Informationssicherheitspolitik
1. ZWECK
Dekada komunikacije d.o.o. (im Folgenden DK) erlässt die Informationssicherheitspolitik, die als Hauptdokument den Rahmen für das Management des Informationssicherheitssystems darstellt. Mit der Informationssicherheitspolitik werden die grundlegenden Prinzipien und Verantwortlichkeiten in Bezug auf das Management des Informationssicherheitssystems definiert.
Die Geschäftstätigkeiten von DK hängen von der ordnungsgemäßen Funktionsweise des Informationssystems ab. Die Aufgabe des Informationssystems besteht darin, die Produktivität der Mitarbeiter und die Effizienz der Geschäftsprozesse zu verbessern, wobei Informationen als sensibles und wesentliches Gut von DK betrachtet werden.
Das Informationssicherheitsmanagementsystem wird eingerichtet, um Informationen vor Bedrohungen zu schützen, die deren Vertraulichkeit, Integrität und/oder Verfügbarkeit gefährden, um die Geschäftskontinuität zu gewährleisten, das Geschäftsrisiko zu minimieren und die Einnahmen aus Geschäftsmöglichkeiten zu steigern.
2. ZIEL
Ziel dieser Politik ist es, einen Rahmen für das Management der Sicherheit des Informationssystems zu schaffen, der darauf abzielt, die Auswirkungen von Sicherheitsvorfällen zu minimieren und die Informationsressourcen (Informationen, Informationssysteme, Dokumentation, Datenspeichermedien, Telekommunikationsgeräte und -einrichtungen, Arbeitsplätze, Marktposition, Mitarbeiter), den operativen Betrieb, geistiges und materielles Eigentum sowie rechtliche und geschäftliche Interessen vor Schäden und Verlusten zu schützen, die durch interne oder externe, vorsätzliche oder zufällige, betrügerische, strafbare und kriminelle Handlungen verursacht werden, um die Geschäftskontinuität von DK zu gewährleisten.
2.1. Geltungsbereich
Alle Benutzer des DK-Informationssystems, Mitarbeiter, Personen, die vorübergehend vertraglich tätig sind, sowie alle externen Mitarbeiter oder Partner, die mit den Ressourcen des Informationssystems in Kontakt kommen, sind verpflichtet, die Bestimmungen der Informationssicherheitspolitik einzuhalten.
2.2. Verantwortlichkeiten
Alle Mitarbeiter und externen Mitarbeiter von DK sind verpflichtet, die in dieser Politik festgelegten Grundsätze und Richtlinien zu befolgen und festgestellte Sicherheitslücken oder Vorfälle zu melden.
Die Nichteinhaltung der Bestimmungen der Informationssicherheitspolitik durch DK-Mitarbeiter wird als Vertragsverletzung betrachtet, die zu disziplinarischen Maßnahmen, Kündigung des Arbeitsvertrags aufgrund schuldhaften Verhaltens oder zur fristlosen Kündigung führen kann. Die Nichteinhaltung der Bestimmungen durch externe Mitarbeiter und Partner wird als Vertragsverletzung betrachtet, die eine Grundlage für die Beendigung oder Kündigung des Vertrags darstellen kann.
3. GRUNDSÄTZE DER INFORMATIONSSICHERHEIT
Die Erkennung, Bewertung, Analyse und Behandlung von Risiken bildet die Grundlage für das ordnungsgemäße Funktionieren des Informationssicherheitssystems. Die Risiken des Informationssystems werden mindestens einmal jährlich bewertet, um Veränderungen der Bedrohungen des Informationssystems sowie organisatorische Veränderungen zu berücksichtigen. DK wird die Risikoanalyse und -behandlung auf eine Methodologie stützen, die den gesetzlichen und regulatorischen Bestimmungen, internationalen Standards und den besten weltweiten Praktiken entspricht.
DK reguliert die Schutzverfahren für Informationen und Daten, die erstellt, empfangen, verarbeitet, gespeichert oder über die Ressourcen des DK-Informationssystems weitergeleitet werden, um die Vertraulichkeit, Integrität und Verfügbarkeit zu wahren, unter Berücksichtigung der relevanten gesetzlichen, regulatorischen und vertraglichen Verpflichtungen.
Benutzer des Informationssystems müssen über den ordnungsgemäßen Gebrauch des DK-Informationssystems durch dokumentierte Anweisungen, Schutzmethoden und Sicherheitsmaßnahmen, die für ihren Arbeitsbereich gelten, informiert werden.
Um negative Auswirkungen auf die Ressourcenverteilung, Hardware- und Softwareverteilung und -wartung, die Identifikation und Lokalisierung von Vermögenswerten sowie die Sicherheit des DK-Informationssystems zu minimieren, verwaltet DK die Vermögenswerte des Informationssystems angemessen.
Das Informationssystem muss angemessen geschützt werden, einschließlich des Schutzes von Personen, Räumlichkeiten und Eigentum von DK, der Verhinderung unbefugten physischen und logischen Zugriffs, der Vermeidung von Schäden und Störungen, des Schutzes von Informationen in Netzwerken und der zugehörigen Netzwerkinfrastruktur sowie der Anwendungssysteme des Informationssystems.
Das Management der Geschäftskontinuität ist ein strategisches Interesse von DK, um Geschäftsprozesse vor größeren Unterbrechungen oder Katastrophen zu schützen und eine Wiederherstellung nach einem unerwünschten Ereignis in möglichst kurzer Zeit zu ermöglichen. Zu diesem Zweck wird DK zuverlässige Backups von Schlüsselressourcen sicherstellen und alle notwendigen Maßnahmen ergreifen, um auf Sicherheitsvorfälle, die die Ressourcen des Informationssystems beeinträchtigen könnten, rechtzeitig und kompetent reagieren zu können.
Externe Mitarbeiter von DK und relevante Dritte, die auf das Informationssystem zugreifen, müssen über die Bestimmungen dieser Politik informiert werden, wodurch sie formell ihren Teil der Verantwortung für die Aufrechterhaltung eines akzeptablen Sicherheitsniveaus des Informationssystems anerkennen.
Um die Einhaltung und Umsetzung der oben genannten Grundsätze sowie die Unterstützung der Geschäftsziele von DK bei effizienter Nutzung der Informationssystemressourcen zu gewährleisten, wird DK das Informationssystem unter Berücksichtigung der strategischen Ausrichtung von DK verwalten, ein effektives Berichtssystem einrichten und die Einhaltung gesetzlicher, regulatorischer und vertraglicher Anforderungen sowie der internationalen Standards im Bereich Informationssicherheitsmanagement sicherstellen.
4. SCHLUSSBESTIMMUNGEN
Diese Politik wird allen Benutzern des DK-Informationssystems zur Verfügung gestellt.
Zagreb, 9. Januar 2024.
Dario Đanić, Geschäftsführer und Gründer von Dekada komunikacije d.o.o.