Tento dokument slouží jako základní deklarace vůle vedení akciové společnosti ČD−Informační systémy, a.s. (dále jen ČD−IS) zabývat se problematikou kybernetické bezpečnosti, věnovat jí přiměřenou pozornost a uvolnit pro její řešení dostatečné prostředky a zdroje. Cílem vedení ČD−IS ve smyslu uvedeného, je především dostát závazkům ČD−IS v oblasti kybernetické bezpečnosti vycházejícím z platné legislativy, a to hospodárným, efektivním a bezpečným způsobem, využívajícím oborově uznávané standardy a postupy. Na základě této deklarace jsou prosazovány bezpečnostní zásady směrem do společnosti ČD−IS. Tímto dokumentem se vedení ČD−IS zavazuje prosazovat obecné principy řízení bezpečnosti informací, kybernetické bezpečnosti, ve všech řídících a provozních činnostech.
Společnost ČD−Informační systémy, a.s., prostřednictvím poskytovaných služeb, zajišťuje komplexní ICT správu, provoz a rozvoj informačních a komunikačních systémů společnostem jak Skupiny ČD, tak i subjektům mimo Skupinu ČD. Usilujeme o pozici spolehlivého dodavatele služeb IT/ICT pro Skupinu ČD, a i pro externí zákazníky, který bude vnímán jako profesionální partner, dodávající služby požadované zákazníkem ve vysoké kvalitě, cenově přiměřené a s veškerými podpůrnými službami, včetně poprodejního servisu a provozu dodávaných služeb/produktů.
Při realizaci všech činností považuje ČD−IS zajištění bezpečnosti informací a informačních a komunikačních služeb v kybernetickém prostoru za jednu ze svých hlavních priorit. Vychází při tom z požadavků evropské směrnice (EU) 2016/1148 – NIS v aktuální verzi a GDPR (Obecné nařízení o ochraně osobních údajů 32016R0679) a opírá se o legislativní normy, zejména o naplnění bezpečnostních požadavků ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti, a jeho prováděcích vyhlášek, krizový zákon č. 240/2000 Sb. a zákon č. 127/2005 Sb. o elektronických komunikacích a o změně některých souvisejících zákonů. K nastavení dostatečné úrovně kybernetické bezpečnosti, pří řízení Systému řízení bezpečnosti informací (dále jen „ISMS“), využívá obecné standardy a normy, zejména pak soustavu ISO norem.
Cílem ČD−IS je zajistit ochranu důvěrnosti, integrity a dostupnosti všech aktiv spadajících do jeho rozsahu pomocí přiměřených a odpovídajících opatření tak, aby byla zajištěna požadovaná úroveň kybernetické bezpečnosti. A to tak, aby byla zároveň zajištěna efektivita přijatých opatření. Tento cíl je naplňován provozováním, kontrolováním, údržbou a neustálým zlepšováním dokumentovaného ISMS v kontextu rizik a požadavků kladených na ČD−IS v oblasti kybernetické bezpečnosti.
K tomu si ČD-IS stanovila principy a zásady, které jsou v rámci řízení bezpečnosti informací v jejím kybernetickém prostoru uplatňovány:
Rozsah ISMS ČD-IS:
Tato bezpečnostní politika ISMS ČD-IS se vztahuje na všechna pracoviště společností ČD-IS, členy statutárních orgánů a všechny zaměstnance společností ČD-IS, všechny podnikatelské aktivity a know-how ČD IS, a také na služby a výrobky poskytované externími dodavateli. Přesné vymezení rozsahu ISMS je určeno interní dokumentací ISMS.
V případě, že ze strany zákazníka, či jiných legislativních nařízení vzniknou přísnější požadavky na ISMS ČD IS, pak budou tyto požadavky prosazovány v přiměřené podobě nad rámec této politiky. Zveřejněním této politiky se vedení společnosti ČD-Informační systémy, a.s., zavazuje k jejímu prosazování, naplňování, kontrole účinnosti a neustálému zlepšování.
Za vedení společnosti ČD-Informační systémy, a.s,
Bc. Aleš Jelínek, MBA, v.r.
Předseda představenstva ČD−IS
+420 972 211 999
helpdesk@cdis.cz