1. Yleiset vaatimukset
Selectamark Security Systems (Selectamark) plc:lle on myönnetty kolmannen osapuolen auditoima BS EN ISO 9001:2000 sertifikaatti ja yritys on rekisteröity Yhdistyneiden Kuningaskuntien valvovan tietosuojaviranomaisen (Information Commissioner’s Office) toimesta voimassa olevan lain (Data Protection Act 1998) vaatimukset täyttäväksi.
2. Tietosuojan hallintajärjestelmä
Selectamark on perustanut ja ylläpitää dokumentoitua tietosuojan hallintajärjestelmää.
Riskien arviointi
Selectamark on identifioinut asianmukaisen riskien arviointimenetelmän ja kehittänyt kriteerit miten tarkastella ja identifioida riskejä hyväksyttävällä tasolla ja miten mitata riskien hallintaa.
Tietosuojan hallintajärjestelmän dokumentointi
Selectamark on perustanut ja ylläpitää dokumentaatiota tietosuojatun omaisuuserärekisterin (”tietokanta”) hallinnasta LPS1224 ja BS EN ISO 9001:2001 vaatimusten mukaisesti.
Dokumenttien hallinta
Selectamark hallinnoi tietosuojan hallintajärjestelmän edellyttämiä dokumentteja ennaltamääriteltyjen käytäntöjen mukaisesti, jotka ovat yhdenmukaisia BS EN ISO 9001:2000 lausekkeen 4.2.3 kanssa.
Rekisterien ylläpito
Selectamark ylläpitää rekistereitä ennaltamääritelyjen käytäntöjen mukaisesti jotka ovat yhdenmukaisia BS EN ISO 9001:2000 lausekkeen 4.2.4 kanssa.
Johdon velvollisuudet
Selectamarkin johto on sitoutunut tehokkaan tietosuojan hallintajärjestelmän käyttöön joka sisältää määritetyt vastuut ja velvollisuudet, riittävän resurssoinnin ja säännöllisten sisäisten auditointien ja katsauksien toteuttamiseen vähintään kerran vuodessa.
Resurssien hallinta
Selectamarkin tulee varmistaa riittävät resurssit : a) ”tietokannan” operointiin LPS1224 vaatimusten mukaisesti ja b) ylläpitämääm palvelutasot lausekkeen 3.2.16 mukaisina.
Tapahtumalogit
Selectamark pitää kirjaa toimenpiteistä ja tapahtumista potentiaalisten tietoturvauhkien torjunnan tukemiseksi.
Tapahtumien hallinta
Selectamark on perustanut ja ylläpitää järjestelmää, joka identifioi, raportoi, tutkii ja reagoi a) luvattoman käytön b) tietoturvauhat ja c) toimintavirheet
Sisäiset auditoinnit
Selectamark on määritellyt ja ottanut käyttöön toimintaohjeet sisäisten auditointien suorittamiseen, auditointien tulosten tallentamiseen ja auditointien tulosten säilyttämiseen
Korjaavat ja ennaltaehkäisevät toimenpiteet
Selectamark on määritellyt ja ottanut käyttöön dokumentoidut toimintaohjeet korjaavien toimenpiteiden toteuttamisesta olemassa olevien tai aikaisempien laatupoikkeamien syiden eliminoimiseksi.
Ylläpito
Selectamark ottaa säännöllisesti ja usein varmistuksia kaikesta hallussaan olevasta tiedosta. Luvattoman käytön estämiseksi varmistukset ovat kryptattuja. Varmistuksia säilytetään eri lokaatioissa ja niiden palauttamista testataan säännöllisesti.
Liiketoiminnan jatkuvuus
Selectamark on ottanut käyttöön toimintamallin liiketoiminnan jatkuvuuden varmistamiseksi niin että: a)se voi operoida ”tietokantaa” 24 tunnin kuluessa vakavasta tapahtumasta/ häriöstä mikä vaikuttaa ”tietokannan” rekisteröintipalvalvelun saatavuuteen ja b) pienemmät tapahtumat/ häiriöt eivät heikennä lausekkeen 3.2.16.1 mukaisia palvelutasoja. Liiketoiminnan jatkuvuussuunnitelma tarkastellaan ja testataan säännöllisesti.
Palvelutasot
Selectamark palvelutasoihin voit perehtyä: täällä
3. Resurssit
Henkilöstö
Henkilöstölle on selvitetty tietoturvatoimenpiteiden merkitys ja tärkeys. Kenellekään ei myönnetä lupaa käyttää tietokantaa ennen kuin henkilö on turvatarkistettu BS 7858:2006 säädöksen mukaisesti (kriittisissä tietoturvaympäristöissä työskentelevien henkilöiden tarkastaminen, eettiset ohjeet). ”Tietokannassa” olevaan informaatioon on pääsy vain auktorisoiduilla henkilöillä.
Sopimus luottamuksellisen tiedon käsittelystä
Kaikki työntekijät ja alihankkijat, joilla on pääsy kriittiseen tietoon, ovat allekirjoittaneet sopimuksen luottamuksellisen tiedon käsittelystä.
Ulkoistetut palvelut
Ulkoistetut palvelut hallitaan ISO 9001:2000 vaatimusten mukaisesti.
Sähköisessä muodossa olevan informaation suojaaminen
Sähköisessä muodossa olevaan informaation on pääsy vain henkilöstöllä, joilla on tähän asianmukaiset oikeudet kohdan 3.4.7.6. mukaisesti.
4. Pääsy kriittiseen information
Turvallinen tietojen vaihto
Selectamark on ottanut käyttöön toimintatavat, joiden avulla on mahdollista vaihtaa tietoa turvallisesti. Nämä toimintavat koskevat kolmansia osapuolia seuraavien toimintojen osalta: