(InXpress Global Ltd) INFORMATIE BEVEILIGINGSBELEID

Ingangsdatum: 25 mei 2018

1. DEFINITIE - Het gebruik van de term "bedrijf" in deze handleiding verwijst naar InXpress Global Ltd en zijn dochterondernemingen, dochterondernemingen, masterfranchisenemers en franchisenemers.

2. INLEIDING - Dit informatiebeveiligingsbeleid is een formele reeks van regels waarmee de mensen die toegang krijgen tot bedrijfstechnologie en informatie activa zich aan moeten conformeren.

Het informatiebeveiligingsbeleid heeft verschillende doelen. Het belangrijkste doel is om gebruikers van het bedrijf: werknemers, masterfranchisenemers, franchisenemers, aannemers en andere geautoriseerde gebruikers te informeren over de verplichte vereisten voor de bescherming van de technologie en informatieactiva van het bedrijf. Het informatiebeveiligingsbeleid beschrijft de technologie en informatie-assets die we moeten beschermen en identificeert veel van de bedreigingen voor die assets.

Dit informatiebeveiligingsbeleid beschrijft ook de verantwoordelijkheden en privileges van de gebruiker. Dit document bevat ook procedures voor het reageren op incidenten die de veiligheid van de computersystemen en het netwerk van het bedrijf bedreigen.

3. WAT BESCHERMEN WE? - Het is de plicht van alle gebruikers van de bedrijfssystemen om de technologie en informatieactiva van het bedrijf te beschermen. Deze informatie moet worden beschermd tegen ongeoorloofde toegang, diefstal en vernietiging. De technologie en informatieactiva van het bedrijf bestaan ​​uit de volgende componenten:

  • Computerhardware, CPU, schijf, e-mail, web, applicatieservers, pc-systemen, toepassingssoftware, systeemsoftware, enz.
  • Systeemsoftware, waaronder: besturingssystemen, databasebeheersystemen en back-up- en herstelsoftware, communicatieprotocollen.
  • Applicatiesoftware: dit omvat aangepaste, geschreven softwaretoepassingen en commerciële softwarepakketten.
  • Communicatie Netwerk-hardware en -software, waaronder: routers, routeringstabellen, hubs, modems, multiplexers, switches, firewalls, privélijnen en bijbehorende netwerkbeheersoftware en -hulpmiddelen.

4. INDELING VAN INFORMATIE - Gebruikersinformatie die wordt aangetroffen in bestanden en databases van het computersysteem moet als vertrouwelijk of niet-vertrouwelijk worden geclassificeerd. Het bedrijf classificeert de informatie die door hen wordt gecontroleerd. De gegevensbeschermingsfunctionaris is verplicht om de classificatie van de informatie te beoordelen en goed te keuren en het juiste beveiligingsniveau te bepalen om deze het best te beschermen.

5. BEDREIGINGEN VOOR VEILIGHEID
Medewerkers

Implementeer deze processen om overdrachten van medewerkers van informatie te verminderen:
• Geef alleen de juiste rechten op systemen. Beperk de toegang tot alleen kantooruren.
• Deel geen accounts om toegang te krijgen tot systemen. Deel uw aanmeldingsgegevens nooit met collega's.
• Wanneer werknemers gescheiden of gedisciplineerd zijn, verwijdert of beperkt u de toegang tot systemen.
• Fysisch beveiligde computeractiva, zodat alleen personeel met de juiste behoefte toegang heeft.
• Vereisen dat wachtwoorden worden gereset om de drie (3) maanden

Externe inbreuken

Implementeer deze processen om de toegang tot bedrijfssystemen te verminderen:
• Geef alleen de juiste rechten op systemen. Wanneer een klant belt om de toegang te verifiëren, zijn deze de juiste persoon.
• Verwijder of beperk de toegang tot systemen wanneer klantenaccounts in de wacht worden geplaatst.
• Vereis dat wachtwoorden worden gereset om de drie (3) maanden.

6. VERANTWOORDELIJKHEDEN VAN GEBRUIKER
In deze sectie wordt het gebruiksbeleid voor de computersystemen, netwerken en informatiebronnen van het kantoor vastgelegd. Het betreft alle werknemers en leveranciers die de computersystemen, netwerken en informatiebronnen gebruiken als zakelijke partners, klanten en individuen die toegang hebben tot het netwerk voor zakelijke doeleinden van het bedrijf. 

Aanvaardbaar gebruik
Gebruikersaccounts op bedrijfscomputersystemen mogen alleen worden gebruikt voor bedrijfsactiviteiten van het bedrijf en mogen niet worden gebruikt voor persoonlijke activiteiten. Ongeautoriseerd gebruik van het systeem kan in strijd zijn met de wet, vormt diefstal en kan wettelijk worden bestraft. Ongeautoriseerd gebruik van het computersysteem en de faciliteiten van het bedrijf kan daarom aanleiding geven tot civielrechtelijke of strafrechtelijke vervolging.

Gebruikers zijn persoonlijk verantwoordelijk voor de bescherming van alle vertrouwelijke informatie die wordt gebruikt en / of opgeslagen op hun accounts. Dit omvat hun aanmeldings-ID's en wachtwoorden. Verder is het verboden om ongeoorloofde kopieën te maken van dergelijke vertrouwelijke informatie en / of deze te verspreiden onder niet-geautoriseerde personen buiten het bedrijf.

Gebruikers mogen niet opzettelijk activiteiten ontplooien met de bedoeling: andere gebruikers lastig te vallen; de prestaties van het systeem verminderen; systeembronnen omleiden naar hun eigen gebruik; of toegang krijgen tot bedrijfssystemen waarvoor ze geen autorisatie hebben.

Gebruikers mogen geen ongeautoriseerde apparaten op hun pc's of werkstations aansluiten, tenzij ze specifieke toestemming hebben gekregen van de werknemersmanager en / of de IT-ontwerper van het bedrijf.

Gebruikers mogen geen ongeautoriseerde software van internet downloaden op hun pc's of werkstations.

Gebruikers dienen zwakke punten in de bedrijfscomputerbeveiliging, alle gevallen van misbruik of schending van dit beleid te melden aan hun directe leidinggevende.

Gebruik van internet

Het bedrijf biedt internettoegang aan werknemers en aannemers die verbonden zijn met het interne netwerk en die een zakelijke behoefte hebben aan deze toegang. Medewerkers en contractanten moeten toestemming krijgen van hun supervisor en een verzoek indienen bij de IT-beheerder.

Het internet is een zakelijke tool voor het bedrijf. Het moet worden gebruikt voor zakelijke doeleinden, zoals: communiceren via elektronische post met leveranciers en zakelijke partners, verkrijgen van nuttige bedrijfsinformatie en relevante technische en zakelijke onderwerpen.

De internetservice mag niet worden gebruikt voor het verzenden, ophalen of opslaan van berichten van discriminerende of intimiderende aard of die schadelijk zijn voor een persoon of groep, obsceen of pornografisch, of lasterlijk of bedreigend van aard voor "kettingbrieven" of enig ander doel wat illegaal is of voor persoonlijk gewin.

Toezicht op het gebruik van computersystemen

Het bedrijf heeft het recht en de mogelijkheid om elektronische informatie te controleren die is gemaakt en / of gecommuniceerd door personen die computersystemen en netwerken van het bedrijf gebruiken, inclusief e-mailberichten en internetgebruik. Het is niet het bedrijfsbeleid of de intentie om continu alle computergebruik door werknemers of andere gebruikers van de computersystemen en het netwerk van het bedrijf te bewaken. Gebruikers van de systemen dienen zich er echter van bewust te zijn dat het bedrijf het gebruik kan volgen, inclusief, maar niet beperkt tot, gebruikspatronen van het internet (bijv. Toegang tot de site, onlinelooptijd, tijdstip van de dag) en elektronische bestanden van werknemers en berichten voor zover nodig om ervoor te zorgen dat het internet en andere elektronische communicatie worden gebruikt in overeenstemming met de wet en met het bedrijfsbeleid.

7. TOEGANGSCONTROLE

Een fundamenteel onderdeel van ons Cyber ​​Security-beleid is het controleren van de toegang tot de kritieke informatiebronnen die bescherming tegen ongeoorloofde openbaarmaking of wijziging vereisen. De fundamentele betekenis van toegangscontrole is dat machtigingen worden toegewezen aan individuen of systemen die gemachtigd zijn om toegang te hebben tot specifieke bronnen. Toegangscontroles bestaan ​​op verschillende niveaus van het systeem, inclusief het netwerk. Toegangscontrole wordt geïmplementeerd door een aanmeldings-ID en wachtwoord. Op applicatie- en databasiveau kunnen andere toegangscontrolemethoden worden geïmplementeerd om de toegang verder te beperken. De applicatie- en databasesystemen kunnen het aantal applicaties en databases dat beschikbaar is voor gebruikers beperken op basis van hun functie-eisen.

Gebruikerssysteem en netwerktoegang - Normale gebruikersidentificatie

Alle gebruikers moeten een uniek aanmeldings-ID en wachtwoord hebben voor toegang tot systemen. Het wachtwoord van de gebruiker moet vertrouwelijk blijven en mag NIET worden gedeeld met leidinggevend en toezichthoudend personeel en / of welke andere medewerker dan ook. Alle gebruikers moeten voldoen aan de volgende regels met betrekking tot het maken en onderhouden van wachtwoorden:

  • Wachtwoord mag niet in een Engels of buitenlands woordenboek worden gevonden. Dat wil zeggen, gebruik geen gewone naam, zelfstandig naamwoord, werkwoord, bijwoord of bijvoeglijk naamwoord. Deze kunnen eenvoudig worden gekraakt met behulp van standaard "hacker-tools".
  • Wachtwoorden mogen niet op of in de buurt van computerterminals worden gepost of anderszins gemakkelijk toegankelijk zijn in de buurt van de terminal.
  • Wachtwoord moet elke (90 dagen) worden gewijzigd.
  • Gebruikersaccounts worden bevroren na 5 mislukte aanmeldingspogingen.

Gebruikers hebben geen toegang tot wachtwoordbestanden op netwerkinfrastructuurcomponenten. Wachtwoordbestanden op servers worden gecontroleerd op toegang door onbevoegde gebruikers. Het kopiëren, lezen, verwijderen of wijzigen van een wachtwoordbestand op een willekeurig computersysteem is verboden.

Gebruikers mogen zich niet aanmelden als systeembeheerder. Gebruikers die dit toegangsniveau tot productiesystemen nodig hebben, moeten een Special Access-account aanvragen zoals elders in dit document wordt beschreven.

ID's en wachtwoorden voor werknemers worden zo snel mogelijk gedeactiveerd als de werknemer wordt ontslagen, ontslagen, geschorst, met verlof wordt geplaatst of anderszins in dienst treedt bij het bedrijfsbureau.

Supervisors / Managers zullen onmiddellijk en rechtstreeks contact opnemen met de IT-manager van het bedrijf om wijzigingen in de werknemersstatus te melden die het beëindigen of wijzigen van aanmeldingsrechten voor medewerkers vereisen.

Medewerkers die hun wachtwoord vergeten, moeten de IT-afdeling bellen om een ​​nieuw wachtwoord toegewezen te krijgen aan hun account.

Medewerkers zijn verantwoordelijk voor alle transacties die tijdens aanmeldingsessies plaatsvinden en die worden geïnitieerd door het gebruik van het wachtwoord en ID van de werknemer. Medewerkers loggen niet in op een computer en staan ​​vervolgens toe dat een andere persoon de computer gebruikt of anderszins de toegang tot de computersystemen deelt.

Toegang systeembeheerder

Systeembeheerders, netwerkbeheerders en beveiligingsbeheerders hebben (type toegang) toegang tot hostsystemen, routers, hubs en firewalls om de taken van hun werk uit te voeren.
Alle systeembeheerderswachtwoorden worden onmiddellijk gewist nadat een werknemer die toegang heeft tot dergelijke wachtwoorden wordt beëindigd, ontslagen of op andere wijze de baan van het bedrijf verlaat.

Speciale toegang

Speciale toegangsaccounts worden verstrekt aan personen die tijdelijke systeembeheerderrechten nodig hebben om hun taak uit te voeren. Deze accounts worden gecontroleerd door het bedrijf en vereisen de toestemming van de IT-manager van het bedrijf. Het monitoren van de speciale toegangsaccounts gebeurt door de gebruikers in te voeren in een specifiek gebied en periodiek rapporten te genereren aan het management. De rapporten laten zien wie momenteel een speciaal toegangsaccount heeft, om welke reden en wanneer het verloopt. Speciale accounts worden beschikbaar gesteld voor de duur van de taak waarvoor de toestemming is gegeven. Deze worden pas verlengd na schriftelijke toestemming.

Verbinding maken met netwerken van derden
Dit beleid is opgesteld om te zorgen voor een veilige verbindingsmethode tussen het bedrijf en alle derde-partijbedrijven en andere entiteiten die nodig zijn om informatie elektronisch met het bedrijf uit te wisselen.

'Externe partij' verwijst naar leveranciers, consultants en zakelijke partners die zaken doen met het bedrijf en andere partners die informatie moeten uitwisselen met het bedrijf. Netwerkverbindingen van derden mogen alleen worden gebruikt door de werknemers van de derde partij, alleen voor zakelijke doeleinden van het bedrijf. Het externe bedrijf zorgt ervoor dat alleen geautoriseerde gebruikers toegang krijgen tot informatie op het bedrijfsnetwerk. De derde partij staat geen internetverkeer of ander privaat netwerkverkeer toe om in het netwerk te stromen. Een externe netwerkverbinding wordt gedefinieerd als een van de volgende verbindingsopties:

  • Een netwerkverbinding wordt beëindigd op een (te specificeren) en de derde partij
    zullen worden onderworpen aan de standaardregels voor bedrijfsauthenticatie.

Dit beleid is van toepassing op alle verbindingsaanvragen van derden en eventuele bestaande verbindingen van derden. In gevallen waarin de bestaande externe netwerkverbindingen niet voldoen aan de vereisten die in dit document worden beschreven, worden ze indien nodig opnieuw ontworpen.
Alle verzoeken om aansluitingen van derden moeten worden ingediend door een schriftelijk verzoek in te dienen en door het bedrijf te worden goedgekeurd.

Apparaten verbinden met het netwerk

Alleen geautoriseerde apparaten mogen op het bedrijfsnetwerk (en) zijn aangesloten. Geautoriseerde apparaten omvatten pc's en werkstations die eigendom zijn van het bedrijf en die voldoen aan de configuratie-richtlijnen van het bedrijf. Andere geautoriseerde apparaten omvatten netwerkinfrastructuurapparaten die worden gebruikt voor netwerkbeheer en monitoring.
Gebruikers mogen geen verbinding maken met het netwerk: niet-bedrijfscomputers die niet zijn geautoriseerd, eigendom zijn van en / of worden beheerd door een bedrijf. Het is gebruikers uitdrukkelijk verboden om zich aan het bedrijfsnetwerk te hechten (specificeren).

OPMERKING: Gebruikers zijn niet gemachtigd om apparaten aan te sluiten die de topologiekenmerken van het netwerk of ongeautoriseerde opslagapparaten wijzigen, bijvoorbeeld thumb drives en beschrijfbare CD's.

Toegang op afstand
Alleen bevoegde personen kunnen op afstand toegang krijgen tot het bedrijfsnetwerk. Externe toegang wordt geboden aan die werknemers, aannemers en zakelijke partners van het bedrijf die een legitieme zakelijke behoefte hebben om informatie uit te wisselen, bestanden of programma's te kopiëren of toegang te krijgen tot computertoepassingen. Geautoriseerde verbinding kan een pc op afstand van het netwerk zijn of een extern netwerk naar een bedrijfsnetwerkverbinding. De enige acceptabele methode om op afstand verbinding te maken met het interne netwerk, is het gebruik van een beveiligde ID.

Ongeautoriseerde toegang op afstand

De koppeling van (bijvoorbeeld hubs) aan de pc of het werkstation van een gebruiker die is verbonden met het bedrijf VPN is niet toegestaan ​​zonder de schriftelijke toestemming van het bedrijf. Bovendien mogen gebruikers geen persoonlijke software installeren die is ontworpen om de pc of het werkstation op afstand te bedienen. Dit type externe toegang omzeilt de geautoriseerde zeer veilige methoden voor externe toegang en vormt een bedreiging voor de beveiliging van het gehele netwerk.

8. STRAF VOOR SCHENDING VAN DE VEILIGHEID

Het bedrijf neemt het beveiligingsprobleem serieus. Degenen die de technologie en informatiebronnen van het bedrijf gebruiken, moeten zich ervan bewust zijn dat ze kunnen worden gedisciplineerd als ze dit beleid schenden. Bij overtreding van dit beleid, kan een werknemer van het bedrijf worden onderworpen aan discipline tot en met ontslag. De specifieke discipline die wordt opgelegd zal van geval tot geval worden bepaald, rekening houdend met de aard en de ernst van de schending van het Cyber ​​Security-beleid, eerdere schendingen van het beleid gepleegd door het individu, nationale en federale wetten en alle andere relevante informatie. Discipline die tegen een werknemer kan worden genomen, moet worden beheerd in overeenstemming met toepasselijke regels of beleidslijnen en de bedrijfsbeleidsgids.

In een geval waarin de beklaagde geen werknemer van een bedrijf is, wordt de zaak voorgelegd aan de functionaris voor gegevensbescherming. De gegevensbeschermingsfunctionaris kan de informatie doorverwijzen naar wetshandhavingsinstanties en / of officieren van justitie om na te gaan of strafrechtelijke aanklachten tegen de vermeende overtreder (s) moeten worden ingediend.

9. BEVEILIGINGSPROCEDURES

Deze sectie bevat enkele beleidsrichtlijnen en procedures voor het afhandelen van beveiligingsincidenten. De term "veiligheidsincident" wordt gedefinieerd als elke onregelmatige of ongewenste gebeurtenis die de veiligheid, integriteit of beschikbaarheid van de informatiebronnen op enig deel van het bedrijfsnetwerk bedreigt. Enkele voorbeelden van beveiligingsincidenten zijn:

  • Illegale toegang van een bedrijfscomputersysteem. Een hacker logt bijvoorbeeld in op een productieserver en kopieert het wachtwoordbestand.
  • Schade aan een bedrijfscomputersysteem of netwerk veroorzaakt door illegale toegang. Het vrijgeven van een virus of worm zou een voorbeeld zijn.
  • Denial of service-aanval tegen een bedrijfswebserver. Een hacker initieert bijvoorbeeld een stroom pakketten tegen een webserver die is ontworpen om het systeem te laten crashen.
  • Schadelijk gebruik van systeembronnen om een ​​aanval op andere computers buiten het bedrijfsnetwerk te starten. De systeembeheerder ziet bijvoorbeeld een verbinding met een onbekend netwerk en een vreemd proces dat veel servertijd accumuleert.

Medewerkers die van mening zijn dat hun terminal of computersystemen zijn blootgesteld aan een beveiligingsincident of anderszins op ongeoorloofde wijze zijn benaderd of gebruikt, moeten de situatie onmiddellijk aan hun IT-beheerder melden. De medewerker mag de computer niet uitschakelen of verdachte bestanden verwijderen. Het verlaten van de computer in de staat waarin het verkeerde toen het beveiligingsincident werd ontdekt, helpt bij het identificeren van de oorzaak van het probleem en bij het bepalen van de stappen die moeten worden genomen om het probleem op te lossen.