LPS1224-vaatimukset

1. Yleiset vaatimukset

Selectamark Security Systems (Selectamark) plc:lle on myönnetty kolmannen osapuolen auditoima BS EN ISO 9001:2000 sertifikaatti ja yritys on rekisteröity Yhdistyneiden Kuningaskuntien valvovan tietosuojaviranomaisen  (Information  Commissioner’s Office) toimesta  voimassa olevan lain (Data Protection Act 1998) vaatimukset täyttäväksi.

2. Tietosuojan hallintajärjestelmä

Selectamark on perustanut ja ylläpitää dokumentoitua tietosuojan hallintajärjestelmää.

Riskien arviointi

Selectamark  on identifioinut asianmukaisen riskien arviointimenetelmän ja kehittänyt kriteerit  miten tarkastella ja identifioida riskejä hyväksyttävällä tasolla ja miten mitata riskien hallintaa.

Tietosuojan hallintajärjestelmän dokumentointi

Selectamark on perustanut ja ylläpitää dokumentaatiota tietosuojatun omaisuuserärekisterin (”tietokanta”) hallinnasta LPS1224 ja BS EN ISO 9001:2001 vaatimusten mukaisesti.

Dokumenttien hallinta

Selectamark hallinnoi tietosuojan hallintajärjestelmän edellyttämiä dokumentteja  ennaltamääriteltyjen käytäntöjen mukaisesti, jotka ovat  yhdenmukaisia BS EN ISO 9001:2000 lausekkeen 4.2.3 kanssa.

Rekisterien ylläpito

Selectamark ylläpitää rekistereitä ennaltamääritelyjen käytäntöjen mukaisesti jotka ovat  yhdenmukaisia BS EN ISO 9001:2000 lausekkeen 4.2.4 kanssa.

Johdon velvollisuudet

Selectamarkin johto on sitoutunut tehokkaan tietosuojan hallintajärjestelmän käyttöön joka sisältää määritetyt vastuut ja velvollisuudet, riittävän resurssoinnin ja säännöllisten sisäisten auditointien ja katsauksien toteuttamiseen vähintään kerran vuodessa.

Resurssien hallinta

Selectamarkin tulee varmistaa riittävät resurssit : a) ”tietokannan” operointiin LPS1224 vaatimusten mukaisesti ja b) ylläpitämääm palvelutasot lausekkeen 3.2.16 mukaisina.

Tapahtumalogit

Selectamark pitää kirjaa toimenpiteistä ja tapahtumista potentiaalisten tietoturvauhkien torjunnan tukemiseksi.

Tapahtumien hallinta

Selectamark on perustanut ja ylläpitää järjestelmää, joka identifioi, raportoi, tutkii ja reagoi a) luvattoman käytön b) tietoturvauhat ja c) toimintavirheet

Sisäiset auditoinnit

Selectamark on määritellyt ja ottanut käyttöön toimintaohjeet sisäisten auditointien suorittamiseen, auditointien tulosten tallentamiseen ja auditointien tulosten säilyttämiseen

Korjaavat ja ennaltaehkäisevät toimenpiteet

Selectamark on määritellyt  ja ottanut käyttöön dokumentoidut toimintaohjeet korjaavien toimenpiteiden toteuttamisesta olemassa olevien tai aikaisempien laatupoikkeamien syiden eliminoimiseksi.

Ylläpito

Selectamark ottaa säännöllisesti ja usein varmistuksia kaikesta hallussaan olevasta tiedosta.  Luvattoman käytön  estämiseksi  varmistukset ovat kryptattuja.  Varmistuksia säilytetään eri lokaatioissa ja niiden palauttamista testataan säännöllisesti.

Liiketoiminnan jatkuvuus

Selectamark on ottanut käyttöön toimintamallin liiketoiminnan jatkuvuuden varmistamiseksi niin että: a)se voi operoida ”tietokantaa” 24 tunnin kuluessa vakavasta tapahtumasta/ häriöstä mikä vaikuttaa ”tietokannan”  rekisteröintipalvalvelun  saatavuuteen ja b) pienemmät tapahtumat/ häiriöt eivät heikennä lausekkeen 3.2.16.1 mukaisia palvelutasoja.  Liiketoiminnan jatkuvuussuunnitelma tarkastellaan ja testataan säännöllisesti.

Palvelutasot

Selectamark palvelutasoihin voit perehtyä: täällä

3. Resurssit

Henkilöstö

Henkilöstölle on selvitetty tietoturvatoimenpiteiden merkitys ja tärkeys.  Kenellekään ei myönnetä lupaa käyttää tietokantaa ennen kuin henkilö on turvatarkistettu BS 7858:2006 säädöksen mukaisesti (kriittisissä tietoturvaympäristöissä työskentelevien henkilöiden tarkastaminen, eettiset ohjeet).   ”Tietokannassa” olevaan informaatioon on pääsy vain auktorisoiduilla henkilöillä.

Sopimus luottamuksellisen tiedon käsittelystä

Kaikki työntekijät ja alihankkijat, joilla on pääsy kriittiseen tietoon, ovat allekirjoittaneet sopimuksen luottamuksellisen tiedon käsittelystä.

Ulkoistetut palvelut

Ulkoistetut palvelut hallitaan ISO 9001:2000 vaatimusten mukaisesti.

Sähköisessä muodossa olevan informaation suojaaminen

Sähköisessä muodossa olevaan informaation on pääsy vain henkilöstöllä, joilla on tähän asianmukaiset oikeudet kohdan 3.4.7.6. mukaisesti.

4. Pääsy kriittiseen information

Turvallinen tietojen vaihto

Selectamark on ottanut käyttöön toimintatavat, joiden avulla on mahdollista vaihtaa tietoa turvallisesti.  Nämä toimintavat koskevat kolmansia osapuolia seuraavien toimintojen osalta:

  • Omaisuuden merkitseminen tietoturvalliseen omaisuusrekisteriin
  • Merkityn omaisuuden haku tietoturvallisesta omaisuusrekisteristä
  • Omaisuuden merkitseminen joko kadonneeksi tai varastetuksi
  • Omaisuuden merkitseminen löydetyksi
  • Omistajan vaihtaminen tai omistajatietojen muu päivittäminen