POLITICA SI OBIECTIVELE SOCIETATII PRIVIND_SECURITATEA INFORMATIEI cod: P - SI- Al Rev. Descriere modificari VERIFICAT APROBAT 0 Elaborare initiala Reprezentant Director General, Gabriela Paraschiv 03.09.2012 ola Director General, ae Yew DOCUMENT CONTROLAT: modificarea, muitiplicarea sau difuzarea acestula fara aprobarea emitentului este strict interzisaASESOFT POLITICA SI OBIECTIVELE SOCIETATII Cod: P-SL-AI Ge icy. PRIVIND SECURITATEA INFORMATIE! Rev.0 Ex. Nr. LA NIVEL DE SOCIETATE VIZIUNE In circumstantele si in mediul de afaceri din prezent si mai ales in vitor, informatiile sunt esentiale pentru Clienti si pentru Noi. De aceea ne angajam sa protejam informatiilor noastre si ale Clientilor, sa monitorizam, sa evaluam si sa imbunatatim adecvarea si eficacitatea acestei protectii din punct de vedere personal, metode si active, inclusiv hardware si software. ‘MISIUNE Asigurarea confidentialitati,integritatt si disponibilitatit informatiilor Societati si ale Clientilor in conditii de conformitate ‘cu cerintele legale, reglementate si cu alte cerinte asumate de securitate a informatiei, precum si in conditi de asigurare a functionalitatt si disponibilitatié activelor informatice, inclusiv hardware si software. DOMENIU Toate activitatile de procesare, transfer si pastrare a informatiilor, intreg personalul implicat si toate activele relevante din toate departamentele societati, inclusiv hardware, software, medii de stocare, documente si inregistrari, POLITICA Identificarea si evaluare riscurilor de securitate, dezvoltarea si implementarea programelor de tratare necesare in paralel cu dezvoltarea, monitorizarea si analizarea periodica a indicatorilor de conformitate si de eficacitate asociati, precum si stabilirea, implementarea, monitorizarea si analiza pe aceasta baza a masurilor necesare de prevenire si imbunatatire. OBIECTIVE ~ Prevenirea breselor si incidentelor de securitate, in special a incidentelor majore. = Reducerea la minimum admisibil a intreruperilor de activitate cauczate de incidente, avarit sau cataclisme. ~ Pastrarea integritati si disponibilitati (prompte) a informatiilor pentru utilizatorti autorizati — Pastrarea integritati, fanctionalitaté si disponibilitai (pentru utilizatorii autorizati) hardware si software. = Dezvoltarea si mentinerea protectilor necesare la furt, pierdere, deteriorare sau modificare neaulorizata. ~ Specificarea si asumarea responsabilitatilor si asigurarea implicarit necesare la nivel de fiecare post. = Obtinerea si mentinerea nivelului necesar de cunostinte si constientizare privind securitatea informatici. = Dezvoltarea si mentinerea capacitatii necesare de reactie in situatii de urgenta = Asigurarea capacitatii necesare de continuare a activitatilor in caz de incidente majore. — Realizarea si mentinerea conformitatii ISO 27001 si certficarea de catre un organism acreditat. PRINCIPI ~ Identificarea, analiza, evaluarea, inregisirarea, comunicarea si tratarea riscurilor de securitatea informatie. = Organizarea societai, stabilirea responsabilitatilor si alocarea resurselor pentru asigurarea securitatitinformatiet. = Stabilirea, actualizarea si comunicarea regulilor de sistem si de lucru privind seeuritate informatie. Clasificarea informatiilor sia zonelor de securitae. = Aeces controlat in cladiri in incaperi la active, in retea, 1a documente si fisiere sila medi de stocare. = Stabiliea, comunicarea si monitorizarea regulilor de acces pentru Angajat, Client, Colaborator si ati Ter — Monitorizarea si inregistrarea accesului in societate- la registratura si la servere. — Monitorizarea si inregistrarea aecesului- la si de la distanta- la fisierele si serverele soctetati, ~ Semnalarea, investigarea si tratarea incidentelor si deficientelor de securitate, aplicarea prompta a masurilor necesare de tratare si prevenire, precum si analiza eficacitati acestor masuri. ~ Dezvoltarea planuritor si capacitatilor de reactie in situaté de urgenta, inclusiv a planului de continuitate in afaceri ~ Identificarea si analiza cerintelor legate si altor cerinte asumate privind securitatea informatiei si dezvoltarea pe aceasta ‘baza a masurilor de conformare necesare, inclusiv monitorizarea acestei conformitat DECIZI FINALE Pentru a se asigura suecesul misiunii de asigurare a securitati informatiei, Dir. General a institut Comitetul de Securitate a Informatiei ca forum de management si specialitate pe care il conduce in calitate de Presedinte si in care sunt analizate toate cerintele, riscurile si nowatile privind securitatea informatiei,fiind stabilite pe aceasta baza masurile, programele, regulile si criteriile necesare, inclusiv prezenta declaratie si documentatia sistemului de securitate asociat. Directorul IT este Vice-Presedintele Comitetului si Repr. Dir. General pentru implementarea, conformitatea, respectarea, imbunatatirea si actualizarea acestei politic sia sistemului de securitate la nivel de societate si de Dept. IT. Fiecare Director si Sef din Societate raspunde de implementarea si succesul prezentei declaratii de politica in zona sa de conducere, inclusiv de implicarea si performantele in acest sens ale personalului subordonat. Fiecare Angajat are obligatia sa cunoasea, sa respecte si sa sustina prezenta politica si prevederile aplicabile din documentatia de securitate a informatie’ comunicata de Societate. Pagina 2 din 3ASESOFT POLITICA SI OBIECTIVELE SOCIETATIL Cod: P-SI-Al PRIVIND SECURITATEA INFORMATIE! Rev.0 POLITICILA NIVEL OPERATIONAL Politica prvind Angajati = Recrutarea pe baza de evaluari si referine pentru @ asigura responsabilitatea, disciplina si confidentialiatea acestoa. = Stabitirea si comunicarea de regul clare prvind securitatea informatilr, inclusi prin Regulament Intern, Acordurt de Confidemiatitate si Proceduri de Securitate ~ Evaluarea periodica a performantelor indviduale de securitae, analiza rezultatelor si luarea masurilor necesare ~ Inregistrareaiesirilor si intrarior in sed, inclusiv a echipamentelorinformatice si'sau medilor de stocare mobile. = Autorizarea iesirilor cu echipamente informatie sisau medi de stocare mobile Politica privind Vizitatorii — inclusiv Clientii, Subcontractatii, Furnizorii si Colaboratorii Externi ~ Stabitirea si comunicarea de reguli de securtateainformatici ce trebuie respectate in seul societal Accesul cu mijloace informatice side inregistrare aucio video numai autorizat, in caz contrarpredarea la regisratura = Includerea de prevederi specifice in coniracte si'sau incheierea de convent cu Clientt, Subcontractanti, Furnizorit si Colaboratori Extern privind securitatea informatie’ la sediul societati = Stabilirea si comunicarea de reguli clare privind securitatea informatilor, inclusiv prin Regulament Intern, Acorduri de Confidentiattate si Proceduri de Securitate. = Evaluarea periodica a performantelor individuale de securitate, analiza rezultatelor si luarea masurilor necesare. Politica de Back-Up = Toate fsierete se salveaza in mod automat zilnic si lunar pe statile si serverele din sedi ~ Toate fisierele importante se salveaza saptamanal pe medii externe de stocare si pe servere din alte locati Politica privind Renuntarea/Casarea referitoare la Echipamente Informatice si Medit de Stocare Externe ~ Asigurarea stergerit complete a fisierelor si aplicatilor software de catre Utilizator’ inainte de predare. = Predarea ta Administratorul de Retea care verifica stergerea completa si le caseaza/preda pe baza de P.V Politica privind Schimburile de Informatii = Asigurarea respectari legislatiei privind copyright si drepturile de autor. ~~ Respectarea cerintelor contractuale aplicabile. = Acolo unde mu exista cerimte contractuale sau de copyright drepmride autor, schimbul se face cu avizul conducatorului direct, iar in cazul informatitlorcritice cu aprobarea Directorului General. Politica privind Accesul in Sediu = Accesul numa prin intrarea principala iar intrarile si iesiile se inregistreaza — accesul prin alta parte numai in situatii de urgenta (conform planuri de evacuare) sau cu acceptul Directorului General (echipamente cu gabarit, et). = Acces interzis cu mijoace externe informatice, foto si de inregistrare video audio ~ mumai cu aprobare Director General. ~ Accesul persoanelor dinafara societatii numai pe baza de aprobare si comunicare’respectare Reguli pentru Vizitator Politica privind Accesul la Informati ~ Protectia accesului ta retea cu aplicatii Firewall (duble unde e cazul) si rute de legatura VPN sau SLS unde e cazul. ~ Protectia accesului la stati si servere pe baza de identificare, parola si drepturi de acces. = Protectia accesului la fsiere, pe baza de identificare, parola si dreprur de acces. Politica privind Utitizarea Retelei ~ Acces controlat la retea (vezi imediat mai sus) si utilizare exclusiv in scopuri profesionale a sevicilor email si internet. ~ Acces controlat pentru Clientt autorizat la fisierele de aplicatii, pe baza de Firewall, identificare si parola, = Acces controlat pentru tucrul fa distanta (vezi imediat mai jos) Politica privind Lucrul la Distanta si Criptarea ~ Acces la retea, statil, servere si fisiere pe baza de tunel VPN si de criptare tinute sub control de Administratorul de Retea, recum si pe baza de Firewall, identificare, parola si drepturi de acces Politica privind Managementul Incidentele si Asigurarea Continuitatii in Afaceri — Mentenanta preventiva a echipamentelor informatice din retea, a retelelor de uilitai si cladirior — Desemnarea de personal de decizie si imterventie cu autoritatea, competenta, experienta si abilitatile necesare, = Alertarea rapida a personalului de decizie si interventie. — Dezvoltarea, comunicarea, verificarea si mentenanta planurilor si capacitatilor necesare de reactie. ~ Invatarea lectilor din experienta proprie si aaltor entitati Pagina 3 din 3