Politika bezpečnosti informací

Bezpečnostní politika 

Tato politika stanovuje základní principy a východiska pro řízení bezpečnosti v organizaci. Dokument vymezuje oblasti a zásady ochrany, způsob ochrany jednotlivých oblastí (bezpečnostní nástroje) a osoby odpovědné za ochranu jednotlivých oblastí (bezpečnostní management). Bezpečnostní politika je nezbytná pro realizaci všech standardů, směrnic, procedur a opatření.

Vedle výsledků analýzy rizik informační bezpečnosti Bezpečnostní politika vytyčuje hlavní směry, ve kterých je třeba řízení bezpečnosti v organizaci dále rozvíjet.

Rozsah politiky

Předmětem je trvalá ochrana všech aktiv společnosti, které se ve společnosti mohou nacházet nebo k nim má společnost přístup.

Vrcholové vedení se zavazuje v souladu se strategií společnosti (ochrana aktiv společnosti) k plnění aplikovatelných požadavků a k neustálému zlepšování řízení bezpečnosti informací.

Z hlediska dekompozice se jedná o Bezpečnost a jeho procesy v jednotlivých oblastech ochrany.

Oblastmi ochrany v tomto  procesu Bezpečnost rozumíme:

Zajištění byznys kontinuity

Ochrana provozu – kontinuita provozu

Ochrana hmotného majetku

Ochrana nehmotného majetku

Bezpečnost lidských zdrojů

Ochrana služeb

Východiska

Bezpečnost aktiv společnosti je věcí všech zaměstnanců. Všichni zaměstnanci se podílejí na zodpovědnosti za ochranu a dohled nad informacemi, které se vytvářejí, zpracovávají, přijímají nebo odesílají v jejich útvaru a v jejich projektu.

Řízení ochrany aktiv společnosti je nepřetržité hledání rovnováhy mezi dvěma prvky:

zvyšováním bezpečnosti jednotlivých elementů prvků infrastruktury,

nutnými náklady na její realizaci v souladu s následujícími principy:

o soulad se zákonnými normami a přijatými programy,

o řízení a minimalizace rizik,

o kontinuita výrobních procesů,

o prevence,

o informovanost,

o plnění zákonných požadavků v oblasti bezpečnosti osob.

Zásady politiky

Vrcholové vedení společnosti se zavazuje k dodržování následujících zásad:

Zajištění byznys kontinuity

Zajistit prediktivní řízení kapacit a finanční zdroje, včetně potřebných rezerv, pro plnění všech závazků v dostatečné kvalitě se zajištěním neustálé kontinuity;

Ochrana provozu – kontinuita výrobních procesů

Zajistit autorizovaný provoz všech systémů společnosti s eliminací nebo minimalizací následků případných bezpečnostních incidentů. Vyhodnocovat následky bezpečnostních incidentů a uplatňovat nápravná opatření k zamezení jejich opakování stanovením vyhodnotitelných programů a cílů;

Ochrana hmotného majetku

Zajistit trvale ochranu majetku a místa, kde společnost poskytuje služby svým zákazníkům trvalým zlepšováním úrovně havarijních a bezpečnostních plánů, jako prevenci před ekonomickými ztrátami, mimořádnými a krizovými událostmi;

Ochrana nehmotného majetku

Zachovávat a trvale chránit informační aktiva společnosti, tzn. vše, co má pro společnost nějakou hodnotu z pohledu informační bezpečnosti;

Bezpečnost lidských zdrojů

Znát rizika a pravidelným proškolováním a nacvičováním havarijních situací jako nedílné součásti přípravy, zajistit prevenci zaměstnanců před těmito riziky;

Ochrana produktů a služeb

Zajistit bezpečnost zaváděných produktů a služeb společnosti odpovědným plněním požadavků všech platných zákonných norem a předpisů. Zároveň se důsledně věnovat ochraně před zneužitím komunikačních služeb;

Informovanost 

Předávat informace zákazníkům, dodavatelům a ostatním právnickým a fyzickým osobám vyskytujícím se ve společnosti i v jejím okolí o rizicích, stanovených opatřeních a jejich žádoucím chování

Nástroje bezpečnostní politiky

K nástrojům bezpečnostní politiky patří cokoli, co je schopno s vynaložením určitých nákladů snížit nebo vyloučit nebezpečí újmy vzniklé na straně organizace.

Klasifikace informací

Cílem klasifikace je rozdělení všech informací, se kterými společnost pracuje, do tříd dle stupně jejich důvěrnosti. Z toho pak vyplývá způsob nakládání s těmito informacemi a jejich nosiči (osoby oprávněné k manipulaci, způsob skladování, způsob skartace, …).

Systém pro podporu řízení bezpečnosti

Jedná se o centrální sběrný systém, který zpracovává všechny bezpečnostní incidenty a rizika v organizaci (narušení bezpečnostních politik, trestně právní události, rizika trestně právního jednání atd.). Výsledkem je pak adekvátní reakce na příslušné incidenty, případné vyčíslení způsobených škod, zastupování organizace v trestním řízení, přijímání protiopatření a návrh preventivních postupů.

IT ochrana

Úkolem IT ochrany je zajistit požadovanou úroveň v charakteristikách - dostupnost, integrita a důvěrnost odpovídajících systémů, aplikací a dat vlastních i zákaznických. Detailně popsáno v dokumentu SM_31_IT.

Fyzická ochrana

Fyzická ochrana jako nástroj obsahuje veškerá fyzická zabezpečení provozu, hmotného majetku i osob. Mezi prostředky fyzické ochrany organizace patří prvky technické ochrany (EZS, EPS, EKV …), speciální technické ochrany, požární ochrany, mechanické ochrany a režimové ochrany.

Personální ochrana

Jedná se o zajištění povinností, práv a bezpečnosti práce zaměstnance podle požadavků platných právních předpisů (zejména Zákoníku práce, Listiny základních práv a svobod) a ochranu zaměstnanců formou pravidelných školení, vybavení a zajištění pracovních podmínek.

Krizové řízení

Krizové řízení lze definovat jako systém a metody řešení krizových situací. Krizové řízení je tvořeno širokým spektrem činností, mezi něž patří zejména plánování, podpora rozhodování v mimořádných/krizových situacích, simulace krizových situací a jejich řešení, civilní nouzové plánování, monitorování, modelování a analýza situací.

Podniková kultura z pohledu bezpečnosti

Zaměstnanci jsou s podnikovou kulturou seznamováni zároveň s Etickým kodexem v rámci individuálních školení, jejichž výsledkem je osobní rozvoj zaměstnanců a jejich seznámení se zákonnými, interními a obecně platnými bezpečnostními pravidly – interními normami.