Η Πολιτική Ασφάλειας (Security Policy) αποτελεί έγγραφο στο οποίο περιγράφονται οι στόχοι της ασφάλειας και οι αντίστοιχες διαδικασίες που πρέπει να ακολουθούνται ώστε να επιτευχθούν αυτοί οι στόχοι. Καθορίζει τη δέσμευση της Διοίκησης και την προσέγγιση ενός οργανισμού ή μιας επιχείρησης αναφορικά με την ασφάλεια των πληροφοριακών συστημάτων και δικτύων και την προστασία προσωπικών δεδομένων που τηρεί ο φορέας.

Στην πολιτική ασφάλειας θα πρέπει, κατ’ ελάχιστο, να περιγράφονται οι βασικές αρχές προστασίας προσωπικών δεδομένων και ασφάλειας που εφαρμόζονται. Ειδικότερα, η πολιτική ασφάλειας πρέπει να θέτει τις βασικές αρχές για:

  1. οργανωτικά μέτρα ασφάλειας, όπως αναφορικά με τους ρόλους και τις αρμοδιότητες του προσωπικού και των εξωτερικών συνεργατών-εκτελούντων την επεξεργασία, τον καθορισμό και τις αρμοδιότητες του υπευθύνου ασφάλειας, τα μέτρα φυσικής ασφάλειας, την εκπαίδευση του προσωπικού, τη διαχείριση περιστατικών ασφάλειας και την καταστροφή των προσωπικών δεδομένων,
  2. τεχνικά μέτρα ασφάλειας, όπως αναφορικά με τη διαχείριση των χρηστών του πληροφοριακού συστήματος, την αναγνώριση και αυθεντικοποίηση των χρηστών, την ασφάλεια των επικοινωνιών, τη λειτουργία των αρχείων καταγραφής του πληροφοριακού συστήματος, την εξαγωγή αντιγράφων ασφάλειας. Επίσης, στην πολιτική ασφάλειας πρέπει να προσδιορίζονται επακριβώς οι ρόλοι κάθε εμπλεκόμενου προσώπου εντός της εταιρείας ή οργανισμού, οι αρμοδιότητες, οι ευθύνες και τα καθήκοντά του ως προς τις διαδικασίες που αφορούν στην ασφάλεια. Ακόμα, η πολιτική ασφάλειας πρέπει να περιγράφει και κατάλληλη διαδικασία για την αναθεώρησή της.

Στην πολιτική ασφάλειας πρέπει, κατ’ ελάχιστο, να αναφέρονται τα εξής:

  1. Οι βασικές αρχές ασφάλειας που οφείλει να τηρεί ο φορέας, όπως η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων, η απόδοση ευθυνών σε περιπτώσεις λαθών και παραβάσεων, κ.λπ.
  2. Τα αγαθά (αρχεία/δεδομένα σε οποιαδήποτε μορφή ή εξοπλισμός) τα οποία πρέπει να προστατευτούν.
  3. Ο σκοπός και το πεδίο εφαρμογής της πολιτικής ασφάλειας ως προς τη διαφύλαξη των αγαθών και των βασικών αρχών ασφάλειας.
  4. Το οργανωτικό πλαίσιο ρόλων, αρμοδιοτήτων, καθηκόντων που αφορούν την ασφάλεια (συμπεριλαμβανομένων αυτών που άπτονται της υλοποίησης, εφαρμογής και επισκόπησης της πολιτικής ασφάλειας), την ενημέρωση του προσωπικού σχετικά με τη συμμόρφωση με αυτή και τις δέουσες ενέργειες σε περίπτωση παραβίασής της.
  5. Οι επιμέρους τομείς ασφάλειας τους οποίους αφορά η πολιτική και οι βασικοί κανόνες/διαδικασίες που πρέπει να ακολουθούνται σε καθέναν από τους τομείς αυτούς για την επίτευξη των στόχων που θέτει η πολιτική ασφάλειας.
  6. Η διαδικασία εσωτερικών ελέγχων, η οποία πρέπει να λαμβάνει χώρα για την επισκόπηση της ορθής εφαρμογής της πολιτικής ασφάλειας και την αποτίμηση της αποτελεσματικότητας των μέτρων ασφάλειας.

Σε περίπτωση που η επεξεργασία προσωπικών δεδομένων γίνεται από εκτελούντες την επεξεργασία, η πολιτική ασφάλειας πρέπει να αναγράφει επακριβώς το είδος αυτής, με ταυτόχρονη αναφορά στην αντίστοιχη σύμβαση/ρήτρα που υπογράφεται μεταξύ των δύο πλευρών. Η χρονική διάρκεια της επεξεργασίας πρέπει επίσης να αναφέρεται ρητά.

Αν τμήμα ή ολόκληρη η επεξεργασία συντελείται αποκλειστικά σε συστήματα που βρίσκονται υπό την αποκλειστική εποπτεία του εκτελούντος την επεξεργασία, τότε αυτό πρέπει να αναγράφεται στην πολιτική ασφάλειας. Το τμήμα της πολιτικής ασφάλειας που αφορά τον εκτελούντα την επεξεργασία πρέπει επίσης να είναι κοινοποιημένο σε αυτόν. Σε αυτή την περίπτωση, το συγκεκριμένο τμήμα της πολιτικής ασφάλειας πρέπει να αναφέρει ρητά την υποχρέωση που βαρύνει τον εκτελούντα την επεξεργασία για την πλήρη υιοθέτηση και εφαρμογή της.

Οι οδηγίες και διαδικασίες που περιλαμβάνονται στην πολιτική ασφάλειας υλοποιούνται με την εφαρμογή των μέτρων προστασίας ή ασφάλειας. Η πολιτική ασφάλειας, μαζί με το σύνολο των μέτρων προστασίας, αποτελούν και το σχέδιο ασφάλειας του οργανισμού.

 

Χαρακτηριστικά της πολιτικής ασφάλειας

Η πολιτική ασφάλειας μπορεί να είναι είτε ενιαία, ώστε να καλύπτει όλα τα πληροφοριακά συστήματα και τις διαδικασίες που άπτονται της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, είτε να αποτελείται από τμήματα όπου το κάθε ένα να αναφέρεται σε κάποιο υπο-σύστημα επεξεργασίας δεδομένων προσωπικού χαρακτήρα ή επιμέρους τομέα ασφάλειας (όπως επιμέρους πολιτική για τη διαχείριση αντιγράφων ασφάλειας, για τη διαχείριση περιστατικών παραβίασης της ασφάλειας, κ.λπ.). Στη δεύτερη περίπτωση, οι επιμέρους πολιτικές αποτελούν παραρτήματα της γενικότερης πολιτικής ασφάλειας και μνημονεύονται σε αυτή.

Επίσης, πρέπει να είναι απόλυτα σαφής ώστε να μην παρουσιάζονται δυσκολίες στην κατανόηση και εφαρμογή της. Προς τούτο, πρέπει να είναι απαλλαγμένη από εξειδικευμένους τεχνικούς όρους και αναφορές, οι οποίοι ενδεχομένως να καθιστούν δύσκολη την εφαρμογή της και να την εξαρτούν από συγκεκριμένες τεχνολογικές επιλογές. Η πολιτική ασφάλειας δεν πρέπει να τροποποιείται συχνά. Πέραν των τακτικών αναθεωρήσεών της, δύναται να τροποποιείται στις περιπτώσεις που συμβαίνουν σημαντικές αλλαγές σε κάποιο τουλάχιστον από τα εξής:

  1. στην οργανωτική δομή του υπευθύνου επεξεργασίας,
  2. στα πληροφοριακά συστήματα,
  3. στις απαιτήσεις ασφάλειας,
  4. στις τεχνολογικές εξελίξεις,
  5. στο είδος ή/και στην επεξεργασία των προσωπικών δεδομένων.

Η πολιτική ασφάλειας μπορεί επίσης να μεταβάλλεται κατόπιν διενέργειας εσωτερικού ή εξωτερικού ελέγχου, ο οποίος καταδεικνύει μη επαρκή ή/και μη αποτελεσματικά μέτρα ως προς την ασφάλεια, ή κατόπιν περιστατικού παραβίασης της ασφάλειας.

Τέλος, σημειώνεται ότι μια πολιτική ασφάλειας οφείλει να είναι γενικεύσιμη, υπό την έννοια ότι η εφαρμογή της σε μελλοντικά συστήματα που ενδεχομένως ενταχθούν στο πληροφοριακό σύστημα του οργανισμού να είναι δυνατή χωρίς να απαιτούνται μεγάλες τροποποιήσεις σε μικρά χρονικά διαστήματα.

Τα αναγραφόμενα στην πολιτική ασφάλειας πρέπει να είναι δεσμευτικά για όλο το προσωπικό που χειρίζεται καθ’ οιονδήποτε τρόπο προσωπικά δεδομένα, ενώ επίσης πρέπει να είναι και σε συμφωνία με τη σχετική κείμενη νομοθεσία.