Tietoturvapolitiikka

Tässä selosteessa kuvataan Foodwest Oy:n tietoturvapolitiikkaa.

1. TIETOTURVAPOLITIIKKA
Tietoturva ja yksityisyyden suoja ovat tärkeitä tekijöitä menestyksemme kannalta. Keskeisenä tavoitteenamme on sellaisten tietoturva- ja tietosuojahäiriöiden estäminen mitkä koskevat yhtiömme, asiakkaidemme ja sidosryhmiemme tietojen luottamuksellisuutta ja eheyttä sekä elintarvikkeiden valmistuksen turvallisuutta ja jatkuvuutta. Tämä asiakirja on tietoturvapolitiikkamme ulkoinen versio, mikä jaetaan asiakkaiden, toimittajien, kumppaneiden ja muiden sidosryhmien kanssa. Haluamme varmistaa, että verkostomme toimijat ymmärtävät tavoitteemme ja oman roolinsa sekä vastuunsa käsittelemiensä tietojen suojaamisessa.


2. TIETOTURVALLISUUDEN HALLINTA JA VASTUUT
Hallintajärjestelmämme perustuu toimintaamme soveltuen ISO/IEC 27001 standardiin. Tietoturvallisuuden hallinta on vastuutettu ja resursoitu vastaamaan tietoturvallisuudelle asetettuja tavoitetta. Jokaisen yhtiössä työskentelevän vastuulla on huolehtia tietoturvallisista menettelyistä, ohjeiden noudattamisesta sekä poikkeamien havainnoista ja raportoinnista omien työtehtäviensä ja käytössään olevan tieto- ja muun omaisuuden osalta. Kaikkien toimijoiden vastuulla on toimia sopimusten ja sovittujen käytänteiden mukaisesti. Tämän tietoturvapolitiikan tavoitteiden ja vaatimusten vastainen toiminta katsotaan sekä työ- että sopimussuhteissa sopimuksen rikkomiseksi, joka oikeuttaa sopimuksilla määriteltyihin sopimussanktioihin.


3. SALASSAPITO JA TIETOJEN KÄSITTELY
Sovimme osapuolten kesken salassapidosta kulloinkin soveltuvin menetelmin ja sopimuksin. Edellytämme kumppaniemme viestivän henkilöstölleen ja verkostolleen salassapidon velvoitteista sekä noudattavan toiminnassaan lakisääteisiä vaatimuksia kuten tietosuoja-asetusta. Oma henkilöstömme on sitoutunut salassapitoon ja perehdytetty tietoturvapolitiikan velvoitteisiin. Käytössämme on prosessi, millä hallitsemme käyttövaltuuksia ja tietoihin pääsyä varmistaaksemme niiden luottamuksellisuuden. Luokittelemme tiedot ja noudatamme luokitusta tietojen käsittelyssä.


4. RISKIENHALLINTA JA SUOJAUSKEINOT
Arvioimme tietoriskejä säännöllisesti riskienhallintaprosessimme mukaisesti. Valitut suojauskeinot perustuvat arvioituihin riskeihin ja pyrimme jatkuvan parantamisen keinoin turvallisuustason nousujohteiseen kehitykseen. Tietoteknisen turvallisuuden keinoja hyödynnetään tietojen suojaamiseksi useassa tasossa. Käytämme vahvoja salasanoja, monimenetelmäistä todennusta ja tarveperusteisia käyttövaltuuksia. Päätelaitteemme on suojattu salauksella ja edistyneellä tietoturvaohjelmistolla. Varmistamme verkkojemme turvallisuuden palomuureilla ja muilla teknisillä turvatoimilla. Kirjautumisia ja järjestelmien käyttöä seurataan lokituksella ja aktiivisella valvonnalla. Tietojärjestelmiä valvotaan haavoittuvuuksien varalta, ja havaittujen haavoittuvuuksien korjaamiseksi toteutetaan asianmukaiset toimet. Tietoja sisältävät laitteet ja palvelimet ovat lukituissa tiloissa ja vain nimetyt henkilöt voivat käyttää niitä. Paperiaineistot säilytetään lukituissa tiloissa