Politika kvality a bezpečnosti informací
Základ Politiky
Základem politiky kvality a bezpečnosti informací (dále jen Politika) je:
- vize vrcholového vedení o prosperující společnosti, která zaujímá významné postavení v povědomí zainteresovaných stran
- naplnění postavené na osobní angažovanosti a aktivitě nejen řídících, ale všech zaměstnanců společnosti
- rámec pro stanovení cílů kvality a bezpečnosti informací, jež vedou k jejímu uskutečňování
Cíle Politiky
Cílem Politiky je:
- na základě aspektů definovaných v Příručce Integrovaného systému řízení (ISŘ) zabezpečit kvalitu služeb a dodávaných výrobků s ohledem na maximální spokojenost odběratelů a dostupnost, integritu a důvěrnost informací při všech činnostech souvisejících s předmětem podnikání společnosti
- zajistit splnění požadavků příslušných zákonů i zainteresovaných stran definovaných primárně v Příručce ISŘ
Jednotlivé cíle, opatření a výluky jsou definovány především v dokumentu Příručka ISŘ, Prohlášení o aplikovatelnosti a navazujících dokumentech.
Vedení společnosti pravidelně 1x ročně přezkoumává Politiku z hlediska vhodnosti a aktuálnosti. Politika je přezkoumávána také po závažných organizačních změnách.
Deklarace politiky kvality a bezpečnosti informací
Zájmem společnosti COMGUARD je soustavné a nerušené dosahování strategických a ekonomických cílů.
Pro udržení a zlepšení získané pozice na tuzemském a zahraničním trhu společnost zavedla, udržuje a neustále zlepšuje integrovaný systém řízení kvality (QMS) a bezpečnosti informací (ISMS) ve shodě s mezinárodními standardy ISO 9001 a ISO/IEC 27001.
STRATEGICKÉ ZÁMĚRY
S plným vědomím své odpovědnosti přijímá vedení společnosti následující strategické záměry, při jejichž realizaci se opírá o spolupráci a tvůrčí schopnosti svých zaměstnanců:
- Dodržovat platnou legislativu ve všech oborech činnosti. Vedle plnění zákonných požadavků jsou přednostně podporovány obchodní a technické procesy zákazníků, informace o zákaznících a informace zákazníků.
- Zajistit trvalou spokojenost zákazníků poskytováním produktů a služeb za konkurenceschopné ceny v požadované kvalitě, rozsahu a čase.
- Trvalou pozornost věnovat racionalizaci a zdokonalování integrovaného systému řízení tak, aby došlo k optimalizaci činnosti a nákladů, a tím zabezpečit kapacitní a finanční zdroje pro rozvoj společnosti.
- Bezpečnost je realizována tak, aby nebránila společnosti v dosahování jejích cílů a zároveň aby náklady na bezpečnost byly v relaci s významem a hodnotou zajišťované aktivity.
- Úroveň bezpečnosti je nastavována přiměřeně bezpečnostním rizikům a významu zajišťovaných aktivit. Rizika se hodnotí z hlediska vlivu na dosahování cílů společnosti, dodržení úrovně poskytovaných služeb ze smluvních ujednání a z hlediska možných finančních a jiných dopadů na společnost.
- Prioritně jsou zvládána vysoká rizika v souvislostech možných dopadů, významu zabezpečovaných aktivit a možností společnosti uvolnit potřebné zdroje. Proces řízení rizik je základním nástrojem předcházení škod.
- Vybavovat firmu nejmodernějšími technologiemi, aby zákazníkům byly poskytovány služby kvalitativně na špičce v našem oboru.
- Princip neustálého zlepšování firemních procesů naplňovat formou týmové spolupráce tak, aby do ní byl zapojen co nejširší počet zaměstnanců. Motivovat všechny zaměstnance k profesnímu růstu a podporovat jejich individuální uplatnění.
- Systém řízení je podroben soustavnému monitorování, vyhodnocování stavu bezpečnosti a zavádění adekvátních nápravných opatření.
- Preferuje se prevence bezpečnostních incidentů. Incidenty, které se přesto stanou, jsou vyšetřeny a analyzovány. Poté jsou navržena a provedena opatření s cílem zabránit opakovanému výskytu incidentů. Incidenty jsou pravidelně projednávány na Bezpečnostním fóru.
- Bezpečnostní vědomí je ve společnosti soustavně upevňováno. Povinnosti a pravidla jsou školeny. Kvalifikace pracovníků pověřených výkonem bezpečnostních rolí je společností systematicky pěstována a kontrolována.
- Bezpečnost ve společnosti řídí manažer bezpečnosti. Pro zajištění výkonu bezpečnostních funkcí ve společnosti jsou stanoveny bezpečnostní role. Role jsou vykonávány pracovníky společnosti nebo jsou zajištěny službami externích subjektů. Manažer bezpečnosti metodicky řídí a kontroluje všechny osoby pověřené výkonem bezpečnostních rolí.
- Bezpečnost informací je společností chápána jako nástroj tyto aktivity podporující. ISMS je u společnosti aplikován na informace vrcholového vedení, vybraných pracovních funkcí a vybraných aktivit.
- Při realizaci politik upřesňovaných do hodnotitelných cílů, očekává vedení společnosti od každého zaměstnance důsledné a přesné dodržování postupů stanovených dokumentací integrovaného systému, vysokou odpovědnost za jakost vlastní práce spočívající v předcházení chybám a důslednou samokontrolu výsledků práce před jejich předáním spolupracovníkům nebo zákazníkům.
Opatření
Opatření v oblasti bezpečnosti informací jsou aplikována v těchto oblastech:
- Stanovení politik a dalších interních normativ pro řízení bezpečnosti informací
- Ustavení organizace bezpečnosti informací
- Řízení bezpečnosti v oblasti lidských zdrojů
- Řízení aktiv
- Řízení přístupu
- Stanovení pravidel pro užití kryptografie
- Řízení fyzické bezpečnosti a bezpečnost prostředí
- Řízení bezpečnost provozu
- Management zálohování informací a konfiguračních dat
- Zajištění bezpečnosti komunikací
- Řízení akvizice, vývoj a údržba systémů
- Řízení dodavatelských vztahů
- Řízení incidentů bezpečnosti informací
- Řízení kontinuity činností organizace z hlediska bezpečnosti informací
- Řízení souladu se zákonnými a dalšími relevantními požadavky