情報セキュリティポリシー
グリーン プラットフォーム N.V. (以下、 Green Platform, 会社)は、情報資産を保護し、事業継続を確保し、社内外の情報の流れを保護する義務があります。情報セキュリティは、効果的かつ保護されたデータ共有を確保すると同時に、情報インフラストラクチャをセキュリティ インシデントから保護するために不可欠です。
Green Platformの情報セキュリティポリシーは、会社、社員、クライアント、パートナー、知的財産権の所有者を情報セキュリティ関連のインシデント(出来事/事件)やそれに伴う損失、収入の損失、損害から保護することを目的としています。このポリシーはまた、国際規格(international standard)であるISO/IEC 27001およびISO/IEC 27002に基づいて、ネットワークシステムに関する管理要件を確立することを目的としています。
1. 範囲
このポリシーは、Green Platform の以下のすべてのスタッフ グループおよび関連会社に適用されます (ただし、これらに限定されません)。
アクセスする人は誰でも 情報 それはGreen Platformの財産です。
Green Platform にアクセスするすべての人 コンピュータネットワーク;
使っている人なら誰でも コンピュータ機器 それはGreen Platformの財産です。
オールグリーンプラットフォーム スタッフ;
オールグリーンプラットフォーム アフィリエイトとプロバイダー.
このポリシーは保護します 情報を保存および処理するために使用される情報システム。
これには以下が含まれますが、これらに限定されません。
• 当社が開発または委託したクラウド システム。
• 企業ネットワークに接続されたシステムまたはデータ。
• 会社が管理するシステム。
• 会社ネットワークへの接続または会社データの保持に使用されるモバイル デバイス。
• 当社が知的財産権を保有するデータ。
• 当社がデータ管理者またはデータ処理者であるデータ(保持される場所を問わず)。
2. 責任
情報の保護に関する会社の指示に従うことは、会社の情報ソースおよびシステムのすべてのユーザーの責任です。
当社は、このポリシーをすべての新入社員に公開します。当社は従業員に本ポリシーを周知させ、本ポリシーの重要な改訂については通知します。
当社は、情報を適切に管理することが自らの責任であることを認識しています。このような情報管理は、ビジネス効率(情報を保護に値する主要な資産として認識する)、効果的なリスク管理、法令順守(特に一般データ保護規則に関連する)、および健全な企業ガバナンスを促進します。
スタッフ、会社の関連会社、サプライヤー、パートナーの責任:
当社、当社の関連会社、サプライヤーおよびパートナー、第三者のすべてのスタッフは、当社情報のユーザーとなります。これには、本ポリシー、支援ポリシー、および関連する法律を遵守する責任が伴います。いかなる個人も、正当なアクセス権を持たない情報にアクセスできるべきではありません。これを防ぐためのシステムが整備されているにもかかわらず、いかなる個人も故意にこのポリシーに違反したり、他の人に違反を許可したりしてはなりません。データ侵害を報告するには、セクション 3.6: インシデントの処理を参照してください。
ビジネス主導のテクノロジー チーム:
会社の業務をサポートする手動および電子両方の情報システム (人事/登録/財務など) を担当します。これには、データが適切に保存されていること、データに対するリスクが適切に理解され、軽減または明示的に受け入れられていること、データに適切な人物のみがアクセスできるように適切なアクセス権が設定されていること、適切なバックアップがあることの確保が含まれます。 、保存、災害復旧、および廃棄メカニズムが整備されていること。
プロジェクトマネージャー:
プロジェクトの実現の過程で生成、提供、または保持される情報のセキュリティに責任を負います。これには、データが適切に保存されていること、データに対するリスクが適切に理解され軽減されていること、データに適切な人物のみがアクセスできるように適切なアクセス権が設定されていること、適切なバックアップ、保持、災害対策の確保が含まれます。回収および廃棄のメカニズム。
プロフェッショナル サービス リード、部門マネージャー / ライン マネージャー:
作業文書/契約書/スタッフ情報を含む可能性のあるすべてのサポート情報と文書を含む、会社の業務の特定領域に責任を負います。
データ保護責任者:
データ保護と記録保持の問題を担当します。
サイバーセキュリティチーム:
会社の IT インフラストラクチャ、クラウド環境、およびアプリケーションの提供が、このポリシーの要求および現在の優れた実践と一致していることを確認する責任を負います。保証活動、ペネトレーションテスト、情報セキュリティポリシー、および専門家の情報セキュリティに関するアドバイスを担当します。サイバーセキュリティ問題に対するインシデント対応。ユーザーの意識。
管理委員会:
情報セキュリティポリシーの承認を担当します。
3. 方針
3.1.情報セキュリティ原則
以下の情報セキュリティ原則は、会社における情報のセキュリティと管理に対する包括的なガバナンスを提供します。
1. 情報は、適切なレベルの機密性、完全性、および可用性 (セクション 3.3. 情報の分類を参照) および関連する法律、規制、および契約上の要件に従って分類される必要があります。
2. 情報に対する責任を持つユーザー (セクション 2. 責任を参照) は、次のことを行う必要があります。
a.その情報の分類が確立されていることを確認します。
b.情報はその分類レベルに従って処理しなければなりません。
c.会社のポリシー、手順、および契約上の要件に従わなければなりません。
3. 本ポリシーの範囲(第 1 項「範囲」を参照)の対象となるすべてのユーザーは、情報をその分類レベルに従って適切に取り扱う必要があります。
4. 情報は安全であると同時に、その分類レベルに従ってアクセスの正当な必要性を持つ人々が利用できる必要があります。情報へのアクセスは、最小限の権限と知る必要があることに基づいて行われます。
5. 情報は不正なアクセスや処理から保護されます。
6. このポリシーの違反は報告する必要があります (セクション 3.6. インシデント処理を参照)。
7. 情報セキュリティの規定とそれを導くポリシーは、年次外部監査や侵入テストの使用などを含め、定期的に見直されます。
8. 当社内で運用されている明示的な情報セキュリティ管理システム (ISMS) は、継続的改善の原則に従って評価および調整されます。
3.2 法的および規制上の義務
私たちは、Green Platformの施設やサービスプロバイダーが所在する世界中のデータセンターであなたの個人データを保存し処理します。そのため、私たちはあなたの個人データを欧州連合(EU)外に転送する場合があります。個人データが転送される可能性のあるEU外の国の中には、その国での個人データ保護に関するEU委員会の適切な判断を受けていない国が含まれることもあります。これらの特定の国についての詳細は、こちらで確認できます: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_enもし私たちがEEA(欧州経済領域)外にあなたの個人データを転送する場合、グループ内またはビジネスパートナーに転送する場合には、個人データのセキュリティがEEA内と同じように保護されるように、標準契約条項(Standard Contractual Clause)や拘束的企業準則(Binding Corporate Rules)、またはEEA内で要求される基準に基づいてデータ保護を確保する方法に頼って、適切な措置を講じます。
お客様のデータを処理するEEA外のサービスプロバイダーの完全なリストを入手するには、いつでも当社にお問い合わせください。
3.3 情報の分類
1. 次の表は、当社が採用し、当社の情報セキュリティ原則の基礎となる情報分類レベルの概要を示しています。
2. 情報は、その存続期間中に分類レベルが変更される場合があります。
2. 名前、電子メール;
3. 予約委員会業務。
4. 契約条件。
5. システム
6. 社内対応
7. 会社の方針と手順 (主題に応じて)
3.4 サプライヤーと関連会社
情報セキュリティポリシー
これには以下が含まれます:
• オンサイトかリモートかを問わず、会社の資産にアクセスまたは処理するとき
• 他のサプライヤーに下請け委託する場合。
3.5 コンプライアンス、ポリシーの認識および懲戒手続き
1. このポリシーの遵守は必須です。
2. このポリシーには、必須のユーザー意識向上トレーニングが伴います。
3. すべての現在のスタッフおよびその他の許可されたユーザーには、このポリシーの存在とサポート ポリシーの利用可能性が通知されます。
4. あらゆるセキュリティ侵害は、適切な懲戒方針を含む、関連するすべての会社方針に従って処理されます。
3.6 インシデントの処理
1. 当社のスタッフが情報セキュリティインシデントを認識した場合は、legal@vegangster.com に報告する必要があります。
3.7 レビューと開発
1. このポリシーは、法律、組織のポリシー、または契約上の義務に対する関連する変更に照らして適切であり続けるよう、定期的に更新されます。
2. 特定の領域をカバーするために追加のポリシーが作成される場合があります。