Στόχος της παρούσας Πολιτικής Ασφάλειας είναι η λήψη μέτρων και η τήρηση διαδικασιών προκειμένου να εξασφαλίζεται η αδιάλειπτη και εύρυθμη λειτουργία του πληροφοριακού συστήματος του Δικηγορικού Γραφείου καθώς και η μεγιστοποίηση της διαθεσιμότητας των προσφερόμενων υπηρεσιών. Παράλληλα, διασφαλίζεται η προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένους χρήστες, καθώς και η προστασία του πληροφοριακού συστήματος από κακόβουλο λογισμικό και κυβερνοεπιθέσεις.
Α. Ορισμός Το Πληροφοριακό Σύστημα (ΠΣ) του Δικηγορικού μας Γραφείου αποτελείται από το σύνολο του υλικού Τεχνολογίας Πληροφοριών και Επικοινωνιών (ΤΠΕ), του λογισμικού και της πληροφορίας που χρησιμοποιεί το Γραφείο κατά τη λειτουργία του. Η Πολιτική Ασφάλειας είναι το σύνολο των βασικών αρχών και κανόνων που καθορίζουν τον τρόπο, με τον οποίο το Γραφείο προστατεύει και διαχειρίζεται το Πληροφοριακό του Σύστημα, έτσι ώστε να επιτυγχάνει συγκεκριμένους στόχους ασφάλειας.
Β. Εμβέλεια της Πολιτικής Ασφάλειας Η Πολιτική Ασφάλειας αφορά στα παρακάτω: B.1 Το σύνολο πληροφοριών που συλλέγονται, αποθηκεύονται και χρησιμοποιούνται από το Πληροφοριακό Σύστημα του Γραφείου. B.2 Το σύνολο υλικού και λογισμικού, το οποίο χρησιμοποιείται για τη διαχείριση αυτών των πληροφοριών. B.3 Το προσωπικό του Γραφείου, δικηγόρους, υπαλλήλους με κάθε είδους σχέση εργασίας και εξωτερικούς συνεργάτες, οι οποίοι εμπλέκονται στη διαχείριση των πληροφοριών του Πληροφοριακού Συστήματος.
Γ. Πολιτική Εφαρμογής Κανόνων Ασφάλειας Γ.1 Η ακολουθούμενη Πολιτική Ασφάλειας είναι έγγραφη. Επιπλέον, συμμορφώνεται με τη νομοθεσία που αφορά στη χρήση ΠΣ, τη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, και μέσω αυτής εφαρμόζονται οι αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών. Γ.2 Το Δικηγορικό Γραφείο φροντίζει για την ενημέρωση των χρηστών του ΠΣ σχετικά με το κείμενο της Πολιτικής Ασφάλειας και για την διαθεσιμότητά του σε αυτούς. Επιπλέον, φροντίζει για την ευαισθητοποίηση κι ενημέρωση του Προσωπικού του, το οποίο κάνει χρήση του ΠΣ, για θέματα ασφάλειας. Γ.3 Στο πλαίσιο των υποχρεώσεών του, το Γραφείο πραγματοποιεί ελέγχους και εξετάζει πιθανά σενάρια για την εμφάνιση νέων ευπαθειών. Σε περίπτωση που παρουσιάζονται νέες ευπάθειες, που μπορεί να θέσουν σε κίνδυνο την ομαλή λειτουργία του Πληροφοριακού Συστήματος, η Πολιτική Ασφάλειας θα αναθεωρείται. Επίσης, το Γραφείο οφείλει και έχει το δικαίωμα να κάνει ελέγχους για την τήρηση της Πολιτικής Ασφάλειας από το Προσωπικό. Γ.4 Σε περιπτώσεις που οι υπάλληλοι του Γραφείου χρειάζεται να πάρουν μια απόφαση, η οποία ενδέχεται να επηρεάσει την ασφάλεια του ΠΣ του Γραφείου, συμβουλεύονται το κείμενο της παρούσας Πολιτικής Ασφάλειας και τον ιδιοκτήτη του Γραφείου. Γ.5 Η τήρηση της πολιτικής ασφάλειας είναι υποχρεωτική τόσο για το Προσωπικό όσο και για τους συνεργάτες του Γραφείου.
Δ. Πολιτική ορθής χρήσης Πληροφοριακού Συστήματος (ΠΣ) Δ.1 Γενικές αρχές Δ.1.1 Οι χρήστες χρησιμοποιούν το ΠΣ του Γραφείου για τους σκοπούς του Γραφείου και σύμφωνα με τα όσα ορίζονται στην ισχύουσα Πολιτική Ασφάλειας. Δ.1.2 Δεν επιτρέπεται στους χρήστες να προβαίνουν σε ενέργειες που παρακάμπτουν τα μέτρα που έχουν ληφθεί για την ασφάλεια του ΠΣ. Δ.1.3 Σε περιπτώσεις που είναι απαραίτητη η χρήση υλικού που δεν ανήκει στο Γραφείου, για πραγματοποίηση εργασιών του Γραφείου, εφαρμόζονται τα κατάλληλα μέτρα που εγγυώνται την ασφάλεια του ΠΣ. Δ.2 Λογαριασμοί και κωδικοί πρόσβασης στο ΠΣ Δ.2.1 Οι χρησιμοποιούμενοι κωδικοί πρόσβασης είναι ισχυροί και αλλάζουν περιοδικά (κάθε 6 μήνες). Δ.2.2 Οι χρήστες δεν επιτρέπεται να χρησιμοποιούν λογαριασμούς των συναδέλφων τους, για να εισέλθουν στις εφαρμογές και τους δικτυακούς πόρους του Γραφείου. Δ.2.3 Δεν επιτρέπεται στους χρήστες να κοινοποιούν τους προαναφερθέντες κωδικούς πρόσβασής τους σε τρίτους, ακόμα κι αν πρόκειται να απουσιάσουν. Δ.2.4 Δεν επιτρέπεται στους χρήστες να αφήνουν τους κωδικούς πρόσβασής τους εκτεθειμένους, προκειμένου να μην είναι προσβάσιμοι σε τρίτους. Δ.2.5 Σε περίπτωση που οι χρήστες αντιληφθούν ή υποψιάζονται ότι έχουν διαρρεύσει οι κωδικοί πρόσβασής τους α) ενημερώνουν τον επικεφαλής του Γραφείου για το συμβάν, και β) προβαίνουν σε αλλαγή του κωδικού πρόσβασης είτε μόνοι τους, είτε ζητώντας τη βοήθεια του διαχειριστή του ΠΣ. Δ.3 Πρόσβαση στο διαδίκτυο Δ.3.1 Οι χρήστες χρησιμοποιούν το διαδίκτυο για τους σκοπούς της εργασίας τους. Δ.3.2 Το Γραφείο έχει το δικαίωμα να απαγορεύσει την πρόσβαση σε συγκεκριμένους ιστοτόπους του διαδικτύου. Δ.3.3 Οι χρήστες, οι οποίοι χρειάζονται πρόσβαση σε κάποιον από τους ιστοτόπους στους οποίους δεν επιτρέπεται η πρόσβαση, απευθύνονται στον ιδιοκτήτη του Γραφείου και στον διαχειριστή του ΠΣ, προκειμένου να εξεταστεί αν υπάρχει δυνατότητα εξαίρεσης της πολιτικής απαγόρευσης. Δ.3.4 Δεν επιτρέπεται στους χρήστες να επισκέπτονται ιστοτόπους με παράνομο ή μη πρέπον λογισμικό / περιεχόμενο. Δ.4 Χρήση ηλεκτρονικού ταχυδρομείου Δ.4.1 Οι λογαριασμοί ηλεκτρονικού ταχυδρομείου είναι αυστηρά προσωπικοί. Δ.4.2 Δεν επιτρέπεται στους χρήστες να χρησιμοποιούν λογαριασμούς ηλεκτρονικού ταχυδρομείου άλλων χρηστών. Δ.4.3 Σε περιπτώσεις που απαιτείται η δημιουργία λογαριασμού ηλεκτρονικού ταχυδρομείου με περισσότερους από έναν χρήστες, ειδοποιείται ο διαχειριστής του ΠΣ, ο οποίος δημιουργεί το σχετικό λογαριασμό και διαχειρίζεται τους χρήστες. Δ.4.4 Δεν επιτρέπεται η εκούσια αποστολή μηνυμάτων spam ή μηνυμάτων με βλαβερό περιεχόμενο. Δ.4.5 Οι χρήστες είναι ιδιαίτερα προσεκτικοί, όταν ανοίγουν μηνύματα ηλεκτρονικού ταχυδρομείου ή συνημμένα αρχεία, από άγνωστους αποστολείς ή με μη αναμενόμενο θέμα. Σε περίπτωση που αντιληφθούν ή υποψιαστούν ότι ένα μήνυμα είναι βλαβερό, ειδοποιούν τον διαχειριστή του ΠΣ προτού το ανοίξουν. Δ.4.6 Δεν επιτρέπεται στους χρήστες να χρησιμοποιούν συστήματα ηλεκτρονικού ταχυδρομείου άλλων παρόχων, εκτός του συστήματος του Γραφείου, για τη διακίνηση υπηρεσιακής ηλεκτρονικής αλληλογραφίας.
Ε. Χρήση του ΠΣ του Γραφείου από συνεργάτες Ε.1 Οι συνεργάτες του Γραφείου γνωρίζουν την ισχύουσα Πολιτική Ασφάλειας και συμμορφώνουν τις πράξεις τους με αυτή, ενώ οι ενέργειές τους σε καμία περίπτωση δε θέτουν σε κίνδυνο την ασφάλεια του ΠΣ. Ε.2 Δεν επιτρέπεται στους συνεργάτες του Γραφείου να αποκαλύπτουν πληροφορίες σχετικά με δεδομένα του Γραφείου ή προσωπικά δεδομένα χρηστών στα οποία απέκτησαν πρόσβαση κατά τη διάρκεια των εργασιών τους. Ε.3 Τα άτομα τα οποία πραγματοποιούν εργασίες στο ΠΣ του Γραφείου, εκ μέρους των συνεργατών του Γραφείου, καθώς και οι ώρες έναρξης και λήξης των εργασιών καταγράφονται. Σε περιπτώσεις που απαιτείται η διενέργεια εργασιών μέσω απομακρυσμένης πρόσβασης, καταγράφονται οι ενέργειες του συνεργάτη. Ε.4 Η πρόσβαση των συνεργατών σε χώρους, όπου φυλάσσεται ευαίσθητος εξοπλισμός, γίνεται με τη συνοδεία στελεχών του Γραφείου. Ε.5 Η πρόσβαση των συνεργατών στο ΠΣ του Γραφείου, διαρκεί μόνο για το διάστημα εκτέλεσης των εργασιών, ενώ τα δικαιώματα πρόσβασης αυτών, είναι τα ελάχιστα δυνατά, ήτοι τα απολύτως απαραίτητα για την εκτέλεση των εργασιών τους.
ΣΤ. Ασφάλεια εγκαταστάσεων κι εξοπλισμού ΠΣ του Γραφείου ΣΤ.1 Οι εξυπηρετητές βρίσκονται τοποθετημένοι σε ειδικό χώρο, στον οποίο εξασφαλίζεται ελεγχόμενη φυσική πρόσβαση και στον οποίο επικρατούν συνθήκες που εξασφαλίζουν την ομαλή λειτουργία του εξοπλισμού. ΣΤ.2 Ο χώρος εξυπηρετητών διατηρείται κλειδωμένος και πρόσβαση σε αυτόν παρέχεται μόνο στους έχοντες εργασία κι αποκλειστικά γι’ αυτόν το λόγο. ΣΤ.3 Οι εξυπηρετητές και ο ζωτικής σημασίας δικτυακός εξοπλισμός υποστηρίζονται από συσκευές αδιάλειπτης παροχής ηλεκτρικού ρεύματος. ΣΤ.4 Εξοπλισμός ο οποίος βρίσκεται τοποθετημένος σε διάφορα σημεία του κτιρίου του Γραφείου, εκτός χώρου εξυπηρετητών (π.χ. τηλεφωνικό κέντρο, δικτυακός εξοπλισμός, συσκευές αδιάλειπτης παροχής ρεύματος), όπως και τμήμα ενδεχόμενης καλωδίωσης, είναι τοποθετημένος μέσα σε ειδικούς φωριαμούς.
Ζ. Ασφάλεια Δικτύου Ζ.1 Η λειτουργία του δικτύου παρακολουθείται, έτσι ώστε να μπορούν να εντοπιστούν ασυνήθιστες καταστάσεις. Ζ.2 Οι IP διευθύνσεις των εσωτερικών συσκευών του δικτύου, δεν είναι ανιχνεύσιμες από εξωτερικά δίκτυα.
Η. Ασφάλεια Λογισμικού & Δεδομένων του Γραφείου Η.1 Χρησιμοποιείται λογισμικό το οποίο δεν εκθέτει σε κίνδυνο το ΠΣ. Η.2 Υπάρχει πολιτική λήψης αντιγράφων ασφαλείας της κατάστασης των εξυπηρετητών (φυσικών & virtual), καθώς και των δεδομένων που είναι αποθηκευμένα στους εξυπηρετητές. Η.3 Το σύνολο του εξοπλισμού προστατεύεται από λογισμικό αντιμετώπισης κακόβουλου λογισμικού. Η βάση δεδομένων αυτού τηρείται συνεχώς ενημερωμένη.
Θ. Πολιτική Ελέγχου Πρόσβασης Θ.1 Η πρόσβαση στο εσωτερικό δίκτυο του Γραφείου γίνεται μέσω κατάλληλου εξυπηρετητή. Θ.2 Κάθε χρήστης έχει τα ελάχιστα δικαιώματα πρόσβασης στους κοινόχρηστους πόρους - φακέλους, τα οποία είναι απαραίτητα για την εκτέλεση της εργασίας του. Θ.3 Τα δικαιώματα πρόσβασης στο ΠΣ του Γραφείου που παρέχονται σε κάθε χρήστη τηρούνται καταγεγραμμένα σε σχετικό κατάλογο, αλλά παράλληλα μπορούν να εξαχθούν από το ΠΣ, μέσω άλλων διαδικασιών. Θ.4 Σε κρίσιμες, τουλάχιστον, εφαρμογές είναι δυνατός ο εντοπισμός του ατόμου, το οποίο πραγματοποίησε μια ενέργεια / μεταβολή.
Ι. Πολιτική ανάκαμψης από καταστροφές ή σοβαρές βλάβες Ι.1 Το Γραφείο λαμβάνει όλα τα απαραίτητα μέτρα για την αποκατάσταση της λειτουργικότητας / επαναφορά του υλικού το οποίο είναι ζωτικής σημασίας για τη λειτουργία του ΠΣ, όπως εξυπηρετητές ή δικτυακός εξοπλισμός. Ενδεικτικά μέτρα που έχουν ληφθεί είναι η ύπαρξη εφεδρικού εξοπλισμού, όπου απαιτείται, και η σύναψη σύμβασης για συντήρηση ή και αντικατάσταση του υλικού μετά από βλάβη. Ι.2 Το Γραφείο φροντίζει για την ύπαρξη συστημάτων τα οποία κρατούν αντίγραφα ασφαλείας, ώστε να μπορεί να γίνει ανάκτηση των δεδομένων / πληροφορίας. Ι.3 Το Γραφείο διαθέτει εφεδρικούς τρόπους δικτυακής πρόσβασης σε περίπτωση βλάβης του βασικού δικτύου.
ΙΑ. Πολιτική προστασίας προσωπικών δεδομένων ΙΑ.1 Το Γραφείο πρέπει να συμμορφώνεται με τη νομοθεσία για την προστασία των προσωπικών δεδομένων και το απόρρητο των επικοινωνιών. ΙΑ.2 Το Γραφείο επεξεργάζεται προσωπικά δεδομένα του Προσωπικού, μόνο για λόγους που συνδέονται με την εργασία του. ΙΑ.3 Το Γραφείο προβαίνει σε συλλογή και τήρηση προσωπικών δεδομένων, μόνο στις περιπτώσεις που είναι απαραίτητο για την εκπλήρωση των υποχρεώσεών του και σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ). Πρόσβαση σε αυτά έχουν μόνο όσοι υπάλληλοι είναι απαραίτητο και επιτρέπεται να τα χρησιμοποιούν μόνο για τους σκοπούς της εργασίας τους. Τα αρχεία με προσωπικά δεδομένα ειδικών κατηγοριών που τηρούνται σε κοινόχρηστους φακέλους έχουν αυξημένο επίπεδο ασφάλειας (π.χ. κρυπτογράφηση, εφόσον ο μορφότυπός τους το επιτρέπει). ΙΑ.4 Τα υποκείμενα των δεδομένων έχουν πρόσβαση στις πληροφορίες που τους αφορούν. Ταυτόχρονα είναι σε θέση να ασκήσουν τα λοιπά δικαιώματά τους, σύμφωνα με το ΓΚΠΔ. ΙΑ.5 Σε περίπτωση παραβίασης της ασφάλειας προσωπικών δεδομένων, εφαρμόζονται οι διαδικασίες που προβλέπονται στον ΓΚΠΔ.
Στόχος της παρούσας Πολιτικής Ασφάλειας είναι η λήψη μέτρων και η τήρηση διαδικασιών προκειμένου να εξασφαλίζεται η αδιάλειπτη και εύρυθμη λειτουργία του πληροφοριακού συστήματος του Δικηγορικού Γραφείου καθώς και η μεγιστοποίηση της διαθεσιμότητας των προσφερόμενων υπηρεσιών. Παράλληλα, διασφαλίζεται η προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένους χρήστες, καθώς και η προστασία του πληροφοριακού συστήματος από κακόβουλο λογισμικό και κυβερνοεπιθέσεις.
Α. Ορισμός
Το Πληροφοριακό Σύστημα (ΠΣ) του Δικηγορικού μας Γραφείου αποτελείται από το σύνολο του υλικού Τεχνολογίας Πληροφοριών και Επικοινωνιών (ΤΠΕ), του λογισμικού και της πληροφορίας που χρησιμοποιεί το Γραφείο κατά τη λειτουργία του. Η Πολιτική Ασφάλειας είναι το σύνολο των βασικών αρχών και κανόνων που καθορίζουν τον τρόπο, με τον οποίο το Γραφείο προστατεύει και διαχειρίζεται το Πληροφοριακό του Σύστημα, έτσι ώστε να επιτυγχάνει συγκεκριμένους στόχους ασφάλειας.
Β. Εμβέλεια της Πολιτικής Ασφάλειας
Η Πολιτική Ασφάλειας αφορά στα παρακάτω:
B.1 Το σύνολο πληροφοριών που συλλέγονται, αποθηκεύονται και χρησιμοποιούνται από το Πληροφοριακό Σύστημα του Γραφείου.
B.2 Το σύνολο υλικού και λογισμικού, το οποίο χρησιμοποιείται για τη διαχείριση αυτών των πληροφοριών.
B.3 Το προσωπικό του Γραφείου, δικηγόρους, υπαλλήλους με κάθε είδους σχέση εργασίας και εξωτερικούς συνεργάτες, οι οποίοι εμπλέκονται στη διαχείριση των πληροφοριών του Πληροφοριακού Συστήματος.
Γ. Πολιτική Εφαρμογής Κανόνων Ασφάλειας
Γ.1 Η ακολουθούμενη Πολιτική Ασφάλειας είναι έγγραφη. Επιπλέον, συμμορφώνεται με τη νομοθεσία που αφορά στη χρήση ΠΣ, τη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, και μέσω αυτής εφαρμόζονται οι αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών.
Γ.2 Το Δικηγορικό Γραφείο φροντίζει για την ενημέρωση των χρηστών του ΠΣ σχετικά με το κείμενο της Πολιτικής Ασφάλειας και για την διαθεσιμότητά του σε αυτούς. Επιπλέον, φροντίζει για την ευαισθητοποίηση κι ενημέρωση του Προσωπικού του, το οποίο κάνει χρήση του ΠΣ, για θέματα ασφάλειας.
Γ.3 Στο πλαίσιο των υποχρεώσεών του, το Γραφείο πραγματοποιεί ελέγχους και εξετάζει πιθανά σενάρια για την εμφάνιση νέων ευπαθειών. Σε περίπτωση που παρουσιάζονται νέες ευπάθειες, που μπορεί να θέσουν σε κίνδυνο την ομαλή λειτουργία του Πληροφοριακού Συστήματος, η Πολιτική Ασφάλειας θα αναθεωρείται. Επίσης, το Γραφείο οφείλει και έχει το δικαίωμα να κάνει ελέγχους για την τήρηση της Πολιτικής Ασφάλειας από το Προσωπικό.
Γ.4 Σε περιπτώσεις που οι υπάλληλοι του Γραφείου χρειάζεται να πάρουν μια απόφαση, η οποία ενδέχεται να επηρεάσει την ασφάλεια του ΠΣ του Γραφείου, συμβουλεύονται το κείμενο της παρούσας Πολιτικής Ασφάλειας και τον ιδιοκτήτη του Γραφείου.
Γ.5 Η τήρηση της πολιτικής ασφάλειας είναι υποχρεωτική τόσο για το Προσωπικό όσο και για τους συνεργάτες του Γραφείου.
Δ. Πολιτική ορθής χρήσης Πληροφοριακού Συστήματος (ΠΣ)
Δ.1 Γενικές αρχές
Δ.1.1 Οι χρήστες χρησιμοποιούν το ΠΣ του Γραφείου για τους σκοπούς του Γραφείου και σύμφωνα με τα όσα ορίζονται στην ισχύουσα Πολιτική Ασφάλειας.
Δ.1.2 Δεν επιτρέπεται στους χρήστες να προβαίνουν σε ενέργειες που παρακάμπτουν τα μέτρα που έχουν ληφθεί για την ασφάλεια του ΠΣ.
Δ.1.3 Σε περιπτώσεις που είναι απαραίτητη η χρήση υλικού που δεν ανήκει στο Γραφείου, για πραγματοποίηση εργασιών του Γραφείου, εφαρμόζονται τα κατάλληλα μέτρα που εγγυώνται την ασφάλεια του ΠΣ.
Δ.2 Λογαριασμοί και κωδικοί πρόσβασης στο ΠΣ
Δ.2.1 Οι χρησιμοποιούμενοι κωδικοί πρόσβασης είναι ισχυροί και αλλάζουν περιοδικά (κάθε 6 μήνες).
Δ.2.2 Οι χρήστες δεν επιτρέπεται να χρησιμοποιούν λογαριασμούς των συναδέλφων τους, για να εισέλθουν στις εφαρμογές και τους δικτυακούς πόρους του Γραφείου.
Δ.2.3 Δεν επιτρέπεται στους χρήστες να κοινοποιούν τους προαναφερθέντες κωδικούς πρόσβασής τους σε τρίτους, ακόμα κι αν πρόκειται να απουσιάσουν.
Δ.2.4 Δεν επιτρέπεται στους χρήστες να αφήνουν τους κωδικούς πρόσβασής τους εκτεθειμένους, προκειμένου να μην είναι προσβάσιμοι σε τρίτους.
Δ.2.5 Σε περίπτωση που οι χρήστες αντιληφθούν ή υποψιάζονται ότι έχουν διαρρεύσει οι κωδικοί πρόσβασής τους α) ενημερώνουν τον επικεφαλής του Γραφείου για το συμβάν, και β) προβαίνουν σε αλλαγή του κωδικού πρόσβασης είτε μόνοι τους, είτε ζητώντας τη βοήθεια του διαχειριστή του ΠΣ.
Δ.3 Πρόσβαση στο διαδίκτυο
Δ.3.1 Οι χρήστες χρησιμοποιούν το διαδίκτυο για τους σκοπούς της εργασίας τους.
Δ.3.2 Το Γραφείο έχει το δικαίωμα να απαγορεύσει την πρόσβαση σε συγκεκριμένους ιστοτόπους του διαδικτύου.
Δ.3.3 Οι χρήστες, οι οποίοι χρειάζονται πρόσβαση σε κάποιον από τους ιστοτόπους στους οποίους δεν επιτρέπεται η πρόσβαση, απευθύνονται στον ιδιοκτήτη του Γραφείου και στον διαχειριστή του ΠΣ, προκειμένου να εξεταστεί αν υπάρχει δυνατότητα εξαίρεσης της πολιτικής απαγόρευσης.
Δ.3.4 Δεν επιτρέπεται στους χρήστες να επισκέπτονται ιστοτόπους με παράνομο ή μη πρέπον λογισμικό / περιεχόμενο.
Δ.4 Χρήση ηλεκτρονικού ταχυδρομείου
Δ.4.1 Οι λογαριασμοί ηλεκτρονικού ταχυδρομείου είναι αυστηρά προσωπικοί.
Δ.4.2 Δεν επιτρέπεται στους χρήστες να χρησιμοποιούν λογαριασμούς ηλεκτρονικού ταχυδρομείου άλλων χρηστών.
Δ.4.3 Σε περιπτώσεις που απαιτείται η δημιουργία λογαριασμού ηλεκτρονικού ταχυδρομείου με περισσότερους από έναν χρήστες, ειδοποιείται ο διαχειριστής του ΠΣ, ο οποίος δημιουργεί το σχετικό λογαριασμό και διαχειρίζεται τους χρήστες.
Δ.4.4 Δεν επιτρέπεται η εκούσια αποστολή μηνυμάτων spam ή μηνυμάτων με βλαβερό περιεχόμενο.
Δ.4.5 Οι χρήστες είναι ιδιαίτερα προσεκτικοί, όταν ανοίγουν μηνύματα ηλεκτρονικού ταχυδρομείου ή συνημμένα αρχεία, από άγνωστους αποστολείς ή με μη αναμενόμενο θέμα. Σε περίπτωση που αντιληφθούν ή υποψιαστούν ότι ένα μήνυμα είναι βλαβερό, ειδοποιούν τον διαχειριστή του ΠΣ προτού το ανοίξουν.
Δ.4.6 Δεν επιτρέπεται στους χρήστες να χρησιμοποιούν συστήματα ηλεκτρονικού ταχυδρομείου άλλων παρόχων, εκτός του συστήματος του Γραφείου, για τη διακίνηση υπηρεσιακής ηλεκτρονικής αλληλογραφίας.
Ε. Χρήση του ΠΣ του Γραφείου από συνεργάτες
Ε.1 Οι συνεργάτες του Γραφείου γνωρίζουν την ισχύουσα Πολιτική Ασφάλειας και συμμορφώνουν τις πράξεις τους με αυτή, ενώ οι ενέργειές τους σε καμία περίπτωση δε θέτουν σε κίνδυνο την ασφάλεια του ΠΣ.
Ε.2 Δεν επιτρέπεται στους συνεργάτες του Γραφείου να αποκαλύπτουν πληροφορίες σχετικά με δεδομένα του Γραφείου ή προσωπικά δεδομένα χρηστών στα οποία απέκτησαν πρόσβαση κατά τη διάρκεια των εργασιών τους.
Ε.3 Τα άτομα τα οποία πραγματοποιούν εργασίες στο ΠΣ του Γραφείου, εκ μέρους των συνεργατών του Γραφείου, καθώς και οι ώρες έναρξης και λήξης των εργασιών καταγράφονται. Σε περιπτώσεις που απαιτείται η διενέργεια εργασιών μέσω απομακρυσμένης πρόσβασης, καταγράφονται οι ενέργειες του συνεργάτη.
Ε.4 Η πρόσβαση των συνεργατών σε χώρους, όπου φυλάσσεται ευαίσθητος εξοπλισμός, γίνεται με τη συνοδεία στελεχών του Γραφείου.
Ε.5 Η πρόσβαση των συνεργατών στο ΠΣ του Γραφείου, διαρκεί μόνο για το διάστημα εκτέλεσης των εργασιών, ενώ τα δικαιώματα πρόσβασης αυτών, είναι τα ελάχιστα δυνατά, ήτοι τα απολύτως απαραίτητα για την εκτέλεση των εργασιών τους.
ΣΤ. Ασφάλεια εγκαταστάσεων κι εξοπλισμού ΠΣ του Γραφείου
ΣΤ.1 Οι εξυπηρετητές βρίσκονται τοποθετημένοι σε ειδικό χώρο, στον οποίο εξασφαλίζεται ελεγχόμενη φυσική πρόσβαση και στον οποίο επικρατούν συνθήκες που εξασφαλίζουν την ομαλή λειτουργία του εξοπλισμού.
ΣΤ.2 Ο χώρος εξυπηρετητών διατηρείται κλειδωμένος και πρόσβαση σε αυτόν παρέχεται μόνο στους έχοντες εργασία κι αποκλειστικά γι’ αυτόν το λόγο.
ΣΤ.3 Οι εξυπηρετητές και ο ζωτικής σημασίας δικτυακός εξοπλισμός υποστηρίζονται από συσκευές αδιάλειπτης παροχής ηλεκτρικού ρεύματος.
ΣΤ.4 Εξοπλισμός ο οποίος βρίσκεται τοποθετημένος σε διάφορα σημεία του κτιρίου του Γραφείου, εκτός χώρου εξυπηρετητών (π.χ. τηλεφωνικό κέντρο, δικτυακός εξοπλισμός, συσκευές αδιάλειπτης παροχής ρεύματος), όπως και τμήμα ενδεχόμενης καλωδίωσης, είναι τοποθετημένος μέσα σε ειδικούς φωριαμούς.
Ζ. Ασφάλεια Δικτύου
Ζ.1 Η λειτουργία του δικτύου παρακολουθείται, έτσι ώστε να μπορούν να εντοπιστούν ασυνήθιστες καταστάσεις.
Ζ.2 Οι IP διευθύνσεις των εσωτερικών συσκευών του δικτύου, δεν είναι ανιχνεύσιμες από εξωτερικά δίκτυα.
Η. Ασφάλεια Λογισμικού & Δεδομένων του Γραφείου
Η.1 Χρησιμοποιείται λογισμικό το οποίο δεν εκθέτει σε κίνδυνο το ΠΣ.
Η.2 Υπάρχει πολιτική λήψης αντιγράφων ασφαλείας της κατάστασης των εξυπηρετητών (φυσικών & virtual), καθώς και των δεδομένων που είναι αποθηκευμένα στους εξυπηρετητές.
Η.3 Το σύνολο του εξοπλισμού προστατεύεται από λογισμικό αντιμετώπισης κακόβουλου λογισμικού. Η βάση δεδομένων αυτού τηρείται συνεχώς ενημερωμένη.
Θ. Πολιτική Ελέγχου Πρόσβασης
Θ.1 Η πρόσβαση στο εσωτερικό δίκτυο του Γραφείου γίνεται μέσω κατάλληλου εξυπηρετητή.
Θ.2 Κάθε χρήστης έχει τα ελάχιστα δικαιώματα πρόσβασης στους κοινόχρηστους πόρους - φακέλους, τα οποία είναι απαραίτητα για την εκτέλεση της εργασίας του.
Θ.3 Τα δικαιώματα πρόσβασης στο ΠΣ του Γραφείου που παρέχονται σε κάθε χρήστη τηρούνται καταγεγραμμένα σε σχετικό κατάλογο, αλλά παράλληλα μπορούν να εξαχθούν από το ΠΣ, μέσω άλλων διαδικασιών.
Θ.4 Σε κρίσιμες, τουλάχιστον, εφαρμογές είναι δυνατός ο εντοπισμός του ατόμου, το οποίο πραγματοποίησε μια ενέργεια / μεταβολή.
Ι. Πολιτική ανάκαμψης από καταστροφές ή σοβαρές βλάβες
Ι.1 Το Γραφείο λαμβάνει όλα τα απαραίτητα μέτρα για την αποκατάσταση της λειτουργικότητας / επαναφορά του υλικού το οποίο είναι ζωτικής σημασίας για τη λειτουργία του ΠΣ, όπως εξυπηρετητές ή δικτυακός εξοπλισμός. Ενδεικτικά μέτρα που έχουν ληφθεί είναι η ύπαρξη εφεδρικού εξοπλισμού, όπου απαιτείται, και η σύναψη σύμβασης για συντήρηση ή και αντικατάσταση του υλικού μετά από βλάβη.
Ι.2 Το Γραφείο φροντίζει για την ύπαρξη συστημάτων τα οποία κρατούν αντίγραφα ασφαλείας, ώστε να μπορεί να γίνει ανάκτηση των δεδομένων / πληροφορίας.
Ι.3 Το Γραφείο διαθέτει εφεδρικούς τρόπους δικτυακής πρόσβασης σε περίπτωση βλάβης του βασικού δικτύου.
ΙΑ. Πολιτική προστασίας προσωπικών δεδομένων
ΙΑ.1 Το Γραφείο πρέπει να συμμορφώνεται με τη νομοθεσία για την προστασία των προσωπικών δεδομένων και το απόρρητο των επικοινωνιών.
ΙΑ.2 Το Γραφείο επεξεργάζεται προσωπικά δεδομένα του Προσωπικού, μόνο για λόγους που συνδέονται με την εργασία του.
ΙΑ.3 Το Γραφείο προβαίνει σε συλλογή και τήρηση προσωπικών δεδομένων, μόνο στις περιπτώσεις που είναι απαραίτητο για την εκπλήρωση των υποχρεώσεών του και σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ). Πρόσβαση σε αυτά έχουν μόνο όσοι υπάλληλοι είναι απαραίτητο και επιτρέπεται να τα χρησιμοποιούν μόνο για τους σκοπούς της εργασίας τους. Τα αρχεία με προσωπικά δεδομένα ειδικών κατηγοριών που τηρούνται σε κοινόχρηστους φακέλους έχουν αυξημένο επίπεδο ασφάλειας (π.χ. κρυπτογράφηση, εφόσον ο μορφότυπός τους το επιτρέπει).
ΙΑ.4 Τα υποκείμενα των δεδομένων έχουν πρόσβαση στις πληροφορίες που τους αφορούν. Ταυτόχρονα είναι σε θέση να ασκήσουν τα λοιπά δικαιώματά τους, σύμφωνα με το ΓΚΠΔ.
ΙΑ.5 Σε περίπτωση παραβίασης της ασφάλειας προσωπικών δεδομένων, εφαρμόζονται οι διαδικασίες που προβλέπονται στον ΓΚΠΔ.