Politika bezpečnosti
informací
Politika bezpečnosti informací společnosti definuje základní strategii a zásady týkající se managementu zabezpečení informací (ISMS) v souladu s ČSN ISO/IEC 27001, určuje základní bezpečnostní pravidla pro provoz, používání a údržbu informačních a komunikačních technologií s cílem zajistit požadovanou dostupnost a ochranu informací a minimalizaci škod vzniklých v důsledku možných bezpečnostních incidentů.
Hlavní zásady práce s informacemi a způsob jejich zabezpečení
- zajistit odpovídající ochranu osobních údajů v souladu s platnou legislativou,
- vytvářet a prosazovat systém řízeného přístupu k informacím,
- začleňovat zabezpečení informací do odpovědnosti za práci,
- zajišťovat systematické vzdělávání a zvyšování kvalifikace zaměstnanců v oblasti bezpečnosti informací,
- provádět stálou identifikaci bezpečnostních incidentů a přijímat účinná opatření pro zlepšování bezpečnosti informací,
- zpracovávat soubory opatření pro zachování kontinuity pro případy závažného výpadku v oblasti informací, tato opatření pravidelně přezkušovat a ověřovat,
- zabezpečovat informační systémy, internet, elektronickou poštu a další způsoby výměny informací přístupných veřejnosti,
- zabezpečovat systém fyzického přístupu do prostor pro snížení ohrožení informačního majetku,
- prosazovat politiku bezpečného pracoviště: čistý stůl, prázdné obrazovky a odpadkové koše,
- prosazovat bezpečnostní pravidla pro přenosná počítačová zařízení a jiné nosiče informací,
- zajišťovat spolehlivou kontrolu celé interní sítě proti působení zlomyslného softwaru,
- udržovat, chránit a rozvíjet informační majetky, spolehlivě zálohovat informační systémy,
- pravidelně monitorovat a vyhodnocovat bezpečnostní rizika a incidenty,
- zabezpečit požadavky vyplývající ze smluvních závazků a obecně závazných právních předpisů,
- zabezpečit včasnou dostupnost informací – doba kritické dostupnosti informací musí být stanovena, a to v souladu s jejich významem,
- zamezit nežádoucí modifikaci informací,
- zamezit zneužití nebo ztráty informací – musí být definována odpovědnost a způsob ochrany při přístupu k informacím a do prostor kde se nachází informační majetky
- provádět stálou identifikaci bezpečnostních incidentů a přijímat účinná opatření pro zlepšování bezpečnosti informací; pravidelně monitorovat a vyhodnocovat bezpečnostní rizika
- analyzovat příčiny porušení pravidel a přijímat účinná opatření s cílem, aby se v budoucnu neopakovala.
Odpovědnost zaměstnanců
- každý zaměstnanec, kterému byl umožněn přístup k informačním prostředkům pro potřeby výkonu pracovní činnosti, přebírá odpovědnost za bezpečné nakládání s těmito prostředky a za ochranu informací ve své působnosti,
- politika bezpečnosti informací a související dokumentace je závazná pro všechny zaměstnance s přístupem k informacím, a to bez ohledu na zastávanou funkci, pozici či roli ve společnosti. Všichni zaměstnanci nesou v souladu s platnou legislativou a předpisy svůj díl zodpovědnosti za dodržení, resp. porušení pravidel, s nimiž byli seznámeni. Všichni zaměstnanci jsou povinni předepsaným způsobem reagovat na závady, poruchy a bezpečnostní incidenty, které se vyskytnou a upozornit na ně v souladu s příslušnými zásadami a směrnicemi.
Prohlášení managementu
V souladu s požadavky ČSN ISO/IEC 27001 vyhlásilo vedení společnosti Politiku bezpečnosti informací jako svůj závazek. Záměrem vedení je podporovat cíle a principy bezpečnosti informací.
Ing. Hynek Brázda Ing. Aleš Mikula, MBA
Představitel vedení pro ISMS Generální ředitel
aktualizováno ke dni 22.02.2022