Bezpečnostní politika ISMS ČD Informační systémy, a.s.

Tento dokument slouží jako základní deklarace vůle vedení akciové společnosti ČD−Informační systémy, a.s. (dále jen ČD−IS) zabývat se problematikou kybernetické bezpečnosti, věnovat jí přiměřenou pozornost a uvolnit pro její řešení dostatečné prostředky a zdroje. Cílem vedení ČD−IS ve smyslu uvedeného, je především dostát závazkům ČD−IS v oblasti kybernetické bezpečnosti vycházejícím z platné legislativy, a to hospodárným, efektivním a bezpečným způsobem, využívajícím oborově uznávané standardy a postupy. Na základě této deklarace jsou prosazovány bezpečnostní zásady směrem do společnosti ČD−IS. Tímto dokumentem se vedení ČD−IS zavazuje prosazovat obecné principy řízení bezpečnosti informací, kybernetické bezpečnosti, ve všech řídících a provozních činnostech.

Společnost ČD−Informační systémy, a.s., prostřednictvím poskytovaných služeb, zajišťuje komplexní ICT správu, provoz a rozvoj informačních a komunikačních systémů společnostem jak Skupiny ČD, tak i subjektům mimo Skupinu ČD. Usilujeme o pozici spolehlivého dodavatele služeb IT/ICT pro Skupinu ČD, a i pro externí zákazníky, který bude vnímán jako profesionální partner, dodávající služby požadované zákazníkem ve vysoké kvalitě, cenově přiměřené a s veškerými podpůrnými službami, včetně poprodejního servisu a provozu dodávaných služeb/produktů.

Při realizaci všech činností považuje ČD−IS zajištění bezpečnosti informací a informačních a komunikačních služeb v kybernetickém prostoru za jednu ze svých hlavních priorit. Vychází při tom z požadavků evropské směrnice (EU) 2016/1148 – NIS v aktuální verzi a GDPR (Obecné nařízení o ochraně osobních údajů 32016R0679) a opírá se o legislativní normy, zejména o naplnění bezpečnostních požadavků ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti, a jeho prováděcích vyhlášek, krizový zákon č. 240/2000 Sb. a zákon č. 127/2005 Sb. o elektronických komunikacích a o změně některých souvisejících zákonů. K nastavení dostatečné úrovně kybernetické bezpečnosti, pří řízení Systému řízení bezpečnosti informací (dále jen „ISMS“), využívá obecné standardy a normy, zejména pak soustavu ISO norem.

Cílem ČD−IS je zajistit ochranu důvěrnosti, integrity a dostupnosti všech aktiv spadajících do jeho rozsahu pomocí přiměřených a odpovídajících opatření tak, aby byla zajištěna požadovaná úroveň kybernetické bezpečnosti. A to tak, aby byla zároveň zajištěna efektivita přijatých opatření. Tento cíl je naplňován provozováním, kontrolováním, údržbou a neustálým zlepšováním dokumentovaného ISMS v kontextu rizik a požadavků kladených na ČD−IS v oblasti kybernetické bezpečnosti.

K tomu si ČD-IS stanovila principy a zásady, které jsou v rámci řízení bezpečnosti informací v jejím kybernetickém prostoru uplatňovány:

1. Řízení systému bezpečnosti informací zahrnuje, mimo jiné, řízení rizik, kybernetických bezpečnostních událostí a incidentů. Jejich pravidelné vyhodnocování, odhalování slabin a přijímání nápravných opatření.
2. Trvalá komunikace a spolupráce s Národním úřadem pro kybernetickou a informační bezpečnost a s řadou dalších státních organizací.
3. Dodržování a naplňování legislativních a interních předpisů v oblasti bezpečnosti informací a kybernetické bezpečnosti. Zohledňování významu mezinárodních a národních smluv o sdílení a výměně informací.
4. Důsledné využívání a neustálé zlepšování standardizovaných postupů, ověřených technologií a dalších opatření pro zabezpečení kybernetické bezpečnosti informačních a komunikačních systémů kritické informační infrastruktury, informačních systémů základní služby, ostatních primárních a podpůrných aktiv.
5. Plánování a realizace bezpečnostních opatření je vždy zaměřena zejména na minimalizaci kybernetických hrozeb, zranitelností a rizik s ohledem na efektivitu, hospodárnost a soulad se stanovenou mírou přijatelnosti kybernetických rizik.
6. Rozvoj a neustálé zlepšování kybernetické bezpečnosti ČD-IS je realizováno na základě průběžného sledování a vyhodnocování aktuálního vývoje kybernetických hrozeb a jejich možných dopadů na důvěrnost, integritu a dostupnost aktiv spravovaných ČD-IS a hodnocením účinnosti z pohledu efektivity a dostatečnosti zavedených bezpečnostních opatření.
7. Jsou definovány povinnosti, odpovědnosti a pravomoci osob v bezpečnostních rolích, včetně způsobu jejich určení a ustanovení v oblasti informační a kybernetické bezpečnosti.
8. Zvyšování povědomí v oblasti kybernetické bezpečnosti je prováděno u všech zaměstnanců ČD-IS na začátku a v průběhu zaměstnaneckého poměru s ohledem na jejich roli v ISMS, čímž je zajištěna neustále rostoucí úroveň povědomí postupech, pravidlech a opatřeních v oblasti kybernetické bezpečnosti.
9. Řízení vztahů s dodavateli zahrnující identifikaci a hodnocení rizik, stanovení jasných a přesných práv a povinností a prokazatelné informování je prováděno na začátku a v průběhu smluvního vztahu.
10. Porušení pravidel, postupů a bezpečnostních opatření ISMS je považováno za hrubé porušení interních předpisů a smluvních vztahů.
11. Stav kybernetické bezpečnosti ČD-IS je pravidelně auditován a přezkoumáván.
12.  Při zajišťování kybernetické bezpečnosti jsou zohledněny požadavky integrovaného systému řízení organizace.

Rozsah ISMS ČD-IS:

Tato bezpečnostní politika ISMS ČD-IS se vztahuje na všechna pracoviště společností ČD-IS, členy statutárních orgánů a všechny zaměstnance společností ČD-IS, všechny podnikatelské aktivity a know-how ČD IS, a také na služby a výrobky poskytované externími dodavateli. Přesné vymezení rozsahu ISMS je určeno interní dokumentací ISMS.

V případě, že ze strany zákazníka, či jiných legislativních nařízení vzniknou přísnější požadavky na ISMS ČD IS, pak budou tyto požadavky prosazovány v přiměřené podobě nad rámec této politiky. Zveřejněním této politiky se vedení společnosti ČD-Informační systémy, a.s., zavazuje k jejímu prosazování, naplňování, kontrole účinnosti a neustálému zlepšování.

Za vedení společnosti ČD-Informační systémy, a.s,

Bc. Aleš Jelínek, MBA, v.r.

Předseda představenstva ČD−IS