Budimex.pl
CZ    

Zásady bezpečnosti informačních systémů pro dodavatele Budimex S.A.

1. ÚČEL

 

Účelem tohoto dokumentu je sdělit povinnosti a odpovědnost všem dodavatelům poskytujícím své služby společnosti Budimex S.A. (a jejím zaměstnancům) z hlediska ochrany informačních aktiv, ke kterým má dodavatel přístup a které jsou předmětem zpracování v rámci poskytované služby.

 

2. OBSAH

 

Tento dokument představuje zásady pro zabezpečení informačních systémů, kterými se mají řídit dodavatelé společnosti Budimex S.A. (dále jen Zásady).
Ustanovení obsažená v tomto dokumentu upravují dvě základní oblasti ochrany informací:
• Služby poskytované dodavatelem pomocí informačních systémů svěřených společností Budimex a/nebo informačních systémů napojených na IT infrastrukturu společnosti Budimex. 
• Služby poskytované dodavatelem pomocí jeho vlastních informačních systémů, avšak zpracovávané údaje jsou buď ve vlastnictví společnosti Budimex, nebo jsou společností Budimex chráněny (např. osobní údaje zaměstnanců společnosti).

 

3. ODPOVĚDNOST

 

Společnost Budimex S.A. vynakládá veškeré úsilí na zajištění efektivního a bezpečného chodu podniku s cílem maximálně uspokojit potřeby zákazníků, zainteresovaných stran a zaměstnanců společnosti. Tato zvláštní péče vedení společnosti se projevuje minimalizací provozního rizika cestou zajištění odpovídající úrovně bezpečnosti při zpracování informačních aktiv. Za tímto účelem se vedení společnosti Budimex S.A. rozhodlo zavést předpisy o zabezpečení informací.
Tento dokument je vyjádřením záměru zajistit bezpečnost informačních aktiv implementací Politiky ochrany informací pro aktiva zpřístupněná a zpracovávaná dodavateli společnosti Budimex.

 

4. DEFINICE

 

Informační aktiva – informace a systémy, infrastruktura, zařízení a software používané pro zpracování informací;
Bezpečnost informací – zabezpečené utajení, integrita a dostupnost informačních aktiv;
Osobní údaje – veškeré informace týkající se fyzické osoby, jejíž totožnost je známa nebo může být přímo či nepřímo zjištěna;
Incident informační bezpečnosti – nežádoucí událost nebo série událostí, které mohou způsobit narušení provozu podniku a mohou mít dopad na bezpečnost informačních aktiv;
Informace – jakákoli informace bez ohledu na její formu, tj. v elektronické podobě, v papírovém dokumentu nebo předaná ústně;
Utajované informace – pojem je definován v zákoně ze dne 5. srpna 2010 o ochraně utajovaných informací. Označuje informace, které vyžadují ochranu před neoprávněným zveřejněním jako státní nebo služební tajemství bez ohledu na způsob jejich vyjádření.
Zpracování informací – jakýkoli proces, kterému může být informace podrobena, ať už jde o její vytvoření, sběr, zaznamenání, uložení, přečtení, změnu, zpřístupnění, vymazání atd;
Uživatel – každý, kdo má přístup k informačním aktivům společnosti Budimex; patří sem zaměstnanci, brigádníci, konzultanti, učni, klienti atd.


5. POPIS POSTUPU - OBECNÁ PRAVIDLA

 

5.1 Dodržování zásad
5.1.1 Zásady jsou součástí pravidel a postupů, které upravují vztahy mezi stranami. Zásady se musí pravidelně ověřovat. Dodržování Zásad je předpokladem pro to, aby jejich plnění bylo shledáno v souladu se smlouvou.


5.2 Soulad s právními předpisy
5.2.1 Strany jsou povinny dodržovat zákony a předpisy platné pro informační technologie.
5.2.2 Jakékoli použití prostředků informačních systémů, které má za následek porušení práv duševního vlastnictví, je přísně zakázáno.
5.2.3 Porušením Zásad je jakákoli instalace softwaru nebo jiné uložení dat v informačním systému poskytovaném společností Budimex, které byly získány způsobem, který ze společnosti Budimex nečiní jejich oprávněného uživatele.


5.3 Majetková práva a ochrana informací uložených v elektronické podobě.
5.3.1 Data a informace uložené, zpracovávané a/nebo přenášené prostřednictvím informačních systémů vlastněných společností Budimex jsou pod neustálým dohledem. To zahrnuje pořizování dat, monitorování, zápis do záznamníku událostí a kontrolu. Cílem tohoto stálého dohledu je ochrana zájmů společnosti Budimex i dodavatele.
5.3.2 Data a informace jsou majetkem společnosti Budimex nebo dodavatele. Tito jsou povinni o ně pečovat jako o jakýkoli jiný majetek společnosti.
5.3.3 Údaje a informace související se společností Budimex uložené v jakékoliv formě nebo v informačním systému nelze bez oprávnění odstranit. K jakémukoli vymazání/zničení může dojít pouze na základě předchozího souhlasu a způsobem dohodnutým s vlastníkem údajů.
5.3.4 Údaje a informace svěřené dodavateli nebo vzniklé v rámci služeb poskytovaných společnosti Budimex, jakož i ty, které jsou pod kontrolou dodavatele, musí dodavatel dostupnými prostředky řádně chránit před zničením, poškozením a neoprávněným přístupem.
5.3.5 Dodavatel musí zajistit, aby byly neustále zapojeny vhodné obranné mechanismy adekvátní systémům, které jsou pod kontrolou dodavatele, a s ohledem na data/informace v nich obsažené. Dodavatel nese plnou odpovědnost za pravidelné vytváření záložní kopie dat společnosti Budimex uložených v mobilním IT zařízení. Data a informace budou v mobilním zařízení uloženy v minimálním rozsahu a pouze po dobu nezbytnou k dokončení rozsahu poskytované služby. Pokud je to možné, data se budou uchovávat na síťových discích.
5.3.6 Mobilní IT zařízení, na kterém jsou uložena životně důležitá a/nebo utajovaná data a informace týkající se společnosti Budimex, musí být vybavené technologií ochrany dat proti neoprávněnému přístupu odsouhlasenou smluvními stranami.
5.3.7 Žádná data vlastněná společností Budimex nesmí být bez písemného souhlasu zpracovávána ani ukládána v zařízení, které není společností Budimex vlastněno (např. domácí počítače).
5.3.8 Doba a způsob uchovávání elektronických dat v informačním systému musí odpovídat předpokladům přijatým pro daný systém (doba uchovávání dokumentů).
5.3.9 K Informačnímu systému společnosti Budimex nelze připojit žádné zařízení, které není schváleno společností Budimex. Jakékoli připojování firemních nebo soukromých mobilních telefonů k informačním systémům společnosti Budimex je přísně zakázáno.
5.3.10 Prostřednictvím internetu nelze zasílat žádné tajné ani důvěrné údaje. Důležité informace (které nejsou tajné ani důvěrné), přijímané nebo odesílané prostřednictvím internetu, musí být šifrované v souladu s pokyny aktuálních zásad zabezpečení.

 
6. POPIS POSTUPU – PRAVIDLA PLATNÁ PRO SYSTÉMY SDÍLENÉ SPOLEČNOSTÍ BUDIMEX S DODAVATELEM
 

6.1 IT technologie používané pro obchodní účely

6.1.1 Zaměstnanci dodavatele, kteří jsou uživateli informačních systémů poskytovaných společností Budimex, mohou příležitostně využívat výše uvedené prostředky k soukromým účelům. Tento způsob využití však nikdy nesmí zasahovat do jejich pracovních povinností a být jakkoli v rozporu se zájmy společnosti Budimex.
6.1.2 Jakékoli využití prostředků informačních systémů poskytovaných společností Budimex pro výdělečnou činnost související s jiným subjektem, než je společnost Budimex, je vyloučeno.

 

6.2 Kontrola přístupu k informacím z elektronických zdrojů.
6.2.1 Kontrola přístupu k datům uloženým v informačních systémech společnosti Budimex je povinná. Uživatelům je umožněn přístup do jednotlivých systémů v rozsahu, který vyžaduje konkrétní pracovní náplň.
6.2.2  Získání přístupu zahrnuje individuální identifikační údaje a heslo, které slouží k jednoznačné identifikaci uživatele v informačním systému a k ochraně před neoprávněným přístupem.
6.2.3  Hesla jsou vytvářena podle specifických pravidel definujících počet znaků, vnitřní strukturu a četnost změn.
6.2.4 Hesla se musí uchovávat v tajnosti a nesmí se vyzradit žádné třetí osobě. Pokud uživatel jednající jménem dodavatele sdělí své heslo třetí osobě, zůstává dodavatel plně odpovědný za integritu a důvěrnost svěřených údajů. Ochrana hesel je vždy v dobrém zájmu společnosti Budimex i dodavatele.
6.2.5 Uživatel, jehož identifikační údaje a heslo byly použité k získání neoprávněného přístupu do informačního systému, je považován za neoprávněného uživatele informačního systému.
6.2.6 V případě, že uživatel dočasně opustí své pracoviště, musí být jeho počítač uzamčen (např. v OS z rodiny Windows se použije kombinace kláves CTRL-ALT-DEL + ENTER), aby se zabránilo neoprávněnému použití třetími osobami.
6.2.7 Noví uživatelé se smějí přidat do informačního systému pouze po předchozím souhlasu společnosti Budimex.
6.2.8 Společnost Budimex provede změnu hesla uživatele pouze na základě žádosti oprávněné osoby; staré heslo nesmí být odtajněno.
6.2.9 Jakékoli využívání informačních systémů vlastněných společností Budimex nebo třetími osobami není dovoleno bez předchozího souhlasu osoby oprávněné k udělování oprávnění v této souvislosti.

 

6.3 Ochrana sdílených prostředků informačních systémů
6.3.1 Dodavatel není oprávněn bez předchozího písemného souhlasu příslušné odpovědné osoby společnosti Budimex upravovat jakékoliv zařízení ve vlastnictví společnosti např. instalací hardwarových částí nebo softwaru či jiným způsobem.
6.3.2 Dodavatel je povinen věnovat náležitou péči zařízením, která mu společnost Budimex svěří. Taková péče zahrnuje zejména ochranu před odcizením, poškozením při přepravě a manipulaci, zajištění řádného uskladnění při správné teplotě, zamezení působení silného magnetického pole nebo špatných atmosférických podmínek.
6.3.3 Zvláštní pozornost a opatrnost je třeba věnovat zacházení s výměnnými médii (např. CD-ROM apod.) vytvořenými nebo používanými externě, mimo informační systém společnosti Budimex. V zařízeních vlastněných společností Budimex není dovoleno používat média z neprověřeného nebo neznámého zdroje. Veškeré materiály tohoto druhu musí být nejprve zkontrolovány na přítomnost virů a/nebo otestovány  IT oddělením společnosti Budimex.
6.3.4 Každá instalace softwaru na počítačích společnosti Budimex musí být zajištěna výhradně společností Budimex. Legální instalace softwaru pro podnikové použití fyzickými osobami, které nejsou zaměstnanci společnosti Budimex, vyžaduje písemný souhlas společnosti.
6.3.5 Jakákoli instalace a/nebo používání soukromého softwaru na IT zařízeních svěřených společností Budimex je zakázána.
6.3.6  V počítačovém vybavení společnosti Budimex musí být vždy aktivní antivirová ochrana zajištěná prostřednictvím nejnovější verze antivirového softwaru dodaného společností Budimex. Je třeba vždy se řídit pokyny společnosti Budimex ohledně antivirové prevence. To se týká i případů případné eliminace virů, které by mohly infikovat informační systém společnosti Budimex. Pokud dojde ke zjištění nějaké nevyzpytatelné činnost antivirového softwaru, uživatel  je povinen tuto skutečnost neprodleně nahlásit IT oddělení společnosti Budimex.
6.3.7 Veškeré zjištěné případy ohrožení, narušení a oslabení bezpečnosti informačních systémů nebo provozování softwaru neschváleného společností Budimex (bezpečnostní incidenty) musí být neprodleně nahlášeny IT oddělení společnosti Budimex.

 

6.4 Přenos elektronických zpráv
6.4.1 Firemní poštovní systém společnosti Budimex, který může být zpřístupněn uživatelům jednajícím jménem dodavatele, je uznávaným komunikačním prostředkem ve společnosti Budimex a je považován za oficiální poštu.
6.4.2 Žádný uživatel jednající jménem dodavatele nesmí ve svých elektronicky šířených zprávách prezentovat jakékoliv soukromé názory a soudy jako stanovisko společnosti Budimex.
6.4.3 Na počítačích svěřených společností Budimex lze pro elektronickou komunikaci používat pouze řešení schválená společností Budimex.
6.4.4 Na počítačích poskytnutých společností Budimex nelze používat žádné externí služby poskytované prostřednictvím webu (např. služby Hotmail, Yahoo, WP, ONET, webové chaty, instant messaging apod.) 
6.4.5 Aby se předešlo škodlivým aktivitám (např. virům), které mohou infikovat informační systémy společnosti Budimex, musí být veškeré neočekávané zprávy, včetně jejich příloh od neznámého odesílatele, okamžitě odstraněny. Není dovolené otevírat přílohy uvedených zpráv.
6.4.6 Oběh e-mailové zprávy v podnikovém poštovním systému společnosti Budimex musí být omezen pouze na příjemce, kteří se s ní musí seznámit, nebo na příjemce, kteří se na jejím přínosu přímo podílejí. Distribuční seznamy by se neměly používat, pokud všichni příjemci nesplňují výše uvedená kritéria.
6.4.7 V systému podnikové pošty společnosti Budimex je třeba se vyvarovat obsáhlým přílohám zpráv rozesílaným velkému počtu příjemců prostřednictvím distribučních seznamů. K omezení velikosti obsáhlých příloh se použije kompresní software dodávaný společností Budimex a/nebo se místo nich odešle několik zpráv.
6.4.8 Velikost podnikové poštovní schránky je omezena. Uživatel jednající na odpovědnost dodavatele je povinen pravidelně odstraňovat neaktuální zprávy.

 

6.5  Internet
6.5.1 Poskytnutí přístupu dodavatele k internetu se může ukázat jako nezbytné pro účel řádné podpory plnění sjednaných služeb na straně společnosti Budimex. Tento přístup však podléhá určitým omezením popsaným v Zásadách ochrany informací společnosti Budimex SA. Přístup k internetu, ať už pomocí zařízení a/nebo prostřednictvím infrastruktury poskytnuté společností Budimex, je povolen pouze formou řešení poskytnutých a schválených společností Budimex.
6.5.2 Uživatel jednající na odpovědnost dodavatele nemůže v žádném případě připojit jemu svěřené zařízení k internetu nebo k jiné síti pomocí kabelů, vytáčecích modemů nebo bezdrátových řešení, pokud takové zařízení není zabezpečené řešeními odpovídajícími aktuálním Zásadám ochrany informací společnosti SA. Jakékoli připojení svěřeného zařízení k počítačové síti, která není ve vlastnictví skupiny Budimex, musí být individuálně schváleno společností Budimex.
6.5.3 Společnost Budimex si vyhrazuje právo monitorovat internetové připojení bez ohledu na jeho povahu v případech, kdy se jedná o informační systémy společnosti Budimex, a zablokovat přístup k webovým službám a stránkám, pokud zjistí, že jsou v rozporu se Zásadami ochrany informací společnosti Budimex SA.
6.5.4 Níže vyjmenované aktivity jsou zakázané uživatelům jednajícím v rámci odpovědnosti dodavatele:

pokusy o obejití ochrany, mechanismů kontroly přístupu nebo filtrování obsahu na internetové bráně;
úmyslné narušení funkčnosti sítě šířením virů, hackerskými praktikami a způsobováním velkého datového provozu, který může síť přetížit, a bránit tak v činnosti ostatním uživatelům;
zveřejnění nebo zpřístupnění tajné nebo utajované informace společnosti prostřednictvím internetu, včetně finančních údajů, nových nápadů a řešení souvisejících se společností, strategií, marketingových plánů, databází a záznamů v nich obsažených, seznamů zákazníků, zdrojových kódů softwaru, přístupových kódů k počítačům/síti a obchodních kontaktů atd.;
použití internetu, elektronické pošty nebo jiného nástroje za účelem vytváření jakýchkoli právních nebo smluvních vazeb bez potřebných pravomocí udělených představenstvem společnosti Budimex;
jiné využití prostředků nevhodným způsobem definovaným společností Budimex.
 

6.6 Nevhodný obsah
6.6.1 Dodavatel není oprávněn používat IT vybavení poskytnuté společností Budimex, ani zařízení nebo prostředky pro prohlížení, zpracování, výrobu a/nebo distribuci materiálů mezi zaměstnanci nebo kýmkoli jiným mimo společnost Budimex s obsahem spadajícím do některé z níže uvedených kategorií:

diskriminace (rasové nebo jiné povahy),
obtěžování (sexuální nebo jiné povahy),
představující hrozbu,
obscénní,
pornografické,
urážlivé,
nezákonné.
6.6.2 Dodavatel je povinen neprodleně zničit/odstranit veškeré materiály definované v bodě 6.6.1. výše, které obdrží z jakéhokoli zdroje, a požadovat po tomto odesílateli, aby s takovými nekalými praktikami přestal. O této skutečnosti je povinen neprodleně informovat vedoucího pracovníka ochrany informací společnosti Budimex, a poskytnout e-mailovou adresy odesílatele, předmět a přijatá opatření.

 

7. POPIS POSTUPU – PRAVIDLA PLATNÁ PRO INFORMAČNÍ SYSTÉMY DODAVATELE SPOLEČNOSTI BUDIMEX

 

V případě, že dodavatel při poskytování své služby využívá jiný informační systém než ten, který vlastní společnost Budimex, aniž by byla vytvořena vazba na infrastrukturu společnosti Budimex, jsou následující požadavky minimem pro připuštění systému na podporu služby:


7.1 Software (operační systém a aplikace) musí být nainstalován a používán v souladu s právními předpisy a příslušnými licenčními podmínkami.
7.2 Operační systém a všechny aplikace musí procházet pravidelnou bezpečnostní aktualizací (minimálně jednou měsíčně).
7.3 Každý systém s jakoukoli možností interakce s vnějším prostředím (počítačová síť, optická mechanika, port USB, disketová jednotka) musí být vybaven aktuálním a aktivním antivirovým softwarem (denně aktualizovaným). Pro systémy na bázi Windows lze seznam dostupných antivirových partnerů nalézt pod následujícím odkazem: http://windows.microsoft.com/en-US/windows/antivirus-partners#AVtabs=win7.
7.4 Systémový čas musí být přesný a pravidelně synchronizovaný (v případě systému se síťovým přístupem: prostřednictvím časového serveru; v případě offline systému: dokumentovaná synchronizace alespoň jednou měsíčně).
7.5 Systém musí mít funkční a pravidelně ověřovaný zálohovací software(obnova dat testována alespoň jednou ročně).
7.6 Celé prostředí, na kterém je založeno poskytování služeb společnosti Budimex, musí mít logickou a environmentální ochranu: zálohování napájení, ochranu proti neoprávněnému přístupu, a to jak fyzickou, tak logickou.

7.7 Personál musí být proškolen na používání a obsluhu systému.

 

8. ZDOKUMENTOVANÉ INFORMACE

 

8.1 Zpráva dodavatele z přezkoumání organizačních a technických kontrol.

 

9. PŘÍLOHY A FORMULÁŘE

 

ŽÁDNÉ

Daum poslední aktualizace: 07. 02. 2017