1. SVRHA
Udruga hrvatskih putničkih agencija (u daljnjem tekstu UHPA) donosi Politiku informacijske sigurnosti koja kao krovni dokument predstavlja okvir za upravljanje sustavom informacijske sigurnosti. Politikom informacijske sigurnosti definiraju se osnovna načela, te odgovornosti koje se odnose na upravljanje sigurnosti informacijskog sustava.
Obavljanje poslovnih aktivnosti UHPA-e ovisi o ispravnom radu informacijskog sustava. Uloga informacijskog sustava je poboljšati produktivnost radnika i efikasnost poslovnog procesa, a informacije se smatraju osjetljivom i ključnom imovinom UHPA-e.
Sustav upravljanja informacijskom sigurnosti uspostavlja se u svrhu zaštite informacija od prijetnji kojima se narušava njihova povjerljivost, integritet i/ili dostupnost radi osiguranja kontinuiteta poslovanja, smanjenja poslovnog rizika i povećanja prihoda od poslovnih prilika.
2. CILJ
Cilj ove Politike je uspostaviti okvir za upravljanje sigurnošću informacijskog sustava kojim će se umanjiti utjecaj sigurnosnih incidenata i zaštititi informacijsku imovinu (informacije, informacijske sustave, dokumentaciju, medije za pohranu podataka, telekomunikacijsku opremu i uređaje, mjesto rada, poziciju na tržištu, radnike), operativni kontinuitet, intelektualno i materijalno vlasništvo te pravne i poslovne interese od štete i gubitka uzrokovanih unutarnjim ili vanjskim, namjernim ili slučajnim, prijevarnim, prekršajnim i kaznenim djelovanjem u svrhu zaštite kontinuiteta poslovanja UHPA-e.
2.1. Područje primjene
Obvezu pridržavanja odredbi Politike informacijske sigurnosti imaju svi korisnici informacijskog sustava UHPA-e, zaposlenici, sve osobe koje privremeno obavljaju poslove prema ugovoru te svi vanjski suradnici ili partneri UHPA-e koji dolaze u doticaj sa resursima informacijskog sustava.
2.2. Odgovornosti
Svi zaposlenici i vanjski suradnici UHPA-e dužni su se pridržavati načela i principa koje propisuje ova Politika te su obvezni prijavljivati uočene sigurnosne propuste ili incidente.
Nepridržavanje odredbi Politike informacijske sigurnosti od strane zaposlenika UHPA-e smatrat će se povredom ugovora o radu koja može predstavljati razlog za pokretanje disciplinskog postupka, otkaz ugovora o radu skrivljenim ponašanjem radnika ili za izvanredni otkaz ugovora o radu. Nepridržavanje odredbi Politike informacijske sigurnosti od strane vanjskih suradnika i partnera smatra se povredom ugovorne obveze koja može biti temelj za raskid ili otkaz ugovora.
3. NAČELA INFORMACIJSKE SIGURNOSTI
Prepoznavanje, procjena, analiza i obrada rizika čine temelj za ispravno funkcioniranje sustava informacijske sigurnosti. Rizik informacijskog sustava se procjenjuje najmanje jednom godišnje kako bi se ustanovile promjene u oblicima prijetnji prema informacijskom sustavu te uzele u obzir promjene u samoj organizaciji. UHPA će procjenu i obradu rizika temeljiti na metodologiji koja je u skladu sa zakonskim i regulatornim odredbama, međunarodnim standardima i najboljim svjetskim praksama.
UHPA u svrhu sprječavanja narušavanja povjerljivosti, integriteta i dostupnosti uređuje postupke zaštite informacija i podataka koji se stvaraju, preuzimaju, obrađuju, spremaju ili prosljeđuju resursima informacijskog sustava UHPA-e imajući u vidu relevantne zakonske, regulatorne i ugovorne obveze.
Korisnici informacijskog sustava moraju biti upoznati s načinom primjerenog korištenja informacijskog sustava UHPA-e kroz dokumentirane upute, metode zaštite i sigurnosne mjere iz svog djelokruga rada.
Radi smanjenja negativnog utjecaja na raspodjelu resursa, distribuciju hardvera i softvera i njihovo održavanje, identifikaciju i lociranje imovine te sigurnost informacijskog sustava UHPA-e primjereno upravljaju imovinom informacijskog sustava.
Informacijski sustav potrebno je zaštititi na primjeren način te se u tu svrhu vrši adekvatna zaštita osoba, prostora i imovine UHPA-e, sprječavanje neovlaštenog fizičkog i logičkog pristupa, oštećenja i ometanja prostora, zaštita informacija u mrežama i pratećoj mrežnoj infrastrukturi te aplikativnim servisima informacijskog sustava.
Upravljanje kontinuitetom poslovanja jedan je od strateških interesa UHPA-e kako bi se zaštitili poslovni procesi od većih prekida ili katastrofa te izvršio oporavak uslijed neželjenog događaja u što kraćem vremenu. S tim ciljem UHPA će osigurati pouzdanu pričuvnu pohranu ključnih informacijskih resursa i poduzimati sve potrebne mjere kako bi bile spremne pravovremeno i kompetentno odgovoriti na sigurnosne incidente koji mogu pogoditi resurse informacijskog sustava.
Vanjski suradnici UHPA-e i relevantne treće osobe koje pristupaju informacijskom sustavu moraju biti upoznati s odredbama ove Politike čime formalno prihvaćaju svoj dio odgovornosti koji se odnosi na očuvanje prihvatljive razine sigurnosti informacijskog sustava.
Kako bi se osiguralo poštivanje i provođenje gore navedenih načela te podržavanje poslovnih ciljeva UHPA-e uz efikasno korištenje resursa informacijskog sustava, UHPA će upravljati informacijskim sustavom vodeći računa o strateškom usmjerenju UHPA-e, uspostavljanjem učinkovitog sustava izvješćivanja te osiguranju sukladnosti sa zakonskim, regulatornim i ugovornim zahtjevima kao i zahtjevima međunarodnih standarda iz domene upravljanja sustavom informacijske sigurnosti.
4. ZAVRŠNE ODREDBE
Ova Politika će biti dostupna svim korisnicima informacijskog sustava UHPA-e.
Udruga hrvatskih putničkih agencija
Savska cesta 41/XVI
10000 Zagreb
T: 01 2304 992
U Zagrebu, 15. svibnja 2018.