Polityka bezpieczeństwa informacji

Zarząd SOLWIT, jest upoważniony do reprezentowania organizacji, podejmowania decyzji o celach i środkach przetwarzania danych w organizacji. Zarząd zapewnia zgodność przetwarzania danych w organizacji z obowiązującymi w tym zakresie przepisami prawa, a w szczególności przepisów dotyczących ochrony danych osobowych. Zarząd SOLWIT wyraża wolę ciągłego dostosowywania procesu zarządzania, przetwarzania informacji i jakości świadczonych usług do poziomu wyznaczanego przez uznane normy i standardy, takie jak: PN-ISO/IEC 27001:2017-06, PN-ISO/IEC 27002:2017-06, PN-ISO/IEC 27005:2014-01, PN-ISO 31000:2018.

Mając na celu stworzenie systemu zarządzania bezpieczeństwem informacji – gwarantującego ochronę przetwarzanych przez SOLWIT danych i bezpieczeństwo informacji istotnych z punktu widzenia realizacji celów strategicznych firmy oraz informacji, które wymagają ochrony z innych względów – Zarząd SOLWIT wprowadza Politykę Bezpieczeństwa Informacji, jako podstawę tworzenia i doskonalenia systemu zarządzania bezpieczeństwem informacji oraz zbiór generalnych zasad postępowania wszystkich pracowników SOLWIT w tym zakresie. Jednocześnie Zarząd SOLWIT deklaruje stosowanie niniejszych zasad w stosunku do stron trzecich.

Informacjami Poufnymi Solwit są wszystkie dane odnoszące się do firmy Solwit oraz wszystkie dane Klientów i Partnerów Solwit, będących w posiadaniu Solwit z tytułu realizowanych projektów lub współpracy, które zostały oznaczone jako poufne. Jako dane podlegające szczególnej ochronie, rozumie się:

• dane osobowe,
• dane dostępowe do systemów IT,
• informacje o technologiach rozwijanych w firmie,
• informacje finansowe Firmy,
• informacje o klientach,
• informacje o realizowanych kontraktach (zarówno planowane, bieżące jak i historyczne),
• informacje organizacyjne,
• informacje stanowiące o przewadze konkurencyjnej Firmy,
• inne informacje oznaczone jako „Poufne Informacje Solwit” lub „Dane Poufne”.

‍DEFINICJA BEZPIECZEŃSTWA

Bezpieczeństwo informacji w firmie Solwit dotyczy:

• poufności informacji (uniemożliwienie dostępu do danych osobom trzecim),

• integralności informacji (uniknięcie nieautoryzowanych zmian w danych),

• dostępności informacji (zapewnienie dostępu do danych, w każdym momencie żądanym przez użytkownika),

• rozliczalności operacji wykonywanych na informacjach (zapewnienie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał).

‍Zarząd Firmy Solwit stosuje adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji w Firmie. Dodatkowo na rzecz polityki bezpieczeństwa zdefiniowano takie pojęcia jak:

• naruszenie bezpieczeństwa,

• weryfikacja przestrzegania polityki bezpieczeństwa,

• monitoring bezpieczeństwa,

• dokumentowanie bezpieczeństwa.

ZASADY POSTĘPOWANIA

Ze względu na charakter firmy, w Solwit szczególny nacisk położony został na poufność danych w systemach komputerowych i informatycznych. W Polityce Bezpieczeństwa Informacji określone są zasady postępowania z danymi w tych systemach oraz zady dostępu do tych danych. Poniżej zaprezentowano wyjątki tego dotyczące:

• zasada minimalnych uprawnień: w ramach nadawania uprawnień do danych przetwarzanych w systemach IT Firmy należy stosować zasadę „minimalnych uprawnień”, to znaczy – przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku,
• zasada wielowarstwowych zabezpieczeń: systemy IT firmy Solwit są chronione równolegle na wielu poziomach. Zapewnia to pełniejszą oraz skuteczniejszą ochronę danych,
• zasada ograniczania dostępu: domyślnymi uprawnieniami w systemach IT jest zabronienie dostępu. Dopiero w przypadku zaistnienia odpowiedniej potrzeby, administrator IT przyznaje stosowne uprawnienia.
  ‍

DOSTĘP DO DANYCH POUFNYCH

Dostęp do danych poufnych (udany lub nieudany) na serwerach jest odnotowywany.

Jeśli stacja PC jest komputerem przenośnym (laptopem), to musi ona być dodatkowo zabezpieczona (np. z wykorzystaniem szyfrowania dysku twardego – FDE). Dostęp do danych poufnych z zewnątrz firmy odbywa się z wykorzystaniem kanału szyfrowanego (np. VPN, dostęp do e-mail poprzez protokół szyfrowany).

‍

BEZPIECZEŃSTWO NOŚNIKÓW DANYCH I INFORMACJI

• Zabrania się wynoszenia niezabezpieczonych danych poufnych poza teren Firmy.
• Przenośne urządzenia magazynujące dane muszą być przechowywane w bezpieczny sposób np. w zamykanej na klucz szafce.
• Zabronione jest kopiowanie służbowych danych na prywatne urządzenia np. smartfony
• Obowiązuje zasada czystego biurka. Na biurku nie powinny być przechowywane żadne poufne dokumenty.
• Dyski oraz inne inne nośniki danych, które już nie będą wykorzystywane należy skasować w bezpieczny sposób, uniemożliwiający ich późniejsze odtworzenie.
• W przypadku niesprawnych dysków należy je przekazać podmiotowi zewnętrznemu, specjalizującemu się w bezpiecznym ich niszczeniu.
  ‍

EDUKACJA PRACOWNIKÓW

Firma Solwit dba o cykliczną edukację pracowników (etatowych i kontraktorów) w zakresie bezpieczeństwa informacji, w szczególności:

• każdy nowo-przyjmowany pracownik przechodzi szkolenie z procedur bezpieczeństwa firmy,
• pracownicy, w zależności od zajmowanego stanowiska, uczestniczą w szkoleniach z zakresu: ochrony danych, świadomości istnienia problemów bezpieczeństwa, szczegółowych aspektów bezpieczeństwa,
• pracownicy, realizujący zadania dla klienta Solwitu, są zobowiązani do ukończenia szkoleń wymaganych przez tego Klienta.

Cyklicznie weryfikowany jest poziom zabezpieczeń oraz wiedzy Pracowników na temat Polityki bezpieczeństwa.

‍

WEWNĘTRZNY SYSTEM KONTROLI

Wewnętrzny System Kontroli (WSK) określa zasady postępowania z towarami strategicznymi, w obrocie międzynarodowym. Regulamin WSK definiuje procedury postępowania z towarami strategicznymi spełniającymi wymogi międzynarodowych i krajowych regulacji prawnych oraz zapewnienia prawidłowego nadzoru nad towarami wymagającymi szczególnej opieki. Dotyczy to towarów HVI (High Value Inventory) tj. sprzętu i oprogramowania, które ze względu na nowatorskie rozwiązania i zawartą myśl techniczną stanowią wysoką wartość.

Zasady postepowania:

• Klasyfikowanie towaru ( jest/nie jest towarem strategicznym podlegającym szczególnej kontroli obrotu, jest/nie jest HVI)
• Weryfikowanie, czy towar podlega obowiązkowi informowania organu monitorującego o zamierzonym imporcie
• Prowadzenie ewidencji
• Spełnianie procedur obowiązujących przy przekazywaniu towaru z Firmy (w tym obowiązku posiadania zezwoleń na wywóz)
• Prawidłowe prowadzenie i przechowywanie dokumentacji
• Szkolenie pracowników w zakresie zasad postępowania z TS i HVI oraz odpowiedzialności za złamanie tych zasad.
  ‍

ZGODNOŚĆ Z REGULACJAMI

Wewnętrzny System Kontroli Solwit zgodny jest z nastepujacymi przepisami i regulacjami krajowymi i miedzynarodowymi

• Lista Odmów – lista organizacji, przedsiębiorstw i osób objętych zakazem uczestnictwa w obrocie, publikowana przez Departament Handlu USA pod adresem: http://www.bis.doc.gov/index.php/policy-guidance/lists-of-parties-of-concern/denied-persons-list
• Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 428/2009 ustanawiające wspólnotowy system kontroli wywozu, transferu, pośrednictwa i tranzytu w odniesieniu do produktów podwójnego zastosowania dostępne pod adresem: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:134:0001:0269:PL:PDF, zmienione Rozporządzeniem
• Parlamentu Europejskiego (UE) nr. 388/2012 dostępnym pod adresem: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2012:129:0012:0280:PL:PDF
• Rozp.. Ministra Gospodarki z dnia 10 maja 2013 w sprawie ewidencji obrotu towarami o znaczeniu strategicznym dostępne pod adresem:http://isap.sejm.gov.pl/DetailsServlet?id=WDU20130000619