ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΔΕΔΟΜΕΝΩΝ
ΚΕΦΑΛΑΙΟ 1. ΕΙΣΑΓΩΓΗ.
ο Εργοδότης δεσμεύεται να διασφαλίζει ότι η πρόσβαση και οι χρήσεις των εμπιστευτικών πληροφοριών πραγματοποιούνται με ασφαλή τρόπο και δεσμεύεται να ακολουθήσει μία πολιτική με την οποία ελαχιστοποιείται ο κίνδυνος για μη εξουσιοδοτημένη είτε τυχαία είτε σκόπιμη αποκάλυψη εμπιστευτικών δεδομένων. Για τη συμμόρφωση με την σχετική νομοθεσία, οι εμπιστευτικές πληροφορίες πρέπει να συλλέγονται και να χρησιμοποιούνται καταλλήλως, να αποθηκεύονται με ασφάλεια και να μην αποκαλύπτονται παράνομα σε οποιοδήποτε άλλο πρόσωπο.
Σκοπός αυτής της Πολιτικής Ασφάλειας Πληροφοριών και Δεδομένων είναι να καθορίσει τους ελέγχους ασφαλείας που είναι απαραίτητοι για τη διασφάλιση της εμπιστευτικότητας και της ακεραιότητας των πληροφοριών και δεδομένων του Εργοδότη. Η πολιτική αυτή παρέχει ένα πλαίσιο στο οποίο οι απειλές για την ασφάλεια των συστημάτων πληροφοριών του Εργοδότη μπορούν να εντοπιστούν και να διαχειριστούν με βάση τον κίνδυνο και καθορίζει τους όρους αναφοράς που εξασφαλίζουν την ομοιόμορφη εφαρμογή των ελέγχων ασφάλειας δεδομένων στο σύνολο της επιχείρησης του Εργοδότη.
Αυτή η Πολιτική Ασφάλειας Πληροφοριών και Δεδομένων ισχύει για όλους τους Συνεργάτες και Εργαζόμενους και για οποιονδήποτε άλλον εξουσιοδοτημένο να έχει πρόσβαση στα Δεδομένα του Εργοδότη (όπως ορίζεται στο Κεφάλαιο 2). Η μη συμμόρφωση με αυτές τις πολιτικές ενδέχεται να οδηγήσει σε απώλεια δικαιωμάτων πρόσβασης δεδομένων και λήψη πιθανών πειθαρχικών και νομικών μέτρων.
ΚΕΦΑΛΑΙΟ 2 – ΟΡΙΣΜΟΙ.
Για τους σκοπούς αυτής της πολιτικής, οι ακόλουθοι όροι ορίζονται ως εξής:
Διαχειριστής πρόσβασης: Πρόσωπο ή υπηρεσία με κύρια ευθύνη για τη διαχείριση δικαιωμάτων πρόσβασης για χρήστες σε ένα ή περισσότερα συστήματα δεδομένων, συμπεριλαμβανομένης της χορήγησης νέων δικαιωμάτων πρόσβασης, την τροποποίηση υφιστάμενων δικαιωμάτων πρόσβασης του χρήστη και τη μείωση ή εξάλειψη των δικαιωμάτων πρόσβασης του χρήστη. Μια λίστα με τους Διαχειριστές Πρόσβασης και τα συστήματα που διαχειρίζονται διατηρείται από το ΙΤ Τμήμα του Εργοδότη.
Εργοδότης: η Περιφέρεια Ανατολικής Μακεδονίας και Θράκης.
Δεδομένα διαχείρισης: Δεδομένα που συλλέγονται, συντηρούνται ή χρησιμοποιούνται από τον Εργοδότη για σκοπούς άσκησης θεσμικών δραστηριοτήτων.
Δίκτυο Εργοδότη: Το σύστημα προσωπικών υπολογιστών, διακομιστών, συσκευών αποθήκευσης, εκτυπωτών, τηλεπικοινωνιακών συσκευών και άλλου συναφούς εξοπλισμού που ανήκει στον Εργοδότη και χρησιμοποιείται για τη διεκπεραίωση, τη μετάδοση, τη λήψη, την αποθήκευση και τη διαχείριση ηλεκτρονικών δεδομένων του Εργοδότη.
Δεδομένα: Πραγματικό υλικό ή πληροφορίες.
Διαχειριστής δεδομένων: Ένα άτομο ή ένα τμήμα με κύρια ευθύνη για τον προσδιορισμό του σκοπού και της λειτουργίας ενός πόρου δεδομένων. Κάποιος γίνεται ο Διαχειριστής Δεδομένων είτε με καθορισμό είτε με την απόκτηση, ανάπτυξη ή δημιουργία πόρων πληροφόρησης για τους οποίους κανένας άλλος δεν έχει διαχείριση. Μια λίστα με τους διαχειριστές Δεδομένων διατηρείται από το ΙΤ Τμήμα του Εργοδότη.
Εσωτερικά Δεδομένα: Στοιχεία του Εργοδότη που δεν θεωρούνται ούτε "Δημόσια Δεδομένα" ούτε "Περιορισμένα Δεδομένα". Αυτό περιλαμβάνει πληροφορίες που δεν έχουν περιοριστεί, καθώς και στατιστικές, διαδικαστικές και άλλες πληροφορίες που συλλέγονται για εσωτερική αναφορά και σχεδιασμό που θεωρείται ιδιόκτητο, αλλά η αποκάλυψή τους δεν θα έχει ως αποτέλεσμα σημαντική απώλεια για τον Εργοδότη, παραβίαση του νόμου, σημαντική αρνητική δημοσιότητα ή άλλες σοβαρές συνέπειες.
Διευθυντές: Διευθύνοντες Υπάλληλοι του Εργοδότη που έχουν διοικητική ή εποπτική ευθύνη.
Κινητή συσκευή: Οποιοσδήποτε υπολογιστής, προσωπικής ψηφιακή συσκευή, τηλέφωνο ή άλλη συσκευή που έχει σχεδιαστεί για να είναι φορητή και μπορεί να αποθηκεύει δεδομένα ή να συνδέεται σε δίκτυο υπολογιστών ή στο Internet.
Φορητά ψηφιακά μέσα: Οποιοδήποτε ψηφιακό μέσο είναι σχεδιασμένο να είναι φορητό, όπως CD, DVD, κασέτες, φλας, δισκέτες, μνήμες και φορητοί σκληροί δίσκοι.
Δημόσια δεδομένα: Δεδομένα που είναι εύκολα προσβάσιμα από το ευρύ κοινό και δεν απαιτούν περαιτέρω άδεια για απελευθέρωση. Αυτό περιλαμβάνει πληροφορίες που δεν θεωρούνται γενικά επιβλαβείς ή εισβολή του ιδιωτικού απορρήτου, εάν αποκαλυφθούν. Περιορισμένα δεδομένα: Δεδομένα του Εργοδότη τα οποία είναι προσβάσιμα μόνο για συγκεκριμένες χρήσεις από συγκεκριμένα εξουσιοδοτημένα άτομα και είναι διαθέσιμα για διάθεση σε άλλα πρόσωπα σε περιορισμένες περιπτώσεις που απαιτούν επίσημη έγκριση.
Εμπιστευτικά δεδομένα και πληροφορίες: Δεδομένα που είναι είτε περιορισμένα δεδομένα είτε εσωτερικά δεδομένα.
Περιστατικό ασφαλείας εμπιστευτικών δεδομένων: Ένα περιστατικό στο οποίο μπορεί εύλογα να θεωρηθεί ότι εμπιστευτικά δεδομένα έχουν παραβιαστεί.
Τρίτο μέρος: Κάθε άτομο που δεν είναι συνεργάτης ή εργαζόμενος του Εργοδότη.
Χρήστης: Όποιος έχει πρόσβαση στα Δεδομένα του Εργοδότη
ΚΕΦΑΛΑΙΟ 3 - ΓΕΝΙΚΟΙ ΡΟΛΟΙ ΚΑΙ ΥΠΕΥΘΥΝΟΙ
Σκοπός.
Αυτό το κεφάλαιο ορίζει τις γενικές ευθύνες της κοινότητας του Εργοδότη για την προστασία εμπιστευτικών πληροφοριών.
Πολιτική.
1. Χρήστες. Οι χρήστες είναι υπεύθυνοι για την προστασία εμπιστευτικών δεδομένων στα οποία έχουν πρόσβαση. Οι ευθύνες τους καλύπτουν τόσο τις μηχανογραφικές όσο και τις μη μηχανογραφικές συσκευές πληροφορικής και τεχνολογίας πληροφοριών που βρίσκονται στην κατοχή τους. Οι χρήστες αναμένεται να μάθουν και να συμμορφωθούν με όλες τις πολιτικές του Εργοδότη σχετικά με την προστασία των εμπιστευτικών δεδομένων.
2. Διαχειριστές Δεδομένων. Οι Διαχειριστές Δεδομένων έχουν τις ευθύνες των Χρηστών και επιπλέον είναι υπεύθυνοι για τα εξής:
- Καθιέρωση πολιτικών και διαδικασιών ασφάλειας. Οι Διαχειριστές Δεδομένων θα πρέπει να θεσπίζουν συγκεκριμένες πολιτικές και διαδικασίες για την ασφάλεια των δεδομένων, όπου χρειάζεται. Οι Διαχειριστές Δεδομένων είναι υπεύθυνοι για τις διαδικασίες που σχετίζονται με τη δημιουργία, τη διατήρηση, τη διανομή και τη διάθεση πληροφοριών. Αυτά πρέπει να συνάδουν με αυτή την πολιτική και τις ισχύουσες πολιτικές διατήρησης αρχείων, καθώς και με άλλες πολιτικές του Εργοδότη, συμβατικές συμφωνίες και νόμους. Οι Διαχειριστές Δεδομένων μπορούν να επιβάλλουν πρόσθετες απαιτήσεις που ενισχύουν την ασφάλεια.
-Αντιστοίχιση ταξινομήσεων ασφαλείας. Οι Διαχειριστές Δεδομένων είναι υπεύθυνοι για την ταξινόμηση κάθε κατηγορίας των δεδομένων που έχουν υποδειχθεί σε μια ταξινόμηση ευαισθησίας σύμφωνα με το κεφάλαιο 4.
- Καθορισμός των αδειών : Οι Διαχειριστές Δεδομένων προσδιορίζουν ποιος έχει εξουσιοδότηση για να έχει πρόσβαση στις πληροφορίες του. Εξασφαλίζουν ότι όσοι έχουν πρόσβαση έχουν νόμιμη ανάγκη να γνωρίζουν τις πληροφορίες και να κατανοούν τις απαιτήσεις ασφαλείας για αυτές τις πληροφορίες.
3. Διευθυντές. Οι διευθυντές έχουν όλες τις ευθύνες των Χρηστών και σε ορισμένες περιπτώσεις μπορούν επίσης να χρησιμεύσουν ως Διαχειριστές Δεδομένων. Επιπλέον, φέρουν την ευθύνη για την ασφάλεια των δεδομένων με τους χρήστες που διαχειρίζονται και εποπτεύουν.
4. Διαχειριστές Πρόσβασης. Οι Διαχειριστές Πρόσβασης είναι υπεύθυνοι για τον έλεγχο της πρόσβασης σε συστήματα δεδομένων, παρέχοντας τα δικαιώματα πρόσβασης υπό τη διεύθυνση των Διαχειριστών Δεδομένων και του ΙΤ Τμήματος.
5. ΙΤ Τμήμα (Τμήμα Πληροφοριακών Συστημάτων). Το Τμήμα Πληροφοριακών Συστημάτων είναι υπεύθυνο για:
- Εξασφάλιση της Υποδομής Δικτύου του Εργοδότη και προστασία του Δικτύου του Εργοδότη από εξωτερικές απειλές.
-Καθιέρωση προτύπων και πρωτοκόλλων ασφαλείας για τους χρήστες, συμπεριλαμβανομένων τεχνικών και διαδικασιών κρυπτογράφησης για ασφαλή διάθεση ψηφιακών μέσων
- Προσδιορισμός ασφαλών μεθόδων απομακρυσμένης και τρίτης πρόσβασης στο Δίκτυο του Εργοδότη.
- Συνεργασία με τους διαχειριστές δεδομένων για τη διαχείριση των δικαιωμάτων πρόσβασης δεδομένων.
-Διατήρηση κύριων λιστών δικαιωμάτων πρόσβασης και διαχειριστών πρόσβασης.
-Ανάρτηση αυτής της πολιτικής στην εταιρική ιστοσελίδα.
6. Οι Διευθυντές και αντίστοιχα οριζόμενοι Διαχειριστές πρόσβασης είναι υπεύθυνοι για: Διανομή αυτής της πολιτικής σε όλους τους συνεργάτες και τον συντονισμό περιοδικών εκπαιδεύσεων σχετικά με την ασφάλεια των δεδομένων και την ολοκλήρωση της παρακολούθησης των εκπαιδεύσεων από συνεργάτες
7. Νομικός Σύμβουλος. Ο νομικός σύμβουλος του Εργοδότη είναι υπεύθυνος για την ερμηνεία των όρων και διατάξεων που ισχύουν για αυτήν την πολιτική και για την εξασφάλιση της συμμόρφωσης αυτής της πολιτικής με αυτούς τους νόμους και άλλες πολιτικές του Εργοδότη.
ΚΕΦΑΛΑΙΟ 4 - ΚΑΤΑΤΑΞΗ ΚΑΙ ΕΛΕΓΧΟΣ ΕΜΠΙΣΤΕΥΤΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Σκοπός.
Σκοπός του παρόντος κεφαλαίου είναι η καθιέρωση ταξινομήσεων εμπιστευτικών πληροφοριών και η πρόβλεψη για τον προσδιορισμό και τη διαχείριση εμπιστευτικών πληροφοριών.
Πολιτική.
1. Όλα τα Δεδομένα του Εργοδότη θα έχουν ορισμένο Διαχειριστή Δεδομένων.
2. Οι Διαχειριστές Δεδομένων είναι υπεύθυνοι για την ανάθεση κάθε κατηγορίας των καθορισμένων Δεδομένων τους σε μία από τις ακόλουθες ταξινομήσεις ευαισθησίας:
α) Περιορισμένα Δεδομένα,
β) Εσωτερικά Δεδομένα ή
γ) Δημόσια Δεδομένα.
3. Τα διαφορετικά δεδομένα που συγκεντρώνονται ή αθροίζονται ταξινομούνται ως το ασφαλέστερο επίπεδο κατάταξης κάθε μεμονωμένου /χωριστού στοιχείου.
4. Οι Διαχειριστές Δεδομένων θα εφαρμόζουν πολιτικές και μέτρα ασφαλείας, όπως είναι αναγκαίο, για τη διασφάλιση των Εμπιστευτικών Δεδομένων για τα οποία είναι υπεύθυνοι.
ΚΕΦΑΛΑΙΟ 5 - ΕΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ ΔΕΔΟΜΕΝΩΝ
Σκοπός.
Σκοπός του παρόντος κεφαλαίου είναι να διασφαλιστεί ότι υπάρχουν κατάλληλοι έλεγχοι για τη θέσπιση και διατήρηση των κατάλληλων δικαιωμάτων πρόσβασης για όλα τα εσωτερικά ή εξωτερικά συστήματα δεδομένων που χρησιμοποιούνται στην επιχείρηση του Εργοδότη.
Πολιτική.
1. Κανένας Χρήστης δεν έχει πρόσβαση σε εμπιστευτικά/περιορισμένα δεδομένα εκτός εάν υπάρχει νόμιμος επιχειρηματικός σκοπός για την πρόσβαση αυτή και το επίπεδο πρόσβασης που παρέχεται σε Χρήστη πρέπει να είναι το ελάχιστο απαιτούμενο για το συγκεκριμένο Χρήστη να επιτελεί το επιχειρηματικό αυτό σκοπό.
2. Κάθε Διαχειριστής Δεδομένων είναι υπεύθυνος για τον καθορισμό του κατάλληλου επιπέδου δικαιωμάτων πρόσβασης στα Εμπιστευτικά/περιορισμένα Δεδομένα για τα οποία είναι υπεύθυνος ο Διαχειριστής Δεδομένων.
3. Κάθε Διαχειριστής Δεδομένων είναι υπεύθυνος για τον ορισμό των Διαχειριστών Πρόσβασης που είναι υπεύθυνοι για τη διαχείριση της πρόσβασης στο σύστημα δεδομένων για το οποίο είναι υπεύθυνος ο Διαχειριστής Δεδομένων. Κάθε σύστημα δεδομένων θα πρέπει να διαθέτει τουλάχιστον δύο διαχειριστές πρόσβασης (έναν κύριο και έναν ή περισσότερους δευτερεύοντες).
4. Ο Διαχειριστής Πρόσβασης δεν χορηγεί σε Χρήστη νέα δικαιώματα πρόσβασης, δεν τροποποιεί τα υπάρχοντα δικαιώματα πρόσβασης του Χρήστη ή δεν περιορίζει τα δικαιώματα πρόσβασης ενός Χρήστη, εκτός εάν έχει εγκριθεί εκ των προτέρων από τον αρμόδιο Διαχειριστή Δεδομένων ή από το ΙΤ Τμήμα σύμφωνα με το παρόν κεφάλαιο.
5. Οι Διευθυντές είναι υπεύθυνοι για τη διασφάλιση ότι οι συνεργάτες/εργαζόμενοι που εποπτεύουν έχουν τα κατάλληλα δικαιώματα πρόσβασης για την εκτέλεση των καθηκόντων τους και τηρούν την παρούσα Πολιτική Ασφαλείας. Σε περίπτωση που ένας συνεργάτης/ εργαζόμενος απαιτεί νέα δικαιώματα πρόσβασης, τροποποίηση υφιστάμενων δικαιωμάτων πρόσβασης ή μείωση των δικαιωμάτων πρόσβασης, ο Διευθυντής πρέπει να υποβάλει αμέσως αίτημα αλλαγής στον κατάλληλο Διαχειριστή Δεδομένων. Αφού εγκριθεί από τον Διαχειριστή Δεδομένων, η αίτηση αλλαγής θα διαβιβαστεί στον αρμόδιο Διαχειριστή Πρόσβασης για την εφαρμογή της αλλαγής.
6. Το ΙΤ Τμήμα μπορεί να εγκρίνει νέα δικαιώματα πρόσβασης αντί του Διαχειριστή Δεδομένων όπου αυτά τα δικαιώματα πρόσβασης περιλαμβάνονται στις εγκεκριμένες περιγραφές θέσεων εργασίας. Όταν ο χρόνος είναι ουσιώδης, το ΙΤ Τμήμα μπορεί να εξουσιοδοτήσει τους Διαχειριστές Πρόσβασης να μειώσουν ή να εξαλείψουν τα δικαιώματα πρόσβασης ενός συνεργάτη/εργαζόμενου .
7. Το ΙΤ Τμήμα διατηρεί ενημερωμένο κύριο κατάλογο με τους Διαχειριστές Πρόσβασης. Οποιοσδήποτε νέος διαχειριστής πρόσβασης ή οποιαδήποτε αλλαγή ή διαχωρισμός ενός υφιστάμενου διαχειριστή πρόσβασης πρέπει να αναφέρεται άμεσα στο ΙΤ τμήμα από το Διευθυντή του Διαχειριστή Πρόσβασης.
8. Το ΙΤ Τμήμα τηρεί ενημερωμένο κύριο κατάλογο δικαιωμάτων πρόσβασης.
9. Το ΙΤ Τμήμα είναι υπεύθυνο για την ανάθεση και διατήρηση της πρόσβασης στην υποδομή Δικτύου του Εργοδότη.
10. Πρέπει να ενεργοποιούνται κατάλληλες δυνατότητες παρακολούθησης ελέγχου σε κάθε σύστημα δεδομένων, όπως καθορίζεται από τον Διαχειριστή Δεδομένων σε συνεννόηση με το ΙΤ Τμήμα Πληροφοριακών Συστημάτων.
11. Το ΙΤ Τμήμα κατά τακτά και χρονικά διαστήματα, όχι μικρότερα της βδομάδας, σβήνει τα αρχεία και φακέλους που χαρακτηρίζονται ως temp και ευρίσκονται σε κοινόχρηστα σημεία /τοποθεσίες του δικτύου.
ΚΕΦΑΛΑΙΟ 6 - ΕΛΕΓΧΟΣ ΚΩΔΙΚΩΝ
Σκοπός.
Ο σκοπός αυτού του κεφαλαίου είναι να διασφαλιστεί ότι υπάρχουν κατάλληλοι έλεγχοι κωδικού πρόσβασης για την προστασία εμπιστευτικών πληροφοριών.
Πολιτική.
1. Ισχυροί κωδικοί πρόσβασης απαιτούνται για οποιαδήποτε συστήματα που παρέχουν πρόσβαση σε περιορισμένα δεδομένα.
2. Ισχυροί κωδικοί πρόσβασης συνιστώνται για οποιαδήποτε συστήματα που παρέχουν πρόσβαση σε εσωτερικά δεδομένα.
3. Οι χρήστες δεν πρέπει να μοιράζονται κωδικούς πρόσβασης με κανέναν, συμπεριλαμβανομένων Διευθυντών και μελών του ΙΤ Τμήματος.
4. Εάν ένας Χρήστης γνωρίζει ή έχει λόγο να πιστεύει ότι ένας κωδικός πρόσβασης έχει αποκαλυφθεί ή έχει αλλοιωθεί, ο κωδικός πρόσβασης πρέπει να αλλάξει ή να απενεργοποιηθεί αμέσως.
5. Εάν οι κωδικοί πρόσβασης τεκμηριώνονται σε χαρτί, το χαρτί αυτό πρέπει να αποθηκεύεται σε ασφαλή κλειδωμένη θέση. Οι κωδικοί που αποθηκεύονται ηλεκτρονικά με κωδικό πρόσβασης ή κρυπτογραφημένα.
ΚΕΦΑΛΑΙΟ 7 - ΑΠΟΘΗΚΕΥΣΗ ΕΜΠΙΣΤΕΥΤΙΚΏΝ ΔΕΔΟΜΕΝΩΝ
Σκοπός.
Ο σκοπός αυτού του κεφαλαίου είναι να εξασφαλίσει την ασφαλή αποθήκευση εμπιστευτικών δεδομένων.
Πολιτικές.
1. Περιορισμένα δεδομένα. Τα περιορισμένα δεδομένα πρέπει να αποθηκεύονται με ασφάλεια ανά πάσα στιγμή για να αποτρέπεται η πρόσβαση από μη εξουσιοδοτημένα άτομα.
- Περιορισμένα δεδομένα σε ηλεκτρονική μορφή τα οποία δεν αποθηκεύονται στο Δίκτυο Εργοδότη ή σε άλλο ασφαλές δίκτυο που έχει εγκριθεί από τον Εργοδότη πρέπει να κρυπτογραφούνται ή να έχουν επιπλέον κωδικό πρόσβασης.
- Οποιοδήποτε φορητό ψηφιακό μέσο ή κινητή συσκευή που περιέχει περιορισμένα δεδομένα δεν πρέπει ποτέ να παραμείνει χωρίς επίβλεψη και όταν δεν χρησιμοποιείται πρέπει ή να αποθηκευτεί με ασφάλεια ή να παραμένει ανενεργός με προστασία με κωδικό πρόσβασης ή να απενεργοποιείται τελείως .
- Το χαρτί που περιέχει τα περιορισμένα δεδομένα δεν πρέπει ποτέ να παραμείνει χωρίς επιτήρηση και πρέπει να αποθηκευτεί σε κλειδωμένο ερμάριο όταν δεν χρησιμοποιείται.
2. Εσωτερικά δεδομένα. Τα εσωτερικά δεδομένα αποθηκεύονται έτσι ώστε να παρέχουν ένα λογικό επίπεδο προστασίας από μη εξουσιοδοτημένη πρόσβαση. Τα ίδια πρότυπα για την αποθήκευση των Περιορισμένων Δεδομένων θα πρέπει να χρησιμοποιούνται για εσωτερικά δεδομένα όποτε είναι εφικτό.
ΚΕΦΑΛΑΙΟ 8 - ΔΙΑΝΟΜΗ ΚΑΙ ΔΙΑΒΙΒΑΣΗ ΕΜΠΙΣΤΕΥΤΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Σκοπός.
Σκοπός του παρόντος κεφαλαίου είναι η διασφάλιση της ασφαλούς διανομής και διαβίβασης εμπιστευτικών δεδομένων.
Πολιτική.
1. Περιορισμένα δεδομένα. Τα περιορισμένα δεδομένα δεν πρέπει να διανέμονται ή να τίθενται στη διάθεση των προσώπων που δεν έχουν άδεια πρόσβασης στις πληροφορίες. Περιορισμένα δεδομένα που μεταδίδονται ηλεκτρονικά, μεταφέρονται με υλική παράδοση ή προφορικά σε συνομιλία πρέπει να προστατεύονται κατάλληλα από μη εξουσιοδοτημένη παρακολούθηση.
- Περιορισμένα δεδομένα σε ηλεκτρονική μορφή, τα οποία μεταδίδονται με οποιοδήποτε τρόπο εκτός από το Δίκτυο Εργοδότη ή άλλο ασφαλές δίκτυο που έχει εγκριθεί από τον Εργοδότη, πρέπει να κρυπτογραφούνται ή να έχουν επιπλέον κωδικό πρόσβασης .
- Η διανομή των περιορισμένων δεδομένων σε έντυπη μορφή πρέπει να αποφεύγεται, εκτός εάν υπάρχει έγκυρος επιχειρησιακός λόγος.
- Τα περιορισμένα δεδομένα, τα οποία διανέμονται από ένα άτομο σε άλλο σε έντυπη μορφή ή αποθηκεύονται σε φορητά ψηφιακά μέσα, πρέπει είτε να φέρουν την ένδειξη "ΠΕΡΙΟΡΙΣΜΈΝΑ" είτε να περικλείονται σε σφραγισμένο φάκελο με την ένδειξη "ΕΜΠΙΣΤΕΥΤΙΚΑ".
-Τα περιορισμένα δεδομένα θα πρέπει να διανέμονται χρησιμοποιώντας μια μέθοδο αξιόπιστης παράδοσης, όπως με το χέρι ή με αλληλογραφία εσωτερικής ηλεκτρονικής αλληλογραφίας του Εργοδότη. Τα περιορισμένα δεδομένα που πρέπει να παραδίδονται με υπηρεσία ταχυμεταφοράς/ courier θα πρέπει να αποστέλλονται με βεβαίωση επιστολής με επιστολή ή από αναγνωρισμένο εμπορικά ταχυμεταφορέα, το οποίο παρέχει παρακολούθηση παράδοσης και παραλαβής.
- Όταν τα Περιορισμένα Δεδομένα διανέμονται από ένα άτομο σε άλλο, η υποχρέωση του αποστολέα είναι να επιβεβαιώσει την παραλαβή από τον αποδέκτη.
- Οι τηλεφωνικές συνομιλίες ή οι συνομιλίες στο πρόσωπο που αφορούν Περιορισμένα Δεδομένα θα πρέπει να πραγματοποιούνται σε μια περιοχή όπου αυτές οι συνομιλίες δεν μπορούν να ακουστούν από μη εξουσιοδοτημένα άτομα.
2. Εσωτερικά δεδομένα. Τα εσωτερικά δεδομένα δεν πρέπει να διανέμονται ή να τίθενται στη διάθεση των προσώπων που δεν έχουν νόμιμους, επιχειρηματικούς ή άλλους νόμιμους λόγους να έχουν πρόσβαση στις πληροφορίες. Τα ίδια πρότυπα για τη διανομή και τη μετάδοση των περιορισμένων δεδομένων πρέπει να χρησιμοποιούνται για εσωτερικά δεδομένα όποτε είναι εφικτό.
ΚΕΦΑΛΑΙΟ 9 - ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΟΥ
Σκοπός.
Σκοπός του παρόντος κεφαλαίου είναι να καθορίσει τους ρόλους και τις ευθύνες για την εξασφάλιση της ασφάλειας και της ακεραιότητας του δικτύου των συλλόγων.
Πολιτική.
1. Το ΙΤ Τμήμα είναι υπεύθυνο για την προστασία του Δικτύου του Εργοδότη από εξωτερικές απειλές, όπως εισβολές, ανίχνευση, ιοί, και spyware κοκ.
2. Το ΙΤ Τμήμα έχει την εξουσία να αξιολογεί τη σοβαρότητα και την αμεσότητα οποιασδήποτε απειλής για το Δίκτυο του Εργοδότη και να αναλαμβάνει δράση για τον μετριασμό αυτής της απειλής.
3. Το ΙΤ Τμήμα είναι υπεύθυνο για τη διατήρηση διαδικασιών για την προστασία εμπιστευτικών δεδομένων που βρίσκονται σε διακομιστές δικτύου.
4. Οι χρήστες είναι υπεύθυνοι για την τήρηση όλων των κανόνων, κανονισμών και πολιτικών που έχουν θεσπιστεί για την προστασία της ασφάλειας και της ακεραιότητας του Δικτύου του Εργοδότη
ΚΕΦΑΛΑΙΟ 10 - ΑΣΦΑΛΕΙΑ ΚΙΝΗΤΩΝ ΣΥΣΚΕΥΩΝ
Σκοπός.
Σκοπός αυτού του κεφαλαίου είναι η προστασία των εμπιστευτικών πληροφοριών που είναι προσβάσιμες από τις κινητές συσκευές.
Πολιτική.
1. Οι κινητές συσκευές που επιτρέπουν την πρόσβαση σε συστήματα που περιέχουν εμπιστευτικά δεδομένα πρέπει να προστατεύονται με κωδικό πρόσβασης σύμφωνα με το κεφάλαιο 6.
2. Μόλις ένας χρήστης συνδεθεί σε μια κινητή συσκευή, η συσκευή δεν πρέπει να μείνει χωρίς επιτήρηση. Όταν ολοκληρωθεί η χρήση μιας Κινητής Συσκευής, ο Χρήστης πρέπει να αποσυνδεθεί και η συσκευή πρέπει να παραμείνει στην κατοχή του Χρήστη μέχρι να μπορεί να αποθηκευτεί με ασφάλεια.
3. Τα Εμπιστευτικά Δεδομένα δεν πρέπει να αποθηκεύονται σε μια Κινητή Συσκευή, εκτός εάν υπάρχει νόμιμος, διοικητικός ή επιχειρηματικός λόγος για κάτι τέτοιο.
4. Όταν μια κινητή συσκευή μεταφερθεί μόνιμα από έναν χρήστη σε άλλο, οποιαδήποτε εμπιστευτικά δεδομένα στη συσκευή πρέπει να διαγραφούν με ασφάλεια πριν από τη μεταφορά.
ΚΕΦΑΛΑΙΟ 11 - ΔΙΑΚΟΠΗ ΠΡΟΣΒΑΣΗΣ
Σκοπός.
Ο σκοπός αυτού του κεφαλαίου είναι να καθορίσει πρότυπα για ασφαλή σύνδεση στο Δίκτυο του Εργοδότη από έναν υπολογιστή ή άλλη συσκευή που βρίσκεται εκτός του Δικτύου του Εργοδότη.
Πολιτική.
1. Ένας χρήστης πρέπει να έχει πρόσβαση εξ αποστάσεως στο Δίκτυο του Εργοδότη μόνο για νόμιμους, διοικητικούς ή επιχειρηματικούς σκοπούς και μόνο μετά από προηγούμενη έγκριση του αντίστοιχου Διευθυντή του Εργοδότη.
2. Το Δίκτυο του Εργοδότη μπορεί να αποκτάται από απόσταση μόνο με τη χρήση μεθόδων σύνδεσης που εγκρίνονται από το ΙΤ Τμήμα Πληροφοριακών Συστημάτων.
3. Οι χρήστες είναι υπεύθυνοι για τη διαφύλαξη των διαπιστευτηρίων απομακρυσμένης πρόσβασης που τους έχουν χορηγηθεί σύμφωνα με αυτήν την πολιτική. Αυτά τα διαπιστευτήρια μπορεί να αποτελούνται από συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης, ψηφιακά πιστοποιητικά ή άλλο λογισμικό ή υλικό.
4. Όλοι οι υπολογιστές ή άλλες συσκευές που χρησιμοποιούνται για απομακρυσμένη πρόσβαση στο Δίκτυο του Εργοδότη πρέπει να πληρούν τα πρότυπα που έχουν θεσπιστεί από το ΙΤ Τμήμα Πληροφοριακών Συστημάτων και πρέπει να είναι διαθέσιμα για έλεγχο κατόπιν αιτήματος του ΙΤ Τμήματος Πληροφοριακών Συστημάτων, ώστε να ελέγχεται και να βεβαιώνεται η συμμόρφωση με αυτή την πολιτική.
5. Αφού αποκτήσει πρόσβαση σε εμπιστευτικά δεδομένα εξ αποστάσεως από μια δημόσια συσκευή, ο Χρήστης πρέπει να διαγράψει την προσωρινή μνήμη και να διαγράψει όλα τα προσωρινά αρχεία για να καταργήσει τα εμπιστευτικά δεδομένα που είναι αποθηκευμένα στη συσκευή
ΚΕΦΑΛΑΙΟ 12 - ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ
Σκοπός.
Σκοπός αυτού του κεφαλαίου είναι να διασφαλιστεί ότι υπάρχουν κατάλληλοι φυσικοί έλεγχοι πρόσβασης για την προστασία εμπιστευτικών πληροφοριών.
Πολιτική.
1. Φυσικοί έλεγχοι εισόδου. Οι περιοχές που περιέχουν Εμπιστευτικά Δεδομένα υπό οποιαδήποτε μορφή ή πρόσβαση σε οποιοδήποτε στοιχείο του Δικτύου του Εργοδότη πρέπει να προστατεύονται με κατάλληλους φυσικούς ελέγχους εισόδου ώστε να διασφαλίζεται ότι επιτρέπεται η πρόσβαση μόνο εξουσιοδοτημένου προσωπικού. Οι επισκέπτες σε ασφαλείς περιοχές πρέπει να επιβλέπονται από εξουσιοδοτημένο προσωπικό.
2. Αίθουσες Server. Οι αίθουσες των servers του Εργοδότη πρέπει να είναι κλειδωμένες ανά πάσα στιγμή. To προσωπικό του Εργοδότη θα πρέπει να είναι σε θέση να παρακολουθεί και να καταγράφει την πρόσβαση σε αυτές τις αίθουσες. Οι επισκέπτες σε αίθουσες εξυπηρέτησης πελατών πρέπει να συνοδεύονται από εξουσιοδοτημένο προσωπικό.
3. Μεμονωμένα γραφεία και περιοχές εργασίας. Τα μεμονωμένα γραφεία και οι χώροι εργασίας που χρησιμοποιούν οι χρήστες με πρόσβαση σε εμπιστευτικά δεδομένα πρέπει να είναι ασφαλείς.
-Οι πόρτες θα πρέπει να κλειδώνονται όταν οι χρήστες δεν είναι παρόντες.
-Τα εμπιστευτικά δεδομένα δεν πρέπει να είναι ορατά από τους περαστικούς ή από τους μη εξουσιοδοτημένους επισκέπτες.
-Οι οθόνες υπολογιστών πρέπει να τοποθετούνται προσεκτικά, έτσι ώστε η προβολή να περιορίζεται στον εξουσιοδοτημένο Χρήστη.
- Όταν αφήνεται ένας υπολογιστής χωρίς επιτήρηση όπου μπορεί να υπάρξει πρόσβαση από μη εξουσιοδοτημένα άτομα, ο Χρήστης πρέπει είτε να αποσυνδεθεί από όλα τα δίκτυα και εφαρμογές είτε να χρησιμοποιήσει προφύλαξη οθόνης με κωδικό.
-Τα έγγραφα που περιέχουν Περιορισμένα Δεδομένα πρέπει να καλύπτονται ή να απομακρύνονται όταν είναι παρόντα μη εξουσιοδοτημένα άτομα.
- Οποιοδήποτε μέσο περιέχει περιορισμένα δεδομένα, είτε ηλεκτρονικά είτε όχι, πρέπει να βρίσκεται σε κλειδωμένο συρτάρι, ερμάριο ή αποθηκευτικό χώρο όταν δεν χρησιμοποιείται.
4. Ασφάλεια εξοπλισμού. Τα εξαρτήματα εξοπλισμού του Δικτύου του Εργοδότη, συμπεριλαμβανομένων μεμονωμένων υπολογιστών, θα πρέπει να ασφαλίζονται με μηχανισμό κλειδώματος όπου αυτό είναι εφικτό.
5. Ασφαλής απόρριψη του εξοπλισμού. Όλος ο εξοπλισμός που δύναται να περιέχει μέσα ή αποσπώμενες συσκευές αποθήκευσης πρέπει να ελεγχθεί για να διασφαλιστεί ότι τα Εμπιστευτικά Δεδομένα έχουν διαγραφεί με ασφάλεια πριν από τη απόρριψή του.
ΚΕΦΑΛΑΙΟ 13 - ΠΡΟΣΒΑΣΗ ΤΡΙΤΩΝ
Σκοπός.
Σκοπός αυτού του κεφαλαίου είναι ο καθορισμός προτύπων για τα τρίτα μέρη που επιδιώκουν να αποκτήσουν πρόσβαση στο Δίκτυο του Εργοδότη, προκειμένου να ελαχιστοποιηθεί η πιθανή έκθεση του Εργοδότη από κινδύνους που συνδέονται με την πρόσβαση τρίτων.
Πολιτική.
1. Η πρόσβαση τρίτων στο Δίκτυο του Εργοδότη μπορεί να γίνει μόνο για νόμιμους, διοικητικούς ή επιχειρηματικούς σκοπούς.
2. Οι αιτήσεις για την παροχή πρόσβασης τρίτου μέρους στο Δίκτυο του Εργοδότη πρέπει να εγκριθούν από το ΙΤ Τμήμα Πληροφοριακών Συστημάτων και τον (τους) αρμόδιο
3. Ο αιτών είναι υπεύθυνος για την εξασφάλιση ότι το τρίτο μέρος συμφωνεί εγγράφως να συμμορφωθεί με όλες τις πολιτικές ασφαλείας των δεδομένων του Εργοδότη και ο αιτών παραμένει υπεύθυνος για τις ενέργειες του Τρίτου μέρους κατά την πρόσβαση στο Δίκτυο του Εργοδότη.
4. Για να διασφαλιστεί η ατομική ευθύνη επί της ακεραιότητας του Δικτύου του Εργοδότη, κάθε τρίτο μέρος που έχει χορηγηθεί πρόσβαση πρέπει να έχει ένα μοναδικό αναγνωριστικό χρήστη και έναν κωδικό πρόσβασης. Το Τρίτο μέρος θα θεωρείται ανά πάσα στιγμή υπεύθυνο για τυχόν δραστηριότητες που πραγματοποιούνται στο Δίκτυο του Εργοδότη χρησιμοποιώντας αυτό το μοναδικό αναγνωριστικό χρήστη.
ΚΕΦΑΛΑΙΟ 14 - ΑΠΟΡΡΙΨΗ ΕΜΠΙΣΤΕΥΤΙΚΏΝ ΔΕΔΟΜΕΝΩΝ
Σκοπός.
Σκοπός αυτού του κεφαλαίου είναι η παροχή προτύπων για την ασφαλή απόρριψη οποιουδήποτε μέσου που περιέχει ευαίσθητες πληροφορίες.
Πολιτική.
1. Απόρριψη Περιορισμένων δεδομένων.
Όταν δεν υπάρχει νόμιμος, επιχειρηματικός ή άλλος νόμιμος λόγος για την αποθήκευση των Περιορισμένων Δεδομένων, αυτά τα Περιορισμένα Δεδομένα πρέπει να απορρίπτονται ως εξής:
- Το χαρτί που περιέχει τα Περιορισμένα δεδομένα πρέπει να τεμαχιστεί.
- Οποιαδήποτε μέσα ή συσκευές αποθήκευσης που περιέχουν Περιορισμένα Δεδομένα σε ηλεκτρονική μορφή πρέπει να διαγράφονται με ασφάλεια ή να καταστρέφονται με φυσικό / υλικό τρόπο.
2. Απόρριψη Εσωτερικών Δεδομένων. Όταν δεν υπάρχει νόμιμος, επιχειρηματικός ή άλλος νόμιμος λόγος για την αποθήκευση Εσωτερικών Δεδομένων, αυτά τα Εσωτερικά Δεδομένα θα πρέπει να διατίθενται ως εξής:
- Το χαρτί που περιέχει τα Εσωτερικά Δεδομένα πρέπει να τεμαχίζεται εάν είναι εφικτό, αλλιώς πρέπει να ανακυκλωθεί.
- Κάθε μέσο ή συσκευές αποθήκευσης που περιέχουν Εσωτερικά Δεδομένα σε ηλεκτρονική μορφή θα πρέπει να διαγράφονται με ασφάλεια ή να καταστρέφονται με φυσικό / υλικό τρόπο αν είναι εφικτό, διαφορετικά θα διαγράφονται.
3. Μεταφορά υπολογιστών και άλλων συσκευών. Όποτε ένας υπολογιστής, κινητή συσκευή ή άλλος εξοπλισμός που έχει τη δυνατότητα αποθήκευσης δεδομένων μεταφέρεται από έναν χρήστη σε άλλο, όλα τα δεδομένα που είναι αποθηκευμένα στη συσκευή πρέπει να διαγράφονται με ασφάλεια.
4. Ευθύνες.
-Οι Διαχειριστές Δεδομένων θα είναι υπεύθυνοι για τη θέσπιση χρονικών πλαισίων και κατευθυντήριων γραμμών για το πότε πρέπει να διατίθενται τα Δεδομένα σύμφωνα με αυτήν την πολιτική.
- Κάθε Διευθυντής θα είναι υπεύθυνος για τη διατήρηση των εγκαταστάσεων αποσυναρμολόγησης/τεμαχισμού εγγράφων ή/και και ανακύκλωσης στις εγκαταστάσεις του Εργοδότη.
- Το ΙΤ Τμήμα Πληροφοριακών Συστημάτων είναι υπεύθυνο για τη θέσπιση διαδικασιών για την ασφαλή διαγραφή δεδομένων, όπως απαιτείται από την παρούσα πολιτική.
ΚΕΦΑΛΑΙΟ 15 - ΣΥΜΒΑΝΤΑ ΑΣΦΑΛΕΙΑΣ ΕΜΠΙΣΤΕΥΤΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Σκοπός. Σκοπός αυτού του κεφαλαίου είναι να παράσχει μέτρα για να ληφθούν μέτρα όταν ενδέχεται να παραβιαστούν ευαίσθητες πληροφορίες.
Πολιτική.
1. Όλα τα παρατηρούμενα ή ύποπτα συμβάντα ασφαλείας εμπιστευτικών δεδομένων θα πρέπει να γνωστοποιούνται έγκαιρα στο ΙΤ Τμήμα Πληροφοριακών Συστημάτων το οποίο θα ενημερώσει την Διοίκηση του Εργοδότη και τον Διευθυντή του συνεργάτη/εργαζόμενου που ανέφερε το περιστατικό. Οι χρήστες δεν πρέπει να προσπαθούν να διερευνήσουν ή να επιλύσουν ένα περιστατικό από μόνοι τους.
2. Η Διοίκηση του Εργοδότη θα διερευνήσει το περιστατικό και, κατά περίπτωση, θα λάβει μέτρα για να περιορίσει τυχόν απώλεια δεδομένων και να επανορθώσει την υπό διερεύνηση αιτία τέτοιου περιστατικού.
3. Εάν, μετά από έρευνα, διαπιστωθεί ότι υπάρχει εύλογη πιθανότητα ότι τα Περιορισμένα Δεδομένα ενδέχεται να έχουν αποκαλυφθεί σε μη εξουσιοδοτημένα άτομα, θα λάβει όλα τα αναγκαία και επιβαλλόμενα μέτρα προστασίας του Εργοδότη και κάθε θιγόμενου, όπως ενημέρωση των αρχών και λοιπά νομικά και ποινικά μέτρα.
ΚΕΦΑΛΑΙΟ 16 – ΕΠΙΓΝΩΣΗ ΤΗΣ ΣΗΜΑΣΙΑΣ ΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
Σκοπός
Σκοπός του παρόντος κεφαλαίου είναι να διασφαλίσει ότι όλα τα στελέχη, συνεργάτες και εργαζόμενοι της επιχείρησης του Εργοδότη ενημερώνονται και γνωρίζουν τη σημασία και τη νομική υποχρέωση προστασίας των εμπιστευτικών πληροφοριών.
Πολιτική
1. Όλοι οι συνεργάτες/εργαζόενοι είναι υπεύθυνοι για την επανεξέταση αυτής της Πολιτικής Ασφάλειας Πληροφοριών και Δεδομένων και συμφωνούν καταφατικά ότι συμμορφώνονται με αυτήν. Οι Διευθυντές και οι Διαχειριστές πρόσβασης είναι υπεύθυνοι για την διανομή αυτής της πολιτικής σε όλους τους συνεργάτες και τον συντονισμό περιοδικών εκπαιδεύσεων σχετικά με την ασφάλεια των δεδομένων και την ολοκλήρωση της παρακολούθησης των εκπαιδεύσεων από συνεργάτες.
2. Κατά τη τυχόν διάρκεια δοκιμαστικής υπηρεσίας ή εκπαίδευσης, όλοι οι νέοι συνεργάτες και εργαζόμενοι πλήρους και μερικής απασχόλησης, οι προσωρινά απασχολούμενοι και οι εθελοντές θα πρέπει να ενημερώνονται για τη σημασία της ασφάλειας των πληροφοριών και για τους ρόλους τους στην προστασία εμπιστευτικών δεδομένων.
3. Τα μαθήματα (online ή προσωπικά) θα διεξάγονται περιοδικά για να συνεχίσουν να εκπαιδεύουν συνεργάτες και εργαζόμενους σχετικά με αυτήν την πολιτική και τη σημασία της ευαίσθητης ασφάλειας των δεδομένων. Η επιτυχής ολοκλήρωση αυτών των τάξεων παρακολουθείται από τους εκάστοτε Διαχειριστές πρόσβασης.
4. Οι Διευθυντές πρέπει να διασφαλίζουν ότι οι συνεργάτες υπό την επίβλεψή τους γνωρίζουν αυτή την Πολιτική Ασφάλειας Πληροφοριών και Δεδομένων και άλλες σχετικές πολιτικές, διαδικασίες και οδηγίες σχετικά με την ασφάλεια των πληροφοριών και έχουν πρόσβαση στις τρέχουσες εκδόσεις. Εάν οι τροποποιήσεις των πολιτικών διανεμηθούν, οι Διευθυντές πρέπει να ενημερώσουν τους υφισταμένους τους εντός επτά ημερών, εκτός αν δηλώνεται διαφορετικά.
5. Οι Διευθυντές θα διοργανώνουν σε ετήσια βάση ενημερωτικές και εκπαιδευτικές συνεδριάσεις για να αναθεωρήσουν τα βασικά στοιχεία της ασφάλειας των πληροφοριών και τις τρέχουσες πολιτικές ασφάλειας των πληροφοριών με συνεργάτες και εργαζόμενους υπό την εποπτεία τους.
6. Τα τρίτα μέρη που έχουν εξουσιοδοτηθεί να έχουν πρόσβαση σε εμπιστευτικά δεδομένα πρέπει να ενημερώνονται για τις ευθύνες τους βάσει αυτής της πολιτικής ασφάλειας δεδομένων. Η ευαισθητοποίηση σχετικά με την ασφάλεια πληροφοριών και το εκπαιδευτικό υλικό διατίθενται προς χρήση από εξουσιοδοτημένα τρίτα μέρη
ΚΕΦΑΛΑΙΟ 17 - ΠΕΡΙΟΔΙΚΗ ΑΝΑΘΕΩΡΗΣΗ ΠΟΛΙΤΙΚΗΣ
Σκοπός. Σκοπός του παρόντος κεφαλαίου είναι να καθορίσει τη διαδικασία για την περιοδική αναθεώρηση και την τροποποίηση αυτής της Πολιτικής Ασφάλειας Πληροφοριών και Δεδομένων.
Πολιτική
1. Μια ομάδα αναθεώρησης της πολιτικής για την ασφάλεια των δεδομένων που αποτελείται από τον επικεφαλής ΙΤ Τμήματος και των Διευθυντών συνεδριάζει ετησίως κάθε άνοιξη για να επανεξετάσει αυτή την πολιτική και να προτείνει τυχόν αλλαγές.
2. Ο πρόεδρος της επιτροπής αναθεώρησης της πολιτικής για την ασφάλεια των δεδομένων είναι ο επικεφαλής του ΙΤ Τμήματος.
3. Οι συστάσεις της ομάδας αναθεώρησης Πολιτικής Ασφάλειας Δεδομένων υποβάλλονται προς έγκριση στην Διοίκηση του εργοδότη