Politique de sécurité Maze

Politique de sécurité de l’information de haut niveau 3.8

14.09.2021

Politique de sécurité de l’information de haut niveau pour Maze Feedback AS

À propos de ce document

Cette politique de sécurité de haut niveau définit les objectifs généraux et le cadre de la sécurité de l’information de Maze Feedback AS et des filiales sous son contrôle (ci-après dénommées Maze).

Objectif

L’objectif de la sécurité de l’information chez Maze est de protéger ses actifs informationnels et d’optimiser les risques liés à la sécurité de manière rentable, en prévenant et en réduisant l’impact potentiel des menaces internes, externes, délibérées et accidentelles.

Au premier plan de nos mesures de sécurité se trouvent le développement et le fonctionnement de l’application Maze ainsi que le traitement de nos données clients.

La sécurité de l’information est un atout commercial et procure un avantage concurrentiel qui nous permet d’attirer des clients sur les marchés mondiaux. En minimisant les pertes nettes dues aux failles dans la sécurité de l’information, elle contribue à notre résultat financier. Elle renforce également l’image d’une entreprise digne de confiance, ouverte, honnête et éthique.

Domaine d’application

La politique de sécurité de l’information ainsi que les sous-politiques s’appliquent à tous les actifs informationnels de Maze. Cela inclut, sans s’y limiter, toute manipulation ou combinaison de données personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, la manipulation ou la modification, le reporting, la lecture, l’utilisation, le transfert par envoi ou autre transfert, la diffusion, l’ajustement, le regroupement, la limitation, la suppression ou la destruction, indépendamment du fait que le traitement soit automatisé ou non. Les politiques s’appliquent à tout le personnel de Maze (tels que les responsables, les employés permanents et les consultants à temps partiel), indépendamment de leur emplacement physique.

Principes de la sécurité de l’information

Les pratiques de sécurité de l’information chez Maze sont guidées par les principes suivants :

  • La confidentialité de l’information sera garantie (par ex. en protégeant contre les accès non autorisés et la divulgation d’informations confidentielles et/ou sensibles de la société ou du personnel)
  • L’intégrité de l’information sera maintenue (par ex. en s’assurant que les erreurs humaines ou les bugs de programmation ne réduisent pas l’exhaustivité ou l’exactitude de nos données)
  • La disponibilité des actifs informationnels et des services associés sera préservée (par ex. en réduisant au minimum les temps d’arrêt imprévus des systèmes et, par conséquent, l’interruption des processus opérationnels essentiels, et en assurant la continuité des activités et la reprise après sinistre).
    La confidentialité des informations sera assurée selon le concept de « Privacy by Design » (protection de la vie privée dès la conception).
  • Les exigences législatives et réglementaires seront respectées (loi norvégienne (telle que la loi norvégienne sur la protection de la vie privée), GDPR (UE), HIPPA (États-Unis)). Nous maintiendrons à jour notre certificat ISO/IEC 27001.
  • L’amélioration continue de la sécurité de l’information fait partie de notre culture d’entreprise et de nos processus.
  • Une formation sera disponible pour le personnel relevant du champ d’application.
  • Les failles réelles ou suspectées dans la sécurité de l’information seront signalées à l’équipe chargée de la sécurité de l’information et feront l’objet d’une enquête et d’une action.
  • Des sous-politiques, procédures et des directives existent pour soutenir cette politique.
  • Nous investissons judicieusement dans des contrôles de sécurité de l’information fiables lorsque cela se justifie d’après une évaluation des coûts/avantages du cycle de vie et une analyse des risques.
  • L’équipe chargée de la sécurité de l’information est responsable de la mise à jour du système de gestion de la sécurité de l’information et constitue un centre d’excellence interne fournissant un leadership, des conseils et une assistance pour toutes les questions relatives à la sécurité de l’information.
  • Tous les responsables sont directement en charge de la mise en œuvre de la politique et de son respect par le personnel dans leurs départements respectifs.
  • Le respect de la politique de sécurité de l’information est obligatoire. En d’autres termes, la sécurité de l’information est de la responsabilité de chacun.

Contrôle, suivi et examen

L’équipe chargée de la sécurité de l’information évaluera et examinera régulièrement l’efficacité de notre système de gestion de la sécurité de l’information, rendra compte à la direction de ses observations significatives et proposera des améliorations. Maze effectuera un audit interne réalisé par un conseiller externe ainsi que des audits externes du certificat ISO/IEC 27001 (Londres 2019-12-02, certificat n°: 10000208447-MSC-UKAS-NOR).

Approuvé

Politique approuvée par la direction générale le 28 septembre 2020.
Signé : Frode Berg, PDG

Top-level Security Policy 3.9