1. Informacijos saugumo politika (toliau – Politika) yra pagrindinis UAB Data Bank Group (toliau – DATABANK) informacijos saugumo valdymo sistemos (toliau – ISVS) dokumentas, kurį įsakymu tvirtina DATABANK direktorius. Politikos ir ISVS dokumentų dalys gali būti pateikiamos susipažinti su DATABANK informacija susijusioms šalims, joms prieinama ir suprantama forma.

2. Politikos tikslas – pateikti DATABANK vadovybės poziciją informacijos saugumo atžvilgiu bei apsaugoti visą DATABANK gaunamą, siunčiamą, kuriamą, valdomą ir naudojamą žodinę, rašytinę ir elektroninę informaciją nuo visų galimų grėsmių: išorinių, vidinių, tyčinių ar atsitiktinių, galinčių turėti įtakos DATABANK vykdomai veiklai ir įvaizdžiui, taip pat užtikrinti DATABANK ir jų klientų infrastruktūrose ISVS reikalavimų laikymosi.

3. Įgyvendinant ISVS tikslą yra siekiama tokių informacijos saugumo tikslų:

3.1. užtikrinti ir valdyti informacijos saugumą, atsižvelgiant į DATABANK veiklos (strateginius) tikslus debesijos, IT valdymo ir priežiūros, duomenų apsaugos paslaugų srityse;

3.2. užtikrinti ir valdyti atitikimą išoriniams ir vidiniams informacijos saugumo reikalavimams, atliekant periodinį atitikties vertinimą ir šalinant nustatytus trūkumus;

3.3. užtikrinti informacijos saugumo pažeidimų sprendimą ir jų priežasčių pašalinimą, įgyvendinant informacijos saugumo incidentų valdymą;

3.4. užtikrinti tinkamą informacijos saugumo ir apdorojimo priemonių parinkimą ir įgyvendinimą, atliekant kasmetinį rizikos vertinimą ir įgyvendinant Rizikos valdymo priemonių planą;

3.5. užtikrinti taikomų informacijos saugumo priemonių veiksmingumą;

3.6. užtikrinti Veiklos tęstinumo valdymo plano tinkamumą, atliekant jo periodinę peržiūrą ir testavimą.

4. Informacija – tai strategiškai svarbus DATABANK veiklai turtas, todėl jos praradimas, neteisėtas pakeitimas, sugadinimas, atskleidimas ar informacijos apdorojimo nutraukimas gali sukelti DATABANK veiklos sutrikimų. Atsižvelgiant į tai, ši Informacijos saugumo politika nustato pagrindines gaires, kuriomis, siekiant apsaugoti DATABANK ir jos klientų informaciją, privalo vadovautis visi DATABANK darbuotojai, rangovai ir kitos susijusios šalys veikiančios debesijos, IT valdymo ir priežiūros, duomenų apsaugos paslaugų srityse.

5. Informacijos saugumo politika taikoma visiems DATABANK veiklos procesams susijusiems su debesijos, IT valdymo ir priežiūros, duomenų apsaugos paslaugose ir apima žodinę bei rašytinę informaciją, informacines sistemas, kompiuterių tinklus, fizinę aplinką, darbuotojus, susijusias šalis, partnerius, rangovus, ar kitus DATABANK dirbančius asmenis, įskaitant darbuotojus, dirbančius trečiosioms šalims, teisėtai tvarkančius DATABANK informaciją.

6. Informacijos saugumas apima tris pagrindinius aspektus:

6.1. informacijos konfidencialumas – informacijos apsauga nuo nesankcionuoto atskleidimo;

6.2. vientisumas – informacijos apsauga nuo nesankcionuoto ar atsitiktinio pakeitimo;

6.3. prieinamumas – užtikrinimas, kad informacija yra prieinama tada, kai ji reikalinga tinkamai vykdyti DATABANK veiklą.

7. Politika:

7.1. aprašo DATABANK nuostatas, skirtas apsaugoti jos ir klientų informacinio turto, t. y. bet kokios formos informacijos, taip pat su ja susijusio materialaus (kompiuterių bei ryšio įrenginių, patalpų ir pan.) bei nematerialus (reputacijos, įvaizdžio) turto konfidencialumą, vientisumą ir prieinamumą;

7.2. nustato atsakomybę už informacijos saugumą;

7.3. pateikia nuorodas į saugumo dokumentus, kurie sudaro informacijos saugumo valdymo sistemą.

8. Politika turi būti peržiūrima ne rečiau kaip kartą per metus.

9. DATABANK informacijos saugumo reikalavimų įgyvendinimas užtikrinamas ir valdomas nuosekliai planuojant, įgyvendinant, vertinant ir tobulinant ISVS, vadovaujantis Lietuvos standarto ISO/IEC 27001 (aktuali redakcija) reikalavimais.

10. DATABANK ISVS sertifikavimo sritis apima: debesijos, IT valdymo ir priežiūros, duomenų apsaugos paslaugų srityse;

11. Informacijos saugumo valdymas DATABANK yra pagrįstas rizikos valdymu. Informacijos saugumo rizikos vertinimas sudaro sąlygas, kad informacijos saugumo valdymo  priemonės, taikomos DATABANK veikloje, atitiktų pagrindinius DATABANK veiklos ir informacijos saugumo tikslus.

12. DATABANK informacijos saugumo rizika vertinama kiekvienais kalendoriniais metais pagal patvirtintą Informacijos saugumo rizikos valdymo metodiką