Bezpečnostní politika společnosti synlab czech s.r.o.



Podobné dokumenty
Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Není cloud jako cloud, rozhodujte se podle bezpečnosti

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Politika bezpečnosti informací

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zákon o kybernetické bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Obecné nařízení o ochraně osobních údajů

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Organizační opatření, řízení přístupu k informacím

Politika bezpečnosti informací

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

ČESKÁ TECHNICKÁ NORMA

Technická a organizační opatření pro ochranu údajů

srpen 2008 Ing. Jan Káda

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Bezpečnostní aspekty informačních a komunikačních systémů KS2

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Návrh VYHLÁŠKA. ze dne 2014

Bezpečnost na internetu. přednáška

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Systém managementu jakosti ISO 9001

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Bezpečnost aplikací Standardy ICT MPSV

Zákon o kybernetické bezpečnosti

SŽDC M20/MP001 METODICKÝ POKYN PRO ŘÍZENÍ DOKUMENTACE ŘÍDÍCÍCH TECHNICKÝCH AKTŮ SŽDC M20

Úvod - Podniková informační bezpečnost PS1-2

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Expresní analýza PLM. jako efektivní start implementace PLM.

Bezpečnostní politika a dokumentace

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

GENERÁLNÍ ŘEDITELSTVÍ CEL

Návrh VYHLÁŠKA. ze dne 2014

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Bezepečnost IS v organizaci

Úvod - Podniková informační bezpečnost PS1-1

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Odbor městské informatiky

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

1. Politika integrovaného systému řízení

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Kybernetická bezpečnost

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

L 320/8 Úřední věstník Evropské unie

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Nástroje IT manažera

Státní pokladna. Centrum sdílených služeb

Implementace systému ISMS

Obecné pokyny. k bezpečnostním opatřením v souvislosti s operačními a bezpečnostními riziky platebních služeb podle směrnice (EU) 2015/2366 (PSD2)

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

OBECNÉ POKYNY K MINIMÁLNÍMU SEZNAMU SLUŽEB A ZAŘÍZENÍ EBA/GL/2015/ Obecné pokyny

Zkouška ITIL Foundation

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Bezpečnostní politika

1 Slovník pojmů Zákaznická data jsou data, která mají být zahrnuta do záložní kopie vytvořené pomocí Služby v závislosti na zálohovacím schématu.

provoz páteřové sítě fakulty a její připojení k Pražské akademické síti připojení lokálních sítí k páteřové síti fakulty či k Pražské akademické síti

Výzva k podání nabídek na veřejnou zakázku malého rozsahu na dodávky

VYHLÁŠKA. ze dne 21. května 2018,

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Bezpečnostní politika informací v ČSSZ

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Zásady ochrany osobních údajů pro společnost KEMPCHEN s.r.o.

Vzdělávání pro bezpečnostní systém státu

FV systémy a jejich QM Základní dokument FV systému

SBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :

Klíčové aspekty životního cyklu essl

Správce IT pro malé a střední organizace

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Povinné zásady leden Kodex informační bezpečnosti pro dodavatele Nestlé

TECHNICKOORGANIZAČNÍ BEZPEČNOSTNÍ OPATŘENÍ SPOLEČNOSTI FERRERO

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Nejbezpečnější prostředí pro vaše data

GDPR - příklad z praxe

Příklad druhý, Politika používání mobilních PC (mpc)

Systém řízení informační bezpečnosti (ISMS)

Zpráva pro uživatele CA

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

Transkript:

Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav Moc Ing. Luboš Hajn Garant dokumentu: Ing. Luboš Hajn, zmocněnec pro kvalitu Verze: 01 Identifikace dokumentu: VD 06 Důvěrnost: Veřejné Výtisk č.: Ostatní informace:

Vedení společnosti synlab czech s.r.o. si uvědomuje, že vysoká úroveň využívání informačních systémů, jak v rámci zpracování klinických materiálů v laboratořích, tak při komunikaci s dodavateli a zákazníky, přináší nemalá rizika. Bezpečnostní politika společnosti synlab czech s.r.o. je základním dokumentem, který vedení společnosti vydává pro zajištění bezpečného a efektivního provozu informačních a komunikačních systémů. Účelem bezpečnostní politiky je formulace jasné a závazné koncepce řešení informační bezpečnosti a definice základních přístupů při budování informační bezpečnosti společnosti synlab czech s.r.o. Bezpečnostní politika vytváří základ pro tvorbu vnitřních norem - bezpečnostních zásad a postupů, bezpečnostních standardů, směrnic a definuje zásady chování všech zaměstnanců i třetích stran při využívání informačních a telekomunikačních technologií. Vedení společnosti deklaruje bezpečnostní politikou svou strategii trvalého zajišťování informační bezpečnosti jako nedílné součásti všech řídicích procesů. K prosazování této politiky je ve společnosti zaveden a rozvíjen systém managementu bezpečnosti informací dle ISO/IEC 27001. Bezpečnostní politika je formulována v následujících bodech: I. Pravidla pro všechny uživatele IT (tj. všichni zaměstnanci, smluvní zaměstnanci a konzultanti) Incident Management Jakékoliv narušení nebo pokusy o narušení bezpečnosti IT a všechny zjištěné bezpečnostní nedostatky v IT systémech, musí být oznámeny bezpečnostnímu týmu IT. Je nezbytné, aby na všechna ohlášení narušení IT bezpečnosti nebo nedostatků následovala rychlá reakce, a aby bylo přijato opatření zabraňující možnosti opakování těchto situací. Přípustné využití Autorizovaní uživatelé IT systémů musí dodržovat zásady bezpečného používání těchto systémů a aktiv. Uživatel musí zajistit bezpečnost informací ve fyzické a logické formě a chránit informace před neoprávněným přístupem a vyzrazením. IT Outsourcing Proces výběru dodavatele musí být dodržován, přičemž každý externí dodavatel služeb týkajících se IT služeb a produktů, musí splňovat veškeré bezpečnostní požadavky. Přístupová oprávnění musí být přiřazena na základě principu co nejmenších privilegií a na bázi toho, co je nutné vědět. Zadávání veřejných zakázek v oblasti IT Zadávání veřejných zakázek v oblasti IT se musí řídit procesem výběru dodavatelů. Bezpečnostní požadavky na hardware, software a služby, které jsou předmětem veřejné zakázky, musí být označeny a zahrnuty do specifikace požadavků. Management smluv o úrovni poskytovaných služeb Úroveň služeb musí být dohodnuta, monitorována, zaznamenávána a porovnávána s definovanými požadavky. Přístup třetích stran Přístup třetí strany k IT systémům musí být nastaven na bázi toho, co je nutné vědět a s příslušnými autorizacemi. Verze: 01 platná od 14.1.2015 Strana 2 (celkem 5)

Se třetími stranami musí být podepsány dohody o zachování důvěrnosti, které chrání společnost před neoprávněným přístupem a modifikací IT systémů. Personální zabezpečení Zaměstnanci s přístupem k IT systémům si musí být vědomi své odpovědnosti za zachování bezpečnosti informačních systémů. Přístupová práva musí být poskytována na základě pracovních povinností a zrušena nebo změněna společně se změnami pracovního zařazení. Segregace povinností Povinnosti a oblasti odpovědnosti je nutné rozdělit ve snaze snížit možnost neoprávněných úprav nebo zneužití IT systémů. II. Pravidla pro řízení provozních aktiv v oblasti IT Správa datových center U datových center musí být zajištěna přiměřená fyzická a logická ochrana. Nezbytný oprávněný přístup do datového centra musí být zajištěn pro správce IT. Bezpečnost sítě Nezbytný přístup do sítě společnosti synlab czech s.r.o. musí být poskytnut po příslušné autorizaci. Je nezbytné implementovat příslušný silný ověřovací mechanismus pro IT systémy. Uživatelé musí být jedinečně identifikovatelní. Řízení aktiv Fyzická aktiva musí být vedena v inventárním soupisu. IT systémy musí být klasifikovány, označeny a musí s nimi být manipulováno s opatrností odpovídající jejich citlivosti. Fyzické zabezpečení Musí být zabráněno neoprávněnému fyzickému přístupu k majetku společnosti synlab czech s.r.o. Pohyb aktiv musí být kontrolován a prováděn s řádným povolením. Kryptografické kontroly Kde je to zapotřebí, šifrování musí být použito k ochraně citlivých informací společnosti. Zabezpečené postupy musí být použity pro generování klíčů, jejich distribuci, zrušení a skladování. Firewall Přístup na a z externích sítí musí být kontrolován a zabezpečen pomocí odpovídající brány firewall a podobných metod. Přístup přes bránu firewall, musí být sledován a kontrolován. Zálohování Data označená jako "kritická", musí být zálohována a pravidelně testována z hlediska obnovy. Zálohovaná data a média musí být bezpečně udržována a skladována. Monitorování Verze: 01 platná od 14.1.2015 Strana 3 (celkem 5)

Přístup k zásadním aplikacím a síti společnosti by měl být sledován proti podezřelé činnosti nebo narušení bezpečnosti. Antivirový systém Vhodných nástrojů a metod musí být využito pro zajištění ochrany IT majetku společnosti synlab czech s.r.o. Antivirový software a nasazené procesy musí zajistit detekci, účinné zadržení a zničení škodlivého kódu v síti společnosti. Řízení změn Změny v oblasti IT aktiv včetně aplikací, serverů a síťových zařízení musí být provedeny kontrolovaným způsobem a po řádném schválení. Pomocí pravidelného ověřování musí být kontrolována účinnost těchto kontrol. Plán kontinuity v oblasti IT Pro IT systémy označené jako "kritické" pro podnikání musí být naplánována kontinuita. Písemný kontinuální plán pro tyto kritické systémy by měl být udržován, testován a aktualizován. Management rizik v oblasti IT Organizace musí identifikovat, analyzovat a zmírňovat rizika, která mají vliv na důvěrnost, integritu a dostupnost aktiv IT systémů. III. Pravidla pro správu aplikací Vývoj softwaru Veškerý software vyvinutý nebo přizpůsobený pro použití ve společnosti musí odpovídat standardnímu procesu vývoje a musí zajistit, aby byly splněny požadavky na IT bezpečnost. Bezpečnost aplikací Aplikace provozované v organizaci musí mít ovládací prvky pro bezpečný vstup, zpracování, skladování a výstup dat. Aplikace musí být testovány na bezpečnost před nasazením. Přístup k aplikaci musí být omezen na oprávněné osoby a poskytnutá práva musí být stanovena na principu minimálních privilegií. Uživatelé musí být jedinečně identifikovatelní. Správa konfigurace IT systémy musí být nakonfigurovány pro bezpečnost a jejich konfigurace musí být zdokumentovány a zajištěny. Zabezpečení operačního systému Uživatelský přístup k operačnímu systému musí být omezen a monitorován. Operační systém musí být aktualizovaný pomocí nově vydaných bezpečnostních balíčků. Zabezpečení databáze Databázové systémy musí být nainstalovány, konfigurovány a spravovány podle přísných bezpečnostních norem. Uživatelský přístup do databáze musí být poskytnut pouze po předchozí autorizaci a ověření, na bázi nezbytného minima. Verze: 01 platná od 14.1.2015 Strana 4 (celkem 5)

IV. Role a odpovědnosti Manažer bezpečnosti informací: je přímo podřízený výkonnému řediteli společnosti; odpovídá za bezpečnost IT v rámci společnosti synlab czech s.r.o.; vede tým IT bezpečnosti; zajišťuje poradenství v oblasti bezpečnostních otázek týkající se posouzení rizik, infrastruktury, systémů a aplikací v plánovaných projektech a s uživateli již existujících aplikací a projektů; odpovídá za zajištění řádného fungování IT bezpečnosti pomocí koordinace různých bezpečnostních procesů; odpovídá za tvorbu a sběr požadavků na IT bezpečnost, zejména požadavků na IT zabezpečení a jejich splnění v rámci IT projektů; zajišťuje koordinaci IT bezpečnostních požadavků, jakož i tvorbu směrnic, koncepce, plánování, provádění bezpečnostních opatření a rovněž shrnutí realizovaných opatření; odpovídá za vývoj a distribuci takových dodatečných materiálů, které mohou být nezbytné k zajištění informovanosti a opatrnosti ohledně dodržování IT bezpečnosti v rámci společnosti synlab czech s.r.o.; odpovídá za hladký tok informací mezi zúčastněnými kontaktními osobami v rámci bezpečnosti IT. Tým IT bezpečnosti: podporuje manažera bezpečnosti informací v jeho práci; zajišťuje včasnou výměnu informací a koordinuje požadavky od všech zúčastněných stran; podporuje přezkoumání a přijetí dílčích bezpečnostních politik, postupů a požadavků; posuzuje rizika a zahajuje příslušné činnosti nebo opatření; poskytuje pomoc při provádění auditů IT bezpečnosti. Místní pracovníci bezpečnosti IT: jsou kontaktními osobami v situacích týkajících se IT bezpečnosti v rámci svých organizačních útvarů; implementují IT bezpečnost ve svých organizačních útvarech v souladu se směrnicemi v oblasti IT bezpečnosti nebo bezpečnostní politiky; shromažďují relevantní informace týkající se IT bezpečnosti a reportují je manažeru bezpečnosti informací; asistují při výběru vhodných opatření v otázkách IT bezpečnosti; podávají zprávy o bezpečnostních incidentech v rámci IT manažeru bezpečnosti informací a rovněž poskytují potřebnou podporu při vyšetřování. Kontakt a další informace E-mailová adresa pro témata týkající se IT bezpečnosti je it-security@synlab.cz. Na intranetu společnosti jsou k dispozici doplňující informace v části "Bezpečnost ICT" Bezpečnostní incidenty a události musí být neprodleně hlášeny manažeru bezpečnosti informací k řešení. S touto bezpečnostní politikou jsou seznámeni všichni pracovníci společnosti synlab czech s.r.o a je závazná pro jejich chování a jednání. Verze: 01 platná od 14.1.2015 Strana 5 (celkem 5)

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář