QsGroup

Polityka prywatności

Polityka bezpieczeństwa przetwarzania danych

w systemach informatycznych QS Sp. z o.o.

Podstawa prawna: Rozporządzenie MSWiA z dn. 29.04.2004 r. (Dz. U. Nr 100, poz. 1024) oraz ustawa z dn. 29.08.1997 r. o ODO (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

Definicje, cele i zakres polityki bezpieczeństwa

1. Definicja bezpieczeństwa informacji

1.1 Utrzymanie bezpieczeństwa przetwarzanych przez QS Sp. z o.o. informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki.

1.1.1. Rozumienie pojęć w odniesieniu do informacji i aplikacji:

  • 1.1.1.1. Poufność informacji – zapewnienie, że tylko uprawnieni pracownicy mają dostęp do informacji,
  • 1.1.1.2. Integralność informacji – zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania,
  • 1.1.1.3. Dostępność informacji – zapewnienie, że osoby upoważnione mają dostęp do informacji i zasobów wtedy, gdy jest to potrzebne,
  • 1.1.1.4. Zarządzanie ryzykiem – proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa.

1.2. Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem:

  • 1.2.1. Niezaprzeczalności odbioru – zdolność systemu do udowodnienia, że adresat otrzymał informację w określonym miejscu i czasie,
  • 1.2.2. Niezaprzeczalności nadania – zdolność systemu do udowodnienia, że nadawca faktycznie nadał lub wprowadził informację w określonym miejscu i czasie,
  • 1.2.3. Rozłączalności działań – zapewnienie, że wszystkie działania istotne dla przetwarzania zostały zarejestrowane i możliwym jest zidentyfikowanie użytkownika.

1.3. Definicje szczegółowe

  • 1.3.1. QS Sp. z o.o. – QS Sp. z o.o. ul. Modlińska 175, 05-110 Jabłonna.
  • 1.3.2. Główny Administrator Informacji – Zarząd QS Sp. z o.o.
  • 1.3.3. Administrator Bezpieczeństwa Informacji (ABI) – pracownik lub inna osoba wyznaczona do nadzorowania ochrony.
  • 1.3.4. Administrator Systemu Informatycznego – osoba odpowiedzialna za funkcjonowanie systemu i techniczne środki ochrony.
  • 1.3.5. Użytkownik systemu – osoba upoważniona do przetwarzania (pracownik, zleceniobiorca, stażysta, wolontariusz).
  • 1.3.6. Sieć lokalna – połączenie systemów QS wyłącznie dla własnych potrzeb.
  • 1.3.7. Sieć rozległa – sieć publiczna wg ustawy Prawo telekomunikacyjne.
  • 1.3.8. Dane osobowe – informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  • 1.3.9. Zbiór danych – ustrukturyzowany zestaw danych o charakterze osobowym.
  • 1.3.10. Wykaz zbiorów – wykaz zarejestrowanych i niezarejestrowanych zbiorów danych osobowych.
  • 1.3.11. Przetwarzanie danych – operacje na danych, zwłaszcza w systemach informatycznych (zbieranie, usuwanie itp.).
  • 1.3.12. System informatyczny – zespół urządzeń, programów, procedur i narzędzi programowych.

2. Cele i strategie bezpieczeństwa

2.1. Cele QS Sp. z o.o.:

  • 2.1.1. ochrona zasobów informacyjnych i zapewnienie ciągłości działania procesów,
  • 2.1.2. ochrona wizerunku QS Sp. z o.o.,
  • 2.1.3. zapewnienie zgodności z prawem podejmowanych działań,
  • 2.1.4. uzyskanie i utrzymanie wysokiego poziomu poufności, integralności, dostępności i rozliczalności,
  • 2.1.5. wyznaczenie ogólnych kierunków rozwoju systemu.

2.2. Cele realizowane przez strategie:

  1. 2.2.1. właściwa organizacja Systemu Zarządzania Bezpieczeństwem Informacji,
  2. 2.2.2. zarządzanie ryzykiem w celu ograniczania go do akceptowanego poziomu,
  3. 2.2.3. właściwa ochrona informacji prawnie chronionych,
  4. 2.2.4. zapewnienie dostępności informacji i niezawodności systemów,
  5. 2.2.5. właściwa ochrona informacji związanych z zawartymi umowami,
  6. 2.2.6. wdrażanie i rozwój systemów z zachowaniem zasad bezpieczeństwa,
  7. 2.2.7. eksploatowanie systemów zgodnie z zasadami bezpieczeństwa,
  8. 2.2.8. stała edukacja użytkowników.

3. Informacje przetwarzane przez system

3.1 Przetwarzane są informacje służące do wykonywania zadań wynikających z umowy.

3.2 Informacje składowane są w postaci manualnej i elektronicznej.

3.3 Kategorie informacji: 3.3.1 publiczne, 3.3.2 dane osobowe, 3.3.3 tajemnice handlowe, 3.3.4 inne prawnie chronione. 3.3.5 Informacje niejawne nie podlegają niniejszej Polityce.

3.4 Zarządzanie grupami informacji: 3.4.1 identyfikacja zasobów, 3.4.2 identyfikacja wymagań i szacowanie ryzyka.

Struktura dokumentów Polityki Bezpieczeństwa

1. Celem jest określenie zasad funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji.

2. Dokumenty ustanawiają metody zarządzania i wymagania ochrony.

3. Podział dokumentów: 3.1 ogólne zasady bezpieczeństwa, 3.2 zasady systemów przetwarzania.

4. Skład zestawu: 4.1 niniejsza Polityka, 4.2 Instrukcja Zarządzania Systemami Informatycznymi, 4.3 regulaminy użytkowników, 4.4 standardy konfiguracji.

5. Dokumenty tworzone są sukcesywnie i wprowadzane poleceniami Administratora Danych.

6. Dokumenty wg §4 rozporządzenia MSWiA zostaną wprowadzone jako załączniki lub odrębne akty.

Odpowiedzialność za bezpieczeństwo

1. Odpowiedzialny jest każdy pracownik QS Sp. z o.o.

2. Za rozwój systemu odpowiada ABI, a na poziomie systemów Administrator Systemu i Sieci (ASS).

Administrator Bezpieczeństwa Informacji (ABI)

ABI powołuje Prezes. Odpowiedzialny za:

  1. realizację ustawy o ODO,
  2. zapewnienie dostępu wyłącznie osobom upoważnionym,
  3. zabezpieczenie obszarów przetwarzania danych,
  4. zgłaszanie zmian w zakresie odpowiedzialności pracowników,
  5. ewidencjonowanie udostępniania danych,
  6. weryfikację dopuszczenia użytkowników,
  7. zatwierdzanie identyfikatorów i praw dostępu,
  8. powiadamianie o konieczności utworzenia identyfikatorów,
  9. prowadzenie rejestru osób dopuszczonych,
  10. przygotowanie dokumentów polityki,
  11. szkolenia pracowników i zbieranie oświadczeń,
  12. nadzorowanie umów o poufności.

Administrator Systemu i Sieci (ASS)

Odpowiedzialny za:

  1. monitoring i ciągłość działania,
  2. optymalizację wydajności,
  3. instalację i konfigurację sprzętu/oprogramowania,
  4. zabezpieczanie danych przed nieupoważnionym dostępem,
  5. administrację pocztą,
  6. rejestr osób dopuszczonych do systemu,
  7. zarządzanie kopiami awaryjnymi (backupami),
  8. przeciwdziałanie naruszeniom,
  9. przyznawanie uprawnień za zgodą ABI.

Użytkownik

Odpowiedzialny za:

  1. staranność przy gromadzeniu danych (legalność, poprawność),
  2. poprawne korzystanie z aplikacji,
  3. informowanie o nieprawidłowościach,
  4. ustalanie i ochronę haseł,
  5. zgłaszanie awarii i podejrzeń naruszenia hasła.

Środki techniczne i organizacyjne

Obszar przetwarzania

1. Budynek ul. Modlińska 175. 2. Komputery przenośne.

Wykaz zbiorów i struktury

1. Skład: dokumentacja papierowa, urządzenia/oprogramowanie, wydruki. 2. Wykaz prowadzi ABI (Załącznik nr 1).

1. Ochrona fizyczna

  • 1.1-1.3 Budynek zamykany, monitorowany, z systemem alarmowym.
  • 1.4-1.6 Pomieszczenia z zamkami patentowymi, zamykane podczas nieobecności.
  • 1.7 Ustawienie monitorów uniemożliwiające wgląd osobom postronnym.
  • 1.8-1.9 Serwerownia: dostęp tylko dla ABI i informatyka (inni w asyście).

2. Sprzęt i Sieć

  • 2.1 Niszczarki z cięciem poprzecznym.
  • 2.2 Zasilanie UPS.
  • 2.3 Firewall sprzętowy.
  • 2.5 Cykle kopii awaryjnych: dzienna (streamer), miesięczna (CD/DVD), kwartalna (DVD-R).

3-6. Oprogramowanie i Organizacja

  • 3.1 Dostęp do baz tylko dla informatyka i ABI. 3.2 Dostęp tylko przez aplikacje.
  • 4.1-4.3 Identyfikator i hasło na poziomie aplikacji.
  • 5. Wygaszanie ekranu, hasła BIOS i systemowe.
  • 6.1-6.6 Szkolenia, ewidencje, instrukcje i rejestracja awarii.

Do zapoznania się i stosowania zasad zobowiązani są wszyscy pracownicy.

Zbiór danych PractiQS

Zbiór zgłoszony 24.07.2012, zarejestrowany 25.08.2015.

Podstawa prawna: 1) Zgoda, 2) Realizacja umowy, 3) Prawnie usprawiedliwiony cel (marketing, roszczenia).