METODICKÝ POKYN č. MP-I Směrnice pro dodavatele

Podobné dokumenty
Bezpečnostní politika společnosti synlab czech s.r.o.

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

srpen 2008 Ing. Jan Káda

Organizační opatření, řízení přístupu k informacím

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika informací SMK

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

TECHNICKÉ POŽADAVKY NA NÁVRH, IMPLEMENTACI, PROVOZ, ÚDRŽBU A ROZVOJ INFORMAČNÍHO SYSTÉMU

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Statutární město Brno, městská část Brno-střed INFORMAČNÍ KONCEPCE

INFORMAČNÍ TECHNOLOGIE

Směrnice o provozování kamerového systému

Prohlášení o souladu s GDPR 29/2018

INTERNÍ TECHNICKÝ STANDARD ITS

Směrnice pro zajištění ochrany osobních údajů při práci s ICT

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

Poliklinika Prosek a.s.

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

SPRÁVA A UŽÍVÁNÍ INTRANETU A ADMINISTRACE WEBOVÝCH STRÁNEK SOCIÁLNÍCH SLUŽEB VSETÍN

tel.: , fax :

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

Obecné nařízení o ochraně osobních údajů

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

Politika bezpečnosti informací

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

provoz páteřové sítě fakulty a její připojení k Pražské akademické síti připojení lokálních sítí k páteřové síti fakulty či k Pražské akademické síti

SMLOUVA O VÝPŮJČCE. identifikační číslo: MZSV181823

Kurz OBECNÉ ZÁKLADY PRÁCE S PORTÁLEM CZECH POINT

Projekt informačního systému pro Eklektik PRO S EK. Řešitel: Karolína Kučerová

Bezpečnostní politika IS. Městská část Praha Kunratice

Odbor městské informatiky

FAKULTNÍ NEMOCNICE OLOMOUC I. P. Pavlova 6, Olomouc , fn@fnol.cz. Požární ochrana

Bezpečnostní politika

SM_0115 rev.01. Statut etické komise FNKV

Certifikace pro výrobu čipové karty třetí stranou

Úvod - Podniková informační bezpečnost PS1-1

Outsourcing v podmínkách Statutárního města Ostravy

Vzdělávání pro bezpečnostní systém státu

Nakládání s osobními údaji

Ředitel odboru archivní správy a spisové služby PhDr. Jiří ÚLOVEC v. r.

Úvod - Podniková informační bezpečnost PS1-2

VNITŘNÍ PŘEDPIS SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

Čl. 1 Předmět úpravy

P_0101 rev.00. Tvorba a formát Pracovních postupů Etické komise FNKV

Sdílení výukových materiálů. Inovativní podpora výuky a provozu. Ochrana dat. Moderní interaktivní výuka. Příprava vyučujících

Zásady řízení dokumentů

Pokyn ředitele odboru systému bezpečnosti provozování dráhy

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

1.05 Informační systémy a technologie

Český olympijský výbor. Směrnice o ochraně osobních údajů v rámci kamerového systému

Ochrana osobních údajů

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Zpracování a udržování Registru právních a jiných požadavků

Zákon o kybernetické bezpečnosti

Směrnice. Ochrana osobních údajů. Vydal: ředitel organizace Ing. Petr Hybner. Leden Ředitel příspěvkové organizace Zámek Klášterec nad Ohří

Údržba, opravy, modernizace, rekonstrukce bytů, bytových jednotek, domů, prostorů sloužících podnikání

Písemná příprava. Vzdělávací cíl: Objasnit zásady hospodaření v majetkovém uskupení elektronika a optika a programové vybavení-software

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Bezpečností politiky a pravidla

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Nástroje IT manažera

EXTRAKT z mezinárodní normy

VNITŘNÍ NORMA PdF UP. PdF-B-17/04. Použití distančních forem studia v rámci PdF UP v Olomouci

VNITŘNÍ PŘEDPIS ZAMĚSTNAVATELE č. 1/2018. ze dne

P R A C O V N Í P O S T U P. P_0105 rev.00. Administrativní zázemí a archivace Zánik EK administrativa, postup při převzetí agendy

Bezpečnostní politika informací v ČSSZ

1.05 Informační systémy a technologie

Ochrana osobních údajů

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od:

Právní důvod zpracování: Oprávněné zájmy správce Článek 6 odst. 1 písm. c) GDPR - splnění právní povinnosti

Všeobecné podmínky užívání služeb poskytovaných na internetových stránkách společnosti Kreditech Česká republika, s.r.o. 1 Obecná ustanovení

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Všeobecné smluvní podmínky užívání on-line kurzů poskytovaných společností Wise

Bezpečnostní politika společnosti synlab czech s.r.o.

VNITŘNÍ SMĚRNICE DDM VĚTRNÍK

1. Politika integrovaného systému řízení

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Provozní řád učeben Fakulty zdravotnických věd Univerzity Palackého v Olomouci

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Klíčové aspekty životního cyklu essl

OPATŘENÍ ŘEDITELE ODBORU FINANČNÍHO č.j.: /2012-OF. Provozní řád informačního sytému SAP. (platnost od )

Bezpečnost na internetu. přednáška

PRAVIDLA ŘÍZENÍ PŘÍSTUPU K INFORMAČNÍMU SYSTÉMU

Operační systém. Mgr. Renáta Rellová. Výukový materiál zpracován v rámci projektu EU peníze školám

Implementace systému ISMS

ISO 9001 a ISO aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská

Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÝCH PROSTŘEDKŮ ZAŘAZENÝCH DO VLAN GIS

Dodatek č. 1. Objednatel: Česká republika - Nejvyšší kontrolní úřad (dále jen Objednatel") Jankovcova 1518/2, Se sídlem: Praha 7

Technická a organizační opatření pro ochranu údajů

PROVOZOVÁNÍ KAMEROVÝCH SYSTÉMŮ

Transkript:

FAKULTNÍ NEMOCNICE OLOMOUC I. P. Pavlova 185/6, 779 00 Olomouc + 420 588 441 111, e-mail: info@fnol.cz METODICKÝ POKYN č. MP-I001-06 Směrnice pro dodavatele 1. vydání ze dne: xx. x. 2017 Skartační znak: A Účinnost od: xx. x. 2017 Stupeň důvěrnosti: N1 Jméno Funkce Datum Podpis Odborný garant Vydal Schválil Ing. Pavel Gartner Ladislav Oravec Ing. Jiří Marek, MBA doc. MUDr. Roman Havlík, Ph.D. systémový a aplikační analytik UIT vedoucí OINF náměstek informačních technologií ředitel Fakultní nemocnice Olomouc Strana 1/8

1 ÚVODNÍ USTANOVENÍ 1.1 Účel Směrnice pro dodavatele Fakultní nemocnice Olomouc (dále též FNOL) tvoří soubor pravidel a postupů, který vymezuje způsob a požadovanou úroveň bezpečnosti, vymezení aktiv a způsob jejich zajištění, týkající se firem a organizací se smluvním vztahem ke FNOL. Dodržování pravidel uvedených v tomto dokumentu je povinné pro všechny partnery spolupracující na smluvní bázi s FNOL, kterých se dotýká problematika bezpečnosti. Používané i nově zaváděné informační systémy v rámci FNOL musí být upraveny, vyvíjeny a vybírány a spravovány tak, aby splňovaly zásady bezpečnosti podle této směrnice. Tento dokument je pro smluvní partnery FNOL veřejný. 1.2 Závaznost 1.2.1 Směrnice je závazná pro všechny dodavtele 1.3 Správa normy 1.3.1 Správa normy se řídí směrnicí Sm-G001 Vznik a řízení organizačních norem, kapitola 1.4. 2 VYMEZENÍ POJMŮ 2.1 Zkratky FNOL ICT IS OINF OS PC SW UIT Fakultní nemocnice Olomouc Informační a komunikační technologie Informační systém Odbor informatiky Operační systém Osobní počítač Software Úsek informačních technologií 2.2 Definice 2.2.1 Bezpečnost je ochrana informací, systémů a služeb proti živelním událostem, lidským omylům a úmyslné manipulaci s cílem snížit pravděpodobnost a dopad bezpečnostních incidentů na minimum. 2.2.2 Prostředky ICT jsou veškeré technologie a nástroje, které uživatelé používají pro komunikaci a práci s informacemi ( sdílení, distribuce a sběr informací, ukládání, vyhledávání, manipulace, přenášení nebo příjem - PC, tablety, mobily, aplikace, IS ) a ke komunikaci mezi sebou prostřednictvím počítačů nebo propojených počítačových sítí. 2.2.3 Počítačová síť slouží ke komunikaci a propojení počítačů za určitých pravidel, umožňuje uživatelům sdílení informací. Počítačová síť je souborem prostředků, zajišťujících komunikaci mezi počítači. Pokud není uvedeno jinak je v dokumentu pod pojmem síť, myšlena počítačová síť. Strana 2/8

2.2.4 Informační systém (IS) je souhrn všech zajišťujících pořízení, uchovávání a využívání datových informací. 2.2.5 Programové vybavení (software, program, aplikace) je sada všech počítačových programů a elektronických instrukcí, které říkají počítači, co má dělat, které mají nějakou funkci a vykonávají určitou činnost.. Software sám je vždy nehmotný, ke svému šíření a používání vždy potřebuje prostředky výpočetní techniky. Jednotkou (částí) programového vybavení, obvykle řešící určitou problematiku, je aplikace (klinický informační systém KIS, PACS, personální IS VEMA, ekonomický IS, apod.). 2.2.6 Operační systém je základní programové vybavení počítače (tj. software), které je prostředníkem mezi hardwarem a aplikačním softwarem. Ve své podstatě je to soubor programů, díky kterým můžeme počítač ovládat. Zavádí se do paměti počítače při jeho startu a zůstává v činnosti až do jeho vypnutí. 2.3 Odborné funkce 3 VLASTNÍ TEXT 3.1 Cílem směrnice pro dodavatele je obecně: - specifikovat jasné zásady bezpečnosti FNOL pro dodavatele, - zabránit porušení platných právních předpisů ČR, - zamezit, příp. minimalizovat možnost finanční a majetkové újmy, - zabránit neautorizovanému přístupu k informacím FNOL, - umožnit provádění kontroly přístupu k informacím, - zajistit dostupnost informací pro oprávněné uživatele i procesy, - zabránit neautorizované modifikaci či zneužití dat nebo jiných aktiv a umožnit ověření původu informací, - definovat základní pravidla rozvoje a výběru nových používaných prostředků a technologií (vývoj zabezpečovacích prostředků, vlastnosti používaných aplikací a operačních systémů), - umožnit sledování a hodnocení stavu bezpečnosti. 3.2 Obecné povinnosti dodavatele Mezi zodpovědnosti zaměstnanců smluvních partnerů patří zejména: - Dodržování platných bezpečnostních ustanovení a právních předpisů, - využívání uživatelských systémů tak, jak bylo stanoveno vlastníkem informací, - používání informačních aktiv FNOL pouze v souladu s rozsahem přístupových oprávnění a pouze ke schváleným účelům, - zajištění ochrany svých autentizačních údajů, (login, heslo, identifikační předmět), - odpovědnost za každý přístup k informacím, provedený prostřednictvím jejich autentizačních údajů, - respektování všech bezpečnostních opatření a procedur určených vlastníkem informací, - nerozšiřování dat bez souhlasu vlastníka informací nebo jeho nadřízeného. Strana 3/8

3.3 Bezpečnost HW, SW a komunikace Smluvní partneři FNOL musí chránit aktiva FNOL, která používají ke své práci či výkonu pro FNOL, a zabránit podle svých nejlepších možností a schopností jejich poškození, zneužití nebo odcizení. 3.3.1 Pracovní stanice, notebooky Při práci na koncových uživatelských pracovištích FNOL musí být splněny nejméně následující bezpečnostní zásady: - použití počítače FNOL musí být umožněno pouze oprávněné osobě, - je zakázáno připojovat vlastní počítače do vnitřní sítě FNOL bez vědomí bezpečnostního manažera FNOL, - pracovní stanice nesmí být ponechány bez dozoru zapnuté a s přihlášeným uživatelem. Je třeba přinejmenším použít heslem chráněného spořiče obrazovky, - počítač smluvního partnera, který má být připojen do vnitřní sítě FNOL, musí mít instalován a spuštěn systém pro ochranu před škodlivými programy (antivirový program) v nejnovější verzi programu i virové databáze, - smluvní partner je povinen chránit vybavení FNOL, udržovat okolo sebe bezpečné pracovní prostředí; v blízkosti výpočetní techniky je zakázáno jíst, pít a kouřit, - v případě ukončení práce se zařízením je smluvní partner povinen provést odhlášení od systému, aby se zamezilo zneužití jeho přístupových práv. 3.3.2 Využívání internetu Systémy v FNOL vztahující se k počítačové síti, internetu a intranetu, včetně počítačového vybavení, programů, operačních systémů, medií pro ukládání dat, schránek elektronické pošty FNOL, možností prohlížení internetových stránek a zdrojů přístupných na FTP jsou vlastnictvím FNOL. Tyto systémy jsou používány pro pracovní účely tak, aby sloužily zájmům FNOL a jejím klientům a partnerům při normální činnosti. Zaměstnanci smluvních partnerů mají dovoleno používat internetové připojení do a z vnitřní sítě FNOL pouze za účelem pracovních záležitostí. Způsob připojení do vnitřní sítě FNOL a autentizace musí být předem dohodnuta s bezpečnostním manažerem FNOL. Obecně musí platit povinnost oznámit předem datum a čas přihlášení k vnitřnímu prostředí a následně ukončení práce ve vnitřním prostředí FNOL. 3.4 Bezpečnost systémů IT U vyvíjených, dodávaných a spravovaných informačních systémů musí být zajištěna níže uvedená pravidla. 3.4.1 Používání hesel - Aplikace musí být vytvářeny tak, aby znemožnily přístup bez zadání hesla. - Uživatel aplikace musí být nucen si heslo pravidelně měnit. - Aplikace musí být vytvořena tak, aby byl počet neúspěšných pokusů o přihlášení omezeno. Po třech neúspěšných pokusech o přihlášení musí být další zadávání dočasně ochromeno nebo spojení rozpojeno. - Pokud je při přihlašování do aplikace některá část chybná, nesmí být uživateli poskytnuta informace, ve kterém z údajů je chyba. - V případě, že je povolen přístup do aplikace, v níž určuje vstupní heslo administrátor, je povinností autora aplikace vynutit si změnu tohoto inicializačního hesla. - Všichni uživatelé musí při své činnosti užívat jedinečný identifikátor (přihlašovací jméno) tak, aby bylo možné vysledovat odpovědnost jednotlivců za prováděné činnosti. Strana 4/8

- Zaměstnanci dodavatele smí používat jedno přihlašovací jméno pro několik svých zaměstnanců, přičemž dodavatel odpovídá za veškeré úkony provedené v informačním systému FNOL pod těmito identifikátory. - Systém správy hesel musí být podpořen efektivním a interaktivním vybavením, které prosazuje kvalitu hesel. 3.4.2 Monitorování používání a přístupu k systému V informačních systémech musí být pořizovány auditní záznamy obsahující: - identifikaci uživatele, - datum a čas přihlášení a odhlášení, - identifikaci místa, odkud se uživatel přihlašoval (pokud je to možné), - záznamy o přístupu (úspěšném i neúspěšném). 3.4.3 Řízení přístupu k informačnímu systému - Před umožněním přístupu musí být každý uživatel identifikován a autentizován. - Informační systém by měl po určité době nečinnosti uživatele (doporučeno 15 minut) tohoto uživatele odhlásit. - Po určitém množství neúspěšných autentizačních pokusů (doporučeno 3) se musí ukončit přihlašovací procedura. - V případě neúspěšné autentizace nesmí systém poskytnout uživateli informaci o tom, která část autentizace je chybná. - Pro každého uživatele systému musí být možno identifikovat, jaká má přístupová práva. - Pro každý prostředek musí být možno vytvořit seznam uživatelů, kteří mají přístupová práva k tomuto prostředku s rozlišením druhu přístupových práv (čtení, úprava atd.) - Informační systém musí mít mechanismus pro odejmutí všech přístupových práv konkrétnímu uživateli nebo skupině. 3.5 Bezpečnost dat 3.5.1 Data vstupující do IS FNOL Data vstupující do systémů musí být kontrolována, aby byla zajištěna jejich správnost. V aplikacích se musí evidovat identifikátor uživatele nebo procesu, který změny nebo pořízení provedl. Pro kontrolu dat je nezbytné aplikovat opatření: - Vstupní kontrola (neplatné znaky, rozsah, přetečení, kompletnost, souvislost ), - kontrola vnitřního zpracování dat, - kontrola oprávněnosti běhu programů, - kontrola integrity dat, - kontrola obsahu generovaných dat. Opatření musí zahrnovat i popis postupu při zjištění chyby. Pokud FNOL usoudí, že vytvářená aplikace by měla podporovat kryptografii, je nezbytné, aby byly podporovány mezinárodně uznávané standardy a dodrženy právní předpisy České republiky. 3.5.2 Data předávaná smluvním partnerům Jedná se o informace předávané z FNOL smluvnímu partnerovi na jakémkoliv nosiči, zejména jakékoliv listiny, interní dokumenty FNOL, CD-ROM, diskety, pevné disky počítačů Strana 5/8

a jiné nebo zasílané e-mailem. Smluvní partner musí nakládat s předávanými daty dle tohoto dokumentu. - Předávání dat musí být vymezeno ve smlouvě (struktura dat, způsob předávání, způsob ochrany, periodicita, oprávněné osoby atd.) a musí probíhat bezpečným způsobem. - Uchovávání a případné zpracování dat u smluvního partnera musí být prováděno tak, aby byla zajištěna jejich dostatečná ochrana před neoprávněným přístupem a aby bylo znemožněno jejich zneužití. - Zodpovědnost za dostatečnou ochranu předávaných dat má smluvní partner. - Je nutno dbát na bezpečnost likvidace již nepotřebných dat, případně médií s daty. Pro likvidaci medií nesoucích neveřejné informace musí být zvolena metoda, která zaručuje, že takto zlikvidované informace není možno běžně dostupnými prostředky obnovit (skartovačka, SW skartovačka). - Každé nové předávání dat na smluvním základě je vhodné již při tvorbě smlouvy konzultovat s bezpečnostním manažerem FNOL. - Smluvní partner si nesmí sám stahovat žádná data z IS FNOL; vytváření souborů musí provést oprávněný zaměstnanec FNOL a teprve takto vytvořená data smí být (na smluvním základě) předána partnerovi. 3.6 Bezpečnost dodávek a služeb 3.6.1 Vývoj software smluvními partnery 1. Vývoj software musí probíhat: a) legálním software, b) na testovacím prostředí odděleném od prostředí produkčního, c) na testovacích datech, která nejsou převzata z provozní databáze. Pokud je nutno použít data z provozní databáze, je nutno je anonymizovat, d) tak, že migrace do provozního prostředí může být provedena až po akceptaci výsledků testů ve vývojovém prostředí a formalizovaném a doložitelném odsouhlasení. 2. Přístup dodavatele do IS FNOL a) Vzdálený přístup dodavatele může být povolen pouze do vývojového a testovacího prostředí za podmínek dohodnutých se Správcem informační bezpečnosti. Výjimky může povolit pouze bezpečnostní manažer FNOL. b) Lokální přístup dodavatele do provozního prostředí musí být zcela výjimečný a bude povolen pouze v odůvodněných případech. Tento přístup musí probíhat ve zvláštním režimu dohledu ze strany administrátorů nebo oprávněných uživatelů, vždy ale až po povolení administrátorem FNOL na základě zdůvodnění dodavatele. c) Přístup dodavatele do IS FNOL (testovacího i provozního prostředí) může být použit pouze pro zpracování zadané oprávněným pracovníkem FNOL. 3.6.2 Dodávka software Dodávka software musí být řádně smluvně zajištěna a průběžně kontrolována a dokumentována. U veškerého dodávaného programového vybavení musí být zřejmé, zda se jedná o volně šířený software nebo program podléhající licenční a registrační politice. Strana 6/8

Každý nový software musí být otestován, než bude akceptován a zařazen do produkčního prostředí. 3.6.3 Dodávka hardware Dodávka hardware musí být řádně smluvně zajištěna a průběžně kontrolována a dokumentována. O každé dodávce musí existovat kromě účetních dokladů i předávací protokol podepsaný dodavatelem a odběratelem. Způsob předání závisí na konkrétním produktu a na smlouvě s dodavatelem. Každé nové zařízení musí být otestováno, než bude akceptováno a zařazeno do produkčního prostředí. 3.6.4 Dodávka služeb Dodávka služeb musí být řádně smluvně zajištěna a průběžně kontrolována a dokumentována. Způsob předání závisí na konkrétní službě a na smlouvě s dodavatelem. 3.6.5 Servis HW a SW Smluvní partneři, zajišťující servis hardware nebo software, jsou na základě smlouvy oprávněni pohybovat se v neveřejných lokalitách FNOL pouze s vědomím administrátora FNOL. 3.6.6 Ostatní služby Smluvní partneři zajišťující ostatní služby, např. úklid, ostrahu atd. jsou na základě smlouvy oprávněni pohybovat se v neveřejných lokalitách FNOL. Při svém pohybu musí dbát bezpečnostních pravidel a pokynů pracovníků FNOL. 3.6.7 Dokumentace o provedené práci Nedílnou součástí dodávky hardware, software nebo služeb tam, kde to má smysl, je projektová a bezpečnostní dokumentace. Rozsah a náplň dokumentace musí být specifikován ve smlouvě s dodavatelem. Chybějící, neúplná nebo neaktuální dokumentace je důvodem k reklamaci dodávky a v krajním případě odstoupení od smlouvy z důvodu jejího nenaplnění ze strany dodavatele. 3.6.8 Akceptace Každý dodaný hardware, software nebo služba musí být plně a široce otestován zda splňuje očekávané a smluvně definované parametry a zda jeho používání nepředstavuje neočekávaná bezpečnostní rizika. Než bude systém předán do rutinního provozu, musí být formálně akceptován managementem a specialisty. 3.6.9 Outsourcing Outsourcing musí být řádně smluvně zajištěn a průběžně kontrolován a dokumentován. Všechna externí zpracování neveřejných informací FNOL musí být smluvně ošetřena tak, aby byla zachována úroveň ochrany ve všech aspektech informační bezpečnosti podle požadavků FNOL a platných právních předpisů. 3.7 Poskytování informací třetím stranám (mlčenlivost) Smluvní partneři jsou povinni dodržovat mlčenlivost o skutečnostech, které se dozvěděli při výkonu své činnosti v souladu s uzavřenou smlouvou v FNOL. Tato skutečnost musí být ošetřena smlouvou, ve které může být udělena výjimka např. pro účely reference. Každé veřejné použití neveřejných informací FNOL (např. na veřejných vystoupeních, do publikací) musí být schváleno vlastníkem těchto informací. Strana 7/8

3.8 Specifické odpovědnosti a pravomoci Uvedeny v textu 3.9 Další odborní garanti Nejsou 4 SOUVISEJÍCÍ DOKUMENTY 4.1 Dokumenty vyšší úrovně ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky ČSN ISO/IEC 27002 Informační technologie - Bezpečnostní techniky - Soubor postupů pro opatření bezpečnosti informací 4.2 Dokumenty FNOL 4.3 Vystavené dokumenty Touto směrnicí nejsou vystaveny a zavedeny další dokumenty. 5 ZÁVĚREČNÁ USTANOVENÍ 5.1 Účinnost 5.1.1 Tato ON nabývá účinnosti dnem xx. x. 2017 5.1.2 Dnem účinnosti se nenahrazuje žádná ON. 5.1.3 OG je povinen 1x za rok provést revizi ON. Pokud to stav vyžaduje, musí OG zajistit vypracování nového vydání ON nebo její změny. Záznam o provedené revizi provede OG do formuláře Fm-G001-REV-001 Záznam o revizi ON. Povinnost vypracování nové ON nebo změny nastává i v případě, že dojde k zásadním změnám, které se dotýkají obsahu ON. 5.1.4 Přechodná ustanovení Nejsou stanovena. 5.2 Přílohy Přílohy nejsou. Strana 8/8

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář