Bezpečnostní politika společnosti synlab czech s.r.o.



Podobné dokumenty
Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Článek I. Smluvní strany

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Koordinační středisko pro resortní zdravotnické informační systémy. Závěrečný test Základy informační bezpečnosti pro uživatele. Verze: 1.

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

OCTAVE ÚVOD DO METODIKY OCTAVE

ČESKÁ TECHNICKÁ NORMA

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Etický kodex. Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Příručka kvality společnosti CZECHOSLOVAK REAL (CZ), s.r.o.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Státní pokladna. Centrum sdílených služeb

ORGANIZAČNÍ ŘÁD ZZS LK Zdravotnická záchranná služba Libereckého kraje příspěvková organizace

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

V Brně dne 10. a

Smluvní strany: Služby Odkaz Cena* Cena s DPH*

K O N V E N C E. Integrovaného dopravního systému Jihomoravského kraje. Účastníci Konvence

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Extrémně silné zabezpečení mobilního přístupu do sítě

Všeobecné obchodní podmínky společnosti AMITY International spol. s r.o. platné od

V Brně dne a

Z K B V P R O S T Ř E D Í

1 Služby SAP Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services aktuálně zahrnují:

STATUTÁRNÍ MĚSTO KARVINÁ MAGISTRÁT MĚSTA KARVINÉ. Organizační řád Magistrátu města Karviné

Příloha Vyhlášky č.9/2011

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Dopady GDPR a jejich vazby

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

3. Setkání ředitelů aktivita A1. RNDr. Jan Krejčí, Ph.D

Cvičení 1,2 Osnova studie strategie ICT

Rámcová smlouva o nájemní smlouvě

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Zkouška ITIL Foundation

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Kybernetická bezpečnost resortu MV

Technica Solutions. Půjčovna nářadí. Úvodní studie pro Q&X Trading

INFORMAČNÍ TECHNOLOGIE

Bezpečnost aplikací Standardy ICT MPSV

Gradua-CEGOS, s.r.o. člen skupiny Cegos AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Obsah O autorech Předmluva Recenzní posudek Kapitola 1 Pojmy, zkratky a předpisy... 18

Informatika / bezpečnost

Solvency II: nový právní režim pro pojišťovny

(Nelegislativní akty) ROZHODNUTÍ

ČESKÁ TECHNICKÁ NORMA

PRODUKTOVÉ PODMÍNKY SLUŽEB GE MONEY PŘÍMÉHO BANK, BANKOVNICTVÍ

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Zákon o kybernetické bezpečnosti

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ČESKÁ TECHNICKÁ NORMA

Dodávka služeb na vzdělávání zaměstnanců v rámci projektu

1. Politika integrovaného systému řízení

OBCHODNÍ PODMÍNKY PRO ELEKTRONICKÝ STYK S BANKOU SBERBANK ONLINE BANKING

Kybernetická bezpečnost MV

Kybernetická bezpečnost

Bezepečnost IS v organizaci

Systém řízení informační bezpečnosti (ISMS)

Koncepce rozvoje ICT ve státní a veřejné správě. Koncepce rozvoje ICT ve státní a veřejné správě (materiál pro jednání tripartity)

Předmět směrnice. Čl. 2 Základní pojmy, technické pojmy a zkratky

Aplikovaná informatika

ČESKÁ TECHNICKÁ NORMA

ROZHODNUTÍ EVROPSKÉ CENTRÁLNÍ BANKY

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky.

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

KYBERNETICKÁ BEZPEČNOST V ORGANIZACÍCH

Interní protikorupční program Národní lékařské knihovny

VÝZVA K PŘEDKLÁDÁNÍ PROJEKTŮ V RÁMCI OPPI ICT v podnicích

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 16

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Praktické zkušenosti s certifikací na ISO/IEC 20000

INTERNÍ PROTIKORUPČNÍ PROGRAM

I. POČTY A STAVY. počet uživatelů - studentů: studentů. počet uživatelů - zaměstnanců: (fyzický stav) - 88 (uživatelů s přístupem k PC)

Projektové řízení a rizika v projektech

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001

Bezpečnostní politika a dokumentace

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Zkušenosti se zaváděním ISMS z pohledu auditora

Elektronické bankovnictví. Přednáška v kurzu KBaA2 ZS 2009

ÚSTAVNÍ SOUD. Knihovní řád

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Působnost jednotlivých odborů a oddělení MěÚ Zábřeh

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Management informační bezpečnosti

ČESKÁ TECHNICKÁ NORMA

Transkript:

Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 1. března 2016 Datum vypracování: 2. února 2016 Datum schválení: 29. února 2016 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav Moc, Marian Tůma Ing. Luboš Hajn Garant dokumentu: Ing. Luboš Hajn, zmocněnec pro kvalitu Verze: 02 Identifikace dokumentu: VD 06 Důvěrnost: Veřejné Výtisk č.: Ostatní informace: Nahrazuje verzi 01, platnou od 14. 1. 2015. synlab czech s.r.o. U Vojenské nemocnice 1200 169 00 Praha 6 IČ: 496 88 804 DIČ: CZ699003979 tel.: +420 277 779 860 e-mail: info@synlab.cz www.synlab.cz Call centrum 800 800 234 Společnost je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 23895 Bankovní spojení: Účet číslo: 1002220765/2700, vedený u UniCredit Bank

Vedení společnosti synlab czech s.r.o. si uvědomuje, že vysoká úroveň využívání informačních systémů, jak v rámci zpracování klinických materiálů v laboratořích, tak při komunikaci s dodavateli a zákazníky, přináší nemalá rizika. Bezpečnostní politika společnosti synlab czech s.r.o. je základním dokumentem, který vedení společnosti vydává pro zajištění bezpečného a efektivního provozu informačních a komunikačních systémů. Účelem bezpečnostní politiky je formulace jasné a závazné koncepce řešení informační bezpečnosti a definice základních přístupů při budování informační bezpečnosti společnosti synlab czech s.r.o. Bezpečnostní politika vytváří základ pro tvorbu vnitřních norem - bezpečnostních zásad a postupů, bezpečnostních standardů, směrnic a definuje zásady chování všech zaměstnanců i třetích stran při využívání informačních a telekomunikačních technologií. Vedení společnosti deklaruje bezpečnostní politikou svou strategii trvalého zajišťování informační bezpečnosti jako nedílné součásti všech řídicích procesů. K prosazování této politiky je ve společnosti zaveden a rozvíjen systém managementu bezpečnosti informací dle ISO/IEC 27001. Bezpečnostní politika je formulována v následujících bodech: I. Pravidla pro všechny uživatele IT (tj. všichni zaměstnanci, smluvní zaměstnanci a konzultanti) Incident Management Jakékoliv narušení nebo pokusy o narušení bezpečnosti IT a všechny zjištěné bezpečnostní nedostatky v IT systémech, musí být oznámeny manažeru bezpečnosti informací. E-mailová adresa pro témata týkající se IT bezpečnosti je it-security@synlab.cz. Je nezbytné, aby na všechna ohlášení narušení IT bezpečnosti nebo nedostatků následovala rychlá reakce, a aby bylo přijato opatření zabraňující možnosti opakování těchto situací. Přípustné využití Autorizovaní uživatelé IT systémů musí dodržovat zásady bezpečného používání těchto systémů a aktiv. Uživatel musí zajistit bezpečnost informací ve fyzické a logické formě a chránit informace před neoprávněným přístupem a vyzrazením. IT Outsourcing Proces výběru dodavatele musí být dodržován, přičemž každý externí dodavatel služeb týkajících se IT služeb a produktů, musí splňovat veškeré bezpečnostní požadavky a je pravidelně hodnocen a přezkoumáván. Přístupová oprávnění musí být přiřazena na základě principu co nejmenších privilegií a na bázi toho, co je nutné vědět. Zadávání veřejných zakázek v oblasti IT Zadávání veřejných zakázek v oblasti IT se musí řídit procesem výběru dodavatelů. Bezpečnostní požadavky na hardware, software a služby, které jsou předmětem veřejné zakázky, musí být označeny a zahrnuty do specifikace požadavků. Management smluv o úrovni poskytovaných služeb Úroveň služeb musí být dohodnuta, monitorována, zaznamenávána a porovnávána s definovanými požadavky. Verze: 02 platná od 1.3.2016 Strana 2 (celkem 6)

Přístup třetích stran Přístup třetí strany k IT systémům musí být nastaven na bázi toho, co je nutné vědět a s příslušnými autorizacemi. Se třetími stranami musí být podepsány dohody o zachování důvěrnosti, které chrání společnost před neoprávněným přístupem a modifikací IT systémů. Personální zabezpečení Zaměstnanci s přístupem k IT systémům si musí být vědomi své odpovědnosti za zachování bezpečnosti informačních systémů. Přístupová práva musí být poskytována na základě pracovních povinností a zrušena nebo změněna společně se změnami pracovního zařazení. Segregace povinností Povinnosti a oblasti odpovědnosti je nutné rozdělit ve snaze snížit možnost neoprávněných úprav nebo zneužití IT systémů. II. Pravidla pro řízení provozních aktiv v oblasti IT Správa datových center U datových center musí být zajištěna přiměřená fyzická a logická ochrana. Nezbytný oprávněný přístup do datového centra musí být zajištěn pro správce IT. Bezpečnost sítě Nezbytný přístup do sítě společnosti synlab czech s.r.o. je poskytován po příslušné autorizaci. Je nezbytné implementovat příslušný silný ověřovací mechanismus pro IT systémy. Uživatelé musí být jedinečně identifikovatelní. Řízení aktiv Fyzická aktiva musí být vedena v inventárním soupisu. IT systémy musí být klasifikovány, označeny a musí s nimi být manipulováno s opatrností odpovídající jejich citlivosti. Fyzické zabezpečení Musí být zabráněno neoprávněnému fyzickému přístupu k majetku společnosti synlab czech s.r.o. Pohyb aktiv musí být kontrolován a prováděn s řádným povolením. Kryptografické kontroly Kde je to zapotřebí, šifrování musí být použito k ochraně citlivých informací společnosti. Zabezpečené postupy musí být použity pro generování klíčů, jejich distribuci, zrušení a skladování. Firewall Přístup na a z externích sítí musí být kontrolován a zabezpečen pomocí odpovídající brány firewall a podobných metod. Přístup přes bránu firewall, musí být sledován a kontrolován. Zálohování Data s hodnotou aktiva "vysoká", musí být zálohována a pravidelně testována z hlediska obnovy. Zálohovaná data a média musí být bezpečně udržována a skladována. Verze: 02 platná od 1.3.2016 Strana 3 (celkem 6)

Monitorování Přístup k zásadním aplikacím a síti společnosti by měl být sledován proti podezřelé činnosti nebo narušení bezpečnosti. Antivirový systém Vhodných nástrojů a metod musí být využito pro zajištění ochrany IT majetku společnosti synlab czech s.r.o. Antivirový software a nasazené procesy musí zajistit detekci, účinné zadržení a zničení škodlivého kódu v síti společnosti. Řízení změn Změny v oblasti IT aktiv včetně aplikací, serverů a síťových zařízení musí být provedeny kontrolovaným způsobem a po řádném schválení. Pomocí pravidelného ověřování musí být kontrolována účinnost těchto kontrol. Plán kontinuity v oblasti IT Pro IT systémy s hodnotou aktiva "vysoká" musí být naplánována kontinuita. Písemný kontinuální plán pro tyto kritické systémy by měl být udržován, testován a aktualizován. Management rizik v oblasti IT Organizace musí identifikovat, analyzovat a zmírňovat rizika, která mají vliv na důvěrnost, integritu a dostupnost aktiv IT systémů. Práce na dálku Vzdáleně pracovat v síti společnosti je umožněno pouze vybraných pracovníkům dle typu pracovní pozice a výhradně formou VPN a RDS. Výjimkou jsou pracovníci podpory IT, kteří ke své práci mohou využívat aplikaci Teamviewer. VPN a RDS je možné používat výhradně na zařízeních společnosti i BYOD. Mobilní zařízení Mobilní zařízení používaná pracovníky společnosti jsou schválena k používání vedením společnosti a podléhají pravidelné servisní kontrole (výjimkou jsou BYOD) a jsou chráněna proti neoprávněnému přístupu pomocí hesla, PIN či jiného systému. Internetová úložiště Pro ukládání firemních dokumentů a dokumentů obsahujících firemní informace jsou všechna internetová úložiště zakázána. Řízení přístupu Účelem řízení přístupu k informacím a prostředkům informačních systémů společnosti je zajistit, aby k nim měli přístup pouze oprávnění uživatelé. Pro přístup k těmto informacím jsou stanovena pravidla, která určují postupy pro autorizaci, zřizování, změny a odebírání přístupových práv. Bezpečnostním cílem je zajištění řízení přístupu realizací opatření v následujících oblastech: a) správa přístupu uživatelů a odpovědnost uživatelů systém správy přístupu zajistí definovaný postup přidělování, změny a odebírání přístupu, správu hesel a kontrolu přístupových práv. b) mobilní výpočetní prostředky a práce na dálku zvláštní pozornost musí být věnována mobilním výpočetním prostředkům a prostředkům umožňujícím práci na dálku, aby bylo zabráněno jejich zneužití. Privilegované přístupy mají administrátoři a správci informačních systémů. Verze: 02 platná od 1.3.2016 Strana 4 (celkem 6)

Přístup dodavatelů k aktivům Přístup k aktivům společnosti mají pouze dodavatelé vybraní a periodicky hodnocení dle interních pravidel. S těmito dodavateli jsou uzavřeny písemné smlouvy. Rizika plynoucí ze vztahů s dodavateli jsou identifikována a vyhodnocována v rámci managementu rizik ISMS. III. Pravidla pro správu aplikací Licenční politika Společnost respektuje zákonné normy a licenční politiku dodavatelů jednotlivých softwarů. Je povoleno používat pouze schválený a předinstalovaný software. Uživatelé mají zakázáno instalovat si samostatně software bez předchozího schválení vedením společnosti. Vývoj softwaru Veškerý software vyvinutý nebo přizpůsobený pro použití ve společnosti musí odpovídat standardnímu procesu vývoje a musí zajistit, aby byly splněny požadavky na IT bezpečnost. Bezpečnost aplikací Aplikace provozované v organizaci musí mít ovládací prvky pro bezpečný vstup, zpracování, skladování a výstup dat. Aplikace musí být testovány na bezpečnost před nasazením. Přístup k aplikaci musí být omezen na oprávněné osoby a poskytnutá práva musí být stanovena na principu minimálních privilegií. Uživatelé musí být jedinečně identifikovatelní. Správa konfigurace IT systémy musí být nakonfigurovány pro bezpečnost a jejich konfigurace musí být zdokumentovány a zajištěny. Zabezpečení operačního systému Uživatelský přístup k operačnímu systému musí být omezen a monitorován. Operační systém musí být aktualizovaný pomocí nově vydaných bezpečnostních balíčků. Zabezpečení databáze Databázové systémy musí být nainstalovány, konfigurovány a spravovány podle přísných bezpečnostních norem. Uživatelský přístup do databáze musí být poskytnut pouze po předchozí autorizaci a ověření, na bázi nezbytného minima. IV. Role a odpovědnosti Manažer bezpečnosti informací: - odpovídá za řízení systému managementu bezpečnosti informací společnosti synlab czech s.r.o.; - podporuje vědomí závažnosti dodržování pravidel ISMS ve spolupráci s vedoucími pracovníky; - zajišťuje poradenství v oblasti bezpečnostních otázek týkající se posouzení rizik, infrastruktury, systémů a aplikací v plánovaných projektech a s uživateli již existujících aplikací a projektů; - odpovídá za zajištění řádného fungování IT bezpečnosti pomocí koordinace různých bezpečnostních procesů; Verze: 02 platná od 1.3.2016 Strana 5 (celkem 6)

- zajišťuje koordinaci bezpečnostních požadavků ISMS, jakož i tvorbu interní dokumentace, koncepce, plánování, provádění bezpečnostních opatření a rovněž shrnutí realizovaných opatření; - odpovídá za hladký tok informací mezi zúčastněnými kontaktními osobami v rámci ISMS; - koordinuje proces stanovení aktiv společnosti a následné vyhodnocení rizik ISMS; - odpovídá za řízení bezpečnostních incidentů; - udržuje kontakty s externími organizacemi ve věcech bezpečnosti informací; - zajišťuje školení v oblasti ISMS. Bezpečnostní rada - podporuje manažera bezpečnosti informací v jeho práci; - zajišťuje včasnou výměnu informací a koordinovat požadavky od všech zúčastněných stran; - navrhuje a přezkoumává dílčí bezpečnostní politiky, postupy a požadavky; - spolupracuje při posuzování rizik, přijímání příslušných opatření pro minimalizaci rizik; - poskytuje pomoc při provádění auditů ISMS; - spolupracují s MBI při řešení bezpečnostních incidentů. Kontakt a další informace E-mailová adresa pro témata týkající se IT bezpečnosti je it-security@synlab.cz. Bezpečnostní incidenty a události musí být neprodleně hlášeny manažeru bezpečnosti informací k řešení. V. Soukromí a ochrana osobních údajů Ochrana údajů o zaměstnancích Veškeré záznamy o zaměstnancích jsou vedeny na personálním oddělení nebo vedoucím pracovníkem v uzamčeném prostoru v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů. Ochrana údajů o pacientech Údaje o pacientech jsou v elektronické podobě uchovávány v aplikacích s chráněným přístupem a pravidelně zálohovány. Údaje o pacientech vedené v tištěné podobě jsou uloženy v archivu nebo příručních registraturách s omezeným přístupem pro třetí strany. Dle pracovní smlouvy je zakázáno sdělovat třetím osobám specifické informace o pacientech, které by bylo možné zneužít pro neoprávněný přístup k datům pacientů. Osobní, potažmo citlivé údaje upravuje rozsáhlá veřejnoprávní legislativní úprava. Mezi stěžejní zákony patří zákon č. 373/2001 Sb., o specifických zdravotních službách a zákon č. 101/2000 Sb., o ochraně osobních údajů. S touto bezpečnostní politikou jsou seznámeni všichni pracovníci společnosti synlab czech s.r.o a je závazná pro jejich chování a jednání. Verze: 02 platná od 1.3.2016 Strana 6 (celkem 6)

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář