POLITICA PRIVIND SECURITATEA INFORMAȚIEI

1. SCOP

Prezentul document are scopul de a conștientiza și familiariza personalul Societății cu privire la metodele de protecție și securitate pentru asigurarea confidențialității, integrității și

disponibilității informației. De asemenea, documentul conturează metodele acceptabile de utilizare a resurselor informatice. Resursele informaționale vor fi utilizate într-o manieră aprobată, etică și în conformitate cu prevederile legale pentru a evita pierderea sau deteriorarea operațiunilor curente, a imaginii sau a activelor financiare. Angajații trebuie să se adreseze conducerii companiei înainte să

se angajeze în orice activitate care nu este acoperită de prezenta politică.

2.DOMENIUL DE APLICABILITATE

Această Politică se aplică întregului personal, partenerilor și afaceri și colaboratorilor externi care au acces la sistemul informatic al Societății.

3.OBIECTIVE

1. Dezvoltarea unei strategii privind securitatea sistemelor informatice;
2. Promovarea standardelor etice în domeniul securității sistemelor informatice;
3. Asigurarea confidențialității, integrității și disponibilității resurselor informatice ale organizației;
4. Educarea personalului pentru a face față eficient amenințărilor cibernetice;
5. Cunoașterea riscurilor și amenințărilor venite din spațiul cibernetic;
6. Oferirea soluțiilor pentru a preveni și contracara amenințările cibernetice;

4.SECURITATEA INFORMAȚIEI

1. Accesul la echipamentele IT ale organizației de către terți se va face sub supraveghere. În contractele cu terții se vor include clauze privind măsurile de protecție a datelor și, în special, a datelor cu caracter personal;
2. Informațiile vor avea diferite grade de sensibilitate și importanță, informațiile personale (datele cu caracter personal) necesitând un nivel suplimentar de protecție;
3. Responsabilitatea angajaților privind securitatea va fi implementată încă din etapa recrutării și inclusă în contractele de muncă sau fișă postului și monitorizată permanent;
4. Parolele utilizate pentru autentificare sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca lungime şi compoziţie, conținând majuscule și caractere speciale si sunt formate din cel puțin 8 caractere. Parolele nu sunt afișate pe monitor. Acestea sunt

schimbate periodic, cel puțin o dată la 6 luni. Schimbarea periodică a parolelor se face numai de către utilizatori autorizați.

5. Angajații firmei sau alte terțe părți care au acces la sistemele informatice ale organizației ar trebui să semneze un contract de confidențialitate;
6. Angajații ar trebui să fie instruiți cu privire la Securitatea Informațiilor;
7. Toate incidentele de Securitate vor fi raportate conducerii, pentru a decide dacă este cazul ca acestea să fie raportate Autorității de Supraveghere și/sau persoanelor vizate. Se va

implementa în acest sens o Politică privind managementul adecvat al incidentelor de Securitate;

8. Sistemele IT vor fi protejate împotriva amenințărilor de Securitate și se vor implementa măsuri de securitate pentru a preveni și detecta accesul neautorizat in sistemele informatice si asupra datelor.
9. Trebui să se introducă proceduri pentru efectuarea de back-up strategic, simularea periodică a restaurării de pe copiile realizate, logarea evenimentelor și a defectelor, acolo unde este posibil și monitorizarea permanentă a echipamentelor critice.
10. Utilizarea oricărui sistem IT va fi conformă legislației în vigoare cât și a normelor
11. Este strict interzisă distribuirea oricăror documente interne sau alte informații către persoane neautorizate;
12. Este strict interzisă orice modificare neautorizată a echipamentelor utilizate;
13. Este strict interzisă conectarea echipamentelor personale de orice fel (hard-diskuri interne sau externe, memory stick, laptop etc) la orice echipament al organizației (PC, server, rețea internă). Nerespectarea acestei reguli aduce după sine posibilitatea desfacerii contractului de muncă sau alte măsuri disciplinare.
14. Toate sursele externe (CD, atașamente la e-mail, stick-uri, hard-disk etc) vor fi verificate cu un program anti-virus.
15. Este strict interzisă utilizarea sistemelor IT în alte scopuri decât îndeplinirea atribuțiilor de
16. .Infrastructura IT (Servere, Echipamente rețea, website) vor fi scanate de vulnerabilități si raportul de risc va fi distribuit managementului companiei si departamentului IT in vederea remedierii riscurilor in cel mai scurt timp. Scanările vor trebui efectuate periodic cu o recurență cel puțin semestrială.
17. Este interzisă orice intervenție asupra echipamentelor IT de către personal neautorizat de către companie în mod scris.
18. Se interzice folosirea oricărui echipament IT de către orice persoană care nu face parte din personalul Societății fără acordul prealabil și scris al conducerii Societății.
19. Mijloacele de autentificare în sistem (username, parolă etc) sunt deținute de fiecare angajat și el este singurul responsabil de a nu divulga aceste informații.
20. Este strict interzisă utilizarea credențialelor altui angajat, cu excepția persoanelor autorizate de către conducerea societății.
21. Fiecare angajat va fi responsabil să mențină securitatea oricărei informații, și în special informațiilor personale (datelor cu caracter personal), să le protejeze de acces neautorizat (vizualizare, alterare, furt sau distrugere) și să informeze de îndată conducerea societății cu privire la orice astfel de încălcare.
22. Pentru copierea fișierelor electronice, Societatea își rezervă dreptul de a depune plângere penală împotriva angajatului și de a-l acționa pe acesta la instanțele civile pentru acoperirea oricărui prejudiciu adus firmei.
23. Este strict interzisă încălcarea drepturilor de