CADRUL GENERAL

Scop. Prezenta politica are ca scop asigurarea unui nivel adecvat de securitate a sistemelor informationale ale [denumire societate] impotriva SPAM-ului, in principal cu privire la mesajele publicitare nesolicitate si/sau mesajele ce urmaresc realizarea unei fraude prin obtinerea de date confidentiale.

DOMENIUL DE APLICARE

Prezenta politica se aplica tuturor structurilor organizatorice ale Operatorului [a se completa in cazul in care nu se aplica tuturor structurilor, caror structuri/departamente nu se aplica].

DOCUMENTE DE REFERINTA
- GDPR
- Regulament intern
- Proceduri interne
PREVEDERI GENERALE

Utilizarea Internet-ului
Accesul utilizatorilor la Internet este permis pentru indeplinirea sarcinilor de serviciu.
Utilizatorii nu trebuie sa isi instaleze niciun produs software pe statiile de lucru ale Operatorului indiferent de sursa de provenienta a respectivului produs software (Internet sau alta sursa).

Documentele atasate mesajelor e-mail vor putea fi deschise doar daca acestea sunt primite dintr-o sursa sigura. Inainte de a fi deschise, documentele atasate trebuie scanate cu un program antivirus.

Este interzisa folosirea calculatoarelor Operatorului pentru distribuirea e-mail-urilor nesolicitate ori sustinerea oricarui tip de campanie publicitara care ar putea avea ca efect exprimarea unor plangeri din partea destinatarilor.

Mesajele de tip SPAM includ o varietate de promotii si solicitari precum cele de tipul mesajelor trimise in masa, sistemele piramidale si promovarea directa de produse. Atunci cand angajatii Operatorului primesc astfel de mesaje vor trebui sa le trimita Departamentului fara a le deschide sau a le raspunde. Departamentul IT va adopta masuri corespunzatoare pentru stoparea primirii acestor mesaje.

In cadrul comunicatiei electronice se interzice inlocuirea, inlaturarea sau denaturarea identitatii unui utilizator.

In formularea mesajelor electronice, utilizatorul este obligat sa-si precizeze datele de identificare, care trebuie sa contina:
- numele acestuia;
- numarul de telefon;
- adresa de e-mail sau apartenenta la o anumita organizatie.

De asemenea, se recomanda atasarea unei semnaturi electronice in cadrul mesajelor care sa contina informatii despre expeditor precum pozitia ocupata in cadrul Operatorului, apartenenta la aceasta, adresa etc.

Se recomanda confirmarea identitatii tertelor parti inainte ca angajatii Operatorului sa poata trimite orice informatie de uz intern sa incheie orice fel de contract sau sa comande produse prin intermediul retelelor publice. Atunci cand este posibil, confirmarea identitatii trebuie facuta prin intermediul semnaturilor digitale, altfel, pot fi utilizate mijloace de identificare complementare: discutii telefonice, scrisoare de imputernicire sau referinte din partea tertilor.

Nu se permite accesul angajatilor in modulul de administrare al site-ului web al Operatorului decat daca au aprobarea Conducerii de a efectua modificari in continutul de informatii. Adaugarea de legaturi catre alte resurse, actualizarea informatiilor sau schimbarea design-ului intra, de asemenea, sub incidenta acestor aprobari.

Acordarea drepturilor de acces din Internet la reteaua interna a Operatorului se va aproba colaboratorilor numai pe baza unei solicitari exprimate de catre managerul de sistem. Din randul colaboratorilor fac parte: producatorii de software, contractorii, consultatii, personalul temporar personalul companiilor prestatoare de servicii, asistentii in brokeraj etc. Accesul va fi acordat in mod individual si doar pentru perioada desfasurarii sarcinilor aprobate.

Angajatii pot folosi alte surse de furnizare a conexiunii la Internet utilizand calculatoarele Operatorului, doar cu acordul Conducerii, intrucat controalele de acces si metodele de asigurare a securitatii datelor nu pot fi aplicate corespunzator decat daca intregul flux de activitati referitoare la Internet trece prin echipamentele de tip firewall ale Operatorului. In aceeasi maniera, angajatii sunt obligati sa utilizeze numai casuta de e-mail oferita de catre Companie. In acest context, folosirea adresei de e-mail personala nu este permisa.

Este interzisa folosirea in scopul afacerilor personale sau incredintarea catre alte persoane a resurselor informatice ale Operatorului.

Operatorul nu se declara raspunzator pentru continutul paginilor de Internet accesate de angajati. In cazul accesarii intamplatoare a unui site cu continut informational imoral (caracter sexual explicit, rasist, misogin, violent sau de natura ofensatoare) angajatii in cauza sunt obligati sa aleaga o alta pagina sau sa incheie procesul curent.

Operatorul poate inregistra paginile accesate, fisierele desemnate, timpul petrecut pe o pagina anume si alte informatii conexe.

Conducerea Operatorului poate primi rapoarte ce contin astfel de informatii si pe baza lor sa decida tipul accesului la Internet in cadrul fiecarui departament al Operatorului.

Conducerea Operatorului are dreptul de a revizui e-mail-urile, fisierele aflate pe statiile de lucru, fisierele temporare ale browser-elor de Internet (Internet Explorer, Mozilla Firefoc, Google Chrome etc.), paginile marcate, istoricul site-urilor web necesare si alte informatii stocate sau care tranziteaza statiile de lucru ale Operatorului in orice moment si fara necesitatea unui anumit prealabil.

Se interzice angajatilor stabilirea unor legaturi la Internet sau la alte retele externe care ar putea favoriza terte parti sa patrunda in reteaua Operatorului si sa aiba acces la sistemele si informatiile acesteia, decat daca acest lucru este aprobat de catre Conducere. Aceste conexiuni presupun legaturi de tip file-sharing (partajare de fisiere), sisteme de comert prin intermediul Internet-ului sau servere FTP.

Utilizarea e-mail-ului

Operatorul pune la dispozitia angajatilor sai sau, dupa caz, colaboratorilor, casute de posta electronica. Conturile de posta electronica individuale nu trebuie utilizate in comun.

Utilizarea sistemului de mesagerie electronica al Operatorului trebuie realizata ca parte a activitatii profesionale, ce are ca scop imbunatatirea activitatilor de zi cu zi prin inlesnirea comunicarii interne in cadrul Operatorului, respectiv in exterior prin mentinerea legaturilor cu clientii, partenerii de afaceri ai Operatorului sau cu autoritatile locale.

Comunicarea electronica se va limita la materialele care au legatura cu activitatile profesionale si sarcinile de serviciu ale angajatilor si nu va fi folosita ca suport pentru campanii caritabile de strangere de fonduri, campanii de sustinere politica/religioasa sau pentru activitati ce tin de afaceri personale, amuzament sau distractie.

Se interzice folosirea de catre un utilizator a unei adrese de e-mail ce apartine altei persoane. Periodic, angajatii vor fi informati si intruiti sa foloseasca in mod adecvat resursele sistemului informatic al Operatorului.

In cadrul comunicatiei electronice, se interzice inlocuirea, inlaturarea sau denaturarea identitatii unui utilizator.

Fiecare utilizator al sistemului de e-mail al Operatorului (administrator sau utilizator final) trebuie sa se preocupe de luarea tuturor masurilor necesare in vederea asigurarii protectiei impotriva e-mail-urilor nesolicitate (mesaje de tip hoax , mesaje inlantuire0chain letter, spam etc.) si scheme de mesaje electonice cu caracter fraudulos (phishing si alte tipuri de mesaje de tip fraudulos).

Fiecare utilizator al sistemului de e-mail al Operatorului (administrator sau utilizator final) trebuie sa se preocupe de luarea tuturor masurilor necesare in vederea asigurarii protectiei impotriva infectarii cu produse software cu potential distructiv (virusi, troieni, worm etc.)

In cazul in care primesc sau detecteaza orice e-mail suspicios, angajatii sunt obligati sa informeze Departamentul IT.

Utilizarea echipamentelor mobile

Toate echipamentele mobile care au fost achizitionate in numele Operatorului sunt considerate a fi proprietatea Operatorului si vor fi utilizate ca atare.

Atribuirea unui dispozitiv mobil catre un angajat implica responsabilitatea acestuia de a asigura securitatea dispozitivului atat in sediul Operatorului, cat si in locuinta personala sau oricare alta locatie.

Accesul la dispozitivele de tip mobile computing trebuie sa fie securizata prin sistem de autentificare cu parola sau cod PIN. Pentru o eficienta sporita nu vor fi folosite parole si coduri PIN usor de identificat.

Accesul la reteaua Operatorului din exterior nu este permisa decat printr-o conexiune securizata de tip VPN.

Utilizarea dispozitivelor mobile in spatii publice trebuie facuta cu prudenta pentru a elimina riscul ca informatiile afisate pe ecran sa poata fi vazute de persoane neautorizate. In situatia in care se poate asigura o minima intimitate, utilizarea dispozitivelor mobile in locatiile publice trebuie restransa.

Pentru stocarea informatiilor cu caracter sensibil se recomanda folosirea servelor de retea si mai putin a echipamentelor de tip mobil computing. Pentru a se asigura siguranta informatiei, discul fix al dispozitivului mobil si partile aferente pe care se va face stocarea trebuie sa fie criptate.

In functie de arhitectura hardware si software, dispozitivele de tip mobil computing trebuie sa aiba configurate solutii corespunzatoare de protectie impotriva aplicatiilor software cu potential distructiv (virusi, spyware, malware etc.). Utilizatorul unui dispozitiv mobil trebuie sa-si actualizeze permanent programele de protectie si sa se asigure ca foloseste ultima versiune data de producator.

Toate echipamentele mobile vor avea configurata o aplicatie screen-saver care se va activa automat dupa un timp determinat de inactivitate.

Cazurile de pierdere sau furt a unui dispozitiv mobil trebuie raportate in cel mai scurt timp catre managerul de departament.

Echipamentele mobile de calcul (laptop, notebook, balckberry etc.) pot contine informatii cu caracter sensibil din Companie sau ale colaboratorilor Operatorului. In aceste conditii, utilizatorul unui astfel de dispozitiv devine responsabil pentru disponibilitatea, integritatea si confidentialitatea datelor referitoare la Companie, pe care le are la dispozitie. Utilizarea calculatorului portabil in exteriorul Operatorului impune respectarea unor reguli:

  • Utilizatorul este responsabil de supravegherea permanenta a dispozitivului;
  • Utilizatorul trebuie sa asigure din punct de vedere fizice securitatea echipamentului prin folosirea unor dispozitive de impiedicare a furtului (de exemplu: cablul de securitate);
  • Utilizatorii trebuie sa-si salveze periodic documentele pe care le dezvolta pentru a preintampina pierderea accidentala a informatiilor nesalvate;
  • Pentru orice perioada de inactivitate, dispozitivul va fi blocat, iar deblocarea se va face pe baza de parola;
  • Dispozitivele trebuie sa aiba configurat un mecanism de autentificare adecvat pentru securizarea accesului;
  • Este interzisa folosirea programelor software nelicentiate si instalarea aplicatiilor de catre utilizatori.


Folosirea telefoanelor mobile este permisa numai pentru desfasurarea convorbirilor telefonice. De asemenea, se recomanda supravegherea telefoanelor mobile, intrucat acestea ar putea contine informatii din cadrul Operatorului (de exemplu, email etc.).

Protectia impotriva virusilor

Operatorul are implementate masuri de protectie ale sistemelor telefonice informatice, aplicatiilor si retelelor si de detectare a tuturor tipurilor de virusi si a altor produse software daunatoare.

Pe toate sistemele informatice ale Operatorului exista instalate programe antivirus.

Utilizatorii au responsabilitatea de a nu modifica setarile programului antivirus. Totodata, sunt responsabili de raportarea catre Departamentul IT a tuturor incidentelor datorate virusilor.
Departamentul IT are urmatoarele responsabilitati:

  • Sa se asigure ca programul antivirus este instalat pe toate statiile utilizatorilor si pe toate serverele;
  • Sa actualizeze definitiile virusilor;
  • Sa inregistreze si sa investigheze toate incidentele raportate de catre utilizatori.

Salvarea si restaurarea datelor

Operatorul realizeaza salvari (backup) periodice ale sistemelor si datelor, conform procedurilor interne. Salvarile sunt mentinute conform prevederilor acestei norme, iar periodic sunt efectuate teste ale mediilor de stocare pentru a se verifica posibilitatea recuperarii datelor in cazul unei urgente.

Continuitatea afacerii

In caz de dezastru, Operatorul isi va relua activitatea in termen de maxim 5 zile de la producerea dezastrului. Pentru aceasta, Operatorul salveaza datele critice si bazele de date ale clientilor intr-o locatie la distanta, astfel incat sa se asigure posibilitatea reluarii activitatii in cel mai scurt timp.