Πολιτικές Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών(ΣΔΑΠ) - Έλεγχος Μέτρων
ΚΕΝΤΡΙΚΗ ΠΟΛΙΤΙΚΗ ΓΙΑ ΤΗ ΔΙΑΧΕΙΡΙΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ
Η Εταιρία Γ. ΝΕΛΛΑΣ & ΣΙΑ Ε.Ε. με δ.τ. ¨ΑΒΑΡΙΣ¨ εφαρμόζει σύστημα διαχείρισης, βάση των απαιτήσεων του Προτύπου EN ISO 27001:2023 για την διαχείριση της ασφάλειας πληροφοριών, καλύπτοντας τεκμηριωμένα τις απαιτήσεις που απορρέουν από το Πρότυπο. Εφαρμόζει τεκμηριωμένες διαδικασίες που ορίζουν:
- Τις ενέργειες για την τεκμηρίωση του συστήματος
- Την συνεχή βελτίωση του συστήματος
- Τη μεθοδολογία διενέργειας των εσωτερικών ελέγχων
- Τον έλεγχο της εφαρμογής του συστήματος
- Την θέσπιση και παρακολούθηση των στόχων
- Τις ενέργειες για την ασφάλεια του Οργανισμού
- Την ταξινόμηση τον πόρων και τον έλεγχο αυτών
- Την ασφάλεια του προσωπικού
- Την φυσική και περιβαλλοντική προστασία
- Την λειτουργία του Οργανισμού και την επικοινωνία
- Τον έλεγχο της πρόσβασης
- Την αναγνώριση των κινδύνων και την αντιμετώπιση περιστατικών
- Τον έλεγχο της επιχειρηματικής συνέχειας
- Τον έλεγχο της συμμόρφωσης με τις απαιτήσεις του συστήματος
Το σύστημα διαχείρισης της ασφάλειας πληροφοριών και απορρήτου, εφαρμόζεται με την συμμετοχή όλων των στελεχών της Διοίκησης, των Οργανωτικών Μονάδων της Εταιρίας και εφαρμόζεται δυναμικά ώστε να είναι εφικτή η συνεχής βελτίωσή του.
Η Διοίκηση της Εταιρίας, έχει αναγνωρίσει τους ρόλους και τις υπευθυνότητες του προσωπικού, ώστε να υπάρχει συνεχής λειτουργία και αντιμετώπιση του οποιουδήποτε κινδύνου παρουσιαστεί.
Έχουν οριστεί οι Υπεύθυνοι για την ασφάλεια πληροφοριών σύμφωνα με τα αντίστοιχα έντυπα Ε-011 (Περιγραφή Θέσεως Εργασίας) ως εξής:
- Υπεύθυνος Ασφάλειας Πληροφοριακών Συστημάτων (ΥΑΠΣ) ορίζεται ο κ. Δημήτρης Νέλλας
- Υπεύθυνη Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΥΣΔΑΠ) ορίζεται η κα Δήμητρα Ντζουροπάνου
Το Σύστημα Διαχείρισης για την ασφάλεια των πληροφοριών συνδέεται στενά με το σύστημα διαχείρισης ποιότητας και το σύστημα περιβαλλοντικής διαχείρισης που η Εταιρία εφαρμόζει. Τα συστήματα διαχείρισης, αποτελούν τον βασικό άξονα της πολιτικής μας και πρέπει να ακολουθούνται και να στηρίζονται από όλο το προσωπικό και τους συνεργάτες μας και να είναι σύμφωνο με τις απαιτήσεις της κείμενης νομοθεσίας.
Είναι, τέλος, στόχος μας, η εξασφάλιση στο προσωπικό όλων των αναγκαίων υλικοτεχνικών υποδομών, ώστε να μπορούν να βελτιστοποιούν τις καθημερινές τους δραστηριότητες, με τέτοιο τρόπο που να συντελούν στην βελτίωση της ποιότητας των παρεχόμενων υπηρεσιών μας.
Ιδιοκτήτης της Πολιτικής Ασφάλειας αλλά και της δήλωσης εφαρμογής της, είναι η Εταιρία Γ. ΝΕΛΛΑΣ & ΣΙΑ Ε.Ε. με δ.τ. ¨ΑΒΑΡΙΣ¨. Το παρόν έντυπο αποτελεί εσωτερικό του συστήματος διαχείρισης ασφάλειας πληροφοριών και ανασκοπείται όποτε κρίνεται απαραίτητο από την Διοίκηση για την καταλληλόλητα του.
ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ
Η Εταιρία καταδεικνύει την βαρύνουσα σημασία που αποδίδει στο θέμα της διαχείρισης και προστασίας προσωπικών δεδομένων εφαρμόζοντας ένα σύστημα πολιτικών και διαδικασιών που καλύπτουν τις απαιτήσεις των άρθρων του Κανονισμού Ε.Ε. 679/2016.
Στα προσωπικά δεδομένα ανήκει κάθε σχετική πληροφορία που αφορά το φυσικό πρόσωπο – υποκείμενο που είναι εκπρόσωπος των νομικών προσώπων – πελατών της Εταιρίας όπως για παράδειγμα: ονοματεπώνυμο, στοιχεία διεύθυνσης και επικοινωνίας.
Υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι η Εταιρία μας Γ. ΝΕΛΛΑΣ & ΣΙΑ Ε.Ε. με δ.τ. ¨ΑΒΑΡΙΣ¨ με στοιχεία έδρας και επικοινωνίας:
Διεύθυνση: Βασιλίσσης Σοφίας 26-28 Μαρούσι Αττικής
email: gnellas@avaris-athens.com
T: +30 210 806 2641, F: +30 210 806 2796
Η παρούσα πολιτική μας αναλύει τις βασικές γραμμές της εναρμόνισής μας με τον Κανονισμό και τα μέτρα που λαμβάνουμε για την ασφάλεια των προσωπικών δεδομένων και πιο συγκεκριμένα:
1: Το είδος των προσωπικών σας δεδομένων που τηρούμε, αποθηκεύουμε και επεξεργαζόμαστε και οι σκοποί της επεξεργασίας τους
Η Εταιρία μας συλλέγει, αποθηκεύει και επεξεργάζεται προσωπικά σας δεδομένα στο πλαίσιο του πεδίου δραστηριότητάς της, τα οποία είναι:
- Προσωπικά στοιχεία των νόμιμων εκπροσώπων των νομικών προσώπων που αποτελούν πελάτες της
Η Εταιρία μας διαχειρίζεται τα παραπάνω προσωπικά σας δεδομένα, πραγματοποιώντας τις ενέργειες που απαιτούνται για την υλοποίηση των υπηρεσιών μας (συλλογή, αποθήκευση, επεξεργασία), με βάση τη σύννομη και νόμιμη επεξεργασία και με βάση το σχετικό νομοθετικό πλαίσιο λειτουργίας του τομέα δραστηριότητάς μας. Τα προσωπικά σας δεδομένα είναι αναγκαίο για τους λόγους για τους οποίους χρησιμοποιείτε τις υπηρεσίες μας, να συλλεχθούν, αποθηκευτούν και να υπαχθούν σε επεξεργασία, προκειμένου να μπορούμε να σας παρέχουμε τις υπηρεσίες μας, καθώς έτσι ορίζεται από την κείμενη νομοθεσία.
2: Διαχείριση – επεξεργασία των προσωπικών δεδομένων με την πλήρη συναίνεσή σας.
Η όποια διαχείριση και επεξεργασία των δεδομένων σας πραγματοποιείται με τη ρητή ή και ειδική συγκατάθεσή σας. Η Εταιρία μας κατόπιν της λήψης εντολής από πλευράς σας για την παροχή υπηρεσιών όχι μέσω σύμβασης, θα χρησιμοποιήσει τις πληροφορίες σας για τους ακόλουθους σύννομους σκοπούς επεξεργασίας, ήτοι:
• Για την διαχείριση δεδομένων & στοιχείων σας στα πλαίσια των υπηρεσιών μας
• Για λόγους «εσωτερικής» διασφάλισης της ποιότητας των υπηρεσιών μας
3. Αρχές για τη συλλογή και επεξεργασία των προσωπικών σας δεδομένων
Η Εταιρία μας μέσω του στελεχιακού της δυναμικού, εφαρμόζει τις βασικές αρχές του Κανονισμού Ε.Ε. 679/2016 (διαφάνεια, περιορισμός σκοπού, ακρίβεια, ακεραιότητα, λογοδοσία, νομιμότητα, ελαχιστοποίηση δεδομένων, εμπιστευτικότητα, αντικειμενικότητα, περιορισμός χρόνου αποθήκευσης).
Παράλληλα διασφαλίζει για όλες τις υπηρεσίες που παρέχει στους πελάτες της, μέσω του συστήματος εναρμόνισης με τον Κανονισμό που διαθέτει και αποτελείται από ένα πλέγμα διαδικασιών και πολιτικών, αλλά και προστατεύει τα δικαιώματα των υποκειμένων – φυσικών προσώπων που απορρέουν από τον Κανονισμό και είναι: το δικαίωμα στην ενημέρωση των υποκειμένων – φυσικών προσώπων, στην πρόσβαση, στη διόρθωση, στη διαγραφή, στον περιορισμό της επεξεργασίας, στη φορητότητα, στην εναντίωση και στη μη αυτοματοποιημένη λήψη αποφάσεων βάσει προφίλ. Τα δικαιώματα των υποκειμένων – φυσικών προσώπων αναφέρονται και αναλύονται τόσο στον Κανονισμό Ε.Ε. 679/2016 όσο και στην κείμενη Εθνική Νομοθεσία.
4. Νομιμότητα για την επεξεργασία των προσωπικών σας δεδομένων
Για τη νομιμότητα της επεξεργασίας των προσωπικών σας δεδομένων, βάση αναφοράς αποτελεί η ρητή ή και ειδική συγκατάθεσή σας. (Άρθρο 6παρ1α του ΓΚΠΔ).
5. Τρόποι με τους οποίους συλλέγουμε τα προσωπικά σας δεδομένα
Η Εταιρία μας συλλέγει προσωπικά σας δεδομένα με τη συναίνεσή σας ως ακολούθως:
• στα πλαίσια της παροχής των υπηρεσιών μας με ηλεκτρονική αλληλογραφία στην οποία επισυνάπτονται συνημμένα έγγραφα ή αρχεία προσωπικών σας δεδομένων, ή με φυσικό αρχείο (έγγραφα / αρχεία εκτυπωμένα) με φυσική σας παρουσία στο χώρο μας ή με δική μας φυσική παρουσία στο χώρο σας, ή χρησιμοποιώντας ταχυδρομικές υπηρεσίες χωρίς παρουσία σας ή παρουσία μας με φυσικό τρόπο.
6. Διαχείριση των προσωπικών σας δεδομένων
Η Εταιρία μας για τους σκοπούς που προαναφέρθηκαν θα απαιτήσει από πλευράς σας τα προσωπικά δεδομένα που απαιτούνται, ώστε να σας παρέχουμε μέρος των υπηρεσιών μας ή και όλες μας τις υπηρεσίες. Τα προσωπικά δεδομένα που σας ζητάμε αποτελούν αναγκαία προϋπόθεση με βάση την κείμενη Εθνική και Κοινοτική Νομοθεσία, ώστε να μπορούμε να σας παρέχουμε ορθά τις υπηρεσίες μας.
Διατηρούμε τα προσωπικά δεδομένα που μας παρέχετε, για όσο χρονικό διάστημα απαιτείται για την παροχή των υπηρεσιών μας με βάση την κείμενη νομοθεσία και το κανονιστικό πλαίσιο του τομέα δραστηριότητάς μας.
Με το πέρας της παροχής των υπηρεσιών μας, η Εταιρία μας προχωρά σε καταστροφή των προσωπικών σας δεδομένων, με βάση οριοθετημένη διαδικασία που εφαρμόζει μέσα από το σύστημα εναρμόνισης με τον Κανονισμό Ε.Ε. 679/2016, εκτός εάν μας δηλώσετε και μας αιτηθείτε την επιστροφή των προσωπικών σας δεδομένων.
Μπορείτε να μας απευθύνεται ερώτημα ηλεκτρονικά στο email gnellas@avaris-athens.com και να σας παρέχουμε τη σχετική πληροφόρηση για το ποια δεδομένα σας τηρούμε, για τη διόρθωση ή την διαγραφή τους, εκτός εάν η διατήρησή τους επιβάλλεται από το νόμο για φορολογικούς, αποδεικτικούς ή δικαστικούς σκοπούς και για δίωξη παράνομων πράξεων.
7. Διαβίβαση δεδομένων σε τρίτους
Η Εταιρία μας δεν διαβιβάζει τα προσωπικά σας δεδομένα σε τρίτους
8. Ασφάλεια των προσωπικών δεδομένων σας
Η Εταιρία μας στο πλαίσιο της ορθής διαχείρισης των προσωπικών σας δεδομένων και με βάση το σύστημα εναρμόνισης με τον Κανονισμό E.E. 679/2016, τηρεί λειτουργικές διαδικασίες για τη διαχείριση της ασφάλειας των προσωπικών σας δεδομένων, λαμβάνοντας παραλλήλως και κατάλληλα τεχνολογικά μέτρα και μέτρα διαχείρισης κινδύνων, ώστε η ασφάλεια των πληροφοριών να είναι πλήρης (χρήση firewall, κατάλληλα εκπαιδευμένο προσωπικό, εξουσιοδοτημένο προσωπικό για την πρόσβαση σε λειτουργικά και σε πληροφοριακά συστήματα, τακτικοί εσωτερικοί έλεγχοι για το σύστημα εναρμόνισης, καταγραφή κινδύνων ασφαλείας κ.ά.).
Στην Εταιρία διαθέτουμε υπεύθυνο για την τήρηση του συστήματος εναρμόνισης με τον Κανονισμό που είναι ο Υπεύθυνος Διαχείρισης Συστημάτων καθώς εφαρμόζονται εσωτερικά στην Εταιρία μας και λοιπά διαχειριστικά πρότυπα, , ενώ με βάση τις απαιτήσεις του Κανονισμού, δεν ανήκουμε στους Οργανισμούς για τους οποίους υπάρχει η απαίτηση να διαθέτουμε Υπεύθυνο Προστασίας Προσωπικών Δεδομένων (Data Protection Officer, DPO).
Επίσης δηλώνουμε ότι τυχόν εξωτερικοί μας συνεργάτες δεν έχουν καμία πρόσβαση στα προσωπικά σας δεδομένα, τα οποία χειρίζεται αποκλειστικά και μόνο εξειδικευμένο και εκπαιδευμένο στις απαιτήσεις του Κανονισμού Ε.Ε. 679/2016 προσωπικό μας.
9. Διασύνδεση της ιστοσελίδας μας με λοιπές ιστοσελίδες
Η ιστοσελίδα μας στην οποία μπορεί οιοσδήποτε να ενημερωθεί για το φάσμα των υπηρεσιών μας, ΔΕΝ διαθέτει διασύνδεση με λοιπές ιστοσελίδες.
10. Προωθητικές ενέργειες και λοιπές στοχευμένες ενέργειες marketing.
Η Εταιρία μας δεν χρησιμοποιεί με ηλεκτρονικό ή άλλο τρόπο στοχευμένες ενέργειες marketing για την προώθηση των υπηρεσιών της ή λοιπές άλλες προωθητικές ενέργειες.
Ως εκ τούτου ουδεμία χρήση των προσωπικών σας δεδομένων δεν πρόκειται να υπάρξει για τους σκοπούς αυτούς. Επίσης δεν αποστέλλουμε προσωπικά σας δεδομένα σε τρίτους που υλοποιούν τέτοιου είδους προωθητικές - διαφημιστικές ενέργειες.
Επίσης δεν έχουμε καμία διασύνδεση με εργαλεία εντοπισμού του προφίλ σας (καταναλωτικού, επαγγελματικού κλπ) και των γενικότερων προτιμήσεων σας, ώστε να σας αποστέλλουμε διαφημιστικό υλικό ή εξειδικευμένες προσφορές για λογαριασμό σας.
Ρητά αναφέρουμε ότι μέσω της επαγγελματικής μας ιστοσελίδας είναι ανέφικτη η μετάδοση μαζικών ή ανεπιθύμητων εμπορικών μηνυμάτων ηλεκτρονικού ταχυδρομείου (spam).
Για οποιαδήποτε πληροφορία αναφορικά με την παρούσα πολιτική μπορείτε να απευθυνθείτε ηλεκτρονικά στον υπεύθυνο εναρμόνισης με τον Κανονισμό Ε.Ε. 679/2016 στο email gnellas@avaris-athens.com ή με επιστολή σας στη διεύθυνση της έδρας μας.
Η παρούσα Πολιτική ισχύει με την τελική της επικαιροποιημένη έκδοση από τη Διοίκηση της Εταιρίας, από 03.03.2025 και επικαιροποιείται κάθε φορά που κρίνεται απαραίτητο από τη Διοίκηση της Εταιρίας μας.
ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΒΑΣΗΣ ΣΕ ΠΛΗΡΟΦΟΡΙΕΣ
Όλοι οι χρήστες των λειτουργικών συστημάτων της Εταιρίας θα πρέπει να:
- χρησιμοποιούν κωδικούς πρόσβασης στα συστήματα (λογισμικά) της Εταιρίας αλλά και στην πρόσβασή τους στα Windows εμπεριέχοντας συνδυασμό συμβόλων, γραμμάτων και αριθμών.
- τα passwords πρόσβασης θα πρέπει να αλλάζονται κάθε 6 μήνες τουλάχιστο από κάθε χρήστη
- κάθε χρήστης τηρεί σε σημείο που εκτιμά τους προσωπικούς του κωδικούς και μόνο αν του ζητηθούν από το αρμόδιο Τμήμα Μηχανογράφησης (ΙΤ Dept) μπορούν να τα δώσουν στον υπεύθυνο αυτού
- όταν στέλεχος της Εταιρίας εντάσσεται ή απεντάσσεται σε λειτουργικό σύστημα συμπληρώνει και υπογράφει έντυπο για την ένταξη ή απένταξη
- στέλεχος που αποχωρεί από την Εταιρία, διαγράφει με δική του ευθύνη και σε συνεννόηση με το Τμήμα Μηχανογράφησης τυχόν προσωπικά τους δεδομένα και email
- η πρόσβαση σε δίκτυα παρέχεται με ευθύνη του Τμήματος Μηχανογράφησης
- η πρόσβαση στο διαδίκτυο είναι με βάση το σύστημα firewall που διαθέτει η Εταιρία
- η διαχείριση προνομίων και η πρόσβαση σε λειτουργικά συστήματα παρέχεται με ευθύνη του Τμήματος Μηχανογράφησης (IT Dept) που ανασκοπεί τακτικά και συμπληρώνει τα σχετικά έντυπα του συστήματος διαχείρισης της ασφάλειας πληροφοριών
ΠΟΛΙΤΙΚΗ COOKIES
Η Εταιρία μας στο πλαίσιο της λειτουργίας της ιστοσελίδας της, χρησιμοποιεί «cookies».
Τα cookies είναι πολύ μικρά αρχεία δεδομένων που αποθηκεύονται στον σκληρό δίσκο του υπολογιστή σας από το πρόγραμμα περιήγησής σας και τα οποία είναι απαραίτητα για τη χρήση του διαδικτυακού μας τόπου.
Χρησιμοποιούμε cookies για να διευκολύνεται η πρόσβασή σας και η καλύτερη πλοήγηση στην ιστοσελίδα μας, αλλά και για να διαπιστώσουμε πως η ιστοσελίδα μας χρησιμοποιείται από τους χρήστες.
Τα εν λόγω αρχεία διαγράφονται μετά την επίσκεψή σας στην ιστοσελίδα μας, ενώ επισημαίνεται ότι δεν αποθηκεύουν προσωπικά δεδομένα ή προσωπικές πληροφορίες που δύναται να ταυτοποιήσουν το φυσικό πρόσωπο που επισκέφθηκε την ιστοσελίδα μας.
Εάν δεν επιθυμείτε την συλλογή πληροφοριών μέσω cookies, μπορείτε να ρυθμίστε το πρόγραμμα περιήγησης διαδικτύου για να διαγράψετε όλα τα υφιστάμενα cookies από τον σκληρό δίσκο του υπολογιστή σας, να μπλοκάρετε όλα τα cookies στο μέλλον και να λαμβάνετε προειδοποίηση προτού αποθηκευτεί ένα.
Δεν χρησιμοποιούμε cookies για τον έλεγχο της ανάλυσης συμπεριφοράς χρήσης του διαδικτυακού μας τόπου από τους μας.
Δεν χρησιμοποιούμε επαναληπτικό μάρκετινγκ της Google για να ερχόμαστε σε επαφή με χρήστες / επισκέπτες που έχουν ήδη επισκεφθεί τον ιστότοπό μας τις τελευταίες 30 ημέρες.
Δεν χρησιμοποιούμε Google Tag Manager (ετικέτες Google) για να παρακολουθήσουμε την επισκεψιμότητά μας και για να δοκιμάζουμε νέες λειτουργίες για την βελτίωση της εμπειρίας του χρήστη στον διαδικτυακό μας τόπο.
Για περισσότερες πληροφορίες:
Για την Google στο http://www.google.com/intl/en/policies/privacy/
Επίσης, μπορείτε ανά πάσα στιγμή να διαγράψετε τα cookies που έχουν ενεργοποιηθεί ξανά ακολουθώντας τις οδηγίες του κάθε περιηγητή (Browser):
Mozilla: https://support.mozilla.org/el/kb/diagrafh-cookies-gia-afairesh-plhroforiwn
Google Chrome:
https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDeskt...
Internet Explorer: https://support.microsoft.com/el-gr/help/278835/how-to-delete-cookie-fil...
Safari: https://support.apple.com/el-gr/HT201265
Opera: http://help.opera.com/Windows/8.51/el/cookies.html
Μάθετε περισσότερα για τα cookies – http://www.aboutcookies.org
ΠΟΛΙΤΙΚΗ ΓΙΑ ΤΗ ΔΙΑΧΕΙΡΙΣΗ ΤΗΣ ΑΝΤΙ-ΪΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ
Εφαρμόζεται λειτουργικό λογισμικό ασφάλειας - προστασίας από ιούς για κάθε υπολογιστή.
Καλύπτονται όλοι οι υπολογιστές στις θέσεις εργασίας, φορητοί υπολογιστές (Laptops), κεντρικοί υπολογιστές και εξυπηρετητές, καθώς και όλες οι συσκευές που λειτουργούν μέσα στο δίκτυο της Εταιρίας.
Κάθε εισερχόμενη κίνηση στην εταιρία εισέρχεται πρώτα από το κεντρικό Firewall της εταιρίας
Σε κάθε θέση εργασίας (Workstation PC), υπάρχει εγκατεστημένο προσωπικό antivirus και κάθε νέα έκδοσή του, κατεβαίνει αυτόματα στον προσωπικό υπολογιστή κάθε στελέχους.
ΠΟΛΙΤΙΚΗ ΓΙΑ ΤΟ ΧΑΡΑΚΤΗΡΙΣΜΟ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ
Οι πληροφορίες ταξινομούνται από την ίδια την Εταιρία εσωτερικά και ο χαρακτηρισμός εφαρμόζεται μόνο στις πληροφορίες που κατέχει η ίδια, που παράγονται από ή για την ίδια ή είναι υπό τον έλεγχο της ίδιας.
Οι πληροφορίες τις οποίες έχει κυκλοφορήσει επίσημα η Εταιρία (δημοσίως γνωστές) δεν μπορούν να χαρακτηριστούν.
Με βάση το χαρακτηρισμό της πληροφορίας υπάρχει και αντίστοιχο επίπεδο ζημίας που θα προκληθεί εφόσον δεν υπάρχει σωστή διαχείριση της πληροφορίας. Το επίπεδο ζημίας οδηγεί στο χαρακτηρισμό μιας πληροφορίας ως Απόρρητη (εφόσον το επίπεδο ζημίας είναι σοβαρό), Εμπιστευτική (εφόσον το επίπεδο ζημίας είναι μέτριο) και Ελεύθερη (εφόσον δεν υπάρχει επίπεδο ζημίας).
Απόρρητες πληροφορίες δεν υπάρχουν αναγνωρισμένες από την Εταιρία.
Εμπιστευτικές έχουν ταξινομηθεί πληροφορίες που σχετίζονται με :
- Στοιχεία πελατών
- Στοιχεία που σχετίζονται με τους μετόχους της
Το λοιπό σύνολο των πληροφοριών που χειρίζεται η Εταιρία είναι ελεύθερες ως χαρακτηρισμός (ταξινόμηση).
Για το σύνολο των πληροφοριών τηρούνται σχετικά αντίγραφα ασφάλειας
ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ ΑΛΛΑΓΩΝ
Η οργανωτική μας κουλτούρα, δηλαδή το σύνολο των αξιών που μοιραζόμαστε εντός της Εταιρίας μας, κρίνεται ιδιαίτερα σημαντική για τους μετόχους και τη Διοίκηση, καθώς σχετίζονται άμεσα με τα οικονομικά μας αποτελέσματα και τη βιωσιμότητά μας. Όπως όλοι οι οργανισμοί, έτσι και η Εταιρία μας βρισκόμαστε διαρκώς μπροστά σε μεταβολές στο εσωτερικό και εξωτερικό μας περιβάλλον και καλούμαστε να αναγνωρίσουμε άμεσα την ανάγκη για αλλαγή και την υιοθέτηση κατάλληλων μέτρων και ενεργειών δράσης για να εξασφαλίσουμε συγκριτικό πλεονέκτημα σε σχέση με τον ανταγωνισμό. Για να μπορέσουμε να παραμείνουμε ανταγωνιστικοί θα πρέπει να προσαρμοζόμαστε στο νέο επιχειρηματικό περιβάλλον και η αποτελεσματική διαχείριση των αλλαγών εντός της Εταιρίας είναι ένα βασικό ζητούμενο, καθώς παρέχει εμπιστοσύνη στα ενδιαφερόμενα μέρη, στα στελέχη και στους πελάτες μας για την καλή και αγαστή συνεργασία με την Εταιρία μας.
Το Change Management για την Εταιρία μας είναι βασικός επιχειρησιακός μας στόχος. Η υιοθέτηση βέλτιστων καλών πρακτικών και μηχανισμών αλλαγών είναι βασικοί πυλώνες πάνω στους οποίους μπορεί να στηριχθεί η διαχείριση των αλλαγών. Κάθε οργανωτική, οργανωσιακή, επιχειρησιακή αλλαγή, συμβαδίζει με αλλαγή της συνολικής κουλτούρας της Εταιρίας και συμπαρασύρει τη διαδικασία παραγωγής μας.
Η διαχείρισης της αλλαγής (change management) εξαρτάται σε παγκόσμιο επίπεδο από τη δομή μιας επιχείρισης, τον τομέα δραστηριότητας και φυσικά το είδος της αλλαγής. Για τη διαχείριση αλλαγής εφαρμόζονται διαδικασίες και εργαλεία ώστε να δοθεί η δυνατότητα στη Διοίκηση και στα στελέχη να μετακινηθούν από μια υφιστάμενη κατάσταση σε μια νέα. Η χρήση ορθών εργαλείων παρέχει τα εχέγγυα για μια ομαλή μετάβαση και να επιτευχθεί το κατάλληλο αποτέλεσμα.
Η Εταιρία μας εφαρμόζει εργαλεία οργανωτικής και επιχειρησιακής αλλαγής, βασισμένη σε σύγχρονα συστήματα IT ώστε να πρωτοπορεί έναντι του ανταγωνισμού και να μεταφέρει το βάρος των δραστηριοτήτων της όταν υπάρχουν δύσκολες περίοδοι χρηματοπιστωτικών ζητημάτων, σε μείωση του κέντρου κόστους εφαρμόζοντα ευέλικτες διαδικασίες για τη διαχείριση πόρων.
Η προφορά και η ζήτηση των προϊοντικών λύσεων και υπηρεσιών μας, είναι αυτή που καθορίζει και τη διαχείριση των αλλαγών. Για το λόγο αυτό η Εταιρία μας σε ετήσια βάση εκπονεί και εφαρμόζει επιχειρησιακό σχέδιο που περιλαμβάνει μέσα και τη διαχείριση των αλλαγών. Οι αλλαγές που πραγματοποιούνται από την Εταιρία μας, περιλαμβάνουν:
- Οργανωτικές αλλαγές βασισμένες σε τρία στάδια (αλλαγή στην υφιστάμενη κατάσταση, gap analysis – μετάβαση στη νέα κατάσταση / μεταβατική περίοδος και εφαρμογή νέας κατάστασης
- Αλλαγές που σχετίζονται με τη δημιουργία νέα προϊοντικών λύσεων και υπηρεσιών που βασίζονται επίσης στα προαναφερόμενα στάδια
- Αλλαγές που σχετίζονται με τα συστήματα διαχείρισης, που στην ουσία αφορούν την ενσωμάτωση απαιτήσεων νέων προτύπων.
- Αλλαγές που σχετίζονται με το ανθρώπινο δυναμικό (προσθήκη νέου στελεχιακού δυναμικού)
- Αλλαγές που σχετίζονται με την πελατειακή βάση της εταιρίας (μετασχηματισμός πελατών από δημόσιο σε ιδιωτικό φορέα και αντίστροφα)
Βασικό σημείο σε όλες τις αλλαγές και στη διαχείριση αυτών είναι ο ορισμός με πλήρη σαφήνεια των στόχων και των αποτελεσμάτων που η Εταιρία θέλει να εμφανίσει μέσα από αυτούς. Οι στόχοι θα πρέπει να είναι απτοί, ρεαλιστικοί, εφαρμόσιμοι αλλά και άμεσα μετρήσιμοι σε βάθος χρόνου, Για το λόγο αυτό άλλωστε η Εταιρία μας εφαρμόζει πέντε (5) συστήματα διαχείρισης, βασισμένα σε διεθνή πρότυπα, γεγονός που βοηθά στη στοχοθέτηση και την παρακολούθηση αυτών.
Ειδικά για τις οργανωτικές αλλαγές που εφαρμόζονται στην Εταιρία, βασικός άξονας εφαρμογής είναι η ανάλυση της στρατηγικής με πλήρη ανάλυση των δυνατών και αδυνάτων σημείων, η ορθή δομή των οργανωτικών μονάδων, η χρήση συστημάτων IT κατάλληλων για την υποστήριξη των αλλαγών, η επιλογή κατάλληλου ανθρώπινου δυναμικού, η εκπαίδευση των στελεχών και η χρήση αξιών που έχουν δοθεί ως κατευθυντήριες γραμμές στο προσωπικό.
Στο επίπεδο των αλλαγών τη δημιουργία νέα προϊοντικών λύσεων και υπηρεσιών, βασικός άξονας είναι η χρήση κατάλληλων εργαλείων ΙΤ για το Project Management, αλλά και νέα υποστηριτικά συστήματα change management που παρέχει ισχυρό πλαίσιο για το decision-making.
Η Εταιρία μας την τελευταία τριετία έχει ενσωματώσει τη μεθοδολογία ADKAR. που συνδέονται με τη διαχείριση της αλλαγής (Awareness, Desire, Knowledge, Ability και Reinforcement) . Στο πλαίσιο της οργανωσιακής αλλαγής, το παρόν μοντέλο επιτρέπει στις ομάδες έργων μας που είναι υπεύθυνες για τη διαχείριση της αλλαγής να στρέψουν τις δραστηριότητές τους σε ό,τι θα λειτουργήσει ως κινητήριος μοχλός πρωτίστως σε επίπεδο ατόμου και κατόπιν σε αποτελέσματα.
Βασικά σημεία πάνω στα οποία στηριζόμαστε για τη διαχείριση των αλλαγών, με τη χρήση και της συγκεκριμένης μεθοδολογίας, είναι:
- οι αλλαγές αποτελούν αναπόφευκτα στοιχεία στη δραστηριότητα της Εταιρίας μας
- δημιουργούμε το όραμα για την αλλαγή και σχεδιάζουμε βραχυπρόθεσμα
- ελέγχουμε διεξοδικά και αναλυτικά πριν την υλοποίηση μιας αλλαγής, πως θα επηρεαστεί η Εταιρία μας
- προσδιορίζουμε ποιοι είναι οι βασικοί συντελεστές της αλλαγής (στελέχη, υπεύθυνοι οργανωτικών μονάδων, διοίκηση)
- ενσωματώνουμε όλοι στο εσωτερικό περιβάλλον της Εταιρίας, την αλλαγή. Την υιοθετούμε κάθετα και χωρίς παρεκκλίσεις, καθώς είναι ευρέως γνωστό ότι πολλές προσπάθειες αλλαγών αποτυγχάνουν λόγω αντιρρήσεων κυρίως από πλευράς στελεχιακού δυναμικού και δευτερευόντως από μεμονωμένους μετόχους
- επικοινωνούμε την αλλαγή με πελάτες και συνεργάτες
Οι τελικές βασικές μας αρχές:
Οι οργανισμοί δεν μπορούν να αλλάξουν ταχύτερα από όσο αλλάζουν τα άτομα που τους συναποτελούν.
Η όποια αλλαγή, επιτυγχάνει ή αποτυγχάνει ανάλογα με τις συνθήκες που επικρατούν στην Εταιρία.
Για να επιτευχθεί μια αλλαγή πρέπει πρώτα να αλλάξει η κουλτούρα της Εταιρίας.
ΜΕΤΡΑ ΕΦΑΡΜΟΓΗΣ ΣΔΑΠ ΚΑΙ ΕΛΕΓΧΟΣ ΣΗΜΕΙΩΝ
Αναφορικά με τα μέτρα εφαρμογής του ΣΔΑΠ και τον έλεγχο των σημείων (control points) που αποτυπώνονται και στη δήλωση εφαρμογής (SoA), η Εταιρία εφαρμόζει τα ακόλουθα:
Ως προς τα οργανωτικά μέτρα εφαρμογής του ΣΔΑΠ:
Η Εταιρία εφαρμόζει Πολιτικές για την ασφάλεια πληροφοριών, όπως αναφέρθηκε προηγούμενα. Έχει καθορίσει μέσω του οργανογράμματός της και των σχετικών περιγραφών θέσεων εργασίας, τους ρόλους και τις ευθύνες, καθώς και το διαχωρισμό καθηκόντων για τη διαχείριση της ασφάλειας πληροφοριών, με το Τμήμα Διαχείρισης Συστημάτων και το IT Dept (Τμήμα Πληροφορικής), να έχουν τον κεντρικό ρόλο.
Εντός του Εγχειριδίου ΣΔΑΠ αναλύεται η ευθύνη της διοίκησης και ο τρόπος επικοινωνίας, ενώ μέσω της διαδικασίας για την αναγνώριση των ενδιαφερόμενων μερών, αναγνωρίζεται ο τρόπος επικοινωνίας και με τις ομάδες ειδικών ενδιαφερόντων.
Η Ασφάλεια πληροφοριών στη διαχείριση έργων που υλοποιεί η Εταιρία περιγράφεται στη σχετική διαδικασία του ΣΔΠ κατά ΕΝ ISO 9001:2015, ενώ το Οικονομικό Τμήμα τηρεί την απογραφή πληροφοριών και λοιπών περιουσιακών στοιχείων. Η Εταιρία δεν χορηγεί περιουσιακά στοιχεία στο στελεχιακό της δυναμικό για εργασία εκτός ωραρίου.
Η Ταξινόμηση των Πληροφοριών πραγματοποιείται με βάση τη σχετική πολιτική που αναφέρεται στο ακόλουθο παράρτημα των πολιτικών της Εταιρίας, όπως επίσης και η επισήμανση αυτών και τυχόν μεταφορά τους.
Η ασφάλεια πληροφοριών στις σχέσεις με τους προμηθευτές, αναλύεται στη σχετική διαδικασία του συστήματος διαχείρισης ποιότητας, ενώ αποτελεί πρώτιστο και βασικό μέλημα της Εταιρίας η αντιμετώπιση της ασφάλειας πληροφοριών εντός των συμφωνιών προμηθευτών και η διαχείριση της Ασφάλειας Πληροφοριών στην Εφοδιαστική Αλυσίδα που σχετίζεται με τους συνεργάτες/ προμηθευτές/ υπεργολάβους και παρόχους της Εταιρίας. Οι όποιες αλλαγές που συμπαρασύρουν σχέσεις και επαφές με τους παραπάνω, τεκμηριώνονται απόλυτα.
Όλες οι υποδομές της Εταιρίας που έχουν εφαρμογή σε cloud συστήματα ελέγχονται διαρκώς για την ασφάλειά τους από το τμήμα πληροφορικής και gis ενώ χρησιμοποιούνται ειδικά λογισμικά προστασίας και αλληλοσύνδεση αυτών με τα συστήματα ασφάλειας των cloud εφαρμογών.
Η Εταιρία εφαρμόζει διαδικασία για την αντιμετώπιση τυχόν περιστατικών ασφάλειας των πληροφοριών, όπου ανταποκρίνεται με όλους τους πόρους της σε άμεσο χρόνο, ενώ συλλέγει αποδεικτικά στοιχεία για τα περιστατικά. Εφαρμόζει έντυπο σύστημα επιχειρησιακής συνέχειας, για επιστροφή σε κανονικές συνθήκες μετά από έκτακτες διακοπές, ενώ τηρεί απαρέγκλιτα τις νομικές, κανονιστικές και συμβατικές απαιτήσεις.
Δικαιώματα πνευματικής ιδιοκτησίας, δεν τίθεται για τις υπηρεσίες που παρέχει η Εταιρία. Τηρείται σύστημα αυτόματης προστασίας των τηρούμενων αρχείων, ενώ υφίσταται σύστημα εναρμόνισης με τον κανονισμό της Ε.Ε. 679/2016 για την προστασία του απορρήτου των στοιχείων προσωπικής ταυτοποίησης.
Λόγω της πιστοποίησης του συστήματος ΣΔΑΠ, πραγματοποιείται ανεξάρτητη επιθεώρηση στην ασφάλεια πληροφοριών, ενώ ελέγχεται η συμμόρφωση με κανονισμούς, πρότυπα, πολιτικές για την ασφάλεια πληροφοριών.
Ως προς τα μέτρα ανθρώπινου δυναμικού για την εφαρμογή του ΣΔΑΠ:
Για το στελεχιακό δυναμικό της Εταιρίας, πραγματοποιείται εξέταση και έλεγχος ιστορικού προ της συνεργασίας, ενώ από την έναρξη της συνεργασίας και μετά τόσο μέσω των περιγραφών θέσεων εργασίας, αλλά και μέσω εκάστης σύμβασης εργασίας ορίζονται οι όροι και οι προϋποθέσεις της απασχόλησης, καθώς και ζητήματα εμπιστευτικότητας. Όλο το προσωπικό σε ετήσια βάση εκπαιδεύεται σε θέματα ασφάλειας πληροφοριών, ενώ η Εταιρία έχει λάβει μέτρα πειθαρχικά για τις περιπτώσεις μη τήρησης ή εναρμόνισης με πολιτικές, δηλώσεις συμμόρφωσης και εμπιστευτικότητας.
Η Διοίκηση της Εταιρίας ενθαρρύνει την απομακρυσμένη εργασία και έχει μεριμνήσει για τον έλεγχο των εργασιών των στελεχών της κατά τη διάρκεια της απομακρυσμένης εργασίας.
Ως προς τα μέτρα φυσικής προστασίας, για την εφαρμογή του ΣΔΑΠ:
Η Εταιρία έχει ορίσει την περίμετρο φυσικής ασφάλειας και έχει καθορίσει σημεία φυσικής εισόδου για όλους τους εισερχόμενους στο χώρο της έδρας της. Υπάρχει φυσική και τεχνολογική ασφάλεια στα γραφεία και στις εγκαταστάσεις της στο σύνολό της, διαθέτει σύστημα προστασίας για περιπτώσεις πυρκαγιάς, καθώς επίσης και σύστημα συναγερμού για την αποτροπή εισόδου τρίτων σε μη εργάσιμες ημέρες και ώρες. Η Είσοδος και η έξοδος στους και από τους χώρους εγκατάστασης έδρας της Εταιρίας σε τρίτους, πραγματοποιείται συνοδεία στελέχους της Εταιρίας.
Η Εταιρία λόγω και της εφαρμογής συστήματος περιβαλλοντικής διαχείρισης και συστήματος διαχείρισης της ΥΑΕ, έχει ορίσει τρόπο και μέθοδο προστασίας από φυσικές και περιβαλλοντικές απειλές.
Η Εταιρία μέσω του ΤΔΣ και του Τμήματος IT (Πληροφορικής) έχει ορίσει μέτρα για την καθαρή οθόνη και το καθαρό γραφείο, όπως και για την προστασία του εξοπλισμού.
Μέσω του risk assessment που εφαρμόζεται έχουν οριστεί οι σχετικοί κίνδυνοι και οι τρόποι αντιμετώπισης για τα μέσα αποθήκευσης όταν χρησιμοποιούνται.
Η Εταιρία διαθέτει δίκτυο δομημένης καλωδίωσης για τον εξοπλισμό ΤΠΕ που διαθέτει και χρησιμοποιεί με πλήρη ασφάλεια καλωδίωσης.
Η συντήρηση του εξοπλισμού πραγματοποιείται με τη συνεργασία των εγκεκριμένων προμηθευτών του εξοπλισμού, ενώ το Τμήμα Πληροφορικής έχει δώσει πλήρεις κατευθύνσεις για την ασφαλή απόρριψη ή επαναχρησιμοποίηση του εξοπλισμού.
Ως προς τα μέτρα τεχνολογικής ασφάλειας, για την εφαρμογή του ΣΔΑΠ:
Η Εταιρία εφαρμόζει μέθοδο για τη διαχείριση της χωρητικότητας για πληροφοριακά συστήματα ή τις εφαρμογές που πρόκειται να ενσωματώσει στην καθημερινή της δραστηριότητα και θέτει κριτήρια αποδοχής για την ενσωμάτωση, όπως επίσης ελέγχει πιθανή διαλειτουργικότητα με άλλα συστήματα ή εφαρμογές που ήδη διαθέτει.
Εφαρμόζει πλήρη προστασία των λειτουργικών και πληροφοριακών συστημάτων από κακόβουλο λογισμικό, μέσω ειδικού συστήματος που προμηθεύεται από εγκεκριμένο προμηθευτή και με ισχύ σε ετήσια βάση.
Μέσω του risk assessment του ΣΔΑΠ διαχειρίζεται πιθανές ευπάθειες, αναγνωρισμένες ως πιθανούς κινδύνους, ενώ μέσω του συστήματος ΣΔΑΠ αλλά και του συστήματος εναρμόνισης με τον κανονισμό των π.δ. έχει ορίσει χρόνους διαγραφής πληροφοριών.
Όπου απαιτείται και με βάση την πολιτική για τη διαχείριση και το χαρακτηρισμό των πληροφοριών, η Εταιρία εφαρμόζει μεθοδολογία για απόκρυψη, στο πλαίσιο και της πρόσληψης διαρροής τους.
Εφαρμόζεται σύστημα τήρησης αντιγράφων ασφάλειας πληροφοριών, με αυτοματοποιημένο σύστημα
Η Χρήση Κρυπτογραφίας δεν εφαρμόζεται στην εταιρία, έχει εκπονηθεί μεθοδολογία σε περίπτωση που αυτό καταστεί αναγκαίο
Η Εταιρία έχει οριοθετήσει μέσω πολιτικής τη διαχείριση αλλαγών.
