1. Στο πλαίσιο τήρησης ενός ενιαίου ελάχιστου βασικού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών, η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) ορίζει τις απαιτήσεις για την εφαρμογή μιας Ενιαίας Πολιτικής Ασφάλειας. Κάθε Οργανισμός θεσπίζει, υλοποιεί και διατηρεί επίκαιρη και καταγεγραμμένη Πολιτική Ασφαλείας σχετική με την ασφάλεια των συστημάτων δικτύου και πληροφοριών, τα οποία υποστηρίζουν την παροχή βασικών υπηρεσιών του φορέα. Η Πολιτική Ασφάλειας του Οργανισμού οφείλει να καλύπτει τουλάχιστον όσα ορίζει η Ενιαία Πολιτική Ασφάλειας. Ειδικότερα ορίζεται ότι:
α. Η Πολιτική Ασφάλειας, οφείλει μεταξύ άλλων να ορίζει τους στόχους ασφάλειας, να περιγράφει τη διακυβέρνηση και να παραπέμπει σε άλλες συμπληρωματικές πολιτικές, σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών του Οργανισμού.
β. Βασικοί στόχοι της Πολιτικής Ασφάλειας είναι:
• η διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των δεδομένων, συστημάτων και υπηρεσιών έναντι εκούσιων ή ακούσιων απειλών
• η ικανοποίηση των νομικών και κανονιστικών απαιτήσεων σχετικών με την ασφάλεια και προστασία δεδομένων
• η επιχειρησιακή συνέχεια των βασικών υπηρεσιών του Οργανισμού έναντι περιστατικών κυβερνοεπιθέσεων
• η ενημέρωση και η εκπαίδευση όλων των υπαλλήλων και λοιπών εμπλεκομένων τρίτων σχετικά με την παροχή των βασικών υπηρεσιών του Οργανισμού
• η άμεση κοινοποίηση και διαχείριση περιστατικών ή αδυναμιών ασφαλείας.
γ. Αρμόδιοι για την εφαρμογή της Πολιτικής Ασφάλειας, είναι:
• η Διοίκηση του Οργανισμού, η οποία εγκρίνει, αναθεωρεί και είναι αρμόδια για την αποτελεσματική και αποδοτική εφαρμογή της Πολιτικής Ασφάλειας.
• ο Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων, όπως περιγράφεται στο άρθρο 6 της παρούσας, ο οποίος επιβλέπει και συντονίζει την εφαρμογή αυτής της πολιτικής μέσω χρήσης κατάλληλων προτύπων, διαδικασιών και διεθνών πρακτικών και λειτουργεί ως σημείο επαφής με τους αρμόδιους φορείς
• όλο το προσωπικό και οι συμβεβλημένοι προμηθευτές, οι οποίοι ακολουθούν τις διαδικασίες για την τήρηση της πολιτικής ασφάλειας πληροφοριών.
δ. Η Πολιτική Ασφάλειας θα πρέπει να λαμβάνει μέριμνα για την τήρηση των «Βασικών Απαιτήσεων Ασφάλειας», όπως αυτές ισχύουν και ορίζονται από την Εθνική Αρχή Κυβερνοασφάλειας.
