1. Wymagania ogólne

Selectamark posiada niezależny certyfikat BS EN ISO 9001: 2015 (Systemy Zarządzania Jakością: Wymagania) i jest zarejestrowany w Biurze Komisarza ds. Informacji zgodnie z wymogami Ustawy o Ochronie Danych 2018.

2. System zarządzania bezpieczeństwem informacji

Selectamark stworzył i utrzymuje udokumentowany system zarządzania bezpieczeństwem informacji.

Ocena ryzyka
Selectamark zidentyfikował odpowiednią metodologię oceny ryzyka i opracował kryteria przeglądu i identyfikacji akceptowalnych poziomów ryzyka oraz środków kontroli ryzyka.

Dokumentacja systemu zarządzania bezpieczeństwem informacji
Selectamark stworzył i prowadzi dokumentację wspierającą zarządzanie bezpiecznym rejestrem aktywów zgodnie z LPS 1224: Issue3 i BS EN ISO 9001: 2015.

Kontrola dokumentów
Selectamark kontroluje dokumenty wymagane przez system zarządzania bezpieczeństwem informacji zgodnie z określonym zestawem procedur, które są zgodne z wymaganiami pkt 4.2.3 normy BS EN ISO 9001: 2015.

Konserwacja rekordów
Selectamark prowadzi dokumentację zgodnie z procedurami, które są zgodne z wymaganiami pkt 4.2.4 normy BS EN ISO 9001: 2015.

Odpowiedzialność za zarządzanie
Kierownictwo Selectamark zobowiązuje się do prowadzenia skutecznego systemu zarządzania bezpieczeństwem informacji, który obejmuje zdefiniowanie ról i obowiązków, zapewnienie odpowiednich zasobów, zapewnienie regularnych audytów wewnętrznych oraz przeprowadzanie przeglądów systemu przynajmniej raz w roku.

Zarządzanie zasobami
Selectamark zapewni wystarczające zasoby do a) obsługi bezpiecznego rejestru aktywów zgodnie z wymaganiami LPS 1224: Wydanie 3 oraz b) utrzymania poziomów usług określonych zgodnie z punktem 3.2.16

Dzienniki zdarzeń
Selectamark rejestruje operacje i zdarzenia, aby wspierać wykrywanie potencjalnych naruszeń bezpieczeństwa informacji.

Reagowania na incydenty
Selectamark stworzył i utrzymuje system identyfikacji, zgłaszania, badania i reagowania na a) nieautoryzowane działania b) incydenty bezpieczeństwa ic) usterki.

Audyty wewnętrzne
Selectamark zdefiniował i wdrożył procedury przeprowadzania audytów wewnętrznych, rejestrowania wyników audytów i prowadzenia zapisów audytów.

Działania korygujące i zapobiegawcze
Selectamark zdefiniował i wdrożył procedury dokumentacyjne dotyczące wdrażania działań naprawczych w celu wyeliminowania przyczyny istniejących lub wcześniejszych niezgodności.

Konserwacja
Selectamark regularnie i często tworzy kopie zapasowe wszystkich informacji, które są szyfrowane, aby zapobiec nieautoryzowanemu użyciu. Kopie zapasowe są przechowywane w wielu bezpiecznych lokalizacjach i regularnie testowane.

Ciągłości działania
Selectamark wdrożył procedurę ciągłości działania, aby zapewnić, że a) może obsługiwać bezpieczny rejestr aktywów w ciągu 24 godzin od poważnego zdarzenia / incydentu, który ma wpływ na świadczenie usługi bezpiecznej rejestracji aktywów oraz b) drobne zdarzenia / incydenty nie podważają jego zgodność z poziomem usług określonym zgodnie z pkt 3.2.16.1. Plan ciągłości jest regularnie testowany i weryfikowany.

Poziom usług
Poziom usług Selectamark jest określony tutaj.

3. Zasoby

Personel
Personel jest świadomy znaczenia i wagi działań związanych z bezpieczeństwem informacji. Przed uzyskaniem dostępu do bezpiecznego rejestru aktywów, wszyscy pracownicy są poddawani kontroli bezpieczeństwa zgodnie z BS 7858: 2012 Kontrola osób zatrudnionych w środowisku bezpieczeństwa - Kodeks postępowania. Tylko upoważniony personel ma dostęp do informacji przechowywanych w bezpiecznym rejestrze aktywów.

Umowa o poufności
Wszyscy pracownicy i kontrahenci, którzy mają dostęp do zabezpieczonych informacji, podpisali umowy o zachowaniu poufności.

Usługi zewnętrzne
Usługi outsourcingowe są zarządzane zgodnie z wymaganiami tej normy oraz ISO 9001: 2015

Ochrona informacji elektronicznych
Dostęp do zabezpieczonych informacji przechowywanych w formie elektronicznej jest ograniczony do personelu posiadającego odpowiednie uprawnienia dostępu, zgodnie z punktem 3.4.7.6.

4. Dostęp do zabezpieczonych informacji

Polityka wymiany informacji
Selectamark wdrożył politykę wymiany bezpiecznych informacji. Obejmuje to strony trzecie:

rejestrowanie aktywów w bezpiecznym rejestrze aktywów
wyszukiwanie aktywów w bezpiecznym rejestrze aktywów
zgłaszanie aktywów jako zagubionych lub skradzionych
raportowanie znalezionych zasobów
przenoszenie własności lub w inny sposób aktualizowanie informacji o własności