4
POLITYKA BEZPIECZEŃSTWA XXX
aktualizacja 25/02/2005
SPIS TREŚCI
1. Wstęp (3.1.1a, 3.1.1b) 3
2. Organizacja bezpieczeństwa (4.1.1, 4.1.2, 4.1.3, 4.1.5, 4.1.6, 4.1.7) 3
3. Inwentaryzacja, klasyfikacja i kontrola aktywów (5, 8.6.3, 9.6.2) 4
4. Bezpieczeństwo osobowe (6.1, 6.2, 6.3.5, 12.2.1, 12.1.2, 12.1.4) 5
4.1. Rekrutacja, zatrudnianie i zwalnianie pracowników 5
4.2. Zasady postępowania pracowników 5
4.3. Szkolenia pracowników 6
5. Bezpieczeństwo fizyczne i środowiskowe (4.2, 7.1, .2.1, 7.2.2, 7.2.3, 7.2.5) 6
5.1. Kontrola wejścia i wyjścia 6
5.2. Praca w obszarach szczególnie chronionych 6
5.3. Zabezpieczanie sprzętu 7
6. Kontrola dostępu do zasobów informacyjnych (9, 6.3, 7.3.1) 9
6.1. Dostęp do zasobów systemów informatycznych. 9
6.2. Polityka haseł 12
6.3. Dostęp do urządzeń drukujących i powielających 15
6.4. Korzystanie z Intranetu i Internetu oraz z poczty elektronicznej 15
6.5. Monitorowanie i analiza przypadków naruszenia bezpieczeństwa 18
6.6. Zgłaszanie przypadków naruszenia bezpieczeństwa 19
6.7. Działania podejmowane w przypadku naruszenia polityki bezpieczeństwa 20
6.8. Zasady korzystania z komputerów przenośnych i zdalnego dostępu 20
7. Rozwój i utrzymanie systemów (10, 8.1.5) 21
7.1. Wymagania bezpieczeństwa dotyczące rozwoju systemów, aplikacji 21
7.2. Zasady dotyczące kontroli zmian. 24
8. Zarządzanie systemami i sieciami (8, 10.3, 7.2.4, 7.2.6, 4.1.4) 28
8.1. Zasady bezpiecznego korzystania z systemów informatycznych 28
8.2. Monitorowanie bezpieczeństwa przetwarzania danych 30
8.3. Konserwacja i naprawa urządzeń 30
8.4. Harmonogram wymiany urządzeń 30
8.5. Test odbioru i montaż sprzętu 30
8.6. Wycofywanie sprzętu i niszczenie nośników informacji 30
8.7. Organizacja zasobów sieciowych 31
8.8. Dostęp do zasobów sieciowych 33
8.9. Monitorowanie zasobów sieciowych 34
8.10. Kryptografia 35
9. Zarządzanie ciągłością działania (11., 4.3. - usługi na zewnątrz, 8.4.1-kopie zapasowe) 36
9.1. Wykonywanie i odzyskiwanie kopii bezpieczeństwa 36
9.2. Ocena sytuacji awaryjnej 38
9.3. Testowanie i zmiana planów awaryjnych 38
9.4. Zasady pracy zewnętrznego zapasowego centrum obliczeniowego 39
10. Zgodność z regulacjami prawnymi (12) 39
11. Słowniczek pojęć 40
1.1. Informacja jest bardzo ważnym aktywem XXX i dlatego należy ją odpowiednio chronić.
1.2. Jakość naszej pracy zależy w dużej mierze od jakości informacji.
1.3. Chroniąc informacje zachowujemy prywatność i godność każdego pracownika oraz dbamy o interesy partnerów i klientów.
1.4. Bezpieczeństwo informacji w XXX ma podstawowe znaczenie dla utrzymania naszej konkurencyjności, płynności finansowej, zysku, zgodności z przepisami prawa i wizerunku firmy
1.5. Spełnienie wymagań prawnych jest celem podstawowym
1.6. Niniejszy dokument “Polityka Bezpieczeństwa XXX” porządkuje kwestię związane z bezpieczeństwem informacji w XXX i zawiera najważniejsze zasady postępowania z informacją w XXX
1.7. Obowiązkiem pracowników jest przestrzeganie postanowień niniejszej polityki bezpieczeństwa XXX, a w szczególności zasad: co nie jest wyraźnie dozwolone, jest zabronione, czystego biurka i czystego ekranu.
Nad polityką czuwam osobiście,
Prezes XXX
2.1. W celu koordynacji i kontrolowania procesu zapewniania bezpieczeństwa informacji w XXX został powołany Komitet Bezpieczeństwa w skład którego wchodzi: Prezes, Dyrektor Departamentu IT, Dyrektor Departamentu Marketingu, Dyrektor Departamentu Finansowego, Dyrektor Departamentu HR, Pełnomocnik ds. Bezpieczeństwa, Administrator Bezpieczeństwa Teleinformatycznego
2.2. Komitet Bezpieczeństwa koordynuje rozwój, wdrażanie i aktualizacje niniejszego dokumentu.
2.3. Komitet Bezpieczeństwa jest jedynym organem zatwierdzającym zmiany w niniejszym dokumencie.
2.4. Komitet Bezpieczeństwa podejmuje decyzje w przypadku najpoważniejszych incydentów związanych z bezpieczeństwem informacji oraz określa sankcje za jej naruszenie
2.5. Komitet Bezpieczeństwa podejmuje decyzje w sprawie powoływania i przeprowadzania audytu (zewnętrznego lub wewnętrznego), mającego na celu zweryfikowanie efektywności wdrożonych zasad bezpieczeństwa opisanych w tym dokumencie. Proces przeprowadzania audytu jest opisany w dokumencie “Audyt bezpieczeństwa”.
2.6. Pełnomocnik ds. Bezpieczeństwa podlega bezpośrednio Prezesowi XXX
2.7. Pełnomocnik ds. Bezpieczeństwa XXX wdraża decyzje i postanowienia określone przez Komitet Bezpieczeństwa i bezpośrednio nadzoruje wykonywanie zadań w zakresie określonym tym dokumentem.
2.8. Pełnomocnik ds. Bezpieczeństwa pełni obowiązki Administratora Danych zgodnie z Ustawą o Ochronie Danych Osobowych z 29.08.1997 (i późniejsze rozporządzenia do tej ustawy).
2.9. Kontakt z Komitetem Bezpieczeństwa następuje tylko i wyłącznie poprzez Pełnomocnika ds. Bezpieczeństwa.
2.10. Pełnomocnik ds. Bezpieczeństwa zarządza kwestią powoływania zewnętrznych/wewnętrznych konsultantów ds. bezpieczeństwa
2.11. Pełnomocnik ds. Bezpieczeństwa utrzymuje bezpośrednie kontakty z organami ścigania, organami wydającymi przepisy, dostawcami usług informatycznych i telekomunikacyjnych jeśli chodzi o aspekty naruszenia bezpieczeństwa i dba o rodzaj przekazywanych informacji.
2.12. Pełnomocnik ds. Bezpieczeństwa kieruje Departamentem Bezpieczeństwa, który odpowiedzialny jest za realizacje przedsięwzięć związanych z bezpieczeństwem informacji XXX.
2.13. Administrator Bezpieczeństwa Teleinformatycznego podlega bezpośrednio Pełnomocnikowi ds. Bezpieczeństwa i jest członkiem Departamentu Bezpieczeństwa.
2.14. Administrator Bezpieczeństwa Teleinformatycznego pełni obowiązki Administratora Bezpieczeństwa Informacji zgodnie z Ustawą o Ochronie Danych Osobowych z 29.08.1997 (i późniejsze rozporządzenia do tej ustawy).
2.15. Dokładny spis osób z nazwiska i imienia pełniących opisane funkcje znajduje się w dokumencie “Organizacja bezpieczeństwa – lista osób”.
3.1. XXX musi stworzyć, zarządzać i uaktualniać bazę danych jego aktywów informacyjnych.
3.2. Wszystkie informacje, dane i dokumenty muszą być klarownie opisane, tak aby wszyscy pracownicy byli świadomi, kto jest właścicielem informacji i jaki jest jego poziom klasyfikacji.
3.3. Wszystkie informacje, dane i dokumenty muszą być przetwarzane i przechowywane zgodnie z poziomem klasyfikacji przypisanym do informacji.
3.4. Wszystkie informacje, dane i dokumenty sklasyfikowane jako wysoko wrażliwe (ściśle tajne) muszą być przechowywane w specjalnych obszarach chronionych.
3.5. Wszystkie informacje, dane i dokumenty muszą być sklasyfikowane zgodnie z poziomem ich poufności, integralności i dostępności.
3.6. Za wszystkie informacje, dane i dokumenty odpowiada ich odpowiedni właściciel, lub gestor, w którego gestii są te informacje.
3.7. Proces inwentaryzacji, klasyfikacji i kontroli aktywów XXX musi być przeprowadzany zgodnie z procedurami opisanymi w dokumencie “Klasyfikacja informacji”.
3.8. Lista zinwentaryzowanych i sklasyfikowanych informacji z przypisanymi właścicielami znajduje się w dokumencie “Aktywa informacyjne XXX”.
4.1.1. Departament HR odpowiada za przeprowadzanie procesu rekrutacji nowych pracowników.
4.1.2. Proces rekrutacji musi być przeprowadzany rzetelnie i zgodnie z procedurą opisaną w dokumencie “HR – Rekrutacja pracowników”
4.1.3. Warunki zatrudnienia muszą brać pod uwagę zgodność z niniejszym dokumentem, a w szczególności zobowiązanie pracownika do zaznajomienia i przestrzegania aspektów bezpieczeństwa wynikających z tego dokumentu. Poza tym warunki zatrudnienia muszą dokładnie określać kwestię naruszenia bezpieczeństwa informacji i konsekwencji z tym związanych.
4.1.4. Każdy nowy pracownik musi podpisać umowę o zachowaniu poufności.
4.1.5. Jeżeli nowego pracownika dotyczy przeniesienie praw autorskich na XXX, należy spisać stosowną umowę.
4.1.6. Dokładne wymagania prawne dotyczące nowych pracowników opisane są w dokumencie “HR – Wymagania prawne”
4.1.7. Proces zwalniania pracownika musi być przeprowadzany zgodnie z procedurą opisaną w dokumencie “HR – Zwalnianie pracowników”
4.2.1. Pracownicy nie mogą ujawniać informacji na temat wysokości swoich zarobków.
4.2.2. Pracownicy nie mogą pożyczać sobie nawzajem kluczy i kart służących do otwierania pomieszczeń.
4.2.3. Pracownicy nie mogą pożyczać sobie nawzajem pieniędzy.
4.2.4. Wykorzystywanie środków służbowych, tj. telefony, samochody służbowe, poczta elektroniczna do celów prywatnych powinno być ograniczone tylko i wyłącznie do nadzwyczajnych sytuacji.
4.2.5. Wykorzystanie telefonów komórkowych i stacjonarnych jest monitorowane w stosunku do wszystkich pracowników przez Departament IT i w uzasadnionych przypadkach pracownik może zostać zobowiązany do opłacenia rachunku telefonicznego, jeżeli kwestia jego użycia do celów służbowych budzi wątpliwości.
4.2.6. Firmowe karty płatnicze i wykonywane na tych kartach operacje finansowe obciążają pracownika w przypadku, gdy charakter przeprowadzonych transakcji budzi wątpliwości.
...
darkbull