1. Informacija yra viena vertingiausių valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro (toliau – ŽŪIKVC) turto dalių, todėl jos praradimas, neteisėtas pakeitimas ar atskleidimas, sugadinimas ar informacijos apdorojimo nutraukimas gali sukelti ŽŪIKVC veiklos sutrikimų, padaryti žalos kitiems fiziniams ir juridiniams asmenims. Atsižvelgiant į tai ŽŪIKVC yra keliami reikalavimai informacijos saugumui.
2. Reikalavimai ŽŪIKVC informacijos saugumui nustatomi:
2.1. vadovaujantis šių suinteresuotų šalių keliamais reikalavimais ir lūkesčiais, išreikštais:
2.1.1. Europos Sąjungos ir Lietuvos Respublikos teisės aktuose, reglamentuojančiuose informacijos saugą;
2.1.2. duomenų teikimo, paslaugų teikimo ir kitokio pobūdžio sutartyse;
2.1.3. išoriniais ir vidiniais informacijos keitimosi būdais (raštai, tarnybiniai pranešimai, el. laiškai, intranetas, posėdžiai ir pan.);
2.2. vadovaujantis ŽŪIKVC veiklos tikslais ir veiklos reikalavimais;
2.3. vertinant ŽŪIKVC informacijos saugumo riziką.
3. ŽŪIKVC informacijos saugumo reikalavimų įgyvendinimas užtikrinamas ir valdomas nuosekliai planuojant, įgyvendinant, vertinant ir tobulinant informacijos saugumo valdymo sistemą (toliau – ISVS), vadovaujantis Lietuvos standarto ISO/IEC 27001:2013 reikalavimais.
4. ISVS tikslas – apsaugoti visą ŽŪIKVC gaunamą, siunčiamą, kuriamą, valdomą ir naudojamą žodinę, rašytinę ir elektroninę informaciją nuo visų galimų grėsmių: išorinių, vidinių, tyčinių ar atsitiktinių, galinčių turėti įtakos ŽŪIKVC vykdomai veiklai ir įvaizdžiui.
5. ISVS taikoma:
5.1. visuose ŽŪIKVC veiklos procesuose ir visiems struktūriniams padaliniams;
5.2. visai ŽŪIKVC informacijai (nepriklausomai nuo jos formos ir saugojimo būdo);
5.3. visiems ŽŪIKVC darbuotojams, fiziniams ir juridiniams asmenims ir jų atstovams, kuriems teisės aktų ir (ar) sutartinių santykių pagrindu yra suteikta prieiga prie ŽŪIKVC informacijos ar informacijos apdorojimo priemonių teisės aktuose ar sutartyje numatytoms funkcijoms (teisėms) atlikti;
5.4. išorinių paslaugų teikėjų teikiamoms paslaugoms.
6. ŽŪIKVC ISVS sertifikavimo sritis apima informacinių paslaugų teikimą, registrų ir informacinių sistemų kūrimą, jų funkcionavimo užtikrinimą, tobulinimą ir administravimą.
7. Įgyvendinant ISVS tikslą yra siekiama tokių informacijos saugumo tikslų:
7.1. užtikrinti ir valdyti informacijos saugumą, atsižvelgiant į ŽŪIKVC veiklos (strateginius) tikslus;
7.2. užtikrinti ir valdyti atitikimą išoriniams ir vidiniams informacijos saugumo reikalavimams, atliekant periodinį atitikties vertinimą ir šalinant nustatytus trūkumus;
7.3. užtikrinti informacijos saugumo pažeidimų sprendimą ir jų priežasčių pašalinimą, įgyvendinant informacijos saugos incidentų valdymo procesą;
7.4. užtikrinti tinkamą informacijos saugumo ir apdorojimo priemonių parinkimą ir įgyvendinimą, atliekant kasmetinį rizikos vertinimą ir įgyvendinant Rizikos tvarkymo planą;
7.5. užtikrinti taikomų informacijos saugumo priemonių veiksmingumą;
7.6. užtikrinti Veiklos tęstinumo valdymo ir Atstatymo planų tinkamumą, atliekant periodinę peržiūrą ir testavimą.
8. Informacijos saugumo valdymas ŽŪIKVC yra pagrįstas rizikos valdymu. Informacijos saugumo rizikos vertinimas sudaro sąlygas, kad informacijos saugumo valdymo priemonės, taikomos ŽŪIKVC veikloje, atitiktų pagrindinius ŽŪIKVC veiklos ir informacijos saugumo tikslus.
9. ŽŪIKVC informacijos saugumo rizika vertinama kasmet pagal patvirtintą Informacijos saugumo rizikos vertinimo metodiką.