Swietelsky AG #buildingeverbetter #buildingeverbetter

Informacijska sigurnost

Potvrda

expand

ISO/IEC 27001:2013_English

ISO/IEC 27001

1.Uvod

SWIETELSKY kao jedno od najznačajnijih poduzeća austrijskog građevinarstva ima prema svojim zaposlenicima, klijentima i ugovornim partnerima obvezu da u svim područjima poduzeća primjenjuje najviše standarde. Stoga se zbog zakonskih, ali i gospodarskih zahtjeva postavljenih poduzeću naročita pozornost obraća informacijskoj sigurnosti u poduzeću.

SWIETELSKY kao informacijsku sigurnost definira zaštitu fizičkih i elektroničkih informacija, kao i sustava neophodnih za obradbu informacija, u pogledu njihove povjerljivosti, integriteta i raspoloživosti.

 

2. Područje primjene

Područje primjene ove sigurnosne politike obuhvaća koncern Swietelsky i njegove tvrtke kćeri sa svim njihovim zaposlenicima, lokacijama i uslugama.

3. Načela

3.1 Zadaća menadžmenta

Upravni odbor koncerna SWIETELSKY određuje politiku informacijske sigurnosti kao sastavni dio strategije poduzeća.

Upravni odbor podupire ciljeve i načela informacijske sigurnosti sukladno poslovnoj strategiji i poslovnim ciljevima.

Etabliranjem sustava upravljanja sigurnošću informacija (ISMS) i stavljanjem na raspolaganje neophodnih resursa upravni odbor stvara mogućnosti za postizanje ciljeva ISMS-a. Upravni odbor kao najviša instancija ISMS-a aktivno doprinosi uspjehu ISMS-a.

3.2 Vrijednost informacijske

SWIETELSKY u svojoj poslovnoj djelatnosti znatno ovisi o raspoloživosti informacija, kao i sve više o ispravnom funkcioniranju svojih informacijskih sustava. Obradba informacija i digitalizacija dobivaju u građevinarstvu sve više na značaju. Umrežavanja u okviru poduzeća, ali i s klijentima, dobavljačima i radnim zajednicama, podupiru u znatnoj mjeri pružanje usluga. Prestanak funkcioniranja osnovnih sustava može već nakon kratkog vremena prouzročiti gospodarske štete, kao i štetu ugledu koncerna SWIETELSKY.

Informacijska sigurnost stvara neophodno povjerenje, kako interno tako i kod klijenata i partnera, da i dalje unaprjeđuju digitalizaciju i na taj način lociraju rizike do kojih zbog toga dolazi. Zbog toga se Upravni odbor i povjerenici koje je ovlastio Upravni odbor aktivno bave ovom temom u pogledu pravnih, tehnoloških i organizacijskih pitanja.

4. Kontekst organizacije

Hellmuth Swietelsky, dipl. ing., 1936. godine utemeljio je građevinsko poduzeće. SWIETELSKY AG danas s prosječno više od 10.000 zaposlenika i zaposlenica spada u najznačajnija poduzeća austrijske građevinske industrije.

Poduzeće se s podružnicama u 4 glavne zemlje (Austrija, Njemačka, Češka, Madžarska) i u još 15 zemalja u potpunosti nalazi u privatnom vlasništvu. Aktivnosti poduzeća SWIETELSKY prostiru se na sve grane građevinarstva. Koncern pri tome nudi projekte svih dimenzija u najvišoj kvaliteti i fleksibilnosti uz poštovanje rokova.

"Decentralizirana organizacija u profitnim centrima, delegirana odgovornost, kao i sudjelovanje u rezultatu utječu na to da se naši kompetentni zaposlenici/-e mogu angažirati kao "poduzetnici/poduzetnice u poduzeću." -filozofija koncerna SWIETELSKY

4.1 Interna povezivanja

SWIETELSKY je decentralizirano organizirano poduzeće s različitim samostalnim područjima poduzeća koja posluju u Europi i Australiji. Common Services, kao što su osoblje, financije ili IT, vode se centralno.

SWIETELSKY u cilju ispunjavanja želja klijenata, zahtjeva natječaja i u cilju upravljanja mjerama pored ISMS-a ima i druge sustave upravljanja. Istima upravljaju određeni povjerenici neovisno jedni o drugima, pri čemu redovita usklađivanja osiguravaju da se sustavi menadžmenta vode međusobno usklađeno.

4.2 Eksterna povezivanja

Aktivnosti koncerna SWIETELSKY prostiru se na sve grane građevinarstva. U cilju ispunjavanja zadataka neophodna je tijesna suradnja s različitim dobavljačima, naručiteljima, podizvođačima i drugim konkurentima u obliku radnih zajednica.

5. Zainteresirane stranke

Postoje različite zainteresirane stranke koje postavljaju zahtjeve prema ISMS-u koncerna SWIETELSKY.

5.1 Ugovorni partneri (klijenti, dobavljači, radne zajednice)

Ugovorni partneri očekuju povjerljivo postupanje sa svojim podatcima, ali prije svega neometano odvijanje poslovanja, a time i raspoloživost službi.

5.2 Interne stranke (poslovna područja, zaposlenici)

Interne stranke očekuju funkcionalne servise koji u svakom trenutku stoje na raspolaganju. Prekidi rada trebaju biti što je moguće kraći i ne smiju se ni u kojem slučaju događati neplanirano. Sigurnost se treba odvijati u pozadini i po mogućnosti ne utjecati na rad odnosno ne otežavati ga. Pojedinačno se postavljaju veliki zahtjevi u pogledu povjerljivosti.

5.3 Dioničari (poslovodstvo, vlasnici)

Dioničari očekuju osiguranje od gospodarskih, pravnih i reputacijskih rizika. ISMS treba učinkovito upotrijebiti resurse i certificiranjem omogućiti konkurencijsku prednost.

5.4 Javna uprava (upravna tijela, zakonodavac)

Javna uprava očekuje da se poštuju svi zakoni. Sve informacije koje se prenose moraju javnoj službi stići pravovremeno, korektno i u potpunosti.

6. Organizacija

U okviru ISMS-a definirane su sljedeće mjerodavne uloge i odgovornosti:

7. Ciljevi

Ciljevi ISMS-a izvode se iz načela Kodeksa ponašanja koncerna SWIETELSKY. Ovdje opisanim strategijskim ciljevima ISMS-a dodjeljuju se operativni ciljevi. Isti se svake godine mjere s pomoću pokazatelja.

7.1 Mi štitimo imovinske vrijednosti poduzeća.

7.1.1 Izbjegavanje neplaniranih prekida rada centralnih IT servisa.

Prekidi rada centralnih servisa mogu za kratko vrijeme utjecati na poslovanje i dovesti do financijske štete.

7.1.2 Izbjegavanje financijske štete izazvane cyber kriminalom

Kriminalne radnje preko elektroničkih medija mogu dovesti do goleme financijske štete.

7.2 S poslovnom dokumentacijom i informacijama postupamo povjerljivo.

7.2.1 Zaštita povjerljivosti informacija

Neželjeno prosljeđivanje ili objavljivanje informacija može imati kritične posljedice po reputaciju koncerna SWIETELSKY te za sobom povući i pravne i ugovorne posljedice.

7.3 Pridržavamo se sigurnosnih standarda i standarda zaštite podataka u IT sektoru.

7.3.1 Etabliranje IT sigurnosne razine sukladno stupnju razvoja tehnike

Etabliranjem ISMS-a i prilagođavanjem sigurnosnih mjera standardima ISO/IEC 27001 kao i eksternoj certifikaciji trećim osobama dokazujemo razinu sigurnosti u skladu sa zadnjim stupnjem razvoja tehnike.

7.4 Kontinuirano se razvijamo

7.4.1 Izobrazba svijesti osoblja

Kontinuirana školovanja i osposobljavanja su baza za daljnji razvoj svijesti zaposlenica i zaposlenika koncerna SWIETELSKY.

7.4.2 Stalno poboljšavanje ISMS-a i sigurnosnih mjera

Etabliranje kontinuiranog procesa poboljšavanja u okviru ISMS-a osigurava stalnu evaluaciju i daljnji razvoj postojećih mjera, kao i identifikaciju novih mjera baziranih na rizicima.

8. Implementacija

U okviru ISMS-a se u cilju implementacije ove sigurnosne politike etabliraju sljedeće temeljne komponente i sljedeći procesi.

9. Područje važenja ISO/IEC 27001

Iako se područje važenje ove sigurnosne politike i ISMS-a odnosi na cijelo poduzeće, eksterno certificiranje prema ISO/IEC 27001 ograničeno je na sljedeće područje važenja:

U području važenja ISMS-a nalaze se raspoloživost i rad centralnih IT servisa kao i za to neophodna infrastruktura u Austriji i to za cijeli koncern.

Usluge
Centralni IT servisi kao i rad IT infrastrukture relevantne su usluge za područje važenja.

Procesi
Kao primarni objekt promatranja proces IT rad smatra se mjerodavnim za zadatke područja važenja.

Odjel / područja
Za područje važenja nadležno je područje IT & procesi s odjelima IT korisnički servisi, IT infrastruktura, ERP & procesi, kao i Cyber Security.

Lokacije
U području važenja su centralni IT uredi, prostorije za servere i backup, kao i IT backup lokacije u Austriji.

Mjesta sučeljavanja
U okviru područja važenja odvija se tijesna suradnja s različitim mjestima sučeljavanja, kao što su osoblje, upravljanje kvalitetom, digitalizacija, upravljanje zgradama, pravo, kao i pružatelji usluga i izdvojeni partneri (outsourcing).

IT sustavi & aplikacije
U području važenja nalaze se između ostalog mobilni i stacionarni IT uređaji, memorijska rješenja i pripadajući backup-ovi, kontrole pristupa i upravljanja korisnicima, kao i građevinski softver te softver osoblja.

Legalne jedinice
Dio koncerna SWIETELSKY su svi procesi, osobe, odjeli i lokacije koji su relevantni za područje važenja.

Informacije
U području važenje su sve informacije koje su relevantne za stavljanje servisa na raspolaganje.