P

P

O

O

L

L

I

I

T

T

Y

Y

K

K

A

A

B

B

E

E

Z

Z

P

P

I

I

E

E

C

C

Z

Z

E

E

Ń

Ń

S

S

T

T

W

W

A

A

I

I

N

N

F

F

O

O

R

R

M

M

A

A

C

C

J

J

I

I

Wydanie:

1

2

Spis tre

ś

ci:

1. Wst

ę

p………………………………………………………………………………. 3

1.1. Opis Spółki………………………………………………………………………………………….

3

1.2. Definicje…………………………………………………………………………………………….. 5

2. Zakres Systemu Bezpiecze

ń

stwa Informacji……………………………….. 7

3. Deklaracja Zarz

ą

du……………………………………………………………….8

4. Zasady ogólne……………………………………………………………………10

5.Organizacja bezpiecze

ń

stwa informacji………………………………………11

5.1. Struktura zarz

ą

dzania bezpiecze

ń

stwem………………………………………………………..11

5.2. Dokumentacja systemu zarz

ą

dzania bezpiecze

ń

stwem………………………………........... 11

5.3. Struktura zarz

ą

dzania bezpiecze

ń

stwem i odpowiedzialno

ś

ci……………………………….. 11

5.4. Funkcjonowanie Forum Bezpiecze

ń

stwa………………………………………………………..13

5.4.1 Organizacja Forum Bezpiecze

ń

stwa ………………………………………………………….. 13

5.4.2 Zadania, uprawnienia i odpowiedzialno

ść

Forum Bezpiecze

ń

stwa………………………….14

5.5. Zasady współpracy z osobami trzecimi…………………………………………………….........14

5.6. Zasady współpracy ze stronami zewn

ę

trznymi……………………………………………........14

5.7.

Zasady współpracy z Policj

ą

, Jednostkami Stra

ż

y Po

ż

arnej i Stra

ż

y Miejskiej……….........14

6. Zarz

ą

dzanie aktywami i ryzykami……………………………………………. 16

6.1. Autoryzacja nowych urz

ą

dze

ń

………………………………………………………………..

16

7. Bezpiecze

ń

stwo zasobów ludzkich………………………………………….. 17

8. Bezpiecze

ń

stwo fizyczne i

ś

rodowiskowe………………………………….. 18

9. Zarz

ą

dzanie systemami i sieciami…………………………………………… 19

10. Kontrola dost

ę

pu………………………………………………………………. 20

11. Wymiana informacji…………………………………………………………… 21

12. Utrzymanie systemów informacyjnych……………………………………. 22

13. Zarz

ą

dzanie incydentami……………………………………………………. 23

14. Zarz

ą

dzanie ci

ą

gło

ś

ci

ą

działania………………………………………….. 24

15. Zgodno

ść

z wymaganiami prawnymi i innymi………………………….. 25

16. Postanowienia ko

ń

cowe…………………………………………………….. 26

17. Historia zmian………………………………………………………………… 27

3

1. Wst

ę

p

1.1. Opis Spółki

Pierwsze wzmianki dotycz

ą

ce wodoci

ą

gów i sieci w Lubinie pochodz

ą

z przełomu lat

1875/1876 kiedy to, na wniosek Burmistrza Vorwerka, Rada Miejska uchwaliła rozbudow

ę

wodoci

ą

gu. Miasto przed rozbudow

ą

posiadało 4090 mb sieci wodoci

ą

gowej a w roku 1906

wynosiła 5488 mb. W latach 1883/1884 przyst

ą

piono do budowy sieci kanalizacyjnej. Skana-

lizowano wówczas ul. Dworcow

ą

, nast

ę

pnie

Ś

ródmie

ś

cie i inne cz

ęś

ci miasta. Długo

ść

sieci

w roku 1906 wynosiła 13.000 mb. W tym te

ż

roku wybudowano i oddano do eksploatacji Za-

kład Wodoci

ą

gów na bazie dwóch studni artezyjskich (istniej

ą

cy do dzi

ś

Zakład Uzdatniania

Wody nr 1 przy ul. Wierzbowej), oraz wie

żę

ci

ś

nie

ń

. Zakład wodoci

ą

gowy dostarczał 150 ty

ś

.

m3

wody

rocznie.

Do

1939

roku

zarówno

sieci

wodno-kanalizacyjne,

jak

i uj

ę

cie wody było rozbudowywane a jego wydajno

ść

wzrosła do 1440 m3/dob

ę

. W 1926

roku wybudowano drugi zakład wodoci

ą

gowy o wydajno

ś

ci 200 m3/dob

ę

równie

ż

na bazie

studni artezyjskich (aktualnie Zakład Uzdatniania Wody nr 2 przy ul. Wójta Henryka został

zlikwidowany, a teren wraz z obiektami kubaturowymi przeznaczony do sprzeda

ż

y). Obydwa

zakłady eksploatowane do 1945 roku.

Po wyzwoleniu Lubina Zakłady Wodoci

ą

gowe były nieczynne. Uruchomienie zakładu przy

l. Wierzbowej nast

ą

piło w sierpniu 1945 przez Wydział Mechaniczno Budowlany Zarz

ą

du

Miasta Lubina. Pierwszy dokument pisemny, dotycz

ą

cy wodoci

ą

gów dotyczył poszukiwania

dokumentacji wodoci

ą

gów miejskich oraz pozyskania pasów transmisyjnych do nap

ę

du

pomp. Ostatecznie pasy zostały wykonane z w

ęż

y stra

ż

ackich. Z uwagi na brak energii elek-

trycznej cz

ęść

miasta i uj

ę

cie korzystało z agregatu pr

ą

dotwórczego, który eksploatowano

pocz

ą

wszy od wyzwolenia miasta przez stacjonuj

ą

ce na terenie Lubina jednostki radzieckie

a nast

ę

pnie po odkryciu złó

ż

miedzi słu

ż

ył do zaopatrzenia w wod

ę

mieszka

ń

ców hoteli ro-

botniczych i obiektów kierownictwa Kombinatu Górniczo-Hutniczego Miedzi. Z chwil

ą

uru-

chomienie wodoci

ą

gów rozpocz

ę

to eksploatacje sieci kanalizacyjnych osadników Imhoffa

oraz zbiorników bezodpływowych. Pierwsz

ą

Oczyszczalnie

Ś

cieków mechaniczno-

biologiczn

ą

oddano do eksploatacji w 1965 roku o przepustowo

ś

ci 2400 m3/dob

ę

. Oczysz-

czalnia wybudowana została przydrodze do

Ś

cinawy (cz

ęść

obiektów kubaturowych istnieje

do chwili obecnej).

Dynamiczny rozwój miasta Lubina doprowadził do rozbudowy sieci wodoci

ą

gowych

i kanalizacyjnych uj

ęć

i zakładów uzdatniania wody oraz oczyszczalni

ś

cieków. Kolejno po-

wstaj

ą

:

4

•

Uj

ę

cie i Zakład Uzdatniania Wody nr 3 przy ul. Spacerowej oddany do eksploatacji

w 1969 roku;

•

Uj

ę

cie i Zakład Uzdatniania Wody nr 4 przy ul. Niepodległo

ś

ci oddany do eksploatacji

31 sierpnia 1976 roku;

•

Uj

ę

cie i Zakład Uzdatniania Wody nr 5 przy ul. Gajowej realizowano w latach 1972-

1980 (uj

ę

cie Osiek I 1972-74, Uj

ę

cie Osiek II 1974-78, ZUW oddano do eksploatacji

w 1980 roku);

•

Mechaniczno-Biologiczna Oczyszczalnia

Ś

cieków o przepustowo

ś

ci 27.500 m3/dob

ę

przy ul. Zielonej oddana do eksploatacji w 1974 roku;

•

Baza Zaplecza Technicznego i Biurowego Przedsi

ę

biorstwa oddana do eksploatacji

w roku 1987 przy ul. Rze

ź

niczej 1.

W okresie powojennym zarz

ą

dzanie gospodark

ą

komunaln

ą

, w tym Zakładu Wodoci

ą

gowe-

go przechodziło szereg zmian organizacyjnych. Od maja 1945 roku działalno

ś

ci

ą

wodoci

ą

-

gow

ą

zajmował si

ę

Wydział Mechaniczno-Budowlany przy Zarz

ą

dzie Miejskim. W sierpniu

1945 roku działalno

ść

t

ę

nadzorował Zarz

ą

d Nieruchomo

ś

ci podległy Wydziałowi Gospodarki

Komunalnej Zarz

ą

du Miasta, a od 1949 roku utworzono Zakład Gospodarki Komunalnej. W

1957 roku na bazie Zakładu Gospodarki Komunalnej utworzono Miejskie Przedsi

ę

biorstwo

Gospodarki Komunalnej, którego pierwszym dyrektorem został Józef Nojman. W 1973 roku

nast

ą

piła regionalizacja słu

ż

b komunalnych i z dniem 1 stycznia 1974 roku utworzono Powia-

towe Przedsi

ę

biorstwo Komunalne i Mieszkaniowe, obejmuj

ą

ce swym zasi

ę

giem miasta Po-

lkowice, Chocianów i

Ś

cinaw

ę

oraz miejscowo

ś

ci wiejskie Rudn

ą

i Chobieni

ę

. W wyniku ko-

lejnej regionalizacji z dniem 1 stycznia 1975 roku powstało Lubi

ń

skie Przedsi

ę

biorstwo Ko-

munalne, które działalno

ść

sw

ą

prowadziło do dnia likwidacji tj. do 31 marca 1994 roku.

5

1.2 Definicje

Bezpiecze

ń

stwo informacji – zachowanie poufno

ś

ci, integralno

ś

ci i dost

ę

pno

ś

ci informacji,

czyli informacja nie jest ujawniana osobom nieupowa

ż

nionym, jest ona dokładna i kompletna

oraz dost

ę

pna i u

ż

yteczna na

żą

danie upowa

ż

nionego personelu.

Ryzyko – prawdopodobie

ń

stwo wyst

ą

pienia zagro

ż

enia, które, wykorzystuj

ą

c podatno

ść

(ci)

aktywu, mo

ż

e doprowadzi

ć

do jego uszkodzenia lub zniszczenia.

Szacowanie ryzyka – cało

ś

ciowy proces analizy i oceny ryzyka.

Aktyw/zasób – wszystko to, co ma warto

ść

dla organizacji.

Poufno

ść

– zapewnienie dost

ę

pu do informacji tylko osobom upowa

ż

nionym.

Integralno

ść

– zapewnienie dost

ę

pu do informacji tylko osobom upowa

ż

nionym.

Dost

ę

pno

ść

– zapewnienie,

ż

e osoby upowa

ż

nione b

ę

d

ą

miały dost

ę

p do informacji tylko

wtedy gdy jest to uzasadnione.

Post

ę

powanie z ryzykiem – proces wyboru i wdra

ż

ania

ś

rodków modyfikuj

ą

cych

ryzyko.

Zarz

ą

dzanie ryzykiem – proces identyfikowania, kontrolowania i minimalizowania lub elimi-

nowania ryzyka dotycz

ą

cego bezpiecze

ń

stwa, które mo

ż

e dotyczy

ć

systemów informacy-

nych, przy zachowaniu akceptowalnego poziomu kosztów.

Zdarzenie

zwi

ą

zane

z

bezpiecze

ń

stwem

informacji

–

zdarzenie

zwi

ą

zane

z bezpiecze

ń

stwem informacji jest okre

ś

lonym stanem systemu, usługi lub sieci, który wska-

zuje na mo

ż

liwe naruszenie polityki bezpiecze

ń

stwa informacji, bł

ą

d zabezpieczenia lub nie-

znan

ą

dotychczas sytuacj

ę

, która mo

ż

e by

ć

zwi

ą

zana z bezpiecze

ń

stwem.

6

Incydent zwi

ą

zany z bezpiecze

ń

stwem informacji – incydent zwi

ą

zany z bezpiecze

ń

stwem

informacji jest to pojedyncze zdarzenie lub seria niepo

żą

danych lub niespodziewanych zda-

rze

ń

zwi

ą

zanych z bezpiecze

ń

stwem informacji, które stwarzaj

ą

znaczne prawdopodobie

ń

-

stwo zakłócenia działa

ń

biznesowych i zagra

ż

aj

ą

bezpiecze

ń

stwu informacji.

Ryzyko szcz

ą

tkowe – ryzyko pozostaj

ą

ce po procesie post

ę

powania z ryzykiem.

Dane osobowe – wszelkie informacje dotycz

ą

ce zidentyfikowanej lub mo

ż

liwej do zidentyfi-

kowania osoby fizycznej. Osob

ą

mo

ż

liw

ą

do zidentyfikowania jest osoba, której to

ż

samo

ść

mo

ż

na okre

ś

li

ć

bezpo

ś

rednio lub po

ś

rednio, w szczególno

ś

ci przez powołanie si

ę

na numer

identyfikacyjny albo jeden lub kilka specyficznych czynników okre

ś

laj

ą

cych jej cechy fizycz-

ne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

7

2. Zakres Systemu Bezpiecze

ń

stwa Informacji

System Zarz

ą

dzania Bezpiecze

ń

stwa Informacji (SZBI) w Spółce stanowi cz

ęść

cało

ś

ciowe-

go systemu zarz

ą

dzania, opart

ą

na podej

ś

ciu wynikaj

ą

cym z ryzyka biznesowego, odnosz

ą

-

c

ą

si

ę

do ustanawiania, wdra

ż

ania, eksploatacji, monitorowania, utrzymywania i doskonale-

nia bezpiecze

ń

stwa informacji. System Zarz

ą

dzania Bezpiecze

ń

stwem Informacji (SZBI)

został opracowany, wdro

ż

ony i jest utrzymywany w MPWiK Sp. z o. o. w Lubinie w oparciu o

norm

ę

PN-ISO/IEC 27001:2007. Zakres SZBI dotyczy procesów prowadzonej działalno

ś

ci

w dziedzinie produkcji, uzdatniania i dostarczania wody, odbioru i oczyszczania

ś

cieków,

projektowania i wykonawstwa przył

ą

czy wodno-kanalizacyjnych oraz laboratoryjnych analiz

wody i

ś

cieków.

8

3. Deklaracja Zarz

ą

du

Najwy

ż

sze kierownictwo Spółki, stoj

ą

c na stanowisku,

ż

e informacja jest priorytetowym za-

sobem ka

ż

dej organizacji, wdro

ż

yło w ramach ZSZ system zarz

ą

dzania bezpiecze

ń

stwem

informacji. Bezpiecze

ń

stwo informacji oraz systemów, w których s

ą

one przetwarzane jest

jednym z kluczowych elementów naszej Spółki oraz warunkiem ci

ą

głego jej rozwoju. Gwa-

rancj

ą

sprawnej i skutecznej ochrony informacji jest zapewnienie odpowiedniego poziomu

bezpiecze

ń

stwa oraz zastosowanie rozwi

ą

za

ń

technicznych.

Zarz

ą

d Spółki wprowadzaj

ą

c Polityk

ę

Bezpiecze

ń

stwa Informacji, deklaruje,

ż

e wdro

ż

ony

System Zarz

ą

dzania Bezpiecze

ń

stwem Informacji b

ę

dzie podlegał ci

ą

głemu doskonaleniu

zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007.

Podej

ś

cie do bezpiecze

ń

stwa informacji w Spółce opiera si

ę

na trzech kluczowych regułach:

•

Reguła poufno

ś

ci informacji - zapewnienie,

ż

e informacja jest udost

ę

pniana jedynie

osobom upowa

ż

nionym

•

Reguła integralno

ś

ci informacji - zapewnienie zupełnej dokładno

ś

ci i kompletno

ś

ci

informacji oraz metod jej przetwarzania

•

Reguła dost

ę

pno

ś

ci informacji - zapewnienie,

ż

e osoby upowa

ż

nione maj

ą

dost

ę

p do

informacji i zwi

ą

zanych z ni

ą

aktywów tylko wtedy, gdy istnieje taka potrzeba

Celem wdro

ż

onego systemu zarz

ą

dzania bezpiecze

ń

stwem informacji jest osi

ą

gni

ę

cie po-

ziomu organizacyjnego i technicznego, który:

•

b

ę

dzie gwarantem pełnej ochrony danych Klientów oraz ci

ą

gło

ść

procesu ich przetwa-

rzania,

•

zapewni zachowanie poufno

ś

ci informacji chronionych, integralno

ś

ci i dost

ę

pno

ś

ci infor-

macji chronionych oraz jawnych,

•

zagwarantuje odpowiedni poziom bezpiecze

ń

stwa informacji, bez wzgl

ę

du na jej posta

ć

,

we wszystkich systemach jej przetwarzania,

•

maksymalnie ograniczy wyst

ę

powanie zagro

ż

e

ń

dla bezpiecze

ń

stwa informacji, które

wynikaj

ą

z celowej b

ą

d

ź

przypadkowej działalno

ś

ci człowieka oraz ich ewentualne wyko-

rzystanie na szkod

ę

Spółki,

•

zapewni poprawne i bezpieczne funkcjonowanie wszystkich systemów przetwarzania

informacji,

•

zapewni gotowo

ść

do podj

ę

cia działa

ń

w sytuacjach kryzysowych dla bezpiecze

ń

stwa

Spółki, jej interesów oraz posiadanych i powierzonych jej informacji.

9

Powy

ż

sze cele realizowane s

ą

poprzez:

•

wyznaczenie osób odpowiedzialnych zapewniaj

ą

cych optymalny podział i koordynacj

ę

zada

ń

zwi

ą

zanych z zapewnieniem bezpiecze

ń

stwa informacji,

•

wyznaczenie wła

ś

cicieli dla kluczowych aktywów przetwarzaj

ą

cych informacj

ę

, którzy

zobowi

ą

zani s

ą

do zapewnienia im mo

ż

liwie jak najwy

ż

szego poziomu bezpiecze

ń

stwa,

•

przyj

ę

cie za obowi

ą

zuj

ą

ce przez wszystkich pracowników polityk i procedur bezpiecze

ń

-

stwa obowi

ą

zuj

ą

cych w Spółce,

•

okre

ś

leniu zasad przetwarzania informacji, w tym stref w których mo

ż

e si

ę

ono odbywa

ć

,

•

przegl

ą

d i aktualizacj

ę

polityk i procedur post

ę

powania dokonywan

ą

przez odpowiedzial-

ne osoby w celu jak najlepszej reakcji na zagro

ż

enia i incydenty,

•

ci

ą

głe doskonalenie systemu zapewnia bezpiecze

ń

stwa informacji funkcjonuj

ą

cego

w Spółce zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007 i zaleceniami wszyst-

kich zainteresowanych stron.

Prezes Zarz

ą

du

Jarosław Wantuła

10

4. Zasady ogólne

Ka

ż

dy pracownik Spółki jest zapoznawany z regułami oraz z aktualnymi procedurami ochro-

ny informacji w swojej komórce organizacyjnej. Poni

ż

sze uniwersalne zasady s

ą

podstaw

ą

realizacji polityki bezpiecze

ń

stwa informacji:

•

Zasada uprawnionego dost

ę

pu. Ka

ż

dy pracownik przeszedł szkolenie z zasad ochrony

informacji, spełnia kryteria dopuszczenia do informacji i podpisał stosowne o

ś

wiadczenie

o zachowaniu poufno

ś

ci.

•

Zasada przywilejów koniecznych. Ka

ż

dy pracownik posiada prawa dost

ę

pu do infor-

macji, ograniczone wył

ą

cznie do tych, które s

ą

konieczne do wykonywania powierzonych

mu zada

ń

.

•

Zasada wiedzy koniecznej. Ka

ż

dy pracownik posiada wiedz

ę

o systemie, do którego

ma dost

ę

p, ograniczon

ą

wył

ą

cznie do zagadnie

ń

, które s

ą

konieczne do realizacji powie-

rzonych mu zada

ń

.

•

Zasada usług koniecznych. Spółka

ś

wiadczy tylko takie usługi jakich wymaga Klient.

•

Zasada asekuracji. Ka

ż

dy mechanizm zabezpieczaj

ą

cy musi by

ć

ubezpieczony drugim,

innym. W przypadkach szczególnych mo

ż

e by

ć

stosowane dodatkowe niezale

ż

ne za-

bezpieczenie.

•

Zasada

ś

wiadomo

ś

ci zbiorowej. Wszyscy pracownicy s

ą

ś

wiadomi konieczno

ś

ci

ochrony zasobów informacyjnych Spółki i aktywnie uczestnicz

ą

w tym procesie.

•

Zasada indywidualnej odpowiedzialno

ś

ci. Za bezpiecze

ń

stwo poszczególnych ele-

mentów odpowiadaj

ą

konkretne osoby.

•

Zasada obecno

ś

ci koniecznej. Prawo przebywania w okre

ś

lonych miejscach maj

ą

tylko

osoby upowa

ż

nione.

•

Zasada stałej gotowo

ś

ci. System jest przygotowany na wszelkie zagro

ż

enia. Niedo-

puszczalne jest tymczasowe wył

ą

czanie mechanizmów zabezpieczaj

ą

cych.

•

Zasada kompletno

ś

ci. Skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje si

ę

po-

dej

ś

cie kompleksowe, uwzgl

ę

dniaj

ą

ce wszystkie stopnie i ogniwa ogólnie poj

ę

tego pro-

cesu przetwarzania informacji.

•

Zasada odpowiednio

ś

ci. U

ż

ywane mechanizmy musz

ą

by

ć

adekwatne do sytuacji.

•

Zasad akceptowanej równowagi. Podejmowane

ś

rodki zaradcze nie mog

ą

przekracza

ć

poziomu akceptacji.

11

5. Organizacja bezpiecze

ń

stwa informacji

5.1. Struktura zarz

ą

dzania bezpiecze

ń

stwem

Wszystkie procesy bezpiecze

ń

stwa, rozwi

ą

zania techniczne oraz jego organizacja musz

ą

by

ć

zgodne z nast

ę

puj

ą

cymi zasadami:

•

bezwzgl

ę

dne oddzielenie funkcji zarz

ą

dzaj

ą

cych i kontrolnych od funkcji wykonawczych,

•

uniemo

ż

liwienie nadu

ż

y

ć

i maksymalne ograniczenie bł

ę

dów popełnianych przez poje-

dyncze osoby w sferze jednoosobowej odpowiedzialno

ś

ci,

•

zapewnienie niezale

ż

no

ś

ci i bezinteresowno

ś

ci jednostek dokonuj

ą

cych audytu bezpie-

cze

ń

stwa przy zapewnieniu r

ę

kojmi zachowania tajemnicy.

5.2. Dokumentacja systemu zarz

ą

dzania bezpiecze

ń

stwem

informacji

Dokumentacja systemu zarz

ą

dzania bezpiecze

ń

stwem składa si

ę

z czterech głównych ele-

mentów. S

ą

nimi:

•

Polityka Bezpiecze

ń

stwa Informacji

•

Ksi

ę

ga Bezpiecze

ń

stwa Informacji

•

Deklaracja Stosowania Zabezpiecze

ń

•

Procedury i instrukcje bezpiecze

ń

stwa, które okre

ś

laj

ą

szczegółowo zasady post

ę

powa-

nia

•

Raporty z analizy ryzyka i plany post

ę

powania z ryzykiem

Uzupełnieniem dokumentacji SZBI jest dokumentacja z funkcjonuj

ą

cego Systemu Zarz

ą

dza-

nia Jako

ś

ci

ą

.

5.3. Struktura zarz

ą

dzania bezpiecze

ń

stwem informacji

Odpowiedzialno

ść

za bezpiecze

ń

stwo informacji w Spółce ponosz

ą

wszyscy pracownicy

zgodnie z posiadanymi zakresami obowi

ą

zków.

•

Kierownictwo firmy odpowiedzialne jest za zapewnienie zasobów niezb

ę

dnych dla opra-

cowania, wdro

ż

enia, funkcjonowania, utrzymania i doskonalenia systemu zarz

ą

dzania

bezpiecze

ń

stwem informacji oraz poszczególnych zabezpiecze

ń

. Wydaje zgod

ę

na u

ż

yt-

12

kowanie urz

ą

dze

ń

słu

żą

cych do przetwarzania informacji i zabezpiecze

ń

rekomendowa-

nych przez Forum Bezpiecze

ń

stwa. Decyduje równie

ż

o współpracy w zakresie bezpie-

cze

ń

stwa z innymi podmiotami. Kierownictwo mo

ż

e równie

ż

wyrazi

ć

zgod

ę

na udost

ę

p-

nienie stronom trzecim informacji stanowi

ą

cych tajemnic

ę

firmy.

•

Pełnomocnik ds. Bezpiecze

ń

stwa Informacji odpowiedzialny jest za wdro

ż

enie i koordy-

nacj

ę

zapewnienia bezpiecze

ń

stwa informacji oraz zwi

ą

zanych z nim polityk i procedur.

•

Forum Bezpiecze

ń

stwa jest organem doradczym w Spółce w zakresie zagadnie

ń

zwi

ą

-

zanych z bezpiecze

ń

stwem informacji.

•

Wła

ś

ciciel aktywu odpowiada za bie

żą

ce nadzorowanie oraz zarz

ą

dzanie aktywem.

•

Administrator aktywu odpowiada za realizacj

ę

i nadzór nad technicznymi aspektami ak-

tywu w

ś

cisłej kooperacji z Wła

ś

cicielem aktywu.

Poni

ż

szy schemat przedstawia organizacj

ę

zarz

ą

dzania bezpiecze

ń

stwem informacji

w Spółce.

W powy

ż

szej strukturze mo

ż

liwe jest wyró

ż

nienie trzech poziomów działa

ń

:

•

Na poziomie strategicznym prowadzona jest generalna polityka bezpiecze

ń

stwa infor-

macji w odniesieniu do wcze

ś

niej rozpoznanego, okre

ś

lonego, a tak

ż

e poddanego anali-

zie ryzyka i zasadniczych oczekiwa

ń

, co do poziomu bezpiecze

ń

stwa informacji oraz w

odniesieniu do wynikaj

ą

cych z nich modelowych zada

ń

i rozwi

ą

za

ń

. Dlatego te

ż

w procesy decyzyjne tego poziomu zaanga

ż

owane jest najwy

ż

sze kierownictwo Spółki

okre

ś

laj

ą

ce zasadnicze u

ż

ytkowe kryteria bezpiecze

ń

stwa informacji (pochodne od kryte-

ZARZ

Ą

D

FORUM

BEZPIECZE

Ń

STWA

Pełnomocnik

ds. BI

Wła

ś

ciciel aktywu

Administrator

systemu

13

riów normatywnych i mo

ż

liwe do zrealizowania na bazie zidentyfikowanych atrybutów in-

formacji) .

•

Na poziomie taktycznym tworzone s

ą

standardy bezpiecze

ń

stwa informacji oraz zasady

kontroli ich wypełniania w stosowanych rozwi

ą

zaniach i systemach informatycznych oraz

przestrzegania w praktyce u

ż

ywania tych rozwi

ą

za

ń

i systemów (stosownie do zało

ż

o-

nych poziomów bezpiecze

ń

stwa: standardowego, podwy

ż

szonego lub specjalnego). W te

procesy decyzyjne zaanga

ż

owane jest (głównie) kierownictwo.

•

Na poziomie operacyjnym prowadzona jest administracja bezpiecze

ń

stwem informacji

pod k

ą

tem pełnego stosowania standardów bezpiecze

ń

stwa oraz rozwi

ą

zywania sytuacji

zakłóce

ń

wynikaj

ą

cych z naruszenia tych standardów (intencjonalnego lub przypadkowe-

go).

Diagram przedstawiony poni

ż

ej prezentuje graficznie przedstawiony podział.

Zarząd

Pełnomocnik ds. BI

Forum Bezpieczeństwa

Właściciele aktywów

Wszyscy pracownicy

Poziom
operacyjny

Poziom
taktyczny

Poziom
strategiczny

14

5.4. Funkcjonowanie forum bezpiecze

ń

stwa

5.4.1. Organizacja Forum Bezpiecze

ń

stwa

W skład Forum wchodzi Prezes Zarz

ą

du, Pełnomocnik ds. Bezpiecze

ń

stwa Informacji oraz

inni pracownicy powołani przez Prezesa Zarz

ą

du

.

Forum zwoływane jest przez Pełnomocni-

ka ds. Bezpiecze

ń

stwa Informacji za zgod

ą

Prezesa Zarz

ą

du.

5.4.2. Zadania, uprawnienia i odpowiedzialno

ść

Forum Bezpiecze

ń

stwa

•

dokonywanie przegl

ą

du polityki bezpiecze

ń

stwa informacji oraz ogólnego podziału od-

powiedzialno

ś

ci,

•

uzgadnianie metodyki i procesów zwi

ą

zanych z bezpiecze

ń

stwem informacji (szacowanie

ryzyka, system klasyfikacji dla potrzeb bezpiecze

ń

stwa),

•

monitorowanie istotnych zmian nara

ż

enia aktywów informacyjnych na podstawowe za-

gro

ż

enia,

•

dokonywanie przegl

ą

du i monitorowanie narusze

ń

bezpiecze

ń

stwa informacji,

•

zatwierdzanie wa

ż

niejszych przedsi

ę

wzi

ęć

zmierzaj

ą

cych do podniesienia poziomu bez-

piecze

ń

stwa informacji,

5.5. Zasady współpracy z osobami trzecimi

Ka

ż

dy go

ść

lub osoba, która wykonuje prace zlecone na terenie firmy zobligowana jest do

przestrzegania nast

ę

puj

ą

cych procedur:

•

do podpisania umowy lojalno

ś

ciowej o przestrzeganiu tajemnicy słu

ż

bowej,

•

do podpisania odpowiedzialno

ś

ci za naruszenie obowi

ą

zków pracowniczych/ zlecenio-

biorcy i za szkod

ę

wyrz

ą

dzon

ą

pracodawcy/ zleceniodawcy,

•

do przestrzegania reguł bhp,

•

do przestrzegania reguł bezpiecze

ń

stwa przeciwpo

ż

arowego.

Ka

ż

da osoba trzecia, która narusza sfer

ę

bezpiecze

ń

stwa Spółki nie zostaje pozostawiona

bez nadzoru personelu firmy. Dost

ę

p do magazynów i biur wszelkiego personelu technicz-

nego zajmuj

ą

cego si

ę

konserwacj

ą

sprz

ę

tu, ochrony i innych osób jest nadzorowany przez

pracowników Spółki. Spółka kieruje si

ę

zasad

ą

,

ż

e najbardziej zaufanymi osobami trzecimi

15

s

ą

ju

ż

znane osoby firmie, które wcze

ś

niej były ju

ż

obecne na terenie firmy. Dost

ę

p go

ś

ci w

strefie bezpiecze

ń

stwa jest mo

ż

liwy tylko i wył

ą

cznie w godzinach pracy.

5.6. Zasady współpracy ze stronami zewn

ę

trznymi

Współpraca firmy z innymi spółkami oparta jest na umowach. Zawieraj

ą

c te umowy Spółka

ma zawsze na wzgl

ę

dzie, aby obejmowały one deklaracj

ę

o zachowanie poufno

ś

ci oraz zo-

bowi

ą

zania do działania zgodnie z prawem.

5.7. Zasady współpracy z Policj

ą

, jednostkami Stra

ż

y Po

ż

arnej

i Stra

ż

y Miejskiej

Wymiana informacji o zagro

ż

eniach w zakresie bezpiecze

ń

stwa osób i mienia oraz zakłóce-

nia spokoju i porz

ą

dku publicznego nast

ę

puje poprzez:

•

Udzielanie wzajemnej pomocy w realizacji zada

ń

ochrony, zapobieganiu przest

ę

pczo

ś

ci,

•

Udzielanie wyczerpuj

ą

cych informacji o zagro

ż

eniu dla bezpiecze

ń

stwa i porz

ą

dku pu-

blicznego,

•

Współdziałanie w zabezpieczeniu powstałych awarii na obiekcie.

•

Współdziałanie przy zabezpieczeniu miejsc popełnienia przest

ę

pstw i wykrocze

ń

w gra-

nicach chronionych obiektów realizowane jest poprzez:

Zabezpieczenie

ś

ladów na miejscu zdarzenia,

Ustalenie

ś

wiadków zdarzenia, a tak

ż

e wykonywanie innych czynno

ś

ci, jakie zleci Po-

licja,

Niedopuszczenie osób postronnych na miejsce przest

ę

pstwa, wykroczenia.

Zabezpieczenie mienia jednostki na wypadek po

ż

aru lub awarii:

•

zaistniałym po

ż

arze lub awarii pracownik natychmiast zawiadamia Stra

ż

Po

ż

arn

ą

oraz

osob

ę

odpowiedzialn

ą

za obiekt,

•

przybyłe jednostki ratownicze natychmiast kieruje na miejsce akcji.

16

6. Zarz

ą

dzanie aktywami i ryzykami

Spółka zarz

ą

dza swoimi aktywami informacyjnymi poprzez zapewnienie im wymaganego

poziomu bezpiecze

ń

stwa. Identyfikowane s

ą

aktywa informacyjne i klasyfikowane zgodnie

ze stawianymi im wymaganiami w zakresie ochrony.

Wa

ż

nym elementem zarz

ą

dzania aktywami i bezpiecze

ń

stwem informacji w całej firmie jest

przeprowadzanie okresowej analizy ryzyka i opracowania planów post

ę

powania z ryzykiem.

Analiza jej wyników stanowi podstaw

ę

podejmowania wszelkich działa

ń

w zakresie doskona-

lenia ochrony zasobów Spółki.

Na podstawie wyników analizy ryzyka opracowywane s

ą

plany post

ę

powania z ryzykiem dla

aktywów o ryzykach wi

ę

kszych ni

ż

ustalony poziom ryzyka akceptowalnego. Ryzyka s

ą

przegl

ą

dane na przegl

ą

dach kierownictwa oraz po zmianach maj

ą

cych wpływ na system

bezpiecze

ń

stwa informacji.

6.1. Autoryzacja nowych urz

ą

dze

ń

Ka

ż

de nowe lub zmienione urz

ą

dzenie słu

żą

ce do przetwarzania informacji lub mog

ą

ce

w jakikolwiek inny sposób wpływa

ć

na bezpiecze

ń

stwo informacji musi zosta

ć

zweryfikowane

na zgodno

ść

z wymaganiami systemu bezpiecze

ń

stwa informacji i zaakceptowane przez

wskazan

ą

osob

ę

. O ile nie zostało to okre

ś

lone szczegółowo w innych opracowaniach, za

dopuszczenie

do

u

ż

ytkowania

nowych

urz

ą

dze

ń

odpowiada

Pełnomocnik

ds. Bezpiecze

ń

stwa Informacji.

17

7. Bezpiecze

ń

stwo zasobów ludzkich

Spółka dba o zapewnienie kompetentnych pracowników do realizacji wyznaczonych

w procesach zada

ń

. Celem takiego post

ę

powania jest ograniczenie ryzyka bł

ę

du ludzkiego,

kradzie

ż

y, nadu

ż

ycia lub niewła

ś

ciwego u

ż

ytkowania zasobów. Zasoby ludzkie s

ą

równie

ż

wa

ż

nym czynnikiem analizowanym podczas przeprowadzania okresowej analizy ryzyka.

Skuteczna realizacja postawionego celu mo

ż

liwa jest dzi

ę

ki ustanowionym praktykom

i podziałowi odpowiedzialno

ś

ci zwi

ą

zanemu z weryfikacj

ą

kandydatów do pracy podczas

naboru, zasadom zatrudniania pracowników oraz ustalonym procedurom rozwi

ą

zywania

umów o prac

ę

.

18

8. Bezpiecze

ń

stwo fizyczne i

ś

rodowiskowe

Spółka

dba

o

zapewnienie

wysokiego

poziomu

bezpiecze

ń

stwa

fizycznego

i

ś

rodowiskowego. Celem takiego post

ę

powania jest zapewnienie bezpiecze

ń

stwa informacji

przed dost

ę

pem osób niepowołanych, uszkodzeniem lub innymi zakłóceniami w obiektach

Spółki. W przypadku informacji i danych od naszych Klientów najistotniejsze jest zapewnie-

nie wszystkich trzech podstawowych aspektów bezpiecze

ń

stwa poufno

ś

ci danych oraz ich

dost

ę

pno

ś

ci i integralno

ś

ci. Skuteczna realizacja postawionego celu mo

ż

liwa jest dzi

ę

ki

ustanowionym

praktykom

i

podziałowi

odpowiedzialno

ś

ci

zwi

ą

zanemu

z wyznaczeniem stref bezpiecze

ń

stwa, zasadami pracy oraz administrowaniem prawami

dost

ę

pu do nich. Kluczowe systemy techniczne i informatyczne wyposa

ż

one s

ą

w systemy

podtrzymuj

ą

ce zasilanie.

19

9. Zarz

ą

dzanie systemami i sieciami

Spółka dba o przestrzeganie zasad zwi

ą

zanych z utrzymywaniem i u

ż

ytkowaniem systemów

informatycznych i sieci. Celem takiego post

ę

powania jest zapewnienie poufno

ś

ci, integralno-

ś

ci i dost

ę

pno

ś

ci przetwarzanej przez nie informacji własnych.

Skuteczna realizacja postawionego celu mo

ż

liwa jest dzi

ę

ki:

•

kompetencjom

i

ś

wiadomo

ś

ci

pracowników

oraz

podpisanym

umowom

ze

specjalistycznymi

firmami

administruj

ą

cymi

zasobami

informatycznymi

i wspomagaj

ą

cymi Spółki,

•

opracowanym zasadom konserwacji urz

ą

dze

ń

w celu zapewnienia ich ci

ą

głej pracy,

•

kontrolowaniu wprowadzania wszelkie zmian do infrastruktury technicznej,

•

w celu zapewnienia bezpiecze

ń

stwa systemów produkcyjnych, prace rozwojowe

i testowe prowadzone s

ą

na oddzielnych urz

ą

dzeniach lub

ś

rodowiskach,

•

usługi dostarczane przez strony trzecie s

ą

nadzorowane, w szczególno

ś

ci wszelkie

wprowadzane do nich zmiany. Po zakupie, lub wprowadzeniu zmiany do systemu jest on

odbierany i akceptowany w sposób

ś

wiadomy, uwzgl

ę

dniaj

ą

cy jego wpływ na istniej

ą

cy

system bezpiecze

ń

stwa,

•

wdro

ż

one s

ą

zabezpieczenia chroni

ą

ce przed oprogramowaniem zło

ś

liwym i mobilnym,

•

usystematyzowanemu tworzeniu i testowaniu kopii bezpiecze

ń

stwa,

•

przestrzeganiu opracowanych zasad post

ę

powania z no

ś

nikami,

•

bie

żą

cym monitorowaniu aktywów informacyjnych, w tym informatycznych, pod k

ą

tem

wcze

ś

niejszego wykrycia wszelkich niebezpiecze

ń

stw mog

ą

cych zagrozi

ć

bezpiecze

ń

-

stwu systemów,

Spółka monitoruje poziom incydentów w systemach informatycznych i posiada mechanizmy

reagowania w przypadkach ich wyst

ą

pienia.

20

10. Wymiana informacji

Ka

ż

da informacja udost

ę

pniana stronom trzecim (zewn

ę

trznym) podlega ochronie. Przed

udost

ę

pnieniem/wymian

ą

informacji ka

ż

dy pracownik jest odpowiedzialny za upewnienie si

ę

,

ż

e mo

ż

e informacje przekaza

ć

. W przypadku w

ą

tpliwo

ś

ci o przekazaniu informacji decyduje

wła

ś

ciwy przeło

ż

ony.

21

11. Kontrola dost

ę

pu

Spółka zarz

ą

dza kontrol

ą

dost

ę

pu. Celem takiego post

ę

powania jest zapewnienie,

ż

e dost

ę

p

do informacji, miejsc, urz

ą

dze

ń

lub systemów ich przetwarzania maj

ą

tylko osoby uprawnio-

ne. Skuteczna realizacja postawionego celu mo

ż

liwa jest dzi

ę

ki ustanowionym praktykom i

podziałowi odpowiedzialno

ś

ci zwi

ą

zanemu z nadzorowaniem ruchu osobowego.

22

12. Utrzymanie systemów informacyjnych

Spółka zapewnia,

ż

e wszystkie procesy zwi

ą

zane z pozyskaniem, rozwojem b

ą

d

ź

utrzyma-

niem systemów informacyjnych prowadzone s

ą

w sposób nadzorowany, gwarantuj

ą

cy

utrzymanie odpowiedniego poziomu bezpiecze

ń

stwa. Na to zapewnienie składa si

ę

:

•

uwzgl

ę

dnianie wymogów bezpiecze

ń

stwa podczas zakupu lub produkcji nowych syste-

mów,

•

dopuszczenie nowego systemu poprzedzone jest zawsze faz

ą

testowania,

•

nadzorowanie dost

ę

pu do kodów

ź

ródłowych oprogramowania,

•

wdro

ż

one procedury kontroli zmian/ aktualizacji oprogramowania.

23

13. Zarz

ą

dzanie incydentami

W przypadku wszelkich incydentów w Spółce powiadamiany jest Pełnomocnik

ds. Bezpiecze

ń

stwa Informacji. Z jego udziałem dokonywana jest wst

ę

pna analiza incydentu,

po czym podejmowane s

ą

działania zgodne z zasadami reakcji na zdarzenia. Po wyst

ą

pieniu

incydentu natychmiast podejmowane s

ą

działania maj

ą

ce usun

ąć

ewentualne skutki zaist-

nienia incydentu, a nast

ę

pnie wszystkie incydenty s

ą

szczegółowo analizowane

i podejmowane s

ą

dalsze decyzje wła

ś

ciwe dla danej sytuacji. Incydenty s

ą

rejestrowane

i analizowane przez Pełnomocnika ds. Bezpiecze

ń

stwa Informacji i członków Forum Bezpie-

cze

ń

stwa.

24

14. Zarz

ą

dzanie ci

ą

gło

ś

ci

ą

działania

Spółka dba o zapewnienie ci

ą

gło

ś

ci funkcjonowania usług zwi

ą

zanych z przetwarzaniem

danych. Celem takiego post

ę

powania jest przeciwdziałanie przerwom w działalno

ś

ci bizne-

sowej oraz ochrona krytycznych procesów biznesowych przed rozległymi awariami lub kata-

strofami. Skuteczna realizacja postawionego celu mo

ż

liwa jest dzi

ę

ki ustanowionym prakty-

kom i podziałowi odpowiedzialno

ś

ci zwi

ą

zanemu z zarz

ą

dzeniem ci

ą

gło

ś

ci

ą

działania tak,

aby ogranicza

ć

do akceptowalnego poziomu skutków wypadków i awarii. W sposób syste-

mowy tworzone s

ą

plany post

ę

powania w sytuacjach kryzysowych. Powołane Forum Bez-

piecze

ń

stwa dba o ich aktualno

ść

i testuje je pod wzgl

ę

dem przydatno

ś

ci w sytuacji realnego

zagro

ż

enia. Powy

ż

sze zasady zapewniaj

ą

,

ż

e firma jest przygotowana na działanie równie

ż

w przypadkach odbiegaj

ą

cych od normy.

25

15. Zgodno

ść

z wymaganiami prawnymi i innymi

Spółka dba o zapewnienie zgodno

ś

ci zasad post

ę

powania z przepisami obowi

ą

zuj

ą

cego

prawa, przyj

ę

tych uwarunkowa

ń

umownych i normatywnych oraz wypracowanych własnych

standardów. Celem takiego post

ę

powania jest unikanie naruszania jakichkolwiek przepisów

prawa karnego lub cywilnego, zobowi

ą

za

ń

wynikaj

ą

cych z ustaw, zarz

ą

dze

ń

lub umów

i jakichkolwiek wymaga

ń

bezpiecze

ń

stwa. Skuteczna realizacja postawionego celu mo

ż

liwa

jest

dzi

ę

ki

ustanowionym

praktykom

i podziałowi

odpowiedzialno

ś

ci

zwi

ą

zanemu

z identyfikacja wymaga

ń

prawnych w zakresie bezpiecze

ń

stwa informacji. Prowadzony jest

nadzór nad komplementarno

ś

ci

ą

stosowanych techniczn

ą

urz

ą

dze

ń

oraz prowadzone s

ą

audyty wewn

ę

trzne funkcjonowania systemu.

26

16. Postanowienia ko

ń

cowe

Spółka wymaga zapoznania si

ę

pracowników z dokumentacj

ą

Polityki Bezpiecze

ń

stwa In-

formacji. Za zło

ż

enie przez nich stosownych o

ś

wiadcze

ń

oraz uzyskanie niezb

ę

dnych praw

dost

ę

pu (do pomieszcze

ń

i systemów informatycznych), stosownie do przypisanej roli odpo-

wiada bezpo

ś

redni przeło

ż

ony.

Bie

żą

cy nadzór nad przestrzeganiem przyj

ę

tych zasad w zakresie bezpiecze

ń

stwa informacji

pełni Pełnomocnik ds. Bezpiecze

ń

stwa Informacji, b

ę

d

ą

cy reprezentantem Zarz

ą

du Spółki.

Naruszenia

ś

wiadome, b

ą

d

ź

przypadkowe niniejszej Polityki Bezpiecze

ń

stwa Informa-

cji (wraz z wszystkimi dokumentami operacyjnymi) powoduje skutki prawne zgodnie z

Regulaminem Pracy, a w przypadkach zastrze

ż

onych przez ustawodawc

ę

– karne wy-

nikaj

ą

ce z odpowiedzialno

ś

ci okre

ś

lonej przez s

ą

d.

27

17. Historia zmian

Nr

zmiany

Data zmiany

Opis zmiany

Obowi

ą

zuj

ą

ce

wydanie