Polityka Bezpieczeństwa dla Dostawców

Transkrypt

1 Polityka Bezpieczeństwa Właściciel Zatwierdził Wersja 1.4 Bartłomiej Szymczak Quality and Security Manager Paweł Borkowski Główny Architekt Data wersji Data kolejnego przeglądu Status Klasa bezpieczeństwa dokumentu opublikowany Wewnętrzny_innogy Copyright Jakiekolwiek wykorzystywanie lub utrwalanie niniejszego materiału, w całości lub w części, takie jak sporządzenie fotokopii lub przechowywanie na jakimkolwiek nośniku elektronicznym lub w dowolnej innej formie, wymaga pisemnego zezwolenia upoważnionego przedstawiciela innogy Business Services Polska Sp. z o.o. i może odbywać jedynie w sposób zgodny z tym zezwoleniem. Polityka_bezp_dostawców_PBDD_v1.4 Strona 1 z 19

2 Spis treści 1 Historia zmian i przeglądów Słownik pojęć Cel i zakres stosowania dokumentu Polityka bezpieczeństwa realizacji zadań procesów projektowych Dostawcy Polityka bezpieczeństwa budowy środowisk rozwojowych i testowych Polityka korzystania z usług w chmurze Polityka audytów bezpieczeństwa dostawców Polityka zakończenia współpracy Załączniki Tracące ważność/ współobowiązujące regulacje Polityka_bezp_dostawców_PBDD_v1.4 Strona 2 z 19

3 1 Historia zmian i przeglądów Wersja Status 0.1 W opracowaniu 1.0 Opublikowany 1.1 Opublikowany 1.2 Opublikowany 1.3 Opublikowany 1.3 Opublikowany 2 Słownik pojęć Wykonawca Data Artur Sygnatowicz Bartłomiej Szymczak Bartłomiej Szymczak Bartłomiej Szymczak Bartłomiej Szymczak Bartłomiej Szymczak Wersja inicjalna Uwagi Zmiana marki z innogy na Innogy Bez zmian merytorycznych Poprawki edycyjne po rozmowach z dostawcami oraz przeglądzie z Antonim Pajdo Przegląd, zmiana nazewnictwa klasyfikacji bezpieczeństwa informacji. Przegląd, aktualizacja zapisów dotyczących zdalnych dostępów. Pojęcie Dopuszczenie Dostawca Dostępność BS PL Integralność Znaczenie pojęcia Przytoczone pojęcia (oraz inne im odpowiadające) oznaczają tryb postępowania, którego użycie (lub poniechanie albo zastąpienie alternatywą) jest dopuszczalne pod warunkiem znalezienia uzasadnienia: może, dopuszczalne, akceptowalne, opcjonalnie. Firma powiązana umową formalno-prawną z innogy BS PL lub powiązana formalnie poprzez umowy prawne ze spółkami Grupy innogy, realizująca dostawy lub świadcząca usługi na rzecz innogy BS PL lub spółek powiązanych. Właściwość bycia dostępnym i użytecznym za żądanie autoryzowanego podmiotu. [PN-ISO/IEC 27000: P] Dział w innogy Business Services Polska Sp. z o.o. Właściwość polegająca na zapewnieniu dokładności i kompletności [PN-ISO/IEC 27000: P] Polityka_bezp_dostawców_PBDD_v1.4 Strona 3 z 19

4 Pojęcie Klasa bezpieczeństwa informacji i oznaczenie klasy dokumentu Nakaz lub zakaz Poddostawca Poufność SZBI Zalecenie Znaczenie pojęcia Klasa bezpieczeństwa informacji dotyczy informacji. Jest określana na podstawie skutków dla Grupy innogy, jakie może wywołać naruszenie poufności, dostępności lub integralności informacji. Służy do wyznaczenia właściwego poziomu zabezpieczeń informacji. Dokument oznacza się klasą bezpieczeństwa dokumentu, zależną wprost od klasy bezpieczeństwa informacji w nim zawartych: Klasa bezpieczeństwa informacji: niska (informacje publiczne), średnia (informacje do użytku wewnętrznego), wysoka (informacje zastrzeżone, na przykład dane osobowe) bardzo wysoka (informacje poufne, szczególnie chronione, o wysokim znaczeniu). Oznaczenie klasy dokumentu: Publiczny Wewnętrzny_innogy Zastrzeżony_innogy Poufny_innogy Brak oznaczenia dokumentu jest równoważny z oznaczeniem Wewnętrzny_innogy. Dokładna charakterystyka klas podana jest w dokumencie polityki tworzenia i utrzymywania dokumentacji procesowej [1]. Przytoczone pojęcia (oraz inne im odpowiadające) oznaczają bezwzględny obowiązek (lub odpowiednio zakaz) opisanego postępowania: musi, jest, ma, wymagane, niezbędne, konieczne, trzeba; nie ma, zabronione, wzbronione, niedopuszczalne, zakazane, niemożliwe, nie można. Dostawca Dostawcy innogy BS PL. Właściwość polegająca na tym, że informacja nie jest udostępniona ani ujawniana nieautoryzowanym osobom, podmiotom, procesom. [PN-ISO/IEC 27000: P] System Zarządzania Bezpieczeństwem Informacji według normy PN-ISO/IEC 27001: w BS PL Przytoczone pojęcia (oraz inne im odpowiadające) oznaczają zalecenie wykonywania (lub odpowiednio powstrzymywania się od wykonywania) opisanego postępowania: powinno, należy, zalecane, wskazane, rekomendowane nie należy, należy unikać, nie powinno, niewskazane, niezalecane, nierekomendowane. Niezastosowanie się do zalecenia dopuszczalne jest tylko w przypadku, gdy w wyniku przeprowadzonej analizy wykazano, że zastosowanie się do zalecenia jest: niemożliwe, szkodliwe lub niebezpieczne, zbędne, nieracjonalne lub nieefektywne. Uzasadnienie należy udokumentować. Polityka_bezp_dostawców_PBDD_v1.4 Strona 4 z 19

5 3 Cel i zakres stosowania dokumentu Celem niniejszego dokumentu jest zapewnienie bezpieczeństwa systemów rozwojowych i testowych, budowanych i eksploatowanych przez dostawców innogy, danych jakie znajdują się w tych systemach a także bezpieczeństwa realizacji zadań na rzecz innogy. Niniejszy dokument dotyczy tylko tych systemów, które są wykorzystywane do realizacji zadań na rzecz innogy. W dalszej części dokumentów sformułowanie systemy rozwojowe i testowe odnosi się wyłącznie do systemów służących do rozwijania i testowania rozwiązań informatycznych realizowanych na rzecz innogy. Niniejszy dokument obowiązuje w BS PL. Niniejszy dokument obowiązuje od dnia opublikowania. Najnowsza wersja niniejszego dokumentu opublikowana jest na WIKI Quality Polityka_bezp_dostawców_PBDD_v1.4 Strona 5 z 19

6 4 Polityka bezpieczeństwa realizacji zadań PBDD 1.1 Cele bezpieczeństwa Dostawca WINIEN zapewnić, że zadania realizowane na rzecz BS PL będą zarządzane zgodnie z najlepszymi praktykami określonymi w rozdz normy PN-ISO/IEC W szczególności MUSI zostać zapewnione, aby: a. Dostawca zidentyfikował cele bezpieczeństwa realizowanego przedsięwzięcia. b. Dostawca zidentyfikował i oszacował ryzyka związane z realizacją przedsięwzięcia. c. Zdefiniował i zastosował zabezpieczenia adekwatne do zidentyfikowanych ryzyk. PBDD 1.2 Klasyfikacja informacji Dostawca WINIEN stosować klasyfikację informacji przesyłanej, przechowywanej i przetwarzanej w kontekście realizacji zadań na rzecz innogy, zgodnie z zasadami klasyfikacji określonymi w niniejszym dokumencie oraz najlepszymi praktykami określonymi w rozdz. 8.2 normy PN-ISO/IEC PBDD 1.3 informacji Dostawca WINIEN zapewnić bezpieczeństwo informacji przesyłanej w związku z realizacją zadań na rzecz innogy zgodnie wymaganiami określonymi w rozdz normy PN-ISO/IEC W szczególności Dostawca MUSI: a. Zapewnić ochronę poufności oraz integralności informacji przesyłanej publicznymi kanałami transmisyjnymi, odpowiednio do jej klasy bezpieczeństwa. b. Zapewnić, że wszystkie osoby mające dostęp do informacji chronionych lub szczególnie chronionych podpisały klauzule poufności. PBDD 1.4 łańcucha dostaw Dostawca MUSI zidentyfikować i udokumentować łańcuch dostaw związany z realizacją projektu. Dostawca MUSI zapewnić, że jego poddostawcy zapewniają taki sam poziom bezpieczeństwa jaki spełnia on sam w odniesieniu do BS PL. Dostawca odpowiada za zapewnienie bezpieczeństwa w całym łańcuchu dostaw produktów i usług, za który jest odpowiedzialny zgodnie z zawartą umową. Wytyczne do realizacji tego wymagania określają najlepsze praktyki zawarte w rozdz i normy PN-ISO/IEC Polityka_bezp_dostawców_PBDD_v1.4 Strona 6 z 19

7 PBDD 1.5 personelu Dostawca WINIEN zapewnić bezpieczeństwo wykorzystywanego personelu zgodnie z najlepszymi praktykami określonymi w rozdz , oraz normy PN-ISO/IEC , adekwatnie do zadań realizowanych na rzecz innogy. W szczególności Dostawca MUSI posiadać i realizować udokumentowane polityki dotyczące jego personelu, które obejmują: a. Przekazanie swojemu personelowi, realizującemu zadania na rzecz innogy, informacji o wymaganiach bezpieczeństwa współpracy z innogy. b. Zapewnienie, poprzez adekwatne szkolenia, odpowiedniego poziomu informacji o wymaganiach bezpieczeństwa oraz sposobach ich realizacji. c. Podpisanie przez pracowników realizujących zadania na rzecz innogy oświadczeń o zapoznaniu się z wymaganiami bezpieczeństwa i odpowiednimi politykami ich realizacji. Podpisane oświadczenie winno także zawierać klauzulę o zachowaniu poufności pozyskanych informacji. PBDD 1.6 urządzeń mobilnych Dostawca WINIEN zapewnić bezpieczeństwo wykonywania na rzecz innogy BS PL pracy zdalnej oraz wykorzystywanych urządzeń mobilnych zgodnie z najlepszymi praktykami określonymi w rozdz normy PN-ISO/IEC W szczególności Dostawca MUSI posiadać i realizować udokumentowaną politykę korzystania z urządzeń mobilnych, która zapewnia: a. Ochronę fizyczną urządzeń przenośnych (komórki/tablety/ notebooki). b. Nadzór nad oprogramowaniem instalowanym na urządzeniach mobilnych. c. Zarządzanie uprawnieniami dostępu do urządzeń mobilnych. d. Ochronę urządzeń mobilnych przed szkodliwym oprogramowaniem. e. Zarządzanie technikami kryptograficznymi, które zapewnią bezpieczeństwo przechowywanych danych. f. Ograniczenia w połączeniach do usług informacyjnych. g. Bezpieczną realizację kopii bezpieczeństwa. h. przed ingerencją zewnętrzną, np. firewall lokalny. i. zdalnego zarządzania urządzeniami. Polityka_bezp_dostawców_PBDD_v1.4 Strona 7 z 19

8 PBDD 1.7 wymiennych nośników danych Dostawca WINIEN zapewnić bezpieczeństwo wymiennych nośników danych wykorzystywanych w związku z realizacją zadań na rzecz innogy zgodnie z najlepszymi praktykami określonymi w rozdz. 8.3 normy PN-ISO/IEC W szczególności Dostawca MUSI: a. Posiadać i realizować polityki dotyczące bezpiecznego usuwania danych z nośników zawierających dane związane z realizacją zadań na rzecz innogy, zapewniając skuteczne usuwanie. b. Posiadać i realizować polityki bezpiecznego przekazywania nośników zawierających dane związane z realizacją zadań na rzecz innogy, zapewniając skuteczną ochronę danych. PBDD 1.8 powierzonych aktywów Dostawca WINIEN zapewnić właściwe użycie aktywów, powierzonych przez BS PL, wykorzystywanych w pracach na rzecz innogy zgodnie z najlepszymi praktykami określonymi w rozdz i normy PN- ISO/IEC W szczególności WYMAGANYM jest aby: a. Użytkownicy tych aktywów posiadali świadomość odnośnie bezpiecznego korzystania z udostępnionych aktywów. b. Po zakończeniu realizacji zleconych zadań użytkownicy zwrócili aktywa lub, w przypadku gdy są to dane, usunęli je w skuteczny sposób. Polityka_bezp_dostawców_PBDD_v1.4 Strona 8 z 19

9 PBDD 1.9 zdalnej pracy Dostawca WINIEN zapewnić bezpieczeństwo zdalnej pracy na systemach innogy zgodnie z najlepszymi praktykami określonymi w rozdz normy PN-ISO/IEC W szczególności: a. Zdalny dostęp do zasobów Zleceniodawcy MUSI być realizowany wyłącznie z wykorzystaniem zasobów i informacji udostępnionych przez Zleceniodawcę. b. Zdalny dostęp do zasobów Zleceniodawcy MUSI być wykorzystywany tylko w celach i zakresie określonym przez Zleceniodawcę. c. Nadawany zdalny dostęp jest imienny i wydawany każdemu pracownikowi Dostawcy indywidualnie. d. Osoby korzystające ze zdalnego dostępu są ZOBOWIĄZANE do zapewnienia ochrony fizycznej zasobów oraz zachowania poufności informacji niezbędnych do korzystania ze zdalnego dostępu. e. Osoby korzystające z zasobów oraz informacji niezbędnych do korzystania ze zdalnego dostępu NIE MOGĄ ich udostępniać ani ujawniać innym osobom. f. Wykorzystanie zdalnego dostępu MUSI być realizowane warunkach, które będą zabezpieczały przed ujawnieniem informacji poufnych. Szczególną ostrożność należy zachować w miejscach publicznych. g. ZABRONIONE jest wykorzystywanie podatności w zdalnym dostępie zidentyfikowanych przez osoby korzystające ze zdalnego dostępu. h. Wszelkie wykryte podatności MUSZĄ być niezwłocznie zgłoszone do Zleceniodawcy. Dalsze korzystanie ze zdalnego dostępu winno być realizowane wyłącznie po wyrażeniu zgody przez Zleceniodawcę. i. Osoby korzystające ze zdalnego dostępu MUSZĄ zapewnić, że zdalny komputer nie jest jednocześnie podłączony do innej sieci komputerowej, ewentualnie za wyjątkiem sieci komputerowej Dostawcy. j. Osoby korzystające ze zdalnego dostępu MUSZĄ zapewnić, że zdalny komputer posiada zainstalowane aktualne oprogramowanie chroniące przez złośliwym kodem. k. Zleceniodawca ma prawo do nagrywania, przechowywania i wykorzystania w celach dowodowych nagrań z przeprowadzonego zdalnego dostępu. l. Zleceniodawca ma prawo do rejestrowania, przechowywania i wykorzystania w celach dowodowych wszelkich zdarzeń związanych z realizacją zdalnego dostępu. Polityka_bezp_dostawców_PBDD_v1.4 Strona 9 z 19

10 5 procesów projektowych Dostawcy PBDD 2.1 procesu projektowego Dostawca WINIEN wykorzystywać w procesach projektowych, realizowanych na rzecz innogy, najlepsze praktyki określone w rozdz , , normy PN-ISO/IEC W szczególności Dostawca MUSI: a. Zapewnić istnienie i realizację udokumentowanych punktów kontrolnych realizacji wymagań bezpieczeństwa. b. Zapewnić kontrolę wersji wytwarzanego kodu oraz dokumentacji. c. Zapewnić spełnienie udokumentowanych standardów programowania, przekazanych w ramach realizacji prac Zapewnić realizację udokumentowanych procedur zarządzania zmianami w wytwarzanych aplikacjach, systemach. PBDD 2.2 Zarządzanie zmianami Dostawca WINIEN zapewnić, że zmiany wprowadzane do projektowanych rozwiązań będą realizowane zgodnie z najlepszymi praktykami określonymi w rozdz normy PN-ISO/IEC W szczególności Dostawca MUSI zapewnić, że: a. Zmiany będą rejestrowane. b. Zmiany będą zatwierdzane przez upoważnione osoby. c. Będą istniały procedury zarządzania zmianami w wytwarzanych aplikacjach i systemach. PBDD 2.3 Ochrona dokumentacji projektowej eksploatacyjnej i Dostawca WINIEN zapewnić ochronę dokumentacji projektowej oraz eksploatacyjnej, tworzonej i przetwarzanej na rzecz innogy, zgodnie z najlepszymi praktykami określonymi w rozdz oraz normy PN-ISO/IEC W szczególności: a. Dokumentacja może być udostępniona wyłącznie osobom mającym upoważnienie do dostępu do takiej informacji w oparciu o umowę z innogy. b. Dostawca jest ZOBOWIĄZANY do oznaczania dokumentacji projektowej klasą bezpieczeństwa według klasyfikacji innogy. c. Dokumentacja MUSI być przechowywana w repozytorium zapewniającym ochronę poufności oraz integralności przechowywanej dokumentacji. d. Dostawca MUSI rejestrować zdarzenia związane z dostępem do bezpiecznego repozytorium i przechowywać bezpiecznie zapisy nie krócej niż 3 lata Polityka_bezp_dostawców_PBDD_v1.4 Strona 10 z 19

11 PBDD 2.4 Incydenty bezpieczeństwa Dostawca MUSI zapewnić identyfikowanie i obsługę incydentów bezpieczeństwa zgodnie z najlepszymi praktykami określonymi w rozdz normy PN-ISO/IEC W szczególności Dostawca MUSI zgłaszać w formie pisemnej do innogy BS PL wszelkie incydenty bezpieczeństwa, które mają związek z zadaniami realizowanymi na rzecz innogy lub z produktami wytwarzanymi na rzecz innogy. PBDD 2.5 Incydenty bezpieczeństwa W przypadku zaistnienia incydentu bezpieczeństwa Dostawca MUSI podjąć wszelkie niezbędne środki, aby zminimalizować wpływ incydentu na działanie innogy lub na jego wizerunek publiczny. Dostawca MUSI także posiadać odpowiednie procedury umożliwiające gromadzenie wszelkich dowodów związanych z zaistnieniem incydentu bezpieczeństwa, zgodnie z najlepszymi praktykami określonymi w rozdz normy PN-ISO/IEC Polityka_bezp_dostawców_PBDD_v1.4 Strona 11 z 19

12 6 Polityka bezpieczeństwa budowy środowisk rozwojowych i testowych PBDD 3.1 Bezpieczne środowisko rozwojowe Dostawca WINIEN realizować prace rozwojowe z wykorzystaniem bezpiecznego środowiska rozwojowego, dla którego najlepsze praktyki określono w rozdz normy PN-ISO/IEC W szczególności Dostawca MUSI zapewnić: a. Zabezpieczenia środowiska rozwojowego i testowego adekwatne do poziomu ryzyka związanego z wykorzystaniem danych o określonym poziomie ochrony. b. Kontrolę przepływu danych od i do środowiska rozwojowego i testowego, zapewniając brak upływu danych testowych oraz brak nieuprawnionego dostępu do systemów. PBDD 3.2 środowisk rozwojowych i testowych Dostawca WINIEN zapewnić bezpieczeństwo fizyczne środowisk rozwojowych i testowych zgodnie z najlepszymi praktykami określonymi w rozdz i 11.2 normy PN-ISO/IEC W szczególności Dostawca MUSI: a. Zapewnić bezpieczeństwo fizyczne obszaru, w którym znajdują środowiska rozwojowe i testowe. b. Zapewnić ochronę fizyczną środowisk rozwojowych i testowych przed wrogim atakiem. c. Zapewnić minimalizację ryzyk dotyczących środowisk rozwojowych i testowych związanych z nieuprawnionym dostępem. d. Zapewnić bezpieczeństwo danych udostępnionych przez lub dotyczących innogy w przypadku wynoszenia zasobów poza obszar chroniony. Polityka_bezp_dostawców_PBDD_v1.4 Strona 12 z 19

13 PBDD 3.3 Zarządzanie uprawnieniami do środowisk rozwojowych i testowych Dostawca WINIEN zarządzać uprawnieniami dostępu do środowisk rozwojowych i testowych zgodnie z najlepszymi praktykami określonymi w rozdz. 9.2, 9.3, 9.4 normy PN-ISO/IEC W szczególności Dostawca MUSI spełniać następujące wymagania: a. Przyznawanie uprawnień dostępu do systemów rozwojowych i testowych MUSI być dokumentowane i kontrolowane. b. Przyznawanie uprawnień do systemów rozwojowych i testowych MUSI być oparte o zasadę wiedzy koniecznej oraz zasadę potrzeby koniecznej. c. Przyznawanie uprawnień MUSI zapewnić, że dostęp do danych chronionych i szczególnie chronionych uzyskają tylko te osoby, które są do tego upoważnione. d. Przyznawanie uprawnień MUSI zapewnić możliwość rozliczalności użytkowników tych uprawnień. e. Uprawnienia niewykorzystywane MUSZĄ być niezwłocznie odbierane. f. Przyznane uprawnienia dostępu MUSZĄ podlegać kontroli nie rzadziej niż co 6 miesięcy, zaś wyniki przeglądów MUSZĄ być udokumentowane i przechowywane w bezpieczny sposób nie krócej niż 3 lata. g. Przyznane uprawnienia uprzywilejowane MUSZĄ podlegać kontroli nie rzadziej niż co 6 miesięcy, zaś wyniki przeglądów MUSZĄ być udokumentowane. PBDD 3.4 Separacja środowisk rozwojowych i testowych Dostawca WINIEN zapewnić (co najmniej na poziomie maszyny wirtualnej lub fizycznej) odseparowanie środowisk rozwojowych i testowych przeznaczonych do realizacji zadań na rzecz innogy od środowisk realizujących zadania dla innych klientów, zgodnie z najlepszymi praktykami określonymi w rozdz normy PN- ISO/IEC PBDD 3.5 Rejestracja zdarzeń Dostawca MUSI zapewnić rejestrowanie zdarzeń związanych z dostępem użytkowników oraz administratorów do systemów rozwojowych i testowych oraz zapewnić ich bezpieczne przechowywanie przez okres nie krótszy niż 3 lata. Dostawca MUSI udostępnić przechowywane rejestry na życzenie BS PL. Najlepsze praktyki w tym zakresie są określone w rozdz normy PN-ISO/IEC W szczególności rejestracja zdarzeń MUSI zapewnić realizację zapisów Standardu technologicznego innogy. Polityka_bezp_dostawców_PBDD_v1.4 Strona 13 z 19

14 PBDD 3.6 Ochrona kopii bezpieczeństwa Dostawca WINIEN zapewnić ochronę kopii zapasowych informacji przetwarzanej w trakcie realizacji zadań na rzecz innogy, zgodnie z najlepszymi praktykami określonymi w rozdz normy PN- ISO/IEC W szczególności Dostawca MUSI zapewnić fizyczne zabezpieczenie kopii bezpieczeństwa, a także gdy jest to właściwe dla wymaganego poziomu ochrony informacji, szyfrowanie kopii bezpieczeństwa. PBDD 3.7 Ochrona danych testowych Dostawca MUSI zapewnić bezpieczeństwo danych testowych adekwatnie do rodzaju danych oraz klasy poufności tych danych, zgodnie z klasyfikacją innogy. PBDD 3.8 Ochrona danych testowych Dostawca MUSI zapewnić, że dostęp do danych testowych będą posiadały tylko osoby upoważnione. Wykorzystanie danych testowych MUSI być rejestrowane, zaś zapisy przechowywane przez okres co najmniej 3 lat. PBDD 3.9 Bezpieczne repozytorium kodów źródłowych Kody źródłowe muszą być przechowywane w bezpiecznym repozytorium kodów źródłowych, zgodnie z wymaganiami określonymi w rozdz normy PN-ISO/IEC PBDD 3.10 Ochrona kodów źródłowych W trakcie transferu kodów źródłowych Dostawca MUSI zapewnić ich integralność oraz poufność, zgodnie z wymaganiami określonymi w rozdz normy PN-ISO/IEC PBDD 3.11 Bezpieczne repozytorium kodów źródłowych Dostawca ma obowiązek zapewnić, że dostęp do repozytorium kodów źródłowych będzie kontrolowany, zaś korzystać z repozytorium będą osoby upoważnione. Dostęp do repozytorium musi zostać zarejestrowany, zaś rejestry przechowywane nie krócej niż 3 lata do daty zdarzenia. Polityka_bezp_dostawców_PBDD_v1.4 Strona 14 z 19

15 PBDD 3.12 Bezpieczny kod Dostawca ma obowiązek zapewnić, że wytworzone przez niego oprogramowanie spełnia wymagania standardu Application Security Verification Standard dla poziomu 2, chyba, że w umowie wskazano inny poziom Polityka_bezp_dostawców_PBDD_v1.4 Strona 15 z 19

16 7 Polityka korzystania z usług w chmurze PBDD 4.1 Zgoda na przetwarzanie Dostawca NIE MOŻE przetwarzać za pomocą usług w chmurze danych osobowych oraz danych sklasyfikowanych jako Poufny_innogy i Tajny_innogy bez pisemnej zgody BS PL. PBDD 4.2 Formalizacja korzystania Dostawca korzystając z usług w chmurze do realizacji zadań oraz budowy systemów na potrzeby innogy jest ZOBOWIĄZANY do zawarcia formalnej umowy prawnej z dostawcą tych usług. PBDD 4.3 przetwarzania Dostawca jest zobowiązany do zapewnienia bezpieczeństwa w korzystaniu z usług w chmurze na co najmniej takim samym poziomie, jak jest zobowiązany wobec innogy. PBDD 4.4 Incydenty bezpieczeństwa Dostawca JEST ZOBOWIĄZANY do powiadomienia BS PL o wszelkich incydentach bezpieczeństwa związanych z korzystaniem z usług w chmurze. Polityka_bezp_dostawców_PBDD_v1.4 Strona 16 z 19

17 8 Polityka audytów bezpieczeństwa dostawców PBDD 5.1 Prawo do audytu Dostawca MUSI zapewnić BS PL możliwość przeprowadzenia audytu bezpieczeństwa w zakresie własnych środowisk rozwojowych i testowych wykorzystywanych do współpracy z BS PL, a także analogicznych środowisk własnych poddostawców. PBDD 5.2 Zakres audytu Zakres audytu bezpieczeństwa WINIEN być adekwatny do projektu, którego dotyczy. PBDD 5.3 Termin audytu Termin audytu WINIEN być uzgodniony z Dostawcą minimum na 3 dni robocze przed planowanym audytem. PBDD 5.4 Wyniki audytu Wyniki audytu WINNY być omówione z przedstawicielami Dostawcy. Z przeglądu MUSI zostać sporządzony udokumentowany plan działania, w przypadku zidentyfikowania niezgodności. PBDD 5.5 Ochrona informacji audytowej Wyniki audytu są klasyfikowane jako informacja o klasie Wewnętrzny_innogy. Polityka_bezp_dostawców_PBDD_v1.4 Strona 17 z 19

18 9 Polityka zakończenia współpracy PBDD 6.1 Zwrot aktywów Dostawca JEST ZOBOWIĄZNY do zwrotu wszystkich aktywów powierzonych przez innogy. PBDD 6.2 Ochrona informacji Dostawca JEST ZOBOWIĄZANY do zapewnienia bezpieczeństwa wszystkich informacji chronionych w okresie czasu określonym przez umowę, po zakończeniu współpracy. PBDD 6.3 Niszczenie powierzonych aktywów Dostawca JEST ZOBOWIĄZANY do skutecznego zniszczenia informacji, która winna zostać zniszczona po zakończeniu umowy. Dostawca JEST ZOBOWIĄZANY do przedstawienia protokołu przeprowadzenia zniszczenia ww. informacji. Polityka_bezp_dostawców_PBDD_v1.4 Strona 18 z 19

19 10 Załączniki Brak załączników. 11 Tracące ważność/ współobowiązujące regulacje Dokument nie unieważnia lub zastępuje żadnego innego dokumentu W dokumencie występują odwołania do: [1] Polityka tworzenia i utrzymywania dokumentacji procesowej w innogy BS PL [2] Standardy technologiczne innogy. Polityka_bezp_dostawców_PBDD_v1.4 Strona 19 z 19