Πολιτική Ασφάλειας Πληροφοριών

H fsociety είναι προσηλωμένη στην παροχή υψηλής ποιότητας υπηρεσιών συμβουλευτικής αλλά και στην προσπάθεια ανάπτυξης ενός δημιουργικού περιβάλλοντος έρευνας και εργασίας. Η Διοίκηση της Εταιρείας δεσμεύεται στη διασφάλιση της Ποιότητας και της Ασφάλειας Πληροφοριών και Προσωπικών Δεδομένων. Η δέσμευση της ηγεσίας αλλά και όλου του προσωπικού της Εταιρείας για τη συνεχή βελτίωση των παρεχόμενων υπηρεσιών αποτελεί στρατηγικό στόχο διοίκησης και ευθύνης.

Το όραμά της fsociety δεν περιγράφει μόνο τη φιλοδοξία της για την επίτευξη της αποστολής της, αλλά και το που θέλει η ίδια να φτάσει την κοινωνία μέσω της παροχής των υπηρεσιών της. Το όραμα της fsociety είναι:

«οι πελάτες της να είναι σε θέση να κατανοήσουν και να επωφεληθούν από τις ευκολίες, την ασφάλεια, την προοπτική και τις ευκαιρίες της νέας εποχής του διαδικτύου των πραγμάτων, υλοποιώντας τις ιδέες τους σε έναν ασφαλή ψηφιακό κόσμο.»

Η fsociety αντιλαμβάνεται τη δήλωση της αποστολής της ως το σκοπό που υπηρετεί. Η δήλωση της αποστολής της έχει ως στόχο να διασαφηνίσει το “πώς”, “ποιος” και το “γιατί”. Αποτελεί το σχέδιο δράσης του οράματος της Εταιρείας.

«Αποστολή της fsociety είναι να παρέχει υψηλής ποιότητας υπηρεσίες τις οποίες οι Πελάτες της συστήνουν στους συνεργάτες τους, οι Μέτοχοι θέλουν για τις εταιρείες τους, οι Σύμβουλοι επιλέγουν για τους πελάτες τους, οι Εργαζόμενοι είναι υπερήφανοι και οι Επενδυτές αναζητούν για μακροχρόνια οφέλη.»

Η Εταιρεία μας αναγνωρίζει την Ποιότητα και την Ασφάλεια των Πληροφοριών και Προσωπικών Δεδομένων ως θεμελιακό στοιχείο για την πραγμάτωση του οράματος και την επίτευξη της αποστολής της. Αφετηρία της πολιτικής ασφάλειας πληροφοριών αποτελεί η δέσμευση της Διοίκησης και του Προσωπικού της Εταιρείας για την αξιόπιστη και συνεχή βελτίωση της ποιότητας και της ασφάλειας των παρεχόμενων υπηρεσιών και των εταιρικών σχέσεων,

Για να επιτευχθούν όλα τα παραπάνω, η fsociety έχει εγκαταστήσει, εφαρμόζει και βελτιώνει συνεχώς ένα Εσωτερικό Σύστημα Διαχείρισης Ποιότητας Ασφάλειας Πληροφοριών και Προσωπικών Δεδομένων.

  1. Για την διαχείριση της ποιότητας η Εταιρεία συμμορφώνεται με τις απαιτήσεις του Διεθνούς Προτύπου ISO 9001:2015 στο οποίο έχουν προσδιοριστεί οι εισερχόμενες και εξερχόμενες πληροφορίες που εξειδικεύονται στην οικεία πολιτική της διαθέσιμη εδώ.
  2. Για την προστασία των πληροφοριών, η Εταιρεία μας εφαρμόζει τις προβλέψεις του Διεθνούς Προτύπου ISO 27001:2013
  3. Για την προστασία των προσωπικών δεδομένων, η εταιρεία μας εφαρμόζει τις προβλέψεις του Γενικού Κανονισμού Προστασίας Δεδομένων (Ε.Ε. 679/16) όπως ενσωματώθηκε στην ελληνική έννομη τάξη και ισχύει κάθε φορά. Η εταιρεία μας διαχειρίζεται τις υπόψη προβλέψεις δια  μέσω του Συστήματος Διαχείρισης Προσωπικών Δεδομένων κατά τις προβλέψεις του Διεθνούς Προτύπου ISO 27701:2019 όπως εξειδικεύεται στην οικεία πολιτική της εδώ.

Όλα τα παραπάνω δομούν ένα στιβαρό και αδιάρρηκτο πλαίσιο υποστήριξης, ελέγχου και διοίκησης του Εσωτερικού Συστήματος Διαχείρισης Ποιότητας Ασφάλειας Πληροφοριών και Προσωπικών Δεδομένων.

Επισκόπηση Πολιτικής

Αυτή η πολιτική αποτελεί την Πολιτική Ασφάλειας Πληροφοριών και είναι σύμφωνη με το αναγνωρισμένο διεθνές πρότυπο ISO 27001:2013. Αυτό το πρότυπο διασφαλίζει ότι η Εταιρεία συμμορφώνεται με τις ακόλουθες αρχές ασφαλείας: 

  1. Εμπιστευτικότητα: όλες οι ευαίσθητες πληροφορίες θα προστατεύονται από μη εξουσιοδοτημένη πρόσβαση ή αποκάλυψη.
  2. Ακεραιότητα: όλες οι πληροφορίες θα προστατεύονται από τυχαία, κακόβουλη και δόλια αλλαγή ή καταστροφή.
  3. Διαθεσιμότητα: οι υπηρεσίες πληροφοριών θα είναι διαθέσιμες καθόλη τη διάρκεια που έχει συμφωνηθεί με τους χρήστες και θα προστατεύονται από τυχαία ή κακόβουλη ζημιά ή διακοπή υπηρεσίας.

Η f society δεσμεύεται να διασφαλίσει ότι τηρούνται όλες οι πτυχές της ασφάλειας των πληροφοριών για την εκπλήρωση των νόμιμων λειτουργιών της.

Η συμμόρφωση με τις πολιτικές και τις διαδικασίες ασφάλειας πληροφοριών της f society είναι υποχρεωτική για όλο το προσωπικό.

Ο Διευθύνων Σύμβουλος εγκρίνει τη συγκεκριμένη πολιτική. Η Επιτροπή Ποιότητας και Ασφάλειας Πληροφοριών έχει την ευθύνη να διασφαλίσει ότι η πολιτική εφαρμόζεται και τηρείται.

Η πολιτική ασφαλείας πληροφοριών επιβεβαιώνει τη δέσμευση της f society για συνεχή βελτίωση και αναδεικνύει τους βασικούς τομείς για την αποτελεσματική ασφάλεια των πληροφοριών της.

Λεπτομέρειες Πολιτικής

Ευθύνες και Δέσμευση Διοίκησης

Η Διοίκηση δεσμεύεται να πληροί όλες τις ισχύουσες απαιτήσεις αυτής της πολιτικής καθώς και τη συνεχή βελτίωση του ΣΔΑΠ, και ως εκ τούτου έχει καθιερώσει την πολιτική ασφάλειας πληροφοριών έτσι ώστε:

  1. να είναι κατάλληλη για το σκοπό της Εταιρείας,
  2. να περιλαμβάνει στόχους ασφάλειας πληροφοριών και να παρέχει το πλαίσιο για τον καθορισμό συνεχόμενων στόχων ασφάλειας πληροφοριών.

Η πολιτική ασφάλειας πληροφοριών είναι διαθέσιμη ως τεκμηριωμένη πληροφορία, επικοινωνείται εντός της Εταιρείας και είναι διαθέσιμη στα ενδιαφερόμενα μέρη, όταν απαιτείται.

Ηγεσία και Δέσμευση

Η Διοίκηση της Εταιρείας έχει ενεργό ρόλο και δεσμεύεται για την ορθή λειτουργία του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών. Συγκεκριμένα:

  1. διασφαλίζει ότι η πολιτική ασφάλειας πληροφοριών και οι στόχοι ασφάλειας πληροφοριών που έχουν καθοριστεί είναι συμβατοί με το στρατηγικό προσανατολισμό της Εταιρείας,
  2. διασφαλίζει ότι οι απαιτήσεις του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών έχουν ενσωματωθεί στις διαδικασίες της Εταιρείας,
  3. διασφαλίζει ότι οι πόροι που απαιτούνται για το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών είναι διαθέσιμοι,
  4. έχει γνωστοποιήσει σε όλα τα συμβαλλόμενα μέλη τη σημασία της αποτελεσματικής διαχείρισης της ασφάλειας των πληροφοριών και της συμμόρφωσης με τις απαιτήσεις του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών,
  5. διασφαλίζει ότι το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών επιτυγχάνει τα επιδιωκόμενα αποτελέσματα,
  6. καθοδηγεί και υποστηρίζει το προσωπικό ώστε να συμβάλλει στην αποτελεσματικότητα του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών,
  7. προάγει τη συνεχή βελτίωση και υποστηρίζει άλλους σχετικούς διαχειριστικούς ρόλους να επιδείξουν την ηγεσία τους, όπως ισχύει για τους τομείς ευθύνης τους.

Στόχοι Ασφάλειας Πληροφοριών

Οι στόχοι ασφάλειας πληροφοριών έχουν καθιερωθεί και είναι συμβατοί με τη στρατηγική κατεύθυνση της Εταιρείας. Ο βασικός στόχος είναι να λειτουργεί σύμφωνα με τις ενότητες του Διεθνούς Προτύπου ISO 27001:2013 που αναφέρονται παρακάτω.

Επιπλέον, οι στόχοι ασφάλειας πληροφοριών θα καθοριστούν από τη Διοίκηση ως ένα συνεχές έργο και στις ανασκοπήσεις της Διοίκησης που αφορούν ΣΔΑΠ θα δημιουργηθεί και θα εφαρμοστεί πολιτική στόχων ασφάλειας πληροφοριών ως μέρος του ΣΔΑΠ.

Οι στόχοι διαχείρισης της ασφάλειας πληροφοριών θα καθορίζονται και θα παρακολουθούνται τακτικά για να διασφαλίζεται ότι επιτυγχάνονται.

Η f society επιδιώκει να βελτιώνει συνεχώς το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με το PLAN-DO-CHECK-ACT για τη βελτίωση των διαδικασιών που ενσωματώνονται στο ΣΔΑΠ της.

Οργάνωση της Ασφάλειας Πληροφοριών

Η σημασία που αποδίδεται στην ασφάλεια των πληροφοριών εντός της f society αποδεικνύεται από τη θέσπιση της Επιτροπής Ποιότητας και Ασφάλειας Πληροφοριών. Η Επιτροπή ασχολείται με διάφορα ζητήματα σχετικά με την ασφάλεια πληροφοριών όπως:

  1. αναθεώρηση και πρόοδος στρατηγικών θεμάτων ασφάλειας,
  2. δημιουργία εξωτερικών σχέσεων με άλλους συμβούλους ασφάλειας πληροφοριών,
  3. εκτίμηση του αντικτύπου νέων νομοθετικών ή κανονιστικών απαιτήσεων που επιβάλλονται στην f society,
  4. παρακολούθηση της αποτελεσματικότητας του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών («ΣΔΑΠ») (π.χ. μέσω των αποτελεσμάτων των αναφορών του εσωτερικού ελέγχου και των συμβάντων ασφαλείας),
  5. σύσταση και έγκριση αλλαγών στο ΣΔΑΠ.

Η Επιτροπή Ποιότητας και Ασφάλειας Πληροφοριών συνεδριάζει τακτικά για να παρακολουθεί τα παραπάνω ζητήματα προκειμένου να διασφαλίσει τη συνεχή αποτελεσματικότητα του ΣΔΑΠ της f society. Η διαδικασία αναθεώρησης του ΣΔΑΠ ορίζεται στην πολιτική ανασκόπησης της Διοίκησης.

Η f society έχει θεσπίσει την πολιτική Α06 Πολιτική Οργάνωσης της Ασφάλειας Πληροφοριών.

Ασφάλεια Ανθρώπινων Πόρων

Όλο το ανθρώπινο δυναμικό της Εταιρίας εργάζεται σύμφωνα με τις πολιτικές και διαδικασίες που περιλαμβάνουν οι ειδικές απαιτήσεις ασφάλειας πληροφοριών. Επιπλέον, η «Πολιτική Αποδεκτής Χρήσης» διασφαλίζει ότι οι εργαζόμενοι ενημερώνονται ότι οφείλουν να ακολουθούν τις βέλτιστες πρακτικές σχετικά με την ασφάλεια των πληροφοριών που έχει καθιερωθεί από την f society. Υπάρχει συγκεκριμένη διαδικασία για όλους τους υπαλλήλους που αποχωρούν από την f society (συμπεριλαμβανομένων των προσωρινών και των υπαλλήλων με σύμβαση) η οποία είναι να απενεργοποιήσουν το λογαριασμό τους και να ανακτήσουν όλα τα στοιχεία της ιδιοκτησίας.

Όλοι οι νέοι υπάλληλοι εκπαιδεύονται στις διαδικασίες και τους τομείς που περιγράφονται παραπάνω ως μέρος του προγράμματος ένταξής τους τους στην Εταιρεία. Η συνεχής εκπαίδευση παρέχεται με τη μορφή τακτικών ενημερώσεων και εκπαιδευτικών προγραμμάτων.

Η f society έχει θεσπίσει την πολιτική Α07 Πολιτική Ασφάλειας Ανθρώπινων Πόρων.

Διαχείριση Αγαθών

Οι πληροφορίες της f society ταξινομούνται ανάλογα με την ευαισθησία τους και ορίζεται για αυτές ένας ιδιοκτήτης. Η Εταιρεία διατηρεί κατάλογο πληροφοριακών αγαθών το οποίο θα ενημερώνεται τακτικά, σύμφωνα με την εκτίμηση κινδύνου και θα προστατεύεται ανάλογα.

Η f society έχει θεσπίσει την πολιτική Α08 Πολιτική Διαχείρισης Πληροφοριακών Αγαθών.

Έλεγχος Πρόσβασης

Οι εργαζόμενοι οφείλουν να γνωρίζουν και να ακολουθούν έναν αριθμό ελέγχων και διαδικασιών που υφίστανται για να περιορίσουν την πρόσβαση σε εμπιστευτικές πληροφορίες. Ο ΥΣΔΑΠ είναι υπεύθυνος τόσο για τη δημιουργία όσο και για τη διατήρηση ισχυρών ελέγχων πρόσβασης.

Η f society έχει θεσπίσει την πολιτική Α09 Πολιτική Ελέγχου Πρόσβασης.

Κρυπτογράφηση

Όταν κρυπτογραφικά στοιχεία ελέγχου χρησιμοποιούνται από την f society, αναπτύσσεται και εφαρμόζεται πολιτική για τη χρήση κρυπτογραφικών ελέγχων για την προστασία των πληροφοριών.

Η f society έχει θεσπίσει την πολιτική Α10 Πολιτική Κρυπτογράφησης.

Φυσική και Περιβαλλοντική Ασφάλεια

Το προσωπικό οφείλει να γνωρίζει και να ακολουθεί τα συνολικά μέτρα, τους ελέγχους και τις διαδικασίες που έχουν σχεδιαστεί για να εξασφαλίζεται ο επαρκής έλεγχος της φυσικής ασφάλειας. Αυτά περιλαμβάνουν:

  1. κτίρια και μεμονωμένα συστήματα συναγερμού,
  2. περιορισμένη πρόσβαση στο κτίριο και επιπλέον περιορισμένη πρόσβαση εντός αυτού,
  3. ασφαλή ερμάρια, συρτάρια, αποθηκευτικοί χώροι,
  4. ασφαλής δημιουργία αντιγράφων ασφαλείας εκτός σύνδεσης και αρχειοθέτηση,
  5. πολιτική καθαρού γραφείου,
  6. πολιτική καθαρής οθόνης

Η f society έχει θεσπίσει την πολιτική Α11 Πολιτική Φυσικής και Περιβαλλοντικής Ασφάλειας.

Ασφάλεια Λειτουργίας

Η f society διασφαλίζει τη σωστή και ασφαλή λειτουργία των εγκαταστάσεων στις οποίες επεξεργάζονται πληροφορίες. 

Η f society έχει θεσπίσει την πολιτική Α12 Πολιτική Ασφάλειας Επιχειρησιακής Λειτουργίας.

Ασφάλεια Επικοινωνιών

Το προσωπικό οφείλει να γνωρίζει ότι η χρήση της τεχνολογίας και των επικοινωνιών καθορίζεται, ελέγχεται και διαχειρίζεται από την Εταιρεία. Η Εταιρεία είναι υπεύθυνη για τη διασφάλιση της εφαρμογής των κατάλληλων μέτρων και διαδικασιών ασφάλειας πληροφοριών. Η f society διασφαλίζει ότι η ασφάλεια γύρω από το δίκτυο, την φορητή και την απομακρυσμένη εργασία προστατεύονται επαρκώς.

Η f society έχει θεσπίσει την πολιτική Α13 Πολιτική Ασφάλειας Επικοινωνιών.

Απόκτηση, Ανάπτυξη και Συντήρηση Συστημάτων

Η Εταιρεία διασφαλίζει ότι κατάλληλες διαδικασίες ασφάλειας πληροφοριών περιλαμβάνονται σε όλα τα έργα.

Η f society έχει θεσπίσει την πολιτική Α14 Πολιτική Απόκτησης, Ανάπτυξης και Συντήρησης Πληροφοριακών Συστημάτων.

Σχέσεις Προμηθευτών

Οι απαιτήσεις ασφάλειας πληροφοριών για το μετριασμό των κινδύνων που σχετίζονται με την πρόσβαση του προμηθευτή στα αγαθά της Εταιρείας συμφωνούνται και τεκμηριώνονται με τον προμηθευτή.

Η f society έχει θεσπίσει την πολιτική Α15 Πολιτική Ασφαλούς Διαχείρισης Προμηθευτών.

Διαχείριση Περιστατικών Ασφάλειας Πληροφοριών

Τα αρχεία διαχείρισης συμβάντων ασφαλείας διατηρούνται κεντρικά, ενημερώνονται και παρακολουθούνται μέσω του συστήματος διαχείρισης συμβάντων. Όλοι οι εργαζόμενοι οφείλουν γνωρίζουν τι είναι ένα πραγματικό ή πιθανό συμβάν ασφαλείας, πώς να αναφέρουν το περιστατικό και σε ποιον να το αναφέρουν.

Η ευθύνη για την εποπτεία των παραβιάσεων της τεχνικής και φυσικής ασφάλειας ανήκει στον Υπεύθυνο Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΥΣΔΑΠ).

Η f society έχει θεσπίσει την πολιτική Α16 Πολιτική Διαχείρισης Συμβάντων Ασφαλείας.

Διαχείριση Ασφάλειας Πληροφοριών και Επιχειρησιακής Συνέχειας

Η Εταιρεία διασφαλίζει τη συνεπή και αποτελεσματική προσέγγιση στη διαχείριση μεγάλων περιστατικών ασφάλειας πληροφοριών, συμπεριλαμβανομένων των αδυναμιών και των επιπτώσεων ασφάλειας επικοινωνιών στη διαχείριση της επιχειρησιακής συνέχειας.

Η f society έχει θεσπίσει την πολιτική Α17 Πολιτική Ασφάλειας Πληροφοριών Διαχείρισης Επιχειρησιακής Συνέχειας.

Συμμόρφωση

Η f society αποφεύγει τις παραβιάσεις νομικών, νομοθετικών, κανονιστικών ή συμβατικών υποχρεώσεων που σχετίζονται με την ασφάλεια των πληροφοριών και τυχόν απαιτήσεις ασφάλειας. 

Η f society λαμβάνει τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων από τυχαία ή παράνομη καταστροφή, τυχαία απώλεια ή αλλοίωση, και μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση. Ειδικότερα, η f society λαμβάνει μέτρα που αποσκοπούν να διασφαλίσουν ότι:

  1. Όποιος διαχειρίζεται και διατηρεί προσωπικά δεδομένα γνωρίζει ότι είναι συμβατικά υπεύθυνος για την τήρηση ορθών πρακτικών προστασίας δεδομένων.
  2. Όσοι διαχειρίζονται και διατηρούν προσωπικά δεδομένα είναι κατάλληλα εκπαιδευμένοι για να το κάνουν.
  3. Όποιος διαχειρίζεται και διατηρεί προσωπικά δεδομένα εποπτεύεται κατάλληλα.

Η f society έχει θεσπίσει την πολιτική Α18 Πολιτική Συμμόρφωσης.

Αναθεώρηση

Το παρόν έγγραφο πρέπει να αναθεωρείται τουλάχιστον μία φορά κάθε χρόνο από τον ιδιοκτήτη του. Ο ιδιοκτήτης του εγγράφου πρέπει να διασφαλίσει ότι εφαρμόζεται ο σωστός αριθμός έκδοσης στο έγγραφο μόλις πραγματοποιηθεί ο έλεγχος.

Παραβίαση

Οποιοσδήποτε εργαζόμενος διαπιστωθεί ότι παραβίασε τη συγκεκριμένη πολιτική υπάρχει περίπτωση να βρεθεί αντιμέτωπος με πειθαρχική δίωξη, ή και διακοπή της εργασίας του.

Συμμόρφωση

Ο ιδιοκτήτης του εγγράφου ή ένας εξουσιοδοτημένος πληρεξούσιος μπορεί να διενεργεί τακτικούς ελέγχους συμμόρφωσης του παρόντος εγγράφου για την καταγραφή των αποδεικτικών στοιχείων της ανασκόπησης, μαζί με τυχόν διορθωτικές ή προληπτικές ενέργειες που έχουν συμφωνηθεί ως αποτέλεσμα περιστατικών μη συμμόρφωσης.

Ημερομηνία Έκδοσης: 01 Ιουλίου 2021