Swietelsky AG #buildingeverbetter #buildingeverbetter

Bezpieczeństwo informacji

Certyfikat

expand

27001 DE 1

ISO/IEC 27001 DE

expand

27001 DE 2

ISO/IEC 27001 EN

1. Wprowadzenie

Jako jeden z liderów austriackiego przemysłu budowlanego, firma SWIETELSKY ma obowiązek stosowania najwyższych standardów we wszystkich obszarach działalności przedsiębiorstwa, zarówno w stosunku do swoich pracowników, jak i klientów, czy kontrahentów.

Ze względu na wymogi prawne, ale także ekonomiczne, jakie musi spełnić przedsiębiorstwo, szczególną uwagę zwracamy na bezpieczeństwo informacji.

SWIETELSKY definiuje bezpieczeństwo informacji jako ochronę informacji w formie papierowej i elektronicznej, jak również ochronę systemów niezbędnych do przetwarzania informacji w zakresie ich poufności, integralności i dostępności.

2. Obszar obowiązywania

Zakres obowiązywania niniejszej Polityki Bezpieczeństwa obejmuje Grupę Swietelsky i jej spółki zależne wraz z wszystkimi zatrudnionymi w nich pracownikami, oddziałami i usługami.

3. Zasady

3.1 Zarządzenie zleceniami

Zarząd spółki SWIETELSKY uznaje niniejszym Politykę Bezpieczeństwa Informacji jako część swojej strategii korporacyjnej.

Zarząd wspiera cele i zasady Bezpieczeństwa Informacji zgodnie ze strategią biznesową i celami biznesowymi.

Ustanawiając System Zarządzania Bezpieczeństwem Informacji (SZBI) i zapewniając niezbędne zasoby, Zarząd stwarza możliwości osiągnięcia celów SZBI. Jako najwyższa instancja odpowiedzialna za system SZBI Zarząd aktywnie angażuje się w jego sukces.

3.2 Znaczenie Bezpieczeństwa Informacji

Działalność gospodarcza firmy SWIETELSKY jest w znacznym stopniu uzależniona od dostępności informacji i coraz częściej od prawidłowego funkcjonowania jej systemów informatycznych. Przetwarzanie informacji i cyfryzacja stają się coraz ważniejsze w branży budowlanej. Tworzenie sieci wewnątrz firmy, ale także z klientami, dostawcami i konsorcjami, znacznie ułatwia świadczenie usług. Nawet krótkotrwałe awarie głównych systemów mogą spowodować straty ekonomiczne i zniszczyć reputację firmy SWIETELSKY.

Bezpieczeństwo informacji zapewnia niezbędne zaufanie, zarówno wewnętrzne, jak i w relacjach z klientami i partnerami, co pozwala na rozwój cyfryzacji i przeciwdziałanie związanym z nią zagrożeniom. Z uwagi na to kwestia ta jest przedmiotem aktywnych działań Zarządu lub jego pełnomocników w zakresie zagadnień prawnych, technologicznych i organizacyjnych.

4. Struktura organizacyjna

W roku 1936 Mgr inż. Hellmuth Swietelsky założył firmę budowlaną. Obecnie spółka SWIETELSKY AG jest jednym z liderów austriackiego przemysłu budowlanego, zatrudniającym średnio ponad 10.000 pracowników.

Spółka ma oddziały w 4 krajach wiodących (Austrii, Niemczech, Czechach i na Węgrzech) i w 15 innych, i jest przedsiębiorstwem w pełni prywatnym. Działalność firmy SWIETELSKY obejmuje wszystkie sektory przemysłu budowlanego. Grupa realizuje projekty we wszystkich możliwych zakresach, zapewniając najwyższą jakość, elastyczność i terminowość.

"Zdecentralizowana organizacja w ośrodkach zysku, delegowanie odpowiedzialności, a także udział w sukcesie powoduje, że nasi zmotywowani i kompetentni pracownicy mogą odgrywać rolę "przedsiębiorców w ramach firmy". - Filozofia

4.1 Wewnętrzne powiązania

SWIETELSKY jest firmą o strukturze zdecentralizowanej z różnymi niezależnymi oddziałami, działającymi w Europie i Australii. Wspólne obszary, takie jak zasoby ludzkie, finanse czy IT, są zarządzane centralnie.

W celu spełnienia oczekiwań klienta, wymagań przetargowych i zastosowania środków kontroli, SWIETELSKY oprócz systemu ISMS stosuje również inne systemy zarządzania. Są one obsługiwane niezależnie przez wyznaczonych do tego pracowników, przy czym regularna koordynacja gwarantuje, że systemy zarządzania harmonijnie współdziałają.

4.2 Zewnętrzne powiązania

Działalność firmy SWIETELSKY obejmuje wszystkie obszary branży budowlanej. Jednak w celu realizacji wielu zadań niezbędna jest ścisła współpraca z różnymi dostawcami, klientami, podwykonawcami i innymi konkurentami w ramach konsorcjum.

5. Zainteresowane strony

Różne zainteresowane strony stawiają wymagania dotyczące systemu SZBI firmy SWIETELSKY.

5.1 Strony zawierające umowę (klienci, dostawcy, konsorcja)

Strony zawierające umowę oczekują, że ich dane będą traktowane poufnie, ale przede wszystkim sprawnej realizacji, a tym samym dostępności usług.

5.2 Podmioty wewnętrzne (jednostki organizacyjne, pracownicy)

Podmioty wewnętrzne oczekują funkcjonujących usług, które są zawsze dostępne. Przestoje powinny być jak najmniejsze i nigdy nie powinny występować w sposób nieplanowany. Bezpieczeństwo musi być zapewnione w tle i, jeśli to możliwe, nie powinno wpływać na pracę ani jej utrudniać. W niektórych przypadkach stawiane są również wysokie wymagania dotyczące poufności.

5.3 Akcjonariusze (zarząd, właściciele)

Akcjonariusze oczekują ochrony przed ryzykiem biznesowym, prawnym i związanym z utratą reputacji. System SZBI powinien efektywnie wykorzystywać zasoby i umożliwiać uzyskanie przewagi konkurencyjnej dzięki certyfikacji.

5.4 Administracja publiczna (urzędy, prawodawcy)

Administracja publiczna oczekuje, że wszystkie obowiązujące przepisy będą przestrzegane. Wszelkie przekazywane informacje muszą wpłynąć do organów publicznych na czas, w sposób prawidłowy i kompletny.

6. Organizacja

W ramach SZBI zdefiniowano następujące podstawowe role i obowiązki:

7. Cele

Cele SZBI wynikają z zasad zawartych w Kodeksie Postępowania, obowiązującym w firmie SWIETELSKY.

Opisanym tu celom strategicznym systemu SZBI przypisane są cele operacyjne. Są one mierzone corocznie za pomocą kluczowych wskaźników.

7.1 Chronimy majątek firmy

7.1.1 Unikanie nieplanowanych przestojów w zakresie centralnych systemów IT.

Nawet krótkotrwałe awarie systemów centralnych mogą mieć wpływ na działalność gospodarczą i powodować straty finansowe.

7.1.2 Zapobieganie powstawaniu strat finansowych powodowanych cyberprzestępczością

Czyny przestępcze za pośrednictwem mediów elektronicznych mogą powodować poważne straty finansowe.

7.2 Dokumenty i informacje biznesowe są przez nas traktowane jako poufne

7.2.1 Klauzula poufności

Nieumyślne ujawnienie lub opublikowanie informacji może mieć poważny wpływ na reputację firmy SWIETELSKY i może spowodować konsekwencje prawne i umowne.

7.3 Przestrzegamy standardów bezpieczeństwa IT i ochrony danych osobowych

7.3.1 Stworzenie najnowocześniejszego poziomu bezpieczeństwa informatycznego

Tworząc system SZBI i dostosowując środki bezpieczeństwa do ISO/IEC 27001, jak również przeprowadzając zewnętrzną certyfikację, udowadniamy osobom trzecim, że nasz poziom bezpieczeństwa jest na najwyższym poziomie.

7.4 Ciągle się rozwijamy

7.4.1 Kształcenie świadomości pracowników

Dzięki ciągłemu kształceniu i szkoleniu pracownicy firmy Swietelsky mają możliwość dalszego pogłębiania swojej wiedzy.

7.4.2 Ciągłe doskonalenie systemu SBZI i środków bezpieczeństwa

Stworzenie procesu ciągłego doskonalenia w ramach SBZI zapewnia stałą ocenę i dalszy rozwój już istniejących środków, jak również identyfikację nowych, uwzględniających ryzyko środków.

 

8. Wdrażanie

Celem wdrożenia omawianej polityki bezpieczeństwa, w ramach SBZI stworzono następujące podstawowe moduły i procesy:

9. Zakres obowiązywania ISO/IEC 27001

Chociaż zakres przedmiotowej polityki bezpieczeństwa i SZBI dotyczy całej firmy, zewnętrzna certyfikacja zgodnie z normą ISO/IEC 27001 ogranicza się do poniższego zakresu:

Zakres obowiązywania SBZI obejmuje udostępnienie i obsługę centralnych usług informatycznych w całej Grupie oraz niezbędną do tego infrastrukturę w Austrii.

Usługi
Centralne usługi informatyczne i obsługa infrastruktury informatycznej są usługami istotnymi w kontekście zakresu obowiązywania.

Procesy
Podstawowym przedmiotem analizy jest proces eksploatacji usług IT prowadzący do realizacji zadań z zakresu.

Sekcja / Dział
Za zakres obowiązywania odpowiedzialny jest dział IT & Procesy wraz z działami: Obsługa użytkowników IT, Infrastruktura IT, ERP i Procesy oraz Cyberbezpieczeństwo.

Oddziały
Zakres obowiązywania obejmuje centralne biura IT, serwerownie i pomieszczenia do tworzenia kopii zapasowych, a także oddziały zajmujące się przechowywaniem kopii zapasowych IT w Austrii.

Współdziałanie różnych środowisk
W ramach zakresu obowiązywania istnieje ścisła współpraca z różnymi środowiskami, takimi jak: zasoby ludzkie, zarządzanie jakością, digitalizacja, zarządzanie obiektami, dział prawny oraz usługodawcy i partnerzy outsourcingowi.

Systemy i aplikacje IT
Zakres obowiązywania obejmuje m.in. mobilne i stacjonarne urządzenia IT, systemy pamięci i związane z nimi kopie zapasowe, kontrolę dostępu i zarządzanie użytkownikami, a także oprogramowanie budowlane i osobiste.

Podmioty prawne
Wszystkie procesy, osoby, sekcje i oddziały, istotne w kontekście zakresu obowiązywania, są częścią firmy SWIETELSKY.

Informacje
Zakres obowiązywania obejmuje wszystkie informacje istotne dla świadczenia usług.