expand
Informacijska sigurnost
Potvrda
expand
ISO/IEC 27001 EN
1.Uvod
SWIETELSKY kao jedno od najznačajnijih poduzeća austrijskog građevinarstva ima prema svojim zaposlenicima, klijentima i ugovornim partnerima obvezu da u svim područjima poduzeća primjenjuje najviše standarde. Stoga se zbog zakonskih, ali i gospodarskih zahtjeva postavljenih poduzeću naročita pozornost obraća informacijskoj sigurnosti u poduzeću.
SWIETELSKY kao informacijsku sigurnost definira zaštitu fizičkih i elektroničkih informacija, kao i sustava neophodnih za obradbu informacija, u pogledu njihove povjerljivosti, integriteta i raspoloživosti.
2. Područje primjene
Područje primjene ove sigurnosne politike obuhvaća koncern Swietelsky i njegove tvrtke kćeri sa svim njihovim zaposlenicima, lokacijama i uslugama.
3. Načela
3.1 Zadaća menadžmenta
Upravni odbor koncerna SWIETELSKY određuje politiku informacijske sigurnosti kao sastavni dio strategije poduzeća.
Upravni odbor podupire ciljeve i načela informacijske sigurnosti sukladno poslovnoj strategiji i poslovnim ciljevima.
Etabliranjem sustava upravljanja sigurnošću informacija (ISMS) i stavljanjem na raspolaganje neophodnih resursa upravni odbor stvara mogućnosti za postizanje ciljeva ISMS-a. Upravni odbor kao najviša instancija ISMS-a aktivno doprinosi uspjehu ISMS-a.
3.2 Vrijednost informacijske
SWIETELSKY u svojoj poslovnoj djelatnosti znatno ovisi o raspoloživosti informacija, kao i sve više o ispravnom funkcioniranju svojih informacijskih sustava. Obradba informacija i digitalizacija dobivaju u građevinarstvu sve više na značaju. Umrežavanja u okviru poduzeća, ali i s klijentima, dobavljačima i radnim zajednicama, podupiru u znatnoj mjeri pružanje usluga. Prestanak funkcioniranja osnovnih sustava može već nakon kratkog vremena prouzročiti gospodarske štete, kao i štetu ugledu koncerna SWIETELSKY.
Informacijska sigurnost stvara neophodno povjerenje, kako interno tako i kod klijenata i partnera, da i dalje unaprjeđuju digitalizaciju i na taj način lociraju rizike do kojih zbog toga dolazi. Zbog toga se Upravni odbor i povjerenici koje je ovlastio Upravni odbor aktivno bave ovom temom u pogledu pravnih, tehnoloških i organizacijskih pitanja.
4. Kontekst organizacije
Hellmuth Swietelsky, dipl. ing., 1936. godine utemeljio je građevinsko poduzeće. SWIETELSKY AG danas s prosječno više od 10.000 zaposlenika i zaposlenica spada u najznačajnija poduzeća austrijske građevinske industrije.
Poduzeće se s podružnicama u 4 glavne zemlje (Austrija, Njemačka, Češka, Madžarska) i u još 15 zemalja u potpunosti nalazi u privatnom vlasništvu. Aktivnosti poduzeća SWIETELSKY prostiru se na sve grane građevinarstva. Koncern pri tome nudi projekte svih dimenzija u najvišoj kvaliteti i fleksibilnosti uz poštovanje rokova.
"Decentralizirana organizacija u profitnim centrima, delegirana odgovornost, kao i sudjelovanje u rezultatu utječu na to da se naši kompetentni zaposlenici/-e mogu angažirati kao "poduzetnici/poduzetnice u poduzeću." -filozofija koncerna SWIETELSKY
4.1 Interna povezivanja
SWIETELSKY je decentralizirano organizirano poduzeće s različitim samostalnim područjima poduzeća koja posluju u Europi i Australiji. Common Services, kao što su osoblje, financije ili IT, vode se centralno.
SWIETELSKY u cilju ispunjavanja želja klijenata, zahtjeva natječaja i u cilju upravljanja mjerama pored ISMS-a ima i druge sustave upravljanja. Istima upravljaju određeni povjerenici neovisno jedni o drugima, pri čemu redovita usklađivanja osiguravaju da se sustavi menadžmenta vode međusobno usklađeno.
4.2 Eksterna povezivanja
Aktivnosti koncerna SWIETELSKY prostiru se na sve grane građevinarstva. U cilju ispunjavanja zadataka neophodna je tijesna suradnja s različitim dobavljačima, naručiteljima, podizvođačima i drugim konkurentima u obliku radnih zajednica.
5. Zainteresirane stranke
Postoje različite zainteresirane stranke koje postavljaju zahtjeve prema ISMS-u koncerna SWIETELSKY.
5.1 Ugovorni partneri (klijenti, dobavljači, radne zajednice)
Ugovorni partneri očekuju povjerljivo postupanje sa svojim podatcima, ali prije svega neometano odvijanje poslovanja, a time i raspoloživost službi.
5.2 Interne stranke (poslovna područja, zaposlenici)
Interne stranke očekuju funkcionalne servise koji u svakom trenutku stoje na raspolaganju. Prekidi rada trebaju biti što je moguće kraći i ne smiju se ni u kojem slučaju događati neplanirano. Sigurnost se treba odvijati u pozadini i po mogućnosti ne utjecati na rad odnosno ne otežavati ga. Pojedinačno se postavljaju veliki zahtjevi u pogledu povjerljivosti.
5.3 Dioničari (poslovodstvo, vlasnici)
Dioničari očekuju osiguranje od gospodarskih, pravnih i reputacijskih rizika. ISMS treba učinkovito upotrijebiti resurse i certificiranjem omogućiti konkurencijsku prednost.
5.4 Javna uprava (upravna tijela, zakonodavac)
Javna uprava očekuje da se poštuju svi zakoni. Sve informacije koje se prenose moraju javnoj službi stići pravovremeno, korektno i u potpunosti.
6. Organizacija
U okviru ISMS-a definirane su sljedeće mjerodavne uloge i odgovornosti:
7. Ciljevi
Ciljevi ISMS-a izvode se iz načela Kodeksa ponašanja koncerna SWIETELSKY. Ovdje opisanim strategijskim ciljevima ISMS-a dodjeljuju se operativni ciljevi. Isti se svake godine mjere s pomoću pokazatelja.
7.1 Mi štitimo imovinske vrijednosti poduzeća.
7.1.1 Izbjegavanje neplaniranih prekida rada centralnih IT servisa.
Prekidi rada centralnih servisa mogu za kratko vrijeme utjecati na poslovanje i dovesti do financijske štete.
7.1.2 Izbjegavanje financijske štete izazvane cyber kriminalom
Kriminalne radnje preko elektroničkih medija mogu dovesti do goleme financijske štete.
7.2 S poslovnom dokumentacijom i informacijama postupamo povjerljivo.
7.2.1 Zaštita povjerljivosti informacija
Neželjeno prosljeđivanje ili objavljivanje informacija može imati kritične posljedice po reputaciju koncerna SWIETELSKY te za sobom povući i pravne i ugovorne posljedice.
7.3 Pridržavamo se sigurnosnih standarda i standarda zaštite podataka u IT sektoru.
7.3.1 Etabliranje IT sigurnosne razine sukladno stupnju razvoja tehnike
Etabliranjem ISMS-a i prilagođavanjem sigurnosnih mjera standardima ISO/IEC 27001 kao i eksternoj certifikaciji trećim osobama dokazujemo razinu sigurnosti u skladu sa zadnjim stupnjem razvoja tehnike.
7.4 Kontinuirano se razvijamo
7.4.1 Izobrazba svijesti osoblja
Kontinuirana školovanja i osposobljavanja su baza za daljnji razvoj svijesti zaposlenica i zaposlenika koncerna SWIETELSKY.
7.4.2 Stalno poboljšavanje ISMS-a i sigurnosnih mjera
Etabliranje kontinuiranog procesa poboljšavanja u okviru ISMS-a osigurava stalnu evaluaciju i daljnji razvoj postojećih mjera, kao i identifikaciju novih mjera baziranih na rizicima.
8. Implementacija
U okviru ISMS-a se u cilju implementacije ove sigurnosne politike etabliraju sljedeće temeljne komponente i sljedeći procesi.
9. Područje važenja ISO/IEC 27001
Iako se područje važenje ove sigurnosne politike i ISMS-a odnosi na cijelo poduzeće, eksterno certificiranje prema ISO/IEC 27001 ograničeno je na sljedeće područje važenja:
U području važenja ISMS-a nalaze se raspoloživost i rad centralnih IT servisa kao i za to neophodna infrastruktura u Austriji i to za cijeli koncern.
Usluge
Centralni IT servisi kao i rad IT infrastrukture relevantne su usluge za područje važenja.
Procesi
Kao primarni objekt promatranja proces IT rad smatra se mjerodavnim za zadatke područja važenja.
Odjel / područja
Za područje važenja nadležno je područje IT & procesi s odjelima IT korisnički servisi, IT infrastruktura, ERP & procesi, kao i Cyber Security.
Lokacije
U području važenja su centralni IT uredi, prostorije za servere i backup, kao i IT backup lokacije u Austriji.
Mjesta sučeljavanja
U okviru područja važenja odvija se tijesna suradnja s različitim mjestima sučeljavanja, kao što su osoblje, upravljanje kvalitetom, digitalizacija, upravljanje zgradama, pravo, kao i pružatelji usluga i izdvojeni partneri (outsourcing).
IT sustavi & aplikacije
U području važenja nalaze se između ostalog mobilni i stacionarni IT uređaji, memorijska rješenja i pripadajući backup-ovi, kontrole pristupa i upravljanja korisnicima, kao i građevinski softver te softver osoblja.
Legalne jedinice
Dio koncerna SWIETELSKY su svi procesi, osobe, odjeli i lokacije koji su relevantni za područje važenja.
Informacije
U području važenje su sve informacije koje su relevantne za stavljanje servisa na raspolaganje.