Politika bezpečnosti informací
Tato politika stanovuje ve společnosti TESCO SW a.s. základní principy a východiska pro řízení bezpečnosti informací. Dokument dále vymezuje oblasti a zásady ochrany, včetně způsobu ochrany jednotlivých oblastí.
Svým významem je politika bezpečnosti informací nezbytná pro realizaci všech standardů, směrnic, procedur a opatření ve společnosti ve vztahu k řízení systému bezpečnosti informací.
Politika bezpečnosti informací obsahuje závazek vrcholového vedení ke splnění aplikovatelných požadavků týkajících se bezpečnosti informací a k neustálému zlepšování systému řízení bezpečnosti informací ve společnosti.
-
Společnost TESCO SW a.s. je softwarovou společností s adekvátním investičním majetkem, rozsáhlým know-how v oblasti poskytování ICT služeb, včetně poskytování outsourcingu vybraných služeb. Vzhledem k této skutečnosti si uvědomuje svoji odpovědnost za ochranu všech svých aktiv, ale současně i zákaznických dat či utajovaných informací, které jsou jí při výkonu jejich podnikatelských aktivit svěřeny.K dosažení zamýšlených výstupů řízení bezpečnosti informací je předmětem politiky trvalá ochrana všech aktiv společnosti, které se ve společnosti mohou nacházet nebo k nim má společnost přístup.Z pohledu bezpečnosti informací se za základní oblasti ochrany ve společnosti považuje:– zajištění byznys kontinuity,
– ochrana provozu – kontinuita provozu,
– ochrana hmotného majetku,
– ochrana nehmotného majetku,
– bezpečnost lidských zdrojů,
– ochrana produktů a služeb. -
Celkové pojetí řízení bezpečnosti informací ve společnosti vychází ze základního modelu dokumentace:– politika bezpečnosti informací,
– cíle politiky bezpečnosti informací,
– bezpečnostní postupy – soubor konkrétních bezpečnostních témat (postupy, pravidla, doporučení) pro zajištění pokynů ze strany managementu ve vztahu k systému bezpečnosti informací a zaměstnancům organizace.Pro zajištění neustálé vhodnosti, přiměřenosti a efektivnosti je zvolený model dokumentace přezkoumáván v pravidelných intervalech, nebo pokud dojde k významným změnám ve společnosti.Bezpečnost aktiv společnosti je věcí všech zaměstnanců. Všichni zaměstnanci se podílejí na zodpovědnosti za ochranu a dohled nad informacemi, které se vytvářejí, zpracovávají, přijímají nebo odesílají v jejich pracovním procesu. -
Vrcholové vedení společnosti se zavazuje k dodržování následujících zásad:
Zajištění byznys kontinuity– zajistit prediktivní řízení kapacit a finanční zdroje, včetně potřebných rezerv, pro plnění všech závazků v dostatečné kvalitě se zajištěním neustálé kontinuity.Ochrana provozu – kontinuita výrobních procesů
– zajistit autorizovaný provoz všech systémů společnosti s eliminací nebo minimalizací následků případných bezpečnostních incidentů;
– vyhodnocovat následky bezpečnostních incidentů a uplatňovat nápravná opatření k zamezení jejich opakování stanovením vyhodnotitelných programů a cílů.Ochrana hmotného majetku
– zajistit trvale ochranu majetku a místa, kde společnost poskytuje služby svým zákazníkům trvalým zlepšováním úrovně havarijních a bezpečnostních plánů, jako prevenci před ekonomickými ztrátami, mimořádnými a krizovými událostmi.Ochrana nehmotného majetku
– zachovávat a trvale chránit informační aktiva společnosti, tzn. vše, co má pro společnost nějakou hodnotu z pohledu informační bezpečnosti.Bezpečnost lidských zdrojů
– znát rizika a pravidelným proškolováním a nacvičováním havarijních situací jako nedílné součásti přípravy, zajistit prevenci zaměstnanců před těmito riziky.Ochrana produktů a služeb
– zajistit bezpečnost zaváděných produktů a služeb společnosti odpovědným plněním požadavků všech platných zákonných norem a předpisů.; zároveň se důsledně věnovat ochraně před zneužitím komunikačních služeb.Informovanost
– předávat informace zákazníkům, dodavatelům a ostatním právnickým a fyzickým osobám vyskytujícím se ve společnosti i v jejím okolí o rizikách, stanovených opatřeních a jejich žádoucím chování. -
K nástrojům politiky bezpečnosti informací patří cokoli, co je schopno s vynaložením určitých nákladů snížit nebo vyloučit nebezpečí újmy vzniklé na straně společnosti.Klasifikace informací
Cílem klasifikace je rozdělení všech informací, se kterými společnost pracuje, do tříd dle stupně jejich důvěrnosti. Z toho pak vyplývá způsob nakládání s těmito informacemi a jejich nosiči (osoby oprávněné k manipulaci, způsob skladování, způsob skartace, …).Systém pro podporu řízení bezpečnosti
Jedná se o centrální sběrný systém, který zpracovává všechny bezpečnostní incidenty a rizika v organizaci (narušení bezpečnostních politik, trestně právní události, rizika trestně právního jednání atd.). Výsledkem je pak adekvátní reakce na příslušné incidenty, případné vyčíslení způsobených škod, zastupování organizace v trestním řízení, přijímání protiopatření a návrh preventivních postupů.Zabezpečení zaváděných produktů a služeb
Jedná se o prvotní posouzení zaváděné služby nebo produktu (obchodního záměru) z pohledu bezpečnosti již ve fázi přípravy prováděním bezpečnostních testů apod.IT ochrana
Úkolem IT ochrany je zajistit požadovanou úroveň v charakteristikách – dostupnost, integrita a důvěrnost odpovídajících systémů, aplikací a dat vlastních i zákaznických.Fyzická ochrana
Fyzická ochrana jako nástroj obsahuje veškerá fyzická zabezpečení provozu, hmotného majetku i osob. Mezi
prostředky fyzické ochrany organizace patří prvky technické ochrany, speciální technické ochrany, požární ochrany, mechanické ochrany a režimové ochrany.Personální ochrana
Jedná se o zajištění povinností, práv a bezpečnosti práce zaměstnance podle požadavků platných právních předpisů (zejména Zákoníku práce, Listiny základních práv a svobod) a ochranu zaměstnanců formou pravidelných školení, vybavení a zajištění pracovních podmínek.Krizové řízení
Krizové řízení lze definovat jako systém a metody řešení krizových situací. Krizové řízení je tvořeno širokým spektrem činností, mezi něž patří zejména plánování, podpora rozhodování v mimořádných / krizových situacích, simulace krizových situací a jejich řešení, civilní nouzové plánování, monitorování, modelování a analýza situací.Podniková kultura z pohledu bezpečnosti
Zaměstnanci jsou s podnikovou kulturou seznamováni zároveň s Etickým kodexem v rámci individuálních školení, jejichž výsledkem je osobní rozvoj zaměstnanců a jejich seznámení se zákonnými, interními a obecně platnými bezpečnostními pravidly – interními normami.