Medycyna Estetyczna
Jakie zabiegi wykonują dziś gwiazdy? – odpowiada Beauty Expert Kalina Ben Sira
dalej: „LA PERLA”
1) Cel, zakres i użytkownicy
Niniejszy dokument ma na celu określenie wymagań bezpieczeństwa dla poprawnego i bezpiecznego korzystania z zasobów informacyjnych w LA PERLA.
Jego celem jest ochrona danych, informacji i tajemnic LA PERLA i użytkowników w maksymalnym możliwym zakresie przed zagrożeniami bezpieczeństwa, które zagrażają integralności, prywatności, dostępności informacji oraz reputacji i procesom realizowanym przez LA PERLA.
Celem dokumentu jest również zdefiniowanie kierunków, zasad i podstawowych reguł zarządzania bezpieczeństwem informacji w ramach LA PERLA.
Niniejsza Polityka dotyczy całej Spółki LA PERLA, tj. wszelkich placówek – siedziby oraz komórek zamiejscowych.
Użytkownikami tego dokumentu są podmioty upoważnione, wykonujące obowiązki na rzecz LA PERLA bez względu na podstawę prawną wykonywania tych obowiązków (w szczególności: świadczenie pracy, kontrakty b2b, inne umowy cywilnoprawne, praktyki i staże zawodowe) oraz wykonawcy (podwykonawcy), dostawcy i osoby trzecie, które mają dostęp do systemów informacyjnych i informacji LA PERLA.
2) Definicje
Poufność – to dostęp do informacji wyłącznie przez upoważnione podmioty lub procesy;
Integralność – dokładność i kompletność składnika aktywów, wiedza, że podstawowe dane i informacje są poprawne, nie są modyfikowane przez nieuprawnione podmioty i odzwierciedlają fakty w trakcie jego cyklu życia;
Dostępność – możliwość wykorzystania i użyteczność składnika aktywów zgodnie z żądaniem uprawnionego podmiotu. Wiedza, że informacje będą udostępniane upoważnionym użytkownikom, gdy będzie to konieczne i niezbędne;
Bezpieczeństwo informacji – działania, które zapewniają dostęp, spójność, uwierzytelnienie, prywatność i ciągłą pracę systemów informacyjnych i informatycznych LA PERLA. Proces zapewniający utrzymanie i ochronę poufności, integralności i dostępności informacji i systemów informatycznych;
System Zarządzania Bezpieczeństwem Informacji – część całego systemu zarządzania funkcjonowaniem LA PERLA, procesy oparte na podejściu do ryzyka biznesowego, umożliwiające planowanie, wdrażanie, operacjonalizację, monitorowanie, przegląd, wspieranie i ciągłe doskonalenie bezpieczeństwa informacji;
Zasób informacyjny (zwany “aktywem”) – wszelkie informacje i wiedza (technologie przechowywania, przetwarzania i przesyłania informacji, pracownicy i ich wiedza na temat przetwarzania informacji), które są cenne i ważne dla LA PERLA;
Kontrola – zestaw działań i technologii zaprojektowanych w celu zmniejszenia prawdopodobieństwa i/lub niekorzystnych konsekwencji zagrożeń i podatności.
Polityka Bezpieczeństwa Informacji (zwana dalej “Polityką”) – zbiór norm, instrukcji, zasad i praktyk dostarczanych przez System Zarządzania Bezpieczeństwem Informacji oraz najlepszych praktyk, które służą zapewnieniu bezpieczeństwa informacji i zgodności z międzynarodowymi standardami w zakresie ochrony danych;
Administrator Danych Osobowych (ADO, Administrator) – podmiot (osoba fizyczna, prawna lub jednostka organizacyjna), który samodzielnie ustala cele i sposoby przetwarzania danych osobowych. W niniejszym przypadku takim podmiotem jest LA PERLA reprezentowany przez Zarząd.
Podmiot wykonujący działalność leczniczą (PWDL) – podmiot, który został powołany w celu udzielania świadczeń zdrowotnych (działań poprawiających zdrowie Pacjenta), promocji zdrowia, prowadzenia działalności dydaktycznej (naukowej) lub badawczej. LA PERLA jest jednym z rodzajów podmiotów wykonujących działalność leczniczą na tle aktualnych przepisów;
Inspektor Ochrony Danych (IOD)– osoba wyznaczona przez Zarząd LA PERLA, która realizuje obowiązki w zakresie związanym z danymi osobowymi.
Podmiot upoważniony (przez Administratora)- osoba posiadająca pisemne upoważnienie wydane przez ADO, uprawniona do przetwarzania danych osobowych w związku z realizacją przyjętych na siebie obowiązków służbowych, bez względu na podstawę prawną wykonywania tych obowiązków (w szczególności: świadczenie pracy, kontrakty b2b, inne umowy cywilnoprawne, praktyki i staże zawodowe);
Organ nadzorczy – niezależny organ publiczny ustanowiony przez państwo członkowskie. W Polsce organem tym jest Urząd Ochrony Danych Osobowych (dalej jako „UODO”), na czele której stoi Prezes;
Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora, nie decydując samo-dzielnie o celach przetwarzania danych;
Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie; za możliwą do zidentyfikowania osobę fizyczną rozumie się taką osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Dane szczególnej kategorii – są to dane ukazujące pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym (najistotniejsze z punktu widzenia LA PERLA), dane dotyczące skazania, orzeczeń sądowych, informacji o wystawionych mandatach karnych.
Dane dotyczące zdrowia – dane osobowe o zdrowiu fizycznym lub psychicznym osoby, w tym o korzystaniu z usług opieki zdrowotnej ujawniające informacje o stanie zdrowia tej osoby;
Dane genetyczne – dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
Dane biometryczne – dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
Zbiór danych – uporządkowany zestaw danych osobowych, który umożliwia dostęp do konkretnych danych według określonego kryterium. Aby uznać zestaw danych za zbiór danych wystarczające jest zastosowanie kryterium według, którego będzie możliwe ich odnalezienie.
Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, czyli np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnia-nie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Ujawnianie – oznacza czynność, w wyniku której inny niż Administrator podmiot otrzymał wgląd w dane osobowe Dysponenta. Ujawnienie może odbywać się z poszanowaniem przepisów prawa albo może przyjąć postać ujawnienia nieuprawnionego (incydent bezpieczeństwa informacji lub naruszenie bezpieczeństwa danych osobowych)
Powierzenie przetwarzania danych – oznacza czynność, na podstawie której Administrator przekazuje fragment zarządzanych przez siebie danych osobowych innemu podmiotowi (np. firmie doradczej) w celu wykonywania czynności w imieniu i na rzecz Administratora;
Udostępnianie danych – oznacza przekazanie danych poza LA PERLA, do podmiotu, który samodzielnie będzie decydował o celach i sposobach przetwarzania tych danych.
Państwo trzecie – oznacza państwo spoza Europejskiego Obszaru Gospodarczego (Europejski Obszar Gospodarczy tworzą państwa Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia);
Organizacja międzynarodowa – oznacza organizację i organy jej podlegające, działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy. Organizacją między-narodową nie będzie więc np. Światowa Organizacja Zdrowia (WHO);
Dysponent danych – osoba fizyczna, której dotyczą dane osobowe;
Naruszenie bezpieczeństwa danych osobowych – oznacza incydent bezpieczeństwa informacji, który wywołał negatywne konsekwencje dla osób, których dane osobowe dotyczą, np. doprowadził do niezgodnego z prawem ich zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu;
Profilowanie danych osobowych – dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
Pseudonimizacja danych – oznacza sytuację, w której dane osobowe przetwarzane są w sposób uniemożliwiający przypisanie ich konkretnej osobie, bez użycia dodatkowych informacji.
Anonimizacja danych – oznacza nadanie danym osobowym takiej postaci, aby niemożliwym stało się przyporządkowanie poszczególnych informacji do określonej lub możliwej do zidentyfikowania osoby fizycznej albo, jeżeli przyporządkowanie takie wymagałoby niewspółmiernych kosztów, czasu lub działań.
Obowiązek informacyjny – zestaw informacji i pouczeń dotyczących przetwarzania danych, dedykowany konkretnym osobom lub kategorii osób, które te dane dotyczą, w którym Administrator działając w imieniu własnym lub jako podmiot przetwarzający dane w imieniu inne-go podmiotu, informuje jednostkę o kluczowych aspektach przetwarzania, w szczególności: w jakim celu, na jakiej podstawie, jakie dane i jak długo będzie przetwarzał, jakie prawa przy-sługują osobie, której te dane dotyczą;
Strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż: osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
Zgoda osoby, której dane dotyczą- oznacza dobrowolne, konkretne, świadome i jedno-znaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wy-raźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
Monitoring wizyjny – są to wszelkiego rodzaju rejestratory obrazu (i/lub dźwięku) oraz wszelkie inne urządzenia, na których przechowywany jest zapis powyższych, służące w szczególności poprawie bezpieczeństwa Pacjentów, Pracowników oraz wszelkich innych osób odwiedzających LA PERLA, w szczególności ochronie życia, zdrowia i mienia;
DPIA (z ang. Data Protection Impact Assessment) – oznacza procedurę oceny skutków dla ochrony danych osobowych polegającą na opisaniu tych czynności przetwarzania danych, które ze względu na swój charakter, zakres, kontekst i cele, z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (Dysponentów danych), zwłaszcza, gdy przetwarzanie następuje z wykorzystaniem technologii przetwarzania informacji.
Polityka ciągłości działania – dokument mający na celu minimalizację ryzyk związanych z wystąpieniem scenariuszy niepożądanych, ułatwiający zarządzanie LA PERLA w trakcie sytuacji awaryjnych.
Audyt ochrony danych – oznacza przegląd i ocenę przestrzegania przez ADO we współpracy z IOD przepisów RODO. Wykonywanie audytów powinno odbywać się z regularnością przyjętą na łamach niniejszej Polityki oraz każdorazowo kończyć się sporządzeniem protokołu, w którym wskazane zostaną w szczególności wszelkie stwierdzone uchybienia lub spostrzeżone ryzyka, którym należy zapobiegać w przyszłości;
Użytkownik – osoba, która posiada zgodę odpowiedniej osoby upoważnionej na korzystanie i zarządzanie systemami informatycznymi.
Właściciel – osoba lub podmiot posiadający udowodnione prawo do zarządzania, rozwijania, wspierania, wykorzystywania i ochrony majątku. “Właściciel” nie oznacza, że posiada jakiekolwiek prawa własności do składnika aktywów;
Ryzyko – możliwość wystąpienia zdarzenia, które może niekorzystnie wpłynąć na realizację i osiągnięcie celów. Mierzy się go poprzez połączenie konsekwencji takiego zdarzenia (wpływu) i jego prawdopodobieństwa wystąpienia;
Zagrożenie – potencjalne źródło niepożądanego zdarzenia, które może spowodować uszkodzenie systemu lub procesu;
Podatność na zagrożenia – słabość zasobu lub grupy aktywów, które mogą być wykorzystywane przez zagrożenie (zagrożenia);
Zdarzenie Bezpieczeństwa Informacji – podejrzana aktywność lub szereg działań, które wymagają głębszej analizy, z punktu widzenia Bezpieczeństwa Informacji;
Incydent związany z bezpieczeństwem informacji to pojedyncze lub wielokrotne niepożądane lub nieoczekiwane zdarzenia związane z bezpieczeństwem informacji, które mają znaczne prawdopodobieństwo naruszenia działalności statutowej i zagrożenia bezpieczeństwa informacji” (ISO/IEC 27000).
3) Wprowadzanie do polityki bezpieczeństwa informacji
Systemy informatyczne są obecnie kluczowym zasobem umożliwiającym podstawowe działania i komunikowanie się pomiędzy pracownikami, pacjentami i partnerami LA PERLA. Spółka zdaje sobie sprawę, że globalny dostęp do informacji daje wiele możliwości, ale także wiele wyzwań. Komercjalizacja i wszechobecność Internetu pozwoliła hakerom, przestępczości zorganizowanej i innym złośliwym podmiotom atakować wolne i otwarte sieci, do których ma dostęp i z których korzysta Administrator. LA PERLA jest zależna od bezpiecznego środowiska, aby prowadzić statutową działalność. Zabezpieczenie systemów informatycznych i zasobów informacyjnych jest zatem niezbędne.
Bezpieczeństwo informacji jest określone przez praktyki, które umożliwiają zapewnienie, że informacje, za które odpowiedzialność ponosi LA PERLA są dostępne lub modyfikowane, (podczas ich przechowywania, przetwarzania lub przesyłania), wyłącznie przez upoważnione osoby, podmioty lub systemy. Praktyki te obejmują niezbędne środki wykrywania, dokumentowania i reagowania na zagrożenia dla integralności, dostępności i poufności informacji. Informacja jest istotnym i cennym zasobem LA PERLA i działalności statutowej. W większości przypadków taka wartość może być bezpośrednio przeliczona na kwotę pieniężną, a w innych jest związana z czynnikami jakościowymi, takimi jak reputacja. Naruszenie jego poufności, integralności lub dostępności, w szczególności, gdy ma wpływ na użytkowników końcowych – pacjentów oraz ich bezpieczeństwo – może prowadzić do konsekwencji i znacznych, wielorakich, strat dla LA PERLA.
Bezpieczeństwo informacji dotyczy również ochrony danych osobowych przewarzanych w LA PERLA. Biorąc pod uwagę, że dziedzina ochrona danych osobowych jest stosunkowo młoda na tle innych gałęzi prawa, a przy tym niezwykle rozbudowana i cechująca się stosunkowo niską świadomością podmiotów uczestniczących w procesach przetwarzania (które to procesy są doniosłe w skutkach i często zagrażają powstaniem nieodwracalnej szkody), dokument ten oraz jego załączniki oraz pozostałe dokumenty z zakresu ISO27001 należy traktować jako podstawowe źródło wiedzy, praw i obowiązków każdego, kto w imieniu LA PERLA będzie uprawniony do przetwarzania danych osobowych – bez względu na zakres tego przetwarzania, pełnioną funkcję, rodzaj zawartej umowy.
Każdej osobie, która będzie uprawniona do przetwarzania danych osobowych w imieniu LA PERLA, ciąży obowiązek postępowania zgodnie z obowiązującymi w LA PERLA procedurami dotyczącymi ochrony danych osobowych. W sytuacji, gdy osoba odpowiedzialna za przetwarzanie danych nie zapozna się z procedurami i nie będzie ich stosowała, naraża za-równo LA PERLA, jak i w wielu przypadkach siebie samego na poniesienia odpowiedzialności materialnej.
Stosowanie zasad określonych w Polityce ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych w LA PERLA, rozumianej jako ochrona danych przed ich nieuprawnionym udostępnieniem, utratą, uszkodzeniem lub zniszczeniem. W pierwszej kolejności Polityka chroni interesy dysponentów danych, a w dalszej LA PERLA, czyli Administratora (przed negatywnymi konsekwencjami w postaci kar nakładanych przez organ nadzoru) oraz wszystkich, którzy obowiązani są przestrzegać jej zapisów (czyli przede wszystkim Pracowników / Zleceniobiorców).
W związku z tym przyjęto wytyczne dotyczące Systemu Zarządzania Bezpieczeństwem In-formacji LA PERLA (SZBI), opartego na ISO 27001, międzynarodowej normie zarządzania bezpieczeństwem informacji. System ten ma na celu ochronę informacji, za które LA PERLA jest odpowiedzialny, niezależnie od tego, czy zostały one wyprodukowane wewnętrznie, czy powierzone w ramach swojej roli, usług świadczonych na rzecz użytkowników końcowych (pacjentów) i obowiązków, które wynikają z przepisów ustawowych, wykonawczych lub innych.
4) Zarządzanie bezpieczeństwem informacji
Cele i pomiary
Ogólnym celem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) jest ochrona in-formacji wykorzystywanych przez LA PERLA w realizacji jej zadań statutowych. Bezpieczeństwo informacji musi być zarządzane zgodnie z zarządzaniem ryzykiem w LA PERLA i wymaganiami ciągłości działania, co powinno prowadzić do ograniczania występowania szkód spowodowanych potencjalnymi incydentami bezpieczeństwa informacji. Następujące cele są realizowane w celu ochrony poufności, integralności i dostępności wszystkich zaso-bów informacyjnych.
Odpowiedzialność LA PERLA polega na:
• Zapewnianiu zgodności z przepisami, regulacjami i innymi obowiązującymi normami;
• Zapewnianiu spełniania wymogów w zakresie poufności, integralności i dostępności tak, aby pozwalały na realizację w niezakłócony sposób działań statutowych LA PERLA;
• Wdrożeniu kontroli w celu ochrony zasobów informacyjnych LA PERLA przed kradzieżą, włamaniem, nadużyciami lub innymi formami nielegalnego wykorzystania;
• Promowaniu kultury świadomości i zaangażowania w bezpieczeństwo informacji wśród Zarządu, kierowników i pracowników, motywując ich do uświadomienia sobie i wzięcia odpowiedzialności za swój wkład w SZBI, tak aby zminimalizować ryzyko incydentów związanych z bezpieczeństwem;
• Zapewnianiu dostępności i niezawodności sprzętu, infrastruktury i systemów wspierających działalność LA PERLA;
• Zapewnianiu, aby LA PERLA miał możliwość kontynuowania swojej działalności w przypadku wystąpienia jakiegokolwiek poważnego incydentu w zakresie ochrony bezpieczeństwa informacji, na warunkach określonych w szczególnych mających zastosowanie zasadach i procedurach;
• Zapewnianiu ochrony danych osobowych, zgodnie z obowiązującymi przepisami, nor-mami i standardami;
• Postępowanie zgodnie z najlepszymi praktykami branżowymi;
• Zapewnianie, że zewnętrzni dostawcy/strony spełniają wymagania LA PERLA w zakresie bezpieczeństwa;
• Zmniejszanie szkód spowodowanych przez incydenty związane z bezpieczeństwem in-formacji w LA PERLA, a także zapewnianie, że są one zgłaszane i badane zgodnie z warunkami zdefiniowanymi w tym celu;
• Zapewnianie ciągłego doskonalenia SZBI w celu zagwarantowania jego przydatności i skuteczności.
• Upewnianie się, że informacje są chronione przed nieautoryzowanym dostępem;
• Upewnianie się, że cele bezpieczeństwa informacji są zgodne z celami działalności statutowej i planami LA PERLA;
Zarząd LA PERLA wyznacza odpowiedzialność za ciągły przegląd, pomiar i doskonalenie ogólnych celów Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Cele poszczególnych środków kontroli bezpieczeństwa lub grup wynikają z celów bezpieczeństwa informacji i zatwierdzane są przez Kierownika Sekcji Informatyki. Cele SZBI będą weryfikowane pod-czas Przeglądu Zarządczego SZBI (Przegląd Zarządzania), podczas którego dokonywana będzie ocena zdarzeń z mijającego okresu, a także ustalane plany na najbliższy okres.
Wszystkie cele muszą zostać poddane przeglądowi, a pomiary muszą być przeprowadzane co najmniej raz w roku lub za każdym razem, gdy nastąpi znacząca zmiana. Analiza i ocena wyników pomiarów oraz raportowanie jest dostarczane Zarządowi jako materiały wejściowe do Przeglądu Zarządzania.
Wytyczne dla użytkowników systemów informatycznych
LA PERLA określił zasady dotyczące bezpieczeństwa informacji w „Wytycznych dla użytkowników systemów informatycznych”, mających zastosowanie do wszystkich pracowników, dostawców i innych podmiotów zewnętrznych, w szczególności w następujących zakresach:
• Zgodność z niniejszą polityką i dalszą dokumentacją dotyczącą bezpieczeństwa informa-cji;
• Wykorzystanie zasobów technologicznych i systemów wykorzystywanych w LA PERLA;
• Przetwarzanie informacji i danych osobowych w ramach odpowiedzialności LA PERLA;
• Postępowanie w przypadku naruszeń niniejszej Polityki lub innych polityk i procedur bezpieczeństwa informacji.
Odpowiedzialność za bezpieczeństwo informacji w LA PERLA
Bezpieczeństwo informacji ma zastosowanie do wszystkich Podmiotów upoważnionych w LA PERLA, a określone obowiązki są przypisane do poszczególnych osób i komórek organizacyjnych. LA PERLA powinien promować niezbędne szkolenia i należycie informować i uświadamiać pracowników, a także pracowników dostawców i innych podmiotów zewnętrznych, tak aby byli oni w stanie wykonywać swoje zobowiązania w zakresie bezpieczeństwa informacji zgodnie z Polityką Bezpieczeństwa Informacji. Za wypełnienie tych obowiązków odpowiada Zarząd LA PERLA, który w tym zakresie może przekazać obowiązki właściwym Podmiotom upoważnionym.
Zarządzanie zasobami informacyjnymi
Informacje zarządzane przez LA PERLA, jego procesy, infrastruktura wsparcia, pracownicy, strony trzecie, biura, sprzęt, dokumenty, systemy, aplikacje i sieci są cennymi zasobami (aktywami) informacyjnymi dla LA PERLA. W związku z tym każde z tych aktywów powinno być odpowiednio chronione zgodnie z procedurami bezpieczeństwa informacji zatwierdzonymi przez LA PERLA, przez cały cykl jego życia, obejmujący jego tworzenie, obsługę, przechowywanie, transport i utylizację. Informacje zarządzane przez LA PERLA powinny być wykorzystywane w sposób przejrzysty i wyłącznie w celu, dla którego zostały stworzone lub powierzone.
Zarządzanie systemami informacyjnymi
Ponieważ informacje są przechowywane głównie w plikach danych (komputerowych), należy zwrócić szczególną uwagę na procedury zarządzania systemami informatycznymi, a także na zasoby, które je obsługują. Systemy informatyczne LA PERLA powinny być projektowane, określane, rozwijane, testowane, wdrażane i zarządzane z uwzględnieniem potrzeb i wymagań bezpieczeństwa informacji – poufności, integralności i dostępności.
Zarządzanie ryzykiem związanym z bezpieczeństwem informacji
Jednym z kluczowych obszarów SZBI w LA PERLA jest ciągłe zarządzanie ryzykiem bezpieczeństwa informacji – jego identyfikacja, ocena i postępowanie z ryzykiem. Zarządzanie ryzykiem jest narzędziem zarządzania LA PERLA i pośród innych obszarów dotyczy zaso-bów informacyjnych LA PERLA.
W ramach SZBI zarządzanie ryzykiem obejmuje wdrożenie środków kontroli bezpieczeństwa i mechanizmów mających na celu złagodzenie lub ograniczenie potencjalnych szkód spowodowanych wykorzystaniem podatności aktywów. Działania te są podejmowane w celu zmi-nimalizowania występowania incydentów i zapewnienia odpowiedniego poziomu bezpieczeń-stwa, odpowiadający poziomom ryzyka, które LA PERLA jest skłonny zaakceptować. Takie środki powinny być zaprojektowane zgodnie z celami statutowymi i obowiązkami LA PER-LA, biorąc pod uwagę wydajność, koszty i możliwość zastosowania. Zarządzanie ryzykiem LA PERLA obejmuje również monitorowanie ryzyk operacyjnych, na które narażony jest LA PERLA, poprzez wdrożenie procedur oceny poziomu narażenia na ryzyko i wielkości ryzyka uznanego za akceptowalny w świetle celów statutowych LA PERLA.
Zarządzanie incydentami i ciągłość działania
Wszelkie zdarzenia, które mogą zagrozić działalności LA PERLA lub zagrozić bezpieczeństwu informacji, będą traktowane jako incydenty bezpieczeństwa, zgodnie z procedurą zarządzania incydentami zatwierdzoną przez LA PERLA.
Dostępność informacji, nie wyłączając innych kwestii w zakresie bezpieczeństwa informacji, zapewniana jest poprzez wdrożenie planu reagowania na incydenty zakłócające, zintegrowanego w ramach planów ciągłością działania.
Wymagania dotyczące zgodności z wymogami bezpieczeństwa informacji
Niniejsza Polityka i cały System Zarządzania Bezpieczeństwem Informacji (SZBI) muszą być zgodne z wymogami prawnymi i regulacyjnymi istotnymi dla LA PERLA w zakresie bezpieczeństwa informacji, a także ze zobowiązaniami umownymi.
Stała kontrola obecnej Polityki jest konieczna w celu zapewnienia zgodności z istniejącym ustawodawstwem i uznanymi standardami branżowymi.
Kontrola bezpieczeństwa informacji
Proces wyboru zabezpieczeń służących bezpieczeństwu informacji opiera się przede wszystkim na Metodyce szacowania i postępowania z ryzykiem, a także obowiązkowych wymogach prawnych i regulacyjnych, m.in. na ustawie o krajowym systemie cyberbezpieczeństwa.
Monitorowanie i zgłaszanie incydentów
LA PERLA zachowuje prawo do prowadzenia monitoringu technicznego w celu zapewnienia pomyślnego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), egzekwowania niniejszej Polityki oraz Procedur, zgodnie z polskimi przepisami o ochronie prywatności i danych osobowych (RODO) oraz innymi przepisami.
Wszelkie incydenty lub podatności na takowe muszą być natychmiast zgłaszane jednocześnie Kierownikowi Sekcji Informatyki oraz Inspektorowi Ochrony Danych. Kierując się zasadą rozliczalności oraz celem umożliwienia nadzoru i koordynacji zdarzeń, incydenty powinny być zgłaszane poprzez wysłanie wiadomości e-mail do obu w/w osób (zakładając nowy wątek).
Ryzyka związane z cyberatakami muszą być natychmiast zgłaszane Kierownikowi Sekcji Informatyki.
Ryzyka związane z cyberatakami muszą być natychmiast zgłaszane Kierownikowi Sekcji Informatyki.
5) Obowiązki w zakresie bezpieczeństwa informacji
Ochrona integralności, dostępności i poufności aktywów jest obowiązkiem właściciela każde-go składnika aktywów. Wszystkie upoważnione podmioty są odpowiedzialne za przestrzega-nie niniejszej Polityki.
Obowiązki w zakresie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) są następujące:
Zarząd LA PERLA LA PERLA
Zarząd LA PERLA musi dokonać przeglądu Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) – co najmniej raz w roku lub za każdym razem, gdy nastąpi istotna zmiana – i przygotować protokół z tego posiedzenia. Celem przeglądu zarządzania jest ustalenie odpowiedniości, adekwatności i skuteczności Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
Zarząd LA PERLA jest odpowiedzialny za zapewnienie wdrożenia i utrzymania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnie z niniejszą Polityką oraz za zapewnienie dostępności wszystkich niezbędnych zasobów.
zarząd LA PERLA, w ścisłej współpracy z Kierownikiem Sekcji Informatyki, jest również odpowiedzialny za przyjęcie i wdrożenie Planu Szkoleń, który dotyczy wszystkich osób, od-grywających rolę w zarządzaniu bezpieczeństwem informacji, a także za wdrożenie programów szkoleniowych i uświadamiających w zakresie bezpieczeństwa informacji dla pracowników, podwykonawców, dostawców i stron trzecich.
Do szczególnych obowiązków Zarządu LA PERLA należy:
• prowadzenie, wraz z Kierownikiem Sekcji Informatyki oraz Inspektorem Ochrony Danych szkoleń dla nowo zatrudnionych pracowników; sprawdzanie, czy pracownicy przechodzą szkolenie w zakresie świadomości bezpieczeństwa po zatrudnieniu i co najmniej raz w roku.
• Upewnianie się, że nowozatrudnieni pracownicy zapoznają się z dokumentacją bezpieczeństwa informacji.
• udzielanie pomocy Kierownikowi Sekcji Informatyki oraz Inspektorem Ochrony Danych w publikowaniu i rozpowszechnianiu w LA PERLA, polityk bezpieczeństwa in-formacji i wskazówek dotyczących dopuszczalnego użytkowania dla wszystkich użytkowników systemu, w tym dostawców, wykonawców i partnerów.
• współpraca z Kierownikiem Sekcji Informatyki oraz Inspektorem Ochrony Danych w zakresie rozpowszechniania informacji o świadomości bezpieczeństwa wśród użytkowników systemów, edukowania pracowników, również inicjowanie postępowania dyscyplinarnego w związku z naruszeniami Polityki Bezpieczeństwa Informacji.
• powiadamianie Kierownika Sekcji Informatyki o rozwiązaniu umowy z pracownikiem za pośrednictwem personelu Dział Służb Pracowniczych i Płac.
• upewnianie się że spełnione są wymagań w zakresie zabezpieczeń fizycznych, wdrażanie i utrzymanie kontroli dostępu, które ograniczają personel dopuszczony do wejścia do obszarów krytycznych.
Kierownik Sekcji Informatyki
Ilekroć mowa o Kierowniku Sekcji Informatyki na łamach niniejszego dokumentu lub dokumentu pn. Polityka Zarządzania Informacjami, wszelkie zobowiązania należy od-nosić odpowiednio i równoważnie do podmiotu zewnętrznego, który na zasadach outsourcingu przyjął na siebie świadczenie usług administrowania systemem informatycznym.
Jeżeli w LA PERLA nie zostanie zatrudniona osoba pełniąca funkcję Kierownika Sekcji In-formatyki wewnętrznie, Zarząd Administratora odpowiada za ukształtowanie kontraktu z nie-zależnym podmiotem trzecim w taki sposób, aby w pełni respektowane i wykonywane były obowiązki wynikające z:
a) Instrukcji Zarządzania Systemem Informatycznym
b) Polityki Bezpieczeństwa Informacji
c) Polityki Zarządzania Informacjami
Ze względu na złożoność systemów IT wykorzystywanych w LA PERLA, Kierownik Sekcji Informatyki jest odpowiedzialny za monitorowanie bezpieczeństwa informacji i zarządzanie incydentami, a także za pomiar i raportowanie bezpośrednio do Zarządu LA PERLA o wydajności Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
Skuteczne zabezpieczenie systemów informatycznych LA PERLA wymaga, aby zainteresowane strony i grupy konsekwentnie przestrzegały regulacji dotyczących bezpieczeństwa informacji. Kierownik Sekcji Informatyki współpracuje z kierownikami, administratorami i użytkownikami w celu opracowania i stosowania zasad, standardów i procedur bezpieczeństwa, które pomogą chronić aktywa LA PERLA.
Kierownik Sekcji Informatyki jest również odpowiedzialny za koordynację i nadzorowanie aby działania podejmowane przez LA PERLA były zgodne z politykami i procedurami dotyczącymi poufności, integralności i dostępności swoich zasobów informacyjnych.
Kierownik Sekcji Informatyki ściśle współpracuje z Zarządem, IOD i personelem zaangażowanym w zabezpieczanie zasobów informacyjnych LA PERLA w celu egzekwowania ustalonych zasad, identyfikowania obszarów budzących obawy i wdrażania odpowiednich zmian w razie potrzeby.
Do szczególnych obowiązków Kierownika Sekcji Informatyki należy:
• tworzenie nowych polityk i procedur bezpieczeństwa informacji, jeśli zajdzie taka potrze-ba
• utrzymywanie i aktualizowanie istniejących zasad i procedur bezpieczeństwa informacji. Coroczny przegląd polityki i pomoc Zarządowi w procesie zatwierdzania
• działanie jako główny dział koordynujący wdrażanie Polityki Bezpieczeństwa Informacji
• tworzenie procedur i działanie zgodnie z nimi w trakcie reagowania na incydenty
• monitorowanie i analizowanie alertów bezpieczeństwa i przekazywanie informacji do odpowiednich osób zajmujących się bezpieczeństwem informacji
• codzienne przeglądanie podstawowych wskaźników bezpieczeństwa oraz podejmowanie działania następczych w przypadku wszelkich zidentyfikowanych nieprawidłowości lub odstępstw
• monitorowanie dostępu do wrażliwych obszarów, zapewnianie aby w miejscach przechowywania poufnych informacji stosowane były odpowiednie kontrole fizyczne
• opracowanie i przyjęcie metodyki oceny ryzyka bezpieczeństwa informacji i metod zarządzania ryzykiem, a także koordynowanie ocen ryzyka informacyjnego, które mają być wykorzystywane jako wkład w plan zarządzania ryzykiem
• podejmowanie decyzji dotyczących polityk bezpieczeństwa informacji i ich treści oraz zatwierdzanie wyjątków od tych zasad indywidualnie dla każdego przypadku
• koordynowanie, co rok, formalnej oceny ryzyka w celu zidentyfikowania nowych zagrożeń i słabych punktów oraz określenia odpowiednich środków kontroli w celu ograniczenia wszelkich nowych zagrożeń
• dokonywanie przeglądu, co rok, w zakresie polityk i procedur bezpieczeństwa informacji w celu utrzymania adekwatności w świetle pojawiających się wymagań nakładanych na LA PERLA lub zagrożeń bezpieczeństwa
• upewnianie się, że osoby trzecie, mające dostęp do zasobów informacyjnych LA PERLA, są umownie zobowiązane do przestrzegania odpowiednich wymogów w zakresie bezpieczeństwa danych, które przetwarzają
• aktualizowanie i rozpowszechnianie procedury zarządzania incydentami wśród wszystkich użytkowników
• prowadzanie szkoleń z ww. zakresu dla użytkowników
Właściciele aktywów
Kierownikowi Sekcji Informatyki jest odpowiedzialny za wdrażanie programów szkoleniowych w zakresie bezpieczeństwa informacji dla dostawców i stron trzecich uzyskujących do-stęp do systemów i informacji LA PERLA. Właściciele aktywów odgrywają kluczową rolę w procesie zarządzania ryzykiem, a ich prawa i obowiązki w ramach tego procesu są określone w metodologii zarządzania ryzykiem.
Audyt wewnętrzny
Audyt wewnętrzny jest prowadzony nie rzadziej niż raz na dwa lata przez podmiot wytypowany przez Zarząd z grona podmiotów zaproponowanych wspólnie przez IOD i KSI.
Użytkownicy
Każdy użytkownik sprzętu IT musi zdawać sobie sprawę ze znaczenia zasobów informacyjnych i uznawać swoją odpowiedzialność za wykorzystywanie tych zasobów. Użytkownicy muszą chronić się przed nadużyciami, które zakłócają lub zagrażają systemom wykorzystywanym w LA PERLA.
Do szczególnych obowiązków użytkowników systemów informatycznych należy:
• rozumienie jakie są konsekwencje ich działań w odniesieniu do praktyk bezpieczeństwa informacji oraz działanie zgodnie z nimi.
• znajomość treści polityk bezpieczeństwa informacji.
• znajomość zapisów i postanowień „Polityki akceptowalnego użytkowania”.
• klasyfikowanie zasobów informacyjnych, które zostały otrzymane bez klasyfikacji.
• zgłaszanie wszelkich podejrzanych zdarzeń, incydentów, prób lub faktycznych naruszeń, zasad, standardów i procedur Kierownika Sekcji Informatyki oraz IOD na adres mailowy przez nich wskazany.
6) Postępowanie dyscyplinarne
W przypadku naruszenia procedur dotyczących bezpieczeństwa informacji, dana, zatrudniona osoba może podlegać środkom dyscyplinarnym, w tym między innymi rozwiązaniu umowy.
7) Wsparcie dla Systemu Zarządzania Bezpieczeństwem Informacji
Niniejszym Zarząd LA PERLA oświadcza, że wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) oraz ciągłe doskonalenie bezpieczeństwa informacji będzie wspierane odpowiednimi zasobami w celu osiągnięcia wszystkich celów określonych w niniejszej Polityce, a także spełnienia wszystkich zidentyfikowanych wymagań.
Wróć do bloga
Chcesz być na bieżąco z promocjami?
Zapisz się do newslettera i odbierz 20% zniżki na pierwszy zabieg!