Załącznik nr 4 : Wymagania związane z bezpieczeństwem informacji

Załącznik nr 4 : Wymagania związane z bezpieczeństwem informacji

Załącznik nr 4 : Wymagania związane z bezpieczeństwem informacji w relacjach z Wykonawcami
1. Zakres stosowania
1.1. Niniejsze Wymagania związane z bezpieczeństwem informacji w relacjach z Wykonawcami (Wymagania)
stosuje się do wszystkich podmiotów, o ile zostały załączone do umów zawartych z nimi w zakresie działania
PGE Górnictwa i Energetyki Konwencjonalnej S.A. Oddziału Elektrociepłownia Rzeszów (ECR) lub
przekazane im do stosowania.
1.2. Zmiany i uaktualnienia Wymagań przekazywane są przez ECR na piśmie i nie wymagają zmiany ani
aneksowania umów, do których są załączone.
2. Postanowienia wstępne
2.1. PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna będąc przedsiębiorstwem odpowiedzialnym
za ochronę aktywów informacyjnych, świadomym istniejących zagrożeń i rangi zagadnienia wspiera
zarządzanie bezpieczeństwem informacji i zabezpiecza odpowiednie postanowienia umów umożliwiające
realizację zadań określonych w ,,Polityce bezpieczeństwa informacji w PGE Górnictwo i Energetyka
Konwencjonalna Spółka Akcyjna”.
2.2. Dążąc do eliminacji lub ograniczenia ryzyka występującego przy przetwarzaniu informacji w PGE Górnictwo
i Energetyka Konwencjonalna Spółka Akcyjna opracowano „Politykę bezpieczeństwa informacji w PGE
Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna”, która stanowi podstawę do budowy całościowej,
spójnej i skutecznej strategii zarządzania bezpieczeństwem informacji, opartej na uznanych normach i
dobrych praktykach.
2.3. „Polityka bezpieczeństwa informacji w PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna” jest
podstawowym dokumentem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) opartego o normę
PN ISO/IEC 27001. Przyjęta ,,Polityka’’ określa główny kierunek, zasady oraz podejście do zarządzania
bezpieczeństwem informacji i aktywów wspierających, w tym do zarządzania bezpieczeństwem:
informatycznym i telefonii, osobowym, fizycznym i środowiskowym oraz zarządzania incydentami i ciągłością
działania.
2.4. Potwierdzeniem woli realizacji ww. zamierzeń jest „Deklaracja Zarządu Spółki w sprawie polityki
bezpieczeństwa informacji”.
2.5. Bezpieczeństwo informacji przetwarzanych w PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna
oraz aktywów je przetwarzających polega na zapewnieniu pożądanego poziomu ochrony trzech
podstawowych atrybutów informacji, tj.:
 poufność – właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana
nieupoważnionym osobom, podmiotom lub procesom [PN ISO/IEC 27001];
 integralność – właściwość polegająca na zapewnieniu dokładności i kompletności aktywów [PN ISO/IEC
27001];
 dostępność – właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu [PN
ISO/IEC 27001].], a tam, gdzie jest to niezbędne, również:
 rozliczalność – odpowiedzialność podmiotu za jego akcje i decyzje [PN ISO/IEC 27001].
2.6. Funkcjonowanie Wykonawców winno być zgodne z ww. Polityką.
2.7. W przypadku specyficznych potrzeb ECR, wychodzących poza regulacje Polityki lub też wymagających
odstępstw, odpowiednie zapisy umieszczane zostaną w umowach zawartych z Wykonawcami.
2.8. Wszystkie aktywa informacyjne ECR oraz sposoby ich zabezpieczeń stanowią majątek informacyjny ECR.
Jakiekolwiek z nich korzystanie, dostęp lub przekazanie wymagają wyraźnej zgody ze strony uprawnionych
przedstawicieli ECR.
3. Postanowienia ogólne
3.1. Postanowieniami Wymagań objęci są pracownicy Wykonawców lub inne osoby świadczące na rzecz lub na
zlecenie Wykonawców usługi lub dostawy mający dostęp do aktywów informacyjnych ECR oraz
zabezpieczeń tych aktywów na podstawie podpisanych umów lub innych zobowiązań (osoby zobowiązane).
3.2. Wykonawcy zapewniają szkolenie osób zobowiązanych w zakresie obowiązków wynikających z Wymagań
oraz utrzymywanie wysokiego poziomu świadomości w tej mierze, w tym prowadzenie szkoleń okresowych
i przypominających, jeśli to będzie stosowne.
Strona 1 z 3
3.3. Wykonawcy utrzymują własne regulacje wewnętrzne przewidziane powszechnie obowiązującym prawem
w zakresie bezpieczeństwa informacji prawnie chronionych i stosują je w przypadku dostępu do informacji
chronionych należących do ECR.
3.4. Wykonawcy i osoby zobowiązane postępują w taki sposób, aby nie naruszać obowiązujących przepisów
prawa powszechnego o bezpieczeństwie informacji, wymagań normy PN ISO/IEC 27001, a także
wewnętrznych regulacji ECR, w szczególności z obszaru SZBI.
3.5. Wykonawcy zawierając umowy o podwykonawstwo lub je zlecając w dowolny sposób, a także korzystając
z innych osób zobowiązanych – zastrzegają w treści stosunków prawnych z podwykonawcami lub innymi
osobami zobowiązanymi, że podmioty te będą stosować Wymagania i przekazują im ich treść.
3.5.1. Wykonawcy ponoszą odpowiedzialność za postępowanie podwykonawców i innych osób
zobowiązanych.
3.5.2. ECR przysługują wobec podwykonawców i innych osób zobowiązanych wszelkie uprawnienia
przewidziane Wymaganiami wobec Wykonawcy.
3.6..
Wykonawcy i wszelkie osoby zobowiązane winny stosować się do ,,Instrukcji zgłaszania i obsługi zdarzeń
związanych z bezpieczeństwem informacji w PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna’’ i
zgłaszać stwierdzone zdarzenia i incydenty związane z bezpieczeństwem informacji oraz podatności – osobom
wyznaczonym w ECR, a wskazanych w treści ,,Wykazu punktów kontaktowych (służb) odpowiedzialnych za
przyjmowanie zgłoszeń o zdarzeniach związanych z bezpieczeństwem informacji oraz podatności aktywów i
zabezpieczeń’’.
3.7.
Zdarzenie związane z bezpieczeństwem informacji – jest określonym stanem systemu, usługi lub sieci,
który wskazuje na możliwe naruszenie Polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną
dotychczas sytuację, która może być związana z bezpieczeństwem informacji.
3.8.
Incydent związany z bezpieczeństwem informacji – jest to pojedyncze zdarzenie lub seria niepożądanych
lub niespodziewanych zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i
zagrażają bezpieczeństwu informacji.
3.6.4. Podatność to słabość aktywów, która może być wykorzystana przez zagrożenie.
3.7. W przypadku konieczności powierzenia przetwarzania danych osobowych z zasobów ECR, konieczne jest
zawarcie stosownej umowy powierzenia. Umowa taka może być podpisana samodzielnie, być załącznikiem do
umowy o usługę lub dostawę, względnie być zawarta w treści takiej umowy.
3.8. W przypadku przekazania do Wykonawcy lub innej osoby zobowiązanej informacji z ECR stanowiących
tajemnicę przedsiębiorstwa, stosuje się odpowiednie regulacje wewnętrzne ECR dotyczące ,,tajemnicy Spółki’’.
3.9. Wykonawcy zapewniają, jeśli to konieczne, zarządzanie zmianami w usługach przez siebie świadczonych
zgodne z PN ISO/IEC 27001, w tym utrzymywanie i doskonalenie własnych polityk w tej materii.
3.10.1. Zamawiający zastrzega sobie prawo monitorowania, kontroli, auditowania i przeglądu w zakresie działań
Wykonawców i innych osób zobowiązanych w przedmiocie zapewnienia bezpieczeństwa informacji należących do
ECR.
3.10.2. W ramach prowadzonego monitoringu, na wezwanie Zamawiającego, Wykonawca raportuje sposób
przetwarzania i zabezpieczenia aktywów informacyjnych ECR.
3.10.3. Zamawiający zapewnia sobie prawo bieżącej kontroli przetwarzania aktywów informacyjnych ECRkonieczne jest zapewnienie rzeczywistej i efektywnej kontroli i czuwanie, by dane nie weszły w posiadanie osób
nieuprawnionych. Wykonawca zobowiązuje się do usunięcia, w terminie natychmiastowym, wszelkich
nieprawidłowości stwierdzonych podczas kontroli.
3.10.4. Wykonawca udziela na żądanie Zamawiającego wszelkich wyjaśnień i informacji o przebiegu i sposobie
przetwarzania aktywów informacyjnych ECR.
3.11.1. Wykonawca lub inna osoba zobowiązana przetwarza aktywa informacyjne ECR wyłącznie w celu
i w zakresie określonym w umowie lub zamówieniu.
Strona 2 z 3
3.11.2.Wykonawca korzystający z aktywów informacyjnych ECR uprawniony jest do wykonywania zamawianej
usługi – bez prawa ingerencji w treść tych informacji wykraczającym poza cel ich przekazania.
3.12. Wykonawca zapewnia, że osoby przetwarzające w jego imieniu aktywa informacyjne ECR zachowają je oraz
sposoby ich zabezpieczenia w poufności.
3.13. Wykonawca zobowiązuje się do niezwłocznego poinformowania Zamawiającego o jakimkolwiek
prowadzonym w stosunku do niego postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym
powierzonych aktywów informacyjnych ECR, a także o złożonych skargach i wnioskach związanych z tym.
3.14. Wykonawca zobowiązuje się do każdorazowego niezwłocznego informowania Zamawiającego
o przypadkach naruszenia przepisów prawa powszechnie obowiązującego w zakresie bezpieczeństwa aktywów
informacyjnych ECR, a także o naruszeniu regulacji wewnętrznych ECR.
3.15. Zamawiający zapewnia sobie prawo wydawania bieżących instrukcji co do sposobu przetwarzania aktywów
informacyjnych ECR przez Wykonawcę.
3.16. Wykonawca, po zakończeniu wykonywania usługi i jej rozliczeniu, usuwa ze swoich zasobów powierzone
aktywa informacyjne ECR, chyba że ich przechowywanie jest usprawiedliwione prawnie.
4. Świadczenie usług i dostaw w zakresie teleinformatyki (ICT)
4.1. Wykonawcy i inne osoby zobowiązane przy świadczeniu usług i dostaw w zakresie ICT przestrzegają
wewnętrznych regulacji obowiązujących w ECR dotyczących
zarządzania i administrowania zasobami
informatycznymi i telekomunikacyjnymi oraz dotyczących korzystania z zasobów ICT.
5. Przebywanie na terenie ECR
5.1. Przebywając na terenie ECR należy przestrzegać zasad odnoszących się do ruchu osobowego
i materiałowego w ECR oraz zasad ochrony obszarów chronionych, wydawania kluczy i kart dostępowych.
5.2. Na terenie ECR należy stosować się do bieżących zaleceń kierownictwa ECR, pracowników ECR
wyznaczonych do kontaktu z Wykonawcą, pracowników ECR odpowiedzialnych za bezpieczeństwo fizyczne oraz
bezpieczeństwo informacji, pracowników służb ochrony ECR.
5.3.1. Przetwarzając na terenie ECR informacje należące do ECR należy przestrzegać regulacji wewnętrznych
odnoszących się do klasyfikacji informacji oraz zasad ich przetwarzania.
5.3.2. Przetwarzając na terenie ECR informacje należące do ECR należy przestrzegać zasad czystego biurka
i czystego ekranu.
Strona 3 z 3