Ασφάλεια Πληροφοριών | Πειραιώς Leasing

Απόσπασμα Πλαισίου Ασφάλειας Πληροφοριακών Πόρων

Η εταιρική πληροφορία θεωρείται ένα ιδιαίτερα κρίσιμο περιουσιακό στοιχείο της Πειραιώς Leasing και προστατεύεται ανάλογα με την αξία της με στόχο να ενισχύεται η εμπιστοσύνη των πελατών, να διασφαλίζεται η συμμόρφωση με το εκάστοτε Κανονιστικό Πλαίσιο, να παρέχεται η απαραίτητη πληροφόρηση στον Όμιλο και να διαφυλάσσεται η ανταγωνιστική θέση της Πειραιώς Leasing.

Η Πειραιώς Leasing αντιμετωπίζει σημαντικούς επιχειρηματικούς κινδύνους από την αυξανόμενη εξάρτησή της από τις πληροφορίες και τα Ολοκληρωμένα Πληροφοριακά Συστήματα που τις φιλοξενούν και τις επεξεργάζονται, από τις αυξανόμενες διασυνδέσεις των συστημάτων με πελάτες και τρίτους, από τις διαρκείς οργανωτικές και τεχνολογικές μεταβολές που επιβάλλονται από τις επιχειρηματικές ανάγκες, αλλά και από την καθημερινή εμφάνιση νέων τεχνολογικών και άλλων απειλών. Πραγματοποιεί εκτιμήσεις των κινδύνων που σχετίζονται με την Ασφάλεια Πληροφοριών σε τακτικά χρονικά διαστήματα και λαμβάνει τα απαραίτητα μέτρα για την αντιμετώπισή τους. Εφαρμόζει πλαίσιο αξιολόγησης της αποτελεσματικότητας των διαδικασιών Ασφάλειας Πληροφοριών, μέσω του οποίου καθορίζονται δείκτες απόδοσης, περιγράφεται η μεθοδολογία μέτρησής τους και παράγονται περιοδικές αναφορές οι οποίες ανασκοπούνται από τη Διοίκηση με σκοπό τη συνεχή βελτίωση του συστήματος. Επίσης, η Πειραιώς Leasing λόγω της ιδίας κατοχής των Χρηματοδοτούμενων Ακινήτων και Εξοπλισμού, παρουσιάζει αυξανόμενες ανάγκες στην κανονιστική και φορολογική συμμόρφωση που πρέπει να καλυφθεί από Ολοκληρωμένα Πληροφοριακά Συστήματα και μεγάλο πλήθος εξωτερικών συνεργατών και συμβάσεων.

Το παρόν έγγραφο αποτελεί το Πλαίσιο Ασφάλειας Πληροφοριακών Πόρων που έχει υιοθετηθεί από την Πειραιώς Leasing (υπό την επίβλεψη του Ομίλου της Τράπεζας Πειραιώς). Σκοπός του είναι να προδιαγράψει τις κατευθύνσεις και τους στόχους της Πειραιώς Leasing για την αποτελεσματική διαχείριση, προστασία και κατανομή των πληροφοριακών του πόρων. Επιπλέον, στόχος είναι να χρησιμοποιηθεί για τη γενική ενημέρωση του προσωπικού της Πειραιώς Leasing σε θέματα ασφάλειας, αλλά και ως έναυσμα για περαιτέρω ευαισθητοποίηση και εκπαίδευση.

Οι βασικοί στόχοι του Πλαισίου Ασφάλειας Πληροφοριακών Πόρων είναι:

η διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των δεδομένων, συστημάτων και υπηρεσιών έναντι εκούσιων ή ακούσιων απειλών
η ικανοποίηση των νομικών και κανονιστικών απαιτήσεων σχετικών με την ασφάλεια και προστασία δεδομένων
η επιχειρησιακή συνέχεια των βασικών υπηρεσιών του Οργανισμού έναντι περιστατικών ασφαλείας
η παρακολούθηση και διαχείριση έργων πληροφορικής που δημιουργούν, τροποποιούν ή απενεργοποιούν πληροφοριακά συστήματα της Πειραιώς Leasing
η παρακολούθηση των εξωτερικών αναθέσεων και συνεργατών τόσο κατά την ενεργοποίηση των αναθέσεων όσο και στην εύρυθμη λειτουργία των υπηρεσιών.
η ενημέρωση και η εκπαίδευση όλων των υπαλλήλων και λοιπών εμπλεκομένων τρίτων σχετικά με την παροχή των βασικών υπηρεσιών του Οργανισμού
η άμεση κοινοποίηση και διαχείριση περιστατικών ή αδυναμιών ασφαλείας.
η συνεχής βελτίωση του επιπέδου Ασφάλειας Πληροφοριών

Για το σκοπό αυτό:

Ορίζονται οι οργανωτικές δομές που είναι απαραίτητες για την παρακολούθηση θεμάτων σχετικών με την Ασφάλεια Πληροφοριών.
Ορίζονται τα τεχνικά μέτρα ελέγχου και περιορισμού της πρόσβασης σε πληροφορίες και πληροφοριακά συστήματα.
Καθορίζεται ο τρόπος διαβάθμισης των πληροφοριών ανάλογα με τη σπουδαιότητα και την αξία τους.
Περιγράφονται οι απαραίτητες ενέργειες προστασίας των πληροφοριών κατά τα στάδια της επεξεργασίας, αποθήκευσης και διακίνησής τους.
Καθορίζονται οι τρόποι ενημέρωσης και εκπαίδευσης των υπαλλήλων και των συνεργατών της Εταιρείας σε θέματα Ασφάλειας Πληροφοριών.
Προσδιορίζονται οι τρόποι αντιμετώπισης περιστατικών Ασφάλειας Πληροφοριών.
Περιγράφονται οι τρόποι με τους οποίους διασφαλίζεται η ασφαλής συνέχεια των επιχειρησιακών λειτουργιών της Εταιρείας σε περιπτώσεις δυσλειτουργίας πληροφοριακών συστημάτων ή σε περιπτώσεις καταστροφών.

Ο Υπεύθυνος Ασφάλειας Πληροφορικών Συστημάτων και Δικτύων ΥΑΠ έχει την ευθύνη για τον έλεγχο και παρακολούθηση των πολιτικών και διαδικασιών που σχετίζονται με την Ασφάλεια Πληροφοριών και την ανάληψη των απαραίτητων πρωτοβουλιών για την εξάλειψη όλων εκείνων των παραγόντων που μπορούν να θέσουν σε κίνδυνο τη διαθεσιμότητα, ακεραιότητα και εμπιστευτικότητα των πληροφοριών της Εταιρείας.

Το σύνολο των εργαζομένων της Εταιρείας και των συνεργατών της με πρόσβαση σε πληροφορίες και πληροφοριακά συστήματα της Εταιρείας, έχει την ευθύνη της τήρησης των κανόνων της εφαρμοζόμενης Πολιτικής Ασφάλειας Πληροφοριών.

H Εταιρεία δεσμεύεται για την αδιάλειπτη παρακολούθηση και τήρηση του κανονιστικού και νομοθετικού πλαισίου και για τη συνεχή εφαρμογή και βελτίωση της αποτελεσματικότητας του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών.

Στα πλαίσια της διαδικασίας ανάπτυξης ενός ολοκληρωμένου Πλαισίου Ασφάλειας Πληροφοριακών Πόρων και με κύριο στόχο την επίτευξη του απαιτούμενου επιπέδου ασφάλειας, η Πειραιώς Leasing έθεσε ως βασικό στόχο την εκπόνηση ενός εμπεριστατωμένου, εύχρηστου και προσαρμοσμένου στις ανάγκες και στο ανθρώπινο δυναμικό της εταιρείας πλαισίου. Αποτελεί μια σειρά πολιτικών ασφαλείας λαμβάνοντας υπόψη, τις κανονιστικές υποχρεώσεις, τις βέλτιστες πρακτικές καθώς και τις απαιτήσεις βασικών προτύπων πιστοποίησης. Συγκεκριμένα, το παρόν Πλαίσιο Πολιτικής Ασφάλειας εναρμονίζεται πλήρως με τις απαιτήσεις που προκύπτουν από την ΠΕΕ 190,16.06.2021, το πρότυπο ISO/IEC 27001:2022 και τις βέλτιστες πρακτικές.

Η ανάπτυξη του Πλαισίου Ασφάλειας Πληροφοριακών Πόρων υλοποιήθηκε με γνώμονα τις ειδικές ανάγκες της Πειραιώς Leasing, λαμβάνοντας υπόψη παράγοντες όπως, το εκάστοτε τεχνολογικό περιβάλλον, τις φάσεις του κύκλου ζωής ενός πληροφοριακού συστήματος, καθώς επίσης τους ρόλους και τις αρμοδιότητες ως προς την ασφάλεια πληροφοριών που έχει υιοθετήσει η Πειραιώς Leasing (δεδομένου ότι κάθε εργαζόμενος και εξωτερικός συνεργάτης ανάλογα με τη θέση και το αντικείμενο εργασίας του, έχει συγκεκριμένες ευθύνες ως προς την θωράκιση της ασφάλειας των πληροφοριών του Ομίλου).