Data wydania: 23.11.2021r.
Polityka Bezpieczeństwa Informacji Dostawców / Podwykonawców SPIE Energotest sp. z o. o.
1. Cel i zakres polityki kontroli dostępu
Celem funkcjonowania polityki bezpieczeństwa informacji zwanej dalej polityką jest:
- zapewnienie przetwarzanym informacjom poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności i niezawodności,
- minimalizowanie występowania zagrożeń dla bezpieczeństwa informacji,
- zapewnienie poprawnego i bezpiecznego funkcjonowania systemów przetwarzających informacje,
- zapewnienie świadomości dostawców w zakresie bezpieczeństwa informacji,
- zapewnienie ciągłości działania Spółki.
Polityka obowiązuje wszystkich dostawców świadczących usługi lub dostarczających materiały / produkty na rzecz SPIE Energotest Sp. z o.o.
2. Definicje i terminologia
ET – należy przez to rozumieć SPIE ENERGOTEST Sp. z o.o.
Dostawca - podmiot wykonujący pracę na rzecz ET, obejmującą dostawę usług bądź materiałów.
Strony - ET i Dostawca
Aktywa – wszystko co ma wartość dla ET z uwagi na zawarte w nim informacje
Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
Incydent bezpieczeństwa – niepożądane zdarzenie lub seria zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i mogą mieć negatywny wpływ na bezpieczeństwo informacji.
Informacja - wszystko co zostało bądź nadaje się do przetworzenia w taki sposób, że na ich podstawie można wyciągać wnioski, podejmować decyzje. Informacja może istnieć w wielu postaciach: papierowa, elektroniczna, dźwięk, obraz itd.
Bezpieczeństwo informacji - zbiór działań i środków technicznych i organizacyjnych, mających zapewnić ochronę informacji przed przypadkowym lub zamierzonym zniszczeniem, zmianą treści lub ujawnieniem.
Przetwarzanie informacji - jakiekolwiek czynności wykonywane na informacji, takie jak tworzenie, zbieranie, utrwalanie, przechowywanie, odczytywanie, zmienianie, udostępnianie, usuwanie, itd.
Użytkownik – każdy, kto posiada dostęp do aktywów ET.
3. Zasady ogólne
- Polityka, jest częścią zasad i procedur regulujących stosunki między Stronami. Polityka podlega okresowej weryfikacji. Przestrzeganie Polityki jest warunkiem zgodnego z umową świadczenia usług na rzecz ET.
- Strony muszą przestrzegać przepisów prawnych i uregulowań odnoszących się do Technologii Informatycznych.
- Zakazane jest wykorzystywanie zasobów systemów Informatycznych skutkujące naruszeniem prawa własności intelektualnej.
- Instalowanie oprogramowania lub zapisywanie jakichkolwiek innych materiałów w Systemie Informatycznym powierzonym przez ET, które nie zostały pozyskane w sposób uprawniający ET do ich używania, jest sprzeczne z niniejszą Polityką.
4. Prawa własności, kontrola aktywów
- Aktywa powierzone dostawcy przez ET muszą być traktowane jak każda inna własność ET
- Przetwarzanie informacji powierzonej dostawcy możliwe jest jedynie za zgodą ET
- ET zastrzega sobie prawo stałej kontroli przekazanych aktywów informacyjnych dostawcy. Kontrola obejmuje takie metody jak: przechwycenie, monitoring, wpis do dziennika zdarzeń oraz inspekcję. Celem stałej kontroli jest ochrona interesów ET i Dostawcy
- Aktywa wytworzone przez Dostawcę w trakcie realizacji usług na rzecz ET podlegają takim samym zasadom jak Aktywa przekazane dostawcy przez ET.
- Dostawca musi przez cały czas stosować odpowiednie mechanizmy ochronne stosownie do systemów, nad którymi sprawuje kontrolę oraz w odniesieniu do informacji w nich zawartych. Dostawca jest w pełni odpowiedzialny za tworzenie regularnych kopii bezpieczeństwa danych dotyczących ET
- Aktywa służące przetwarzaniu informacji dotyczącej ET muszą posiadać, zaaprobowane przez Strony, zabezpieczenia informatyczne.
- Bez pisemnej zgody ET informacje należące do ET nie mogą być przetwarzane lub przechowywane na sprzęcie nie należącym do ET
- Nieautoryzowany przez ET sprzęt elektroniczny nie może zostać podłączony do Systemu Informatycznego ET. Podłączanie służbowych lub prywatnych telefonów komórkowych do Systemów Informatycznych ET jest zabronione.
5. Wykorzystywanie infrastruktury ET przez Dostawcę
- Korzystanie z infrastruktury IT ET w celach prywatnych jest zabronione
- Użytkownikiem systemu informatycznego może być jedynie osoba posiadająca odpowiednie upoważnienie i zarejestrowana w rejestrze użytkowników danego systemu
- Rejestry użytkowników systemów informatycznych prowadzi ET
- Każdy zarejestrowany użytkownik korzysta z przydzielonego mu konta użytkownika, opatrzonego identyfikatorem i hasłem dostępu.
- Domyślnymi uprawnieniami w systemach IT ET jest odmowa dostępu. Dostęp nadawany jest dopiero w momencie zaistnienia potrzeby.
- W ramach nadawania uprawnień do danych przetwarzanych w systemach IT ET stosuje się zasadę „minimalnych uprawnień”, to znaczy przydzielane są minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku
- Hasła muszą być utrzymywane w tajemnicy i nie mogą zostać ujawnione innym osobom. W przypadku przekazania przez Użytkownika realizującego obowiązek Dostawcy hasła innej osobie, Dostawca pozostaje w pełni odpowiedzialny za nienaruszalność i poufność powierzonych mu informacji.
- W celu zapobieżenia dostępowi do aktywów osobie niepowołanej:
— użytkownik zobligowany jest do skutecznego wylogowania się z systemu lub zablokowania systemu za każdym razem, gdy zamierza opuścić stanowisko pracy, niezależnie od tego na jak długo ma zamiar odejść od komputera;
— w przypadku telefonów komórkowych, niezależnie od nr PIN do karty SIM, należy stosować blokadę systemu (np.: nr PIN, odcisk palca, kod graficzny)
— nie zezwala się na używanie sprzętu osobom nieupoważnionym;
- Dostawca nie może modyfikować urządzeń należących do ET np. poprzez instalację podzespołów komputerowych, oprogramowania lub w inny sposób bez pisemnej zgody ET.
- Dostawca powinien stale troszczyć się o powierzony mu sprzęt ET, a w szczególności zadbać o zabezpieczenie przed kradzieżą, uszkodzeniom podczas transportu lub niepożądanym wpływem środowiska.
- Należy zachować szczególną ostrożność przy posługiwaniu się materiałami na mediach wymiennych (np. CD-ROM, itp.), które zostały utworzone lub użyte poza Systemem Informatycznym ET. Nie można używać mediów pochodzących z wątpliwego lub nieznanego źródła na sprzęcie należącym do ET. Wszelkie tego typu materiały powinny przed użyciem zostać przeskanowane programem antywirusowym.
- Wszelkie instalacje oprogramowania na komputerach ET są dokonywane przez ET lub za pisemną zgodą ET
- Instalowanie i/ lub użycie prywatnego oprogramowania/plików na sprzęcie IT powierzonym przez ET jest zabronione.
- Na powierzonym przez ET sprzęcie komputerowym musi być aktywna najnowsza wersja oprogramowania antywirusowego.
- Wszelkie zidentyfikowane przypadki zagrożenia, naruszenia i osłabienia bezpieczeństwa Systemów Informatycznych czy funkcjonowanie nieautoryzowanego przez ET oprogramowania (incydenty bezpieczeństwa) muszą być niezwłocznie raportowane do ET.
6. Przesyłanie wiadomości drogą elektroniczną
- Elektroniczna poczta udostępniona użytkownikom Dostawcy, jest traktowana jako poczta służbowa.
- Użytkownik, za którego odpowiedzialność ponosi Dostawca, przesyłając wiadomości drogą elektroniczną nie może przedstawiać prywatnych opinii i osądów jako stanowiska ET.
- Wysyłka informacji istotnych dla ET w tym danych osobowych, za pośrednictwem serwerów zewnętrznych, niezarządzanych przez ET, wymaga ich zabezpieczenia (np.: poprzez szyfrowanie plików). Hasło do zaszyfrowanego pliku nie może być wysłane razem z plikiem
- Rozmiar powierzonej skrzynki pocztowej ET jest ograniczony limitem. Użytkownik, za którego odpowiada Dostawca jest zobowiązany do regularnego usuwania nieaktualnych wiadomości.
7. Przesyłanie istotnych informacji w tym danych osobowych w formie papierowej
- Wysyłka małej ilości informacji (np.: dane kilku osób zgłaszanych na szkolenia) odbywa się przesyłka poleconą w zaklejonej, nieprześwitującej kopercie
- Wysyłka dużej ilości informacji lub danych wrażliwych realizowana jest w kopercie bezpiecznej.
8. Internet
- Użytkownicy, za których odpowiedzialny jest dostawca mogą korzystać z dostępu do Internetu udostępnionego przez ET, po przeszkoleniu przez pracownika ET na zasadach zawartych w dokumentacji ZSZ ET.
- ET zastrzega sobie prawo do monitorowania wszelkiego rodzaju połączeń realizowanych na urządzeniach podłączonych do Systemów Informatycznych
- Użytkownik, za którego odpowiedzialność ponosi Dostawca nie może:
— dążyć do ominięcia zabezpieczeń i kontroli dostępu stosowanych na urządzeniach brzegowych ET,
— celowo zakłócać funkcjonowania sieci np. poprzez rozsyłanie wirusów komputerowych, stosowanie praktyk hakerskich oraz przesyłanie dużych ilości danych blokujących sieć i utrudniających pracę innym użytkownikom,
— podłączania do sieci LAN ET, urządzeń nieautoryzowanych przez ET,
— ujawniać lub publikować poprzez Internet tajnych lub zastrzeżonych informacji firmowych, takich jak: informacje finansowe, nowe idee lub pomysły związane z firmą, strategie i plany marketingowe, bazy danych i informacje w nich zawarte, listy klientów, kody źródłowe oprogramowania, komputerowe/sieciowe kody dostępu oraz powiązania biznesowe itp.;
— używać Internetu, poczty elektronicznej lub innych narzędzi w celu stworzenia prawnych lub kontraktowych zobowiązań bez wymaganej autoryzacji ET;
9. Minimalne wymagania jakie musi spełniać system informatyczny dostawcy nie będący własnością ET:
- Oprogramowanie (System Operacyjny i aplikacje) zainstalowane i użytkowane są zgodnie z prawem i warunkami licencji,
- Każdy system operacyjny i aplikacja musi być na bieżąco weryfikowany pod kątem aktualizacji i poprawek bezpieczeństwa,
- Posiada zainstalowane, aktualne i działające oprogramowanie antywirusowe.
- Personel obsługujący system informatyczny dostawcy nie będący własnością ET powinien być przeszkolony z zakresu obsługi i zasad bezpieczeństwa oraz zaznajomiony z niniejszą polityką.