cd07_politykait_11_2015
Transkrypt
cd07_politykait_11_2015
CD07- Corporate Directive Policy for Information Technology (IT) Polityka technologii informacyjnych (IT) 1. Wprowadzenie Dyrektywa ta ma zastosowanie do wszystkich członków grupy DQS, takich jak spółki zależne DQS Holding GmbH, partnerami licencyjnymi i innych powiązanych jednostkach organizacyjnych. Celem niniejszej dyrektywy jest · zapewnienie skutecznej, spójnej i stabilnej działalności w ramach całej korporacji w zakresie standardów IT zapewnienie kompletności i dostępności określonych danych biznesowych i dokumentów dla wszystkich członków grupy DQS stworzenia wspólnej podstawy dla komunikacji elektronicznej i wymiany informacji w ramach grupy DQS uniknięcie strata, szkód, manipulacji i nadużyć korporacyjnych danych biznesowych i dokumentów, a także zapobieżenie ewentualnym utratom reputacji grupy DQS · · · Niniejsza dyrektywa nawiązuje do części B.4 korporacyjnej księgi zarządzania i poddawana jest corocznemu przeglądowi. Manager ds. IT w DQS Holding jest właścicielem tego procesu S2 – Informatio Teechnology i właścicielem tego dokumentu. Każda jednostka organizacyjna (grupy DQS) wyznacza osobę odpowiedzialna za ten proces. 2. Wymagania dotyczące zgodności Krajowy menadżer każdego członka grupy DQS zapewnia, że odpowiednie systemy i procesy są tworzone i utrzymywane w miejscu prowadzonej działalności, skutecznie rozwiązuje lokalne potrzeb biznesowe, jak również zapewnienia pełną zgodności z obowiązującymi w korporacji dyrektywami IT. a. Zakres odpowiedzialności a1) Krajowy menadżer ponosi pełną odpowiedzialność za efektywne wdrażanie systemów i procesów, które obejmują lokalną infrastrukturę, podwykonawców i aplikacji i udostępnianych innym członkami grupy. Krajowy Menadżer musi zaplanować i wdrożyć działania związane z IT i ustanowienia lokalnego budżetu IT, który jest włączony do planu biznesowego. Ponadto koszty związane z IT są rejestrowane i monitorowane jako istotna pozycja kosztów działalności. Co najmniej raz w roku, krajowy menedżer dokonuje analizy i oceny bieżącej przydatności i skuteczności lokalnych systemów IT i wdrożonych usług. a2) Lokalny personel IT jest właściwy do przydzielonych zadań i są udzielane wystarczające i odpowiednie zasoby do wykonywania tych zadań. Krajowy menadżer może przydzielić i autoryzować lokalnego menedżera IT. Wymagane kompetencje personelu IT są utrzymywane i często aktualizowane. a3) Zewnętrzni partnerzy IT mogą realizować usługi informatyczne na umowa, jeżeli to konieczne. Odpowiednie umowy obejmują określony poziom usług (SLA) i odpowiedni poziom poufności (NDA). Inni członkowie grupy mogą działać jako zewnętrznego dostawcy usług IT. b. Lokalna polityka IT Krajowy menadżer ustanawia (dokument, wdrożenie i utrzymywanie) wiążące lokalne polityki IT, rozwiązania systemów IT i zasad bezpieczeństwa IT, w tym co najmniej następujących aspektów: · odpowiednie wykorzystanie, ochrona i ograniczony dostęp instalacji IT · rygorystyczne Informacje poufne i zasady prywatności haseł · zasady reguł dla sprzętu i oprogramowania niebiznesowego CD07_Policy for information Technology (27.05.2015) wydanie 11/2015 Strona 1 z 5 CD07- Corporate Directive Policy for Information Technology (IT) Polityka technologii informacyjnych (IT) · przestrzeganie zasad dotyczących przechowywania danych i prywatnych danych · należyta staranność w internecie i poczcie e-mail · troska i zgodność z prawem krajowym i kodów Regularne szkolenia pracowników w celu zapewnia stałej świadomości oraz zgodność z tą polityki. c. Centrum danych IT i lokalne sieci · lokalnych sieci IT, jak również wszelkie centra danych IT (jeśli dotyczy) muszą znajdować się w bezpiecznym środowisku w zakresie kontroli dostępu, muszą posiadać nieprzerwane zasilanie, klimatyzację i inne odpowiednie środki ostrożności w celu zapewnienia stabilnych i bezpiecznych operacji IT · w przypadku wszystkich urządzeń mobilnych (w tym mobilnych nośników pamięci), jak również urządzeń do lokalnego przechowywania danych musi być zapewniony ograniczony lub kontrolowany dostęp z odpowiednich środków szyfrowania · muszą być zapewnione odpowiednie połączenia do komunikacji z odpowiedniej jakości pasmami / pojemność i usług, w tym skutecznych procedur tworzenia kopii zapasowych. d. Miejsca pracy IT Wszystkie stanowiska pracy IT operacyjne muszą spełniać następujące wymagania techniczne w celu zapewnienia bezpiecznego środowiska dla informacji biznesowych, pełną kompatybilność z korporacyjną platformą IT i aplikacją, a także zdolność do właściwego komunikowania się z innymi członkami grupy DQS w każdej chwili · · · · · · · · · regularna instalacja bezpieczeństwa, odpowiednich aktualizacji i poprawek dla systemu operacyjnego i aplikacji. Up-to-date ochrona antywirusowa i lokalnych firewall z regularnej aktualizacji wzorców Microsoft Office 2010 kompatybilne oprogramowanie (DOC, XLS) oprogramowanie SMTP wiadomości (e-mail) Adobe Acrobat Reader w wersji 8 (lub wyższej) lub kompatybilnego oprogramowania Microsoft Internet Explorer 8 lub wyższej Silverlight w wersji 4 lub wyższej Java Runtime Environment w wersji 6 lub wyższej Microsoft.NET Framework 4 (if CA2 is in use) Harddive encryption for mobile computers (patrz 2c) Powinny być zapewnione odpowiednie szkolenia dla pracowników w zależności od ich zadań , jak również odpowiednie lokalne wsparcie IT. e. Bezpieczeństwo i ochrona danych Skuteczne procedury i polityki zarządzania kontami użytkowników i zarządzanie hasłami, częsta zmiana haseł dostępów, należy jak również koncepcji zarządzanego praw dostępu muszą być zapewnione na miejscu , aby zapewnić użytkownikom dostęp według indywidualnego opisu stanowiska pracy oraz zapewniająca że nie dojdzie do nieautoryzowanego dostępu do poufnych danych biznesowych i danych osobowych. Odpowiednie środki (np. Firewall, DMZ) muszą zostać podjęte w celu zakazania nieautoryzowanym dostępem z zewnątrz do lokalnej sieci IT . Składy wszystkich zewnętrznych bram (Firewall , Remote Dial- In, bezprzewodowa sieć LAN), muszą być weryfikowane co najmniej raz w roku , aby zapewnić właściwą ochronę połączeń . CD07_Policy for information Technology (27.05.2015) wydanie 11/2015 Strona 2 z 5 CD07- Corporate Directive Policy for Information Technology (IT) Polityka technologii informacyjnych (IT) Świadczone kody dostępu do korporacyjnych systemów i podobne informacje poufne muszą być utrzymywane w tajemnicy i musi być używany tylko zgodnie z przeznaczeniem i do zamierzonego adresata. Przepis kodów dostępu osobom trzecim jest zabronione. Odpowiedni poziom ochrony danych osobowych musi być zapewniona dla danych osobowych i innych danych wrażliwych, zgodnie z lokalnym prawem. Należy unikać przekazywania poufnych informacji poprzez niezabezpieczone / niekodowane kanały komunikacji (np. zwykły, nieszyfrowane mail) i co najmniej zgodne z klientem oraz lokalnych uwarunkowań prawnych. Odpowiednie środki, które należy podjąć w celu zapewnienia spójnego stosowania odpowiednich narzędzi komunikacji i procedur. Dane biznesowe i dokumenty, a także istotne dane systemowe muszą zostać zarchiwizowane regularnie, co najmniej raz dziennie. Kopie zapasowe muszą być zweryfikowane przez regularne (przynajmniej raz w miesiącu) przywrócenie procedury w celu zapewnienia pełnej dostępności kopii zapasowej danych w przypadku uszkodzenia danych z systemu produkcyjnego. Archiwizacja mediów musi być przechowywana w bezpiecznym i odseparowanym środowisku, aby zapewnić nieupoważniony dostęp i zapewnienia jego integralności w przypadku fizycznego uszkodzenia środowiska IT. Procedura backup musi być stosowana zgodnie z tym dokumentem. W przypadku przetwarzania danych zewnętrznych (całkowicie lub częściowo) odpowiednie umowy powinny zapewnić zgodność z wszystkimi wymogami określonymi powyżej. Audit odpowiednich środków (dostawców np. ISMS certyfikacja) do zapewnienia zgodności z partnerami zewnętrznymi na usługi powinny być podjęte wraz z odpowiednimi zapisami. f. Ciągłość działania Odpowiednie procedury i role zapewniają odpowiedni poziom działalności gospodarczej w przypadku IT scenariuszy awaryjnych (np. awaria sprzętu, pożaru, siły natury). Regularne szkolenia ratownicze zapewniają skuteczność tych procedur. g. Licencjonowania oprogramowania Krajowi menadżerowie muszą zapewnić i regularnie monitorują właściwe licencjonowanie wszystkich instalacji oprogramowania. Odpowiednie zapisy muszą być dostępne na wypadek kontroli lokalnej licencji. 3. Wymagania dotyczące dostarczania informacji biznesowych do DQS Holding GmbH DQS Holding, prowadzi centralną bazę danych wszystkich aktywnych certyfikatów, wydanych przez DQS dowolnego członka grupy, w tym związanych z tym czynności kontrolnych, a także dane klientów. Ponadto, dane dotyczące wszystkich powołanych auditorów DQS są utrzymywane centralnie. W celu zapewnienia pełnych i prawdziwych informacji, wymaga się dostarczenia takich informacji od każdego członka grupy DQS przez określone procesy w określonym formacie. Właściwa realizacja wyżej wymienionych danych i dokumentów powinna być zapewniona nawet podczas zmiany lokalnego procesu lub aplikacji IT. b. Data wejścia / data dostawy Istnieją trzy opcje przekazywania danych do bazy danych korporacyjnych DQS Holdingu: b1. (For offices using Dynamics AX) dla biur wykorzystujących Dynamics AX - poprzez zautomatyzowany lokalnego interfejsu eksportu (CSV plików lub widoki SQL). b2. (For offices using the Access database) dla biur korzystających z bazy danych Access przesyłając bazy danych przez sieć intranet. Począwszy od 1 stycznia 2013 nowa webowa "baza podstawowa" wniosek zastąpi obecną bazę klientów dostępu. b3. (All other offices) wszystkie inne biura - przez internetowe wprowadzanie danych do internetowej bazy danych (z 01 stycznia 2013). c. Zdefiniowane treści CD07_Policy for information Technology (27.05.2015) wydanie 11/2015 Strona 3 z 5 CD07- Corporate Directive Policy for Information Technology (IT) Polityka technologii informacyjnych (IT) Poniżej określono minimalny zestaw danych i dokumentów należy dostarczyć w odpowiednim czasie: c1. klient, osoba kontaktowa (e) i dane auditu (audity, przeprowadzane i potwierdzone w ciągu 90 dni z góry do terminu) z każdego klienta (zdefiniowany zestaw danych zgodnie z bazą danych firmy) c2. dane certyfikacji każdego aktywnego certyfikatu (również bez akredytacji) c3. dane, kontakt i kwalifikacje każdego auditora, c4. dodatkowe dane i dokumenty, dla wybranych grup, takich jak globalni, MyDQS użytkownicy lub normy określone (załadować funkcję firmowej bazy danych) c5. elektroniczna kopia (pdf) każdego ważnego certyfikatu (wersja tylko jeden język, najlepiej angielski, jeśli jest dostępny - Dodano funkcję firmowej bazie danych) c6. dla ISO / TS 16949: Elektroniczna kopia każdego sprawozdania z auditu (upload funkcję firmowej bazy danych) c7. dla procedur ANAB: kopia elektroniczna podstawowych danych podpisanych przez klienta, raport z auditu, plan auditu, zamknięte plany działania i podejmowania decyzji technicznych przeglądarki (upload funkcję firmowej bazy danych) c8. dla UKAS procedur: elektroniczna kopia każdego sprawozdania z auditu (upload funkcję firmowej bazy danych) Wszystkie dane zgodnie z CD03 są archiwizowane w biurach DQS które są odpowiedzialne za odpowiednie relacje z klientami. Dane są dostępne na miejscu podczas auditów wewnętrznych zewnętrznych, d. Wymagania dostępu Zapewnienie dostępu do MyDQS dla lokalnych klientów jest opcją w każdym kraju, a także z zastrzeżeniem decyzji krajowego menadżera. Jednak zapewnienie dostępu do MyDQS musi być wymagany dla globalnych kont. Pełny dostęp do odczytu lokalnych systemów IT są dostarczane do siedziby firmy, w celu wsparcia IT audity weryfikacji i kontroli technicznych wiarygodności. 4. Wymagania dotyczące korzystania z platformy korporacyjnej i procesów IT (miedzy innymi w trakcie auditów wewnętrznych i zewnętrznych; auditów procesów, rozpatrywania skarg) Krajowy menadżer zapewnia, że pracownicy i auditorzy używają stosowanych aplikacji IT i mają dostępu do korporacyjnej platformy IT. Oprócz wyżej wymienionych dokumentów i danych, każdy menedżer krajowy jest odpowiedzialne, aby zapewnić terminową dostępność wymaganych danych auditowych w celu weryfikacji podczas auditów wewnętrznych i zewnętrznych przez inne organizacje (na przykład podczas auditów IATF w zakontraktowanej biurze lub w DQS Holding) jak również dostęp do plików / auditów procesu lub postępowania reklamacyjnego. DQS Holding informuje biura o takich auditów i ewentualnych wniosków z wyprzedzeniem co najmniej 3 dni roboczych. Zapisy weryfikujące dane podczas auditów wewnętrznych i zewnętrznych, są udostępniane w ciągu 24 godzin po otrzymaniu wniosku, dane dot. procesu wewnętrznej audytów / plików ciągu 5 dni roboczych. Wymagane dane mogą obejmować, ale nie są ograniczone do: · Umowa z klientem, zmówienia, zlecenia; · Sprawozdanie z auditu oraz remote location; · Działania korygujące z całego cyklu certyfikatu z korektami, analizą i dz. korygującymi · Uzasadnienie 100% rozwiązania (ISO/TS 16949) · CF149 · CF160 · CF 152 · CF 154 zapisy lub CF158 · CF41 · Dodowy poniesionych kosztów podróży i noclegu CD07_Policy for information Technology (27.05.2015) wydanie 11/2015 Strona 4 z 5 CD07- Corporate Directive Policy for Information Technology (IT) Polityka technologii informacyjnych (IT) · · Skargi i odwołania oraz wszelkie korekty, w tym analizy przyczyn i działań naprawczych Certyfikaty 5. Korporacyjne audity IT Korporacyjne audity IT będą przeprowadzane regularnie w celu sprawdzenia jego skuteczności działania, w celu monitorowania i zapewnienia bezpieczeństwa informacji, a także w celu potwierdzenia przestrzegania korporacyjnych standardów IT. Takie kontrole mogą być przeprowadzane na miejscu lub poza zakładem. Korporacyjny Intranet jest odwiedzany regularnie przez wyznaczonych pracowników, aby otrzymywać aktualne informacje o korporacyjnych i innych członków grupy. Ponadto platforma Intranet zapewnia korporacyjne funkcje biznesowe, takie jak wyszukiwanie rewidenta i globalnej informacji o koncie, która jest stale wykorzystywana do codziennej pracy. „certificate assistant (asystent certyfikatu)" Aplikacja Centralna jest jedynym źródłem up-to-date szablonów certyfikatów, zapewniając w ten sposób światową spójność certyfikatów DQS, jak również stosowanie się do obowiązujących wymogów akredytacyjnych. 6. Korporacyjny wewnętrzny audit IT Korporacyjny wewnętrzny audit IT ma na celu na bieżąco oceniać sprawdzenie skuteczności operacji IT, monitorowania i zapewnienie bezpieczeństwa informacji, a także w celu potwierdzenia przestrzegania korporacyjnych standardów IT i tej dyrektywy. Takie kontrole mogą być przeprowadzane na miejscu lub poza firmą. Generalnie realizacja wewnętrznego auditu powinna być zgodna z CD09 (program auditu, plan auditu, niegodności…). Manager IT w DQS Holding upoważniony do potwierdzenia kompetencji lokalnego auditora. Wynik auditu IT powinien być udokumentowany w CF99. Menager IT w DQS Holding zapewnia skonsolidowanych informacji o wynikach korporacyjnego auditu jest oceniane podczas CQQR. CD07_Policy for information Technology (27.05.2015) wydanie 11/2015 Strona 5 z 5