expand
Informačná bezpečnosť
Osvedčenie
expand
ISO/IEC 27001 EN
1. Úvod
Ako jedna z najvýznamnejších spoločností rakúskeho stavebníctva je spoločnosť SWIETELSKY povinná zaviesť voči svojim zamestnancom, zákazníkom a zmluvným partnerom vo všetkých svojich úsekoch najprísnejšie normy.
Na základe zákonných, ale aj hospodárskych požiadaviek, ktoré sa od spoločnosti vyžadujú, sa preto kladie obzvlášť veľký dôraz na informačnú bezpečnosť.
Informačnú bezpečnosť definuje spoločnosť SWIETELSKY ako ochranu fyzických a elektronických informácií a takisto aj systémov nevyhnutných na spracúvanie informácií vzhľadom na ich dôverný charakter, integritu a dostupnosť.
2. Rozsah pôsobnosti
Rozsah pôsobnosti tejto bezpečnostnej politiky zahŕňa koncern Swietelsky a jeho dcérske spoločnosti so všetkými ich zamestnancami, pobočkami a službami.
3. Zásady
3.1 Nariadenie zo strany vedenia
Predstavenstvo spoločnosti SWIETELSKY týmto prijalo politiku informačnej bezpečnosti ako súčasť svojej podnikovej stratégie.
Predstavenstvo podporuje ciele a princípy informačnej bezpečnosti v súlade s obchodnou stratégiou a obchodnými cieľmi.
Zriadením systému riadenia informačnej bezpečnosti (Information Security Management System, ISMS) a poskytnutím nevyhnutných zdrojov umožňuje predstavenstvo dosiahnuť ciele tohto systému. Predstavenstvo ako najvyšší riadiaci orgán systému ISMS aktívne prispieva k jeho úspešnosti.
3.2 Význam informačnej bezpečnosti
Obchodná činnosť spoločnosti SWIETELSKY vo veľkej miere závisí od dostupnosti informácií a čoraz viac od správneho fungovania jej informačných systémov. Význam spracúvania informácií a digitalizácie v stavebnom priemysle sa neustále zvyšuje. Prepojenia v rámci spoločnosti a takisto aj so zákazníkmi, dodávateľmi a konzorciami sú pri poskytovaní služieb veľkou podporou. Výpadky kľúčových systémov môžu už po krátkom čase viesť k ekonomickým škodám, ako aj k poškodeniu dobrého mena spoločnosti SWIETELSKY.
Informačná bezpečnosť vnútri podniku, ako aj u zákazníkov a partnerov vytvára potrebnú dôveru na to, aby sme napredovali v digitalizácii a riešili riziká, ktoré budú pritom vznikať. Z tohto dôvodu sa predstavenstvo, resp. pracovníci poverení predstavenstvom aktívne venujú informačnej bezpečnosti z právneho, technologického a organizačného hľadiska.
4. Kontext organizácie
V roku 1936 založil Dipl. Ing. Hellmuth Swietelsky stavebnú spoločnosť. V súčasnosti patrí koncern SWIETELSKY AG, ktorý zamestnáva viac ako 10 000 zamestnankýň a zamestnancov, k najvýznamnejším spoločnostiam stavebného priemyslu v Rakúsku.
S pobočkami v 4 kľúčových krajinách (Rakúsku, Nemecku, Česku a Maďarsku) a v ďalších 15 krajinách sa celý podnik nachádza v súkromnom vlastníctve. Aktivity spoločnosti SWIETELSKY sa vzťahujú na všetky odvetvia stavebníctva. Koncern pritom ponúka vysokú kvalitu, flexibilitu a dodržiavanie termínov pri projektoch akýchkoľvek rozmerov.
„Decentralizovaná organizácia v profitových strediskách, delegovanie zodpovednosti a podieľanie sa na úspechu inšpiruje našich motivovaných a kompetentných zamestnancov/zamestnankyne k tomu, že môžu v spoločnosti konať ako ‚podnikatelia/podnikateľky‘.“ – Filozofia spoločnosti SWIETELSKY
4.1 Interné súvislosti
Spoločnosť SWIETELSKY sa vyznačuje decentralizovanou organizačnou štruktúrou s rôznymi samostatnými subjektmi, ktoré pôsobia v Európe a v Austrálii. Spoločné služby, ako sú napríklad ľudské zdroje, financovanie alebo IT, sa riadia centrálne.
Na to, aby spoločnosť SWIETELSKY mohla plniť želania zákazníkov, spĺňať požiadavky verejných súťaží a riadiť opatrenia, prevádzkuje okrem systému ISMS aj ďalšie systémy riadenia. Prevádzkujú ich nezávisle od seba príslušní poverení pracovníci, pričom jednotné fungovanie týchto systémov riadenia zaisťuje pravidelná koordinácia.
4.2 Externé súvislosti
Aktivity spoločnosti SWIETELSKY pokrývajú všetky odvetvia stavebníctva. Na plnenie úloh je potrebná úzka spolupráca s rôznymi dodávateľmi, objednávateľmi, subdodávateľmi a inými konkurentmi, ktorá sa uskutočňuje formou konzorcií.
5. Zainteresované strany
Na systém ISMS spoločnosti SWIETELSKY kladú požiadavky rôzne zainteresované strany.
5.1 Zmluvní partneri (zákazníci, dodávatelia, konzorciá)
Zmluvní partneri očakávajú dôveryhodné spracúvanie svojich údajov, predovšetkým však plynulé fungovanie, a tým aj dostupnosť služieb.
5.2 Interné strany (obchodné úseky, zamestnanci)
Interné strany očakávajú fungujúce služby, ktoré budú kedykoľvek k dispozícii. Odstávky by mali byť čo najkratšie a v žiadnom prípade by sa nemali diať neplánovane. Bezpečnosť by mala byť oporou v pozadí a podľa možností by nemala ovplyvňovať ani sťažovať prácu. Ojedinele sa kladú vysoké nároky aj na dôvernosť.
5.3 Akcionári (vedenie spoločnosti, vlastníci)
Akcionári očakávajú zabezpečenie proti hospodárskym a právnym rizikám a rizikám súvisiacim s narušením dobrého mena spoločnosti. Systém ISMS je určený na efektívne využívanie zdrojov a vďaka certifikácii umožňuje konkurenčnú výhodu.
5.4 Verejná správa (úrady, legislatívne orgány)
Verejná správa očakáva, že sa budú dodržiavať všetky zákony. Všetky prenášané informácie sa musia k orgánom verejnej správy dostať načas, v správnej a úplnej podobe.
6. Organizácia
V rámci systému ISMS sa definujú tieto kľúčové roly a kompetencie:
7. Ciele
Ciele systému ISMS vyplývajú zo zásad zakotvených v kódexe správania spoločnosti SWIETELSKY.
Strategickým cieľom opísaným v systéme ISMS sú pridelené operatívne ciele, ktoré sa každý rok vyhodnocujú na základe ukazovateľov.
7.1 Chránime aktíva spoločnosti
7.1.1 Zamedzenie neplánovaných odstávok centrálnych IT služieb
Výpadky centrálnych služieb môžu mať v krátkom čase dosah na obchodnú činnosť spoločnosti a môžu viesť k finančným škodám.
7.1.2 Zamedzenie finančných škôd spôsobených počítačovou kriminalitou
Kriminálna činnosť prostredníctvom elektronických médií môže viesť k závažným finančným škodám.
7.2 S obchodnými záznamami a informáciami zaobchádzame dôverne
7.2.1 Ochrana dôverného charakteru informácií
Neúmyselné poskytovanie alebo zverejňovanie informácií môže mať negatívny vplyv na dobré meno spoločnosti SWIETELSKY a môže viesť aj k právnym a zmluvným dôsledkom.
7.3 Dodržiavame normy bezpečnosti IT a ochrany osobných údajov
7.3.1 Vytvorenie maximálnej úrovne informačnej bezpečnosti
Vytvorením systému ISMS a zriadením bezpečnostných opatrení podľa normy ISO/IEC 27001, ako aj prostredníctvom externej certifikácie podávame tretím stranám dôkaz o najvyššej úrovni informačnej bezpečnosti.
7.4 Neustále sa rozvíjame
7.4.1 Zvyšovanie povedomia personálu
Pravidelné školenia a kurzy sú základom ďalšieho rozvoja pri zvyšovaní povedomia zamestnankýň a zamestnancov spoločnosti Swietelsky.
7.4.2 Trvalé zlepšovanie systému ISMS a bezpečnostných opatrení
Vytvorenie trvalého procesu zlepšovania v rámci systému ISMS zabezpečuje neustále hodnotenie a ďalší rozvoj existujúcich opatrení, ako aj identifikáciu nových opatrení vyplývajúcich z rizík.
8. Vykonávanie
Na vykonávanie tejto bezpečnostnej politiky sa v rámci systému ISMS vytvorili tieto kľúčové časti a procesy:
9. Rozsah pôsobnosti normy ISO/IEC 27001
Hoci sa rozsah pôsobnosti tejto bezpečnostnej politiky a systému ISMS vzťahuje na celú spoločnosť, obmedzuje sa externá certifikácia podľa normy ISO/IEC 27001 na nasledujúci rozsah pôsobnosti:
Do rozsahu pôsobnosti systému ISMS patrí poskytovanie a prevádzka IT služieb v rámci koncernu a súvisiacej nevyhnutnej infraštruktúry v Rakúsku.
Služby
Centrálne IT služby a prevádzka IT infraštruktúry predstavujú so zreteľom na rozsah pôsobnosti relevantné služby.
Procesy
Z hľadiska úloh v rozsahu pôsobnosti sa za primárny objekt záujmu považuje proces prevádzky IT.
Oddelenie/úseky
Za rozsah pôsobnosti je zodpovedný úsek pre IT a procesy spolu s oddeleniami IT pre používateľský servis, pre infraštruktúru IT, ERP a procesy a pre kybernetickú bezpečnosť.
Pobočky
Rozsah pôsobnosti zahŕňa centrálne IT kancelárie, serverovne a zálohovacie miestnosti, ako aj IT zálohovacie pobočky v Rakúsku.
Rozhrania
V rámci rozsahu pôsobnosti úzko spolupracujú rôzne rozhrania, ako je personálne oddelenie, úsek riadenia kvality, oddelenie digitalizácie, úsek riadenia budov, právne oddelenie, poskytovatelia služieb a outsourcingoví partneri.
IT systémy a aplikácie
Do rozsahu pôsobnosti okrem iného patrí mobilné a stacionárne IT vybavenie, úložiská a príslušné zálohovanie, kontroly prístupu a administrácia používateľov, ako aj stavebný a personálny softvér.
Právne jednotky
Všetky procesy, osoby, oddelenia a pobočky relevantné pre rozsah pôsobnosti sú súčasťou spoločnosti SWIETELSKY.
Informácie
Rozsah pôsobnosti zahŕňa všetky informácie relevantné pre poskytovanie služieb.