KUUSAKOSKI RECYCLING INFOTURBE POLIITIKA JA PÕHIMÕTTED

Infoturbemeetmete eesmärk on kaitsta Kuusakoski, klientide ja partnerite andmete, infosüsteemide, teenuste, andmetöötluse ja teabevahetuse konfidentsiaalsust, terviklikkust ja kättesaadavust. Need meetmed tagavad äritegevuse järjepidevuse ning klientidele pakutavate teenuste usaldusväärsuse ja turvalisuse. Eesmärgiks on olla infoturbe tavade valdkonnas juhtpositsioonil. See toetab Kuusakoski visiooni olla klientide jaoks parim partner.

Andmekaitse tähendab isikuandmete ja muu isiku kohta käiva tundliku või konfidentsiaalse teabe kaitset.

Kuusakoski on kohustatud järgima ja juhinduma teabeturbe ja andmekaitse osas riiklikest ja rahvusvahelistest üldistest juriidilistest kohustustest, tööstusharu spetsiifilistest juriidilistest kohustustest ja klientide nõuetest.

Infoturbe haldamine ja arendamine on pidev protsess, mida juhitakse Kuusakoski infoturbe juhtimissüsteemi kohaselt, mis on riskipõhine ja põhineb pideva täiustamise põhimõtetel. Töötajate turvateadlikkust arendatakse pidevalt koolituste, teabe ja juhiste kaudu, mis sisaldavad ajakohaseid turvasuuniseid. Kuusakoski uurib ja kasutab aktiivselt uusi tehnoloogiaid ja toimimismudeleid teabe kaitsmiseks.

Infoturbe rakendamise eest vastutab tegevjuht, keda toetavad kontserni juhtkond ja kontserni ettevõtete tegevjuhid. Infoturbe meeskond moodustab kontserni infoturbe olukorra ülevaate, haldab meetmeid, annab aru ja toetab juhtkonda rakendamise jälgimisel ja arendamisel. Juhendajad vastutavad infoturbe ja andmekaitse rakendamise eest oma üksustes vastavalt kehtivatele suunistele. Juhendaja vastutab selle eest, et töötajad oleksid kursis kehtivate turvasuunistega. Iga töötaja vastutab juhiste järgimise eest oma töös.

Infoturbeintsidente hallatakse vastavalt määratletud intsidentide haldamise protsessidele. Pidev täiustamine hõlmab õppimist kõrvalekalletest. Infoturbe rikkumine on määratletud kui tegevus, mis rikub infoturbe põhimõtteid või juhiseid. Kuusakoski on määratlenud rikkumisolukordade menetlused. Töötajad on kohustatud teatama oma ülemusele kõikidest täheldatud infoturbeohtudest ja kõrvalekalletest.

Iga töötaja on kohustatud teatama infoturbemeeskonnale kõigist tuvastatud turvaohtudest või kõrvalekalletest. Igast andmeturbe või poliitikate rikkumisest teatatakse alati ülemusele. Andmeturbe rikkumine võib kaasa tuua hoiatuse ja võimaliku töösuhte lõpetamise. Kui rikkumine toob kaasa rahalise kahju, võib see kaasa tuua kahjunõude. Andmete väärkasutus või tahtlik juhiste täitmata jätmine võib kaasa tuua kriminaalkaristusi.

Infoturbemeeskonnal ja teabehaldusmeeskonnal on juhtkonna poolt antud volitused ja vastutus jälgida ja kontrollida infosüsteemide turvalisust ja privaatsust, andmetöötlust ning vajaduse korral võtta meetmeid probleemide lahendamiseks ja tuvastatud riskide kõrvaldamiseks. Vajaduse korral teatatakse juhtkonnale intsidentidest.

Töötajate infoturve tähendab töötajate tegevusest tulenevate ja neid mõjutavate infoturbeohtude haldamist. Eesmärk on usaldusväärne ja sobilik tööjõud, kes on teadlik neile kehtestatud turvasuunistest ja nende kohustustest töösuhte alguses, selle ajal ja lõpus.

Põhimõtted:

• Töötajate sissejuhatus sisaldab ülevaadet andmete turvalisuse ja andmekaitse suunistest. Juhendaja vastutab selle eest, et töötaja oleks teadlik ettevõtte turvanõuetest ja -põhimõtetest.

• Ettevõtte tähtsaid dokumente säilitatakse nende jaoks määratletud süsteemides.

• Igal infosüsteemil peab olema vastutav isik, kes vastutab selle infoturbe eest.

• Süsteemile antakse juurdepääsuõigused vastavalt kehtivale juurdepääsuhaldusprotsessile.

• Tööülesannete kirjeldused ja süsteemile juurdepääsuõigused on kavandatud nii, et kasutajad ei satuks töökombinatsioonidesse, mis on ohtlikud ettevõtte kriitilisele teabele.

• Töötajatele pakutakse infoturbealast koolitust, et säilitada oma oskusi.

• Igaüks on kohustatud viivitamatult tuvastama turvariskid ja -intsidendid ning teatama neist infoturbeüksusele aadressil datasecurity@kuusakoski.com või kiireloomulistel juhtudel näiteks telefoni või meeskonna kaudu.

• Töösuhte lõpetamise kord on kehtestatud nii, et juurdepääs infosüsteemidele ja ettevõtte ruumidele lõpetatakse töösuhte lõppemisel.

• Isiku juht vastutab selle eest, et töösuhte lõpetamisest teatatakse aegsasti personalisüsteemi kaudu.

Füüsiline infoturve tähendab ruumide, infovahendite ja muude seadmete või muude tundlikku teavet sisaldavate materjalide kaitset. 

Põhimõtted: 

• Loata juurdepääs ettevõtte või teenusepakkuja ruumidesse, kus asub infosüsteemi keskkond või tundlik materjal, peab olema takistatud juurdepääsukontrolliga. Juurdepääsuõiguste või võtmete kohta tuleb pidada registrit.

• Iga kontori ruumides töötav ja liikuv isik peab olema identifitseeritud.

• Kuusakoski alltöövõtjad on kohustatud kasutama Kuusakoski ruumides isikutunnistust, kui isik ei ole muul viisil tuvastatud.

• Olulist teavet sisaldavate IT-seadmete või arhiivide paigutamisel tuleb arvestada vee-, kuuma- ja tulekahjuohuga.

• Seadmete kriitilisust arvestades peab elektrivarustus olema valmis katkestusteks.

Turvalisus hõlmab süsteeme, IT-teenuseid, tugiteenuseid, võimsusteenuseid ja tarkvaraarenduse partnereid. Eesmärk on, et infosüsteemid ja -teenused vastaksid kõige paremini ärivajadustele ning et partnerid oleksid pühendunud Kuusakoski infoturbepoliitika järgimisele ja edasiarendamisele.

Põhimõtted:

• Infosüsteemide ja IT-teenuste hanked on koondatud Kuusakoski IT-osakonda. Hanked peavad funktsionaalselt ja tehniliselt sobituma ettevõtte IT-teenuste arhitektuuriga.

• Uue tarkvara rakendamine eeldab, et tarkvara on testitud ja et ka turvatest on läbitud.

• IT-teenuse partneritel peavad olema konfidentsiaalsuslepingud, kui teenus hõlmab ettevõtte jaoks konfidentsiaalse teabe töötlemist või kui see on GDPR-i kohaselt liigitatud isikuandmeteks.

• IT-teenuste pakkujad peavad oma tegevuses järgima andmete turvalisust ja andmekaitset käsitlevaid õigusakte.

• Määrata kindlaks ja liigitada iga Kuusakoski äritegevuse ja infoturbe jaoks kasutatava infosüsteemi ja IT-teenuse kriitilisus. Kavandada ja rakendada varukoopiaid, võttes arvesse süsteemi kriitilisust.

• Tööjaamade, serverite ja tarkvara turvaelementide uuendamiseks on olemas protsess, mida tuleb järgida.

• IT-süsteemid on välja töötatud vastavalt kindlaksmääratud turvatavadele, näiteks turvalise tarkvara arendamisele.

Seadmete turvalisus viitab lõppseadmetele, serveritele, võrguseadmetele ja muudele teabe töötlemiseks vajalikele seadmetele. Kasutatavad seadmed peavad olema kooskõlas infoturbe põhimõtetega.

Põhimõtted:

• Seadmed on Kuusakoski IT-osakonna poolt heaks kiidetud.

• Seadmed ostetakse vastavalt olemasolevatele hankemenetlustele.

• Seadmete paigaldamine toimub heakskiidetud standardite kohaselt, tagades, et vajalik turvatarkvara on paigaldatud ja seaded on konfigureeritud vastavalt turvasuunistele.

• Seadmete hankimisel määratakse kindlaks kriitilise tähtsusega seadmed. Nende seadmete jaoks tagatakse katkematu toiteallikas, piisava tasemega tugiteenused ja garantiihooldus.

• Töösuhte lõppedes vastutab juht selle eest, et tema poolt kasutatud töövahendid tagastatakse.

• Kasutuselt kõrvaldatud seadmed toimetatakse Kuusakoski turvahävitamise ja taaskasutamise teenustele.

Andmeside turvalisus tähendab katkematu ja turvalise side kättesaadavust, kaitset ja krüpteerimist, kasutajate tuvastamist, side kindlustamist ja võrguliikluse tuvastamise võimekuse tagamist. Andmeside turvalisuse töö eesmärk on tagada turvalised ja usaldusväärsed ühendused.

Põhimõtted: 

• Ettevõtte võrk peab olema nõuetekohaselt kaitstud.

• Peab olema võimalik jälgida võrguliiklust ja tuvastada kõrvalekaldeid.

• Kaugtöö eeldab turvalise VPN-ühenduse kasutamist.

• Kõikidel kasutajatel on kasutusel mitmefaktoriline autentimine (MFA) kõikides rakendustes, kus see on võimalik.

• Kõigi konfidentsiaalsete e-kirjade puhul kasutatakse e-posti krüpteerimist.

• Ettevõtte teave on salastatud ja konfidentsiaalsed failid on krüpteeritud vastavalt poliitikale.

Muud infoturbe põhimõtetega seotud põhimõtted ja dokumendid:

• Ettevõtte Kuusakoski Recycling teabeturbepoliitika

• Kuusakoski Recycling andmekaitsepõhimõtted