Bezpečnostní politika – verze pro webové stránky organizace

Verze 1.1

Účel dokumentu:

Bezpečnostní politika je základní dokument organizace, který definuje, jak chce organizace chránit své informace – například klientská data, AI modely nebo důležité smlouvy. Vysvětluje, proč je bezpečnost důležitá, kdo za ni odpovídá, jaké zásady se mají dodržovat a co firma udělá pro to, aby se neustále zlepšovala. Slouží jako výchozí dokumentu pro zaměstnance i vedení, aby věděli, o co organizace usiluje a jakým způsobem těchto cílů chce dosáhnout.

Disclaimer:

Tato zkrácená verze, je určena pro vystavení na webových stránkách organizace. Plná verze dokumentu je dostupná na vyžádání nebo dle smluvních podmínek.

1. Strategie společnosti

Základní strategií Mongata s.r.o. je dosáhnout spokojenosti zákazníka při dodržení takové úrovně bezpečnosti informací, aby činností společnosti nemohlo dojít k ohrožení důvěrnosti, integrity a dostupnosti informací, a tím ani k ohrožení života a zdraví osob, majetku ani dobrého jména společnosti a jejích zákazníků. Naplnění této strategie je zajištěno aktivním dodržováním stanovených postupů systému řízení bezpečnosti informací podle požadavků normy ISO/IEC 27001, zejména řízením rizik, ochranou osobních údajů a zvláštních kategorií osobních údajů, řízením přístupu, kontinuálním zvyšováním povědomí zaměstnanců a vybraných spolupracujících osob a neustálým zlepšováním ISMS.

1.1. Stanovení rozsahu ISMS

Rozsah systému řízení bezpečnosti informací (ISMS) je definován níže. Rozsah je každoročně přezkoumáván vedením organizace jako součást revize bezpečnostní politiky.

Lokality

  • trvalé bydliště jednatele pro uložení fyzických dokumentů, v rozsahu místa na uložení dokumentů.
  • co-workingové centrum na adrese: Plynární 1617/10, Holešovice, 170 00 Praha 7 (sídlo firmy) je z rozsahu ISMS VYJMUTO.

Osoby

  • zaměstnanci společnosti,
  • spolupracující osoby (vždy explicitně uvedeno),
  • návštěvy (vždy explicitně uvedeno).

Využívané služby

  • M365,
  • MS Azure (včetně webových, včetně AI modelů),
  • Stripe
  • Poskytovatelé identit (Google, Facebook)
  • Pipedrive CRM systém je z rozsahu ISMS VYJMUTÝ

Procesy

  • Primární:
    • Hodnocení, analýza a interpretace lidského potenciálu jednotlivců, týmů a společností (vnější služba),
    • Vývoj platformy a její infrastruktury, vývoj interpretačních algoritmů a AI modelů (služba poskytovaná uvnitř organizace).
  • Podpůrné:
    • Správa IT
    • Právní služby (legal)
    • Interpretace výsledků psychologem (služba klientům)
    • HR a řízení zaměstnanců
    • Marketing
    • Finanční řízení a controlling
    • Podpora zákazníků a správa zákaznických instancí
    • Obchod

1.2. Systém řízení bezpečnosti informací

Systém řízení bezpečnosti informací je stanovený a řízený touto bezpečnostní politikou a navazující dokumentací. Systém řízení bezpečnosti informací stanovuje požadavky, povinnosti a řídící procesy vztahující se k bezpečnosti informací včetně měření jejich efektivnosti a kontroly jejich vykonávání.

2. Vedení

2.1. Vůdčí role a závazek

Vedení organizace si uvědomuje důležitost zajištění bezpečnosti informací pro naplnění cílů organizace a proto prohlašuje, že:

  • zajistí dodržování požadavků bezpečnostní politiky a půjde v jejich dodržování příkladem,
  • zajistí vstupní a pravidelná školení se vztahem k ochraně informací,
  • zajistí pravidelné stanovení cílů systému řízení bezpečnosti informací v souladu se strategickým směřováním organizace,
  • zajistí stanovení bezpečnostní politiky a integraci systému řízení bezpečnosti informací do procesů organizace,
  • zajistí dostupnost dostatečných zdrojů (informačních, personálních, technických i finančních) potřebných pro ustanovení, zavedení, provoz, monitorování, přezkoumání, údržbu a zlepšování systému řízení bezpečnosti informací a dosahování cílů stanovených představenstvem jako součást podpory systému řízení bezpečnosti informací,
  • stanoví role, povinnosti a odpovědnosti v oblasti bezpečnosti informací,
  • podílí se na analýze dopadů,
  • osobám v bezpečnostních rolí zajistí odpovídající pravomoci a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů,
  • bude podporovat osoby stanovené do bezpečnostních rolí při prosazování informační bezpečnosti v oblastech jejich odpovědností,
  • informuje zaměstnance o významu systému řízení bezpečnosti informací a významu naplňování jeho požadavků pro fungování a rozvoj organizace,
  • vede zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací a podporuje jejich aktivity při tomto rozvíjení,
  • prosazuje neustálé zlepšování systému řízení bezpečnosti informací.
  • se prokazatelně účastní školení pro oblast informační a kybernetické bezpečnosti včetně řízení rizik v souladu s plánem rozvoje bezpečnostního povědomí,
  • podílí se na vypracování analýzy dopadů,
  • zajišťuje testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů,
  • určuje administrátory a osoby, které zastávají bezpečnostní role a
  • zajišťuje, aby byla zachována mlčenlivost administrátorů a osob zastávajících bezpečnostní role.

Vedení organizace dále prohlašuje, že:

  • určí zástupce, který bude členem Výboru pro řízení kybernetické bezpečnosti v případě jeho zřízení.

2.2. Role, odpovědnosti a pravomoci organizace

V rámci organizace jsou stanoveny tyto role relevantní pro řízení systému bezpečnosti informací:

  • Osoba odpovědná za bezpečnost
    • odpovědná za návrh pravidel a požadavků se vztahem k informační bezpečnosti,
    • odpovědná za kontrolu dodržování požadavků bezpečnostní politiky a navazující dokumentace,
    • zastupuje ji jiný člen vedení.
  • Vedoucí IT
    • odpovědný za správu IT technologií,
    • odpovědný za prosazování a dodržování požadavků bezpečnostní politiky a navazující dokumentace.
  • Vedoucí pracovník
    • odpovědná za prosazování a kontrolu dodržování požadavků bezpečnostní politiky a navazující dokumentace.
  • Auditor
    • externě najímaná osoba odpovědná za provedení auditu v souladu s plánem auditu organizace.
  • Výbor pro řízení kybernetické bezpečnosti
    • sestává z osoby odpovědné za kybernetickou bezpečnost a vedoucího IT,
    • schází se na základě potřeby,
    • vzhledem k velikosti organizace a obsazení výboru pro řízení kybernetické bezpečnosti vrcholovým vedením nejsou o jeho setkání vedeny záznamy, výstupy se zaznamenávají v dokumentech nezbytných pro řízení systému řízení bezpečnosti informací (např. plán zvládání rizik). Důvodem pro neaplikovatelnost je fakt, že k setkávání dochází každodenně, k jednání o informační bezpečnosti na základě potřeby.
  • Architekt kybernetické bezpečnosti
    • odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura.
  • Garant aktiva
    • odpovědná za zajištění rozvoje, použití a bezpečnosti aktiva,
    • v organizaci je určeným garantem všech aktiv Vedoucí IT.