksterne, namjerne ili slučajne.
Politika ISMS-a primjenjuje se na sve poslovne procese JUAS-a povezane sa servisima i informacijama u njihovom životnom ciklusu. Područje primjene obuhvata one aktivnosti koje direktno utiču na dostupnost resursa, servisa ili informacija kao imovine JUAS-a, kao i aktivnosti vezane za upravljanje rizicima po bezbijednost informacija.
Osnovna načela ISMS Politike u JUAS-u su:
- Propisi sistema za upravljanje bezbijednošću informacija dokumentuju se i dostupni su svim zainteresovanim stranama koje su odgovorne za njihovo sprovođenje.
- Interesi internih i eksternih korisnika, uključujući i njihove lične podatke, su u fokusu zaštite u pogledu bezbijednosti proizvoda i/ili IT/ICT Zahtijevi korisnika u pogledu bezbijednosti informacija interpretiraju se i predstavljaju kao dio ugovornih obaveza i propisujućih dokumenata JUAS-a.
- Informacije kao i ostala imovina štite se na način koji je proporcionalan riziku, kroz efikasnu primjenu mjera IT zaštite i procedura u skladu sa finansijskim mogućnostima i tehnološkom strategijom JUAS-a.
- Kako bi se ostvarila uspješna saradnja sa poslovnim partnerima uzimaju se u obzir bezbijedonosni zahtijevi JUAS-a i interesi poslovnih partnera.
- Rukovodstvo JUAS-a preventivno i redovno procjenjuje i upravlja bezbijednosnim rizicima nastalim u toku poslovanja, a koji se odnose na usluge, resurse i informacije. U toku upravljanja rizicima donose se svjesne odluke o prihvatanju, ograničenju, smanjenju i prenošenju uticaja bezbijednosnih rizika. Smanjenjem bezbijednosnih rizika na prihvatljiv nivo stalno se unapređuje uspostavljeni Sistem za upravljanje bezbijednošću informacija.
- Uspostavljanjem efikasnog Sistema za upravljanje bezbijednošću informacija primjenjuju se mjere koje obuhvataju:
- usaglašenost ISMS-a sa zakonskim, regulatornim i ugovornim zahtijevima,
- posvećenost rukovodstva delegiranjem nadležnosti u pogledu bezbijednosti informacija, izjavama o poverljivosti i svjesti zaposlenih o njihovoj odgovornosti u slučaju narušavanja bezbijednosti informacija i IT sistema,
upravljanje pravima pristupa korisnika IT resursima, - klasifikaciju informacija,
- definisane bezbjednosne zahtijeve za zaposlene, izvođače radova i korisnike kao i zahtijeve za fizičkom bezbijednošću,
- bezbjednosne zahtijeve koji se primjenjuju u toku razvoja ili modifikacije IT/ICT servisa,
- kontinuitet IT/ICT servisa i oporavak informacija i sistema od katastrofe,
- upravljanje bezbjednosnim incidentima i problemima,
- ispravno i bezbijedno izvršavanje poslovnih aktivnosti na informatičkoj opremi sa minimalnim rizikom od otkaza sistema,
- zaštitu integriteta podataka i softvera, mrežne infrastrukture i informacija koje se razmjenjuju kroz nju,
- zaštitu medija od neovlašćenog otkrivanja informacija, izmjena, uklanjanja ili uništavanja,
- bezbjednu razmjenu informacija i softvera unutar JUAS-a i sa spoljnim entitetima,
- kriptografske tehnike za zaštitu poverljivosti, autentičnosti i integriteta podataka,
- redovno nadgledanje i kontrolu ISMS-a.