1. Zweck
Dekada komunikacije doo (im Folgenden Dekada genannt) verabschiedet eine Informationssicherheitsrichtlinie, die als Dachdokument einen Rahmen für die Verwaltung des Informationssicherheitssystems darstellt. Die Informationssicherheitsrichtlinie definiert die grundlegenden Prinzipien und Verantwortlichkeiten im Zusammenhang mit dem Management der Informationssystemsicherheit.
Die Durchführung der Geschäftsaktivitäten von Dekada hängt vom ordnungsgemäßen Funktionieren des Informationssystems ab. Die Rolle des Informationssystems besteht darin, die Produktivität der Mitarbeiter und die Effizienz der Geschäftsprozesse zu verbessern. Informationen gelten als sensibles und wichtiges Kapital des Jahrzehnts.
Das Informationssicherheitsmanagementsystem wird eingerichtet, um Informationen vor Bedrohungen zu schützen, die deren Vertraulichkeit, Integrität und/oder Verfügbarkeit gefährden, um die Geschäftskontinuität zu gewährleisten, das Geschäftsrisiko zu minimieren und die Einnahmen aus Geschäftsmöglichkeiten zu steigern.
2. Ziel
Das Ziel dieser Richtlinie besteht darin, einen Rahmen für die Verwaltung der Informationssystemsicherheit zu schaffen, der die Auswirkungen von Sicherheitsvorfällen reduziert und Informationsgüter (Informationen, Informationssysteme, Dokumentation, Datenspeichermedien, Telekommunikationsausrüstung und -geräte, Arbeitsplatz, Marktposition, Mitarbeiter), Betriebskontinuität, geistiges und materielles Eigentum sowie rechtliche und geschäftliche Interessen vor Schäden und Verlusten schützt, die durch interne oder externe, vorsätzliche oder versehentliche, betrügerische, ordnungswidrige und kriminelle Handlungen verursacht werden, mit dem Ziel, die Kontinuität der Geschäfte von Dekada zu schützen.
2.1. Geltungsbereich
Alle Benutzer des Dekada-Informationssystems, Mitarbeiter, alle Personen, die vorübergehend im Rahmen eines Vertrags arbeiten, und alle externen Mitarbeiter oder Partner von Dekada, die mit den Ressourcen des Informationssystems in Kontakt kommen, sind verpflichtet, die Bestimmungen der Informationssicherheitsrichtlinie einzuhalten.
2.2. Verantwortlichkeiten
Alle Mitarbeiter und externen Mitarbeiter von Dekada sind verpflichtet, die in dieser Richtlinie vorgeschriebenen Grundsätze und Prinzipien einzuhalten und alle beobachteten Sicherheitsverletzungen oder -vorfälle zu melden.
Die Nichteinhaltung der Bestimmungen der Informationssicherheitsrichtlinie durch Mitarbeiter von Dekada wird als Verstoß gegen den Arbeitsvertrag angesehen, der Anlass für die Einleitung eines Disziplinarverfahrens, eine Kündigung des Arbeitsvertrags wegen schuldhaften Verhaltens des Mitarbeiters oder eine außerordentliche Kündigung des Arbeitsvertrags geben kann. Die Nichteinhaltung der Bestimmungen der Informationssicherheitsrichtlinie durch externe Mitarbeiter und Partner gilt als Verstoß gegen vertragliche Verpflichtungen und kann zur Kündigung oder Auflösung des Vertrags führen.
3. Grundsätze der Informationssicherheit
Die Risikoidentifikation, -bewertung, -analyse und -bearbeitung bilden die Grundlage für die ordnungsgemäße Funktion eines Informationssicherheitssystems. Das Risiko für Informationssysteme wird mindestens einmal jährlich bewertet, um Veränderungen in der Art der Bedrohungen für das Informationssystem zu erkennen und Veränderungen in der Organisation selbst zu berücksichtigen. Die Risikobewertung und -verarbeitung wird im Rahmen des Jahrzehnts auf einer Methodik basieren, die im Einklang mit gesetzlichen und regulatorischen Bestimmungen, internationalen Standards und bewährten globalen Praktiken steht.
Um Verletzungen der Vertraulichkeit, Integrität und Verfügbarkeit zu verhindern, regelt Dekada die Verfahren zum Schutz von Informationen und Daten, die erstellt, heruntergeladen, verarbeitet, gespeichert oder an die Informationssystemressourcen von Dekada weitergeleitet werden, unter Berücksichtigung relevanter gesetzlicher, regulatorischer und vertraglicher Verpflichtungen.
Benutzer des Informationssystems müssen mit der bestimmungsgemäßen Verwendung des Dekada-Informationssystems durch dokumentierte Anweisungen, Schutzmethoden und Sicherheitsmaßnahmen aus ihrem Arbeitsbereich vertraut sein.
Um die negativen Auswirkungen auf die Ressourcenzuweisung, die Verteilung und Wartung von Hard- und Software, die Identifizierung und Lokalisierung von Vermögenswerten sowie die Sicherheit von Informationssystemen zu reduzieren, verwaltet Dekada die Vermögenswerte von Informationssystemen angemessen.
Das Informationssystem muss in angemessener Weise geschützt werden. Zu diesem Zweck wird ein angemessener Schutz von Personen, Räumlichkeiten und Eigentum des Dekada-Systems gewährleistet, die Verhinderung von unbefugtem physischen und logischen Zugriff, Beschädigung und Störung von Räumlichkeiten sowie der Schutz von Informationen in Netzwerken und der zugehörigen Netzwerkinfrastruktur und Anwendungsdiensten des Informationssystems sichergestellt.
Zu den strategischen Interessen von Dekada gehört das Business Continuity Management, um Geschäftsprozesse vor größeren Störungen oder Katastrophen zu schützen und eine Erholung von einem unerwünschten Ereignis in kürzester Zeit zu ermöglichen. Zu diesem Zweck wird im Rahmen des Jahrzehnts eine zuverlässige Backup-Speicherung wichtiger Informationsressourcen sichergestellt und alle notwendigen Maßnahmen ergriffen, um rechtzeitig und kompetent auf Sicherheitsvorfälle reagieren zu können, die die Ressourcen des Informationssystems beeinträchtigen könnten.
Externe Mitarbeiter des Jahrzehnts und relevante Drittparteien, die auf das Informationssystem zugreifen, müssen mit den Bestimmungen dieser Richtlinie vertraut sein und damit offiziell ihren Teil der Verantwortung im Zusammenhang mit der Aufrechterhaltung eines akzeptablen Niveaus an Informationssystemsicherheit akzeptieren.
Um die Einhaltung und Umsetzung der oben genannten Grundsätze und die Unterstützung der Geschäftsziele der UHPA durch eine effiziente Nutzung der Ressourcen des Informationssystems zu gewährleisten, wird das Jahrzehnt das Informationssystem unter Berücksichtigung der strategischen Ausrichtung des Jahrzehnts verwalten, ein wirksames Berichtssystem einrichten und die Einhaltung der gesetzlichen, behördlichen und vertraglichen Anforderungen sowie der Anforderungen internationaler Standards im Bereich des Informationssicherheitssystemmanagements gewährleisten.
4. Schlussbestimmungen
Diese Richtlinie steht allen Benutzern des Dekada-Informationssystems zur Verfügung.
In Zagreb, 9. Januar 2024.