P
P
O
O
L
L
I
I
T
T
Y
Y
K
K
A
A
B
B
E
E
Z
Z
P
P
I
I
E
E
C
C
Z
Z
E
E
Ń
Ń
S
S
T
T
W
W
A
A
I
I
N
N
F
F
O
O
R
R
M
M
A
A
C
C
J
J
I
I
Wydanie:
1
P
P
O
O
L
L
I
I
T
T
Y
Y
K
K
A
A
B
B
E
E
Z
Z
P
P
I
I
E
E
C
C
Z
Z
E
E
Ń
Ń
S
S
T
T
W
W
A
A
I
I
N
N
F
F
O
O
R
R
M
M
A
A
C
C
J
J
I
I
Wydanie:
1
2
Spis tre
ś
ci:
1. Wst
ę
p………………………………………………………………………………. 3
1.1. Opis Spółki………………………………………………………………………………………….
3
1.2. Definicje…………………………………………………………………………………………….. 5
2. Zakres Systemu Bezpiecze
ń
stwa Informacji……………………………….. 7
3. Deklaracja Zarz
ą
du……………………………………………………………….8
4. Zasady ogólne……………………………………………………………………10
5.Organizacja bezpiecze
ń
stwa informacji………………………………………11
5.1. Struktura zarz
ą
dzania bezpiecze
ń
stwem………………………………………………………..11
5.2. Dokumentacja systemu zarz
ą
dzania bezpiecze
ń
stwem………………………………........... 11
5.3. Struktura zarz
ą
dzania bezpiecze
ń
stwem i odpowiedzialno
ś
ci……………………………….. 11
5.4. Funkcjonowanie Forum Bezpiecze
ń
stwa………………………………………………………..13
5.4.1 Organizacja Forum Bezpiecze
ń
stwa ………………………………………………………….. 13
5.4.2 Zadania, uprawnienia i odpowiedzialno
ść
Forum Bezpiecze
ń
stwa………………………….14
5.5. Zasady współpracy z osobami trzecimi…………………………………………………….........14
5.6. Zasady współpracy ze stronami zewn
ę
trznymi……………………………………………........14
5.7.
Zasady współpracy z Policj
ą
, Jednostkami Stra
Ŝ
y Po
Ŝ
arnej i Stra
Ŝ
y Miejskiej……….........14
6. Zarz
ą
dzanie aktywami i ryzykami……………………………………………. 16
6.1. Autoryzacja nowych urz
ą
dze
ń
………………………………………………………………..
16
7. Bezpiecze
ń
stwo zasobów ludzkich………………………………………….. 17
8. Bezpiecze
ń
stwo fizyczne i
ś
rodowiskowe………………………………….. 18
9. Zarz
ą
dzanie systemami i sieciami…………………………………………… 19
10. Kontrola dost
ę
pu………………………………………………………………. 20
11. Wymiana informacji…………………………………………………………… 21
12. Utrzymanie systemów informacyjnych……………………………………. 22
13. Zarz
ą
dzanie incydentami……………………………………………………. 23
14. Zarz
ą
dzanie ci
ą
gło
ś
ci
ą
działania………………………………………….. 24
15. Zgodno
ść
z wymaganiami prawnymi i innymi………………………….. 25
16. Postanowienia ko
ń
cowe…………………………………………………….. 26
17. Historia zmian………………………………………………………………… 27
3
1. Wst
ę
p
1.1. Opis Spółki
Pierwsze wzmianki dotycz
ą
ce wodoci
ą
gów i sieci w Lubinie pochodz
ą
z przełomu lat
1875/1876 kiedy to, na wniosek Burmistrza Vorwerka, Rada Miejska uchwaliła rozbudow
ę
wodoci
ą
gu. Miasto przed rozbudow
ą
posiadało 4090 mb sieci wodoci
ą
gowej a w roku 1906
wynosiła 5488 mb. W latach 1883/1884 przyst
ą
piono do budowy sieci kanalizacyjnej. Skana-
lizowano wówczas ul. Dworcow
ą
, nast
ę
pnie
Ś
ródmie
ś
cie i inne cz
ęś
ci miasta. Długo
ść
sieci
w roku 1906 wynosiła 13.000 mb. W tym te
Ŝ
roku wybudowano i oddano do eksploatacji Za-
kład Wodoci
ą
gów na bazie dwóch studni artezyjskich (istniej
ą
cy do dzi
ś
Zakład Uzdatniania
Wody nr 1 przy ul. Wierzbowej), oraz wie
Ŝę
ci
ś
nie
ń
. Zakład wodoci
ą
gowy dostarczał 150 ty
ś
.
m3
wody
rocznie.
Do
1939
roku
zarówno
sieci
wodno-kanalizacyjne,
jak
i uj
ę
cie wody było rozbudowywane a jego wydajno
ść
wzrosła do 1440 m3/dob
ę
. W 1926
roku wybudowano drugi zakład wodoci
ą
gowy o wydajno
ś
ci 200 m3/dob
ę
równie
Ŝ
na bazie
studni artezyjskich (aktualnie Zakład Uzdatniania Wody nr 2 przy ul. Wójta Henryka został
zlikwidowany, a teren wraz z obiektami kubaturowymi przeznaczony do sprzeda
Ŝ
y). Obydwa
zakłady eksploatowane do 1945 roku.
Po wyzwoleniu Lubina Zakłady Wodoci
ą
gowe były nieczynne. Uruchomienie zakładu przy
l. Wierzbowej nast
ą
piło w sierpniu 1945 przez Wydział Mechaniczno Budowlany Zarz
ą
du
Miasta Lubina. Pierwszy dokument pisemny, dotycz
ą
cy wodoci
ą
gów dotyczył poszukiwania
dokumentacji wodoci
ą
gów miejskich oraz pozyskania pasów transmisyjnych do nap
ę
du
pomp. Ostatecznie pasy zostały wykonane z w
ęŜ
y stra
Ŝ
ackich. Z uwagi na brak energii elek-
trycznej cz
ęść
miasta i uj
ę
cie korzystało z agregatu pr
ą
dotwórczego, który eksploatowano
pocz
ą
wszy od wyzwolenia miasta przez stacjonuj
ą
ce na terenie Lubina jednostki radzieckie
a nast
ę
pnie po odkryciu złó
Ŝ
miedzi słu
Ŝ
ył do zaopatrzenia w wod
ę
mieszka
ń
ców hoteli ro-
botniczych i obiektów kierownictwa Kombinatu Górniczo-Hutniczego Miedzi. Z chwil
ą
uru-
chomienie wodoci
ą
gów rozpocz
ę
to eksploatacje sieci kanalizacyjnych osadników Imhoffa
oraz zbiorników bezodpływowych. Pierwsz
ą
Oczyszczalnie
Ś
cieków mechaniczno-
biologiczn
ą
oddano do eksploatacji w 1965 roku o przepustowo
ś
ci 2400 m3/dob
ę
. Oczysz-
czalnia wybudowana została przydrodze do
Ś
cinawy (cz
ęść
obiektów kubaturowych istnieje
do chwili obecnej).
Dynamiczny rozwój miasta Lubina doprowadził do rozbudowy sieci wodoci
ą
gowych
i kanalizacyjnych uj
ęć
i zakładów uzdatniania wody oraz oczyszczalni
ś
cieków. Kolejno po-
wstaj
ą
:
4
•
Uj
ę
cie i Zakład Uzdatniania Wody nr 3 przy ul. Spacerowej oddany do eksploatacji
w 1969 roku;
•
Uj
ę
cie i Zakład Uzdatniania Wody nr 4 przy ul. Niepodległo
ś
ci oddany do eksploatacji
31 sierpnia 1976 roku;
•
Uj
ę
cie i Zakład Uzdatniania Wody nr 5 przy ul. Gajowej realizowano w latach 1972-
1980 (uj
ę
cie Osiek I 1972-74, Uj
ę
cie Osiek II 1974-78, ZUW oddano do eksploatacji
w 1980 roku);
•
Mechaniczno-Biologiczna Oczyszczalnia
Ś
cieków o przepustowo
ś
ci 27.500 m3/dob
ę
przy ul. Zielonej oddana do eksploatacji w 1974 roku;
•
Baza Zaplecza Technicznego i Biurowego Przedsi
ę
biorstwa oddana do eksploatacji
w roku 1987 przy ul. Rze
ź
niczej 1.
W okresie powojennym zarz
ą
dzanie gospodark
ą
komunaln
ą
, w tym Zakładu Wodoci
ą
gowe-
go przechodziło szereg zmian organizacyjnych. Od maja 1945 roku działalno
ś
ci
ą
wodoci
ą
-
gow
ą
zajmował si
ę
Wydział Mechaniczno-Budowlany przy Zarz
ą
dzie Miejskim. W sierpniu
1945 roku działalno
ść
t
ę
nadzorował Zarz
ą
d Nieruchomo
ś
ci podległy Wydziałowi Gospodarki
Komunalnej Zarz
ą
du Miasta, a od 1949 roku utworzono Zakład Gospodarki Komunalnej. W
1957 roku na bazie Zakładu Gospodarki Komunalnej utworzono Miejskie Przedsi
ę
biorstwo
Gospodarki Komunalnej, którego pierwszym dyrektorem został Józef Nojman. W 1973 roku
nast
ą
piła regionalizacja słu
Ŝ
b komunalnych i z dniem 1 stycznia 1974 roku utworzono Powia-
towe Przedsi
ę
biorstwo Komunalne i Mieszkaniowe, obejmuj
ą
ce swym zasi
ę
giem miasta Po-
lkowice, Chocianów i
Ś
cinaw
ę
oraz miejscowo
ś
ci wiejskie Rudn
ą
i Chobieni
ę
. W wyniku ko-
lejnej regionalizacji z dniem 1 stycznia 1975 roku powstało Lubi
ń
skie Przedsi
ę
biorstwo Ko-
munalne, które działalno
ść
sw
ą
prowadziło do dnia likwidacji tj. do 31 marca 1994 roku.
5
1.2 Definicje
Bezpiecze
ń
stwo informacji – zachowanie poufno
ś
ci, integralno
ś
ci i dost
ę
pno
ś
ci informacji,
czyli informacja nie jest ujawniana osobom nieupowa
Ŝ
nionym, jest ona dokładna i kompletna
oraz dost
ę
pna i u
Ŝ
yteczna na
Ŝą
danie upowa
Ŝ
nionego personelu.
Ryzyko – prawdopodobie
ń
stwo wyst
ą
pienia zagro
Ŝ
enia, które, wykorzystuj
ą
c podatno
ść
(ci)
aktywu, mo
Ŝ
e doprowadzi
ć
do jego uszkodzenia lub zniszczenia.
Szacowanie ryzyka – cało
ś
ciowy proces analizy i oceny ryzyka.
Aktyw/zasób – wszystko to, co ma warto
ść
dla organizacji.
Poufno
ść
– zapewnienie dost
ę
pu do informacji tylko osobom upowa
Ŝ
nionym.
Integralno
ść
– zapewnienie dost
ę
pu do informacji tylko osobom upowa
Ŝ
nionym.
Dost
ę
pno
ść
– zapewnienie,
Ŝ
e osoby upowa
Ŝ
nione b
ę
d
ą
miały dost
ę
p do informacji tylko
wtedy gdy jest to uzasadnione.
Post
ę
powanie z ryzykiem – proces wyboru i wdra
Ŝ
ania
ś
rodków modyfikuj
ą
cych
ryzyko.
Zarz
ą
dzanie ryzykiem – proces identyfikowania, kontrolowania i minimalizowania lub elimi-
nowania ryzyka dotycz
ą
cego bezpiecze
ń
stwa, które mo
Ŝ
e dotyczy
ć
systemów informacy-
nych, przy zachowaniu akceptowalnego poziomu kosztów.
Zdarzenie
zwi
ą
zane
z
bezpiecze
ń
stwem
informacji
–
zdarzenie
zwi
ą
zane
z bezpiecze
ń
stwem informacji jest okre
ś
lonym stanem systemu, usługi lub sieci, który wska-
zuje na mo
Ŝ
liwe naruszenie polityki bezpiecze
ń
stwa informacji, bł
ą
d zabezpieczenia lub nie-
znan
ą
dotychczas sytuacj
ę
, która mo
Ŝ
e by
ć
zwi
ą
zana z bezpiecze
ń
stwem.
6
Incydent zwi
ą
zany z bezpiecze
ń
stwem informacji – incydent zwi
ą
zany z bezpiecze
ń
stwem
informacji jest to pojedyncze zdarzenie lub seria niepo
Ŝą
danych lub niespodziewanych zda-
rze
ń
zwi
ą
zanych z bezpiecze
ń
stwem informacji, które stwarzaj
ą
znaczne prawdopodobie
ń
-
stwo zakłócenia działa
ń
biznesowych i zagra
Ŝ
aj
ą
bezpiecze
ń
stwu informacji.
Ryzyko szcz
ą
tkowe – ryzyko pozostaj
ą
ce po procesie post
ę
powania z ryzykiem.
Dane osobowe – wszelkie informacje dotycz
ą
ce zidentyfikowanej lub mo
Ŝ
liwej do zidentyfi-
kowania osoby fizycznej. Osob
ą
mo
Ŝ
liw
ą
do zidentyfikowania jest osoba, której to
Ŝ
samo
ść
mo
Ŝ
na okre
ś
li
ć
bezpo
ś
rednio lub po
ś
rednio, w szczególno
ś
ci przez powołanie si
ę
na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników okre
ś
laj
ą
cych jej cechy fizycz-
ne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
7
2. Zakres Systemu Bezpiecze
ń
stwa Informacji
System Zarz
ą
dzania Bezpiecze
ń
stwa Informacji (SZBI) w Spółce stanowi cz
ęść
cało
ś
ciowe-
go systemu zarz
ą
dzania, opart
ą
na podej
ś
ciu wynikaj
ą
cym z ryzyka biznesowego, odnosz
ą
-
c
ą
si
ę
do ustanawiania, wdra
Ŝ
ania, eksploatacji, monitorowania, utrzymywania i doskonale-
nia bezpiecze
ń
stwa informacji. System Zarz
ą
dzania Bezpiecze
ń
stwem Informacji (SZBI)
został opracowany, wdro
Ŝ
ony i jest utrzymywany w MPWiK Sp. z o. o. w Lubinie w oparciu o
norm
ę
PN-ISO/IEC 27001:2007. Zakres SZBI dotyczy procesów prowadzonej działalno
ś
ci
w dziedzinie produkcji, uzdatniania i dostarczania wody, odbioru i oczyszczania
ś
cieków,
projektowania i wykonawstwa przył
ą
czy wodno-kanalizacyjnych oraz laboratoryjnych analiz
wody i
ś
cieków.
8
3. Deklaracja Zarz
ą
du
Najwy
Ŝ
sze kierownictwo Spółki, stoj
ą
c na stanowisku,
Ŝ
e informacja jest priorytetowym za-
sobem ka
Ŝ
dej organizacji, wdro
Ŝ
yło w ramach ZSZ system zarz
ą
dzania bezpiecze
ń
stwem
informacji. Bezpiecze
ń
stwo informacji oraz systemów, w których s
ą
one przetwarzane jest
jednym z kluczowych elementów naszej Spółki oraz warunkiem ci
ą
głego jej rozwoju. Gwa-
rancj
ą
sprawnej i skutecznej ochrony informacji jest zapewnienie odpowiedniego poziomu
bezpiecze
ń
stwa oraz zastosowanie rozwi
ą
za
ń
technicznych.
Zarz
ą
d Spółki wprowadzaj
ą
c Polityk
ę
Bezpiecze
ń
stwa Informacji, deklaruje,
Ŝ
e wdro
Ŝ
ony
System Zarz
ą
dzania Bezpiecze
ń
stwem Informacji b
ę
dzie podlegał ci
ą
głemu doskonaleniu
zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007.
Podej
ś
cie do bezpiecze
ń
stwa informacji w Spółce opiera si
ę
na trzech kluczowych regułach:
•
Reguła poufno
ś
ci informacji - zapewnienie,
Ŝ
e informacja jest udost
ę
pniana jedynie
osobom upowa
Ŝ
nionym
•
Reguła integralno
ś
ci informacji - zapewnienie zupełnej dokładno
ś
ci i kompletno
ś
ci
informacji oraz metod jej przetwarzania
•
Reguła dost
ę
pno
ś
ci informacji - zapewnienie,
Ŝ
e osoby upowa
Ŝ
nione maj
ą
dost
ę
p do
informacji i zwi
ą
zanych z ni
ą
aktywów tylko wtedy, gdy istnieje taka potrzeba
Celem wdro
Ŝ
onego systemu zarz
ą
dzania bezpiecze
ń
stwem informacji jest osi
ą
gni
ę
cie po-
ziomu organizacyjnego i technicznego, który:
•
b
ę
dzie gwarantem pełnej ochrony danych Klientów oraz ci
ą
gło
ść
procesu ich przetwa-
rzania,
•
zapewni zachowanie poufno
ś
ci informacji chronionych, integralno
ś
ci i dost
ę
pno
ś
ci infor-
macji chronionych oraz jawnych,
•
zagwarantuje odpowiedni poziom bezpiecze
ń
stwa informacji, bez wzgl
ę
du na jej posta
ć
,
we wszystkich systemach jej przetwarzania,
•
maksymalnie ograniczy wyst
ę
powanie zagro
Ŝ
e
ń
dla bezpiecze
ń
stwa informacji, które
wynikaj
ą
z celowej b
ą
d
ź
przypadkowej działalno
ś
ci człowieka oraz ich ewentualne wyko-
rzystanie na szkod
ę
Spółki,
•
zapewni poprawne i bezpieczne funkcjonowanie wszystkich systemów przetwarzania
informacji,
•
zapewni gotowo
ść
do podj
ę
cia działa
ń
w sytuacjach kryzysowych dla bezpiecze
ń
stwa
Spółki, jej interesów oraz posiadanych i powierzonych jej informacji.
9
Powy
Ŝ
sze cele realizowane s
ą
poprzez:
•
wyznaczenie osób odpowiedzialnych zapewniaj
ą
cych optymalny podział i koordynacj
ę
zada
ń
zwi
ą
zanych z zapewnieniem bezpiecze
ń
stwa informacji,
•
wyznaczenie wła
ś
cicieli dla kluczowych aktywów przetwarzaj
ą
cych informacj
ę
, którzy
zobowi
ą
zani s
ą
do zapewnienia im mo
Ŝ
liwie jak najwy
Ŝ
szego poziomu bezpiecze
ń
stwa,
•
przyj
ę
cie za obowi
ą
zuj
ą
ce przez wszystkich pracowników polityk i procedur bezpiecze
ń
-
stwa obowi
ą
zuj
ą
cych w Spółce,
•
okre
ś
leniu zasad przetwarzania informacji, w tym stref w których mo
Ŝ
e si
ę
ono odbywa
ć
,
•
przegl
ą
d i aktualizacj
ę
polityk i procedur post
ę
powania dokonywan
ą
przez odpowiedzial-
ne osoby w celu jak najlepszej reakcji na zagro
Ŝ
enia i incydenty,
•
ci
ą
głe doskonalenie systemu zapewnia bezpiecze
ń
stwa informacji funkcjonuj
ą
cego
w Spółce zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007 i zaleceniami wszyst-
kich zainteresowanych stron.
Prezes Zarz
ą
du
Jarosław Wantuła
10
4. Zasady ogólne
Ka
Ŝ
dy pracownik Spółki jest zapoznawany z regułami oraz z aktualnymi procedurami ochro-
ny informacji w swojej komórce organizacyjnej. Poni
Ŝ
sze uniwersalne zasady s
ą
podstaw
ą
realizacji polityki bezpiecze
ń
stwa informacji:
•
Zasada uprawnionego dost
ę
pu. Ka
Ŝ
dy pracownik przeszedł szkolenie z zasad ochrony
informacji, spełnia kryteria dopuszczenia do informacji i podpisał stosowne o
ś
wiadczenie
o zachowaniu poufno
ś
ci.
•
Zasada przywilejów koniecznych. Ka
Ŝ
dy pracownik posiada prawa dost
ę
pu do infor-
macji, ograniczone wył
ą
cznie do tych, które s
ą
konieczne do wykonywania powierzonych
mu zada
ń
.
•
Zasada wiedzy koniecznej. Ka
Ŝ
dy pracownik posiada wiedz
ę
o systemie, do którego
ma dost
ę
p, ograniczon
ą
wył
ą
cznie do zagadnie
ń
, które s
ą
konieczne do realizacji powie-
rzonych mu zada
ń
.
•
Zasada usług koniecznych. Spółka
ś
wiadczy tylko takie usługi jakich wymaga Klient.
•
Zasada asekuracji. Ka
Ŝ
dy mechanizm zabezpieczaj
ą
cy musi by
ć
ubezpieczony drugim,
innym. W przypadkach szczególnych mo
Ŝ
e by
ć
stosowane dodatkowe niezale
Ŝ
ne za-
bezpieczenie.
•
Zasada
ś
wiadomo
ś
ci zbiorowej. Wszyscy pracownicy s
ą
ś
wiadomi konieczno
ś
ci
ochrony zasobów informacyjnych Spółki i aktywnie uczestnicz
ą
w tym procesie.
•
Zasada indywidualnej odpowiedzialno
ś
ci. Za bezpiecze
ń
stwo poszczególnych ele-
mentów odpowiadaj
ą
konkretne osoby.
•
Zasada obecno
ś
ci koniecznej. Prawo przebywania w okre
ś
lonych miejscach maj
ą
tylko
osoby upowa
Ŝ
nione.
•
Zasada stałej gotowo
ś
ci. System jest przygotowany na wszelkie zagro
Ŝ
enia. Niedo-
puszczalne jest tymczasowe wył
ą
czanie mechanizmów zabezpieczaj
ą
cych.
•
Zasada kompletno
ś
ci. Skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje si
ę
po-
dej
ś
cie kompleksowe, uwzgl
ę
dniaj
ą
ce wszystkie stopnie i ogniwa ogólnie poj
ę
tego pro-
cesu przetwarzania informacji.
•
Zasada odpowiednio
ś
ci. U
Ŝ
ywane mechanizmy musz
ą
by
ć
adekwatne do sytuacji.
•
Zasad akceptowanej równowagi. Podejmowane
ś
rodki zaradcze nie mog
ą
przekracza
ć
poziomu akceptacji.
11
5. Organizacja bezpiecze
ń
stwa informacji
5.1. Struktura zarz
ą
dzania bezpiecze
ń
stwem
Wszystkie procesy bezpiecze
ń
stwa, rozwi
ą
zania techniczne oraz jego organizacja musz
ą
by
ć
zgodne z nast
ę
puj
ą
cymi zasadami:
•
bezwzgl
ę
dne oddzielenie funkcji zarz
ą
dzaj
ą
cych i kontrolnych od funkcji wykonawczych,
•
uniemo
Ŝ
liwienie nadu
Ŝ
y
ć
i maksymalne ograniczenie bł
ę
dów popełnianych przez poje-
dyncze osoby w sferze jednoosobowej odpowiedzialno
ś
ci,
•
zapewnienie niezale
Ŝ
no
ś
ci i bezinteresowno
ś
ci jednostek dokonuj
ą
cych audytu bezpie-
cze
ń
stwa przy zapewnieniu r
ę
kojmi zachowania tajemnicy.
5.2. Dokumentacja systemu zarz
ą
dzania bezpiecze
ń
stwem
informacji
Dokumentacja systemu zarz
ą
dzania bezpiecze
ń
stwem składa si
ę
z czterech głównych ele-
mentów. S
ą
nimi:
•
Polityka Bezpiecze
ń
stwa Informacji
•
Ksi
ę
ga Bezpiecze
ń
stwa Informacji
•
Deklaracja Stosowania Zabezpiecze
ń
•
Procedury i instrukcje bezpiecze
ń
stwa, które okre
ś
laj
ą
szczegółowo zasady post
ę
powa-
nia
•
Raporty z analizy ryzyka i plany post
ę
powania z ryzykiem
Uzupełnieniem dokumentacji SZBI jest dokumentacja z funkcjonuj
ą
cego Systemu Zarz
ą
dza-
nia Jako
ś
ci
ą
.
5.3. Struktura zarz
ą
dzania bezpiecze
ń
stwem informacji
Odpowiedzialno
ść
za bezpiecze
ń
stwo informacji w Spółce ponosz
ą
wszyscy pracownicy
zgodnie z posiadanymi zakresami obowi
ą
zków.
•
Kierownictwo firmy odpowiedzialne jest za zapewnienie zasobów niezb
ę
dnych dla opra-
cowania, wdro
Ŝ
enia, funkcjonowania, utrzymania i doskonalenia systemu zarz
ą
dzania
bezpiecze
ń
stwem informacji oraz poszczególnych zabezpiecze
ń
. Wydaje zgod
ę
na u
Ŝ
yt-
12
kowanie urz
ą
dze
ń
słu
Ŝą
cych do przetwarzania informacji i zabezpiecze
ń
rekomendowa-
nych przez Forum Bezpiecze
ń
stwa. Decyduje równie
Ŝ
o współpracy w zakresie bezpie-
cze
ń
stwa z innymi podmiotami. Kierownictwo mo
Ŝ
e równie
Ŝ
wyrazi
ć
zgod
ę
na udost
ę
p-
nienie stronom trzecim informacji stanowi
ą
cych tajemnic
ę
firmy.
•
Pełnomocnik ds. Bezpiecze
ń
stwa Informacji odpowiedzialny jest za wdro
Ŝ
enie i koordy-
nacj
ę
zapewnienia bezpiecze
ń
stwa informacji oraz zwi
ą
zanych z nim polityk i procedur.
•
Forum Bezpiecze
ń
stwa jest organem doradczym w Spółce w zakresie zagadnie
ń
zwi
ą
-
zanych z bezpiecze
ń
stwem informacji.
•
Wła
ś
ciciel aktywu odpowiada za bie
Ŝą
ce nadzorowanie oraz zarz
ą
dzanie aktywem.
•
Administrator aktywu odpowiada za realizacj
ę
i nadzór nad technicznymi aspektami ak-
tywu w
ś
cisłej kooperacji z Wła
ś
cicielem aktywu.
Poni
Ŝ
szy schemat przedstawia organizacj
ę
zarz
ą
dzania bezpiecze
ń
stwem informacji
w Spółce.
W powy
Ŝ
szej strukturze mo
Ŝ
liwe jest wyró
Ŝ
nienie trzech poziomów działa
ń
:
•
Na poziomie strategicznym prowadzona jest generalna polityka bezpiecze
ń
stwa infor-
macji w odniesieniu do wcze
ś
niej rozpoznanego, okre
ś
lonego, a tak
Ŝ
e poddanego anali-
zie ryzyka i zasadniczych oczekiwa
ń
, co do poziomu bezpiecze
ń
stwa informacji oraz w
odniesieniu do wynikaj
ą
cych z nich modelowych zada
ń
i rozwi
ą
za
ń
. Dlatego te
Ŝ
w procesy decyzyjne tego poziomu zaanga
Ŝ
owane jest najwy
Ŝ
sze kierownictwo Spółki
okre
ś
laj
ą
ce zasadnicze u
Ŝ
ytkowe kryteria bezpiecze
ń
stwa informacji (pochodne od kryte-
ZARZ
Ą
D
FORUM
BEZPIECZE
Ń
STWA
Pełnomocnik
ds. BI
Wła
ś
ciciel aktywu
Administrator
systemu
13
riów normatywnych i mo
Ŝ
liwe do zrealizowania na bazie zidentyfikowanych atrybutów in-
formacji) .
•
Na poziomie taktycznym tworzone s
ą
standardy bezpiecze
ń
stwa informacji oraz zasady
kontroli ich wypełniania w stosowanych rozwi
ą
zaniach i systemach informatycznych oraz
przestrzegania w praktyce u
Ŝ
ywania tych rozwi
ą
za
ń
i systemów (stosownie do zało
Ŝ
o-
nych poziomów bezpiecze
ń
stwa: standardowego, podwy
Ŝ
szonego lub specjalnego). W te
procesy decyzyjne zaanga
Ŝ
owane jest (głównie) kierownictwo.
•
Na poziomie operacyjnym prowadzona jest administracja bezpiecze
ń
stwem informacji
pod k
ą
tem pełnego stosowania standardów bezpiecze
ń
stwa oraz rozwi
ą
zywania sytuacji
zakłóce
ń
wynikaj
ą
cych z naruszenia tych standardów (intencjonalnego lub przypadkowe-
go).
Diagram przedstawiony poni
Ŝ
ej prezentuje graficznie przedstawiony podział.
Zarząd
Pełnomocnik ds. BI
Forum Bezpieczeństwa
Właściciele aktywów
Wszyscy pracownicy
Poziom
operacyjny
Poziom
taktyczny
Poziom
strategiczny
14
5.4. Funkcjonowanie forum bezpiecze
ń
stwa
5.4.1. Organizacja Forum Bezpiecze
ń
stwa
W skład Forum wchodzi Prezes Zarz
ą
du, Pełnomocnik ds. Bezpiecze
ń
stwa Informacji oraz
inni pracownicy powołani przez Prezesa Zarz
ą
du
.
Forum zwoływane jest przez Pełnomocni-
ka ds. Bezpiecze
ń
stwa Informacji za zgod
ą
Prezesa Zarz
ą
du.
5.4.2. Zadania, uprawnienia i odpowiedzialno
ść
Forum Bezpiecze
ń
stwa
•
dokonywanie przegl
ą
du polityki bezpiecze
ń
stwa informacji oraz ogólnego podziału od-
powiedzialno
ś
ci,
•
uzgadnianie metodyki i procesów zwi
ą
zanych z bezpiecze
ń
stwem informacji (szacowanie
ryzyka, system klasyfikacji dla potrzeb bezpiecze
ń
stwa),
•
monitorowanie istotnych zmian nara
Ŝ
enia aktywów informacyjnych na podstawowe za-
gro
Ŝ
enia,
•
dokonywanie przegl
ą
du i monitorowanie narusze
ń
bezpiecze
ń
stwa informacji,
•
zatwierdzanie wa
Ŝ
niejszych przedsi
ę
wzi
ęć
zmierzaj
ą
cych do podniesienia poziomu bez-
piecze
ń
stwa informacji,
5.5. Zasady współpracy z osobami trzecimi
Ka
Ŝ
dy go
ść
lub osoba, która wykonuje prace zlecone na terenie firmy zobligowana jest do
przestrzegania nast
ę
puj
ą
cych procedur:
•
do podpisania umowy lojalno
ś
ciowej o przestrzeganiu tajemnicy słu
Ŝ
bowej,
•
do podpisania odpowiedzialno
ś
ci za naruszenie obowi
ą
zków pracowniczych/ zlecenio-
biorcy i za szkod
ę
wyrz
ą
dzon
ą
pracodawcy/ zleceniodawcy,
•
do przestrzegania reguł bhp,
•
do przestrzegania reguł bezpiecze
ń
stwa przeciwpo
Ŝ
arowego.
Ka
Ŝ
da osoba trzecia, która narusza sfer
ę
bezpiecze
ń
stwa Spółki nie zostaje pozostawiona
bez nadzoru personelu firmy. Dost
ę
p do magazynów i biur wszelkiego personelu technicz-
nego zajmuj
ą
cego si
ę
konserwacj
ą
sprz
ę
tu, ochrony i innych osób jest nadzorowany przez
pracowników Spółki. Spółka kieruje si
ę
zasad
ą
,
Ŝ
e najbardziej zaufanymi osobami trzecimi
15
s
ą
ju
Ŝ
znane osoby firmie, które wcze
ś
niej były ju
Ŝ
obecne na terenie firmy. Dost
ę
p go
ś
ci w
strefie bezpiecze
ń
stwa jest mo
Ŝ
liwy tylko i wył
ą
cznie w godzinach pracy.
5.6. Zasady współpracy ze stronami zewn
ę
trznymi
Współpraca firmy z innymi spółkami oparta jest na umowach. Zawieraj
ą
c te umowy Spółka
ma zawsze na wzgl
ę
dzie, aby obejmowały one deklaracj
ę
o zachowanie poufno
ś
ci oraz zo-
bowi
ą
zania do działania zgodnie z prawem.
5.7. Zasady współpracy z Policj
ą
, jednostkami Stra
Ŝ
y Po
Ŝ
arnej
i Stra
Ŝ
y Miejskiej
Wymiana informacji o zagro
Ŝ
eniach w zakresie bezpiecze
ń
stwa osób i mienia oraz zakłóce-
nia spokoju i porz
ą
dku publicznego nast
ę
puje poprzez:
•
Udzielanie wzajemnej pomocy w realizacji zada
ń
ochrony, zapobieganiu przest
ę
pczo
ś
ci,
•
Udzielanie wyczerpuj
ą
cych informacji o zagro
Ŝ
eniu dla bezpiecze
ń
stwa i porz
ą
dku pu-
blicznego,
•
Współdziałanie w zabezpieczeniu powstałych awarii na obiekcie.
•
Współdziałanie przy zabezpieczeniu miejsc popełnienia przest
ę
pstw i wykrocze
ń
w gra-
nicach chronionych obiektów realizowane jest poprzez:
