Bezpečnostní politika společnosti synlab czech s.r.o.
Platnost dokumentu:
1. března 2016
Datum vypracování:
2. února 2016
Datum schválení:
29. února 2016
Vypracoval:
Bc. Adéla Wosková, Ing. Jaroslav Moc, Marian Tůma
Schválil:
Ing. Luboš Hajn
Garant dokumentu:
Ing. Luboš Hajn, zmocněnec pro kvalitu
Verze:
02
Identifikace dokumentu:
VD 06
Důvěrnost:
Veřejné
Výtisk č.: Ostatní informace:
synlab czech s.r.o. U Vojenské nemocnice 1200 169 00 Praha 6 IČ: 496 88 804 DIČ: CZ699003979
Nahrazuje verzi 01, platnou od 14. 1. 2015.
tel.: +420 277 779 860 e-mail:
[email protected] www.synlab.cz Call centrum 800 800 234
Bankovní spojení: Účet číslo: 1002220765/2700, vedený u UniCredit Bank
Společnost je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 23895
Vedení společnosti synlab czech s.r.o. si uvědomuje, že vysoká úroveň využívání informačních systémů, jak v rámci zpracování klinických materiálů v laboratořích, tak při komunikaci s dodavateli a zákazníky, přináší nemalá rizika. Bezpečnostní politika společnosti synlab czech s.r.o. je základním dokumentem, který vedení společnosti vydává pro zajištění bezpečného a efektivního provozu informačních a komunikačních systémů. Účelem bezpečnostní politiky je formulace jasné a závazné koncepce řešení informační bezpečnosti a definice základních přístupů při budování informační bezpečnosti společnosti synlab czech s.r.o. Bezpečnostní politika vytváří základ pro tvorbu vnitřních norem - bezpečnostních zásad a postupů, bezpečnostních standardů, směrnic a definuje zásady chování všech zaměstnanců i třetích stran při využívání informačních a telekomunikačních technologií. Vedení společnosti deklaruje bezpečnostní politikou svou strategii trvalého zajišťování informační bezpečnosti jako nedílné součásti všech řídicích procesů. K prosazování této politiky je ve společnosti zaveden a rozvíjen systém managementu bezpečnosti informací dle ISO/IEC 27001. Bezpečnostní politika je formulována v následujících bodech:
I. Pravidla pro všechny uživatele IT (tj. všichni zaměstnanci, smluvní zaměstnanci a konzultanti)
Incident Management Jakékoliv narušení nebo pokusy o narušení bezpečnosti IT a všechny zjištěné bezpečnostní nedostatky v IT systémech, musí být oznámeny manažeru bezpečnosti informací. E-mailová adresa pro témata týkající se IT bezpečnosti je
[email protected]. Je nezbytné, aby na všechna ohlášení narušení IT bezpečnosti nebo nedostatků následovala rychlá reakce, a aby bylo přijato opatření zabraňující možnosti opakování těchto situací.
Přípustné využití Autorizovaní uživatelé IT systémů musí dodržovat zásady bezpečného používání těchto systémů a aktiv. Uživatel musí zajistit bezpečnost informací ve fyzické a logické formě a chránit informace před neoprávněným přístupem a vyzrazením.
IT Outsourcing Proces výběru dodavatele musí být dodržován, přičemž každý externí dodavatel služeb týkajících se IT služeb a produktů, musí splňovat veškeré bezpečnostní požadavky a je pravidelně hodnocen a přezkoumáván. Přístupová oprávnění musí být přiřazena na základě principu co nejmenších privilegií a na bázi toho, co je nutné vědět.
Zadávání veřejných zakázek v oblasti IT Zadávání veřejných zakázek v oblasti IT se musí řídit procesem výběru dodavatelů. Bezpečnostní požadavky na hardware, software a služby, které jsou předmětem veřejné zakázky, musí být označeny a zahrnuty do specifikace požadavků.
Management smluv o úrovni poskytovaných služeb Úroveň služeb musí být dohodnuta, monitorována, s definovanými požadavky.
Název dokumentu: VD.06 Bezpečnostní politika synlab czech s.r.o. Verze: 02 platná od 1.3.2016
zaznamenávána
a
porovnávána
Strana 2 (celkem 6)
Přístup třetích stran Přístup třetí strany k IT systémům musí být nastaven na bázi toho, co je nutné vědět a s příslušnými autorizacemi. Se třetími stranami musí být podepsány dohody o zachování důvěrnosti, které chrání společnost před neoprávněným přístupem a modifikací IT systémů.
Personální zabezpečení Zaměstnanci s přístupem k IT systémům si musí být vědomi své odpovědnosti za zachování bezpečnosti informačních systémů. Přístupová práva musí být poskytována na základě pracovních povinností a zrušena nebo změněna společně se změnami pracovního zařazení.
Segregace povinností Povinnosti a oblasti odpovědnosti je nutné rozdělit ve snaze snížit možnost neoprávněných úprav nebo zneužití IT systémů.
II. Pravidla pro řízení provozních aktiv v oblasti IT
Správa datových center U datových center musí být zajištěna přiměřená fyzická a logická ochrana. Nezbytný oprávněný přístup do datového centra musí být zajištěn pro správce IT.
Bezpečnost sítě Nezbytný přístup do sítě společnosti synlab czech s.r.o. je poskytován po příslušné autorizaci. Je nezbytné implementovat příslušný silný ověřovací mechanismus pro IT systémy. Uživatelé musí být jedinečně identifikovatelní.
Řízení aktiv Fyzická aktiva musí být vedena v inventárním soupisu. IT systémy musí být klasifikovány, označeny a musí s nimi být manipulováno s opatrností odpovídající jejich citlivosti.
Fyzické zabezpečení Musí být zabráněno neoprávněnému fyzickému přístupu k majetku společnosti synlab czech s.r.o. Pohyb aktiv musí být kontrolován a prováděn s řádným povolením.
Kryptografické kontroly Kde je to zapotřebí, šifrování musí být použito k ochraně citlivých informací společnosti. Zabezpečené postupy musí být použity pro generování klíčů, jejich distribuci, zrušení a skladování.
Firewall Přístup na a z externích sítí musí být kontrolován a zabezpečen pomocí odpovídající brány firewall a podobných metod. Přístup přes bránu firewall, musí být sledován a kontrolován.
Zálohování Data s hodnotou aktiva "vysoká", musí být zálohována a pravidelně testována z hlediska obnovy. Zálohovaná data a média musí být bezpečně udržována a skladována.
Název dokumentu: VD.06 Bezpečnostní politika synlab czech s.r.o. Verze: 02 platná od 1.3.2016
Strana 3 (celkem 6)
Monitorování Přístup k zásadním aplikacím a síti společnosti by měl být sledován proti podezřelé činnosti nebo narušení bezpečnosti.
Antivirový systém Vhodných nástrojů a metod musí být využito pro zajištění ochrany IT majetku společnosti synlab czech s.r.o. Antivirový software a nasazené procesy musí zajistit detekci, účinné zadržení a zničení škodlivého kódu v síti společnosti.
Řízení změn Změny v oblasti IT aktiv včetně aplikací, serverů a síťových zařízení musí být provedeny kontrolovaným způsobem a po řádném schválení. Pomocí pravidelného ověřování musí být kontrolována účinnost těchto kontrol.
Plán kontinuity v oblasti IT Pro IT systémy s hodnotou aktiva "vysoká" musí být naplánována kontinuita. Písemný kontinuální plán pro tyto kritické systémy by měl být udržován, testován a aktualizován.
Management rizik v oblasti IT Organizace musí identifikovat, analyzovat a zmírňovat rizika, která mají vliv na důvěrnost, integritu a dostupnost aktiv IT systémů.
Práce na dálku Vzdáleně pracovat v síti společnosti je umožněno pouze vybraných pracovníkům dle typu pracovní pozice a výhradně formou VPN a RDS. Výjimkou jsou pracovníci podpory IT, kteří ke své práci mohou využívat aplikaci Teamviewer. VPN a RDS je možné používat výhradně na zařízeních společnosti i BYOD.
Mobilní zařízení Mobilní zařízení používaná pracovníky společnosti jsou schválena k používání vedením společnosti a podléhají pravidelné servisní kontrole (výjimkou jsou BYOD) a jsou chráněna proti neoprávněnému přístupu pomocí hesla, PIN či jiného systému.
Internetová úložiště Pro ukládání firemních dokumentů a dokumentů obsahujících firemní informace jsou všechna internetová úložiště zakázána.
Řízení přístupu Účelem řízení přístupu k informacím a prostředkům informačních systémů společnosti je zajistit, aby k nim měli přístup pouze oprávnění uživatelé. Pro přístup k těmto informacím jsou stanovena pravidla, která určují postupy pro autorizaci, zřizování, změny a odebírání přístupových práv. Bezpečnostním cílem je zajištění řízení přístupu realizací opatření v následujících oblastech: a) správa přístupu uživatelů a odpovědnost uživatelů – systém správy přístupu zajistí definovaný postup přidělování, změny a odebírání přístupu, správu hesel a kontrolu přístupových práv. b) mobilní výpočetní prostředky a práce na dálku – zvláštní pozornost musí být věnována mobilním výpočetním prostředkům a prostředkům umožňujícím práci na dálku, aby bylo zabráněno jejich zneužití. Privilegované přístupy mají administrátoři a správci informačních systémů.
Název dokumentu: VD.06 Bezpečnostní politika synlab czech s.r.o. Verze: 02 platná od 1.3.2016
Strana 4 (celkem 6)
Přístup dodavatelů k aktivům Přístup k aktivům společnosti mají pouze dodavatelé vybraní a periodicky hodnocení dle interních pravidel. S těmito dodavateli jsou uzavřeny písemné smlouvy. Rizika plynoucí ze vztahů s dodavateli jsou identifikována a vyhodnocována v rámci managementu rizik ISMS.
III. Pravidla pro správu aplikací
Licenční politika Společnost respektuje zákonné normy a licenční politiku dodavatelů jednotlivých softwarů. Je povoleno používat pouze schválený a předinstalovaný software. Uživatelé mají zakázáno instalovat si samostatně software bez předchozího schválení vedením společnosti.
Vývoj softwaru Veškerý software vyvinutý nebo přizpůsobený pro použití ve společnosti musí odpovídat standardnímu procesu vývoje a musí zajistit, aby byly splněny požadavky na IT bezpečnost.
Bezpečnost aplikací Aplikace provozované v organizaci musí mít ovládací prvky pro bezpečný vstup, zpracování, skladování a výstup dat. Aplikace musí být testovány na bezpečnost před nasazením. Přístup k aplikaci musí být omezen na oprávněné osoby a poskytnutá práva musí být stanovena na principu minimálních privilegií. Uživatelé musí být jedinečně identifikovatelní.
Správa konfigurace IT systémy musí být nakonfigurovány pro bezpečnost a jejich konfigurace musí být zdokumentovány a zajištěny.
Zabezpečení operačního systému Uživatelský přístup k operačnímu systému musí být omezen a monitorován. Operační systém musí být aktualizovaný pomocí nově vydaných bezpečnostních balíčků.
Zabezpečení databáze Databázové systémy musí být nainstalovány, konfigurovány a spravovány podle přísných bezpečnostních norem. Uživatelský přístup do databáze musí být poskytnut pouze po předchozí autorizaci a ověření, na bázi nezbytného minima.
IV. Role a odpovědnosti
Manažer bezpečnosti informací: - odpovídá za řízení systému managementu bezpečnosti informací společnosti synlab czech s.r.o.; - podporuje vědomí závažnosti dodržování pravidel ISMS ve spolupráci s vedoucími pracovníky; - zajišťuje poradenství v oblasti bezpečnostních otázek týkající se posouzení rizik, infrastruktury, systémů a aplikací v plánovaných projektech a s uživateli již existujících aplikací a projektů; - odpovídá za zajištění řádného fungování IT bezpečnosti pomocí koordinace různých bezpečnostních procesů;
Název dokumentu: VD.06 Bezpečnostní politika synlab czech s.r.o. Verze: 02 platná od 1.3.2016
Strana 5 (celkem 6)
-
zajišťuje koordinaci bezpečnostních požadavků ISMS, jakož i tvorbu interní dokumentace, koncepce, plánování, provádění bezpečnostních opatření a rovněž shrnutí realizovaných opatření; odpovídá za hladký tok informací mezi zúčastněnými kontaktními osobami v rámci ISMS; koordinuje proces stanovení aktiv společnosti a následné vyhodnocení rizik ISMS; odpovídá za řízení bezpečnostních incidentů; udržuje kontakty s externími organizacemi ve věcech bezpečnosti informací; zajišťuje školení v oblasti ISMS.
-
Bezpečnostní rada podporuje manažera bezpečnosti informací v jeho práci; zajišťuje včasnou výměnu informací a koordinovat požadavky od všech zúčastněných stran; navrhuje a přezkoumává dílčí bezpečnostní politiky, postupy a požadavky; spolupracuje při posuzování rizik, přijímání příslušných opatření pro minimalizaci rizik; poskytuje pomoc při provádění auditů ISMS; spolupracují s MBI při řešení bezpečnostních incidentů.
-
Kontakt a další informace
E-mailová adresa pro témata týkající se IT bezpečnosti je
[email protected].
Bezpečnostní incidenty a události musí být neprodleně hlášeny manažeru bezpečnosti informací k řešení.
V. Soukromí a ochrana osobních údajů
Ochrana údajů o zaměstnancích Veškeré záznamy o zaměstnancích jsou vedeny na personálním oddělení nebo vedoucím pracovníkem v uzamčeném prostoru v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů.
Ochrana údajů o pacientech Údaje o pacientech jsou v elektronické podobě uchovávány v aplikacích s chráněným přístupem a pravidelně zálohovány. Údaje o pacientech vedené v tištěné podobě jsou uloženy v archivu nebo příručních registraturách s omezeným přístupem pro třetí strany. Dle pracovní smlouvy je zakázáno sdělovat třetím osobám specifické informace o pacientech, které by bylo možné zneužít pro neoprávněný přístup k datům pacientů. Osobní, potažmo citlivé údaje upravuje rozsáhlá veřejnoprávní legislativní úprava. Mezi stěžejní zákony patří zákon č. 373/2001 Sb., o specifických zdravotních službách a zákon č. 101/2000 Sb., o ochraně osobních údajů.
S touto bezpečnostní politikou jsou seznámeni všichni pracovníci společnosti synlab czech s.r.o a je závazná pro jejich chování a jednání.
Název dokumentu: VD.06 Bezpečnostní politika synlab czech s.r.o. Verze: 02 platná od 1.3.2016
Strana 6 (celkem 6)