Politika informační bezpečnosti

Prohlášení managementu

Vedení společnosti CETIN a.s. si je vědomo, jak důležitou roli hrají informace v současném světě při podnikání, v pracovním i v soukromém životě. Podporuje proto budování a neustálé rozvíjení systému řízení bezpečnosti informací, aby tím společnost chránila svá informační aktiva a aby svým zákazníkům i partnerům poskytla odpovídající míru jistoty. Společnost zajišťuje provoz kritické informační infrastruktury. Z těchto důvodů vedení společnosti vyhlašuje tuto Politiku informační bezpečnosti jako rámec pro směřování společnosti na poli ochrany bezpečnosti informací. Záměrem vedení je podporovat vytyčené cíle a principy této politiky.

Cíle bezpečnostní politiky

Naším prvořadým cílem je zajistit důvěrnost, integritu a dostupnost všech vlastních a zákaznických dat pro bezproblémové zajištění našich podnikatelských aktivit a zajistit provoz kritické informační infrastruktury. Touto politikou deklarujeme všem obchodním partnerům, zaměstnancům, veřejné a státní správě a široké veřejnosti schopnost celé společnosti efektivně chránit informace, prvky kritické infrastruktury, hmotný i nehmotný majetek vlastní i nám svěřený v souladu s legislativními požadavky s platnou legislativou České republiky i Evropské unie, mezinárodními smlouvami a jinými požadavky na ochranu bezpečnosti informací. K prosazování této politiky je ve společnosti zaveden a rozvíjen systém managementu bezpečnosti informací dle ISO/IEC 27001.

Zásady a principy bezpečnosti informací

Zavazujeme se:

  • dodržovat a naplňovat legislativní předpisy pro oblast bezpečnosti informací a kybernetické bezpečnosti,
  • řídit procesy a činnosti tak, aby byla zajištěna kontinuita a soulad s platnou legislativou České republiky i Evropské unie, mezinárodními smlouvami a jinými požadavky na ochranu bezpečnosti informací a kybernetické bezpečnosti,
  • zajišťovat dostupnost informací v čase a místě dle potřeb společnosti, ale pouze těm, kteří je potřebují pro svoji pracovní činnost, čímž je zachovávána důvěrnost informací dle stanovených kategorií – veřejné, interní, důvěrné, osobní,
  • řídit integritu a životní cyklus informací od okamžiku jejich vzniku, předávání, užívání až po likvidaci,
  • vzdělávat a rozvíjet naše zaměstnance, dodavatele a partnery v oblasti bezpečnosti informací a kybernetické bezpečnosti,
  • porušení pravidel informační a kybernetické bezpečnosti je považováno za hrubé porušení interních předpisů a smluvních vztahů,
  • stanovovat přijímaná bezpečnostní opatření na principu posouzení závažnosti vyhodnocených rizik, jejich dopadů a ekonomické náročnosti opatření,
  • zvyšovat účinnost našeho systému managementu bezpečnosti informací pravidelným monitorováním, přehodnocováním rizik, řízením bezpečnostních událostí a incidentů prostřednictvím nápravných a preventivních opatření.

Politika bezpečnosti informací pro vztahy s dodavateli

Zavazujeme se:

  • zajistit ochranu aktiv organizace, ke kterým mají dodavatele přístup,
  • požadavky bezpečnosti informaci na snížení rizik spojených s přístupem dodavatelů k aktivům organizace odsouhlasit s dodavateli a řádně zadokumentovat,
  • požadavky relevantní bezpečnosti informaci ustavit a odsouhlasit s každým dodavatelem, který může přistupovat k informacím organizace, zpracovává je, ukládá nebo zajišťuje prvky IT infrastruktury či prvky kritické informační infrastruktury,
  • v dohodách s dodavateli zahrnout požadavky na rizika bezpečnosti informací a kybernetické bezpečnosti spojená s dodavatelským řetězcem služeb a produktů informačních a komunikačních technologií,
  • udržovat dohodnutou úroveň bezpečnosti informaci a dodávky služeb ve shodě s dodavatelskými dohodami.

Provádíme:

  • společnost pravidelně monitoruje, přezkoumává a audituje dodávky služeb dodavatelů,
  • změny v poskytování služeb dodavateli, včetně změn v udržování a zlepšování existujících politik, postupů a opatřeni bezpečnosti informaci, řídíme s ohledem na kritičnost informaci, systémů a procesů organizace, které jsou součástí těchto změn, a s ohledem na opakované posouzeni rizik.

Vedení a stálost záměrů a cílů

Vedení společnosti podporuje a motivuje zaměstnance k zajištění bezpečnosti informací a kybernetické bezpečnosti, a to i nad rámec požadavků platné legislativy. Na základě důsledného zvážení všech dostupných informací a zkušeností iniciuje změny v procesech, činnostech a vztazích se všemi zainteresovanými stranami s cílem dlouhodobě naplňovat deklarovanou strategii společnosti v oblasti informační bezpečnosti.

Zaměření se na zákazníka a rozvoj partnerství

V souladu s principem neutrality a z ní vyplývající rovnosti v přístupu ke klientům, která je základem naší firemní filozofie, poskytujeme našim zákazníkům a partnerům pravdivé, jasné, užitečné a přesné informace a informace o nich důsledně chráníme.

Tato bezpečnostní politika se vztahuje na všechna pracoviště CETIN a.s., všechny podnikatelské aktivity i na služby a výrobky poskytované našimi externími dodavateli.

 

V Praze 1. 9. 2020

Martin Škop, generální ředitel