KROVNA POLITIKA INFORMACIJSKE VARNOSTI,KAKOVOSTI IN RAVNANJA Z OKOLJEM

UVOD

Ta dokument določa krovna načela, odgovornosti in obveznosti informacijske varnosti, kakovosti in varovanja okolja v družbi INOVA IT d.o.o. ter vzpostavlja okvir za integriran sistem vodenja   (SUIV, SVK in SRO) skladen s standardi ISO/IEC 27001, ISO 9001 ter ISO 14001. Podrobna pravila in postopki so opredeljeni v povezanih politikah, navodilih in postopkih.

NAMEN IN CILJ

Namen krovne politike je zagotoviti, da so informacijska varnost, kakovost in varovanje okolja sestavni del vseh poslovnih procesov.

Cilji integriranega sistema vodenja vključujejo:

Kakovost (ISO 9001):

• dosledno izpolnjevanje zahtev kupcev in drugih zavez,
• povečanje zadovoljstva kupcev,
• uporaba procesnega pristopa in razmišljanja, temelječega na tveganjih,
• merljivo postavljanje in doseganje ciljev kakovosti.

Okolje (ISO 14001):

• varstvo okolja, vključno s preprečevanjem onesnaževanja in odgovorno rabo virov,
• izpolnjevanje skladnostnih obveznosti (pravne in druge zahteve),
• opredelitev in obvladovanje pomembnih okoljskih vidikov (z upoštevanjem življenjskega cikla, kjer je smiselno),
• merljivo postavljanje in doseganje okoljskih ciljev ter stalno izboljševanje okoljskega učinkovitosti.

Informacijska varnost (ISO/IEC 27001):

• zagotavljanje zaupnosti, celovitosti in razpoložljivosti informacij,
• skladnost z zakonodajo, pogodbenimi obveznostmi in internimi pravili,
• učinkovito upravljanje tveganj in incidentov,
• merljivo postavljanje in doseganje ciljev informacijske varnosti ter stalno izboljševanje SUIV.

Politika zagotavlja okvir za določanje merljivih ciljev kakovosti, okoljskih ciljev in ciljev informacijske varnosti.

PODROČJE VELJAVNOSTI

Politika velja za vse zaposlene, začasno zaposlene in zunanje sodelavce ter druge osebe, ki sodelujejo v procesih, uporabljajo informacijske sisteme ali obdelujejo informacije družbe ter lahko vplivajo na kakovost in okolje.

ZAVEZA VODSTVA

Vodstvo družbe:

• potrjuje krovno politiko in povezane politike informacijske varnosti,
• zagotavlja ustrezne vire za učinkovito delovanje integriranega sistema vodenja,
• določa merila sprejemljive ravni tveganj in spremlja doseganje ciljev sistemov vodenja,
• izvaja redne vodstvene preglede učinkovitosti SUIV, SVK in SRO ter sprejema ukrepe za stalne izboljšave.

NAČELA IN ZAVEZE

Kakovost (ISO 9001)

• Osredotočenost na kupca in interesne strani: razumevanje zahtev, pričakovanj in pravočasna dostava dogovorjene kakovosti.
• Izpolnjevanje vseh veljavnih zahtev (kupčevih, zakonskih, pogodbenih in internih).
• Procesni pristop, razmišljanje, temelječe na tveganjih, in uporaba podatkov za odločanje.
• Okvir za postavljanje merljivih ciljev kakovosti in stalno izboljševanje QMS in procesne uspešnosti.

Okolje (ISO 14001)

• Varstvo okolja, vključno s preprečevanjem onesnaževanja, učinkovito rabo virov in, kjer je relevantno, upoštevanjem vidikov, kot so zmanjševanje odpadkov, energijska učinkovitost in blaženje prilagajanj na podnebne spremembe.
• Izpolnjevanje skladnostnih obveznosti (pravne in druge zahteve, ki se nanašajo na okolje).
• Identifikacija in obvladovanje okoljskih vidikov in pomembnih vplivov (z vidika življenjskega cikla, kjer je smiselno).
• Okvir za postavljanje merljivih okoljskih ciljev in stalno izboljševanje okoljskega sistema vodenja in okoljskih rezultatov.

Informacijska varnost (ISO/IEC 27001)

• Varovanje zaupnosti, celovitosti in razpoložljivosti informacij in informacijskih storitev.
• Izpolnjevanje vseh veljavnih zakonskih, regulativnih, pogodbenih in internih zahtev.
• Sistematično upravljanje tveganj, obravnava groženj in priložnosti, obvladovanje varnostnih incidentov in ranljivosti.
• Okvir za postavljanje merljivih ciljev informacijske varnosti in stalno izboljševanje SUIV.

ODGOVORNOSTI

Odgovorne osebe za informacijsko varnost, kakovost in okolje: koordinirajo izvajanje integriranega sistema vodenja, spremljajo skladnost, poročajo vodstvu, vodijo ozaveščanje in usposabljanja, koordinirajo obravnavo incidentov neskladnosti ter vzdržuje povezano dokumentacijo.

Lastniki procesov in informacijskih sredstev: določajo zahteve in upravičenost dostopov, spremljajo uporabo sredstev in sodelujejo pri ocenjevanju tveganj ter določanju in doseganju ciljev.

Skrbniki informacijskih virov: izvajajo tehnične in organizacijske ukrepe, ki zagotavljajo varno in nemoteno delovanje sistemov skladno s politikami.

Uporabniki: poznajo in upoštevajo  politike ter nemudoma poročajo o neskladnostih, okoljskih izrednih dogodkih in varnostnih incidentih ali sumih.

UPRAVLJANJE TVEGANJ IN INCIDENTOV

Tveganja na področju kakovosti, okolja in informacijske varnosti se upravljajo sistematično in dokumentirano. Neskladnosti (vključno z okoljskimi incidenti in varnostnimi incidenti) se obravnavajo skladno z določenimi postopki, z namenom omejitve vplivov, odprave vzrokov in preprečevanja ponovitev, z uporabo korektivnih ukrepov in preverjanjem učinkovitosti

USPOSABLJANJE IN OZAVEŠČANJE

Podjetje zagotavlja redno usposabljanje in ozaveščanje s področij kakovosti, varovanja okolja in  informacijske varnosti. Uporabniki so dolžni upoštevati aktualne politike in navodila.

PREGLED IN POSODABLJANJE

Krovna politika in povezane politike se pregledujejo najmanj enkrat letno ter ob pomembnih spremembah informacijskih sistemov, poslovanja, konteksta, zainteresiranih strani ali tveganj. Spremembe pripravi odgovorna oseba za kakovost/ravnanje z okoljem/informacijsko varnost, potrdi pa vodstvo.

UPORABA NOVIH TEHNOLOGIJ IN UMETNE INTELIGENCE

Družba prepoznava uporabo novih tehnologij, vključno z umetno inteligenco (AI), kot priložnost za izboljšanje učinkovitosti, kakovosti in inovativnosti poslovnih procesov.

Uporaba takšnih tehnologij mora biti skladna z načeli informacijske varnosti, zakonodajo, pogodbenimi obveznostmi ter internimi politikami družbe. Posebna pozornost mora biti namenjena varovanju zaupnih informacij, osebnih podatkov in intelektualne lastnine.

Podrobnejša pravila in omejitve glede uporabe umetne inteligence so opredeljena v dokumentu 5.2.7 Politika za uporabo umetne inteligence (AI).

UPRAVLJANJE SPREMEMB

Spremembe informacijskih sistemov, procesov, storitev in večje projektne spremembe se obravnavajo skladno z internimi postopki upravljanja sprememb in upravljanja tveganj, z oceno vplivov na kakovost, okolje in informacijsko varnost.

UPRAVLJANJE VARNOSTNIH INCIDENTOV

Varnostni incidenti se prijavljajo in obravnavajo skladno s postopki upravljanja incidentov.