Polityka Bezpieczeństwa

Transkrypt

1 Strona 1 z 24 Polityka Bezpieczeństwa

2 Strona 2 z 24 Spis treści Spis treści... 2 Wstęp... 3 Opis firmy...3 Definicja bezpieczeństwa i zakres systemu...3 Deklaracja Zarządu... 4 Zasady ogólne... 6 Organizacja bezpieczeństwa... 8 Struktura zarządzania bezpieczeństwem...8 Koncepcja dokumentacji systemu zarządzania bezpieczeństwem informacji...8 Struktura zarządzania bezpieczeństwem i podział odpowiedzialności...8 Funkcjonowanie Forum Bezpieczeństwa...10 Organizacja Forum Bezpieczeństwa...10 Zadania, uprawnienia i odpowiedzialności Forum Bezpieczeństwa...10 Zasady współpracy z osobami trzecimi...11 Zasady współpracy z innymi spółkami...11 Zasady współpracy z Policją, Jednostkami StraŜy PoŜarnej i StraŜy Miejskiej...11 Zarządzanie aktywami i ryzykami Autoryzacja nowych urządzeń...13 Bezpieczeństwo zasobów ludzkich Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Wymiana informacji Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych Zarządzanie incydentami Zarządzanie ciągłością działania Zgodność Postanowienia końcowe... 23

3 Strona 3 z 24 Wstęp Opis firmy Solid Logistics Sp. z o.o. jest firmą ze 100-procentowym udziałem kapitału polskiego. Siedziba firmy mieści się w Warszawie. Posiadamy własne biura w Gdyni, Poznaniu, Katowicach oraz Hamburgu. Specjalizujemy się w organizacji przewozów morskich, lotniczych oraz lądowych. Wykorzystując globalna sieć połączeń logistycznych oferujemy wszelkie usługi w zakresie organizacji przewozów droga morską, lotniczą i drogową. Jesteśmy członkiem Polskiej Izby Spedycji i Logistyki. Naszym głównym atutem są ludzie. Stanowimy zgrany zespół fachowców gwarantujący sprawną i profesjonalną obsługę. Obecnie w firmie pracuje 112 osób. Trzon zespołu tworzą pracownicy z wieloletnim doświadczeniem w branŝy spedycyjnej. Do naszej, działającej od 2004 roku firmy wnoszą mądrość i wiedzę zdobytą w renomowanych firmach spedycyjnych. Są znanymi, sprawdzonymi i kompetentnymi specjalistami. KaŜdy klient jest dla nas najwaŝniejszy. Nasz główny cel to solidna obsługa, uwzględniająca indywidualne potrzeby klienta. Definicja bezpieczeństwa i zakres systemu System zarządzania bezpieczeństwem obejmuje swoim zakresem działalność spółki w zakresie spedycji, przewozu, magazynowania oraz obsługi celnej, prowadzonych w lokalizacjach: Warszawa, Gdynia, Poznań, Katowice, Hamburg.

4 Strona 4 z 24 Deklaracja Zarządu Bezpieczeństwo informacji oraz systemów, w których są one przetwarzane jest jednym z kluczowych elementów jakości oferowanej Klientom przez naszą firmę oraz warunkiem ciągłego rozwoju Spółki. Gwarancją sprawnej i skutecznej ochrony informacji jest zapewnienie odpowiedniego poziomu kultury bezpieczeństwa oraz zastosowanie przemyślanych rozwiązań technicznych. Zarząd Spółki wprowadzając Politykę Bezpieczeństwa, deklaruje, Ŝe wdroŝony system zarządzania bezpieczeństwa organizacji w zakresie dostaw, informacji, bezpieczeństwa personalnego, fizycznego, zabezpieczeń technicznych i organizacyjnych jest jednym z kluczowych elementów funkcjonowania firmy. Podejście do bezpieczeństwa w Spółce wywodzi się z trzech kluczowych kwestii: Zapewnienia, Ŝe informacja jest udostępniana jedynie osobom upowaŝnionym (tzw. reguła poufności) Zapewnienia zupełnej dokładności i kompletności informacji oraz metod jej przetwarzania (tzw. reguła integralności) Zapewnienia, Ŝe osoby upowaŝnione mają dostęp do informacji i związanych z nią aktywów tylko wtedy, gdy istnieje taka potrzeba (tzw. reguła dostępności). Celem wdroŝonego systemu zarządzania bezpieczeństwem jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który: będzie gwarantem pełnej ochrony danych Klientów oraz ciągłość procesu ich przetwarzania, zapewni zachowanie poufności informacji chronionych, integralności i dostępności informacji chronionych oraz jawnych, zagwarantuje odpowiedni poziom bezpieczeństwa informacji, bez względu na jej postać, we wszystkich systemach jej przetwarzania, maksymalnie ograniczy występowanie zagroŝeń dla bezpieczeństwa informacji, które wynikają z celowej bądź przypadkowej działalności człowieka oraz ich ewentualne wykorzystanie na szkodę Spółki, zapewni poprawne i bezpieczne funkcjonowanie wszystkich systemów przetwarzania informacji, zapewni gotowość do podjęcia działań w sytuacjach kryzysowych dla bezpieczeństwa Spółki, jej interesów oraz posiadanych i powierzonych jej informacji. PowyŜsze cele realizowane są poprzez: wyznaczenie struktury organizacyjnej zapewniającej optymalny podział i koordynację zadań i odpowiedzialności związanych z zapewnieniem bezpieczeństwa informacji,

5 Strona 5 z 24 wyznaczenie właścicieli dla kluczowych aktywów przetwarzających informację, którzy zobowiązani są do zapewnienia im moŝliwie jak najwyŝszego poziomu bezpieczeństwa, przyjęcie za obowiązujące przez wszystkich pracowników polityk i procedur bezpieczeństwa obowiązujących w Spółce, określeniu zasad postępowania, w tym stref i poziomu ich bezpieczeństwa, przegląd i aktualizację polityk i procedur postępowania dokonywaną przez odpowiedzialne osoby w celu jak najlepszej reakcji na zagroŝenia i incydenty,

6 Strona 6 z 24 Zasady ogólne KaŜdy pracownik powinien być zapoznany z regułami oraz z kompletnymi i aktualnymi procedurami ochrony informacji w swojej jednostce organizacyjnej. PoniŜsze uniwersalne zasady są podstawą realizacji polityki bezpieczeństwa informacji: Zasada uprawnionego dostępu. KaŜdy pracownik przeszedł szkolenie z zasad ochrony informacji, spełnia kryteria dopuszczenia do informacji i podpisał stosowne oświadczenie o zachowaniu poufności. Zasada przywilejów koniecznych. KaŜdy pracownik posiada prawa dostępu do informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań. Zasada wiedzy koniecznej. KaŜdy pracownik posiada wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań. Zasada usług koniecznych. Spółka świadczy tylko takie usługi jakich wymaga klient. Zasada asekuracji. KaŜdy mechanizm zabezpieczający musi być ubezpieczony drugim, innym (podobnym). W przypadkach szczególnych moŝe być stosowane dodatkowe (trzecie) niezaleŝne zabezpieczenie. Zasada świadomości zbiorowej. Wszyscy pracownicy są świadomi konieczności ochrony zasobów informacyjnych Spółki i aktywnie uczestniczą w tym procesie. Zasada indywidualnej odpowiedzialności. Za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby. Zasada obecności koniecznej. Prawo przebywania w określonych miejscach mają tylko osoby upowaŝnione. Zasada stałej gotowości. System jest przygotowany na wszelkie zagroŝenia. Niedopuszczalne jest tymczasowe wyłączanie mechanizmów zabezpieczających. Zasada najsłabszego ogniwa. Poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element. Zasada kompletności. Skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje się podejście kompleksowe, uwzględniające wszystkie stopnie i ogniwa ogólnie pojętego procesu przetwarzania informacji. Zasada ewolucji. KaŜdy system musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych. Zasada odpowiedniości. UŜywane mechanizmy muszą być adekwatne do sytuacji. Zasad akceptowanej równowagi. Podejmowane środki zaradcze nie mogą przekraczać poziomu akceptacji.

7 Strona 7 z 24 Zasada świadomej konwersacji. Nie zawsze i wszędzie trzeba mówić, co się wie, ale zawsze i wszędzie trzeba wiedzieć co, gdzie i do kogo się mówi.

8 Strona 8 z 24 Organizacja bezpieczeństwa Struktura zarządzania bezpieczeństwem Przyjmuje się, Ŝe podstawowymi zasadami przy tworzeniu struktur zarządzających bezpieczeństwem są: bezwzględne oddzielenie funkcji zarządzających i kontrolnych od funkcji wykonawczych uniemoŝliwienie naduŝyć i maksymalne ograniczenie błędów popełnianych przez pojedyncze osoby w sferze jednoosobowej odpowiedzialności zapewnienie niezaleŝności i bezinteresowności jednostek dokonujących audytu bezpieczeństwa przy zapewnieniu rękojmi zachowania tajemnicy Wszystkie procesy bezpieczeństwa, a takŝe rozwiązania bezpieczeństwa oraz organizacja jego zapewniania, muszą być zgodne z powyŝszymi zasadami. Koncepcja dokumentacji systemu zarządzania bezpieczeństwem informacji Dokumentacja systemu zarządzania bezpieczeństwem składa się z czterech głównych elementów. Są nimi: Polityka bezpieczeństwa informacji Procedury i instrukcje bezpieczeństwa, które określają szczegółowo zasady postępowania, Raporty z analizy ryzyka i plany postępowania z ryzykiem Uzupełnieniem dokumentacji SZBI jest dokumentacja z funkcjonującego systemu zarządzania jakością. Struktura zarządzania bezpieczeństwem i podział odpowiedzialności Odpowiedzialność za bezpieczeństwo informacji w Spółce ponoszą wszyscy pracownicy zgodnie z posiadanymi zakresami obowiązków. Kierownictwo firmy odpowiedzialne jest za zapewnienie zasobów niezbędnych dla opracowania, wdroŝenia, funkcjonowania, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem oraz poszczególnych zabezpieczeń. Wydaje zgodę na uŝytkowanie urządzeń słuŝących do przetwarzania informacji i zabezpieczeń rekomendowanych przez Forum Bezpieczeństwa. Decyduje równieŝ o współpracy w zakresie bezpieczeństwa z innymi podmiotami. Kierownictwo moŝe równieŝ wyrazić zgodę na udostępnienie stronom trzecim informacji stanowiących tajemnicę firmy. Jego codzienne postępowanie stanowi przykład dla innych pracowników, Ŝe

9 Strona 9 z 24 aspekty bezpieczeństwa posiadają wysoki priorytet we wszystkich podejmowanych i planowanych działaniach. Pełnomocnik ds. ZSZ odpowiedzialny jest za wdroŝenie i koordynację zapewnienia bezpieczeństwa oraz związanych z nim polityk i procedur. Forum Bezpieczeństwa jest organem doradczym w Spółce w zakresie zagadnień związanych z bezpieczeństwem informacji. Zadania, uprawnienia i odpowiedzialności Forum zostały opisane w Zasadach funkcjonowania Forum Bezpieczeństwa. Właściciel aktywu/procesu odpowiada za bieŝące nadzorowanie oraz zarządzanie aktywem Administrator aktywu/procesu odpowiada za realizację i nadzór nad technicznymi aspektami aktywu w ścisłej kooperacji z Właścicielem aktywu/procesu. PoniŜszy schemat przedstawia organizację zarządzania bezpieczeństwem informacji w Spółce. Kierownictwo Spółki Pełnomocnik ds. SZBI Forum bezpieczeństwa Właściciel aktywu Właściciel aktywu Administrator aktywu Administrator aktywu W powyŝszej strukturze moŝliwe jest wyróŝnienie trzech poziomów działań: Na poziomie strategicznym prowadzona jest generalna polityka bezpieczeństwa informacji w odniesieniu do wcześniej rozpoznanego, określonego, a takŝe poddanego analizie ryzyka i zasadniczych oczekiwań, co do poziomu bezpieczeństwa informacji oraz w odniesieniu do wynikających z nich modelowych zadań i rozwiązań. Dlatego teŝ w procesy decyzyjne tego poziomu zaangaŝowane jest najwyŝsze kierownictwo Spółki określające zasadnicze uŝytkowe kryteria bezpieczeństwa (pochodne od kryteriów normatywnych i moŝliwe do zrealizowania na bazie zidentyfikowanych atrybutów informacji).

10 Strona 10 z 24 Na poziomie taktycznym tworzone są standardy bezpieczeństwa oraz zasady kontroli ich wypełniania w stosowanych rozwiązaniach i systemach informatycznych oraz przestrzegania w praktyce uŝywania tych rozwiązań i systemów (stosownie do załoŝonych poziomów bezpieczeństwa: standardowego, podwyŝszonego lub specjalnego). W te procesy decyzyjne zaangaŝowane jest (głównie) kierownictwo. Na poziomie operacyjnym prowadzona jest administracja bezpieczeństwem pod kątem pełnego stosowania standardów bezpieczeństwa oraz rozwiązywania sytuacji zakłóceń wynikających z naruszenia tych standardów (intencjonalnego lub przypadkowego). Diagram przedstawiony poniŝej prezentuje graficznie przedstawiony podział. Poziom strategiczny Poziom taktyczny Zarząd Pełnomocnik ds. SZBI Forum Bezpieczeństwa Poziom operacyjny Właściciele aktywów Wszyscy pracownicy Funkcjonowanie Forum Bezpieczeństwa Organizacja Forum Bezpieczeństwa W skład Forum wchodzi Prezes Zarządu, Pełnomocnik ds. ZSZ oraz inni pracownicy wskazani przez Pełnomocnika ds. ZSZ. Forum zwoływane jest przez Pełnomocnika ds. ZSZ za zgodą Prezesa Zarządu. Zadania, uprawnienia i odpowiedzialności Forum Bezpieczeństwa dokonywanie przeglądu i zatwierdzanie polityki bezpieczeństwa informacji oraz ogólnego podziału odpowiedzialności uzgadnia określone metodyki i procesy związane z bezpieczeństwem informacji, np. szacowanie ryzyka, system klasyfikacji dla potrzeb bezpieczeństwa monitorowanie istotnych zmian naraŝenia aktywów informacyjnych na podstawowe zagroŝenia

11 Strona 11 z 24 dokonywanie przeglądu i monitorowanie naruszeń bezpieczeństwa informacji zatwierdzanie waŝniejszych przedsięwzięć zmierzających do podniesienia poziomu bezpieczeństwa informacji Zasady współpracy z osobami trzecimi KaŜdy gość lub osoba, która wykonuje prace zlecone na terenie firmy zobligowana jest do przestrzegania następujących procedur: do podpisania umowy lojalnościowej o przestrzeganiu tajemnicy słuŝbowej, do podpisania odpowiedzialności za naruszenie obowiązków pracowniczych/ zleceniobiorcy i za szkodę wyrządzoną pracodawcy/ zleceniodawcy, do przestrzegania reguł bhp, do przestrzegania reguł bezpieczeństwa przeciwpoŝarowego, do wpisania się w księdze gości. KaŜda osoba trzecia, która narusza sferę bezpieczeństwa firmy nie zostaje pozostawiona bez nadzoru personelu firmy. Dostęp do magazynów i biur wszelkiego personelu technicznego zajmującego się konserwacją sprzętu, ochrony, partnerów handlowych i innych osób jest nadzorowany przez pracowników Spółki. Firma kieruje się zasadą, Ŝe najbardziej zaufanymi osobami trzecimi są juŝ znane osoby firmie, które wcześniej były juŝ obecne na terenie firmy. Dostęp gości w strefie bezpieczeństwa jest limitowany. Wizyty gości są odnotowane w księdze gości. Księga gości zawiera imię i nazwisko, firmę, datę i podpis gościa Zasady współpracy z innymi spółkami Współpraca firmy z innymi spółkami oparta jest na umowach lub zleceniach. Zawierając te umowy Spółka ma zawsze na względzie, aby obejmowały one deklarację o zachowanie poufności oraz zobowiązania do działania zgodnie z prawem. Zasady współpracy z Policją, Jednostkami StraŜy PoŜarnej i StraŜy Miejskiej Wymiana informacji o zagroŝeniach w zakresie bezpieczeństwa osób i mienia oraz zakłócenia spokoju i porządku publicznego następuje poprzez: Udzielanie wzajemnej pomocy w realizacji zadań ochrony, zapobieganiu przestępczości. Udzielanie wyczerpujących informacji o zagroŝeniu dla bezpieczeństwa i porządku publicznego, Współdziałanie w zabezpieczeniu powstałych awarii na obiekcie.

12 Strona 12 z 24 Współdziałanie przy zabezpieczeniu miejsc popełnienia przestępstw i wykroczeń w granicach chronionych obiektów realizowane jest poprzez: Zabezpieczenie śladów na miejscu zdarzenia, Ustalenie świadków zdarzenia, a takŝe wykonywanie innych czynności, jakie zleci Policja, Niedopuszczenie osób postronnych na miejsce przestępstwa, wykroczenia. Współdziałanie w celu utrzymania spokoju i porządku publicznego w czasie organizowanych imprez masowych w rejonie obiektu odbywa się poprzez: Uzgodnienie zasad współpracy przed planowaną imprezą. Informowanie o wszelkich próbach zakłócenia porządku słuŝb patrolowych i dyŝurnych Policji. Niezwłocznego przekazania Policji osób stwarzających w sposób oczywisty zagroŝenie dla Ŝycia lub zdrowia ludzkiego, a takŝe chronionego obiektu. Zabezpieczenie mienia jednostki na wypadek poŝaru lub awarii: zaistniałym poŝarze lub awarii pracownik natychmiast zawiadamia przełoŝonego, StraŜ PoŜarną oraz Pełnomocnika ds. Systemu ZSZ, Przybyłe jednostki ratownicze natychmiast kieruje na miejsce akcji.

13 Strona 13 z 24 Zarządzanie aktywami i ryzykami Spółka uwaŝnie zarządza swoimi aktywami. Celem takiego postępowania jest zapewnienie im wymaganego poziomu bezpieczeństwa. Identyfikowane są aktywa i klasyfikowane zgodnie ze stawianymi im wymaganiami w zakresie ochrony. Szczególnie traktowane są towary oraz kluczowe informacje - powierzone nam przez naszych Klientów. Określone są szczegółowe zasady postępowania z danymi grupami towarów i informacji oraz grupy pracowników posiadające do nich dostęp. WaŜnym elementem zarządzania aktywami i bezpieczeństwem informacji w całej firmie jest przeprowadzanie okresowej analizy ryzyka i opracowania planów postępowania z ryzykiem. Analiza jej wyników stanowi podstawę podejmowania wszelkich działań w zakresie doskonalenia ochrony zasobów spółki. Podstawowym kryterium akceptacji ryzyk jest dąŝenie do wyrównania ich poziomów. Na podstawie wyników analizy ryzyka opracowywane są plany postępowania z ryzykiem dla aktywów o ryzykach większych niŝ ustalony poziom ryzyka akceptowalnego. Ryzyka są przeglądane na przeglądach kierownictwa oraz po zmianach mających wpływ na system bezpieczeństwa. Autoryzacja nowych urządzeń KaŜde nowe lub zmienione urządzenie słuŝące do przetwarzania informacji lub mogące w jakikolwiek inny sposób wpływać na bezpieczeństwo informacji musi zostać zweryfikowane na zgodność z wymaganiami systemu bezpieczeństwa i zaakceptowane przez wskazaną osobę. O ile nie zostało to określone szczegółowo w innych opracowaniach, za dopuszczenie do uŝytkowania nowych urządzeń odpowiada Pełnomocnik ds. ZSZ.

14 Strona 14 z 24 Bezpieczeństwo zasobów ludzkich Spółka dba o zapewnienie kompetentnych pracowników do realizacji wyznaczonych w procesach zadań. Celem takiego postępowania jest ograniczenie ryzyka błędu ludzkiego, kradzieŝy, naduŝycia lub niewłaściwego uŝytkowania zasobów. Skuteczna realizacja postawionego celu moŝliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z weryfikacją kandydatów do pracy podczas naboru, zasadom zatrudniania pracowników oraz ustalonym procedurom rozwiązywania umów o pracę. Pracownicy są okresowo oceniani pod względem spełnienia wymagań bezpieczeństwa oraz szkoleni z tej tematyki. Zasoby ludzkie są waŝnym czynnikiem analizowanym podczas przeprowadzania okresowej analizy ryzyka. Tylko kompetentni i zaufani pracownicy są gwarantem dostarczenia Klientom usług o odpowiednim poziomie jakości i bezpieczeństwa.

15 Strona 15 z 24 Bezpieczeństwo fizyczne i środowiskowe Spółka dba o zapewnienie wysokiego poziomu bezpieczeństwa fizycznego i środowiskowego. Celem takiego postępowania jest zapewnienie bezpieczeństwa przed dostępem osób niepowołanych, uszkodzeniem lub innymi zakłóceniami w siedzibie firmy. W przypadku towarów i informacji powierzonych przez naszych Klientów najistotniejsze jest zapewnienie wszystkich trzech podstawowych aspektów bezpieczeństwa: poufności oraz ich dostępności i integralności. Podobnie sytuacja wygląda w przypadku danych własnych. Skuteczna realizacja postawionego celu moŝliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z wyznaczeniem stref bezpieczeństwa, zasadami pracy oraz administrowaniem prawami dostępu do nich. Wyznaczone są izolowane obszary dostawy i załadunku, pozwalające na bezpieczny wyładunek towarów przywiezionych od klienta. Obiekty są monitorowane systemem telewizji przemysłowej i chronione 24h na dobę. Kluczowe systemy techniczne i informatyczne wyposaŝone są w systemy podtrzymujące zasilanie. Firma kieruje się następującą zasadą: Blokuj dostęp do wszystkich miejsc przetwarzania informacji i przechowywania towarów poza wyraźnie dozwolonymi, bo od tego zaleŝy równieŝ Twoje bezpieczeństwo.

16 Strona 16 z 24 Zarządzanie systemami i sieciami Spółka dba o przestrzeganie zasad związanych z utrzymywaniem i uŝytkowaniem systemów informatycznych i sieci. Celem takiego postępowania jest zapewnienie poufności, integralności i dostępności przetwarzanej przez nie informacji własnych. Skuteczna realizacja postawionego celu moŝliwa jest dzięki: kompetencjom i świadomości pracowników oraz podpisanym umowom ze specjalistycznymi firmami administrującymi zasobami informatycznymi i wspomagającymi spółki. opracowanym zasadom konserwacji urządzeń w celu zapewnienia ich ciągłej pracy. kontrolowaniu wprowadzania wszelkie zmian do infrastruktury technicznej. w celu zapewnienia bezpieczeństwa systemów produkcyjnych, prace rozwojowe i testowe prowadzone są na oddzielnych urządzeniach lub środowiskach. usługi dostarczane przez strony trzecie są nadzorowane, w szczególności wszelkie wprowadzane do nich zmiany. Po zakupie, lub wprowadzeniu zmiany do systemu jest on odbierany i akceptowany w sposób świadomy, uwzględniający jego wpływ na istniejący system bezpieczeństwa. wdroŝone są zabezpieczenia chroniące przed oprogramowaniem złośliwym i mobilnym usystematyzowanemu tworzeniu i testowaniu kopii bezpieczeństwa. Kopie bezpieczeństwa tworzone będą minimum 1 raz w tygodniu (system SOZ codziennie). NaleŜy przechowywać je poza biurem. Odpowiedzialność spoczywa na kierownikach oddziałów. przestrzeganiu opracowanych zasad postępowania z nośnikami bieŝącym monitorowaniu aktywów informacyjnych, w tym informatycznych, pod kątem wcześniejszego wykrycia wszelkich niebezpieczeństw mogących zagrozić bezpieczeństwu systemów. Firma monitoruje poziom incydentów w systemach informatycznych i posiada mechanizmy reagowania w przypadkach ich wystąpienia.

17 Strona 17 z 24 Kontrola dostępu Spółka zarządza kontrolą dostępu. Celem takiego postępowania jest zapewnienie, Ŝe dostęp do towarów, informacji, miejsc, urządzeń lub systemów ich przetwarzania mają tylko osoby uprawnione. Skuteczna realizacja postawionego celu moŝliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z nadzorowaniem ruchu osobowego w wyznaczonych strefach bezpieczeństwa za pośrednictwem systemu telewizji przemysłowej, ochrony fizycznej oraz systemu nadzorowania gości. Największa uwaga poświęcona jest kontroli dostępu do towarów i danych powierzonych przez Klientów.

18 Strona 18 z 24 Wymiana informacji KaŜda informacja udostępniana stronom trzecim (zewnętrznym) podlega ochronie. Przed udostępnieniem/wymianą informacji kaŝdy pracownik jest odpowiedzialny za upewnienie się, Ŝe moŝe informacje przekazać. W przypadku wątpliwości o przekazaniu informacji decyduje właściwy przełoŝony.

19 Strona 19 z 24 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych Spółka zapewnia, ze wszystkie procesy związane z pozyskaniem, rozwojem bądź utrzymaniem systemów informacyjnych, w tym systemów i aplikacji informatycznych własnych, wykorzystywanych wewnętrznie lub oferowanych Klientom, prowadzone jest w sposób nadzorowany, gwarantujący utrzymanie odpowiedniego poziomu bezpieczeństwa. Na to zapewnienie składa się: Uwzględnianie wymogów bezpieczeństwa podczas zakupu lub produkcji nowych systemów, Dopuszczenie nowego systemu poprzedzone jest zawsze fazą testowania WdroŜone procedury kontroli zmian/ aktualizacji oprogramowania

20 Strona 20 z 24 Zarządzanie incydentami W przypadku wszelkich incydentów w Spółce powiadamiany jest Pełnomocnik ds. ZSZ. Z jego udziałem dokonywana jest wstępna analiza incydentu, po czym podejmowane są działania zgodne z zasadami reakcji na zdarzenia. Po wystąpieniu incydentu natychmiast podejmowane są działania mające usunąć ewentualne skutki zaistnienia incydentu, a następnie wszystkie incydenty są szczegółowo analizowane i podejmowane są dalsze decyzje właściwe dla danej sytuacji. Incydenty są rejestrowane i analizowane przez Pełnomocnika ds. ZSZ i Członków Forum bezpieczeństwa.

21 Strona 21 z 24 Zarządzanie ciągłością działania Spółka dba o zapewnienie ciągłości funkcjonowania usług związanych z bezpieczeństwem dostaw. Celem takiego postępowania jest przeciwdziałanie przerwom w działalności biznesowej oraz ochrona krytycznych procesów biznesowych przed rozległymi awariami lub katastrofami. Skuteczna realizacja postawionego celu moŝliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z zarządzeniem ciągłością działania tak, aby ograniczać do akceptowalnego poziomu skutki wypadków i awarii. W sposób systemowy tworzone są plany postępowania w sytuacjach kryzysowych. Powołane Forum Bezpieczeństwa dba o ich aktualność i testuje je pod względem przydatności w sytuacji realnego zagroŝenia. PowyŜsze zasady zapewniają, Ŝe firma jest przygotowana na działanie równieŝ w przypadkach odbiegających od normy.

22 Strona 22 z 24 Zgodność Spółka dba o zapewnienie zgodności zasad postępowania z przepisami obowiązującego prawa, przyjętych uwarunkowań umownych i normatywnych oraz wypracowanych własnych standardów. Celem takiego postępowania jest unikanie naruszania jakichkolwiek przepisów prawa karnego lub cywilnego, zobowiązań wynikających z ustaw, zarządzeń lub umów i jakichkolwiek wymagań bezpieczeństwa. Skuteczna realizacja postawionego celu moŝliwa jest dzięki ustanowionym praktykom i podziałowi odpowiedzialności związanemu z identyfikacja wymagań prawnych w zakresie bezpieczeństwa informacji. Prowadzony jest nadzór nad komplementarnością stosowanych techniczną urządzeń oraz prowadzone są audyty wewnętrzne funkcjonowania systemu.

23 Strona 23 z 24 Postanowienia końcowe Spółka dba o zapoznanie pracowników z dokumentacją Polityki Bezpieczeństwa. Za złoŝenie przez nich stosownych oświadczeń oraz uzyskanie niezbędnych praw dostępu (do pomieszczeń i systemów informatycznych), stosownie do przypisanej roli odpowiada bezpośredni przełoŝony. BieŜący nadzór nad przestrzeganiem przyjętych zasad w zakresie bezpieczeństwa informacji pełni Pełnomocnik ds. ZSZ, będący reprezentantem Zarządu Spółki. Naruszenia świadome, bądź przypadkowe niniejszej Polityki Bezpieczeństwa (wraz z wszystkimi dokumentami wykonawczymi) powoduje skutki prawne zgodnie z Regulaminem Pracy, a w przypadkach zastrzeŝonych przez ustawodawcę karne wynikające z odpowiedzialności określonej przez sąd. W ramach doskonalenia Systemu Zarządzania Bezpieczeństwem deklarowana jest wola współpracy w zakresie poprawy stanu ochrony aktywów informacyjnych z: Firmami certyfikującymi na zgodność ze standardami bezpieczeństwa, w tym na zgodność z normą ISO Ekspertami w zakresie bezpieczeństwa oraz pozostałymi instytucjami (Klientami, Dostawcami i innymi zainteresowanymi stronami)

24 Strona 24 z 24 Załącznik nr 1. Wykaz zmian Lp. Data zmiany Nr strony Krótki opis zmiany Wprowadził Sprecyzowano odpowiedzialność i częstotliwość tworzenia kopii zapasowych Mirosław Stańczykowski