P
P
O
O
L
L
I
I
T
T
Y
Y
K
K
A
A
B
B
E
E
Z
Z
P
P
I
I
E
E
C
C
Z
Z
E
E
Ń
Ń
S
S
T
T
W
W
A
A
I
I
N
N
F
F
O
O
R
R
M
M
A
A
C
C
J
J
I
I
Wydanie:
1
2
Spis tre
ś
ci:
1. Wst
ę
p………………………………………………………………………………. 3
1.1. Opis Spółki………………………………………………………………………………………….
3
1.2. Definicje…………………………………………………………………………………………….. 5
2. Zakres Systemu Bezpiecze
ń
stwa Informacji……………………………….. 7
3. Deklaracja Zarz
ą
du……………………………………………………………….8
4. Zasady ogólne……………………………………………………………………10
5.Organizacja bezpiecze
ń
stwa informacji………………………………………11
5.1. Struktura zarz
ą
dzania bezpiecze
ń
stwem………………………………………………………..11
5.2. Dokumentacja systemu zarz
ą
dzania bezpiecze
ń
stwem………………………………........... 11
5.3. Struktura zarz
ą
dzania bezpiecze
ń
stwem i odpowiedzialno
ś
ci……………………………….. 11
5.4. Funkcjonowanie Forum Bezpiecze
ń
stwa………………………………………………………..13
5.4.1 Organizacja Forum Bezpiecze
ń
stwa ………………………………………………………….. 13
5.4.2 Zadania, uprawnienia i odpowiedzialno
ść
Forum Bezpiecze
ń
stwa………………………….14
5.5. Zasady współpracy z osobami trzecimi…………………………………………………….........14
5.6. Zasady współpracy ze stronami zewn
ę
trznymi……………………………………………........14
5.7.
Zasady współpracy z Policj
ą
, Jednostkami Stra
ż
y Po
ż
arnej i Stra
ż
y Miejskiej……….........14
6. Zarz
ą
dzanie aktywami i ryzykami……………………………………………. 16
6.1. Autoryzacja nowych urz
ą
dze
ń
………………………………………………………………..
16
7. Bezpiecze
ń
stwo zasobów ludzkich………………………………………….. 17
8. Bezpiecze
ń
stwo fizyczne i
ś
rodowiskowe………………………………….. 18
9. Zarz
ą
dzanie systemami i sieciami…………………………………………… 19
10. Kontrola dost
ę
pu………………………………………………………………. 20
11. Wymiana informacji…………………………………………………………… 21
12. Utrzymanie systemów informacyjnych……………………………………. 22
13. Zarz
ą
dzanie incydentami……………………………………………………. 23
14. Zarz
ą
dzanie ci
ą
gło
ś
ci
ą
działania………………………………………….. 24
15. Zgodno
ść
z wymaganiami prawnymi i innymi………………………….. 25
16. Postanowienia ko
ń
cowe…………………………………………………….. 26
17. Historia zmian………………………………………………………………… 27
3
1. Wst
ę
p
1.1. Opis Spółki
Pierwsze wzmianki dotycz
ą
ce wodoci
ą
gów i sieci w Lubinie pochodz
ą
z przełomu lat
1875/1876 kiedy to, na wniosek Burmistrza Vorwerka, Rada Miejska uchwaliła rozbudow
ę
wodoci
ą
gu. Miasto przed rozbudow
ą
posiadało 4090 mb sieci wodoci
ą
gowej a w roku 1906
wynosiła 5488 mb. W latach 1883/1884 przyst
ą
piono do budowy sieci kanalizacyjnej. Skana-
lizowano wówczas ul. Dworcow
ą
, nast
ę
pnie
Ś
ródmie
ś
cie i inne cz
ęś
ci miasta. Długo
ść
sieci
w roku 1906 wynosiła 13.000 mb. W tym te
ż
roku wybudowano i oddano do eksploatacji Za-
kład Wodoci
ą
gów na bazie dwóch studni artezyjskich (istniej
ą
cy do dzi
ś
Zakład Uzdatniania
Wody nr 1 przy ul. Wierzbowej), oraz wie
żę
ci
ś
nie
ń
. Zakład wodoci
ą
gowy dostarczał 150 ty
ś
.
m3
wody
rocznie.
Do
1939
roku
zarówno
sieci
wodno-kanalizacyjne,
jak
i uj
ę
cie wody było rozbudowywane a jego wydajno
ść
wzrosła do 1440 m3/dob
ę
. W 1926
roku wybudowano drugi zakład wodoci
ą
gowy o wydajno
ś
ci 200 m3/dob
ę
równie
ż
na bazie
studni artezyjskich (aktualnie Zakład Uzdatniania Wody nr 2 przy ul. Wójta Henryka został
zlikwidowany, a teren wraz z obiektami kubaturowymi przeznaczony do sprzeda
ż
y). Obydwa
zakłady eksploatowane do 1945 roku.
Po wyzwoleniu Lubina Zakłady Wodoci
ą
gowe były nieczynne. Uruchomienie zakładu przy
l. Wierzbowej nast
ą
piło w sierpniu 1945 przez Wydział Mechaniczno Budowlany Zarz
ą
du
Miasta Lubina. Pierwszy dokument pisemny, dotycz
ą
cy wodoci
ą
gów dotyczył poszukiwania
dokumentacji wodoci
ą
gów miejskich oraz pozyskania pasów transmisyjnych do nap
ę
du
pomp. Ostatecznie pasy zostały wykonane z w
ęż
y stra
ż
ackich. Z uwagi na brak energii elek-
trycznej cz
ęść
miasta i uj
ę
cie korzystało z agregatu pr
ą
dotwórczego, który eksploatowano
pocz
ą
wszy od wyzwolenia miasta przez stacjonuj
ą
ce na terenie Lubina jednostki radzieckie
a nast
ę
pnie po odkryciu złó
ż
miedzi słu
ż
ył do zaopatrzenia w wod
ę
mieszka
ń
ców hoteli ro-
botniczych i obiektów kierownictwa Kombinatu Górniczo-Hutniczego Miedzi. Z chwil
ą
uru-
chomienie wodoci
ą
gów rozpocz
ę
to eksploatacje sieci kanalizacyjnych osadników Imhoffa
oraz zbiorników bezodpływowych. Pierwsz
ą
Oczyszczalnie
Ś
cieków mechaniczno-
biologiczn
ą
oddano do eksploatacji w 1965 roku o przepustowo
ś
ci 2400 m3/dob
ę
. Oczysz-
czalnia wybudowana została przydrodze do
Ś
cinawy (cz
ęść
obiektów kubaturowych istnieje
do chwili obecnej).
Dynamiczny rozwój miasta Lubina doprowadził do rozbudowy sieci wodoci
ą
gowych
i kanalizacyjnych uj
ęć
i zakładów uzdatniania wody oraz oczyszczalni
ś
cieków. Kolejno po-
wstaj
ą
:
4
•
Uj
ę
cie i Zakład Uzdatniania Wody nr 3 przy ul. Spacerowej oddany do eksploatacji
w 1969 roku;
•
Uj
ę
cie i Zakład Uzdatniania Wody nr 4 przy ul. Niepodległo
ś
ci oddany do eksploatacji
31 sierpnia 1976 roku;
•
Uj
ę
cie i Zakład Uzdatniania Wody nr 5 przy ul. Gajowej realizowano w latach 1972-
1980 (uj
ę
cie Osiek I 1972-74, Uj
ę
cie Osiek II 1974-78, ZUW oddano do eksploatacji
w 1980 roku);
•
Mechaniczno-Biologiczna Oczyszczalnia
Ś
cieków o przepustowo
ś
ci 27.500 m3/dob
ę
przy ul. Zielonej oddana do eksploatacji w 1974 roku;
•
Baza Zaplecza Technicznego i Biurowego Przedsi
ę
biorstwa oddana do eksploatacji
w roku 1987 przy ul. Rze
ź
niczej 1.
W okresie powojennym zarz
ą
dzanie gospodark
ą
komunaln
ą
, w tym Zakładu Wodoci
ą
gowe-
go przechodziło szereg zmian organizacyjnych. Od maja 1945 roku działalno
ś
ci
ą
wodoci
ą
-
gow
ą
zajmował si
ę
Wydział Mechaniczno-Budowlany przy Zarz
ą
dzie Miejskim. W sierpniu
1945 roku działalno
ść
t
ę
nadzorował Zarz
ą
d Nieruchomo
ś
ci podległy Wydziałowi Gospodarki
Komunalnej Zarz
ą
du Miasta, a od 1949 roku utworzono Zakład Gospodarki Komunalnej. W
1957 roku na bazie Zakładu Gospodarki Komunalnej utworzono Miejskie Przedsi
ę
biorstwo
Gospodarki Komunalnej, którego pierwszym dyrektorem został Józef Nojman. W 1973 roku
nast
ą
piła regionalizacja słu
ż
b komunalnych i z dniem 1 stycznia 1974 roku utworzono Powia-
towe Przedsi
ę
biorstwo Komunalne i Mieszkaniowe, obejmuj
ą
ce swym zasi
ę
giem miasta Po-
lkowice, Chocianów i
Ś
cinaw
ę
oraz miejscowo
ś
ci wiejskie Rudn
ą
i Chobieni
ę
. W wyniku ko-
lejnej regionalizacji z dniem 1 stycznia 1975 roku powstało Lubi
ń
skie Przedsi
ę
biorstwo Ko-
munalne, które działalno
ść
sw
ą
prowadziło do dnia likwidacji tj. do 31 marca 1994 roku.
5
1.2 Definicje
Bezpiecze
ń
stwo informacji – zachowanie poufno
ś
ci, integralno
ś
ci i dost
ę
pno
ś
ci informacji,
czyli informacja nie jest ujawniana osobom nieupowa
ż
nionym, jest ona dokładna i kompletna
oraz dost
ę
pna i u
ż
yteczna na
żą
danie upowa
ż
nionego personelu.
Ryzyko – prawdopodobie
ń
stwo wyst
ą
pienia zagro
ż
enia, które, wykorzystuj
ą
c podatno
ść
(ci)
aktywu, mo
ż
e doprowadzi
ć
do jego uszkodzenia lub zniszczenia.
Szacowanie ryzyka – cało
ś
ciowy proces analizy i oceny ryzyka.
Aktyw/zasób – wszystko to, co ma warto
ść
dla organizacji.
Poufno
ść
– zapewnienie dost
ę
pu do informacji tylko osobom upowa
ż
nionym.
Integralno
ść
– zapewnienie dost
ę
pu do informacji tylko osobom upowa
ż
nionym.
Dost
ę
pno
ść
– zapewnienie,
ż
e osoby upowa
ż
nione b
ę
d
ą
miały dost
ę
p do informacji tylko
wtedy gdy jest to uzasadnione.
Post
ę
powanie z ryzykiem – proces wyboru i wdra
ż
ania
ś
rodków modyfikuj
ą
cych
ryzyko.
Zarz
ą
dzanie ryzykiem – proces identyfikowania, kontrolowania i minimalizowania lub elimi-
nowania ryzyka dotycz
ą
cego bezpiecze
ń
stwa, które mo
ż
e dotyczy
ć
systemów informacy-
nych, przy zachowaniu akceptowalnego poziomu kosztów.
Zdarzenie
zwi
ą
zane
z
bezpiecze
ń
stwem
informacji
–
zdarzenie
zwi
ą
zane
z bezpiecze
ń
stwem informacji jest okre
ś
lonym stanem systemu, usługi lub sieci, który wska-
zuje na mo
ż
liwe naruszenie polityki bezpiecze
ń
stwa informacji, bł
ą
d zabezpieczenia lub nie-
znan
ą
dotychczas sytuacj
ę
, która mo
ż
e by
ć
zwi
ą
zana z bezpiecze
ń
stwem.
6
Incydent zwi
ą
zany z bezpiecze
ń
stwem informacji – incydent zwi
ą
zany z bezpiecze
ń
stwem
informacji jest to pojedyncze zdarzenie lub seria niepo
żą
danych lub niespodziewanych zda-
rze
ń
zwi
ą
zanych z bezpiecze
ń
stwem informacji, które stwarzaj
ą
znaczne prawdopodobie
ń
-
stwo zakłócenia działa
ń
biznesowych i zagra
ż
aj
ą
bezpiecze
ń
stwu informacji.
Ryzyko szcz
ą
tkowe – ryzyko pozostaj
ą
ce po procesie post
ę
powania z ryzykiem.
Dane osobowe – wszelkie informacje dotycz
ą
ce zidentyfikowanej lub mo
ż
liwej do zidentyfi-
kowania osoby fizycznej. Osob
ą
mo
ż
liw
ą
do zidentyfikowania jest osoba, której to
ż
samo
ść
mo
ż
na okre
ś
li
ć
bezpo
ś
rednio lub po
ś
rednio, w szczególno
ś
ci przez powołanie si
ę
na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników okre
ś
laj
ą
cych jej cechy fizycz-
ne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
7
2. Zakres Systemu Bezpiecze
ń
stwa Informacji
System Zarz
ą
dzania Bezpiecze
ń
stwa Informacji (SZBI) w Spółce stanowi cz
ęść
cało
ś
ciowe-
go systemu zarz
ą
dzania, opart
ą
na podej
ś
ciu wynikaj
ą
cym z ryzyka biznesowego, odnosz
ą
-
c
ą
si
ę
do ustanawiania, wdra
ż
ania, eksploatacji, monitorowania, utrzymywania i doskonale-
nia bezpiecze
ń
stwa informacji. System Zarz
ą
dzania Bezpiecze
ń
stwem Informacji (SZBI)
został opracowany, wdro
ż
ony i jest utrzymywany w MPWiK Sp. z o. o. w Lubinie w oparciu o
norm
ę
PN-ISO/IEC 27001:2007. Zakres SZBI dotyczy procesów prowadzonej działalno
ś
ci
w dziedzinie produkcji, uzdatniania i dostarczania wody, odbioru i oczyszczania
ś
cieków,
projektowania i wykonawstwa przył
ą
czy wodno-kanalizacyjnych oraz laboratoryjnych analiz
wody i
ś
cieków.
8
3. Deklaracja Zarz
ą
du
Najwy
ż
sze kierownictwo Spółki, stoj
ą
c na stanowisku,
ż
e informacja jest priorytetowym za-
sobem ka
ż
dej organizacji, wdro
ż
yło w ramach ZSZ system zarz
ą
dzania bezpiecze
ń
stwem
informacji. Bezpiecze
ń
stwo informacji oraz systemów, w których s
ą
one przetwarzane jest
jednym z kluczowych elementów naszej Spółki oraz warunkiem ci
ą
głego jej rozwoju. Gwa-
rancj
ą
sprawnej i skutecznej ochrony informacji jest zapewnienie odpowiedniego poziomu
bezpiecze
ń
stwa oraz zastosowanie rozwi
ą
za
ń
technicznych.
Zarz
ą
d Spółki wprowadzaj
ą
c Polityk
ę
Bezpiecze
ń
stwa Informacji, deklaruje,
ż
e wdro
ż
ony
System Zarz
ą
dzania Bezpiecze
ń
stwem Informacji b
ę
dzie podlegał ci
ą
głemu doskonaleniu
zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007.
Podej
ś
cie do bezpiecze
ń
stwa informacji w Spółce opiera si
ę
na trzech kluczowych regułach:
•
Reguła poufno
ś
ci informacji - zapewnienie,
ż
e informacja jest udost
ę
pniana jedynie
osobom upowa
ż
nionym
•
Reguła integralno
ś
ci informacji - zapewnienie zupełnej dokładno
ś
ci i kompletno
ś
ci
informacji oraz metod jej przetwarzania
•
Reguła dost
ę
pno
ś
ci informacji - zapewnienie,
ż
e osoby upowa
ż
nione maj
ą
dost
ę
p do
informacji i zwi
ą
zanych z ni
ą
aktywów tylko wtedy, gdy istnieje taka potrzeba
Celem wdro
ż
onego systemu zarz
ą
dzania bezpiecze
ń
stwem informacji jest osi
ą
gni
ę
cie po-
ziomu organizacyjnego i technicznego, który:
•
b
ę
dzie gwarantem pełnej ochrony danych Klientów oraz ci
ą
gło
ść
procesu ich przetwa-
rzania,
•
zapewni zachowanie poufno
ś
ci informacji chronionych, integralno
ś
ci i dost
ę
pno
ś
ci infor-
macji chronionych oraz jawnych,
•
zagwarantuje odpowiedni poziom bezpiecze
ń
stwa informacji, bez wzgl
ę
du na jej posta
ć
,
we wszystkich systemach jej przetwarzania,
•
maksymalnie ograniczy wyst
ę
powanie zagro
ż
e
ń
dla bezpiecze
ń
stwa informacji, które
wynikaj
ą
z celowej b
ą
d
ź
przypadkowej działalno
ś
ci człowieka oraz ich ewentualne wyko-
rzystanie na szkod
ę
Spółki,
•
zapewni poprawne i bezpieczne funkcjonowanie wszystkich systemów przetwarzania
informacji,
•
zapewni gotowo
ść
do podj
ę
cia działa
ń
w sytuacjach kryzysowych dla bezpiecze
ń
stwa
Spółki, jej interesów oraz posiadanych i powierzonych jej informacji.
9
Powy
ż
sze cele realizowane s
ą
poprzez:
•
wyznaczenie osób odpowiedzialnych zapewniaj
ą
cych optymalny podział i koordynacj
ę
zada
ń
zwi
ą
zanych z zapewnieniem bezpiecze
ń
stwa informacji,
•
wyznaczenie wła
ś
cicieli dla kluczowych aktywów przetwarzaj
ą
cych informacj
ę
, którzy
zobowi
ą
zani s
ą
do zapewnienia im mo
ż
liwie jak najwy
ż
szego poziomu bezpiecze
ń
stwa,
•
przyj
ę
cie za obowi
ą
zuj
ą
ce przez wszystkich pracowników polityk i procedur bezpiecze
ń
-
stwa obowi
ą
zuj
ą
cych w Spółce,
•
okre
ś
leniu zasad przetwarzania informacji, w tym stref w których mo
ż
e si
ę
ono odbywa
ć
,
•
przegl
ą
d i aktualizacj
ę
polityk i procedur post
ę
powania dokonywan
ą
przez odpowiedzial-
ne osoby w celu jak najlepszej reakcji na zagro
ż
enia i incydenty,
•
ci
ą
głe doskonalenie systemu zapewnia bezpiecze
ń
stwa informacji funkcjonuj
ą
cego
w Spółce zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007 i zaleceniami wszyst-
kich zainteresowanych stron.
Prezes Zarz
ą
du
Jarosław Wantuła
10
4. Zasady ogólne
Ka
ż
dy pracownik Spółki jest zapoznawany z regułami oraz z aktualnymi procedurami ochro-
ny informacji w swojej komórce organizacyjnej. Poni
ż
sze uniwersalne zasady s
ą
podstaw
ą
realizacji polityki bezpiecze
ń
stwa informacji:
•
Zasada uprawnionego dost
ę
pu. Ka
ż
dy pracownik przeszedł szkolenie z zasad ochrony
informacji, spełnia kryteria dopuszczenia do informacji i podpisał stosowne o
ś
wiadczenie
o zachowaniu poufno
ś
ci.
•
Zasada przywilejów koniecznych. Ka
ż
dy pracownik posiada prawa dost
ę
pu do infor-
macji, ograniczone wył
ą
cznie do tych, które s
ą
konieczne do wykonywania powierzonych
mu zada
ń
.
•
Zasada wiedzy koniecznej. Ka
ż
dy pracownik posiada wiedz
ę
o systemie, do którego
ma dost
ę
p, ograniczon
ą
wył
ą
cznie do zagadnie
ń
, które s
ą
konieczne do realizacji powie-
rzonych mu zada
ń
.
•
Zasada usług koniecznych. Spółka
ś
wiadczy tylko takie usługi jakich wymaga Klient.
•
Zasada asekuracji. Ka
ż
dy mechanizm zabezpieczaj
ą
cy musi by
ć
ubezpieczony drugim,
innym. W przypadkach szczególnych mo
ż
e by
ć
stosowane dodatkowe niezale
ż
ne za-
bezpieczenie.
•
Zasada
ś
wiadomo
ś
ci zbiorowej. Wszyscy pracownicy s
ą
ś
wiadomi konieczno
ś
ci
ochrony zasobów informacyjnych Spółki i aktywnie uczestnicz
ą
w tym procesie.
•
Zasada indywidualnej odpowiedzialno
ś
ci. Za bezpiecze
ń
stwo poszczególnych ele-
mentów odpowiadaj
ą
konkretne osoby.
•
Zasada obecno
ś
ci koniecznej. Prawo przebywania w okre
ś
lonych miejscach maj
ą
tylko
osoby upowa
ż
nione.
•
Zasada stałej gotowo
ś
ci. System jest przygotowany na wszelkie zagro
ż
enia. Niedo-
puszczalne jest tymczasowe wył
ą
czanie mechanizmów zabezpieczaj
ą
cych.
•
Zasada kompletno
ś
ci. Skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje si
ę
po-
dej
ś
cie kompleksowe, uwzgl
ę
dniaj
ą
ce wszystkie stopnie i ogniwa ogólnie poj
ę
tego pro-
cesu przetwarzania informacji.
•
Zasada odpowiednio
ś
ci. U
ż
ywane mechanizmy musz
ą
by
ć
adekwatne do sytuacji.
•
Zasad akceptowanej równowagi. Podejmowane
ś
rodki zaradcze nie mog
ą
przekracza
ć
poziomu akceptacji.
11
5. Organizacja bezpiecze
ń
stwa informacji
5.1. Struktura zarz
ą
dzania bezpiecze
ń
stwem
Wszystkie procesy bezpiecze
ń
stwa, rozwi
ą
zania techniczne oraz jego organizacja musz
ą
by
ć
zgodne z nast
ę
puj
ą
cymi zasadami:
•
bezwzgl
ę
dne oddzielenie funkcji zarz
ą
dzaj
ą
cych i kontrolnych od funkcji wykonawczych,
•
uniemo
ż
liwienie nadu
ż
y
ć
i maksymalne ograniczenie bł
ę
dów popełnianych przez poje-
dyncze osoby w sferze jednoosobowej odpowiedzialno
ś
ci,
•
zapewnienie niezale
ż
no
ś
ci i bezinteresowno
ś
ci jednostek dokonuj
ą
cych audytu bezpie-
cze
ń
stwa przy zapewnieniu r
ę
kojmi zachowania tajemnicy.
5.2. Dokumentacja systemu zarz
ą
dzania bezpiecze
ń
stwem
informacji
Dokumentacja systemu zarz
ą
dzania bezpiecze
ń
stwem składa si
ę
z czterech głównych ele-
mentów. S
ą
nimi:
•
Polityka Bezpiecze
ń
stwa Informacji
•
Ksi
ę
ga Bezpiecze
ń
stwa Informacji
•
Deklaracja Stosowania Zabezpiecze
ń
•
Procedury i instrukcje bezpiecze
ń
stwa, które okre
ś
laj
ą
szczegółowo zasady post
ę
powa-
nia
•
Raporty z analizy ryzyka i plany post
ę
powania z ryzykiem
Uzupełnieniem dokumentacji SZBI jest dokumentacja z funkcjonuj
ą
cego Systemu Zarz
ą
dza-
nia Jako
ś
ci
ą
.
5.3. Struktura zarz
ą
dzania bezpiecze
ń
stwem informacji
Odpowiedzialno
ść
za bezpiecze
ń
stwo informacji w Spółce ponosz
ą
wszyscy pracownicy
zgodnie z posiadanymi zakresami obowi
ą
zków.
•
Kierownictwo firmy odpowiedzialne jest za zapewnienie zasobów niezb
ę
dnych dla opra-
cowania, wdro
ż
enia, funkcjonowania, utrzymania i doskonalenia systemu zarz
ą
dzania
bezpiecze
ń
stwem informacji oraz poszczególnych zabezpiecze
ń
. Wydaje zgod
ę
na u
ż
yt-
12
kowanie urz
ą
dze
ń
słu
żą
cych do przetwarzania informacji i zabezpiecze
ń
rekomendowa-
nych przez Forum Bezpiecze
ń
stwa. Decyduje równie
ż
o współpracy w zakresie bezpie-
cze
ń
stwa z innymi podmiotami. Kierownictwo mo
ż
e równie
ż
wyrazi
ć
zgod
ę
na udost
ę
p-
nienie stronom trzecim informacji stanowi
ą
cych tajemnic
ę
firmy.
•
Pełnomocnik ds. Bezpiecze
ń
stwa Informacji odpowiedzialny jest za wdro
ż
enie i koordy-
nacj
ę
zapewnienia bezpiecze
ń
stwa informacji oraz zwi
ą
zanych z nim polityk i procedur.
•
Forum Bezpiecze
ń
stwa jest organem doradczym w Spółce w zakresie zagadnie
ń
zwi
ą
-
zanych z bezpiecze
ń
stwem informacji.
•
Wła
ś
ciciel aktywu odpowiada za bie
żą
ce nadzorowanie oraz zarz
ą
dzanie aktywem.
•
Administrator aktywu odpowiada za realizacj
ę
i nadzór nad technicznymi aspektami ak-
tywu w
ś
cisłej kooperacji z Wła
ś
cicielem aktywu.
Poni
ż
szy schemat przedstawia organizacj
ę
zarz
ą
dzania bezpiecze
ń
stwem informacji
w Spółce.
W powy
ż
szej strukturze mo
ż
liwe jest wyró
ż
nienie trzech poziomów działa
ń
:
•
Na poziomie strategicznym prowadzona jest generalna polityka bezpiecze
ń
stwa infor-
macji w odniesieniu do wcze
ś
niej rozpoznanego, okre
ś
lonego, a tak
ż
e poddanego anali-
zie ryzyka i zasadniczych oczekiwa
ń
, co do poziomu bezpiecze
ń
stwa informacji oraz w
odniesieniu do wynikaj
ą
cych z nich modelowych zada
ń
i rozwi
ą
za
ń
. Dlatego te
ż
w procesy decyzyjne tego poziomu zaanga
ż
owane jest najwy
ż
sze kierownictwo Spółki
okre
ś
laj
ą
ce zasadnicze u
ż
ytkowe kryteria bezpiecze
ń
stwa informacji (pochodne od kryte-
ZARZ
Ą
D
FORUM
BEZPIECZE
Ń
STWA
Pełnomocnik
ds. BI
Wła
ś
ciciel aktywu
Administrator
systemu
13
riów normatywnych i mo
ż
liwe do zrealizowania na bazie zidentyfikowanych atrybutów in-
formacji) .
•
Na poziomie taktycznym tworzone s
ą
standardy bezpiecze
ń
stwa informacji oraz zasady
kontroli ich wypełniania w stosowanych rozwi
ą
zaniach i systemach informatycznych oraz
przestrzegania w praktyce u
ż
ywania tych rozwi
ą
za
ń
i systemów (stosownie do zało
ż
o-
nych poziomów bezpiecze
ń
stwa: standardowego, podwy
ż
szonego lub specjalnego). W te
procesy decyzyjne zaanga
ż
owane jest (głównie) kierownictwo.
•
Na poziomie operacyjnym prowadzona jest administracja bezpiecze
ń
stwem informacji
pod k
ą
tem pełnego stosowania standardów bezpiecze
ń
stwa oraz rozwi
ą
zywania sytuacji
zakłóce
ń
wynikaj
ą
cych z naruszenia tych standardów (intencjonalnego lub przypadkowe-
go).
Diagram przedstawiony poni
ż
ej prezentuje graficznie przedstawiony podział.
Zarząd
Pełnomocnik ds. BI
Forum Bezpieczeństwa
Właściciele aktywów
Wszyscy pracownicy
Poziom
operacyjny
Poziom
taktyczny
Poziom
strategiczny
14
5.4. Funkcjonowanie forum bezpiecze
ń
stwa
5.4.1. Organizacja Forum Bezpiecze
ń
stwa
W skład Forum wchodzi Prezes Zarz
ą
du, Pełnomocnik ds. Bezpiecze
ń
stwa Informacji oraz
inni pracownicy powołani przez Prezesa Zarz
ą
du
.
Forum zwoływane jest przez Pełnomocni-
ka ds. Bezpiecze
ń
stwa Informacji za zgod
ą
Prezesa Zarz
ą
du.
5.4.2. Zadania, uprawnienia i odpowiedzialno
ść
Forum Bezpiecze
ń
stwa
•
dokonywanie przegl
ą
du polityki bezpiecze
ń
stwa informacji oraz ogólnego podziału od-
powiedzialno
ś
ci,
•
uzgadnianie metodyki i procesów zwi
ą
zanych z bezpiecze
ń
stwem informacji (szacowanie
ryzyka, system klasyfikacji dla potrzeb bezpiecze
ń
stwa),
•
monitorowanie istotnych zmian nara
ż
enia aktywów informacyjnych na podstawowe za-
gro
ż
enia,
•
dokonywanie przegl
ą
du i monitorowanie narusze
ń
bezpiecze
ń
stwa informacji,
•
zatwierdzanie wa
ż
niejszych przedsi
ę
wzi
ęć
zmierzaj
ą
cych do podniesienia poziomu bez-
piecze
ń
stwa informacji,
5.5. Zasady współpracy z osobami trzecimi
Ka
ż
dy go
ść
lub osoba, która wykonuje prace zlecone na terenie firmy zobligowana jest do
przestrzegania nast
ę
puj
ą
cych procedur:
•
do podpisania umowy lojalno
ś
ciowej o przestrzeganiu tajemnicy słu
ż
bowej,
•
do podpisania odpowiedzialno
ś
ci za naruszenie obowi
ą
zków pracowniczych/ zlecenio-
biorcy i za szkod
ę
wyrz
ą
dzon
ą
pracodawcy/ zleceniodawcy,
•
do przestrzegania reguł bhp,
•
do przestrzegania reguł bezpiecze
ń
stwa przeciwpo
ż
arowego.
Ka
ż
da osoba trzecia, która narusza sfer
ę
bezpiecze
ń
stwa Spółki nie zostaje pozostawiona
bez nadzoru personelu firmy. Dost
ę
p do magazynów i biur wszelkiego personelu technicz-
nego zajmuj
ą
cego si
ę
konserwacj
ą
sprz
ę
tu, ochrony i innych osób jest nadzorowany przez
pracowników Spółki. Spółka kieruje si
ę
zasad
ą
,
ż
e najbardziej zaufanymi osobami trzecimi
15
s
ą
ju
ż
znane osoby firmie, które wcze
ś
niej były ju
ż
obecne na terenie firmy. Dost
ę
p go
ś
ci w
strefie bezpiecze
ń
stwa jest mo
ż
liwy tylko i wył
ą
cznie w godzinach pracy.
5.6. Zasady współpracy ze stronami zewn
ę
trznymi
Współpraca firmy z innymi spółkami oparta jest na umowach. Zawieraj
ą
c te umowy Spółka
ma zawsze na wzgl
ę
dzie, aby obejmowały one deklaracj
ę
o zachowanie poufno
ś
ci oraz zo-
bowi
ą
zania do działania zgodnie z prawem.
5.7. Zasady współpracy z Policj
ą
, jednostkami Stra
ż
y Po
ż
arnej
i Stra
ż
y Miejskiej
Wymiana informacji o zagro
ż
eniach w zakresie bezpiecze
ń
stwa osób i mienia oraz zakłóce-
nia spokoju i porz
ą
dku publicznego nast
ę
puje poprzez:
•
Udzielanie wzajemnej pomocy w realizacji zada
ń
ochrony, zapobieganiu przest
ę
pczo
ś
ci,
•
Udzielanie wyczerpuj
ą
cych informacji o zagro
ż
eniu dla bezpiecze
ń
stwa i porz
ą
dku pu-
blicznego,
•
Współdziałanie w zabezpieczeniu powstałych awarii na obiekcie.
•
Współdziałanie przy zabezpieczeniu miejsc popełnienia przest
ę
pstw i wykrocze
ń
w gra-
nicach chronionych obiektów realizowane jest poprzez:
Zabezpieczenie
ś
ladów na miejscu zdarzenia,
Ustalenie
ś
wiadków zdarzenia, a tak
ż
e wykonywanie innych czynno
ś
ci, jakie zleci Po-
licja,
Niedopuszczenie osób postronnych na miejsce przest
ę
pstwa, wykroczenia.
Zabezpieczenie mienia jednostki na wypadek po
ż
aru lub awarii:
•
zaistniałym po
ż
arze lub awarii pracownik natychmiast zawiadamia Stra
ż
Po
ż
arn
ą
oraz
osob
ę
odpowiedzialn
ą
za obiekt,
•
przybyłe jednostki ratownicze natychmiast kieruje na miejsce akcji.
16
6. Zarz
ą
dzanie aktywami i ryzykami
Spółka zarz
ą
dza swoimi aktywami informacyjnymi poprzez zapewnienie im wymaganego
poziomu bezpiecze
ń
stwa. Identyfikowane s
ą
aktywa informacyjne i klasyfikowane zgodnie
ze stawianymi im wymaganiami w zakresie ochrony.
Wa
ż
nym elementem zarz
ą
dzania aktywami i bezpiecze
ń
stwem informacji w całej firmie jest
przeprowadzanie okresowej analizy ryzyka i opracowania planów post
ę
powania z ryzykiem.
Analiza jej wyników stanowi podstaw
ę
podejmowania wszelkich działa
ń
w zakresie doskona-
lenia ochrony zasobów Spółki.
Na podstawie wyników analizy ryzyka opracowywane s
ą
plany post
ę
powania z ryzykiem dla
aktywów o ryzykach wi
ę
kszych ni
ż
ustalony poziom ryzyka akceptowalnego. Ryzyka s
ą
przegl
ą
dane na przegl
ą
dach kierownictwa oraz po zmianach maj
ą
cych wpływ na system
bezpiecze
ń
stwa informacji.
6.1. Autoryzacja nowych urz
ą
dze
ń
Ka
ż
de nowe lub zmienione urz
ą
dzenie słu
żą
ce do przetwarzania informacji lub mog
ą
ce
w jakikolwiek inny sposób wpływa
ć
na bezpiecze
ń
stwo informacji musi zosta
ć
zweryfikowane
na zgodno
ść
z wymaganiami systemu bezpiecze
ń
stwa informacji i zaakceptowane przez
wskazan
ą
osob
ę
. O ile nie zostało to okre
ś
lone szczegółowo w innych opracowaniach, za
dopuszczenie
do
u
ż
ytkowania
nowych
urz
ą
dze
ń
odpowiada
Pełnomocnik
ds. Bezpiecze
ń
stwa Informacji.
17
7. Bezpiecze
ń
stwo zasobów ludzkich
Spółka dba o zapewnienie kompetentnych pracowników do realizacji wyznaczonych
w procesach zada
ń
. Celem takiego post
ę
powania jest ograniczenie ryzyka bł
ę
du ludzkiego,
kradzie
ż
y, nadu
ż
ycia lub niewła
ś
ciwego u
ż
ytkowania zasobów. Zasoby ludzkie s
ą
równie
ż
wa
ż
nym czynnikiem analizowanym podczas przeprowadzania okresowej analizy ryzyka.
Skuteczna realizacja postawionego celu mo
ż
liwa jest dzi
ę
ki ustanowionym praktykom
i podziałowi odpowiedzialno
ś
ci zwi
ą
zanemu z weryfikacj
ą
kandydatów do pracy podczas
naboru, zasadom zatrudniania pracowników oraz ustalonym procedurom rozwi
ą
zywania
umów o prac
ę
.
18
8. Bezpiecze
ń
stwo fizyczne i
ś
rodowiskowe
Spółka
dba
o
zapewnienie
wysokiego
poziomu
bezpiecze
ń
stwa
fizycznego
i
ś
rodowiskowego. Celem takiego post
ę
powania jest zapewnienie bezpiecze
ń
stwa informacji
przed dost
ę
pem osób niepowołanych, uszkodzeniem lub innymi zakłóceniami w obiektach
Spółki. W przypadku informacji i danych od naszych Klientów najistotniejsze jest zapewnie-
nie wszystkich trzech podstawowych aspektów bezpiecze
ń
stwa poufno
ś
ci danych oraz ich
dost
ę
pno
ś
ci i integralno
ś
ci. Skuteczna realizacja postawionego celu mo
ż
liwa jest dzi
ę
ki
ustanowionym
praktykom
i
podziałowi
odpowiedzialno
ś
ci
zwi
ą
zanemu
z wyznaczeniem stref bezpiecze
ń
stwa, zasadami pracy oraz administrowaniem prawami
dost
ę
pu do nich. Kluczowe systemy techniczne i informatyczne wyposa
ż
one s
ą
w systemy
podtrzymuj
ą
ce zasilanie.
19
9. Zarz
ą
dzanie systemami i sieciami
Spółka dba o przestrzeganie zasad zwi
ą
zanych z utrzymywaniem i u
ż
ytkowaniem systemów
informatycznych i sieci. Celem takiego post
ę
powania jest zapewnienie poufno
ś
ci, integralno-
ś
ci i dost
ę
pno
ś
ci przetwarzanej przez nie informacji własnych.
Skuteczna realizacja postawionego celu mo
ż
liwa jest dzi
ę
ki:
•
kompetencjom
i
ś
wiadomo
ś
ci
pracowników
oraz
podpisanym
umowom
ze
specjalistycznymi
firmami
administruj
ą
cymi
zasobami
informatycznymi
i wspomagaj
ą
cymi Spółki,
•
opracowanym zasadom konserwacji urz
ą
dze
ń
w celu zapewnienia ich ci
ą
głej pracy,
•
kontrolowaniu wprowadzania wszelkie zmian do infrastruktury technicznej,
•
w celu zapewnienia bezpiecze
ń
stwa systemów produkcyjnych, prace rozwojowe
i testowe prowadzone s
ą
na oddzielnych urz
ą
dzeniach lub
ś
rodowiskach,
•
usługi dostarczane przez strony trzecie s
ą
nadzorowane, w szczególno
ś
ci wszelkie
wprowadzane do nich zmiany. Po zakupie, lub wprowadzeniu zmiany do systemu jest on
odbierany i akceptowany w sposób
ś
wiadomy, uwzgl
ę
dniaj
ą
cy jego wpływ na istniej
ą
cy
system bezpiecze
ń
stwa,
•
wdro
ż
one s
ą
zabezpieczenia chroni
ą
ce przed oprogramowaniem zło
ś
liwym i mobilnym,
•
usystematyzowanemu tworzeniu i testowaniu kopii bezpiecze
ń
stwa,
•
przestrzeganiu opracowanych zasad post
ę
powania z no
ś
nikami,
•
bie
żą
cym monitorowaniu aktywów informacyjnych, w tym informatycznych, pod k
ą
tem
wcze
ś
niejszego wykrycia wszelkich niebezpiecze
ń
stw mog
ą
cych zagrozi
ć
bezpiecze
ń
-
stwu systemów,
Spółka monitoruje poziom incydentów w systemach informatycznych i posiada mechanizmy
reagowania w przypadkach ich wyst
ą
pienia.
20
10. Wymiana informacji
Ka
ż
da informacja udost
ę
pniana stronom trzecim (zewn
ę
trznym) podlega ochronie. Przed
udost
ę
pnieniem/wymian
ą
informacji ka
ż
dy pracownik jest odpowiedzialny za upewnienie si
ę
,
ż
e mo
ż
e informacje przekaza
ć
. W przypadku w
ą
tpliwo
ś
ci o przekazaniu informacji decyduje
wła
ś
ciwy przeło
ż
ony.
21
11. Kontrola dost
ę
pu
Spółka zarz
ą
dza kontrol
ą
dost
ę
pu. Celem takiego post
ę
powania jest zapewnienie,
ż
e dost
ę
p
do informacji, miejsc, urz
ą
dze
ń
lub systemów ich przetwarzania maj
ą
tylko osoby uprawnio-
ne. Skuteczna realizacja postawionego celu mo
ż
liwa jest dzi
ę
ki ustanowionym praktykom i
podziałowi odpowiedzialno
ś
ci zwi
ą
zanemu z nadzorowaniem ruchu osobowego.
22
12. Utrzymanie systemów informacyjnych
Spółka zapewnia,
ż
e wszystkie procesy zwi
ą
zane z pozyskaniem, rozwojem b
ą
d
ź
utrzyma-
niem systemów informacyjnych prowadzone s
ą
w sposób nadzorowany, gwarantuj
ą
cy
utrzymanie odpowiedniego poziomu bezpiecze
ń
stwa. Na to zapewnienie składa si
ę
:
•
uwzgl
ę
dnianie wymogów bezpiecze
ń
stwa podczas zakupu lub produkcji nowych syste-
mów,
•
dopuszczenie nowego systemu poprzedzone jest zawsze faz
ą
testowania,
•
nadzorowanie dost
ę
pu do kodów
ź
ródłowych oprogramowania,
•
wdro
ż
one procedury kontroli zmian/ aktualizacji oprogramowania.
23
13. Zarz
ą
dzanie incydentami
W przypadku wszelkich incydentów w Spółce powiadamiany jest Pełnomocnik
ds. Bezpiecze
ń
stwa Informacji. Z jego udziałem dokonywana jest wst
ę
pna analiza incydentu,
po czym podejmowane s
ą
działania zgodne z zasadami reakcji na zdarzenia. Po wyst
ą
pieniu
incydentu natychmiast podejmowane s
ą
działania maj
ą
ce usun
ąć
ewentualne skutki zaist-
nienia incydentu, a nast
ę
pnie wszystkie incydenty s
ą
szczegółowo analizowane
i podejmowane s
ą
dalsze decyzje wła
ś
ciwe dla danej sytuacji. Incydenty s
ą
rejestrowane
i analizowane przez Pełnomocnika ds. Bezpiecze
ń
stwa Informacji i członków Forum Bezpie-
cze
ń
stwa.
24
14. Zarz
ą
dzanie ci
ą
gło
ś
ci
ą
działania
Spółka dba o zapewnienie ci
ą
gło
ś
ci funkcjonowania usług zwi
ą
zanych z przetwarzaniem
danych. Celem takiego post
ę
powania jest przeciwdziałanie przerwom w działalno
ś
ci bizne-
sowej oraz ochrona krytycznych procesów biznesowych przed rozległymi awariami lub kata-
strofami. Skuteczna realizacja postawionego celu mo
ż
liwa jest dzi
ę
ki ustanowionym prakty-
kom i podziałowi odpowiedzialno
ś
ci zwi
ą
zanemu z zarz
ą
dzeniem ci
ą
gło
ś
ci
ą
działania tak,
aby ogranicza
ć
do akceptowalnego poziomu skutków wypadków i awarii. W sposób syste-
mowy tworzone s
ą
plany post
ę
powania w sytuacjach kryzysowych. Powołane Forum Bez-
piecze
ń
stwa dba o ich aktualno
ść
i testuje je pod wzgl
ę
dem przydatno
ś
ci w sytuacji realnego
zagro
ż
enia. Powy
ż
sze zasady zapewniaj
ą
,
ż
e firma jest przygotowana na działanie równie
ż
w przypadkach odbiegaj
ą
cych od normy.
25
15. Zgodno
ść
z wymaganiami prawnymi i innymi
Spółka dba o zapewnienie zgodno
ś
ci zasad post
ę
powania z przepisami obowi
ą
zuj
ą
cego
prawa, przyj
ę
tych uwarunkowa
ń
umownych i normatywnych oraz wypracowanych własnych
standardów. Celem takiego post
ę
powania jest unikanie naruszania jakichkolwiek przepisów
prawa karnego lub cywilnego, zobowi
ą
za
ń
wynikaj
ą
cych z ustaw, zarz
ą
dze
ń
lub umów
i jakichkolwiek wymaga
ń
bezpiecze
ń
stwa. Skuteczna realizacja postawionego celu mo
ż
liwa
jest
dzi
ę
ki
ustanowionym
praktykom
i podziałowi
odpowiedzialno
ś
ci
zwi
ą
zanemu
z identyfikacja wymaga
ń
prawnych w zakresie bezpiecze
ń
stwa informacji. Prowadzony jest
nadzór nad komplementarno
ś
ci
ą
stosowanych techniczn
ą
urz
ą
dze
ń
oraz prowadzone s
ą
audyty wewn
ę
trzne funkcjonowania systemu.
26
16. Postanowienia ko
ń
cowe
Spółka wymaga zapoznania si
ę
pracowników z dokumentacj
ą
Polityki Bezpiecze
ń
stwa In-
formacji. Za zło
ż
enie przez nich stosownych o
ś
wiadcze
ń
oraz uzyskanie niezb
ę
dnych praw
dost
ę
pu (do pomieszcze
ń
i systemów informatycznych), stosownie do przypisanej roli odpo-
wiada bezpo
ś
redni przeło
ż
ony.
Bie
żą
cy nadzór nad przestrzeganiem przyj
ę
tych zasad w zakresie bezpiecze
ń
stwa informacji
pełni Pełnomocnik ds. Bezpiecze
ń
stwa Informacji, b
ę
d
ą
cy reprezentantem Zarz
ą
du Spółki.
Naruszenia
ś
wiadome, b
ą
d
ź
przypadkowe niniejszej Polityki Bezpiecze
ń
stwa Informa-
cji (wraz z wszystkimi dokumentami operacyjnymi) powoduje skutki prawne zgodnie z
Regulaminem Pracy, a w przypadkach zastrze
ż
onych przez ustawodawc
ę
– karne wy-
nikaj
ą
ce z odpowiedzialno
ś
ci okre
ś
lonej przez s
ą
d.
27
17. Historia zmian
Nr
zmiany
Data zmiany
Opis zmiany
Obowi
ą
zuj
ą
ce
wydanie