Swietelsky AG #buildingeverbetter #buildingeverbetter

Politika bezpečnosti informací

Osvědčení

expand

00037871 ICT CESCZ UKAS

ISO/IEC 27001

1. Úvod

Jako jedna z nejvýznamnějších stavebních společností v České republice se společnost SWIETELSKY zavázala k uplatňování nejvyšších standardů ve všech oblastech své činnosti pro své zaměstnance, zákazníky a smluvní partnery.

Vzhledem k právním, ale i ekonomickým požadavkům, kladeným na společnost, je věnována zvláštní pozornost také bezpečnosti informací.

Společnost definuje bezpečnost informací jako ochranu fyzických a elektronických informací a systémů nezbytných pro zpracování informací s ohledem na jejich důvěrnost, integritu a dostupnost.

2. Oblast působnosti

Tato směrnice platí pro všechny uživatele IT zařízení a uživatele IT služeb ve skupině SWIETELSKY v ČR. To platí například i pro zaměstnance na dohodu o provedení práce nebo externí poradce. Skupinou SWIETELSKY se rozumí společnost SWIETELSKY stavební s.r.o. a společnosti patřící do skupiny SWIETELSKY v ČR (SWIETELSKY Rail CZ s.r.o., JB Stavební, s.r.o., SWIETELSKY Real Estate CZ s.r.o.), které se ve svých interních dokumentech zavázaly k dodržování této směrnice.

3. Zásady

3.1 Poslání managementu

Vedení společnosti tímto přijímá politiku bezpečnosti informací jako součást své podnikové strategie.

Vedení společnosti podporuje cíle a zásady bezpečnosti informací v souladu s obchodní strategií a cíli.

Zavedením systému řízení bezpečnosti informací (ISMS) a poskytnutím potřebných zdrojů vytváří vedení společnosti možnosti pro dosažení cílů ISMS. Jako nejvyšší orgán systému ISMS aktivně přispívá k jeho úspěšnému fungování.

3.2 Význam bezpečnosti informací

Obchodní činnost společnosti je významně závislá na správném fungování jejích informačních systémů a dostupnosti informací. Zpracování informací a digitalizace nabývají ve stavebnictví stále většího významu. Propojování, sdílení a přenos informací v rámci společnosti, ale také se zákazníky a dodavateli, významně ovlivňují kvalitu poskytovaných služeb. Selhání klíčových systémů může velmi rychle způsobit ekonomické škody a poškodit pověst společnosti.

Zabezpečení informací vytváří interně, ale i u partnerů a zákazníků potřebnou důvěru k rozvíjení digitalizace a řešení rizik z ní vyplývajících. Proto se tématem aktivně zabývá vedení společnosti, případně další pověřené osoby.

Bezpečnost informací se řeší z právního, technického a organizačního hlediska.

4. Kontext společnosti

Mateřskou společnost Swietelsky AG založil v roce 1936 v Rakousku Dipl. Ing. Hellmuth Swietelsky. Nyní má pobočky a dceřiné společnosti ve 21 různých zemích, zaměstnává tisíce kvalifikovaných pracovníků a má pověst inovativní, výkonné a spolehlivé stavební společnosti.

V České republice je aktivní od roku 1992, kdy byla založena první pobočka v Českých Budějovicích. Z hlediska svého obratu a počtu zaměstnanců se již za krátkou dobu zařadila mezi největší stavební společnosti v České republice. Hlavními obory, kterým se skupina SWIETELSKY v ČR věnuje, jsou silniční a inženýrské stavby, pozemní stavby a železniční stavby.

4.1 Vnitřní vztahy

Swietelsky AG je decentralizovaná společnost s různými nezávislými dceřinými společnostmi působícími v Evropě a Austrálii. Provozní služby, jako jsou lidské zdroje, finance a IT, jsou spravovány centrálně.

Aby splnily požadavky zákazníků, výběrových řízení a kontroly funkčnosti opatření, provozují společnosti skupiny SWIETELSKY v ČR kromě systému ISMS také další systémy řízení. Tyto systémy jsou provozovány nezávisle na sobě příslušnými pověřenými zaměstnanci, přičemž pravidelná koordinace zajišťuje, že systémy řízení fungují ve vzájemném souladu.

4.2 Vnější vztahy

Společnosti skupiny SWIETELSKY v ČR působí ve všech odvětvích stavebnictví.
V rámci obchodní činnosti je nutná úzká spolupráce s různými dodavateli, zákazníky, subdodavateli a také s externími partnery například formou spolupráce ve sdruženích.

5. Zainteresované strany

Existují různé zainteresované strany, které kladou požadavky na ISMS společnosti.

5.1 Smluvní partneři (zákazníci, dodavatelé, společnosti)

Smluvní partneři očekávají, že s jejich daty bude nakládáno s odpovídající úrovní důvěrnosti. Stejnou měrou je kladen důraz na jejich integritu a dostupnost.

5.2 Organizační jednotky (centrála, závody, zaměstnanci)

Organizační jednotky společnosti očekávají fungující služby, které jsou stále k dispozici. Výpadky by měly být co nejkratší a nikdy by neměly být neplánované. Opatření bezpečnosti informací by měla být v pozadí a neměla by ovlivňovat nebo komplikovat běžnou práci. V konkrétních případech jsou kladeny vysoké nároky na důvěrnost.

5.3 Vlastníci společnosti

Vlastníci společnosti požadují ochranu před obchodními a právními riziky, stejně jako před rizikem ztráty dobrého jména společnosti. Systém ISMS by měl efektivně využívat zdroje a díky certifikaci umožňovat získání konkurenční výhody.

5.4 Veřejná správa 

Veřejná správa očekává, že budou dodržovány všechny zákony. Veškeré předávané informace musí být veřejnému orgánu doručeny včas, správně a kompletní.

6. Organizace

V rámci ISMS jsou definovány tyto klíčové role a odpovědnosti:

7. Cíle

Cíle ISMS jsou odvozeny z Etického kodexu skupiny SWIETELSKY v ČR.

Ke strategickým cílům ISMS, popsaným v tomto dokumentu, jsou přiřazeny cíle provozní. Ty se každoročně vyhodnocují pomocí zvolených klíčových ukazatelů výkonnosti (KPI).

7.1 Chráníme majetek společnosti

7.1.1 Předcházení neplánovaným odstávkám centrálních služeb IT

Selhání centrálních služeb může mít v krátké době dopad na provoz společnosti a vést k finančním škodám.

7.1.2 Předcházení finančním škodám způsobeným kybernetickou kriminalitou

Trestná činnost prostřednictvím elektronických médií může vést k vážným finančním škodám.

7.2 S obchodními dokumenty a informacemi zacházíme důvěrně

7.2.1 Ochrana důvěrnosti informací

Neúmyslné vyzrazení nebo zveřejnění informací může mít kritický dopad na pověst společnosti. Rovněž může mít právní a smluvní důsledky.

7.3 Zachováváme bezpečnostní standardy IT a pravidla ochrany údajů

7.3.1 Zavedení nemodernější úrovně zabezpečení IT

Provozováním systému ISMS, sladěním bezpečnostních opatření podle normy ISO/IEC 27001 a externí certifikací prokazujeme třetím stranám, že máme špičkovou úroveň zabezpečení.

7.4 Rozvíjíme se

7.4.1 Školení zaměstnanců

Kontinuální vzdělávání je základem pro další profesionální rozvoj zaměstnanců společnosti.

7.4.2 Neustálé zlepšování bezpečnostních opatření a systému ISMS

Zavedením procesu neustálého zlepšování jako součásti ISMS společnost zajišťuje, že stávající opatření jsou neustále monitorována, vyhodnocována a dále rozvíjena. Rovněž jsou implementována nová opatření založená na identifikaci a monitorování rizik.

8. Implementace

K bezpečnostní politice jsou v rámci systému ISMS zavedeny následující základní složky a procesy:

9. Rámec působnosti ISO/IEC 27001

Ačkoli se bezpečnostní politika a ISMS vztahuje na celou společnost, externí certifikace podle normy ISO/IEC 27001 je omezena na následující rozsah:

Rámec ISMS zahrnuje provoz Úseku informačních technologií, Úseku digitalizace a kybernetické bezpečnosti a poskytování nezbytné infrastruktury v rámci skupiny SWIETELSKY v České republice.

Služby
Relevantními službami pro rámec jsou centrální IT služby a provoz IT infrastruktury.

Procesy
Procesy relevantní pro fungování Úseku informačních technologií a Úseku digitalizace a kybernetické bezpečnosti.

Úseky/oddělení
Rámec ISMS zahrnuje Úsek informačních technologií a Úsek digitalizace a kybernetické bezpečnosti. Za rámec ISMS odpovídá Úsek digitalizace a kybernetické bezpečnosti.

Lokality
Rámec ISMS zahrnuje centrální kanceláře Úseku informačních technologií.

Rozhraní
V rámci aplikace probíhá úzká spolupráce na úrovni různých rozhraní. Hlavními jsou Personální úsek, Úsek certifikace a řízení kvality, Úsek investic a správy majetku, Právní úsek, jakož i poskytovatelé služeb a externí partneři.

IT systémy a aplikace
Rozsah zahrnuje mobilní a stacionární IT zařízení, datová uložiště a související zálohování, řízení přístupu a správu uživatelů, jakož i konstrukční a další software.

Právnické osoby
Součástí skupiny SWIETELSKY v ČR jsou všechny procesy, osoby, úseky a místa relevantní pro rozsah působnosti.

Informace
Rozsah zahrnuje všechny informace relevantní pro poskytování služeb společnosti.