Politika informační bezpečnosti
Prohlášení managementu
Vedení společnosti CETIN a.s. si je vědomo, jak důležitou roli hrají informace v současném světě při podnikání, v pracovním i v soukromém životě. Podporuje proto budování a neustálé rozvíjení systému řízení bezpečnosti informací, aby tím společnost chránila svá informační aktiva a aby svým zákazníkům i partnerům poskytla odpovídající míru jistoty. Společnost zajišťuje provoz kritické informační infrastruktury. Z těchto důvodů vedení společnosti vyhlašuje tuto Politiku informační bezpečnosti jako rámec pro směřování společnosti na poli ochrany bezpečnosti informací. Záměrem vedení je podporovat vytyčené cíle a principy této politiky.
Cíle bezpečnostní politiky
Naším prvořadým cílem je zajistit důvěrnost, integritu a dostupnost všech vlastních a zákaznických dat pro bezproblémové zajištění našich podnikatelských aktivit a zajistit provoz kritické informační infrastruktury. Touto politikou deklarujeme všem obchodním partnerům, zaměstnancům, veřejné a státní správě a široké veřejnosti schopnost celé společnosti efektivně chránit informace, prvky kritické infrastruktury, hmotný i nehmotný majetek vlastní i nám svěřený v souladu s legislativními požadavky s platnou legislativou České republiky i Evropské unie, mezinárodními smlouvami a jinými požadavky na ochranu bezpečnosti informací. K prosazování této politiky je ve společnosti zaveden a rozvíjen systém managementu bezpečnosti informací dle ISO/IEC 27001.
Zásady a principy bezpečnosti informací
Zavazujeme se:
- dodržovat a naplňovat legislativní předpisy pro oblast bezpečnosti informací a kybernetické bezpečnosti,
- řídit procesy a činnosti tak, aby byla zajištěna kontinuita a soulad s platnou legislativou České republiky i Evropské unie, mezinárodními smlouvami a jinými požadavky na ochranu bezpečnosti informací a kybernetické bezpečnosti,
- zajišťovat dostupnost informací v čase a místě dle potřeb společnosti, ale pouze těm, kteří je potřebují pro svoji pracovní činnost, čímž je zachovávána důvěrnost informací dle stanovených kategorií – veřejné, interní, důvěrné, osobní,
- řídit integritu a životní cyklus informací od okamžiku jejich vzniku, předávání, užívání až po likvidaci,
- vzdělávat a rozvíjet naše zaměstnance, dodavatele a partnery v oblasti bezpečnosti informací a kybernetické bezpečnosti,
- porušení pravidel informační a kybernetické bezpečnosti je považováno za hrubé porušení interních předpisů a smluvních vztahů,
- stanovovat přijímaná bezpečnostní opatření na principu posouzení závažnosti vyhodnocených rizik, jejich dopadů a ekonomické náročnosti opatření,
- zvyšovat účinnost našeho systému managementu bezpečnosti informací pravidelným monitorováním, přehodnocováním rizik, řízením bezpečnostních událostí a incidentů prostřednictvím nápravných a preventivních opatření.
Politika bezpečnosti informací pro vztahy s dodavateli
Zavazujeme se:
- zajistit ochranu aktiv organizace, ke kterým mají dodavatele přístup,
- požadavky bezpečnosti informaci na snížení rizik spojených s přístupem dodavatelů k aktivům organizace odsouhlasit s dodavateli a řádně zadokumentovat,
- požadavky relevantní bezpečnosti informaci ustavit a odsouhlasit s každým dodavatelem, který může přistupovat k informacím organizace, zpracovává je, ukládá nebo zajišťuje prvky IT infrastruktury či prvky kritické informační infrastruktury,
- v dohodách s dodavateli zahrnout požadavky na rizika bezpečnosti informací a kybernetické bezpečnosti spojená s dodavatelským řetězcem služeb a produktů informačních a komunikačních technologií,
- udržovat dohodnutou úroveň bezpečnosti informaci a dodávky služeb ve shodě s dodavatelskými dohodami.
Provádíme:
- společnost pravidelně monitoruje, přezkoumává a audituje dodávky služeb dodavatelů,
- změny v poskytování služeb dodavateli, včetně změn v udržování a zlepšování existujících politik, postupů a opatřeni bezpečnosti informaci, řídíme s ohledem na kritičnost informaci, systémů a procesů organizace, které jsou součástí těchto změn, a s ohledem na opakované posouzeni rizik.
Vedení a stálost záměrů a cílů
Vedení společnosti podporuje a motivuje zaměstnance k zajištění bezpečnosti informací a kybernetické bezpečnosti, a to i nad rámec požadavků platné legislativy. Na základě důsledného zvážení všech dostupných informací a zkušeností iniciuje změny v procesech, činnostech a vztazích se všemi zainteresovanými stranami s cílem dlouhodobě naplňovat deklarovanou strategii společnosti v oblasti informační bezpečnosti.
Zaměření se na zákazníka a rozvoj partnerství
V souladu s principem neutrality a z ní vyplývající rovnosti v přístupu ke klientům, která je základem naší firemní filozofie, poskytujeme našim zákazníkům a partnerům pravdivé, jasné, užitečné a přesné informace a informace o nich důsledně chráníme.
Tato bezpečnostní politika se vztahuje na všechna pracoviště CETIN a.s., všechny podnikatelské aktivity i na služby a výrobky poskytované našimi externími dodavateli.
V Praze 1. 9. 2020
Martin Škop, generální ředitel