Politique De Sécurité De L'information
Cette politique de sécurité de l'information est un élément clé du cadre global de gestion de la sécurité de l'information de Yours Clothing Limited.
Les systèmes de données et d'information sont vitaux pour l'entreprise. Les incidents impliquant une perte de confidentialité, d'intégrité ou de disponibilité de l'information peuvent être coûteux. Les incidents graves, pouvant conduire au non-respect de la législation relative à l'information, peuvent également porter atteinte à la réputation de l'entreprise.
1. Finalités, objectif et champ d'application
1.1. Finalités
Les objectifs de la politique de sécurité de l'information de Yours Clothing Limited sont :
La confidentialité -l'accès aux données doit être limité à ceux qui ont l'autorité appropriée et être protégé contre tout accès non autorisé.
L'intégrité l'information doit être complète et exacte. Tous les systèmes, équipements et réseaux doivent fonctionner correctement, conformément aux spécifications.
La gestion des risques - des mesures appropriées sont prises pour gérer les risques liés à la disponibilité et à la divulgation de l'information.
La conformité garantie de conformité aux lois, règlements et clauses de contrats.
*Le non-respect de la politique de sécurité de l'information de Yours Clothing Limited peut entraîner des mesures disciplinaires.
1.2. Objectifs de la politique
Cette politique a pour objectif de mettre en place et de maintenir la sécurité des informations personnelles, des systèmes d'information, des applications et des réseaux de particuliers détenus ou appartenant à Yours Clothing Limited en :
- garantissant que tous les membres du personnel connaissent et se conforment pleinement à la législation pertinente décrite dans la présente politique et dans d'autres politiques ;
- expliquant les principes de sécurité et comment ils doivent être mis en œuvre au sein de l'organisation ;
- garantissant que tous les membres du personnel comprennent pleinement leurs propres responsabilités envers une approche cohérente en matière de sécurité ;
- suscitant et en maintenant un niveau de prise de conscience de la nécessité de la sécurité de l'information en tant que partie intégrante des activités quotidiennes ;
- protégeant les équipements informatiques.
1.3. Champs d'application
*Cette politique s'applique à tous les renseignements, systèmes d'information, réseaux, applications, emplacements et utilisateurs de Yours Clothing Limited, ou fournis sous contrat avec eux.
2. Responsabilités pour la sécurité de l'information
2.1. La responsabilité ultime de la sécurité de l'information incombe au conseil d'administration de Yours Clothing Limited, qui sera chargé de la gestion et de la supervision de la mise en œuvre de la politique et des procédures connexes.
2.2. Les supérieurs hiérarchiques sont chargés de veiller à ce que leur personnel permanent et temporaire, ainsi que les sous-traitants soient au courant :
des parties de la politique de sécurité de l'information applicables dans leur département ;
des responsabilités personnelles pour la sécurité de l'information ;
qu'ils savent où trouver et comment obtenir des conseils en ce qui concerne les questions de sécurité de l'information.
2.3. Tout le personnel doit se conformer aux procédures de sécurité de l'information, y compris le maintien de la confidentialité et de l'intégrité des données.
2.4. La politique de sécurité de l'information doit être maintenue, révisée et mise à jour en conséquence sur une base annuelle.
2.5. Les supérieurs hiérarchiques sont responsables de la sécurité des environnements physiques de leur département où l'information est consultée, traitée ou stockée.
2.6. Chaque membre du personnel est responsable de la sécurité opérationnelle des systèmes d'information qu'il utilise.
2.7. Chaque utilisateur du système doit se conformer aux exigences de sécurité actuellement en vigueur et doit également veiller à ce que la confidentialité, l'intégrité et la disponibilité des informations qu'il utilise soient maintenues au plus haut niveau.
2.8. Les contrats avec des contractants externes qui ont l'accès aux systèmes d'information de l'organisation doivent être en vigueur avant que l'accès ne leur soit accordé. Ces contrats doivent garantir que le personnel ou les sous-traitants de l'organisation externe doivent se conformer à toutes les politiques de sécurité adéquates.
3. Législation
3.1. Yours Clothing Limited est tenu de respecter toutes les lois pertinentes du Royaume-Uni et de l'Union européenne. L'obligation de se conformer à cette législation est dévolue aux employés et agents, qui peuvent être tenus personnellement pour responsables de toute violation de la sécurité de l'information.
4. Cadre de la politique
4.1 Gestion de la sécurité
La responsabilité de la sécurité de l'information incombe au conseil d'administration.
Les directeurs de département sont responsables de la mise en œuvre, du suivi, de la documentation et de la communication des exigences de sécurité au sein de leurs équipes pour l'organisation.
4.2 Formation en matière de sensibilisation aux questions de sécurité de l'information
- Les formations en matière de sensibilisation aux questions de sécurité de l'information doivent être incluses dans le processus d'initiation du personnel.
La sensibilisation du personnel sera réexaminée et mis à jour au besoin.
4.3 Contrats de travail
Tous les contrats de travail doivent contenir une clause de confidentialité.
Les attentes du personnel en matière de sécurité de l'information doivent figurer dans le manuel de l'employé et lors de l'installation.
4.4 Contrôle de la sécurité des équipements (informatiques)
- Chaque équipement informatique, (à savoir le matériel, les logiciels, l'application) doit être placé sous la responsabilité d'une personne désignée qui en assurera la sécurité informatique.
4.5 Contrôles d'accès
- Seul le personnel autorisé, ayant un besoin d'affaire justifié, doit être autorisé à accéder aux zones réglementées contenant des systèmes d'information ou des données stockées.
4.6 Contrôle d'accès à un ordinateur
- L'accès aux installations informatiques doit être limité aux utilisateurs autorisés qui ont besoin d'utiliser les installations.
4.7 Contrôle d'accès à une application
- L'accès aux données, aux utilitaires système et aux bibliothèques de sources de programmes doit être contrôlé et limité aux utilisateurs autorisés ayant un besoin justifié pour l'entreprise, par exemple. administrateurs de systèmes ou de bases de données.
4.8 Sécurité d'équipement
- Afin de minimiser la perte ou le dommage causé à toutes les ressources, l'équipement doit être physiquement protégé contre les menaces et les risques environnementaux.
4.9 Procédure (des services) informatiques et de réseau
- La gestion des ordinateurs et des réseaux doit être contrôlée au moyen de procédures documentées standards qui ont été autorisées par le conseil.
4.10 Évaluation des risques liés à l'information
- L'évaluation et la gestion des risques requièrent l'identification et la quantification des risques liés à la sécurité de l'information en termes de valeur perçue de l'équipement, de gravité de l'impact et de probabilité d'occurrence. Une fois identifiés, les risques liés à la sécurité de l'information seront consignés dans un registre central des risques et des plans d'action conçus pour gérer efficacement ces risques. Le registre des risques et toutes les actions associées doivent être revus régulièrement. Tout dispositif de sécurité de l'information mis en œuvre doit également faire l'objet d'un examen régulier. Ces révisions aideront à identifier les zones de meilleures pratiques continues et les faiblesses éventuelles, ainsi que les risques potentiels qui auraient surgi depuis la dernière révision
4.11 Événements et faiblesses sur la sécurité de l'information
- Tous les évènements et les faiblesses éventuelles sur la sécurité de l’information doivent être signalés. Ceux-ci doivent être étudiés afin d'établir leurs causes et leurs impacts en vue d'éviter des événements similaires ou futurs.
4.12 Protection contre les logiciels malveillants
- Yours Clothing doit faire recours aux procédures de gestion et utiliser des contre-mesures en rapport avec le logiciel qu'il utilise pour se protéger contre les menaces des logiciels malveillants. Les utilisateurs ne doivent pas installer de logiciel sur la propriété de l'organisation sans l'autorisation préalable du directeur des services informatiques ou d'un directeur.
4.13 Médias de l'utilisateur
- Les supports amovibles de tous types contenant des logiciels ou des données provenant de sources externes, ou ayant été utilisés sur un équipement externe, nécessitent l'approbation du directeur des services informatiques ou d'un directeur avant de pouvoir être utilisés sur les systèmes Yours Clothing. De tels médias doivent également être entièrement vérifiés avant d'être utilisés sur l'équipement de l'organisation.
4.14 Accès et utilisation du système de surveillance
Une piste de vérification de l'accès au système et de l'utilisation des données par tout le personnel doit être conservée.
Yours Clothing vérifie régulièrement la conformité avec cette politique et de bien d'autres. En outre, il se réserve la bonne activité de surveillance lorsqu'il soupçonne qu'il y a eu violation de la politique. La loi de 2000 portant réglementation des pouvoirs d'enquête permet de surveiller et d'enregistrer les communications électroniques des employés (y compris les communications téléphoniques) pour les raisons suivantes :
établissement de l'existence de faits
détection et investigation de toute utilisation non autorisée du système ;
prévention et détection des crimes ;
établissement ou identification des normes qui sont atteintes ou qui devraient être atteintes par les personnes qui utilisent le système (contrôle de la qualité et formation) ;
intérêts de sécurité nationale ;
conformité aux pratiques ou procédures réglementaires ;
assurer le fonctionnement efficace des systèmes.
Tout suivi sera effectué conformément à la loi susmentionnée et à la loi sur les droits de l'homme.
4.15 Homologation des systèmes d'information
- Yours Clothing veillera à ce que tous les nouveaux systèmes d'information, les applications et les réseaux comprennent un plan de sécurité et sont approuvés par le Conseil avant qu'ils ne commencent à fonctionner.
4.16 Contrôle des modifications du système
- Les modifications apportées aux systèmes d'information, aux applications ou aux réseaux doivent être examinées et approuvées par le directeur des services d'informatique et le Conseil.
4.17 Droits de propriété intellectuelle
- Yours Clothing veillera à ce que tous les produits d'information sont correctement autorisés et approuvés. Les utilisateurs ne doivent pas installer de logiciel sur la propriété de l'organisation sans l'autorisation préalable du directeur des services informatiques ou d'un directeur.
4.18 Plans de continuité des activités et de reprise après sinistre
- L'organisation doit s'assurer que des plans d'évaluation de l'impact sur les activités, de continuité des activités et de reprise après sinistre sont produits pour toutes les informations, applications, systèmes et réseaux essentiels à la mission.
4.19 Communication des informations et rapports
- Le directeur du services informatique informe le Conseil du statut de la sécurité de l'information au moyen de rapports réguliers.