Ръководството на БУЛГЕД, в лицето на Управителя, официално декларира Политиката по ИНФОРМАЦИОННА СИГУРНОСТ на информационната система на Булгед със следния обхват:
„Полиграфически услуги: предпечатна подготовка, сканиране, експонация на филм, широкоформатен печат, цветни дигитални проби, CtP експонация на печатни офсетови плаки, CtP експонация на фотополимерни форми за флексопечат, дигитален печат – листов и ролен, и разнообразни довършителни процеси”.
Политиката е документирана, огласена и разбрана от всички служители, които имат достъп до информацията и информационните системи на Булгед. Политиката е одобрена от Управителя и се прилага в рамките на цялата организация. Политиката по информационната сигурност се поддържа от Съвета по информационна сигурност.
Настоящата политика по информационна сигурност задава рамката на система от мерки, насочени към:
• Гарантиране на конфиденциалност на информацията, чрез прилагането на одобрени ограничения върху достъпа и разкриването на информация
• Осигуряване на цялостност на информацията, чрез защита срещу неправомерни изменения или разрушаване на информация
• Осигуряване на достъпност на информацията, чрез осигуряване на надежден и навременен достъп на информацията
• Постигане на отчетност на информацията, чрез въвеждане на контрол върху достъпа и правата върху информационните ресурси

Обхват на системата за управление на информационната сигурност
Системата за управление на информационната сигурност обхваща всички документи (в електронен вид и на хартия);
• бази данни;
• компютри, в т.ч. преносими;
• софтуерни активи;
• локална мрежа;
• електронната страница на фирмата;
• носители на информация (дискове, USB памети и др.);
• устройства за копиране и предаване на данни;
• комуникационни устройства;
• инфраструктура на фирмата (електрозахранване, кабели за локална мрежа и др.)
• персонал
Системата за управление на информационната сигурност обхваща двата офиса на Булгед: офис „Васил Друмев” 36 и офис „Проф. Цветан Лазаров” 13.
Системата за управление на информационната сигурност обхваща процесите на предпечатна подготовка, сканиране, експонация на филм, широкоформатен печат, цветни дигитални проби, CtP експонация на печатни офсетови плаки, CtP експонация на фотополимерни форми за флексопечат, дигитален печат – листов и ролен, и разнообразни довършителни процеси.

Целите на настоящата политика са:
• осигуряване на непрекъснатост на бизнес процесите;
• минимизиране на рисковете за сигурността на информацията, причиняващи загуби или вреди на Булгед, нейните клиенти, партньори и други заинтересовани страни;
• минимизиране на степента на загуби или вреди, причинени от пробиви в информационната сигурност;
• осигуряване на необходимите ресурси за внедряване на ефективна СУИС;
• информиране на служителите за техните отговорности и задължения по отношение на информационната сигурност;
• осигуряване на съответствие с нормативни и договорни изисквания.

Ръководството на фирмата ще прилага следните основни принципи при разработване, внедряване и поддържане на СУИС:
1. От законова гледна точка:
• защита на данни и неприкосновеност на лична информация;
• опазване на архивите на организацията;
• защита на автоски права, търговска информация и други права върху интелектуална собственост.
2. От общоприетите най-добри практики за информационна сигурност:
• разработване на политика по информационна сигурност;
• разпределяне на отговорностите по информационна сигурност;
• обучение по информационна сигурност;
• докладване на инциденти, свързани със сигурността;
• управление непрекъснатостта на работа;
• дисциплинарен процес вследствие от нарушенията на политиката посигурността.

Усилията на Ръководството са насочени към:
• критичната (чувствителната) информация и системи да бъдат подлагани на редовен анализ на риска;
• за критичните (чувствителни) информационни ресурси и системи да бъдат определени „собственици” – служители отговорни за конкретните бизнес приложения, компютри и мрежи;
• информацията да бъде класифицирана по начин, който показва нейната критичност и чувствителност по отношение на организацията;
• персоналът да осъзнава проблемите на информационната сигурност;
• организацията да се съобразява с лицензите за софтуер, авторските и други свързани права, както и с други правни, регулаторни и договорни задължения;
• нарушаването на политиката по сигурността и евентуалните недостатъци в системата за информационна сигурност да бъдат докладвани;
• информационните ресурси да бъдат защитаванани от гледна точка на изискванията за конфиденциалност, цялостност и достъпност.

Въвеждането и спазването на политиката по информационна сигурност цели да се забранят:
• използването на информацията и системите на организацията без оторизация или за цели, които на са свързани с дейността й;
• изнасяне на оборудване или информация от офисите и производствените помещения на организацията без оторизация;
• неоторизирано копиране на информация и софтуер;
• компрометиране на пароли (например със записване или разпространяване);
• използване на персонална информация за бизнес цели, освен ако няма изрична оторизация;
• фалшифициране на доказателства в случай на инцидент.
• правене на порнографски/неприлични, дискриминационни или нападателни изявления, които могат да бъдат противозаконни (например с използване на електронна поща или интернет);
• разпространение на незаконни материали (например с неприлично или дискриминационно съдържание).
Отговорности:
За осъществяване на настоящата политика и за осигуряване функционирането на СУИС, Ръководството определя следните отговорности:
• Съвет по информационна сигурност (определен със Заповед)
Формулира, преглежда и одобрява Политиката по информационна сигурност и контролира ефикасността на нейното изпълнение; планира необходимите ресурси за сигурността на информационната система; определя ролите и отговорностите свързани със сигурността на информацията, изготвя планове за обучение и осъзнаване; координира прилагането на мерки за защита на информационната сигурност.

• Системни администратори
Отговарят за управление и поддържане на интернет, електронна поща, сървъри, локална мрежа, архивиране, техническа защита (софтуер и хардуер) от вреден софтуер; нива на достъп; проследимост на включване и опити за включване; изготвяне и поддръжка на цялостната документация, свързана с администрирането на информационната система и нейните подсистеми.
• Отговорник по сигурността (определен със Заповед)
Координира дейностите по прилагане на Политиката и мерките по осигуряване на информационна сигурност. Отговаря за изготвяне на методика за оценка на риска и за класификация на информацията, извършва оценка на риска и адекватност на мерките при изменения в информационната система, управлява възникнали несъответствия и инциденти, съдействува за осигуряване на обучението и осъзнаването на потребителите на информационната система.
• Собственици на информационния ресурс (информация, програми, приложения и поддържащите компютърни системи)
Участвуват в определяне степента на риска, идентификацията и оценката на мерките за сигурност, правата и привилегиите за достъп до съответния ресурс. Отговарят за спазването на правилата за правилна употреба на ресурса, генерирането, събирането, обработката, разпространението и предоставянето на информацията; защитата на ресурса. Собствениците носят отговорност даже когато ресурсът е споделен. Те отговарят за контрола върху използването, поддръжката и сигурността на актива, но не придобиват право на собственост.
• Потребители
Потребителите на информационната система, се задължават да следват процедурите и инструкциите по информационна сигурност, да докладват за проблеми и инциденти в информационната система.
Разработването и внедряването на Система за управление на информационна сигурност съгласно международния стандарт ISO 27001:2005 е основополагаща цел за реализация на бизнес стратегията на Организацията.
Разработването и внедряването на СУИС е в пълно съответствие с политиката, процедурите и практиките на Системата на управление на качеството, внедрена в Булгед ООД в съответствие с международния стандарт ISO 9001:2000.

Политика по оценка на риска
Оценката на риска се прилага за всеки актив на организацията или или извън нея, обхванат от споразумение с трета страна. Оценката на риска се прилага към цялата информационна система и включва приложоения, сървъри, мрежата, и всеки процес или процедура чрез които системата се администрира и/или поддържа.
Идентифицирането и оценката на риска се извършва на базата на разработената и внедрена от Организацията Методика за оценка на риска.
Резултатите от оценката на риска определят мерките за контрол за намаляване на риска в съответствие с нивата на риска.
Оценката на риска се извършва периодично, за да бъдат отчетени измененията в изискванията за сигурност, активите, заплахите, уязвимостите, въздействията или други настъпили промени.
Изпълнението на политиката по оценка на риска е отговорност на Съвета по информационна сигурност.

Политика по вътрешна организация на информационната сигурност
Ръководството провежда политика за координиране на цялата дейност в организацията по внедряването и поддържането на мерките за защита.
Булгед е извършила разпределяне на отговорностите по сигурността на информацията в съответствие с Политиката по сигурност на информацията. Ангажиментите на служителите са дефинирани в длъжностните им характеристики.
За координиране на дейностите по отношение на сигурността на информацията е създаден Съвет по информационна сигурност
Организацията е определила и документирала отговорностите за изпълнението на следните дейности:
• собственост и защита на активите;
• поддръжка на ключови ресурси на организацията – мрежа, сървъри, клиентски поръчки;
• закупуване, изменения и поддръжка на софтуерните ресурси;
• закупуване, изменения и поддръжка на хардуерни компоненти;
• правилата за поддръжка на инфраструктурата, вътрешния ред и контактите с външни организации;
• управление на инциденти;
• непрекъснатостта на дейността;
• сключване на споразумения за поверителност с трети страни и изисквания за защита на поверителната информация на организацията.

Политика по управление на активите
Политиката се отнася до служители, договарящи страни, консултанти, временно работещи за фирмата и други, включително и персонал на трети страни. Тази политика се отнася до цялото информационно оборудване, собственост или използвано от Булгед.
Политиката на фирмата за използване на активите цели не да налага ограничения, противоречащи на установената фирмена култура на откритост и доверие, а да защитава служителите на Булгед, нейните партньори и самата фирма от незаконни и увреждащи действия, извършени предумишлено или несъзнателно.
Системите свързани с Интернет, Локална мрежа, включително компютърното оборудване, приложния софтуер, операционните системи, средствата за съхранение на информация, електронната поща и други са собственост на Булгед. Тези системи са предназначени да се използват за целите на бизнеса в интерес на фирмата, на нашите клиенти и потребители, което налага въвеждане на правила за употреба.
Данните, които потребителите обработват и съхраняват в корпоративната система са собственост на фирмата и/или на клиентите на организацията. Поради необходимостта да се защитава информационната система на Булгед, Ръководството на фирмата не гарантира конфиденциалност на личната информация, съхранявана на което и да е устройство, принадлежащо на Булгед.
Служителите са задължени да правят добра преценка относно разумността на личната употреба.
За целите на сигурността и поддръжката на мрежата, системните администратори наблюдават оборудването, системите и мрежовия трафик по всяко време.
Булгед си запазва правото, чрез Системните администратори да деинсталира всякакъв софтуер или файлове, които не са свързани със служебните задължения на потребителя. Примери за такъв софтуер или файлове включват, но не се ограничават до, игри, музикални файлове, файлове с изображения, споделени и свободни програми, и др.
Булгед си запазва правото периодично да одитира мрежите и системите, за да провери спазването на тази политика.
Потребителите, имащи достъп до информацията разположена в системите свързани с Интернет/Локална мрежа, са длъжни да спазват Политиката за чисто бюро, чист екран и защита на ненадзиравани устройства.
Служителите трябва да прилагат изключително внимание когато работят с електронната поща, за да се предпазят от вируси, бомби, троянски коне, червеи и друг вреден софтуер.
Изброените по-долу дейности са забранени. Служителите могат да бъдат освободени от тези ограничения само в резултат на техните утвърдени служебни задължения:
• Служителите на Булгед нямат право при никакви обстоятелства да участвуват в каквато и да е дейност, която е незаконна спрямо националното или международното законодателство когато използват ресурсите на Булгед;
• Нарушение на правата на личност или организация, защитени от законите или разпоредбите за авторско право, търговски тайни, патенти или друга интелектуална собственост, включително и инсталирането или разпространението на „пиратски” или друг софтуерен продукт, който не е лицензиран за нуждите на Булгед (вж. Лицензионна политика).
• Копиране на материали, защитени с авторско право, в т.ч. дигитализиране и разпространение на фотографии от списания, книги, музика или други защитени източници и инсталиране на софтуер, за който Булгед или крайния потребител нямат активен лиценз.
• Въвеждане на вреден софтуер в мрежата или сървъра (напр. вируси, троянски коне, е-mail бомби и др.)
• Разкриване на паролите или допускане на друг човек да използва акаунтите. Това включва членове на семейството или други, живеещи в дома, когато се работи вкъщи.
• Представяне на фалшиви оферти за продукти или услуги на Булгед.
• Въвеждане на пробиви и разриви в мрежовите комуникации. Пробивите включват достъп до данни, до акаунт или до сървър, за които служителят не е оторизиран.
• Извършване на каквато и да е форма на наблюдение на мрежата, която ще прихваща данни, които не са предназначени за работните станции на служителите, с изключение на случаите, когато тази дейност е част от нормалните служебни задължения.
• Проваляне на автентификацията на потребителя или сигурността на която и да е станция, мрежа или акаунт.
• Използване на програма/скрипт/акаунт или изпращане на съобщения от всякакъв вид с намерение да се попречи или да се прекъсне сесията на потребителя, чрез всякакви средства локално или чрез Интернет/Локална мрежа.
• Предоставяне на информация за служителите и клиентите на Булгед на страни извън организацията.

Политика по сигурност, свързана с човешките ресурси
Човешките ресурси са основен елемент от СУИС. Политиката по сигурността на човешките ресурси на Булгед е насочена основно към осъзнаване на необходимостта от осигуряване на информационната сигурност чрез адекватно дефиниране на отговорности и обучение.
Администрирането на човешките ресурси на Организацията обхваща целия процес – проучване на кандидатите, назначаване, определяне на задълженията, промяна на длъжността и прекратяване на договорите, и се извършва в съответствие с разработена, документирана и внедрена „Процедура за набиране, подбор, назначаване и освобождаване на персонал в „Булгед” ООД”.
Контролът по връщането на активите на организацията се осъществява чрез подписване на декларация за поверителност, протокол за предоставяне на достъп до информационните ресурси на Организацията при постъпване на работа и обходен лист – при напускане на работа.
Правата за достъп се дават в съответствие с „Процедура за набиране, подбор, назначаване и освобождаване на персонал в „Булгед” ООД”, Приложение 1.
Всички служители на организацията, и където е уместно, доставчиците и потребителите от трета страна, в съответствие с техните функции на работа, преминават подходящо обучение и редовно актуализиране на знанията по политиката и процедурите на организацията.
Всички служители на Булгед и други физически лица, които използват ресурсите на Организацията, подписват Декларация за поверителност.
В случаи на сериозно нарушение на политиката и правилата за сигурност на човешките ресурси се прилага дисциплинарен процес, който включва отнемане на права за достъп до информационни ресурси, на активи и, ако е необходимо, отстраняване от работа.

Политика по физическа сигурност и сигурност на заобикалящата среда
Булгед провежда политика на защита на средствата за обработка и съхранение на информацията чрез определяне на граници на физическа сигурност и организация на зони за сигурност.
Работните помещения и техниката се защитават от физическо влизане чрез система за сигурност с различни зони за достъп и определени права за достъп до всяка зона, посочени в „Заповед относно различните зони на сигурност в „Булгед” ООД и регламентирания достъп до тях” (вж. Карти за зониране на офисите).
Прилагат се механизми за контрол на физическото влизане, които ограничават достъп до зоните с чувствителна или критична информация само на упълномощени служители.
Определени са местата за достъп на клиенти, доставки и зареждане. За да се избегне неразрешен достъп, не се допуска присъствие на външни лица в производствените помещенията на организацията без придружител от страна на служителите.
Политиката на Булгед по отношение на защита на устройствата цели намаляване на риска от неразрешен достъп до информацията с всички възможни последствия, загуба, повреда, кражба, прекъсване на дейността. Прилагат се технически мерки за защита от пожар и прекъсване в електрозахранването, защита на окабеляването и комуникационните връзки.
Изнасянето на устройства и работа извън офисите на фирмата, начините за поддръжка на информационните ресурси, както и за тяхното унищожаване или повторно използване, се извършва в съответствие със „Заповед относно изваждане от употреба или относно повторна употреба на оборудване”.
Булгед провежда и политика за осигуряване на условия за безопасна работа в съответствие със Закона за здравословни и безопасни условия на труда.

Политика по контрол на достъпа
Политиката на Булгед за контрол на достъпа е базирана на принципите „необходимо да знае” или „необходимо да се ограничи”, „всеки достъп, който не е изрично разрешен е забранен” и минимализиране на привилегиите.
Ръководството на Организацията прилага мерки на контрол на достъпа, които да осигуряват:
• физическа защита на информационните ресурси;
• достъп до съответните информационни ресурси в съответствие с политиката на собственика на ресурса и на ръководството на организацията;
• определяне на нивата на достъп в съответствие с ролята, която трябва да изпълняват служителите на организацията и нивата на класификация на информацията;
• механизми за контрол на физическото влизане;
• определяне на зони за обществен достъп, доставки и зареждане;
• контрол на нивото на достъп за всеки служител от регистрирането до крайната де-регистрация;
• разделяне на ролите за контрол на достъпа;
• минимизиране на необходимостта от специални привилегии;
• спазване на правилата за „чисто бюро и чист екран”;
• защита на ненадзиравани устройства;
• ограничаване нивата на достъп на външни потребители на информационната система
• отнемане на права на достъп при напускане;
• периодичен преглед на достъпа;
• ъпргрейд на контрола на достъп в отговор на нови заплахи, възможности, изисквания на бизнеса или изводи от инциденти.
.
Политика по Разработване, внедряване и поддържане на информационните системи
Политиката на Булгед по разработване, внедряване, изменение и поддържане на информационните системи е базирана на принципа на превантивната оценка на риска от измененията, включително ъпгрейд на съществуващи и внедряване на нови елементи от системата, разделение на средата за изпитване от действащата информационна система и планирана поддръжка на цялата информационна система.
С цел предотвратяване на грешки, загуба, неразрешено изменение или използване на информация в приложни системи се прилагат механизми за контрол върху входните данни, вътрешната обработка, изходните данни и данните за изпитването на системата, които са дефинирани в процедура „Правилна обработка на информацията в приложните системи”.
Всички изменения в хардуера и в софтуера на системата се извършват само с предварително разрешение и в съответствие с процедура „Управление на сигурността при придобиване, разработване и поддържане на информационни системи”.
Приложени са мерки за управление на технически уязвимости, които включват приложенията, операционните системи и оценка на риска, свързан с техническите уязвимости.
Организацията определя изискванията за сигурност, които трябва да се спазват при придобиване, разработване и поддържане.

Политика по Управление на инциденти и подобряване на сигурността на информацията
С цел намаляване на риска и произтичащите от появата на инциденти разходи Булгед е разработила и внедрила политика за управление на инциденти, която е насочена към разработване и внедряване на процедури и средства за ефективно третиране на слабостите и пробивите, свързани със сигурността на информацията. Мерките обхващат непрекъснато наблюдение, реагиране, оценяване, подобряване и цялостно управление на слабостите и инцидентите.
Всички потребители на информационната система на Организацията са задължени да докладват за наблюдавани събития и слабости в информационната сигурност в съответствие с Процедурата за докладване на слабости и пробиви в информационната сигурност.
Действията свързани с управление на инциденти се извършват в съответствие с Процедурата за управление на инциденти и включват докладване, анализ на причината, планиране на коригиращи и превантивни мерки за предотвратяване от повторна поява, възстановяване на системата и съобщаване за инцидента.
Действията за възстановяване след нарушение на сигурността и за коригиране на грешки на системата се извършват от определен и упълномощен персонал и са документирани, и докладвани.
Където се изискват доказателства, те се събират и съхраняват, за да се гарантира съответствие с изискванията на нормативните актове при последващи правни действия срещу лице или организация след инцидент със сигурността на информацията.
В организацията се събират данни и се извършва анализ на вида и броя на инцидентите, и на направените разходи по разрешаване на инцидентите с цел да се идентифицират повтарящите се инциденти или инцидентите с голямо влияние, и да се ограничат честотата, щетите и загубите от появата им в бъдеще. Оценката на инцидентите е част от входните данни при Прегледа от ръководството.

Политика за осигуряване на непрекъснастта на бизнеса
Ръководството на Организацията разбира необходимостта от планиране непрекъснатостта на бизнеса. То осъзнава, че има значителен риск за неговите критични процеси при потенциални и неочаквани разрушителни събития. Увеличаващото се развитие на процеси базирани на технологии и силната зависимост от информационните технологии е основание за създаване на план за непрекъснатост на работа.
Булгед е разработила план за непрекъснатост на работата на информационната система на Организацията, който да обезпечи непрекъснатост на работата на критичните ресурси на системата при настъпване на сериозни неблагоприятни условия и прекъсване по-голямо от 48 часа. Планът е разработен от Отговорника по сигурността и е съгласуван с ръководителите отдели и отговорниците на пряко подчинение на Управителя.
Планът за непрекъснатостта на работа е разработен и приложен във всички отдели на Организацията с цел критичните бизнес задачи да бъдат възстановени в необходимия период от време. Планът представлява интегрална част от всички процеси по управление. Планът по непрекъснатостта е съгласуван и интегриран в Организацията по отношение на алтернативни офиси и възстановителни процеси.
Планът по непрекъснатостта е съгласуван с процедурите и мерките по управление на инциденти.
Планът определя специфичните отговорности на определените екипи, които да осигурят възобновяване и възстановяване на критичните информационни функции. Планът осигурява придобиване и поддържане на информационни ресурси, необходими за осъществяването непрекъснатост на работа.
Планът се поддържа и тества, с цел установяване на пропуски и слабости.
Промените в информационната система на Организацията се разглеждат и оценяват по отношение на влиянието и риска, свързани с плана за непрекъснатост.
Политиката и планът за непрекъснатост на работа са координирани с дейностите по информационна сигурност, включително физическа сигурност, човешки ресурси, архивиране.
Непрекъснатостта на поддържането на интернет и на интернет-страниците на организацията е отговорност от доставчиците на услугите и се базира на двустранни договори.

Лицензионна политика
Политиката на организацията е създадена с цел да се спазват всички авторски права на компютърния софтуер, както и условията по софтуерните лицензи, по които тя е страна. Организацията предприема всички необходими действия за предотвратяване на копирането на лицензиран софтуер от потребителите, както и използването на свързана с него документация в офисите на организацията или на друго място, освен ако не съществува изрично разрешение за това съгласно договора с лицензодателя. Забранява се на служителите да използват софтуера по начин, който не съответства на лицензионния договор, включително предоставяне или получаване на софтуер или шрифтове от клиенти, изпълнители по договори, потребители и други.
Целият софтуер, придобит от организацията, трябва да бъде закупен след съгласуване със системните администратори и Отговорника по сигурността. Каналите за придобиване на софтуер са ограничени, за да гарантират, че организацията поддържа пълна документация за закупения софтуер и може да регистрира, поддържа и актуализира съответния софтуер. Това включва софтуер, който може да бъде свален и/или закупен от интернет.
Компютрите на БУЛГЕД са активи собственост на организацията и трябва да бъдат използвани с лицензиран софтуер и да бъдат защитени от вируси. Забранява се на потребителите да донасят софтуер отвън и да го инсталират на своите компютри в организацията. Притежаваният от организацията софтуер не може да бъде изнасян от потребителите и качван на други компютри.
Всички потребители трябва да използват целия наличен софтуер при спазване на съответните лицензионни договори и да съзнават, че те не притежават този софтуер или свързаната с него документация, и освен ако изрично не са упълномощени от издателя на софтуера, не могат да правят допълнителни копия, освен за нуждите на архива.
Булгед няма да толерира използването на никакви неоторизирани копия на софтуер или шрифтове. Всеки, който незаконно копира софтуер, може да бъде обект на граждански или наказателни санкции, включително налагане на глоби и затвор. Никой потребител не трябва да толерира незаконното копиране на софтуер при никакви обстоятелства, а всеки който разработва, използва или придобива нелицензиран софтуер ще бъде наказан дисциплинарно.
Никой потребител не може да дава софтуер или шрифтове на външни лица, включително клиенти и др. При никакви обстоятелства Булгед не може да използва софтуер, който е донесен от нелицензирано местонахождение, включително, но не само от интернет, дом, приятели и колеги.

Политика за защита на личните данни
Политиката на Булгед за защита на личните данни е изцяло съобразена със Закона за защита на личните данни.
Булгед събира лични данни единствено за уреждане на трудово-правните взаимоотношения със служителите. Информацията не се използва повторно за цели, несъвместими с първоначалните.
Информацията, която Булгед може да събира, включва данни от лични карти, здравни досиета, телефонни и факс номера, адрес за електронна поща, и др. Изрично се забранява събирането на информация, която:
• разкрива расов или етнически произход;
• разкрива политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
• се отнася до здравето, сексуалния живот или до човешкия геном.
Булгед няма да продава, отдава, търгува с всякаква лична информация, получена от служителите си или от подизпълнителите.
Определените отговорни служители, обработващи лични данни, са задължени да третират информацията като конфиденциална.
Предприети са мерки за физическа и логическа защита на личните данни и са ограничени правата за достъп до тях.
Всеки служител, за когото се отнасят данните („субект на данни“) има право на достъп до своите данни, както и да изиска тяхното коригиране.

Заключение
Политиката по информационна сигурност е разпространена до трети страни, които имат достъп до информацията и системите на организацията.
Политиката по информационна сигурност се преглежда редовно на базата на установен процес.
Политиката по информационна сигурност се ревизира, за да се вземат под внимание променящите се обстоятелства.
Всеки служител, който прецени, че има злоупотреба с настоящата политика в организацията, трябва да уведоми Отговорника по сигурността.
Всеки служител, за когото е установено, че е нарушил тази политика, подлежи на дисциплинарна отговорност.
Персоналът на Булгед се задължава да спазва всички правила, свързани с информационната сигурност, описани в процедури, инструкции и други документи от СУИС.

Ръководството на БУЛГЕД декларира своята пълна ангажираност в процесите на развитие, поддържане и усъвършенствуване на СУИС.