DEKLARACJA STOSOWANIA

Transkrypt

1 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 2/4 Nr dokumentu: SZBI-DSZ-0 A.5 Polityki bezpieczeństwa A.5. Kierunki bezpieczeństwa określone przez kierownictwo Cel: Zapewnienie przez kierownictwo wytycznych i wsparcia dla działań na rzecz bezpieczeństwa, zgodnie z wymaganiami biznesowymi oraz właściwymi normami prawnymi i regulacjami. W N-SERWIS.PL Sp. z.o.o. obowiązuje zatwierdzona przez Prezesa Zarządu A.5.. Polityka bezpieczeństwa wraz z procedurami i standardami Polityka dotyczącymi zachowania bezpieczeństwa. Prezes Zarządu bezpieczeństwa zakomunikował pracownikom opracowaną politykę. Polityka jest dostępna dla pracowników w zasobach sieciowych oraz na stronie internetowej Spółki dla klientów i stron zainteresowanych. A.5..2 W N-SERWIS.PL Sp. z.o.o. Polityka bezpieczeństwa jest przeglądana i Przegląd polityk aktualizowana przynajmniej raz w roku w ramach przeglądu zarządzania, bezpieczeństwa zgodnie z wytycznymi zawartymi w Księdze Bezpieczeństwa Informacji. Wyniki przeglądu dokumentowane są na raporcie z przeglądu zarządzania. A.6 Organizacja bezpieczeństwa A.6. Organizacja wewnętrzna Cel: Ustanowienie struktury zarządzania w celu zainicjowania oraz nadzorowania wdrażania i eksploatacji bezpieczeństwa W N-SERWIS.PL Sp. z.o.o. role i odpowiedzialność w zakresie zapewnienia Role i odpowiedzialność A.6.. za bezpieczeństwo Rozdzielania A.6..2 obowiązków Kontakty z A.6..3 organami władzy Kontakty z grupami A.6..4 zainteresowanych specjalistów Bezpieczeństwo w A.6..5 zarządzaniu projektami bezpieczeństwa są określone w umowach z pracownikami oraz w dokumentacji systemu zarządzania bezpieczeństwem. Zobowiązania wynikające z ról i odpowiedzialności partnerów biznesowych, klientów określone są w odrębnych umowach. Działania prowadzone w zakresie bezpieczeństwa są koordynowane przez Prezesa Zarządu. W N-SERWIS.PL Sp. z.o.o. zakresy obowiązków pracowników wynikają z umów z pracownikami oraz są zgodne z przyjętą dokumentacją systemu zarządzania bezpieczeństwem. Prezes Zarządu sprawuje nadzór nad dostępem osób do aktywów Spółki. Zasady nadawania uprawnień określono w Podręczniku W N-SERWIS.PL Sp. z.o.o. pracownicy utrzymują stosowne kontakty z organami władzy oraz w ramach pełnionych funkcji Inspektorów Ochrony Danych. Nadzór nad procesem kontaktu z właściwymi organami władzy w przypadku Spółki sprawowany jest przez Prezesa Zarządu. Pracownicy N-SERWIS.PL Sp. z.o.o. utrzymują kontakty z grupami zainteresowanych specjalistów w zakresie ochrony danych osobowych, bezpieczeństwa i cyber Zadania realizowane są poprzez m.in. udział w konferencjach poświęconych tym obszarom, forach, członkostwie w stowarzyszeniach oraz bieżące śledzenie w mediach. W N-SERWIS.PL każdy projekt, w szczególności dla klienta, analizowany jest pod kątem bezpieczeństwa przez Prezesa Zarządu oraz na podstawie umowy z klientem. W zakresie projektów dokumentacji stosuje się wytyczne Księgi bezpieczeństwa. A.6.2 Urządzenia mobilne i telepraca Cel: Zapewnić bezpieczeństwo telepracy i stosowanych urządzeń mobilnych. A.6.2. Polityka stosowania urządzeń mobilnych W N-SERWIS.PL Sp. z.o.o. pracownikom powierzane są służbowe telefony, a w zakresie zasad postępowania wdrożono politykę stosowania urządzeń mobilnych określoną w Podręczniku

2 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 3/4 Nr dokumentu: SZBI-DSZ-0 W N-SERWIS.PL Sp. z.o.o. pracownicy mogą wykonywać telepracę wyłącznie na A Telepraca sprzęcie powierzonym przez Prezesa Zarządu oraz zgodnie z wytycznymi Podręcznika A.7 Bezpieczeństwo zasobów ludzkich A.7. Przed zatrudnieniem Cel: Zapewnić, żeby pracownicy i kontrahenci rozumieli swoja odpowiedzialność i byli odpowiednimi kandydatami do wypełniania ról, do których są przewidziani. W N-SERWIS.PL Sp. z.o.o. weryfikacji kandydatów dokonują Kierownik A.7.. prawa krajowego. Postępowanie Zarządzający oraz Prezes Zarządu na podstawie przedłożonych przez niego sprawdzające dokumentów aplikacyjnych, rozmowy rekrutacyjnej oraz zgodnie z przepisami W N-SERWIS.PL Sp. z.o.o. pracownicy wykonują pracę na podstawie umów A.7..2 Warunki zatrudnienia zgodnie z przepisami prawa krajowego. W zakresie obowiązków związanych z bezpieczeństwem przygotowywane są odpowiednie zapisy umowne oraz oświadczenia pracownika. A.7.2 Podczas zatrudnienia Cel: Zapewnić, żeby pracownicy i kontrahenci byli świadomi swoich obowiązków dotyczących bezpieczeństwa i wypełniali je. W N-SERWS.PL Sp. z.o.o. Kierownik Zarządzający i Prezes Zarządu wymagają A.7.2. z zakresu bezpieczeństwa. Odpowiedzialność od pracowników przestrzegania zasad systemu zarządzania bezpieczeństwem kierownictwa. Kierownictwo na bieżąco komunikuje pracownikom dobre praktyki Wszyscy pracownicy N-SERWIS.PL Sp. z.o.o. są informowani o aktualizacji A Uświadamianie, kształcenie i szkolenia z zakresu dokumentów i standardów związanych z bezpieczeństwem. Informacje mogą być komunikowane na spotkaniach z Kierownictwem oraz w formie bezpośredniego przekazania pracownikowi, w formie ustnej lub bezpieczeństwa mailowej. Okresowo przeprowadzane są wewnętrzne szkolenia dla pracowników dotyczące ochrony danych w ramach wdrożonego i funkcjonującego systemu zarządzania bezpieczeństwem. A Postępowanie Postępowanie dyscyplinarne wobec pracowników prowadzone jest w oparciu dyscyplinarne o przepisy prawa krajowego. A.7.3 Zakończenie i zmiana zatrudnienia Cel: Zabezpieczyć interesy organizacji w trakcie procesu zmiany lub zakończenia zatrudnienia W N-SERWIS.PL Sp. z.o.o. w przypadku zakończenia zatrudnienia Zakończenie pracownikowi zostają odebrane powierzone aktywa oraz uprawnienia w zatrudnienia lub systemach informatycznych. W przypadku zmiany zakresu obowiązków A.7.3. zmiana zakresu pracownikowi może zostać przedłożony aneks do umowy oraz może zostać obowiązków dokonana zmiana uprawnień w systemach, zgodnie z wytycznymi Podręcznika

3 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 4/4 Nr dokumentu: SZBI-DSZ-0 A.8 Zarządzanie aktywami A.8. Odpowiedzialność za aktywa Cel: Zidentyfikować aktywa organizacji i zdefiniować właściwa odpowiedzialność w dziedzinie ich ochrony. W N-SERWIS.PL Sp. z.o.o. dokonano inwentaryzacji aktywów oraz prowadzona A.8.. działania. Ewidencja zatwierdzana jest przez Prezesa Zarządu. Inwentaryzacja jest ewidencja tych aktywów. Wytyczne w tym zakresie określono w Księdze aktywów bezpieczeństwa oraz Procedurze zarządzania ryzykiem i ciągłością A.8..2 Własność aktywów Właściciele aktywów są określeni w ramach przeprowadzonej inwentaryzacji aktywów. Nadrzędny nadzór nad aktywami sprawuje Prezes Zarządu. W N-SERWIS.PL Sp. z.o.o. zasady odpowiedniego użytkowania aktywów A.8..3 aktywów mogą stanowić część umów z klientami. Akceptowalne użycie zostały określone w Podręczniku W zakresie usług aktywów realizowanych dla klientów wymagania w zakresie akceptowalnego użycia Wszyscy pracownicy oraz osoby wykonujące pracę na rzecz N-SERWIS.PL Sp. A.8..4 Zwrot aktywów z.o.o. są zobowiązani do zwrotu wszystkich powierzonych aktywów. W zakresie aktywów powierzonych przez klientów obowiązki w tym zakresie określane są w umowach. A.8.2 Klasyfikacja Cel: Zapewnić przypisanie informacjom odpowiedniego poziomu ochrony, zgodnego z ich wagą dla organizacji. W N-SERWIS.PL Sp. z.o.o. dokonano klasyfikacji, którą określono w A.8.2. Księdze bezpieczeństwa. Przy postępowaniu z informacjami Klasyfikowanie wewnętrznymi oraz uzyskanymi od klientów, partnerów biznesowych uwzględniane są wymagania prawne, zapisy umowy z klientem oraz obustronne ustalenia dotyczące współpracy. W N-SERWIS.PL Sp. z.o.o. wdrożono sposób oznaczania, zintegrowany z uprawnieniami użytkowników w systemie. Wszelkie A Oznaczanie komunikaty publiczne stanowiące informacje ogólnodostępne nie są oznaczane. Wytyczne w tym zakresie określono w Księdze bezpieczeństwa. W N-SERWIS.PL Sp. z.o.o. dokonano opracowania i wdrożenia zasad postępowania z aktywami, które określono w Podręczniku bezpieczeństwa A.8.2.3, stanowi część umów z klientami oraz przyjęte obustronnie ustalenia. Postępowanie z oraz Księdze bezpieczeństwa. W zakresie realizowanych usług dla aktywami klientów wymagania w zakresie postępowania z aktywami, w tym wymiana A.8.3 Postępowanie z nośnikami Cel: Zapobiec nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu zapisanych na nośnikach W N-SERWIS.PL Sp. z.o.o. wdrożono zasady zarządzania nośnikami A.8.3. nośników wymiennych. Zarządzanie nośnikami wymiennymi, które opisano w Podręczniku Stosowane jest wymiennymi specjalistyczne oprogramowanie monitorujące bezpieczne korzystanie z W N-SERWIS.PL Sp. z.o.o. wszelkiego rodzaju nośniki, które nie będą więcej wykorzystywane są formatowane I przekazywane Prezesowi Zarządu w celu A Wycofanie nośników ich bezpiecznego przechowywania do czasu ostatecznego wycofania, tj. zniszczenia przez firmę specjalistyczną. W zakresie wycofywania nośników stosuje się przepisy krajowe dotyczące postępowania ze sprzętem elektrycznym i elektronicznym.

4 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 5/4 Nr dokumentu: SZBI-DSZ-0 W N-SERWIS.PL Sp. z.o.o. korzysta się z usług firmy pocztowej do przekazywania w formie papierowej, w szczególności umów i ofert. A Przekazywanie nośników Stosowane jest jednoznaczne oznaczenie firmy oraz zamknięta, nieprzezroczysta koperta. Prowadzony jest rejestr wysłanej korespondencji. Nie dokonuje się przekazywania nośników elektronicznych kurierom i innym firmom specjalistycznym. A.9 Kontrola dostępu A.9. Wymagania biznesowe wobec kontroli dostępu Cel: Ograniczyć dostęp do i środków przetwarzania. W N-SERWIS.PL Sp. z.o.o. ustanowiono polityki kontroli dostępu, które A.9.. Polityka kontroli udokumentowano w Podręczniku Dostęp do aktywów jest dostępu związany z pełnionymi obowiązkami służbowymi oraz w zakresie nadanych uprawnień w systemach informatycznych. A.9..2 Pracownicy N-SERWIS.PL Sp. z.o.o. posiadają dostęp do wydzielonej sieci wewnętrznej oraz w zakresie niezbędnych uprawnień, co określono w Dostęp do sieci i usług Podręczniku W zakresie monitorowania wykorzystania sieciowych zasobów sieciowych przez pracowników stosuje się specjalistyczne oprogramowanie. A.9.2 Zarządzanie dostępem użytkowników Cel: Zapewnić dostęp uprawnionym użytkownikom i zapobiec nieuprawnionemu dostępowi do systemów i usług A.9.2. Rejestrowanie i wyrejestrowywanie W N-SERWIS.PL Sp. z.o.o. dostęp do zasobów informatycznych udzielany jest przez Kierownika Zarządzającego lub Prezesa Zarządu. Każdy użytkownik jest jednoznacznie identyfikowany na podstawie indywidualnego loginu i użytkowników hasła. Zarządzanie uprawnieniami określono w Podręczniku A Przydzielanie, zmiana lub odebranie dostępu pracownikom i osobom Przydzielanie dostępu wykonującym pracę na rzecz N-SERWIS.PL Sp. z.o.o. następuje przez Prezesa użytkownikom Zarządu oraz zgodnie z wytycznymi Podręcznika A W N-SERWIS.PL Sp. z.o.o. Prezes Zarządu nadał uprzywilejowane prawa Zarządzanie prawami dostępu wyłącznie określonemu personelowi. Posiadane uprawnienia w uprzywilejowanego systemach są dokumentowane na Liście osób upoważnionych i dotyczą dostępu wyłącznie wykonywania obowiązków służbowych oraz usług dla klientów. Zarządzanie poufnymi W N-SERWIS.PL Sp. z.o.o. pracownikom są bezpośrednio przekazywane A informacjami dane umożliwiające identyfikację i uwierzytelnienie użytkownika w systemie. uwierzytelniającymi Dokonano wdrożenia polityki haseł, którą opisano w Podręczniku użytkowników A Przegląd uprawnień użytkowników realizowany jest okresowo, minimum raz Przegląd praw dostępu w roku, przez Kierownika Zarządzającego lub Prezesa Zarządu, przy użytkowników uwzględnieniu zadań wykonywanych przez pracowników oraz realizowanych usług dla klientów. W N-SERWIS.PL Sp. z.o.o. po zakończeniu zatrudnienia oraz użytkownikom A Odebranie lub dostosowywanie praw dostępu zewnętrznym, w szczególności klientom korzystających ze szkoleń e- learningowych, są odbierane uprawnienia w momencie zakończenia współpracy. Odebrania lub dostosowanina uprawnień dokonuje osoba posiadająca uprawnienia administracyjne w danym systemie.

5 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 6/4 Nr dokumentu: SZBI-DSZ-0 A.9.3 Odpowiedzialność użytkowników Cel: Zapewnić rozliczalność użytkowników w celu ochrony ich uwierzytelniających. A.9.3. Stosowanie poufnych uwierzytelniających Każdy użytkownik systemów informatycznych wykorzystywanych przez N- SERWIS.PL Sp. z.o.o. jest zobowiązany do przestrzegania zasad uwierzytelniania, które określono w Podręczniku A.9.4 Kontrola dostępu do systemów i aplikacji Cel: Zapobiec nieuprawnionemu dostępowi do systemów i aplikacji W N-SERWIS.PL Sp. z.o.o. dostęp do ograniczony jest do Ograniczenie dostępu do A.9.4. Procedury bezpiecznego A logowania System zarządzania A hasłami Użycie uprzywilejowanych A programów narzędziowych Kontrola dostępu do A kodów źródłowych programów nadanych uprawnień w systemach. W zakresie kontroli dostępu i wykonywanych przez użytkownika operacji w systemach stosowane jest specjalistyczne oprogramowanie. W N-SERWIS.PL Sp. z.o.o. stosuje się procedury bezpiecznego logowania do systemów operacyjnych oraz systemów przetwarzania. Stosowane są zasady określone w Podręczniku W N-SERWIS.PL Sp. z.o.o. wdrożono politykę haseł i uwierzytelniania użytkownika zgodnie z wytycznymi opisanymi w Podręczniku Wykorzystanie programów narzędziowych ograniczone jest wyłącznie dla uprawnionych użytkowników, pod nadzorem Prezesa Zarządu. N-SERWIS.PL Sp. z.o.o. nie dysponuje kodami źródłowymi programów. A.0 Kryptografia A.0. Zabezpieczenia kryptograficzne Cel: Zapewnić właściwe i skuteczne wykorzystanie kryptografii do ochrony poufności, autentyczności i/lub integralności. A.0.. W N-SERWIS.PL Sp. z.o.o. dokonano opracowania i wdrożenia polityki Polityka stosowania stosowania zabezpieczeń kryptograficznych, co udokumentowano w zabezpieczeń Podręczniku Stosuje się szyfrowanie dysków i nośników kryptograficznych wymiennych przy użyciu specjalistycznego oprogramowania. Szyfrowanie danych przechowywanych lub transmitowanych jest A.0..2 Zarządzanie kluczami przeprowadzane przy użyciu produktów i rozwiązań zatwierdzonych przez Prezes Zarządu. A. Bezpieczeństwo fizyczne i środowiskowe A.. Obszary bezpieczne Cel: Zapobiec nieuprawnionemu fizycznemu dostępowi, szkodom i zakłóceniom w informacjach i środkach przetwarzania należących do organizacji. A... W N-SERWIS.PL Sp. z.o.o. określono granice obszaru bezpiecznego w Fizyczna granica obszaru Podręczniku Dostęp do pomieszczeń jest monitorowany, bezpiecznego a klucze posiada wyłącznie uprawniony personel. A...2 W N-SERWIS.PL Sp. z.o.o. wszystkie pomieszczenia, gdzie przetwarzane są Fizyczne zabezpieczenie informacje są zamykane na klucz. Dostęp na teren biura jest wejść monitorowany.

6 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 7/4 Nr dokumentu: SZBI-DSZ-0 A...3 Zabezpieczenie biur, pomieszczeń i obiektów N-SERWIS.PL Sp. z.o.o. stosuje fizyczne i teleinformatyczne formy zabezpieczenia biura oraz pomieszczeń biurowych zgodnie z zapisami Podręcznika A...4 Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi Biuro N-SERWIS.PL Sp. z.o.o. zlokalizowane jest na piętrze, co ogranicza ryzyko powodzi. Stosowane są listwy przeciwprzepięciowe oraz środki ochrony przeciwpożarowej. A...5 Praca w obszarach bezpiecznych W N-SERWIS.PL Sp. z.o.o. praca w obszarach bezpiecznych jest określona w Podręczniku Nadzór prowadzony jest przez Kierownika Zarządzającego lub bezpośrednio przez Prezesa Zarządu. W N-SERWIS.PL Sp. z.o.o. poczta wychodząca jest rejestrowana. Dostawa A...6 Obszary dostaw i załadunku mediów do biura może nastąpić poprzez przyjęcie kuriera w pomieszczeniu biurowym pod nadzorem pracownika. Wyłącznie uprawniony personel może odbierać przesyłki i korespondencję. A..2 Sprzęt Cel: Zapobiec utracie, uszkodzeniu, kradzieży lub utracie integralności aktywów oraz zakłóceniom w działaniu organizacji W N-SERWIS.PL Sp. z.o.o. sprzęt jest umiejscowiony w sposób ograniczający wystąpienie ryzyka nieuprawnionego dostępu. Każdy A..2. Lokalizacja i ochrona sprzętu A..2.2 Systemy wspomagające A..2.3 Bezpieczeństwo okablowania A..2.4 Konserwacja sprzętu A..2.5 Wynoszenie aktywów A..2.6 Bezpieczeństwo sprzętu i aktywów poza siedzibą Bezpieczne zbywanie lub A..2.7 przekazywanie do ponownego użycia A..2.8 Pozostawienie sprzętu użytkownika bez opieki A..2.9 Polityka czystego biurka i czystego ekranu pracownik jest odpowiedzialny za sprawowanie nadzoru nad powierzonym sprzętem przed dostępem osób trzecich. Wytyczne w zakresie ochrony powierzonego sprzętu pracownikom określono w Podręczniku N-SERWIS.PL Sp. z.o.o. stosuje rozwiązania chroniące sprzęt przed awariami zasilania oraz zalecenia producentów w kontekście prawidłowego wykorzystywania sprzętu i oprogramowania. Okresowo wykonywana jest inwentaryzacja sprzętu. W N-SERWIS.PL Sp. z.o.o. kable zasilające i sieciowe prowadzone są wewnątrz korytek i wyłącznie w pomieszczeniach biurowych Spółki. Kluczowe komponenty infrastruktury informatycznej znajdują się w zamykanej na klucz skrzynce, do której dostęp posiada Prezes Zarządu. W N-SERWIS.PL Sp. z.o.o. sprzęt podlega konserwacji zgodnie z zaleceniami producenta. W celu naprawy lub serwisowania, sprzęt jest przekazywany Prezesowi Zarządu lub osobie przez niego upoważnionej. W N-SERWIS.PL Sp. z.o.o. pracownicy mogą wynosić poza siedzibę Spółki powierzony sprzęt komputerowy. Każdy pracownik jest zobowiązany do sprawowania nadzoru nad bezpieczeństwem powierzonego przez N-SERWIS.PL Sp. z.o.o. sprzętu służbowego zgodnie z zasadami Podręcznika W N-SERWIS.PL Sp. z.o.o. Prezes Zarządu dokonuje przeglądu sprzętu przed przekazaniem do ponownego użycia. Każdy sprzęt w momencie zbycia lub przekazania do ponownego użycia jest formatowany i nadawane są indywidualne uprawnienia dostępowe zgodnie z wytycznymi Podręcznika Wszyscy pracownicy N-SERWIS.PL Sp. z.o.o. są zobowiązani do zabezpieczenia swojego sprzętu przed nieuprawnionym dostępem lub użyciem, w tym również podczas nieobecności na stanowisku pracy. Stosowane są w tym zakresie wytyczne Podręcznika W N-SERWIS.PL Sp. z.o.o. wprowadzono politykę czystego biurka i politykę czystego ekranu, które opisano w Podręczniku Pracownicy są zobowiązania do przestrzegania postanowień przyjętych polityk, w tym przechowywania w wyznaczony sposób.

7 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 8/4 Nr dokumentu: SZBI-DSZ-0 A.2 Bezpieczna eksploatacja A.2. Procedury eksploatacyjne i odpowiedzialność Cel: Zapewnić poprawną i bezpieczną eksploatację środków przetwarzania. A.2.. Dokumentowanie procedur eksploatacyjnych A.2..2 Zarządzanie zmianami A.2..3 Zarządzanie pojemnością Oddzielanie urządzeń A.2..4 rozwojowych, testowych i produkcyjnych W N-SERWIS.PL Sp. z.o.o. podstawowe informacje w zakresie korzystania z systemów są dostarczane przez producenta oraz określone w Podręczniku W N-SERWIS,PL Sp. z.o.o. zmiany są na bieżąco nadzorowane przez Prezesa Zarządu w obszarach fizycznych, organizacyjnych i teleinformatycznych zgodnie z wytycznymi Podręcznika Zmiany w systemach informatycznych dokonują wyłącznie uprawnieni pracownicy. W przypadku zmian, które mogą wpływać na realizowane procesy biznesowe oraz pracę w systemach, Prezes Zarządu konsultuje się w tym zakresie z Kierownikiem Zarządzającym oraz z pracownikami. W N-SERWIS.PL Sp. z.o.o.za monitorowanie wykorzystania zasobów oraz przewidywanie wymaganej pojemności systemów odpowiada Prezes Zarządu lub serwisant IT / wdrożeniowiec. W N-SERWIS.PL Sp. z.o.o. Prezes Zarządu dokonuje ewentualnego testowania urządzeń lub programów wykorzystując m.in.. środowisko wirtualne lub odrębny sprzęt testowy. Pracownicy nie prowadzą prac rozwojowych i testowych. A.2.2 Ochrona przed szkodliwym oprogramowaniem Cel: Zapewnić informacjom i środkom przetwarzania ochronę przed szkodliwym oprogramowaniem. W N-SERWIS.PL Sp. z.o.o. wdrożono rozwiązania zabezpieczające przed Zabezpieczenia przed wystąpieniem szkodliwego oprogramowania. Stosowane jest A.2.2. szkodliwym oprogramowanie antywirusowe, firewall oraz oprogramowanie oprogramowaniem monitorujące wykorzystanie sprzętu. A.2.3 Kopie zapasowe Cel: Chronić przed utratą danych. A.2.3. Zapasowe kopie N-SERWIS.PL Sp. z.o.o. zabezpiecza kluczowe zasoby przetwarzane w systemach informatycznych poprzez okresowe wykonywanie kopii zapasowych. Za planowanie wykonywania kopii odpowiedzialny Kierownik Zarządzający w porozumieniu z Prezesem Zarządu. Podstawowe informacje w tym zakresie określono w Podręczniku A.2.4 Rejestrowanie zdarzeń i monitorowanie Cel: Rejestrować zdarzenia i zbierać materiał dowodowy. A.2.4. Rejestrowanie zdarzeń W N-SERWIS.PL Sp. z.o.o. dzienniki zdarzeń zbierane są w stosunku do systemu, aplikacji i sprzętu, z wykorzystaniem specjalistycznego oprogramowania, zgodnie z wytycznymi Podręcznika A Ochrona W N-SERWIS.PL Sp. z.o.o. za ochronę w dziennikach zdarzeń zawartych w dziennikach odpowiada Prezes Zarządu. zdarzeń

8 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 9/4 Nr dokumentu: SZBI-DSZ-0 A Rejestrowanie działań administratorów i operatorów N-SERWIS.PL Sp. z.o.o. stosuje dzienniki zdarzeń obejmujące działania administratorów (logowania, wylogowania), sposób wykorzystywania posiadanych uprawnień wobec systemów i aplikacji, zgodnie z zasadami Podręcznika W N-SERWIS.PL Sp. z.o.o. systemy przetwarzania oraz A Synchronizacja zegarów powierzony sprzęt komputerowy pracownikom są synchronizowane z wzorcowym źródłem czasu, zgodnie z wytycznymi Podręcznika A.2.5 Nadzór nad oprogramowaniem produkcyjnym Cel: Zapewnić integralność systemów produkcyjnych. A.2.5. Instalacja oprogramowania w systemach W N-SERWIS.PL Sp. z.o.o. instalacja oprogramowania na powierzonym sprzęcie wykonywana jest przez Prezesa Zarządu, serwisanta IT wdrożeniowca lub bezpośrednio przez pracownika, zgodnie z nadanymi produkcyjnych uprawnieniami w systemach, przy wykorzystaniu legalnego oprogramowania ze wsparciem producenta. A.2.6 Zarządzanie podatnościami technicznymi Cel: Zapobiec wykorzystywaniu podatności technicznych. A.2.6. W N-SERWIS.PL Sp. z.o.o. w celu monitorowania podatności technicznych Zarządzanie podatnościami wykorzystywane jest oprogramowanie specjalne, wskazane w technicznymi Podręczniku A W N-SERWIS.PL Sp. z.o.o. ograniczenia w instalowaniu oprogramowania Ograniczenia w użytkowników wynikają z nadanych uprawnień oraz korzystania z instalowaniu oprogramowania wyłącznie w celu wykonywania obowiązków oprogramowania służbowych, zgodnie z zasadami legalności. A.2.7 Rozważania dotyczące audytu systemów informatycznych Cel: Zminimalizować wpływ działań audytu na systemy produkcyjne Zabezpieczenia audytu W N-SERWIS.PL Sp. z.o.o. audyty wewnętrzne realizowane są w sposób A.2.7. systemów informacyjnych gwarantujący ciągłość realizacji procesu biznesowego. A.3 Bezpieczeństwo komunikacji A.3. Zarządzanie bezpieczeństwem sieci Cel: Zapewnić ochronę w sieciach oraz wspomagających je środkach przetwarzania. A.3.. Zabezpieczenia sieci W N-SERWIS.PL Sp. z.o.o. stosowane są zabezpieczenia sieci lokalnej oraz WiFi, zgodnie z zasadami opisanymi w Podręczniku A.3..2 Bezpieczeństwo usług N-SERWIS.PL Sp. z.o.o. zabezpiecza usługi sieciowe poprzez stosowanie sieciowych zapór sieciowych oraz haseł dostępowych. A.3..3 Rozdzielanie sieci W N-SERWIS.PL Sp. z.o.o. stosowana jest wydzielona, wewnętrzna sieć dla pracowników, w ramach sieci LAN/WiFi. Stosowana jest sieć dla gości.

9 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 0/4 Nr dokumentu: SZBI-DSZ-0 A.3.2 Przesyłanie Cel: Utrzymać bezpieczeństwo przesłanych wewnątrz organizacji i wymienianych z podmiotami zewnętrznymi. W N-SERWIS.PL Sp. z.o.o. wdrożono zasady przesyłania zgodnie z przyjętą dokumentacją systemu zarządzania bezpieczeństwem, w szczególności Podręcznikiem A.3.2. Każdy pracownik jest zobowiązany do stosowania Polityki i procedury przyjętej klasyfikacji oraz reagowania i zgłaszania wszelkich przesyłania zdarzeń związanych z bezpieczeństwem. Bezpośredni nadzór nad pracownikami sprawuje Kierownik Zarządzający. Wprowadzono zasady postępowania z informacjami po zakończeniu pracy oraz politykę czystego samochodu, zgodnie z wytycznymi Podręcznika A W N-SERWIS.PL Sp. z.o.o. informacje przesyłane są zgodnie z ustaleniami z klientem oraz na dedykowane adresy mailowe. Istotne Porozumienia dotyczące informacje są przekazywane w formie zaszyfrowanej, zgodnie z przesyłania dyspozycją odbiorcy oraz zgodnie z wytycznymi Podręcznika W N-SERWIS.PL Sp. z.o.o. każdy pracownik posiada konto w domenie n- serwis.pl. Kontakt z klientami i stronami zainteresowanymi może być A Wiadomości elektroniczne prowadzony wyłącznie z adresów służbowych. Każdy użytkownik poczty elektronicznej jest zobowiązany do zachowania szczególnej ostrożności podczas przesyłania i odbierania wiadomości. N-SERWIS.PL Sp. z.o.o. stosuje umowy, oświadczenia i zapisy dotyczące zachowania poufności w stosunku do pracowników, A współpracowników, kontrahentów i stron zainteresowanych. Każdy Umowy o zachowaniu pracownik podpisuje oświadczenie o zachowaniu poufności. W zakresie poufności zachowania poufności przy współpracy z klientem mogą być stosowane odrębne umowy, aneksy o poufności, informacjach poufnych i tajemnicy przedsiębiorstwa. A.4 Pozyskiwanie, rozwój i utrzymanie systemów A.4. Wymagania związane z bezpieczeństwem systemów informacyjnych Cel: Zapewnić, żeby bezpieczeństwo było nieodłączną częścią systemów informacyjnych w całym cyklu życia. Dotyczy to również wymagań wobec systemów informacyjnych dostarczających usług w sieciach publicznych. A.4.. Analiza i specyfikacja wymagań bezpieczeństwa N-SERWIS.PL Sp. z.o.o. analizuje wymagania prawne, którym podlega, w celu określenia poziomu bezpieczeństwa stosowanych systemów do przetwarzania (pracowników, klientów). A.4..2 Zabezpieczanie usług aplikacyjnych w sieciach publicznych N-SERWIS.PL Sp. z.o.o. udostępnia aplikację e-learningową w sieciach publicznych. Aplikacja zabezpieczona jest protokołem SSL oraz silnymi hasłami administracyjnymi. A.4..3 Ochrona transakcji usług N-SERWIS.PL Sp. z.o.o. nie dysponuje usługami aplikacyjnymi aplikacyjnych realizującymi jakiekolwiek usługi transakcyjne. A.4.2 Bezpieczeństwo w procesach rozwoju i wsparcia Cel: Zapewnić projektowanie i wdrożenie bezpieczeństwa w ramach cyklu życia systemów informacyjnych. Polityka bezpieczeństwa N-SERWIS.PL Sp. z.o.o. nie tworzy i nie rozwija oprogramowania przy A.4.2. prac rozwojowych użyciu zasobów własnych.

10 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron /4 Nr dokumentu: SZBI-DSZ-0 W N-SERWIS.PL Sp. z.o.o. zmiany w systemach informatycznych mogą A Procedury kontroli zmian w systemach być wykonywane wyłącznie przez użytkowników posiadających uprawnienia specjalne w systemach, nadane przez Prezesa Zarządu. Aktualizacja systemów i oprogramowania przeprowadzane są automatycznie przez dostawcę, przy poinformowaniu użytkownika. Techniczny przegląd aplikacji przeprowadzany jest wyłącznie przez Przegląd techniczny użytkowników posiadających uprawnienia specjalne w systemach, w A aplikacji po zmianach w szczególności przez Prezesa Zarządu lub upoważnionego serwisanta IT platformie produkcyjnej wdrożeniowca. W zakresie funkcjonalności systemu przeglądu dokonuje indywidualnie każdy użytkownik. A Ograniczenia dotyczące zmian w pakietach oprogramowania N-SERWIS.PL Sp. z.o.o. nie dokonuje modyfikacji dostarczanego oprogramowania. A Zasady projektowania bezpiecznych systemów N-SERWIS.PL Sp. z.o.o. nie projektuje systemów informatycznych. A Bezpieczne środowisko rozwojowe N-SERWIS.PL Sp. z.o.o. nie tworzy i nie rozwija oprogramowania przy użyciu zasobów własnych. A Prace rozwojowe zlecane podmiotom zewnętrznym N-SERWIS.PL Sp. z.o.o. nie prowadzi i nie zleca prac rozwojowych nad systemami. A Testowanie bezpieczeństwa systemów N-SERWIS.PL Sp. z.o.o. nie przeprowadza testów bezpieczeństwa systemów przy użyciu zasobów własnych. A Testowanie akceptacyjne systemów N-SERWIS.PL Sp. z.o.o. nie przeprowadza i nie ustanawia testów akceptacyjnych systemów. A.4.3 Dane testowe Cel: Zapewnić ochronę danych stosowanych do testów. A.4.3. Ochrona danych testowych N-SERWIS.PL Sp. z.o.o. nie przeprowadza testów systemowych i akceptacyjnych. A.5 Relacje z dostawcami A.5. Bezpieczeństwo w relacjach z dostawcami Cel: Zapewnić ochronę aktywów organizacji udostępnianych dostawcom. A.5.. W N-SERWIS.PL Sp. z.o.o. wdrożono politykę bezpieczeństwa w Polityka bezpieczeństwa relacjach z dostawcami, którą określono w Księdze bezpieczeństwa w relacjach z. Informacje związane ze współpracą z dostawcą są dostawcami dokumentowane w umowach. Uwzględnianie Wymagania w zakresie bezpieczeństwa są określone w A.5..2 bezpieczeństwa w umowach z danym dostawcą, kontrahentem, klientem. W przypadku porozumieniach z uzyskiwania dostępu do danych osobowych, mogą być podpisywane dostawcami umowy powierzenia oraz umowy o zachowaniu poufności, A.5..3 Łańcuch dostaw technologii informacyjnych telekomunikacyjnych W N-SERWIS.PL Sp. z.o.o. wykorzystuje się usługi chmurowe, gdzie wymagania bezpieczeństwa określono w regulaminie korzystania z usługi w ramach danego pakietu. A.5.2 Zarządzanie usługami świadczonymi przez dostawców Cel: Utrzymać uzgodniony poziom bezpieczeństwa i świadczonych usług zgodnie z umowami z dostawcami. A.5.2. Monitorowanie i przegląd usług świadczonych przez dostawców W N-SERWIS.PL Sp. z.o.o. monitorowanie i przegląd usług świadczonych przez dostawców wykonywany jest przez Prezesa Zarządu, zgodnie z warunkami umowy oraz wytycznymi Księgi bezpieczeństwa.

11 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 2/4 Nr dokumentu: SZBI-DSZ-0 Zarządzanie zmianami W N-SERWIS.PL Sp. z.o.o. wszelkie zmiany w zakresie wykonywanych A usług świadczonych przez usług są dokonywane w formie pisemnej, w szczególności na podstawie dostawców aneksów do umowy. A.6 Zarządzanie incydentami związanymi z bezpieczeństwem A.6. Zarządzanie incydentami związanymi z bezpieczeństwem oraz udoskonaleniami Cel: Zapewnić spójne i skuteczne podejście do zarządzania incydentami związanymi z bezpieczeństwem, z uwzględnieniem informowania o zdarzeniach i słabościach. A.6.. W N-SERWIS.PL Sp. z.o.o. za nadzór nad zdarzeniami i incydentami Odpowiedzialność i bezpieczeństwa odpowiada Kierownik Zarządzający w procedury porozumieniu z Prezesem Zarządu. A.6..2 Każdy pracownik N-SERWIS.PL Sp. z.o.o. jest zobowiązany do niezwłocznego zgłaszania wszelkich zdarzeń, które mogą mieć wpływ Zgłaszanie zdarzeń na ochronę danych i aktywów Spółki bezpośrednio Kierownikowi związanych z Zarządzającemu lub Prezesowi Zarządu. Podstawowe wytyczne w tym bezpieczeństwem zakresie określono w Podręczniku W przypadku współpracy z klientami wytyczne w zakresie zgłaszania naruszeń ochrony danych osobowych są określone w umowach powierzenia. A.6..3 Każdy pracownik N-SERWIS.PL Sp. z.o.o. jest zobowiązany do Zgłaszanie słabości niezwłocznego zgłaszania wszelkich zaobserwowanych słabości, które związanych z mogą mieć wpływ na ochronę danych i aktywów Spółki bezpośrednio bezpieczeństwem Kierownikowi Zarządzającemu lub Prezesowi Zarządu. Podstawowe wytyczne w tym zakresie określono w Podręczniku A.6..4 Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z bezpieczeństwem W N-SERWIS.PL Sp. z.o.o. ocena i podejmowanie decyzji w sprawie zdarzeń zakwalifikowanych jako incydent bezpieczeństwa lub bezpośrednio jako naruszenie ochrony danych osobowych, prowadzone jest przez Kierownika Zarządzającego w porozumieniu z Prezesem Zarządu. A.6..5 W N-SERWIS.PL Sp. z.o.o. wszyscy pracownicy są zobowiązani do Reagowanie na incydenty reagowania na incydenty związane z naruszeniem ochrony danych związane z osobowych i inne wpływające na bezpieczeństwo. O każdym bezpieczeństwem zdarzeniu należy niezwłocznie poinformować Kierownika Zarządzającego i Prezesa Zarządu. A.6..6 W N-SERWIS.PL Sp. z.o.o. wnioski z incydentów bezpieczeństwa Wyciąganie wniosków mogą być dokumentowane na Raporcie z incydentu oraz z incydentów związanych omawiane na spotkaniach biurowych z pracownikami w celu z bezpieczeństwem zwiększenia świadomości w kontekście reagowania i rozwiązania incydentów. A.6..7 Gromadzenie materiału W N-SERWIS.PL Sp. z.o.o. wszystkie incydenty są dokumentowane w dowodowego Rejestrze incydentów. A.7 Aspekty bezpieczeństwa w zarządzaniu ciągłością działania A.7. Ciągłość bezpieczeństwa Cel: Zaleca się uwzględnienie ciągłości bezpieczeństwa w systemach zarządzania ciągłością działania. W N-SERWIS.PL Sp. z.o.o. Prezes Zarządu dokonał określenia zasad A.7.. braku dostępności pomieszczeń (siedziby Spółki). Planowanie ciągłości zapewnienia ciągłości działania dla kluczowych zasobów i procesów, bezpieczeństwa obejmujących personel, komponenty infrastruktury teleinformatycznej,

12 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 3/4 Nr dokumentu: SZBI-DSZ-0 W N-SERWIS.PL Sp. z.o.o. Prezes Zarządu dokonał ustanowienia, A.7..2 Wdrożenie ciągłości bezpieczeństwa udokumentowania i wdrożenia zasad związanych z utrzymaniem ciągłości działania. Zasady te określono w dokumencie Zasady zapewnienia ciągłości działania. Weryfikowanie, przegląd i W N-SERWIS.PL Sp. z.o.o. określono formę i częstotliwość testowania A.7..3 ocena ciągłości przyjętych zasad zapewnienia ciągłości działania, co udokumentowano bezpieczeństwa w Ewidencji zasad zapewnienia ciągłości działania. A.7.2 Nadmiarowość Cel: Zapewnić dostępność środków przetwarzania W N-SERWIS.PL Sp. z.o.o. Prezes Zarządu lub upoważniony przez niego A.7.2. serwisant IT wdrożeniowec dokonuje monitorowania pojemności Dostępność środków systemów. W zakresie sprzętu komputerowego można stosować przetwarzania redundancję zasobów w szczególnych przypadkach ocenianych przez Prezesa Zarządu. A.8 Zgodność A.8. Godność z wymaganiami prawnymi i umownymi Cel: Unikać naruszenia zobowiązań prawnych, regulacyjnych lub umownych związanych z bezpieczeństwem oraz innych wymagań dotyczących A.8.. Określenie stosowanych wymagań prawnych i umownych W N-SERWIS.PL Sp. z.o.o. określono kluczowe wymagania prawne, którym polega Spółka i udokumentowano na Liście wymagań prawnych. W N-SERWIS.PL Sp. z.o.o. wprowadzono prawa własności intelektualnej A.8..2 klientami i kontrahentami. Prawa własności na podstawie obowiązujących przepisów prawa (ustawy o prawach intelektualnej autorskich i prawach pokrewnych) oraz zgodnie z warunkami umów z W N-SERWIS.PL Sp. z.o.o. wszystkie przetwarzane dokumenty podlegają A.8..3 Ochrona zapisów ochronie zgodnie z przyjęta klasyfikacji w Księdze bezpieczeństwa oraz zasadami Podręcznika W N-SERWIS.PL Sp. z.o.o. przetwarzane dane osobowe oraz wszelkie Prywatność i ochrona informacje związane z przetwarzaniem danych podlegają A.8..4 danych identyfikujących obowiązującym przepisom prawa, w szczególności przepisom o osobę ochronie danych osobowych, zgodnie z przyjętą Polityką bezpieczeństwa danych osobowych. Regulacje dotyczące W N-SERWIS.PL Sp. z.o.o. regulacje dotyczące zabezpieczeń A.8..5 zabezpieczeń kryptograficznych kryptograficznych są zgodne z obowiązującymi przepisami prawa i realizowane zgodnie z wytycznymi Podręcznika A.8.2 Przeglądy bezpieczeństwa Cel: Zapewnić zgodnie z politykami organizacji i procedurami wdrożenie i stosowanie zasad bezpieczeństwa. W N-SERWIS.PL Sp. z.o.o. minimum raz w roku dokonywany jest A.8.2. zarządzania. Niezależny przegląd przegląd systemu zarządzania bezpieczeństwem w postaci bezpieczeństwa zaplanowanych audytów wewnętrznych oraz inicjowany jest przegląd

13 SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Strona/ stron 4/4 Nr dokumentu: SZBI-DSZ-0 W N-SERWIS.PL Sp. z.o.o pracownicy są zobowiązani do przestrzegania Zgodność z politykami wymagań systemu zarządzania bezpieczeństwem oraz A bezpieczeństwa i wymagań określonych w umowach. Kontrola przestrzegania przez standardami pracownika wymagań systemu realizowana jest na bieżąco oraz poprzez audyty wewnętrzne. A Sprawdzanie zgodności technicznej W N-SERWIS.PL Sp. z.o..o. sprawdzanie zgodności technicznej wykorzystywanego sprzętu komputerowego, aplikacji i systemów realizowane jest przy wsparciu specjalistycznego oprogramowania.