1. Preambuła

Wydajność produkcyjna i usługowa firmy Capita zależy w dużej mierze od dyspozycyjności i jakości usług związanych z technologiami informacyjnymi. Wiele procesów handlowych bazuje aktualnie na technologii IT i są one wzajemnie łączone w ramach przyszłego zintegrowanego systemu zarządzania informacją (ISM). „Bezpieczeństwo technologii informacyjnej” stanowi dla firmy Capita nie tylko warunek spełnienia wyznaczonych zadań. Bezpieczeństwo to przedstawia także dużą wartość strategiczną. Bezpieczeństwo IT to istotny element składowy odpowiedzialnej działalności w branży cyfrowej.

Infrastruktura technologii informacyjnej jest coraz bardziej narażona na różne zagrożenia. Dlatego też firma Capita priorytetowo traktuje zapewnienie zoptymalizowanych działań ochronnych dla wszystkich usług i systemów bazujących na technologiach informacyjnych.

Wytyczne firmy Capita dotycząca bezpieczeństwa informacji opisują proces zapewnienia bezpieczeństwa informacji i stanowią podstawę jednolitego projektu bezpieczeństwa IT. Działania wynikające z tych wytycznych powinny zapewniać optymalne bezpieczeństwo w dziedzinie technologii informacyjnych.

Niniejsze przepisy bezpieczeństwa stanowią nieodzowny warunek wdrożenia obligatoryjnej ochrony danych i służą jako wytyczne dla naszych zleceniodawców. Wszelkie zalecenia tego typu powinny być zagwarantowane podczas przetwarzania danych osobowych; są one często również wymagane przez prawo. Skuteczne wdrożenie procesu bezpieczeństwa informacji wymaga uregulowanych struktur odpowiedzialności oraz wsparcia ze strony wszystkich pracowników firmy Capita.

W celu zapewnienia długotrwałego bezpieczeństwa informacji na mocy niniejszych wytycznych utworzono obowiązujące ogólnie ramy bezpieczeństwa informacji. Celem jest skuteczna ochrona potencjalnie zagrożonych infrastruktur, systemów, zastosowań i informacji.

2. Zakres obowiązywania

Wytyczne dotyczące bezpieczeństwa informacji i powiązane dokumenty

• projekt bezpieczeństwa informacji ISP

oraz

• projekt ochrony danych

obowiązują wszystkich pracowników firmy Capita. Partnerzy umowni, którzy świadczą usługi w zakresie technologii informacyjnych i komunikacyjnych, są zobowiązani do przestrzegania poniżej wymienionych wymogów.

3. Klasyfikacja

Poziom bezpieczeństwa informacji zostaje przez firmę Capita oznaczony łącznie jako „wysoki”.

Zaklasyfikowanie opiera się na fakcie, że wszelkie istotne funkcje i zadania są wspierane przez technologie informacyjne, a awaria systemu informacyjnego nie może negatywnie wpłynąć na wykonywanie zadań.

Capita, pełniąc funkcje centrum wsparcia klientów, przetwarza również dane, które wymagają wyższej ochrony w zakresie poufności i ochrony przed nieupoważnionym dostępem (przetwarzanie danych zleceń).

4. Cele

W obrębie firmy Capita wytyczne dotyczące bezpieczeństwa informacji stanowią podstawowy, strategiczny dokument odnoszący się do bezpieczeństwa informacji procesów handlowych bazujących na technologii informacyjnej. Bezpieczeństwo informacji tworzy integralny i istotny element składowy każdego działania w zakresie usług i administrowania, zatem należy je uwzględniać w sposób ciągły. Bezpieczeństwo informacji ma na celu zagwarantowanie poniższych podstawowych wymogów w zakresie gromadzenia oraz użytkowania informacji i przepływu danych.

Poufność
Informacje i funkcje mogą być udostępniane wyłączenie określonemu uprawnionemu kręgowi osób.

Integralność
W każdej chwili należy zapewnić nienaruszalność informacji. Informacje muszą być prawidłowe i kompletne, funkcje muszą dostarczać prawidłowe wyniki.

Dostępność
Używanie informacji i funkcji musi być możliwe dla określonego uprawnionego kręgu osób w potrzebnym okresie i przy zapewnieniu niezbędnej jakości.

Autentyczność
Oryginalność, niezawodność i przypisywalność danej informacji czy funkcji musi być w każdej chwili zagwarantowana i możliwa do sprawdzenia.

Charakter wiążący
Każde przetworzenie informacji musi być jednoznacznie możliwe do ustalenia i udowodnienia (niezaprzeczalne), a tym samym — możliwe do zrewidowania.

Odpowiedzialność
Wszyscy pracownicy są zobowiązani do ochrony wszystkich informacji przedsiębiorstwa i klientów, aby nie doszło do powstania szkód wskutek nieuprawnionego używania danych.

5. Odpowiedzialność

Odpowiedzialność całkowitą za bezpieczeństwo informacji ponosi kierownictwo firmy Capita.

Pod względem specjalistycznym odpowiedzialność przejmuje specjalista ds. bezpieczeństwa IT. Oznacza to w szczególności zobowiązanie do stworzenia — z uwzględnieniem treści i wartości oraz potencjalnego zagrożenia informacji — odpowiedniego poziomu ochrony i nadania mu charakteru obligatoryjności.

Specjalista ds. bezpieczeństwa IT powinien być odpowiednio wcześnie zaangażowany we wszelkie projekty, tak aby już na etapie planowania uwzględnić wszystkie istotne aspekty bezpieczeństwa. W przypadku gdy sprawa dotyczy danych osobowych, powyższe znajduje zastosowanie również odnośnie specjalisty ds. ochrony danych osobowych.

6. Stałe ulepszanie

Kierownictwo firmy wspiera przestrzeganie bezpieczeństwa i przyczynia się do zwiększenia poziomu bezpieczeństwa. Pracownicy są proszeni o niezwłoczne informowanie stosownych wewnątrzzakładowych działów o zauważonych słabych punktach bezpieczeństwa, a w przypadku działań optymalizacyjnych są ponadto proszeni o kontakt z bezpośrednim przełożonym.

Nieustanna kontrola uregulowań i ich konsekwentne przestrzeganie gwarantuje osiągnięcie wyznaczonego poziomu bezpieczeństwa i ochrony danych. Rozbieżności podlegają bezpośredniej analizie, tak aby zapewnić poprawę bezpieczeństwa i utrzymywać technologię bezpieczeństwa IT w aktualnym stanie.