Register.si je razvil politiko informacijske varnosti v obliki politik, operativnih dokumentov, navodil za delo in usposabljanj, s čimer zagotavlja varovanje informacijskih virov pred vsemi notranjimi, zunanjimi, ciljanimi in naključnimi grožnjami. V vse procese sistematično uvajamo ukrepe za zagotavljanje in izboljševanje informacijske varnosti, kjer sledimo zahtevam standarda ISO/IEC 27001:2013.

Zato:

  1. delujemo skladno z našim poslanstvom, vizijo, vrednotami in strateškimi cilji;
  2. izpolnjujemo z zakonodajne, regulatorne in pogodbene obveznosti;
  3. ohranjamo zaupnost, celovitost in razpoložljivost informacij tako, da obvladujemo grožnje in ranljivosti naših poslovnih procesov in aktivnosti z metodami upravljanja (1) tveganj, (2) sprememb, (3) zmogljivosti, (4) ranljivosti, (5) varnostnih incidentov, (6) sredstev in z (7) metodami neprekinjenega poslovanja;
  4. smo za zaposlene vzpostavili program usposabljanj s katerim izboljšujemo nivo znanja in zavedanja o informacijski varnosti;
  5. izvajamo redno (1) analizo tveganj za kritične procese, preverjanje (2) skladnosti in (3) učinkovitosti sistema upravljanja informacijske varnosti (SUVI), pri čimer uporabljamo strukturirano metodologijo;
  6. dodeljujemo pristojnosti in lastništvo informacijskih virov posameznikom, ki imajo sposobnosti, sredstva in odgovornost, da zagotavljajo njihovo varnost.

Informacijska varnostna politika se nanaša na informacije in podatke, organizacijske in tehnične procese, mrežne povezave in seje, sistemske komponente (strojna in programska oprema), lokacije in zaposlene.

V procesu vzpostavljanja SUVI smo sodelovali vsi zaposleni na Registru .si. S strokovnimi nasveti nam je pomagal nizozemski nacionalni register (SIDN), ki je že dolgo certificiran. Na ta način smo pridobili ustrezno znanje informacijske varnosti podkrepljeno s številnimi dragocenimi primeri iz prakse specialnega področja, ki ga pokrivamo le nacionalni registri.