cd07_politykait_11_2015

CD07- Corporate Directive
Policy for Information Technology (IT)
Polityka technologii informacyjnych (IT)
1.
Wprowadzenie
Dyrektywa ta ma zastosowanie do wszystkich członków grupy DQS, takich jak spółki zależne DQS
Holding GmbH, partnerami licencyjnymi i innych powiązanych jednostkach organizacyjnych.
Celem niniejszej dyrektywy jest
·
zapewnienie skutecznej, spójnej i stabilnej działalności w ramach całej korporacji w zakresie
standardów IT
zapewnienie kompletności i dostępności określonych danych biznesowych i dokumentów dla
wszystkich członków grupy DQS
stworzenia wspólnej podstawy dla komunikacji elektronicznej i wymiany informacji w ramach grupy
DQS
uniknięcie strata, szkód, manipulacji i nadużyć korporacyjnych danych biznesowych i dokumentów,
a także zapobieżenie ewentualnym utratom reputacji grupy DQS
·
·
·
Niniejsza dyrektywa nawiązuje do części B.4 korporacyjnej księgi zarządzania i poddawana jest
corocznemu przeglądowi.
Manager ds. IT w DQS Holding jest właścicielem tego procesu S2 – Informatio Teechnology i
właścicielem tego dokumentu. Każda jednostka organizacyjna (grupy DQS) wyznacza osobę
odpowiedzialna za ten proces.
2.
Wymagania dotyczące zgodności
Krajowy menadżer każdego członka grupy DQS zapewnia, że odpowiednie systemy i procesy są
tworzone i utrzymywane w miejscu prowadzonej działalności, skutecznie rozwiązuje lokalne potrzeb
biznesowe, jak również zapewnienia pełną zgodności z obowiązującymi w korporacji dyrektywami IT.
a.
Zakres odpowiedzialności
a1) Krajowy menadżer ponosi pełną odpowiedzialność za efektywne wdrażanie systemów i procesów,
które obejmują lokalną infrastrukturę, podwykonawców i aplikacji i udostępnianych innym członkami
grupy. Krajowy Menadżer musi zaplanować i wdrożyć działania związane z IT i ustanowienia lokalnego
budżetu IT, który jest włączony do planu biznesowego. Ponadto koszty związane z IT są rejestrowane i
monitorowane jako istotna pozycja kosztów działalności. Co najmniej raz w roku, krajowy menedżer
dokonuje analizy i oceny bieżącej przydatności i skuteczności lokalnych systemów IT i wdrożonych
usług.
a2) Lokalny personel IT jest właściwy do przydzielonych zadań i są udzielane wystarczające i
odpowiednie zasoby do wykonywania tych zadań. Krajowy menadżer może przydzielić i autoryzować
lokalnego menedżera IT. Wymagane kompetencje personelu IT są utrzymywane i często
aktualizowane.
a3) Zewnętrzni partnerzy IT mogą realizować usługi informatyczne na umowa, jeżeli to konieczne.
Odpowiednie umowy obejmują określony poziom usług (SLA) i odpowiedni poziom poufności (NDA).
Inni członkowie grupy mogą działać jako zewnętrznego dostawcy usług IT.
b. Lokalna polityka IT
Krajowy menadżer ustanawia (dokument, wdrożenie i utrzymywanie) wiążące lokalne polityki IT,
rozwiązania systemów IT i zasad bezpieczeństwa IT, w tym co najmniej następujących aspektów:
·
odpowiednie wykorzystanie, ochrona i ograniczony dostęp instalacji IT
·
rygorystyczne Informacje poufne i zasady prywatności haseł
·
zasady reguł dla sprzętu i oprogramowania niebiznesowego
CD07_Policy for information Technology (27.05.2015)
wydanie 11/2015
Strona 1 z 5
CD07- Corporate Directive
Policy for Information Technology (IT)
Polityka technologii informacyjnych (IT)
·
przestrzeganie zasad dotyczących przechowywania danych i prywatnych danych
·
należyta staranność w internecie i poczcie e-mail
·
troska i zgodność z prawem krajowym i kodów
Regularne szkolenia pracowników w celu zapewnia stałej świadomości oraz zgodność z tą polityki.
c. Centrum danych IT i lokalne sieci
· lokalnych sieci IT, jak również wszelkie centra danych IT (jeśli dotyczy) muszą znajdować się w
bezpiecznym środowisku w zakresie kontroli dostępu, muszą posiadać nieprzerwane zasilanie,
klimatyzację i inne odpowiednie środki ostrożności w celu zapewnienia stabilnych i bezpiecznych
operacji IT
· w przypadku wszystkich urządzeń mobilnych (w tym mobilnych nośników pamięci), jak również
urządzeń do lokalnego przechowywania danych musi być zapewniony ograniczony lub kontrolowany
dostęp z odpowiednich środków szyfrowania
· muszą być zapewnione odpowiednie połączenia do komunikacji z odpowiedniej jakości pasmami /
pojemność i usług, w tym skutecznych procedur tworzenia kopii zapasowych.
d. Miejsca pracy IT
Wszystkie stanowiska pracy IT operacyjne muszą spełniać następujące wymagania techniczne w celu
zapewnienia bezpiecznego środowiska dla informacji biznesowych, pełną kompatybilność z
korporacyjną platformą IT i aplikacją, a także zdolność do właściwego komunikowania się z innymi
członkami grupy DQS w każdej chwili
·
·
·
·
·
·
·
·
·
regularna instalacja bezpieczeństwa, odpowiednich aktualizacji i poprawek dla systemu
operacyjnego i aplikacji.
Up-to-date ochrona antywirusowa i lokalnych firewall z regularnej aktualizacji wzorców Microsoft
Office 2010 kompatybilne oprogramowanie (DOC, XLS)
oprogramowanie SMTP wiadomości (e-mail)
Adobe Acrobat Reader w wersji 8 (lub wyższej) lub kompatybilnego oprogramowania
Microsoft Internet Explorer 8 lub wyższej
Silverlight w wersji 4 lub wyższej
Java Runtime Environment w wersji 6 lub wyższej
Microsoft.NET Framework 4 (if CA2 is in use)
Harddive encryption for mobile computers (patrz 2c)
Powinny być zapewnione odpowiednie szkolenia dla pracowników w zależności od ich zadań , jak
również odpowiednie lokalne wsparcie IT.
e. Bezpieczeństwo i ochrona danych
Skuteczne procedury i polityki zarządzania kontami użytkowników i zarządzanie hasłami, częsta zmiana
haseł dostępów, należy jak również koncepcji zarządzanego praw dostępu muszą być zapewnione na
miejscu , aby zapewnić użytkownikom dostęp według indywidualnego opisu stanowiska pracy oraz
zapewniająca że nie dojdzie do nieautoryzowanego dostępu do poufnych danych biznesowych i danych
osobowych.
Odpowiednie środki (np. Firewall, DMZ) muszą zostać podjęte w celu zakazania nieautoryzowanym
dostępem z zewnątrz do lokalnej sieci IT . Składy wszystkich zewnętrznych bram (Firewall , Remote
Dial- In, bezprzewodowa sieć LAN), muszą być weryfikowane co najmniej raz w roku , aby zapewnić
właściwą ochronę połączeń .
CD07_Policy for information Technology (27.05.2015)
wydanie 11/2015
Strona 2 z 5
CD07- Corporate Directive
Policy for Information Technology (IT)
Polityka technologii informacyjnych (IT)
Świadczone kody dostępu do korporacyjnych systemów i podobne informacje poufne muszą być
utrzymywane w tajemnicy i musi być używany tylko zgodnie z przeznaczeniem i do zamierzonego
adresata. Przepis kodów dostępu osobom trzecim jest zabronione.
Odpowiedni poziom ochrony danych osobowych musi być zapewniona dla danych osobowych i innych
danych wrażliwych, zgodnie z lokalnym prawem.
Należy unikać przekazywania poufnych informacji poprzez niezabezpieczone / niekodowane kanały
komunikacji (np. zwykły, nieszyfrowane mail) i co najmniej zgodne z klientem oraz lokalnych
uwarunkowań prawnych. Odpowiednie środki, które należy podjąć w celu zapewnienia spójnego
stosowania odpowiednich narzędzi komunikacji i procedur.
Dane biznesowe i dokumenty, a także istotne dane systemowe muszą zostać zarchiwizowane
regularnie, co najmniej raz dziennie. Kopie zapasowe muszą być zweryfikowane przez regularne
(przynajmniej raz w miesiącu) przywrócenie procedury w celu zapewnienia pełnej dostępności kopii
zapasowej danych w przypadku uszkodzenia danych z systemu produkcyjnego. Archiwizacja mediów
musi być przechowywana w bezpiecznym i odseparowanym środowisku, aby zapewnić nieupoważniony
dostęp i zapewnienia jego integralności w przypadku fizycznego uszkodzenia środowiska IT. Procedura
backup musi być stosowana zgodnie z tym dokumentem.
W przypadku przetwarzania danych zewnętrznych (całkowicie lub częściowo) odpowiednie umowy
powinny zapewnić zgodność z wszystkimi wymogami określonymi powyżej. Audit odpowiednich
środków (dostawców np. ISMS certyfikacja) do zapewnienia zgodności z partnerami zewnętrznymi na
usługi powinny być podjęte wraz z odpowiednimi zapisami.
f. Ciągłość działania
Odpowiednie procedury i role zapewniają odpowiedni poziom działalności gospodarczej w przypadku
IT scenariuszy awaryjnych (np. awaria sprzętu, pożaru, siły natury). Regularne szkolenia ratownicze
zapewniają skuteczność tych procedur.
g. Licencjonowania oprogramowania
Krajowi menadżerowie muszą zapewnić i regularnie monitorują właściwe licencjonowanie wszystkich
instalacji oprogramowania. Odpowiednie zapisy muszą być dostępne na wypadek kontroli lokalnej
licencji.
3. Wymagania dotyczące dostarczania informacji biznesowych do DQS Holding GmbH
DQS Holding, prowadzi centralną bazę danych wszystkich aktywnych certyfikatów, wydanych przez
DQS dowolnego członka grupy, w tym związanych z tym czynności kontrolnych, a także dane klientów.
Ponadto, dane dotyczące wszystkich powołanych auditorów DQS są utrzymywane centralnie. W celu
zapewnienia pełnych i prawdziwych informacji, wymaga się dostarczenia takich informacji od każdego
członka grupy DQS przez określone procesy w określonym formacie. Właściwa realizacja wyżej
wymienionych danych i dokumentów powinna być zapewniona nawet podczas zmiany lokalnego
procesu lub aplikacji IT.
b. Data wejścia / data dostawy
Istnieją trzy opcje przekazywania danych do bazy danych korporacyjnych DQS Holdingu:
b1. (For offices using Dynamics AX) dla biur wykorzystujących Dynamics AX - poprzez
zautomatyzowany lokalnego interfejsu eksportu (CSV plików lub widoki SQL).
b2. (For offices using the Access database) dla biur korzystających z bazy danych Access przesyłając bazy danych przez sieć intranet. Począwszy od 1 stycznia 2013 nowa webowa "baza
podstawowa" wniosek zastąpi obecną bazę klientów dostępu.
b3. (All other offices) wszystkie inne biura - przez internetowe wprowadzanie danych do internetowej
bazy danych (z 01 stycznia 2013).
c. Zdefiniowane treści
CD07_Policy for information Technology (27.05.2015)
wydanie 11/2015
Strona 3 z 5
CD07- Corporate Directive
Policy for Information Technology (IT)
Polityka technologii informacyjnych (IT)
Poniżej określono minimalny zestaw danych i dokumentów należy dostarczyć w odpowiednim czasie:
c1. klient, osoba kontaktowa (e) i dane auditu (audity, przeprowadzane i potwierdzone w ciągu 90 dni z
góry do terminu) z każdego klienta (zdefiniowany zestaw danych zgodnie z bazą danych firmy)
c2. dane certyfikacji każdego aktywnego certyfikatu (również bez akredytacji)
c3. dane, kontakt i kwalifikacje każdego auditora,
c4. dodatkowe dane i dokumenty, dla wybranych grup, takich jak globalni, MyDQS użytkownicy lub
normy określone (załadować funkcję firmowej bazy danych)
c5. elektroniczna kopia (pdf) każdego ważnego certyfikatu (wersja tylko jeden język, najlepiej angielski,
jeśli jest dostępny - Dodano funkcję firmowej bazie danych)
c6. dla ISO / TS 16949: Elektroniczna kopia każdego sprawozdania z auditu (upload funkcję firmowej
bazy danych)
c7. dla procedur ANAB: kopia elektroniczna podstawowych danych podpisanych przez klienta, raport z
auditu, plan auditu, zamknięte plany działania i podejmowania decyzji technicznych przeglądarki
(upload funkcję firmowej bazy danych)
c8. dla UKAS procedur: elektroniczna kopia każdego sprawozdania z auditu (upload funkcję firmowej
bazy danych)
Wszystkie dane zgodnie z CD03 są archiwizowane w biurach DQS które są odpowiedzialne za
odpowiednie relacje z klientami. Dane są dostępne na miejscu podczas auditów wewnętrznych
zewnętrznych,
d. Wymagania dostępu
Zapewnienie dostępu do MyDQS dla lokalnych klientów jest opcją w każdym kraju, a także z
zastrzeżeniem decyzji krajowego menadżera. Jednak zapewnienie dostępu do MyDQS musi być
wymagany dla globalnych kont.
Pełny dostęp do odczytu lokalnych systemów IT są dostarczane do siedziby firmy, w celu wsparcia IT
audity weryfikacji i kontroli technicznych wiarygodności.
4. Wymagania dotyczące korzystania z platformy korporacyjnej i procesów IT
(miedzy innymi w trakcie auditów wewnętrznych i zewnętrznych; auditów procesów,
rozpatrywania skarg)
Krajowy menadżer zapewnia, że pracownicy i auditorzy używają stosowanych aplikacji IT i mają dostępu
do korporacyjnej platformy IT.
Oprócz wyżej wymienionych dokumentów i danych, każdy menedżer krajowy jest odpowiedzialne, aby
zapewnić terminową dostępność wymaganych danych auditowych w celu weryfikacji podczas auditów
wewnętrznych i zewnętrznych przez inne organizacje (na przykład podczas auditów IATF w
zakontraktowanej biurze lub w DQS Holding) jak również dostęp do plików / auditów procesu lub
postępowania reklamacyjnego. DQS Holding informuje biura o takich auditów i ewentualnych wniosków
z wyprzedzeniem co najmniej 3 dni roboczych.
Zapisy weryfikujące dane podczas auditów wewnętrznych i zewnętrznych, są udostępniane w ciągu 24
godzin po otrzymaniu wniosku, dane dot. procesu wewnętrznej audytów / plików ciągu 5 dni roboczych.
Wymagane dane mogą obejmować, ale nie są ograniczone do:
· Umowa z klientem, zmówienia, zlecenia;
· Sprawozdanie z auditu oraz remote location;
· Działania korygujące z całego cyklu certyfikatu z korektami, analizą i dz. korygującymi
· Uzasadnienie 100% rozwiązania (ISO/TS 16949)
· CF149
· CF160
· CF 152
· CF 154 zapisy lub CF158
· CF41
· Dodowy poniesionych kosztów podróży i noclegu
CD07_Policy for information Technology (27.05.2015)
wydanie 11/2015
Strona 4 z 5
CD07- Corporate Directive
Policy for Information Technology (IT)
Polityka technologii informacyjnych (IT)
·
·
Skargi i odwołania oraz wszelkie korekty, w tym analizy przyczyn i działań naprawczych
Certyfikaty
5. Korporacyjne audity IT
Korporacyjne audity IT będą przeprowadzane regularnie w celu sprawdzenia jego skuteczności
działania, w celu monitorowania i zapewnienia bezpieczeństwa informacji, a także w celu potwierdzenia
przestrzegania korporacyjnych standardów IT. Takie kontrole mogą być przeprowadzane na miejscu
lub poza zakładem.
Korporacyjny Intranet jest odwiedzany regularnie przez wyznaczonych pracowników, aby otrzymywać
aktualne informacje o korporacyjnych i innych członków grupy. Ponadto platforma Intranet zapewnia
korporacyjne funkcje biznesowe, takie jak wyszukiwanie rewidenta i globalnej informacji o koncie, która
jest stale wykorzystywana do codziennej pracy.
„certificate assistant (asystent certyfikatu)" Aplikacja Centralna jest jedynym źródłem up-to-date
szablonów certyfikatów, zapewniając w ten sposób światową spójność certyfikatów DQS, jak również
stosowanie się do obowiązujących wymogów akredytacyjnych.
6. Korporacyjny wewnętrzny audit IT
Korporacyjny wewnętrzny audit IT ma na celu na bieżąco oceniać sprawdzenie skuteczności operacji
IT, monitorowania i zapewnienie bezpieczeństwa informacji, a także w celu potwierdzenia
przestrzegania korporacyjnych standardów IT i tej dyrektywy. Takie kontrole mogą być przeprowadzane
na miejscu lub poza firmą.
Generalnie realizacja wewnętrznego auditu powinna być zgodna z CD09 (program auditu, plan auditu,
niegodności…). Manager IT w DQS Holding upoważniony do potwierdzenia kompetencji lokalnego
auditora. Wynik auditu IT powinien być udokumentowany w CF99.
Menager IT w DQS Holding zapewnia skonsolidowanych informacji o wynikach korporacyjnego auditu
jest oceniane podczas CQQR.
CD07_Policy for information Technology (27.05.2015)
wydanie 11/2015
Strona 5 z 5