Page 1

Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Polityka bezpieczeństwa informacji ATM S.A. System Zarządzania Bezpieczeństwem Informacji (przegląd dokumentu PBI)

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 1/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Spis treści Rozdział 1. Wprowadzenie ...................................................................................................................... 3 Rozdział 2. Zakres i powołania normatywne Polityki Bezpieczeństwa Informacji .................................. 4 Rozdział 3. Kontekst organizacji .............................................................................................................. 5 Rozdział 4. Przywództwo ......................................................................................................................... 6 Rozdział 5. Planowanie ............................................................................................................................ 9 Rozdział 6. Wsparcie.............................................................................................................................. 11 Rozdział 7. Działania operacyjne ........................................................................................................... 14 Rozdział 8. Ocena wyników ................................................................................................................... 15 Rozdział 9. Doskonalenie ....................................................................................................................... 17

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 2/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Rozdział 1. Wprowadzenie Celem dokumentu jest zaprezentowanie strategii działania ATM SA w zakresie bezpieczeństwa informacji uwzględniającej nową formułę organizacyjno-prawną firmy, jako operatora telekomunikacyjnego realizującego zadania pod marką atman oraz zapewnienie zainteresowanych stron o dołożeniu wszelkich starań ATM SA dla zagwarantowania najwyższej jakości usług w zakresie bezpieczeństwa informacji. Tezy zawarte w niniejszym dokumencie są rozwinięte w dokumencie podstawowym PBI i stanowią tajemnicę przedsiębiorstwa. Cele strategii działania biznesowego w zakresie bezpieczeństwa informacji realizowane są w zgodności z normą PN-ISO/IEC 27001:2014 System zarządzania bezpieczeństwem informacji (SZBI). Polityki, procedury, instrukcje i zapisy realizowane w ramach SZBI wynikają z uwarunkowań biznesowych, a w szczególności klientów atman, oraz mają na celu osiągnięcie zgodności z

wymaganiami

prawnymi,

jak

i

normatywnymi

we

wszystkich

obszarach

bezpieczeństwa

telekomunikacyjnego, teleinformatycznego, fizycznego i środowiska, zasobów ludzkich i ciągłości działania. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji przynosi spółce wymierne korzyści w postaci:  zapewnienia ochrony informacji wrażliwej spółki i klientów,  ograniczenia incydentów bezpieczeństwa informacji,  ochrony marki i reputacji,  utrzymania zaufania klientów,  stabilizacji zatrudnienia (mniejszej fluktuacji),  ograniczenia kosztów i strat finansowych, np. kar czy podwyższonych składek ubezpieczeniowych.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 3/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Rozdział 2. Zakres i powołania normatywne Polityki Bezpieczeństwa Informacji W Polityce Bezpieczeństwa zostały określone wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w ATM SA (ATM) zgodnie z PN-ISO/lEC 27001:2014, z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb ATM wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. ATM deklaruje realizację wymagań określonych w niniejszej normy dotyczących:  kontekstu organizacji - określenie czynników zewnętrznych i wewnętrznych istotnych dla celu działania ATM oraz takich, które wpływają na zdolność do osiągnięcia zamierzonych wyników działania systemu zarządzania bezpieczeństwem informacji SZBI,  przywództwa,  planowania,  wsparcia,  działań operacyjnych,  oceny wyników,  doskonalenia. W ATM utrzymuje się dokumentację opisującą szczegółowo podstawowe obszary funkcjonowania SZBI tj. Politykę zarządzania zasobami ludzkimi, Politykę bezpieczeństwa fizycznego i środowiskowego, Politykę

bezpieczeństwa

teleinformatycznego

i

telekomunikacyjne,

Politykę

ciągłości

działania

bezpieczeństwa informacji i Politykę zgodności z prawem i normami. Podstawą wytycznych zawartych w niniejszej PBI są następujące dokumenty normatywne: Podstawowe:  PN-ISO/IEC 27001:2014 Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji – Wymagania  PN-ISO/IEC 27002:2014 Technika informatyczna - Techniki bezpieczeństwa - Praktyczne zasady zabezpieczania informacji. Zarządzanie ryzykiem i postępowanie z ryzykiem:  PN-ISO/EIC 31000: 2012 Zarządzanie ryzykiem - Zasady i wytyczne.  PN-ISO/IEC 27005:2014 Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem w bezpieczeństwie informacji. Audytowanie:  PN-EN/ISO 19011:2012 Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego oraz normy techniczne z zakresu bezpieczeństwa fizycznego i środowiska czy ciągłości działania.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 4/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Rozdział 3. Kontekst organizacji 3.1. Zrozumienie organizacji i jej kontekstu Jednym z istotnych działań w ATM jest określenie czynników zewnętrznych i wewnętrznych istotnych dla celu działania firmy i takich, które wpływają na zdolność ATM do osiągnięcia zamierzonych wyników działania systemu zarządzania bezpieczeństwem informacji. Kontekst zewnętrzny obejmuje ogólne powiązania organizacji z otoczeniem w sensie prawnym i regulacjami, zobowiązań zawartych w umowach z klientami i innymi aspektami specyficznymi związanymi z szacowaniem ryzyka dla zakresu procesu zarządzania ryzykiem. Kontekst wewnętrzny obejmuje środowisko wewnętrzne, w którym ATM realizuje swoje cele biznesowe i obejmuje aspekty organizacyjne i prawne funkcjonowania firmy tj. ład i strukturę organizacyjną; polityki i procedury opisujących realizację procesów; zasoby ludzkie i jego kompetencje (wiedza); poziom kultury organizacyjnej; świadomość pracowników (w tym w

zakresie bezpieczeństwa); przepływy informacji

(formy komunikacji) przyjęte normy; wytyczne i modele postępowania; stosowane technologie niezbędne przy realizacji celów biznesowych oraz relacje z podwykonawcami i innymi stronami wewnątrz organizacji.

3.2. Zrozumienie potrzeb i oczekiwań stron zainteresowanych ATM określił strony zainteresowane, istotne dla systemu zarządzania bezpieczeństwem informacji oraz wymagania tych stron zainteresowanych, istotne dla bezpieczeństwa informacji. Wymagania stron zainteresowanych obejmują wymagania prawne i wymagania regulacyjne oraz zobowiązania wynikające z umów. W ramach doskonalenia działania systemu SZBI, dokonywany jest regularnie przegląd stron zainteresowanych dotyczący ich oczekiwań.

3.3. Określenie zakresu systemu zarządzania bezpieczeństwem informacji ATM określił granice i możliwości zastosowania systemu zarządzania bezpieczeństwem informacji w celu ustanowienia jego zakresu. Przy określaniu zakresu uwzględnione zostały czynniki zewnętrzne i wewnętrzne dotyczące wymagania kontekstu działań biznesowych ATM oraz zapisów zawartych w rozdziale 3.1.

3.4. System Zarządzania Bezpieczeństwem Informacji Firma ATM ustanowiła, wdrożyła, utrzymuje i ciągle doskonali System Zarządzania Bezpieczeństwem Informacji, zgodnie z wymaganiami normy PN-ISO/IEC 27001:2014.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 5/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Rozdział 4. Przywództwo 4.1. Przywództwo i zaangażowanie Najwyższe Kierownictwo ATM wykazuje przywództwo i zaangażowanie w odniesieniu do Systemu Zarządzania Bezpieczeństwem Informacji poprzez:  zapewnienie, że polityka bezpieczeństwa informacji oraz cele bezpieczeństwa informacji są ustanowione i zgodne z kierunkiem strategicznym organizacji,  zapewnienie

zintegrowania

wymagań

systemu

zarządzania

bezpieczeństwem

informacji

z procesami organizacji,  zapewnienie dostępności zasobów potrzebnych w systemie zarządzania bezpieczeństwem informacji,  komunikowanie znaczenia skutecznego zarządzania bezpieczeństwem informacji i zgodności z wymaganiami systemu zarządzania bezpieczeństwem informacji,  zapewnienie, że system SZBI osiąga zamierzone wyniki,  kierowanie i wspieranie osób przyczyniających się do osiągnięcia skuteczności systemu zarządzania bezpieczeństwem informacji,  promowanie ciągłego doskonalenia,  wspieranie innych właściwych członków kierownictwa w wykazywaniu przywództwa odpowiednio do obszarów ich odpowiedzialności. Potwierdzeniem opisanych wyżej aspektów zaangażowania Najwyższego Kierownictwa ATM są deklaracje zawarte w dokumencie Deklaracji Stosowania stanowiącym tajemnicę przedsiębiorstwa.

4.2. Polityka Polityka

bezpieczeństwa

informacji

została

zatwierdzona

przez

kierownictwo,

opublikowana

i zakomunikowana pracownikom ATM i właściwym zainteresowanym stronom zewnętrznym, w tym:  podwykonawcom,  klientom,  zainteresowanym organom władzy. Polityki bezpieczeństwa informacji ATM uwzględniają wymagania wywodzące się:  ze strategii działań biznesowych,  z regulacji, przepisów prawnych i zapisów umów,  z bieżącego i przewidywanego środowiska, w którym występują zagrożenia dla bezpieczeństwa informacji.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 6/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Polityka bezpieczeństwa informacji zawiera odwołania do następujących zagadnień:  definicji bezpieczeństwa informacji, celów i zasad kierowania wszystkimi działaniami związanymi z bezpieczeństwem informacji,  wyznaczenia ogólnej i szczegółowej odpowiedzialności w zakresie zarządzania bezpieczeństwem informacji przypisanej do określonych stanowisk,  procesów obsługi odstępstw i wyjątków.

Na

niższym

poziomie

politykę

bezpieczeństwa

informacji

wspierają

inne

dokumenty

tj. polityki tematyczne (wybrane obszary), procedury, instrukcje stanowiskowe i zapisy. Szczegółowe polityki, procedury oraz instrukcje dotyczące różnych obszarów zawierają wytyczne dotyczące min.:  zarządzania zasobami ludzki,  bezpieczeństwa teleinformatycznego i telekomunikacyjnego,  bezpieczeństwa fizycznego i środowiskowego,  ciągłości działania,  zgodności z prawem, oraz regulują obszary związane z działalnością ATM, takie jak:  akceptowane wykorzystanie aktywów,  polityka czystego biurka i czystego ekranu,  przekazywanie informacji,  urządzenia mobilne i telepraca,  ograniczenia dotyczące instalacji i stosowania oprogramowania,  kopie zapasowe,  przekazywanie informacji,  ochrona przed szkodliwym oprogramowaniem,  zarządzanie podatnościami technicznymi,  zabezpieczenia kryptograficzne,  bezpieczeństwo komunikacji;  ochrona prywatności i informacji identyfikujących osoby,  relacja z dostawcami.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 7/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

4.3. Role, odpowiedzialność i uprawnienia W systemie SZBI jest określona przypisana odpowiedzialność za bezpieczeństwo informacji w każdej wszystkim pracownikom w komórce organizacyjnej zgodnie z aktualnym schematem organizacyjnym. Przypisanie odpowiedzialności za bezpieczeństwo informacji

jest zgodne z pełnioną funkcją

wg aktualnego schematu organizacyjnego SZBI. Odpowiedzialność

za

ochronę

poszczególnych

bezpieczeństwa informacji została

aktywów

i

realizację

określonych

procesów

zdefiniowana i odnosi się do Właścicieli procesów i zasobów

w poszczególnych działach struktury SZBI. Określone są obowiązki w zakresie działań zarządzania ryzykiem w bezpieczeństwie informacji i w szczególności w zakresie akceptacji ryzyka rezydualnego. Określone są szczegółowe obowiązki dotyczące stanowisk realizujących bezpośrednie zadania w procesie bezpieczeństwa informacji. Właściciele procesów i zasobów, którym przypisano odpowiedzialność za bezpieczeństwo, mogą przekazywać zadania związane z bezpieczeństwem pracownikom swoich pionów organizacyjnych jednak pozostają oni odpowiedzialni i weryfikują, czy wszystkie delegowane zadania są wykonywane poprawnie. Określone zostały obszary, za które te osoby są odpowiedzialne, w celu zapewnienia, aby:  aktywa i procesy bezpieczeństwa informacji były zidentyfikowane i określone,  dla każdego aktywu lub procesu bezpieczeństwa informacji był wyznaczony podmiot za nie odpowiedzialny oraz aby szczegóły tej odpowiedzialności były udokumentowane,  poziomy uprawnień były określone i udokumentowane,  mianowane osoby były osobami kompetentnymi i miały możliwość zdobywania najnowszej wiedzy, aby były w stanie spełnić obowiązki z zakresu bezpieczeństwa informacji,  koordynacja i nadzór nad aspektami bezpieczeństwa informacji w relacjach z dostawcami były zidentyfikowane i udokumentowane.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 8/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Rozdział 5. Planowanie 5.1. Szacowanie ryzyka w bezpieczeństwie informacji Planując system zarządzania bezpieczeństwem informacji SZBI firma ATM wyznaczyła następujące cele: a) zapewnienie, że system zarządzania bezpieczeństwem informacji powinien osiągnąć zamierzone wyniki w zakresie biznesowym, w tym spełnienia oczekiwań zainteresowanych stron zewnętrznych i wewnętrznych, b) zapobieżenie wystąpieniu niepożądanych skutków i ich zredukowania, c) ciągłe doskonalenia SZBI. ATM przygotowała plany odnoszące się do działań w przypadku występowania określonych ryzyk i szans oraz sposobu: a) ich zintegrowania i wdrożenia w procesach składających się na system zarządzania bezpieczeństwem informacji, b) oceny ich skuteczności i oceny, c) identyfikacji właścicieli ryzyka, d) analizy poszczególnych ryzyk dotyczących bezpieczeństwie informacji tj.:  szacuje potencjalne następstwa zmaterializowania się ryzyk mogących przyczynić się do utraty poufności, integralności i dostępności informacji,  realistycznie szacuje prawdopodobieństwo wystąpienia ryzyk mogących przyczynić się do utraty poufności, integralności i dostępności informacji,  określa poziomy ryzyka, e) oceny ryzyka w bezpieczeństwie informacji tj. porównania wyników analizy ryzyka z kryteriami określonymi przy akceptacji ryzyka oraz priorytetów dla celów postępowania z ryzykiem.

5.2. Postępowanie z ryzykiem w bezpieczeństwie informacji ATM opracował i wdrożył proces postępowania z ryzykiem w bezpieczeństwie informacji, którego celem jest: a) wybór odpowiednich opcji postępowania z ryzykiem w bezpieczeństwie informacji, z uwzględnieniem wyników szacowania ryzyka, b) określenie wszystkich zabezpieczeń niezbędnych do wdrożenia wybranych opcji postępowania z ryzykiem w bezpieczeństwie informacji, c) porównanie zabezpieczeń określonych w Załączniku A normy PN-ISO/IEC 27001:2014 oraz sprawdzenia, czy żadne wymagane zabezpieczenia nie zostały pominięte, d) opracowanie Deklaracji Stosowania zawierającej wykaz niezbędnych zabezpieczeń oraz uzasadnienie ich wyboru, niezależnie od tego czy są one wdrożone czy nie, a także uzasadnienie pominięcia zabezpieczeń z Załącznika A do normy, e) sformułowanie planu postępowania z ryzykiem w bezpieczeństwie informacji, f) uzyskanie zgody właścicieli ryzyka na plan postępowania z ryzykiem w bezpieczeństwie informacji oraz ich akceptacji dla rezydualnych ryzyk w bezpieczeństwie informacji. Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 9/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

ATM może zależnie od wyników szacowania ryzyka zaprojektować własne zabezpieczenia odpowiednie dla swoich potrzeb lub wybrać je z dowolnego źródła oraz może także je uzupełnić. Proces postępowania z ryzykiem w bezpieczeństwie informacji jest udokumentowany i podlega aktualizacji.

5.3. Cele bezpieczeństwa informacji i planowanie ich osiągnięcia W PBI zostały ustanowione cele bezpieczeństwa informacji dla odpowiednich funkcji i szczebli w strukturze SZBI. ATM zapewnia, że cele bezpieczeństwa informacji: a) są spójne z polityką bezpieczeństwa informacji, b) są mierzalne (jeżeli jest to wykonalne), c) uwzględniają mające zastosowanie wymagania bezpieczeństwa informacji, wyniki szacowania ryzyka i postępowania z ryzykiem, d) zostały zakomunikowane, e) są aktualizowane, jeśli jest to właściwe. ATM planując, jak osiągnąć cele bezpieczeństwa informacji, określił: a) co ma być zrobione, b) jakie zasoby będą wymagane, c) kto będzie odpowiedzialny, d) kiedy będzie to zakończone, e) jak będą oceniane wyniki.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 10/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Rozdział 6. Wsparcie 6.1. Zasoby ATM określił i zapewnia zasoby potrzebne do ustanowienia, wdrożenia, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji SZBI.

6.2. Kompetencje ATM podjął następujące działania dla zapewnienia kompetencji:  określił niezbędne kompetencje osób wykonujących pod jej nadzorem pracę mającą wpływ na wyniki dotyczące bezpieczeństwa informacji,  zapewnił, aby te osoby były kompetentne, dzięki odpowiedniemu wykształceniu, szkoleniu lub doświadczeniu,  podjął działania tam, gdzie ma to zastosowanie, w celu uzyskania niezbędnych kompetencji i ocenił skuteczność podjętych działań, oraz  zachował odpowiednie udokumentowane informacje jako dowód kompetencji.

6.3. Uświadamianie Uświadomienie w zakresie bezpieczeństwa informacji jest jednym z głównych celów realizacji polityki bezpieczeństwa informacji w ATM. Zgodnie ze strategią działania zaleca się, aby wszyscy pracownicy ATM oraz w stosownych wypadkach, kontrahenci/podwykonawcy przechodzili stosowne szkolenie uświadamiające oraz regularnie otrzymywali aktualizacje polityk i procedur związanych z ich stanowiskiem pracy. Główne zalecenia obejmują następujące działania: 1. Zaleca się, aby celem programu uświadamiania w zakresie bezpieczeństwa informacji było budowanie świadomości pracowników i w stosownych przypadkach kontrahentów w kwestii ich obowiązków w zakresie bezpieczeństwa informacji i środków realizacji tych obowiązków. 2. Zaleca się, aby program uświadamiania w zakresie bezpieczeństwa informacji ustanowiono zgodnie z polityką bezpieczeństwa informacji organizacji i odpowiednimi procedurami, uwzględniając potrzebę ochrony informacji w organizacji oraz zabezpieczenia wdrożone w celu ochrony tych informacji. Zaleca się, aby program uświadamiania zawierał szereg działań podnoszących świadomość, takich jak kampanie (np. "dzień bezpieczeństwa informacji") i wydawanie broszur lub biuletynów. 3. Zaleca się, aby program uświadamiania był planowany z uwzględnieniem ról pracowników w organizacji i, w stosownych przypadkach, oczekiwań organizacji dotyczących świadomości kontrahentów. 4. Zaleca się, aby działania w programie uświadamiania były zaplanowane w czasie, raczej regularne, tak żeby czynności były powtarzane i dotyczyły nowych pracowników i kontrahentów.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 11/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

5. Zaleca się, aby program uświadamiania był regularnie aktualizowany, tak by był zgodny z polityką oraz procedurami organizacji oraz aby był oparty na doświadczeniach wynikających z incydentów bezpieczeństwa informacji. 6. Zaleca się, aby szkolenie w ramach uświadamiania było prowadzone zgodnie z programem uświadamiania w zakresie bezpieczeństwa informacji w organizacji. Szkolenia te mogą być realizowane w różny sposób: tradycyjnie, zdalnie, przez sieć (webowy), samodzielnie i w inny sposób. 7. Zaleca się, aby kształcenie i szkolenia w zakresie bezpieczeństwa informacji obejmowały również ogólne aspekty, takie jak: a) deklarację zaangażowania kierownictwa w bezpieczeństwo informacji w całej organizacji; b) potrzebę zapoznania się i przestrzegania stosownych zasad bezpieczeństwa informacji oraz obowiązków określonych w politykach, normach, przepisach prawnych, regulacjach, umowach i porozumieniach, c) osobistą odpowiedzialność pracowników za ich działania i zaniechania oraz ogólne obowiązki w kwestii zabezpieczenia lub ochrony informacji należących do organizacji i podmiotów zewnętrznych, d) podstawowe procedury bezpieczeństwa informacji (takie, jak raportowanie incydentów związanych z bezpieczeństwem informacji) oraz podstawowe zabezpieczenia (takie, jak bezpieczeństwo haseł, zabezpieczenia przed szkodliwym oprogramowaniem i czyste biurka). e) punkty kontaktowe i środki do uzyskania dodatkowych informacji i porad w sprawach związanych z bezpieczeństwem informacji, w tym dalsze kształcenie w zakresie bezpieczeństwa informacji i materiały szkoleniowe. 8. Zaleca się, aby kształcenie i szkolenia w zakresie bezpieczeństwa informacji odbywały się cyklicznie. Zaleca się, aby wstępne kształcenie i szkolenie dotyczyło nie tylko nowych pracowników, ale również tych, którzy przenoszą się na nowe stanowiska lub będą pełnić nowe role, gdzie będą ich dotyczyć inne wymagania związane z bezpieczeństwem informacji. Zaleca się, aby miało to miejsce przed powołaniem do pełnienia nowych ról. 9. Zaleca się, aby organizacja opracowała program kształcenia i szkoleń po to, by kształcenie i szkolenia były skuteczne. Zaleca się, aby ten program był zgodny z polityką bezpieczeństwa informacji przyjętą w organizacji i odpowiednimi procedurami, z uwzględnieniem potrzeb ochrony informacji oraz zabezpieczeń wdrożonych dla ochrony tych informacji. 10. Zaleca się, aby program przewidywał różne formy kształcenia, np. wykłady lub samodzielną naukę.

6.4. Komunikacja ATM określiła potrzeby w zakresie komunikacji wewnętrznej i zewnętrznej dotyczącej systemu zarządzania bezpieczeństwem informacji, w tym:  co ma być komunikowane,  kiedy ma być komunikowane,  z kim należy się komunikować,  kto powinien się komunikować oraz procesy, w ramach których komunikowanie powinno się odbywać. Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 12/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

6.5. Udokumentowane informacje System zarządzania bezpieczeństwem informacji ATM zawiera:  udokumentowane informacje wymagane przez normę PN-ISO/IEC 27001:2014;  udokumentowane informacje, określone przez organizację jako niezbędne dla skuteczności systemu SZBI. Zakres udokumentowanych informacji w systemie zarządzania bezpieczeństwem informacji uwzględnia:  wielkość organizacji i rodzaj jej działań, procesów, wyrobów i usług,  złożoność procesów i oddziaływań między nimi,  kompetencje i doświadczenie zawodowe osób. Opracowując i aktualizując udokumentowane informacje ATM zapewnia:  odpowiednią identyfikację i opis (np. tytuł, data, autor lub numer referencyjny),  właściwy format (np. język, wersję oprogramowania, grafikę) i nośnik (np. papierowy, elektroniczny),  przegląd i zatwierdzenie pod kątem przydatności i adekwatności. Udokumentowane informacje wymagane przez system zarządzania bezpieczeństwem informacji powinny są nadzorowane, aby zapewnić, że:  są one dostępne i nadają się do zastosowania, tam, gdzie są potrzebne i wtedy, gdy są potrzebne,  są odpowiednio chronione (np. przed utratą poufności, niewłaściwym użyciem, lub utratą integralności). W celu nadzoru nad udokumentowanymi informacjami uwzględnia się następujące wszystkie cykle obiegu dokumentacji w tym m.in.:  dystrybucję, dostęp, wyszukiwanie i wykorzystywanie,  przechowywanie

i

zabezpieczanie,

łącznie

zapewnieniem

czytelności;

nadzorowanie

zmian

(np. kontrola wersji),  zachowywanie i likwidację. Udokumentowane informacje pochodzące spoza organizacji, uznane przez nią za niezbędne do planowania i operacyjnego działania systemu zarządzania bezpieczeństwem informacji są odpowiednio oznaczone i nadzorowane. Uwzględnia się, że dostęp oznacza decyzję dotyczącą zezwolenia tylko na wgląd do udokumentowanych informacji lub zezwolenia i uprawnienia do wglądu i zmiany udokumentowanych informacji, itp. Każdorazowo dostęp do informacji jest odnotowany, a w przypadkach uzasadnionych pisemnie potwierdzony z adnotacją o odpowiedzialności za ujawnienie informacji osobom nieuprawnionym.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 13/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Rozdział 7. Działania operacyjne 7.1. Planowanie i nadzór nad działaniami operacyjnymi Działania ATM obejmują planowanie, wdrożenie i nadzorowanie procesów koniecznych do spełnienia wymagań dotyczących bezpieczeństwa informacji oraz wdrażanie działań określonych w planie postępowania z ryzykiem. Wszystkie działania są prowadzone w taki sposób, aby udokumentowane informacje pozwalały na uzyskanie zaufania, że procesy zostały zrealizowane tak jak planowano. ATM nadzoruje zaplanowane zmiany i dokonuje przeglądów następstw niezamierzonych zmian, podejmując działania celem zmniejszenia jakichkolwiek niekorzystnych efektów, jeśli jest to niezbędne. Działania w zakresie SZBI zapewniają określenie i nadzorowanie procesów zleconych na zewnątrz stronom trzecim np. podwykonawcom.

7.2. Szacowanie ryzyka w bezpieczeństwie informacji W ATM szacowanie ryzyka w bezpieczeństwie informacji odbywa się w zaplanowanych odstępach czasu lub wtedy, gdy proponowane jest wprowadzenie istotnych zmian, a także wtedy, gdy występują istotne zmiany np. w prawie, umowach z klientami, z uwzględnieniem kryteriów akceptacji ryzyka i kryteriów postępowania z ryzykiem. Organizacja

przechowuje

udokumentowane

informacje

o

wynikach

szacowania

ryzyka

w bezpieczeństwie informacji.

7.3. Postępowanie z ryzykiem w bezpieczeństwie informacji ATM wdrożyło plan postępowania z ryzykiem w bezpieczeństwie informacji oraz posiada zachowane i udokumentowane informacje na temat wyników postępowania z ryzykiem w bezpieczeństwie informacji. Zasady te są uwzględnione w metodyce szacowania ryzyka i postępowania z ryzykiem.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 14/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Rozdział 8. Ocena wyników 8.1. Monitorowanie, pomiary, analiza i ocena W ramach SZBI dokonywana jest ocena wyników działań na rzecz bezpieczeństwa informacji oraz skuteczności systemu zarządzania bezpieczeństwem informacji SZBI. W tym celu ATM:  określa co należy monitorować i mierzyć, włączając w to procesy związane z bezpieczeństwem informacji i zabezpieczenia,  określa metody monitorowania, pomiaru, analizy i oceny, stosownie do potrzeb, w celu zapewnienia poprawności wyników,  sprawdza poprawność wybranych metod tak, aby wyniki były porównywalne i powtarzalne.  określa kiedy należy monitorować i wykonywać pomiary,  wskazuje kto powinien monitorować i wykonywać pomiary,  określa kiedy należy analizować i oceniać wyniki monitorowania i pomiarów;  wskazuje kto powinien analizować i oceniać te wyniki. W systemie SZBI zachowuje się odpowiednio udokumentowane informacje, jako dowód wyników monitorowania i pomiarów.

8.2. Audyt wewnętrzny W ramach systemu SZBI przeprowadzane są audyty wewnętrzne w zaplanowanych odstępach czasu, w celu dostarczenia informacji o tym, czy system zarządzania bezpieczeństwem informacji:  jest

zgodny

z

własnymi

wymaganiami

organizacji

dotyczącymi

systemu

zarządzania

bezpieczeństwem informacji oraz wymaganiami niniejszej Normy Międzynarodowej;  jest skutecznie wdrożony i utrzymywany. Założenia funkcjonowania systemu SZBI a ATM uwzględniają:  planowanie, ustanowienie, wdrożenie i utrzymanie programów audytów, w tym częstość audytów, metody, odpowiedzialność, wymagania dotyczące planowania oraz raportowania. Programy  znaczenie procesów objętych audytem oraz wyniki poprzednich audytów,  zdefiniowanie kryteriów audytu i zakresu każdego audytu,  prowadzenie audytów w sposób zapewniający obiektywność i bezstronność procesu audytu;  zapewnienie przedstawianie wyników audytów właściwym członkom SZBI oraz najwyższego kierownictwa;  zachowanie udokumentowanych informacji jako dowód realizacji programu (programów) audytów i wyników audytów.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 15/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

8.3. Przegląd zarządzania Najwyższe kierownictwo (przy pomocy pełnomocnika SZBI) przeprowadza przegląd systemu zarządzania bezpieczeństwem informacji w organizacji w zaplanowanych odstępach czasu, w celu zapewnienia jego stałej przydatności, adekwatności i skuteczności. Przegląd zarządzania uwzględnia:  stan działań podjętych w następstwie wcześniejszych przeglądów zarządzania  zmiany

czynników

zewnętrznych

i

wewnętrznych,

istotnych

dla

systemu

zarządzania

bezpieczeństwem informacji;  informacje zwrotne o wynikach działań na rzecz bezpieczeństwa informacji, w tym o trendach w zakresie: o niezgodności i działań korygujących, o wyników monitorowania i pomiarów; o wyników audytów; o spełniania celów bezpieczeństwa informacji. o informacje zwrotne od stron zainteresowanych; o wyniki szacowania ryzyka i stan planów postępowania z ryzykiem; o możliwości ciągłego doskonalenia. Dane wyjściowe z przeglądu zarządzania zawierają decyzje związane z możliwościami ciągłego doskonalenia i potrzebami dotyczącymi zmian w systemie zarządzania bezpieczeństwem informacji. W systemie SZBI są zachowane udokumentowane informacje jako dowód wyników przeglądów zarządzania.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 16/17


Dokument do publikacji

Polityka Bezpieczeństwa Informacji – przegląd dokumentu

Rozdział 9. Doskonalenie 9.1. Niezgodność i działania korygujące W sytuacji gdy wystąpi niezgodność w SZBI podejmowane są następujące działania: a) podjęcie działań mających na celu objęcie jej nadzorem i skorygowanie, b) zajęcie się następstwami, c) ocena potrzeb działań eliminujących przyczyny niezgodności, celem uniknięcia jej ponownego wystąpienia w tym samym lub innym miejscu, poprzez:  ustalenie przyczyn niezgodności,  ustalenie czy występują lub czy mogłyby wystąpić podobne niezgodności, d) dokonanie przeglądu skuteczności podjętych działań korygujących, e) wprowadzenie zmian w systemie zarządzania bezpieczeństwem informacji, jeśli są konieczne. Działania korygujące są dostosowywane do skutków stwierdzonych niezgodności. Organizacja zachowuje udokumentowane informacje jako dowód:  charakteru niezgodności i wszelkich podjętych w ich następstwie działań,  wyników działań korygujących.

9.2. Ciągłe doskonalenie Organizacja ciągle doskonali przydatność, adekwatność i skuteczność systemu zarządzania bezpieczeństwem informacji.

Dotyczy wersji.: 2.3, data: 20.07.2017 Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

Strona: 17/17

PBI ATM SA v.2.3 skrot  
PBI ATM SA v.2.3 skrot  

Polityka Bezpieczeństwa Informacji ATM S.A. v. 2.3 - skrót