Załącznik nr 4 : Wymagania związane z bezpieczeństwem informacji
Transkrypt
Załącznik nr 4 : Wymagania związane z bezpieczeństwem informacji
Załącznik nr 4 : Wymagania związane z bezpieczeństwem informacji w relacjach z Wykonawcami 1. Zakres stosowania 1.1. Niniejsze Wymagania związane z bezpieczeństwem informacji w relacjach z Wykonawcami (Wymagania) stosuje się do wszystkich podmiotów, o ile zostały załączone do umów zawartych z nimi w zakresie działania PGE Górnictwa i Energetyki Konwencjonalnej S.A. Oddziału Elektrociepłownia Rzeszów (ECR) lub przekazane im do stosowania. 1.2. Zmiany i uaktualnienia Wymagań przekazywane są przez ECR na piśmie i nie wymagają zmiany ani aneksowania umów, do których są załączone. 2. Postanowienia wstępne 2.1. PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna będąc przedsiębiorstwem odpowiedzialnym za ochronę aktywów informacyjnych, świadomym istniejących zagrożeń i rangi zagadnienia wspiera zarządzanie bezpieczeństwem informacji i zabezpiecza odpowiednie postanowienia umów umożliwiające realizację zadań określonych w ,,Polityce bezpieczeństwa informacji w PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna”. 2.2. Dążąc do eliminacji lub ograniczenia ryzyka występującego przy przetwarzaniu informacji w PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna opracowano „Politykę bezpieczeństwa informacji w PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna”, która stanowi podstawę do budowy całościowej, spójnej i skutecznej strategii zarządzania bezpieczeństwem informacji, opartej na uznanych normach i dobrych praktykach. 2.3. „Polityka bezpieczeństwa informacji w PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna” jest podstawowym dokumentem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) opartego o normę PN ISO/IEC 27001. Przyjęta ,,Polityka’’ określa główny kierunek, zasady oraz podejście do zarządzania bezpieczeństwem informacji i aktywów wspierających, w tym do zarządzania bezpieczeństwem: informatycznym i telefonii, osobowym, fizycznym i środowiskowym oraz zarządzania incydentami i ciągłością działania. 2.4. Potwierdzeniem woli realizacji ww. zamierzeń jest „Deklaracja Zarządu Spółki w sprawie polityki bezpieczeństwa informacji”. 2.5. Bezpieczeństwo informacji przetwarzanych w PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna oraz aktywów je przetwarzających polega na zapewnieniu pożądanego poziomu ochrony trzech podstawowych atrybutów informacji, tj.: poufność – właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom [PN ISO/IEC 27001]; integralność – właściwość polegająca na zapewnieniu dokładności i kompletności aktywów [PN ISO/IEC 27001]; dostępność – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu [PN ISO/IEC 27001].], a tam, gdzie jest to niezbędne, również: rozliczalność – odpowiedzialność podmiotu za jego akcje i decyzje [PN ISO/IEC 27001]. 2.6. Funkcjonowanie Wykonawców winno być zgodne z ww. Polityką. 2.7. W przypadku specyficznych potrzeb ECR, wychodzących poza regulacje Polityki lub też wymagających odstępstw, odpowiednie zapisy umieszczane zostaną w umowach zawartych z Wykonawcami. 2.8. Wszystkie aktywa informacyjne ECR oraz sposoby ich zabezpieczeń stanowią majątek informacyjny ECR. Jakiekolwiek z nich korzystanie, dostęp lub przekazanie wymagają wyraźnej zgody ze strony uprawnionych przedstawicieli ECR. 3. Postanowienia ogólne 3.1. Postanowieniami Wymagań objęci są pracownicy Wykonawców lub inne osoby świadczące na rzecz lub na zlecenie Wykonawców usługi lub dostawy mający dostęp do aktywów informacyjnych ECR oraz zabezpieczeń tych aktywów na podstawie podpisanych umów lub innych zobowiązań (osoby zobowiązane). 3.2. Wykonawcy zapewniają szkolenie osób zobowiązanych w zakresie obowiązków wynikających z Wymagań oraz utrzymywanie wysokiego poziomu świadomości w tej mierze, w tym prowadzenie szkoleń okresowych i przypominających, jeśli to będzie stosowne. Strona 1 z 3 3.3. Wykonawcy utrzymują własne regulacje wewnętrzne przewidziane powszechnie obowiązującym prawem w zakresie bezpieczeństwa informacji prawnie chronionych i stosują je w przypadku dostępu do informacji chronionych należących do ECR. 3.4. Wykonawcy i osoby zobowiązane postępują w taki sposób, aby nie naruszać obowiązujących przepisów prawa powszechnego o bezpieczeństwie informacji, wymagań normy PN ISO/IEC 27001, a także wewnętrznych regulacji ECR, w szczególności z obszaru SZBI. 3.5. Wykonawcy zawierając umowy o podwykonawstwo lub je zlecając w dowolny sposób, a także korzystając z innych osób zobowiązanych – zastrzegają w treści stosunków prawnych z podwykonawcami lub innymi osobami zobowiązanymi, że podmioty te będą stosować Wymagania i przekazują im ich treść. 3.5.1. Wykonawcy ponoszą odpowiedzialność za postępowanie podwykonawców i innych osób zobowiązanych. 3.5.2. ECR przysługują wobec podwykonawców i innych osób zobowiązanych wszelkie uprawnienia przewidziane Wymaganiami wobec Wykonawcy. 3.6.. Wykonawcy i wszelkie osoby zobowiązane winny stosować się do ,,Instrukcji zgłaszania i obsługi zdarzeń związanych z bezpieczeństwem informacji w PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna’’ i zgłaszać stwierdzone zdarzenia i incydenty związane z bezpieczeństwem informacji oraz podatności – osobom wyznaczonym w ECR, a wskazanych w treści ,,Wykazu punktów kontaktowych (służb) odpowiedzialnych za przyjmowanie zgłoszeń o zdarzeniach związanych z bezpieczeństwem informacji oraz podatności aktywów i zabezpieczeń’’. 3.7. Zdarzenie związane z bezpieczeństwem informacji – jest określonym stanem systemu, usługi lub sieci, który wskazuje na możliwe naruszenie Polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem informacji. 3.8. Incydent związany z bezpieczeństwem informacji – jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. 3.6.4. Podatność to słabość aktywów, która może być wykorzystana przez zagrożenie. 3.7. W przypadku konieczności powierzenia przetwarzania danych osobowych z zasobów ECR, konieczne jest zawarcie stosownej umowy powierzenia. Umowa taka może być podpisana samodzielnie, być załącznikiem do umowy o usługę lub dostawę, względnie być zawarta w treści takiej umowy. 3.8. W przypadku przekazania do Wykonawcy lub innej osoby zobowiązanej informacji z ECR stanowiących tajemnicę przedsiębiorstwa, stosuje się odpowiednie regulacje wewnętrzne ECR dotyczące ,,tajemnicy Spółki’’. 3.9. Wykonawcy zapewniają, jeśli to konieczne, zarządzanie zmianami w usługach przez siebie świadczonych zgodne z PN ISO/IEC 27001, w tym utrzymywanie i doskonalenie własnych polityk w tej materii. 3.10.1. Zamawiający zastrzega sobie prawo monitorowania, kontroli, auditowania i przeglądu w zakresie działań Wykonawców i innych osób zobowiązanych w przedmiocie zapewnienia bezpieczeństwa informacji należących do ECR. 3.10.2. W ramach prowadzonego monitoringu, na wezwanie Zamawiającego, Wykonawca raportuje sposób przetwarzania i zabezpieczenia aktywów informacyjnych ECR. 3.10.3. Zamawiający zapewnia sobie prawo bieżącej kontroli przetwarzania aktywów informacyjnych ECRkonieczne jest zapewnienie rzeczywistej i efektywnej kontroli i czuwanie, by dane nie weszły w posiadanie osób nieuprawnionych. Wykonawca zobowiązuje się do usunięcia, w terminie natychmiastowym, wszelkich nieprawidłowości stwierdzonych podczas kontroli. 3.10.4. Wykonawca udziela na żądanie Zamawiającego wszelkich wyjaśnień i informacji o przebiegu i sposobie przetwarzania aktywów informacyjnych ECR. 3.11.1. Wykonawca lub inna osoba zobowiązana przetwarza aktywa informacyjne ECR wyłącznie w celu i w zakresie określonym w umowie lub zamówieniu. Strona 2 z 3 3.11.2.Wykonawca korzystający z aktywów informacyjnych ECR uprawniony jest do wykonywania zamawianej usługi – bez prawa ingerencji w treść tych informacji wykraczającym poza cel ich przekazania. 3.12. Wykonawca zapewnia, że osoby przetwarzające w jego imieniu aktywa informacyjne ECR zachowają je oraz sposoby ich zabezpieczenia w poufności. 3.13. Wykonawca zobowiązuje się do niezwłocznego poinformowania Zamawiającego o jakimkolwiek prowadzonym w stosunku do niego postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym powierzonych aktywów informacyjnych ECR, a także o złożonych skargach i wnioskach związanych z tym. 3.14. Wykonawca zobowiązuje się do każdorazowego niezwłocznego informowania Zamawiającego o przypadkach naruszenia przepisów prawa powszechnie obowiązującego w zakresie bezpieczeństwa aktywów informacyjnych ECR, a także o naruszeniu regulacji wewnętrznych ECR. 3.15. Zamawiający zapewnia sobie prawo wydawania bieżących instrukcji co do sposobu przetwarzania aktywów informacyjnych ECR przez Wykonawcę. 3.16. Wykonawca, po zakończeniu wykonywania usługi i jej rozliczeniu, usuwa ze swoich zasobów powierzone aktywa informacyjne ECR, chyba że ich przechowywanie jest usprawiedliwione prawnie. 4. Świadczenie usług i dostaw w zakresie teleinformatyki (ICT) 4.1. Wykonawcy i inne osoby zobowiązane przy świadczeniu usług i dostaw w zakresie ICT przestrzegają wewnętrznych regulacji obowiązujących w ECR dotyczących zarządzania i administrowania zasobami informatycznymi i telekomunikacyjnymi oraz dotyczących korzystania z zasobów ICT. 5. Przebywanie na terenie ECR 5.1. Przebywając na terenie ECR należy przestrzegać zasad odnoszących się do ruchu osobowego i materiałowego w ECR oraz zasad ochrony obszarów chronionych, wydawania kluczy i kart dostępowych. 5.2. Na terenie ECR należy stosować się do bieżących zaleceń kierownictwa ECR, pracowników ECR wyznaczonych do kontaktu z Wykonawcą, pracowników ECR odpowiedzialnych za bezpieczeństwo fizyczne oraz bezpieczeństwo informacji, pracowników służb ochrony ECR. 5.3.1. Przetwarzając na terenie ECR informacje należące do ECR należy przestrzegać regulacji wewnętrznych odnoszących się do klasyfikacji informacji oraz zasad ich przetwarzania. 5.3.2. Przetwarzając na terenie ECR informacje należące do ECR należy przestrzegać zasad czystego biurka i czystego ekranu. Strona 3 z 3