Privacy Policy

პერსონალურ მონაცემთა დამუშავების პოლიტიკა

ზოგადი ინფორმაცია მონაცემთა დამუშავების პოლიტიკის შესახებ

შპს „სელფ.ჯი“-ს (შემდგომ - ორგანიზაცია) პერსონალურ მონაცემთა დამუშავების პოლიტიკის (შემდგომ - პოლიტიკა) მიზანია, ხელი შეუწყოს ორგანიზაციის მიერ თქვენთვის მომსახურების შემოთავაზებისა ან/და მომსახურების გაწევის პროცესში, ასევე ორგანიზაციასთან ნებისმიერი ფორმით კომუნიკაციის პროცესში თქვენი/ადამიანური რესურსების მართვის ელექტრონულ სისტემაში (შემდგომ ,,სისტემა“) თქვენს მიერ ასახული პერსონალური მონაცემების (შემდგომ - მონაცემები) დამუშავების გამჭვირვალობას. ორგანიზაცია პატივს სცემს და იცავს ადამიანის ძირითად უფლებებსა და თავისუფლებებს, უზრუნველყოფს „პერსონალურ მონაცემთა დამუშავების შესახებ“ საქართველოს კანონით გათვალისწინებული პრინციპებისა და მონაცემთა სუბიექტის უფლებების დაცვას.

თქვენსა და ორგანიზაციას შორის სახელშეკრულებო ურთიერთობის წარმოშობის შემდეგ, ორგანიზაცია მოქმედებს როგორც თქვენი მონაცემების დამუშავებაზე უფლებამოსილი პირი, ხოლო ყველა სხვა ეტაპზე (მათ შორის წინასახელშეკრულებო ურთიერთობის ეტაპზე) ორგანიზაცია მოქმედებს როგორც მონაცემების დამუშავებისათვის პასუხიმგებელი პირი. ამასთან, მონაცემების დამუშავებაზე უფლებამოსილი პირის როლში, ორგანიზაცია თქვენს მიერ სისტემაში ასახულ მონაცემებს ამუშავებს მხოლოდ შენახვის გზით.

ორგანიზაცია თქვენს/სისტემაში თქვენს მიერ ასახული მონაცემებს ამუშავებს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის შესაბამისად, კონკრეტული, მკაფიოდ განსაზღვრული მიზნებითა და ამავე კანონით განსაზღვრული საფუძვლებით. ამასთან, ორგანიზაცია ამუშავებს მხოლოდ იმ მონაცემებს, რაც აუცილებელია თქვენთვის მომსახურების შემოთავაზების ან/და მომსახურების გაწევისათვის, თქვენთან კომუნიკაციის პროცესის განხორციელებისათვის, ორგანიზაციის კანონიერი მიზნების მისაღწევად.

პერსონალური მონაცემების დამუშავებისას, დაცულია „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით განსაზღვრული მონაცემთა დამუშავების ყველა პრინციპი. ჩვენ მაქსიმალურად ვიცავთ თქვენს მონაცემებს და ამისათვის დანერგილი გვაქვს სათანადო ორგანიზაციული და ტექნიკური უსაფრთხოების ზომები.

პოლიტიკაში გამოყენებულ ტერმინებს აქვთ „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით განსაზღვრული მნიშვნელობა.

რა სახის მონაცემებს ვამუშავებთ

ორგანიზაცია, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელი პირი

ჩვენ ვამუშავებთ მხოლოდ იმ მონაცემებს, რასაც თქვენ გვაწვდით ნებაყოფლობით, სათანადო ინფორმაციის მიღების შემდეგ, ორგანიზაციასთან კომუნიკაციის პროცესში, მათ შორის წინასახელშეკრულებო ურთიერთობის ეტაპზე ან/და ორგანიზაციის მიერ განხორციელებულ ღონისძიებაში მონაწილეობის ეტაპზე.

წინასახელშეკრულებო ურთიერთობის პროცესში, თქვენს მიერ არჩეული კომუნიკაციის შესაბამისი ფორმიდან გამომდინარე, თქვენი მონაცემები შესაძლოა დამუშავდეს ქვემოთ წარმოდგენილი ერთ-ერთი ან რამდენიმე ფორმით:

ელექტრონული ფორმით კომუნიკაციის შემთხვევაში - ორგანიზაციის ელექტრონული ფოსტების (info@self.ge, DPO@self.ge) ან/და ორგანიზაციის სოციალური ქსელების Facebook/ Instagram/Linkdin -ის საკომუნიკაციო პლატფორმების გამოყენებით;

სატელეფონო გზით, ორგანიზაციასთან ცხელი ხაზის სატელეფონო ნომერზე - 032 2 845 444 შემომავალი ზარის განხორცილების შემთხვევაში - აუდიომონიტორინგის გზით;

ორგანიზაციის ტერიტორიაზე (მის: თბილისი, ა. პოლიტკოვსკაიას ქ. #3, კორპ. 37) ფიზიკურად ვიზიტის შემთხვევაში - ვიდეომონიტორინგის გზით.

თქვენს მიერ არჩეული კომუნიკაციის ფორმ(ებ)იდან გამომდინარე, მუშავდება შემდეგი მონაცემები:

თქვენი ელექტრონული ფოსტის მისამართი;

თქვენი სოციალური ქსელების Facebook/ Instagram/Linkdin -ის მომხმარებლის სახელი და პროფილის ფოტოსურათი (არსებობის შემთხვევაში);

თქვენი ხმა;

თქვენი ვიდეოგამოსახულება;

თქვენს მიერ კომუნიკაციის პროცესში ნებაყოფლობით დაფიქსირებული ნებისმიერი სხვა მონაცემი.

ორგანიზაციის საქმიანობის პოპულარიზაციისა და ორგანიზაციის საქმიანობის შესახებ საზოგადოების ინფორმირების მიზნით, ორგანიზაციის ვებგვერდის (https://www.self.hr/ge) და სოციალური ქსელების Facebook/ Instagram/Linkdin-ის სარეკლამო მხარის ადმინისტრირებისათვის, თქვენი ნებაყოფლობითი და ინფორმირებული თანხმობის საფუძველზე, შესაძლოა დამუშავდეს:

თქვენი სახელი, გვარი, პოზიცია (საჭიროების შემთხვევაში);

თქვენი ფოტო ან/და ვიდეო გამოსახულება;

ინფორმაცია ორგანიზაციის მიერ განხორციელებულ ღონისძიებაში თქვენი მონაწილეობის შესახებ.

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი

ორგანიზაცია, მხოლოდ შენახვის გზით, ამუშავებს სისტემაში თქვენს მიერ ასახულ პერსონალური მონაცემებს. აღნიშნული მონაცემების ნუსხა განისაზღვრება, ,,პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 36-ე მუხლის შესაბამისად თქვენსა და ორგანიზაციას შორის დადებული შეთანხმების (შემდგომ - პერსონალური მონაცემების დამუშავების შესახებ შეთანხმება) დანართ(ებ)ით.

თქვენ, როგორც დამუშავებისათვის პასუხიმგებელ პირს უფლება გაქვთ სისტემაში დამატებით ასახოთ ნებისმიერი მონაცემი, რომლის დამუშავებაც საჭიროა თქვენი ლეგიტიმური მიზნის - ადამიანური რესურსების მართვის განხორციელებისათვის. ორგანიზაცია, როგორც დამუშავებაზე უფლებამოსილი პირი არ ამოწმებს რა ტიპის/კატეგორიის მონაცემებს ასახავს სისტემაში დამუშავებისათვის პასუხიმგებელი პირი და არ აფასებს სისტემაში ასახული მონაცემების კანონიერებას.

მონაცემთა დამუშავების მიზნები

ორგანიზაცია, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელი პირი

ორგანიზაციის ელექტრონული ფოსტებისა და სოციალური ქსელების Facebook/ Instagram/Linkdin-ის საკომუნიკაციო პლატფორმების გამოყენებით თქვენი მონაცემების დამუშავების მიზანია თქვენთან ეფექტიანი კომუნიკაციის წარმართვა ან/და თქვენი განცხადების განხილვა.

ორგანიზაციის ცხელი ხაზის სატელეფონო ნომერზე - 032 2 845 444 შემავალი და გამავალი ზარის აუდიომონიტორინგის მიზანია ორგანიზაციის მნიშვნელოვანი ლეგიტიმური ინტერესის სფეროსთვის მიკუთვნებული ამოცანები, რომელთა მიღწევა სხვა ალტერნატიული საშუალებებით ვერ განხორციელდება ან/და იგი ორგანიზაციისაგან მოითხოვს არაპროპორციულ ხარჯებს/ძალისხმევას.

ორგანიზაციის ტერიტორიაზე (მის: თბილისი, ა. პოლიტკოვსკაიას ქ. #3, კორპ. 37) განთავსებული ვიდეომონიტორინგის მიზანია ორგანიზაციაში დასაქმებულთა და ვიზიტორთა უსაფრთხოებისა და საკუთრების დაცვა, ასევე, ორგანიზაციის სხვა ლეგიტიმური ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესრულება, რომელთა მიღწევა სხვა ალტერნატიული საშუალებებით ვერ განხორციელდება ან/და იგი ორგანიზაციისაგან მოითხოვს არაპროპორციულ ხარჯებს/ძალისხმევას.

აუდიომონიტორინგისა და ვიდეომონიტორინგის განხორციელების გზით, თქვენი პერსონალური მონაცემების დამუშავებასთან დაკავშირებული სხვა საკითხები განსაზღვრულია ორგანიზაციის აუდიომონიტორინგისა და ვიდეომონიტორინგის შესახებ წესებით.

ორგანიზაციის ვებგვერდზე (https://www.self.hr/ge) და სოციალური ქსელების Facebook/ Instagram/ linkdin-ის გვერდ(ებ)ზე, თქვენივე თანხმობის საფუძველზე, თქვენი პერსონალური მონაცემების განთავსების მიზანია ორგანიზაციის საქმიანობის პოპულარიზაცია, ასევე ორგანიზაციის ვებგვერდისა და სოციალური ქსელების სარეკლამო მხარის ადმინისტრირება.

თქვენს მიერ თანხმობის გაცემის ეტაპზე, ხდება თქვენი ინფორმირება თანხმობის მიზნობრიობისა და გამოხმობის უფლების შესახებ.

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი

ორგანიზაციას, როგორც მონაცემების დამუშავებაზე უფლებამოსილ პირს არ აქვს სისტემაში ასახულ მონაცემებთან მიმართებით დამუშავების დამოუმკიდებელი მიზანი. აღნიშნული მიზანი/მიზნები ფიგურირებს მხოლოდ თქვენს მხარეს, როგორც მონაცემების დამუშავებისათვის პასუხიმგებელი პირის მიზნები და აისახება პერსონალური მონაცემების დამუშავების შესახებ შეთანხმებაში.

მონაცემთა დამუშავების საფუძვლები

ორგანიზაცია, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელი პირი

თქვენი მონაცემები მუშავდება „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით განსაზღვრული შესაბამისი კანონიერი საფუძვლით.

მონაცემთა დამუშავების საფუძვლებია:

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი

თქვენსა და ორგანიზაციას შორის დადებული პერსონალური მონაცემების დამუშავების შესახებ შეთანხმების დანართ(ებ)ით განსაზღვრული თქვენი თანამშრომლების პერსონალური მონაცემები, ორგანიზაციის მიერ მუშავდება ,,პერსონალურ მონაცემთა დამუშავების შესახებ“ კანონის 36-ე მუხლის შესაბამისად.

 მონაცემთა გადაცემა მესამე პირებისთვის

ორგანიზაცია, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელი პირი

ორგანიზაცია მონაცემების დამუშავების პროცესში სარგებლობს შპს „ვოიფონი“-ის მომსახურებით, მასთან გაფორმებული შესაბამისი ხელშეკრულების საფუძველზე. აღნიშნულ ურთიერთობაში მითითებული კომპანია წარმოადგენს დამუშავებაზე უფლებამოსილ პირს, ხოლო ორგანიზაცია - დამუშავებისთვის პასუხისმგებელ პირს. აღნიშნული კონტრაქტორი კომპანიის მიერ შესასრულებელი დავალების ხასიათის გათვალისწინებით, შესაბამისი მიზნობრიობითა და მოცულობით მათ დაშვება გააჩნიათ/შესაძლოა მიენიჭოთ თქვენს მონაცემებზე. კერძოდ, შპს „ვოიფონი“ ორგანიზაციისათვის უზრუნველყოფს სატელეფონო მომსახურების მიწოდებასა და მომსახურების ხარისხის გაუმჯობესების მიზნით სატელეფონო ზარების აუდიოჩაწერას.

ზემოაღნიშნული კომპანია ვალდებულია დაიცვას „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი და უზრუნველყოს მონაცემთა უსაფრთხოება. აღნიშნულ კომპანიასთან თანამშრომლობა ხდება მხოლოდ შესაბამისი წერილობითი შეთანხმების საფუძველზე, სადაც გათვალისწინებულია მონაცემთა დამუშავებისა და უსაფრთხოების საკითხები და მათ შორის ის, რომ დამუშავებაზე უფლებამოსილი პირი მონაცემებს ამუშავებს მხოლოდ ორგანიზაციის საქმიანობის მიზნებისთვის.

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი

პერსონალური მონაცემების დამუშავების თაობაზე შეთანხმების ხელმოწერის ეტაპზე, ამავე შეთანხმებაში ასახვის გზით, თქვენთვის ცნობილი ხდება იმ ქვე-კონტრაქტორების ვინაობა, რომელთა მომსახურებითაც სარგებლობს ორგანიზაცია თქვენთან ხელშეკრულების დადების მომენტისათვის, თქვენთან დადებული ხელშეკრულებით გათვალისწინებულ უფლება-მოვალეობების განსახორციელებლად.

მონაცემთა ნებისმიერი დამუშავების პროცესში ორგანიზაცია მესამე პირების/ქვეკონტრაქტორების რთავს მხოლოდ პასუხისმგებელი პირის წინასწარი წერილობითი თანხმობით და იმ პირობით, რომ ნებისმიერი ასეთი თანხმობის მიუხედავად, მონაცემების დამუშავებაზე უფლებამოსილი პირი არის პასუხისმგებელი ხელშეკრულებით განსაზღვრულ ყველა მოთხოვნასთან შესაბამისობისთვის, მათ შორის, მონაცემების დამუშავებასთან დაკავშირებით, გარდა იმ შემთხვევისა თუ საქართველოს კანონმდებლობით სხვა რამ არის დადგენილი.

მონაცემთა საერთაშორისო გადაცემა

ორგანიზაცია, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელი პირი და როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი

მონაცემთა დამუშავების ადგილია საქართველოს რესპუბლიკა და ორგანიზაცია არ იყენებს ისეთ ღრუბლოვან სერვისებს, რომელიც ითვალისწინებს მონაცემების საქართველოს რესპუბლიკის ფარგლებს გარეთ გადაცემას.

მონაცემების საერთაშორისო გადაცემის საჭიროების შემთხვევაში, ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი წერილობით აცნობებს პასუხისმგებელ პირს ასეთი აუცილებლობის შესახებ. ამ შემთხვევაში, მონაცემთა საერთაშორისო გადაცემა განხორციელდება „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის V თავით დადგენილი მოთხოვნების შესაბამისად.

მონაცემთა შენახვა

ორგანიზაცია, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელი პირი

მონაცემთა შენახვასთან დაკავშირებით, კანონმდებლობით დადგენილი კონკრეტული ვადის არარსებობის შემთხვევაში, მონაცემები ინახება მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავების შესაბამისი ლეგიტიმური მიზნის მისაღწევად. იმ მიზნის მიღწევის შემდეგ, რომლისთვისაც მუშავდება მონაცემები, იშლება, ნადგურდება ან ინახება დეპერსონალიზებული ფორმით. ამასთან, თანხმობის საფუძველზე შეგროვებული თქვენი მონაცემი ინახება თქვენი თანხმობის გამოთხოვამდე.

თქვენი მონაცემები ინახება შემდეგი ვადებით:

ვიდეომონიტორინგის პროცესში დამუშავებული მონაცემები - 30 კალენდარული დღის ვადით;

ორგანიზაციის ვებგვერდზე (https://www.self.hr/ge) და სოციალურ ქსელების გვერდებზე განთავსებული თქვენი მონაცემები - ორგანიზაციის მარკეტინგული სტრატეგიის საჭიროებიდან გამომდინარე ვადით, არაუმეტეს თქვენი თანხმობის გამოთხოვამდე;

სხვა მონაცემები - ორგანიზაციის ლეგიტიმური ინტერესის გათვალისწინებით, საჭიროებიდან გამომდინარე ვადით, რაც, მათ შორის შეიძლება იყოს თქვენთან დადებული ხელშეკრულების მოქმედების ვადა და აღნიშნული ვადის გასვლიდან არაუმეტეს 3 წელი.

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი

ორგანიზაცია თქვენს მიერ სისტემაში ასახულ მონაცემებს ინახავს თქვენთან დადებული ხელშეკრულების მოქმედების ვადით. აღნიშნული ვადის გასვლის შემდეგ, პერსონალურ მონაცემთა დამუშავების შესახებ შეთანხმებით დადგენილი წესითა და პირობებით სისტემაში არსებული მონაცემები (მათ შორის სარეზერვო ასლები) იშლება.

მონაცემთა უსაფრთხოება

ორგანიზაცია, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელი პირი

ორგანიზაციის ელექტრონულ ფოსტებზე და სოციალურ ქსელებში მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებულია შესაბამისი ორგანიზაციულ-ტექნიკური ზომები. მონაცემებზე წვდომის შეზღუდვა იმ მომხმარებლებით, რომელთა უშუალო ფუნქცია-მოვალეობებში შედის მონაცემთა დამუშავება. მონაცემთა ბაზაში დაცულ მონაცემებზე წვდომა შესაძლებელია მხოლოდ სამსახურებრივი კომპიუტერებიდან, წვდომაზე უფლებამოსილ ყველა პირს აქვს საკუთარი, განპიროვნებული მომხმარებლის სახელი და პაროლი.

ორგანიზაციას პროგრამებში (ვიდეო და აუდიო სისტემები) შესვლა და მონაცემთა ბაზაზე წვდომა მკაცრად შეზღუდულია როგორც ორგანიზაციაში, ისე მონაცემთა დამუშავებაზე უფლებამოსილ პირთან.

ელექტრონულ ბაზებში არსებული ყველა მონაცემის მიმართ განხორციელებული მოქმედება აღირიცხება (ლოგირების სისტემა).

მონაცემთა დამუშავებაზე უფლებამოსილ პირთან გაფორმებული წერილობითი შეთანხმება მოიცავს მონაცემთა უსაფრთხოებასთან დაკავშირებულ საკითხებს.

მატერიალური დოკუმენტები ინახება არავტორიზებულ პირთაგან დაცულ ადგილას და მასზე წვდომა მკაცრად შეზღუდულია.

ჩვენ ვერ ვიქნებით პასუხისმგებელი კიბერდამნაშავეებისა და სხვა დანაშაულებრივი ქმედებებით განპირობებული თქვენი პერსონალური მონაცემების სრულად ან ნაწილობრივ დაკარგვაზე.

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი იღებს ისეთი ორგანიზაციული და ტექნიკური ზომები, რომლებიც სათანადოდ უზრუნველყოფს მონაცემთა დაცვას, მათ შორის, უნებართვო ან უკანონო დამუშავებისგან, შემთხვევითი დაკარგვისგან, განადგურებისგან ან/და დაზიანებისგან, წაშლისგან, შეცვლისგან, გამჟღავნებისგან ან გამოყენებისგან.

მონაცემთა უსაფრთხოების უზრუნველსაყოფად აუცილებელი ორგანიზაციულ-ტექნიკური ზომების განსაზღვრისას გათვალისწინებულია მონაცემთა კატეგორიები, მოცულობა, მონაცემთა დამუშავების მიზანი, ფორმა, საშუალებები და მონაცემთა სუბიექტის უფლებების დარღვევის შესაძლო საფრთხეები, აგრეთვე პერიოდულად მაგრამ არანაკლებ 12 (თორმეტი) თვეში ერთხელ, ფასდება მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებული ტექნიკური და ორგანიზაციული ზომების ეფექტიანობა და საჭიროების შემთხვევაში, უზრუნველყოფილია მონაცემთა უსაფრთხოების დასაცავად ადეკვატური ზომების მიღება ან/და არსებულის განახლება, რათა პროცესი სრულ შესაბამისობაში იყოს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 27-ე მუხლის მოთხოვნებთან.

მონაცემთა სუბიექტის უფლებები

ორგანიზაცია, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელი პირი

თქვენ გაქვთ უფლება ნებისმიერ დროს, ყოველგვარი განმარტების ან დასაბუთების გარეშე გამოიხმოს მის მიერ გაცემული თანხმობა თქვენი მონაცემების ორგანიზაციის ვებ-გვერდზე/სოციალურ ქსელებში განთავსების შესახებ.

თანხმობის გამოთხოვა ხდება ისევე მარტივად, როგორც მისი გაცემა, ორგანიზაციისათვის ნებისმერი საკონომუნიკაციო არხით მიმართვის გზით.

მონაცემთა სუბიექტს ასევე, უფლება აქვს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის შესაბამისად და ამავე კანონით განსაზღვრულ შემთხვევებში, მიიღოს ინფორმაცია მისი მონაცემების დამუშავების შესახებ, მოითხოვოს მონაცემთა გაცნობა და ასლის მიღება, მოითხოვოს მონაცემთა განახლება, გასწორება ან შევსება, მოითხოვოს მონაცემთა დამუშავების შეწყვეტა ან მონაცემთა წაშლა თანხმობის გამოთხოვით, ასევე, მოითხოვოს მონაცემთა დაბლოკვა.

ორგანიზაცია უზრუნველყოფს რომ დაცული იყოს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის III თავით განსაზღვრული უფლებები, თუ არ არსებობს მათი რეალიზების, ამავე კანონით გათვალისწინებული შემზღუდავი გარემოება.

თქვენი უფლებების რეალიზების მიზნით, ასევე თქვენი მონაცემების დამუშავებასთან დაკავშირებით ნებისმიერი სახის კონსულტაციის საჭიროებისას, გთხოვთ დაუკავშირდეთ ჩვენს პერსონალურ მონაცემთა დაცვის ოფიცერს - DPO@self.ge.

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი, თქვენ, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელ პირს, რამდენადაც ეს შესაძლებელია, გაძლევთ ტექნიკური შესაძლებლობას და ამისათვის იღებს სათანადო ორგანიზაციულ და ტექნიკურ ზომებს, „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით გათვალისწინებული მონაცემთა სუბიექტების უფლებების ეფექტიანად აღსასრულებლად.

კერძოდ, ორგანიზაციის ტექნიკური თუ ინფორმაციული საშუალებები იძლევა მონაცემთა დამუშავების შესახებ ინფორმაციის მიღების, მონაცემთა გაცნობისა და ასლის მიღების უფლების, მონაცემთა გასწორების, განახლებისა და შევსების უფლების, მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების უფლებისა და მონაცემთა დაბლოკვის უფლების და „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით გათვალისწინებული მონაცემთა სუბიექტის სხვა უფლებების რეალიზების შესაძლებლობას.

მონაცემთა სუბიექტის უფლებების შეზღუდვა

ორგანიზაცია, როგორც მონაცემების დამუშავებისათვის პასუხისმგებელი პირი

„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით გათვალისწინებული, მონაცემთა სუბიექტის უფლებები შეიძლება შეიზღუდოს, თუ ეს პირდაპირ არის გათვალისწინებული საქართველოს კანონმდებლობით, ამით არ ირღვევა ადამიანის ძირითადი უფლებები და თავისუფლებები, აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში და ამ უფლებების განხორციელებამ შეიძლება საფრთხე შეუქმნას:

სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს;

საზოგადოებრივი უსაფრთხოების ინტერესებს;

დანაშაულის თავიდან აცილებას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ოპერატიულ-სამძებრო საქმიანობას;

ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს;

მონაცემთა სუბიექტის მიერ პროფესიული, მათ შორის, რეგულირებადი პროფესიის, ეთიკის ნორმების დარღვევის გამოვლენას და მისთვის პასუხისმგებლობის დაკისრებას;

მონაცემთა სუბიექტის ან/და სხვა პირების უფლებებსა და თავისუფლებებს, მათ შორის, გამოხატვის თავისუფლებას;

სახელმწიფო, კომერციული, პროფესიული და კანონით გათვალისწინებული სხვა სახის საიდუმლოებების დაცვას;

სამართლებრივი მოთხოვნის ან შესაგებლის დასაბუთებას.

მონაცემთა სუბიექტის უფლების შეზღუდვისათვის გათვალისწინებული ზომა შეიძლება გამოყენებულ იქნეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შეზღუდვის მიზნის მისაღწევად. ამასთან, უფლების შეზღუდვის საფუძვლების არსებობისას, ორგანიზაციას გადაწყვეტილება მონაცემთა სუბიექტს ეცნობება იმგვარად, რომ ზიანი არ მიადგეს უფლების შეზღუდვის მიზანს.

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი

ორგანიზაცია, როგორც მონაცემების დამუშავებაზე უფლებამოსილი პირი არ პასუხობს მონაცემთა სუბიექტების მოთხოვნებს, გარდა თქვენი შესაბამისი მითითებ(ებ)ის, ან კანონმდებლობით პირდაპირ გათვალისწინებული შემთხვევებისა. ამასთან, ჩვენ დაუყოვნებლივ, არაუგვიანეს შეტყობინების მიღებიდან 3 (სამი) სამუშაო დღის ვადაში გაცნობებთ, თუ ჩვენ მონაცემთა სუბიექტისგან მივიღებთ მოთხოვნას „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის III თავით გათვალისწინებული უფლებების რეალიზების შესახებ.

პოლიტიკის განახლება

მონაცემთა დამუშავებასთან დაკავშირებული ცალკეული საკითხების ცვლილების შემთხვევაში, პოლიტიკა ექვემდებარება საჭიროებისამებრ განახლებას.

დაგვიკავშირდით

თუკი გაქვთ შეკითხვები წინამდებარე კონფიდენციალურობის პოლიტიკისა თუ პერსონალური მონაცემების დაცვის ჩვენეულ პრაქტიკასთან დაკავშირებით, გთხოვთ, დაგვიკავშირდეთ ელექტრონული ფოსტით მისამართზე:

info@self.ge

ტელეფონის ნომერი: - 032 2 845 444

ორგანიზაციის პერსონალურ მონაცემთა დაცვის ოფიცერი - შპს ,,მონაცემთა დაცვის გუნდი”

 საკონტაქტო ინფორმაცია: DPO@self.ge

Personal Data Protection Officer: "Data Protection Team" LLC

Identification Code: 402303093

Information Information: info@dpt.ge

InfoSec Policy

ინფორმაციული უსაფრთხოების პოლიტიკა

შინაარსი

ორგანიზაციის მიზნების ეფექტიანად განხორციელებისთვის მნიშვნელოვანია ორგანიზაციის ინფორმაციული აქტივების უსაფრთხოების უზრუნველყოფა და სათანადო დონეზე დაცვა (კონფიდენციალობა, ხელმისაწვდომობა და მთლიანობა).

ინფორმაციული უსაფრთხოების პოლიტიკა აღწერს ინფორმაციული უსაფრთხოების მართვის სისტემის ფუნქციონირების ძირითად პრინციპებს ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, სტანდარტის და „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის შესაბამისად.

ტერმინთა განმარტება

ამ პოლიტიკის მიზნებისთვის მასში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ინფორმაციული უსაფრთხოება – საქმიანობა, რომელიც უზრუნველყოფს ინფორმაციისა და ინფორმაციული სისტემების წვდომის, ერთიანობის, ავთენთიფიკაციის, კონფიდენციალურობისა და განგრძობადი მუშაობის დაცვას;

ინფორმაციული აქტივი − ყველა ინფორმაცია და ცოდნა (კერძოდ, ინფორმაციის შენახვის, დამუშავებისა და გადაცემის ტექნოლოგიური საშუალებები, თანამშრომლები და მათი ცოდნა ინფორმაციის დამუშავების შესახებ), რომლებიც ღირებულია ორგანიზაციისათვის;

ინფორმაციული უსაფრთხოების მართვის სისტემა - მართვის სისტემის ნაწილი, რომელიც დაფუძნებულია ბიზნესის რისკებისადმი მიდგომაზე, რათა შესაძლებელი გახდეს ინფორმაციული უსაფრთხოების დანერგვა, ფუნქციონირება, მონიტორინგი, განხილვა, მხარდაჭერა და გაუმჯობესება;

ხელმისაწვდომობა - ავტორიზებული სუბიექტის მოთხოვნის შესაბამისად აქტივზე წვდომის და გამოყენების მახასიათებელი;

კონფიდენციალობა - აქტივის მახასიათებელი, რომლის თანახმადაც აქტივი ხელმისაწვდომია მხოლოდ ავტორიზებული ინდივიდების, სუბიექტებისა ან პროცესებისათვის;

მთლიანობა - აქტივის სიზუსტის და სისრულის მახასიათებელი;

ორგანიზაცია - შპს სელფ.ჯი;

რისკის ანალიზი - ინფორმაციის სისტემური გამოყენება რისკის წარმოშობის წყაროსა და მისი შეფასების დასადგენად;

რისკების მართვა - ორგანიზაციის მართვისა და კონტროლისათვის საჭირო კოორდინირებული ქმედებების განხორციელება რისკების გათვალისწინებით;

რისკების მოპყრობა - რისკის შეცვლისათვის შეფასების საზომების შერჩევისა და მათი დანერგვის პროცესი;

პასუხისმგებელი პირი - აქტივთან, რისკთან ან სხვა მიმართებაში პასუხისმგებელ პირად შეიძლება განისაზღვროს როგორც კონკრეტული როლი და პირი, ასევე სტრუქტურული ერთეული.

ინფორმაციული უსაფრთხოების პოლიტიკის მიზანი

ინფორმაციული უსაფრთხოების პოლიტიკის მიზანია ორგანიზაციაში ინფორმაციული უსაფრთხოების უზრუნველყოფისთვის საჭირო ძირითადი პრინციპებისა და მიდგომების განსაზღვრა;

 პოლიტიკის მოქმედების სფერო

ინფორმაციული უსაფრთხოების პოლიტიკა ვრცელდება ორგანიზაციის:

ყველა თანამშრომელზე;

ყველა ბიზნეს პროცესზე (ძირითად და მხარდამჭერ პროცესებზე);

ყველა ტიპის ინფორმაციულ აქტივზე;

მესამე პირებზე, რომელთაც წვდომა აქვთ ორგანიზაციის ინფორმაციულ აქტივებზე ან მონაწილეობენ მათ დამუშავებაში.

მოქმედების სფეროს დაზუსტებულია ინფორმაციული უსაფრთხოების მართვის სისტემის გავრცელების სფეროს დოკუმენტში.

პასუხისმგებლობები

მოცემული პოლიტიკა განსაზღვრავს პირებს და ერთეულებს, რომლებიც განახორციელებენ ინფორმაციული უსაფრთხოების მართვას და მის კონტროლს.

მენეჯმენტის ვალდებულებები:

ორგანიზაციის მენეჯმენტი უზრუნველყოფს მართვის სისტემის და მისი გავრცელების სფეროში მოქცეული პროცესებისა და სტრუქტურული ერთეულების მხარდასაჭერად საჭირო ადამიანური, ფინანსური და ტექნიკური რესურსების ხელმისაწვდომობას.

ორგანიზაციის მენეჯმენტი უზრუნველყოფს, რომ განხორციელდება ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტირება, გავრცელების ფარგლების დადგენა, დაგეგმვა, იმპლემენტაცია, მონიტორინგი და მუდმივი გაუმჯობესება.

ორგანიზაციის თანამშრომლები, სტაჟიორები და მესამე მხარის წარმომადგენლები ვალდებულები არიან შეასრულოს ინფორმაციული უსაფრთხოების პოლიტიკიდან გამომდინარე მოთხოვნები და ინფორმაციული უსაფრთხოების შემჩნეული შეუსაბამობების შესახებ, დაუყოვნებლივ შეატყობინოს ინფორმაციული უსაფრთხოების სამუშაო ჯგუფს.

ინფორმაციული უსაფრთხოების საბჭო

ორგანიზაცია ქმნის ინფორმაციული უსაფრთხოების საბჭოს, რომლის მიზანია ინფორმაციული უსაფრთხოების მართვის სისტემის ეფექტიანი ფუნქციონირება, შესაბამისობა და ადეკვატურობა.

ინფორმაციული უსაფრთხოების საბჭოს მიზანი, ამოცანები ფუნქციები, საბჭოს შემადგენლობა, საბჭოს რეგლამენტი და ორგანიზაციულ-ტექნიკური მხარდაჭერის დეტალები ასახულია საბჭოს დებულებაში.

ინფორმაციული უსაფრთხოების ოფიცერი

ინფორმაციული უსაფრთხოების ოფიცერი ანგარიშვალდებულია ინფორმაციული უსაფრთხოების საბჭოსთან;

ინფორმაციული უსაფრთხოების ოფიცრის ვალდებულებები და ფუნქციები მოიცავს, მაგრამ არ შემოიფარგლება შემდეგით:

ინფორმაციული უსაფრთხოების პოლიტიკის მოთხოვნების შესრულების ყოველდღიური მონიტორინგი;

ინფორმაციული აქტივებისა და მათი წვდომის აღწერა;

ინფორმაციული უსაფრთხოების პოლიტიკის შინაუწყებრივი დოკუმენტაციის მომზადება;

ინფორმაციული უსაფრთხოების ინციდენტების შესახებ ინფორმაციის შეგროვება და მათზე რეაგირების მონიტორინგი;

ინფორმაციული უსაფრთხოების საკითხებზე ანგარიშგება და სხვა სახის ადმინისტრაციული/საორგანიზაციო საქმიანობა;

ინფორმაციული უსაფრთხოების ზოგადი და დარგობრივი ტრენინგების ორგანიზება და ჩატარება;

სხვა მოვალეობები, რომლებსაც განსაზღვრავს ორგანიზაციის ხელმძღვანელი.

მესამე მხარეები

მესამე მხარე (მათ შორის კონტრაქტორი ორგანიზაციის წარმომადგენელი, მომწოდებელი ორგანიზაციის უფლებამოსილი პირი), რომელსაც ექნება წვდომა ორგანიზაციის კუთვნილ ინფორმაციულ აქტივზე ან/და მიიღებს მონაწილეობას მათ დამუშავებაში, ვალდებულია გაეცნოს ორგანიზაციის ინფორმაციული უსაფრთხოების პოლიტიკას და შეასრულოს პოლიტიკის რეგულაციები.

აქტივების მართვა

ორგანიზაცია უზრუნველყოფს ინფორმაციული აქტივების იდენტიფიკაციას და კლასიფიკაციას, ასევე მათი შეცვლისა და განადგურების წესების დადგენას.

ინფორმაციული აქტივების იდენტიფიცირებისა და კლასიფიკაციის წესები განსაზღვრულია ინფორმაციული აქტივების იდენტიფიცირებისა და კლასიფიკაციის მეთოდოლოგიაში;

რისკების მართვა

ორგანიზაციის ინფორმაციული უსაფრთხოების მართვის სისტემა დაფუძნებულია ინფორმაციული უსაფრთხოების რისკების მართვის პროცესზე, რომლის ფარგლებში ორგანიზაცია:

განსაზღვრავს ინფორმაციული უსაფრთხოების რისკების იდენტიფიცირებისა და შეფასების მიდგომებს;

გამოავლენს ინფორმაციული უსაფრთხოების რისკებს და გაანალიზებს მათ გავლენას და ჩაატარებს რისკების ანალიზს;

რისკების მოპყრობის მიზნით შეარჩევს საჭირო კონტროლის მექანიზმებს და განსაზღვრავს მისაღები რისკის დონეს;

მოამზადებს რისკების მოპყრობის გეგმას.

რისკების მართვის პროცესის დეტალები მოცემულია რისკების იდენტიფიცირებისა და შეფასების მეთოდოლოგიაში.

კომპანია ითვალისწინებს იმ გარემოებას, რომ კლიმატის ცვლილება წარმოადგენს ახალ მნიშვნელოვან გარე ფაქტორს, რომელსაც შეუძლია გავლენა მოახდინოს აქტივის უსაფრთხოებაზე, ხელმისაწვდომობასა და მთლიანობაზე. ახორციელებს კლიმატის ცვლილებასთან დაკავშირებული რისკების მუდმივ მონიტორინგს და ასახავს შედეგებს კლიმატური ცვლილების გავლენის ახალი მონაცემებისა და პროგნოზების გათვალისწინებით.

კონტროლის მექანიზმების გამოყენებადობის განაცხადი

ინფორმაციის უსაფრთხოების ოფიცერი მოამზადებს კონტროლის მექანიზმების გამოყენებადობის განაცხადს, რომელიც შეიცავს:

ინფორმაციული უსაფრთხოების მოთხოვნებისთვის შერჩეულ კონტროლის მექანიზმებს, ასევე მათი შერჩევის დასაბუთებას;

ორგანიზაციაში უკვე დანერგილ კონტროლის მექანიზმებს;

უარყოფილი (კონტროლის მექანიზმები, რომლის გამოყენებაც არ მოხდა) კონტროლების კონტროლის მექანიზმების ჩამონათვალს, ასევე გამორიცხვის დასაბუთებას.

 ორგანიზაცია უზრუნველყოფს კონტროლის მექანიზმების მიზნების მიღწევას, რაც გულისხმობს ეფექტურობისა და რესურსების განაწილებას, ასევე საჭირო როლებისა და პასუხისმგებლობების განსაზღვრას.

ინფორმაციული უსაფრთხოების მართვის სისტემის მიზნების მისაღწევად ორგანიზაცია:

დანერგავს შერჩეულ კონტროლის მექანიზმებს;

განახორციელებს ISO/IEC 27017:2015-ის მიხედვით ღრუბლოვანი სერვისების ფარგლებში მომხმარებლების უსაფრთხოებისთვის შესაბამისი გარემოს იზოლირების და ანგარიშების სასიცოცხლო ციკლის მართვისათვის შესაბამისი კონტროლის მექანიზმების დანერგვას.

განახორციელებს ISO/IEC 27018:2019-ის მიხედვით პერსონალური იდენტიფიცირებადი ინფორმაციის (PII) დაცვის ღონისძიებებს ISO/IEC 29100-ის კონფიდენციალურობის პრინციპების შესაბამისად საჯარო ღრუბლოვანი გამოთვლითი გარემოსთვის.

კონტროლის მექანიზმების დანერგვის შემდგომ აწარმოებს მათზე დაკვირვებას;

გაანალიზებს დაკვირვების შედეგებს და საჭიროების შემთხვევაში განსაზღრავს სამოქმედო გეგმას.

უზრუნველყოფს ღრუბლოვანი სერვისების მიწოდებისა და მხარდაჭერის პროცესში ინფორმაციული უსაფრთხოების მოთხოვნების მუდმივ შესაბამისობას, მათ შორის კონტროლის მექანიზმების, მომსახურების პირობებისა და დაცვის ზომების რეგულარულ გადახედვასა და განახლებას ISO/IEC 27017:2015-ისა და ISO/IEC 27018:2019-ის სტანდარტების შესაბამისად.

დაგეგმილი პერიოდულობით განახორციელებს ღრუბლოვანი გარემოსათვის სპეციფიკური რისკების შეფასებას, მათ შორის მომწოდებლის უსაფრთხოების შესაძლებლობების გადამოწმებასა და შეფასებას;

უზრუნველყოფს ღრუბლოვანი სერვისების ადმინისტრირებაში ჩართული პერსონალის შესაბამის მომზადებას უსაფრთხოების პრაქტიკებისა და რეგულაციების დაცვის მიზნით.

ცნობიერების ამაღლება და კომპეტენციების განვითარება

ორგანიზაცია შეიმუშავებს და განახორციელებს ინფორმაციული უსაფრთხოების ცნობიერების ამაღლების პროგრამებს, ასევე მუდმივად იზრუნებს თანამშრომელთა კომპეტენციების განვითარებაზე.

ორგანიზაციის მიდგომები ცნობიერების ამაღლებაზე და კომპეტენციების განვითარების მიმართულებით ორგანიზაცია:

განსაზღვრავს ინფორმაციული უსაფრთხოების მართვის სისტემის გავრცელების ფარგლებში მოქცეული თანამშრომლების საჭირო ცოდნის დონეს;

ჩაატარებს ტრენინგებს და სხვადასხვა აქტივობებს ინფორმაციული უსაფრთხოების მოთხოვნების დასაკმაყოფილებლად;

აწარმოებს ჩანაწერებს სწავლების, ტრენინგის, უნარ-ჩვევების, გამოცდილების და კომპეტენციის შესახებ;

შეაფასებს პერსონალის ცოდნის და ცნობიერების დონეს ინფორმაციული უსაფრთხოების მიმართყლებით.

ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტების მართვა

 ორგანიზაცია იზრუნებს ინფორმაციული უსაფრთხოების მართვის სისტემის დოკუმენტაციის (ელექტრონული ფორმით) უახლესი ვერსიის ხელმისაწვდომობას ყველა დაინტერესებული პირისთვის, ასევე უზრუნველყოფს მართვის სისტემის დოკუმენტაციის სათანადოდ დაცვასა და კონტროლს.

ორგანიზაცია ინფორმაციული უსაფრთხოების მართვის სისტემის ფარგლებში აწარმოებს სათანადო ჩანაწერებს, უზრუნველყოფს მათ მხარდაჭერას, დაცვას და კონტროლს მართვის სისტემის მოთხოვნების შესაბამისად, დეტალური ინფორმაცია მოცემულია დოკუმენტების კონტროლის პროცედურაში.

ინფორმაციული უსაფრთხოების ინციდენტების მართვა

ორგანიზაცია უზრუნველყოფს ინფორმაციული უსაფრთხოების ინციდენტების მართვის პროცესის ეფექტიან განხორციელებას;

ინფორმაციული უსაფრთხოების ყველა ინციდენტი აღირიცხება და მუშავდება დადგენილი წესის შესაბამისად.

ინფორმაციული უსაფრთხოების ინციდენტების მართვის პროცესი მოიცავს ინციდენტის იდენტიფიცირების, რეაგირების, ჩანაწერების შეგროვების, აღმოფხვრის, განხილვის და ცოდნის გაზიარების ეტაპებს.

ორგანიზაცია უზრუნველყოფს ინციდენტების შესახებ დაინტერესებულ მხარეებთან კომუნიკაციას წინასწარ შეთანხმებული წესების შესბამისად.

ბიზნეს უწყვეტობის მართვა

ორგანიზაცია შეიმუშავებს უწყვეტობის გეგმებს, რომელიც საშუალებას მისცემს ორგანიზაცის კატასტროფის დროს აღადგინოს ყველა საჭირო სერვისი დროის მოკლე მონაკვეთში.

ინფორმაციული უსაფრთხოების მართვის სისტემის მიზნებისთვის, ორგანიზაცია განსაზღვრავს ინფორმაციული უსაფრთხოებისა უწყვეტობის კრიტერიუმებს, როლებს და პასუხისმგებლობებს, პროცედურებს მსხვილი ინციდენტის დადგომისას და სერვისის ხელმისაწვდომობის სამიზნე მაჩვენებლებს;

ინფორმაციული უსაფრთხოების მართვის სისტემის შიდა აუდიტი

ორგანიზაცია დადგენილი პერიოდულობით ჩაატარებს ინფორმაციული უსაფრთხოების მართვის სისტემის აუდიტს და დაადგენს სისტემის შესაბამისობას:

სტანდარტის მოთხოვნებთან;

ორგანიზაციის ინფორმაციული უსაფრთხოების მიზნებთან;

გამოვლენილი შეუსაბამობების აღმოსაფხვრელად, ორგანიზაცია მოამზადებს გეგმას და უზრუნველყოფს აღმოფხვრის პროცესის ეფექტიან განხორციელებას.

ინფორმაციულ სისტემაში შეღწევადობის ტესტირება

ორგანიზაცია დადგენილი პერიოდულობით ჩაატარებს ინფორმაციული სისტემების შეღწევადობის ტესტირებას, რომელიც მიზნად ისახავს სისტემებში არსებული არასწორი კონფიგურაციის/სისუსტეების გამოვლენას;

ტესტირების შედეგად გამოვლენილი სისუსტეების აღმოსაფხვრელად ორგანიზაცია მოამზადებს სამოქმედო გეგმას და უზრუნველყოფს აღმოფხვრის პროცესის ეფექტიან განხორციელებას.

კომუნიკაცია

ინფორმაციული უსაფრთხოების პოლიტიკის ხელმისაწვდომობა უზრუნველყოფილია ყველა დაინტერესებული მხარისათვის, პოლიტიკის ხელმისაწვდომობასა და ცვლილებების შესახებ დაინტერესებულ მხარეებს ეცნობება წინასწარ დადგენილი ფორმით.

ორგანიზაციის პოლიტიკასთან ან უსაფრთხოების სხვა საკითხებთან დაკავშირებით შიდა და გარე დაინტერესებული მხარეების შეტყობინებაზე პასუხისმგებელია ორგანიზაციის ინფორმაციული უსაფრთხოების მენეჯერი.

მუდმივი გაუმჯობესება

ორგანიზაცია პერიოდულად განიხილავს იუმს-ის ეფექტიანობას (მათ შორის, იუმს პოლიტიკის და მიზნების, უსაფრთხოების კონტროლის მექანიზმების მიმოხილვას). პერიოდული მიმოხილვის დროს ორგანიზაცია გაითვალისწინებს ინფორმაციული უსაფრთხოების აუდიტის შედეგებს, ინციდენტებს, ეფექტიანობის გაზომვის შედეგებს და დაინტერესებული მხარეებისგან მიღებულ შემოთავაზებებსა და უკუკავშირს.

ინფორმაციული უსაფრთხოების მენეჯერი, ინფორმაციული უსაფრთოხების საბჭო და ინფორმაციული უსაფრთოხების უზრუნველყოფაში ჩართული ყველა რგოლი მუდმივად მუშაობს მართვის სისტემისა და უსაფრთოხების გაუმჯობესებაზე შემდეგი ძირითადი მეთოდების საშუალებით:

საკვანძო პარამეტრების დადგენა, მისი მონიტორინგი და შესრულების კონტროლი;

ინფორმაციული უსაფრთხოების მართვის სისტემის და პროცესების პერიოდული (დაგეგმილი) აუდიტი ინფორმაციული უსაფრთხოების კანონის მოთხოვნების შესაბამისად;

დადგენილი პერიოდულობით რისკების შეფასების ჩატარება და შედეგების მიხედვით შესაბამისი სამშოების გატარება;

პოლიტიკის გადახედვის გეგმა

პოლიტიკის განახლებას, მუდმივ სრულყოფას და მის შესაბამისობას ორგანიზაციის მიზნებსა და ამოცანებთან უზრუნველყოფს ინფორმაციული უსაფრთხოების ოფიცერი;

პოლიტიკა უნდა გადაიხედოს არანაკლებ წელიწადში ერთხელ, ასევე ორგანიზაციაში განხორციელებული მნიშვნელოვანი ცვლილებების შემდგომ.

დაკავშირებული დოკუმენტები

ინფორმაციული უსაფრთხოების პოლიტიკა დაკავშირებულია შემდეგ დოკუმენტებთან:

ინფორმაციული უსაფრთხოების გავრცელების სფეროს დოკუმენტი;

ინფორმაციული უსაფრთხოების საბჭოს დებულება;

ორგანიზაციული კონტექსტის დოკუმენტი.