Polityka Bezpieczeństwa dla Dostawców

Podobne dokumenty
Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Szkolenie otwarte 2016 r.

Deklaracja stosowania

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Deklaracja stosowania

POLITYKA E-BEZPIECZEŃSTWA

Marcin Soczko. Agenda

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Uchwała wchodzi w życie z dniem uchwalenia.

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Promotor: dr inż. Krzysztof Różanowski

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA

Dane osobowe: Co identyfikuje? Zgoda

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

Szczegółowy opis przedmiotu zamówienia:

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

PROGRAM NAUCZANIA KURS ABI

SZCZEGÓŁOWY HARMONOGRAM KURSU

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

PARTNER.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Amatorski Klub Sportowy Wybiegani Polkowice

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Reforma ochrony danych osobowych RODO/GDPR

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

DEKLARACJA STOSOWANIA

Maciej Byczkowski ENSI 2017 ENSI 2017

Polityka Bezpieczeństwa ochrony danych osobowych

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

Ochrona Informacji i innych aktywów Zamawiającego

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: zwany w dalszej części umowy Podmiotem przetwarzającym, reprezentowanym przez:

AKREDYTOWANY KURS ABI. KOMPLEKSOWE PRZYGOTOWANIE DO PEŁNIENIA FUNKCJI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI)

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Bezpieczeństwo teleinformatyczne danych osobowych

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Rozdział I Zagadnienia ogólne

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

a) po 11 dodaje się 11a 11g w brzmieniu:

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Umowa nr TXU/TXXI/INNE/ /2018 powierzenia przetwarzania danych osobowych

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Transkrypt:

Polityka Bezpieczeństwa Właściciel Zatwierdził Wersja 1.4 Bartłomiej Szymczak Quality and Security Manager Paweł Borkowski Główny Architekt Data wersji 17.10.2017 Data kolejnego przeglądu 17.10.2018 Status Klasa bezpieczeństwa dokumentu opublikowany Wewnętrzny_innogy Copyright Jakiekolwiek wykorzystywanie lub utrwalanie niniejszego materiału, w całości lub w części, takie jak sporządzenie fotokopii lub przechowywanie na jakimkolwiek nośniku elektronicznym lub w dowolnej innej formie, wymaga pisemnego zezwolenia upoważnionego przedstawiciela innogy Business Services Polska Sp. z o.o. i może odbywać jedynie w sposób zgodny z tym zezwoleniem. Polityka_bezp_dostawców_PBDD_v1.4 Strona 1 z 19

Spis treści 1 Historia zmian i przeglądów... 3 2 Słownik pojęć... 3 3 Cel i zakres stosowania dokumentu... 5 4 Polityka bezpieczeństwa realizacji zadań... 6 5 procesów projektowych Dostawcy... 10 6 Polityka bezpieczeństwa budowy środowisk rozwojowych i testowych... 12 7 Polityka korzystania z usług w chmurze... 16 8 Polityka audytów bezpieczeństwa dostawców... 17 9 Polityka zakończenia współpracy... 18 10 Załączniki... 19 11 Tracące ważność/ współobowiązujące regulacje... 19 Polityka_bezp_dostawców_PBDD_v1.4 Strona 2 z 19

1 Historia zmian i przeglądów Wersja Status 0.1 W opracowaniu 1.0 Opublikowany 1.1 Opublikowany 1.2 Opublikowany 1.3 Opublikowany 1.3 Opublikowany 2 Słownik pojęć Wykonawca Data Artur Sygnatowicz 05.10.2015 Bartłomiej Szymczak 30.06.2016 Bartłomiej Szymczak 09.09.2016 Bartłomiej Szymczak 25.11.2016 Bartłomiej Szymczak 01.08.2017 Bartłomiej Szymczak 17.10.2017 Wersja inicjalna Uwagi Zmiana marki z innogy na Innogy Bez zmian merytorycznych Poprawki edycyjne po rozmowach z dostawcami oraz przeglądzie z Antonim Pajdo Przegląd, zmiana nazewnictwa klasyfikacji bezpieczeństwa informacji. Przegląd, aktualizacja zapisów dotyczących zdalnych dostępów. Pojęcie Dopuszczenie Dostawca Dostępność BS PL Integralność Znaczenie pojęcia Przytoczone pojęcia (oraz inne im odpowiadające) oznaczają tryb postępowania, którego użycie (lub poniechanie albo zastąpienie alternatywą) jest dopuszczalne pod warunkiem znalezienia uzasadnienia: może, dopuszczalne, akceptowalne, opcjonalnie. Firma powiązana umową formalno-prawną z innogy BS PL lub powiązana formalnie poprzez umowy prawne ze spółkami Grupy innogy, realizująca dostawy lub świadcząca usługi na rzecz innogy BS PL lub spółek powiązanych. Właściwość bycia dostępnym i użytecznym za żądanie autoryzowanego podmiotu. [PN-ISO/IEC 27000:2014-11P] Dział w innogy Business Services Polska Sp. z o.o. Właściwość polegająca na zapewnieniu dokładności i kompletności [PN-ISO/IEC 27000:2014-11P] Polityka_bezp_dostawców_PBDD_v1.4 Strona 3 z 19

Pojęcie Klasa bezpieczeństwa informacji i oznaczenie klasy dokumentu Nakaz lub zakaz Poddostawca Poufność SZBI Zalecenie Znaczenie pojęcia Klasa bezpieczeństwa informacji dotyczy informacji. Jest określana na podstawie skutków dla Grupy innogy, jakie może wywołać naruszenie poufności, dostępności lub integralności informacji. Służy do wyznaczenia właściwego poziomu zabezpieczeń informacji. Dokument oznacza się klasą bezpieczeństwa dokumentu, zależną wprost od klasy bezpieczeństwa informacji w nim zawartych: Klasa bezpieczeństwa informacji: niska (informacje publiczne), średnia (informacje do użytku wewnętrznego), wysoka (informacje zastrzeżone, na przykład dane osobowe) bardzo wysoka (informacje poufne, szczególnie chronione, o wysokim znaczeniu). Oznaczenie klasy dokumentu: Publiczny Wewnętrzny_innogy Zastrzeżony_innogy Poufny_innogy Brak oznaczenia dokumentu jest równoważny z oznaczeniem Wewnętrzny_innogy. Dokładna charakterystyka klas podana jest w dokumencie polityki tworzenia i utrzymywania dokumentacji procesowej [1]. Przytoczone pojęcia (oraz inne im odpowiadające) oznaczają bezwzględny obowiązek (lub odpowiednio zakaz) opisanego postępowania: musi, jest, ma, wymagane, niezbędne, konieczne, trzeba; nie ma, zabronione, wzbronione, niedopuszczalne, zakazane, niemożliwe, nie można. Dostawca Dostawcy innogy BS PL. Właściwość polegająca na tym, że informacja nie jest udostępniona ani ujawniana nieautoryzowanym osobom, podmiotom, procesom. [PN-ISO/IEC 27000:2014-11P] System Zarządzania Bezpieczeństwem Informacji według normy PN-ISO/IEC 27001:2014-12 w BS PL Przytoczone pojęcia (oraz inne im odpowiadające) oznaczają zalecenie wykonywania (lub odpowiednio powstrzymywania się od wykonywania) opisanego postępowania: powinno, należy, zalecane, wskazane, rekomendowane nie należy, należy unikać, nie powinno, niewskazane, niezalecane, nierekomendowane. Niezastosowanie się do zalecenia dopuszczalne jest tylko w przypadku, gdy w wyniku przeprowadzonej analizy wykazano, że zastosowanie się do zalecenia jest: niemożliwe, szkodliwe lub niebezpieczne, zbędne, nieracjonalne lub nieefektywne. Uzasadnienie należy udokumentować. Polityka_bezp_dostawców_PBDD_v1.4 Strona 4 z 19

3 Cel i zakres stosowania dokumentu Celem niniejszego dokumentu jest zapewnienie bezpieczeństwa systemów rozwojowych i testowych, budowanych i eksploatowanych przez dostawców innogy, danych jakie znajdują się w tych systemach a także bezpieczeństwa realizacji zadań na rzecz innogy. Niniejszy dokument dotyczy tylko tych systemów, które są wykorzystywane do realizacji zadań na rzecz innogy. W dalszej części dokumentów sformułowanie systemy rozwojowe i testowe odnosi się wyłącznie do systemów służących do rozwijania i testowania rozwiązań informatycznych realizowanych na rzecz innogy. Niniejszy dokument obowiązuje w BS PL. Niniejszy dokument obowiązuje od dnia opublikowania. Najnowsza wersja niniejszego dokumentu opublikowana jest na WIKI Quality Polityka_bezp_dostawców_PBDD_v1.4 Strona 5 z 19

4 Polityka bezpieczeństwa realizacji zadań PBDD 1.1 Cele bezpieczeństwa Dostawca WINIEN zapewnić, że zadania realizowane na rzecz BS PL będą zarządzane zgodnie z najlepszymi praktykami określonymi w rozdz. 6.1.5 normy PN-ISO/IEC 27002-12. W szczególności MUSI zostać zapewnione, aby: a. Dostawca zidentyfikował cele bezpieczeństwa realizowanego przedsięwzięcia. b. Dostawca zidentyfikował i oszacował ryzyka związane z realizacją przedsięwzięcia. c. Zdefiniował i zastosował zabezpieczenia adekwatne do zidentyfikowanych ryzyk. PBDD 1.2 Klasyfikacja informacji Dostawca WINIEN stosować klasyfikację informacji przesyłanej, przechowywanej i przetwarzanej w kontekście realizacji zadań na rzecz innogy, zgodnie z zasadami klasyfikacji określonymi w niniejszym dokumencie oraz najlepszymi praktykami określonymi w rozdz. 8.2 normy PN-ISO/IEC 27002-12. PBDD 1.3 informacji Dostawca WINIEN zapewnić bezpieczeństwo informacji przesyłanej w związku z realizacją zadań na rzecz innogy zgodnie wymaganiami określonymi w rozdz. 13.2 normy PN-ISO/IEC 27002-12. W szczególności Dostawca MUSI: a. Zapewnić ochronę poufności oraz integralności informacji przesyłanej publicznymi kanałami transmisyjnymi, odpowiednio do jej klasy bezpieczeństwa. b. Zapewnić, że wszystkie osoby mające dostęp do informacji chronionych lub szczególnie chronionych podpisały klauzule poufności. PBDD 1.4 łańcucha dostaw Dostawca MUSI zidentyfikować i udokumentować łańcuch dostaw związany z realizacją projektu. Dostawca MUSI zapewnić, że jego poddostawcy zapewniają taki sam poziom bezpieczeństwa jaki spełnia on sam w odniesieniu do BS PL. Dostawca odpowiada za zapewnienie bezpieczeństwa w całym łańcuchu dostaw produktów i usług, za który jest odpowiedzialny zgodnie z zawartą umową. Wytyczne do realizacji tego wymagania określają najlepsze praktyki zawarte w rozdz. 14.2.7 i 15.1.3 normy PN-ISO/IEC 27002-12. Polityka_bezp_dostawców_PBDD_v1.4 Strona 6 z 19

PBDD 1.5 personelu Dostawca WINIEN zapewnić bezpieczeństwo wykorzystywanego personelu zgodnie z najlepszymi praktykami określonymi w rozdz. 7.2.1, 7.2.2 oraz 7.3.1 normy PN-ISO/IEC 27002-12, adekwatnie do zadań realizowanych na rzecz innogy. W szczególności Dostawca MUSI posiadać i realizować udokumentowane polityki dotyczące jego personelu, które obejmują: a. Przekazanie swojemu personelowi, realizującemu zadania na rzecz innogy, informacji o wymaganiach bezpieczeństwa współpracy z innogy. b. Zapewnienie, poprzez adekwatne szkolenia, odpowiedniego poziomu informacji o wymaganiach bezpieczeństwa oraz sposobach ich realizacji. c. Podpisanie przez pracowników realizujących zadania na rzecz innogy oświadczeń o zapoznaniu się z wymaganiami bezpieczeństwa i odpowiednimi politykami ich realizacji. Podpisane oświadczenie winno także zawierać klauzulę o zachowaniu poufności pozyskanych informacji. PBDD 1.6 urządzeń mobilnych Dostawca WINIEN zapewnić bezpieczeństwo wykonywania na rzecz innogy BS PL pracy zdalnej oraz wykorzystywanych urządzeń mobilnych zgodnie z najlepszymi praktykami określonymi w rozdz. 6.2.1 normy PN-ISO/IEC 27002-12. W szczególności Dostawca MUSI posiadać i realizować udokumentowaną politykę korzystania z urządzeń mobilnych, która zapewnia: a. Ochronę fizyczną urządzeń przenośnych (komórki/tablety/ notebooki). b. Nadzór nad oprogramowaniem instalowanym na urządzeniach mobilnych. c. Zarządzanie uprawnieniami dostępu do urządzeń mobilnych. d. Ochronę urządzeń mobilnych przed szkodliwym oprogramowaniem. e. Zarządzanie technikami kryptograficznymi, które zapewnią bezpieczeństwo przechowywanych danych. f. Ograniczenia w połączeniach do usług informacyjnych. g. Bezpieczną realizację kopii bezpieczeństwa. h. przed ingerencją zewnętrzną, np. firewall lokalny. i. zdalnego zarządzania urządzeniami. Polityka_bezp_dostawców_PBDD_v1.4 Strona 7 z 19

PBDD 1.7 wymiennych nośników danych Dostawca WINIEN zapewnić bezpieczeństwo wymiennych nośników danych wykorzystywanych w związku z realizacją zadań na rzecz innogy zgodnie z najlepszymi praktykami określonymi w rozdz. 8.3 normy PN-ISO/IEC 27002-12. W szczególności Dostawca MUSI: a. Posiadać i realizować polityki dotyczące bezpiecznego usuwania danych z nośników zawierających dane związane z realizacją zadań na rzecz innogy, zapewniając skuteczne usuwanie. b. Posiadać i realizować polityki bezpiecznego przekazywania nośników zawierających dane związane z realizacją zadań na rzecz innogy, zapewniając skuteczną ochronę danych. PBDD 1.8 powierzonych aktywów Dostawca WINIEN zapewnić właściwe użycie aktywów, powierzonych przez BS PL, wykorzystywanych w pracach na rzecz innogy zgodnie z najlepszymi praktykami określonymi w rozdz. 8.1.3 i 8.1.4 normy PN- ISO/IEC 27002-12. W szczególności WYMAGANYM jest aby: a. Użytkownicy tych aktywów posiadali świadomość odnośnie bezpiecznego korzystania z udostępnionych aktywów. b. Po zakończeniu realizacji zleconych zadań użytkownicy zwrócili aktywa lub, w przypadku gdy są to dane, usunęli je w skuteczny sposób. Polityka_bezp_dostawców_PBDD_v1.4 Strona 8 z 19

PBDD 1.9 zdalnej pracy Dostawca WINIEN zapewnić bezpieczeństwo zdalnej pracy na systemach innogy zgodnie z najlepszymi praktykami określonymi w rozdz. 6.2.2 normy PN-ISO/IEC 27002-12. W szczególności: a. Zdalny dostęp do zasobów Zleceniodawcy MUSI być realizowany wyłącznie z wykorzystaniem zasobów i informacji udostępnionych przez Zleceniodawcę. b. Zdalny dostęp do zasobów Zleceniodawcy MUSI być wykorzystywany tylko w celach i zakresie określonym przez Zleceniodawcę. c. Nadawany zdalny dostęp jest imienny i wydawany każdemu pracownikowi Dostawcy indywidualnie. d. Osoby korzystające ze zdalnego dostępu są ZOBOWIĄZANE do zapewnienia ochrony fizycznej zasobów oraz zachowania poufności informacji niezbędnych do korzystania ze zdalnego dostępu. e. Osoby korzystające z zasobów oraz informacji niezbędnych do korzystania ze zdalnego dostępu NIE MOGĄ ich udostępniać ani ujawniać innym osobom. f. Wykorzystanie zdalnego dostępu MUSI być realizowane warunkach, które będą zabezpieczały przed ujawnieniem informacji poufnych. Szczególną ostrożność należy zachować w miejscach publicznych. g. ZABRONIONE jest wykorzystywanie podatności w zdalnym dostępie zidentyfikowanych przez osoby korzystające ze zdalnego dostępu. h. Wszelkie wykryte podatności MUSZĄ być niezwłocznie zgłoszone do Zleceniodawcy. Dalsze korzystanie ze zdalnego dostępu winno być realizowane wyłącznie po wyrażeniu zgody przez Zleceniodawcę. i. Osoby korzystające ze zdalnego dostępu MUSZĄ zapewnić, że zdalny komputer nie jest jednocześnie podłączony do innej sieci komputerowej, ewentualnie za wyjątkiem sieci komputerowej Dostawcy. j. Osoby korzystające ze zdalnego dostępu MUSZĄ zapewnić, że zdalny komputer posiada zainstalowane aktualne oprogramowanie chroniące przez złośliwym kodem. k. Zleceniodawca ma prawo do nagrywania, przechowywania i wykorzystania w celach dowodowych nagrań z przeprowadzonego zdalnego dostępu. l. Zleceniodawca ma prawo do rejestrowania, przechowywania i wykorzystania w celach dowodowych wszelkich zdarzeń związanych z realizacją zdalnego dostępu. Polityka_bezp_dostawców_PBDD_v1.4 Strona 9 z 19

5 procesów projektowych Dostawcy PBDD 2.1 procesu projektowego Dostawca WINIEN wykorzystywać w procesach projektowych, realizowanych na rzecz innogy, najlepsze praktyki określone w rozdz. 14.2.1, 14.2.2, 14.2.5 normy PN-ISO/IEC 27002-12. W szczególności Dostawca MUSI: a. Zapewnić istnienie i realizację udokumentowanych punktów kontrolnych realizacji wymagań bezpieczeństwa. b. Zapewnić kontrolę wersji wytwarzanego kodu oraz dokumentacji. c. Zapewnić spełnienie udokumentowanych standardów programowania, przekazanych w ramach realizacji prac Zapewnić realizację udokumentowanych procedur zarządzania zmianami w wytwarzanych aplikacjach, systemach. PBDD 2.2 Zarządzanie zmianami Dostawca WINIEN zapewnić, że zmiany wprowadzane do projektowanych rozwiązań będą realizowane zgodnie z najlepszymi praktykami określonymi w rozdz. 15.2.2 normy PN-ISO/IEC 27002-12. W szczególności Dostawca MUSI zapewnić, że: a. Zmiany będą rejestrowane. b. Zmiany będą zatwierdzane przez upoważnione osoby. c. Będą istniały procedury zarządzania zmianami w wytwarzanych aplikacjach i systemach. PBDD 2.3 Ochrona dokumentacji projektowej eksploatacyjnej i Dostawca WINIEN zapewnić ochronę dokumentacji projektowej oraz eksploatacyjnej, tworzonej i przetwarzanej na rzecz innogy, zgodnie z najlepszymi praktykami określonymi w rozdz. 8.1.3 oraz 8.2.3 normy PN-ISO/IEC 27002-12. W szczególności: a. Dokumentacja może być udostępniona wyłącznie osobom mającym upoważnienie do dostępu do takiej informacji w oparciu o umowę z innogy. b. Dostawca jest ZOBOWIĄZANY do oznaczania dokumentacji projektowej klasą bezpieczeństwa według klasyfikacji innogy. c. Dokumentacja MUSI być przechowywana w repozytorium zapewniającym ochronę poufności oraz integralności przechowywanej dokumentacji. d. Dostawca MUSI rejestrować zdarzenia związane z dostępem do bezpiecznego repozytorium i przechowywać bezpiecznie zapisy nie krócej niż 3 lata Polityka_bezp_dostawców_PBDD_v1.4 Strona 10 z 19

PBDD 2.4 Incydenty bezpieczeństwa Dostawca MUSI zapewnić identyfikowanie i obsługę incydentów bezpieczeństwa zgodnie z najlepszymi praktykami określonymi w rozdz. 16.1 normy PN-ISO/IEC 27002-12. W szczególności Dostawca MUSI zgłaszać w formie pisemnej do innogy BS PL wszelkie incydenty bezpieczeństwa, które mają związek z zadaniami realizowanymi na rzecz innogy lub z produktami wytwarzanymi na rzecz innogy. PBDD 2.5 Incydenty bezpieczeństwa W przypadku zaistnienia incydentu bezpieczeństwa Dostawca MUSI podjąć wszelkie niezbędne środki, aby zminimalizować wpływ incydentu na działanie innogy lub na jego wizerunek publiczny. Dostawca MUSI także posiadać odpowiednie procedury umożliwiające gromadzenie wszelkich dowodów związanych z zaistnieniem incydentu bezpieczeństwa, zgodnie z najlepszymi praktykami określonymi w rozdz. 16.1.7 normy PN-ISO/IEC 27002-12. Polityka_bezp_dostawców_PBDD_v1.4 Strona 11 z 19

6 Polityka bezpieczeństwa budowy środowisk rozwojowych i testowych PBDD 3.1 Bezpieczne środowisko rozwojowe Dostawca WINIEN realizować prace rozwojowe z wykorzystaniem bezpiecznego środowiska rozwojowego, dla którego najlepsze praktyki określono w rozdz. 14.2.6 normy PN-ISO/IEC 27002-12. W szczególności Dostawca MUSI zapewnić: a. Zabezpieczenia środowiska rozwojowego i testowego adekwatne do poziomu ryzyka związanego z wykorzystaniem danych o określonym poziomie ochrony. b. Kontrolę przepływu danych od i do środowiska rozwojowego i testowego, zapewniając brak upływu danych testowych oraz brak nieuprawnionego dostępu do systemów. PBDD 3.2 środowisk rozwojowych i testowych Dostawca WINIEN zapewnić bezpieczeństwo fizyczne środowisk rozwojowych i testowych zgodnie z najlepszymi praktykami określonymi w rozdz. 11.1 i 11.2 normy PN-ISO/IEC 27002-12. W szczególności Dostawca MUSI: a. Zapewnić bezpieczeństwo fizyczne obszaru, w którym znajdują środowiska rozwojowe i testowe. b. Zapewnić ochronę fizyczną środowisk rozwojowych i testowych przed wrogim atakiem. c. Zapewnić minimalizację ryzyk dotyczących środowisk rozwojowych i testowych związanych z nieuprawnionym dostępem. d. Zapewnić bezpieczeństwo danych udostępnionych przez lub dotyczących innogy w przypadku wynoszenia zasobów poza obszar chroniony. Polityka_bezp_dostawców_PBDD_v1.4 Strona 12 z 19

PBDD 3.3 Zarządzanie uprawnieniami do środowisk rozwojowych i testowych Dostawca WINIEN zarządzać uprawnieniami dostępu do środowisk rozwojowych i testowych zgodnie z najlepszymi praktykami określonymi w rozdz. 9.2, 9.3, 9.4 normy PN-ISO/IEC 27002-12. W szczególności Dostawca MUSI spełniać następujące wymagania: a. Przyznawanie uprawnień dostępu do systemów rozwojowych i testowych MUSI być dokumentowane i kontrolowane. b. Przyznawanie uprawnień do systemów rozwojowych i testowych MUSI być oparte o zasadę wiedzy koniecznej oraz zasadę potrzeby koniecznej. c. Przyznawanie uprawnień MUSI zapewnić, że dostęp do danych chronionych i szczególnie chronionych uzyskają tylko te osoby, które są do tego upoważnione. d. Przyznawanie uprawnień MUSI zapewnić możliwość rozliczalności użytkowników tych uprawnień. e. Uprawnienia niewykorzystywane MUSZĄ być niezwłocznie odbierane. f. Przyznane uprawnienia dostępu MUSZĄ podlegać kontroli nie rzadziej niż co 6 miesięcy, zaś wyniki przeglądów MUSZĄ być udokumentowane i przechowywane w bezpieczny sposób nie krócej niż 3 lata. g. Przyznane uprawnienia uprzywilejowane MUSZĄ podlegać kontroli nie rzadziej niż co 6 miesięcy, zaś wyniki przeglądów MUSZĄ być udokumentowane. PBDD 3.4 Separacja środowisk rozwojowych i testowych Dostawca WINIEN zapewnić (co najmniej na poziomie maszyny wirtualnej lub fizycznej) odseparowanie środowisk rozwojowych i testowych przeznaczonych do realizacji zadań na rzecz innogy od środowisk realizujących zadania dla innych klientów, zgodnie z najlepszymi praktykami określonymi w rozdz. 12.1.4 normy PN- ISO/IEC 27002-12. PBDD 3.5 Rejestracja zdarzeń Dostawca MUSI zapewnić rejestrowanie zdarzeń związanych z dostępem użytkowników oraz administratorów do systemów rozwojowych i testowych oraz zapewnić ich bezpieczne przechowywanie przez okres nie krótszy niż 3 lata. Dostawca MUSI udostępnić przechowywane rejestry na życzenie BS PL. Najlepsze praktyki w tym zakresie są określone w rozdz. 12.4 normy PN-ISO/IEC 27002-12. W szczególności rejestracja zdarzeń MUSI zapewnić realizację zapisów Standardu technologicznego innogy. Polityka_bezp_dostawców_PBDD_v1.4 Strona 13 z 19

PBDD 3.6 Ochrona kopii bezpieczeństwa Dostawca WINIEN zapewnić ochronę kopii zapasowych informacji przetwarzanej w trakcie realizacji zadań na rzecz innogy, zgodnie z najlepszymi praktykami określonymi w rozdz. 12.3 normy PN- ISO/IEC 27002-12. W szczególności Dostawca MUSI zapewnić fizyczne zabezpieczenie kopii bezpieczeństwa, a także gdy jest to właściwe dla wymaganego poziomu ochrony informacji, szyfrowanie kopii bezpieczeństwa. PBDD 3.7 Ochrona danych testowych Dostawca MUSI zapewnić bezpieczeństwo danych testowych adekwatnie do rodzaju danych oraz klasy poufności tych danych, zgodnie z klasyfikacją innogy. PBDD 3.8 Ochrona danych testowych Dostawca MUSI zapewnić, że dostęp do danych testowych będą posiadały tylko osoby upoważnione. Wykorzystanie danych testowych MUSI być rejestrowane, zaś zapisy przechowywane przez okres co najmniej 3 lat. PBDD 3.9 Bezpieczne repozytorium kodów źródłowych Kody źródłowe muszą być przechowywane w bezpiecznym repozytorium kodów źródłowych, zgodnie z wymaganiami określonymi w rozdz. 9.4.5 normy PN-ISO/IEC 27002-12. PBDD 3.10 Ochrona kodów źródłowych W trakcie transferu kodów źródłowych Dostawca MUSI zapewnić ich integralność oraz poufność, zgodnie z wymaganiami określonymi w rozdz. 13.2.2 normy PN-ISO/IEC 27002-12. PBDD 3.11 Bezpieczne repozytorium kodów źródłowych Dostawca ma obowiązek zapewnić, że dostęp do repozytorium kodów źródłowych będzie kontrolowany, zaś korzystać z repozytorium będą osoby upoważnione. Dostęp do repozytorium musi zostać zarejestrowany, zaś rejestry przechowywane nie krócej niż 3 lata do daty zdarzenia. Polityka_bezp_dostawców_PBDD_v1.4 Strona 14 z 19

PBDD 3.12 Bezpieczny kod Dostawca ma obowiązek zapewnić, że wytworzone przez niego oprogramowanie spełnia wymagania standardu Application Security Verification Standard dla poziomu 2, chyba, że w umowie wskazano inny poziom Polityka_bezp_dostawców_PBDD_v1.4 Strona 15 z 19

7 Polityka korzystania z usług w chmurze PBDD 4.1 Zgoda na przetwarzanie Dostawca NIE MOŻE przetwarzać za pomocą usług w chmurze danych osobowych oraz danych sklasyfikowanych jako Poufny_innogy i Tajny_innogy bez pisemnej zgody BS PL. PBDD 4.2 Formalizacja korzystania Dostawca korzystając z usług w chmurze do realizacji zadań oraz budowy systemów na potrzeby innogy jest ZOBOWIĄZANY do zawarcia formalnej umowy prawnej z dostawcą tych usług. PBDD 4.3 przetwarzania Dostawca jest zobowiązany do zapewnienia bezpieczeństwa w korzystaniu z usług w chmurze na co najmniej takim samym poziomie, jak jest zobowiązany wobec innogy. PBDD 4.4 Incydenty bezpieczeństwa Dostawca JEST ZOBOWIĄZANY do powiadomienia BS PL o wszelkich incydentach bezpieczeństwa związanych z korzystaniem z usług w chmurze. Polityka_bezp_dostawców_PBDD_v1.4 Strona 16 z 19

8 Polityka audytów bezpieczeństwa dostawców PBDD 5.1 Prawo do audytu Dostawca MUSI zapewnić BS PL możliwość przeprowadzenia audytu bezpieczeństwa w zakresie własnych środowisk rozwojowych i testowych wykorzystywanych do współpracy z BS PL, a także analogicznych środowisk własnych poddostawców. PBDD 5.2 Zakres audytu Zakres audytu bezpieczeństwa WINIEN być adekwatny do projektu, którego dotyczy. PBDD 5.3 Termin audytu Termin audytu WINIEN być uzgodniony z Dostawcą minimum na 3 dni robocze przed planowanym audytem. PBDD 5.4 Wyniki audytu Wyniki audytu WINNY być omówione z przedstawicielami Dostawcy. Z przeglądu MUSI zostać sporządzony udokumentowany plan działania, w przypadku zidentyfikowania niezgodności. PBDD 5.5 Ochrona informacji audytowej Wyniki audytu są klasyfikowane jako informacja o klasie Wewnętrzny_innogy. Polityka_bezp_dostawców_PBDD_v1.4 Strona 17 z 19

9 Polityka zakończenia współpracy PBDD 6.1 Zwrot aktywów Dostawca JEST ZOBOWIĄZNY do zwrotu wszystkich aktywów powierzonych przez innogy. PBDD 6.2 Ochrona informacji Dostawca JEST ZOBOWIĄZANY do zapewnienia bezpieczeństwa wszystkich informacji chronionych w okresie czasu określonym przez umowę, po zakończeniu współpracy. PBDD 6.3 Niszczenie powierzonych aktywów Dostawca JEST ZOBOWIĄZANY do skutecznego zniszczenia informacji, która winna zostać zniszczona po zakończeniu umowy. Dostawca JEST ZOBOWIĄZANY do przedstawienia protokołu przeprowadzenia zniszczenia ww. informacji. Polityka_bezp_dostawców_PBDD_v1.4 Strona 18 z 19

10 Załączniki Brak załączników. 11 Tracące ważność/ współobowiązujące regulacje Dokument nie unieważnia lub zastępuje żadnego innego dokumentu W dokumencie występują odwołania do: [1] Polityka tworzenia i utrzymywania dokumentacji procesowej w innogy BS PL [2] Standardy technologiczne innogy. Polityka_bezp_dostawców_PBDD_v1.4 Strona 19 z 19

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres