Ligne directrice sur la sécurité de l'information
1. Préambule
La capacité de production et la performance de Capita dépendent en grande partie de la disponibilité et de la qualité des services informatiques. De nombreux processus d'affaires sont désormais basés sur les technologies de l'information et sont reliés entre eux dans le cadre d'une future gestion intégrée de l'information (GII). La « sécurité des technologies de l'information » n'est pas seulement une condition préalable à l'accomplissement des tâches de Capita, elle revêt également une grande valeur stratégique. La sécurité informatique est un élément essentiel pour agir de manière responsable dans le domaine numérique.
L'infrastructure des technologies de l'information est de plus en plus exposée à des risques importants. C'est pourquoi Capita accorde une priorité absolue à la garantie de mesures de protection optimisées des services et systèmes informatiques impliqués.
La directive sur la sécurité de l'information de Capita décrit le processus de sécurité de l'information et sert de base à un concept de sécurité informatique uniforme. Les mesures qui en découlent doivent garantir une sécurité maximale dans le domaine des technologies de l'information.
Ces dispositions de sécurité constituent la condition indispensable à la mise en œuvre de la protection des données à respecter et servent les directives de nos donneurs d'ordre. C'est pourquoi toutes les mesures de ce type doivent être garanties lors du traitement des données à caractère personnel - et la plupart du temps, elles sont également exigées par la loi. Une mise en œuvre réussie du processus de sécurité de l'information suppose des structures de responsabilité réglementées ainsi que le soutien de tous les collaborateurs et collaboratrices de Capita.
Afin d'assurer la pérennité de la sécurité de l'information, un cadre général est formulé dans la présente ligne directrice. L'objectif est d'assurer une protection adéquate des infrastructures, systèmes, applications et informations potentiellement critiques.
2. Champ d'application
La ligne directrice sur la sécurité de l'information et les documents qui s'y rapportent
- Concept de sécurité informatique ISP
ainsi que
- Concept de protection des données
s'appliquent à tous les collaborateurs et collaboratrices de Capita. Les partenaires contractuels qui fournissent des services dans le domaine des technologies de l'information et de la communication sont tenus de respecter les exigences mentionnées ci-dessous.
3. Classification
Le niveau de sécurité de l'information de Capita est globalement classé comme « élevé ».
Cette classification est due au fait que toutes les fonctions et tâches essentielles sont soutenues par la technologie de l'information et qu'une défaillance des systèmes d'information ne doit pas entraver l'exécution des tâches.
En tant que centre de service à la clientèle, Capita traite également des données qui nécessitent une protection accrue en matière de confidentialité et d'accès non autorisé (traitement des données de commande).
4. Objectifs
Au sein de Capita, la ligne directrice sur la sécurité de l'information constitue le document stratégique de base sur la sécurité de l'information pour les processus d'entreprise basés sur les technologies de l'information. La sécurité de l'information fait partie intégrante et essentielle de toute activité de service et d'administration et doit donc toujours être prise en compte. Elle sert à préserver les propriétés de base suivantes pour le stockage et l'utilisation des informations et des flux de données.
Confidentialité
Les informations ou les fonctions ne doivent être accessibles qu'aux personnes autorisées.
Intégrité
L'intégrité des informations doit être garantie à tout moment. Les informations doivent être correctes et complètes, les fonctions doivent fournir des résultats corrects.
Disponibilité
L'utilisation d'informations ou de fonctions doit être possible pour le cercle de personnes autorisé dans le délai requis et avec la qualité requise.
Authenticité
L'authenticité, la fiabilité et l'imputabilité d'une information ou d'une fonction doivent être garanties et vérifiables à tout moment.
Caractère obligatoire
Tout traitement d'informations doit être clairement compréhensible et clairement prouvable (ou non « contestable ») et donc révisable.
Responsabilité
Tous les collaborateurs sont tenus de protéger toutes les informations relatives à l'entreprise et aux clients, afin d'éviter que des dommages ne soient causés par une utilisation non autorisée des données.
5. Responsabilité
La responsabilité globale de la sécurité de l'information incombe à la direction de Capita.
Elle est assumée par le responsable de la sécurité informatique. Cela signifie notamment l'obligation de créer et de rendre obligatoire le niveau de protection approprié en fonction de la teneur et de la valeur ainsi que de la menace potentielle d'une information.
Le responsable de la sécurité informatique doit être impliqué très tôt dans tous les projets afin de prendre en compte les aspects liés à la sécurité dès la phase de planification. Si des données personnelles sont concernées, il en va de même pour le délégué à la protection des données.
6. Amélioration continue
La direction de l'entreprise soutient le respect et l'amélioration du niveau de sécurité. Les collaborateurs sont tenus d'informer immédiatement les domaines de responsabilité internes de l'entreprise des points faibles identifiés à cet égard et sont en outre priés de contacter leurs supérieurs directs en cas de suggestions d'optimisation.
Le niveau de sécurité et de protection des données visé est garanti par une révision continue des règles et leur respect systématique. Les écarts sont immédiatement analysés dans le but d'améliorer la situation en matière de sécurité et de la maintenir en permanence à la pointe de la technique de protection informatique.
.