Swietelsky AG
  • SWIE Seite Ueber Uns Header 3400 Auf 2240X1040 Rgb

Bezpečnost informací

Osvědčení

expand

ISO/IEC 27001:2013_English

ISO/IEC 27001

1. Úvod

Jako jedna z nejvýznamnějších společností rakouského stavebnictví je firma SWIETELSKY zavázána vůči svým zaměstnancům, zákazníkům a smluvním partnerům, zajistit realizaci nejvyšších možných standardů ve všech oblastech podniku.

Na základě legislativních, avšak též ekonomických požadavků, kladených na podnik, je proto přikládán obzvláštní důraz na bezpečnost informací v rámci celé společnosti.

Jako bezpečnost informací rozumí firma SWIETELSKY ochranu informací, ať již v jejich fyzické či elektronické podobě, stejně jako systémů nezbytných pro zpracovávání informací s ohledem na jejich důvěrnost, integritu a disponibilitu.

2. Oblast využití

Oblast využití těchto bezpečnostních standardů se týká koncernu SWIETELSKY, jeho dceřiných společností se všemi jejich zaměstnanci, podniky a činnostmi.

3. Zásady

3.1 Závazky managementu

Představenstvo společnosti SWIETELSKY tímto přijímá standardy bezpečnosti informací jako součást své podnikatelské strategie.

Představenstvo podporuje cíle a zásady bezpečnosti informací v souladu s obchodní strategií a obchodními cíli.

Vytvořením systému řízení bezpečnosti informací (ISMS) a poskytnutím nezbytných zdrojů vytváří představenstvo základ toho, aby bylo možné splnit cíle ISMS. Jako nejvyšší instance ISMS přispívá představenstvo aktivně k úspěchu ISMS.

3.2 Význam bezpečnosti informací

Společnost SWIETELSKY je ve své obchodní činnosti zásadním způsobem závislá na disponibilitě informací stejně jako v neustále narůstající míře i na náležitém fungování jejích informačních systémů. Zpracování informací a digitalizace získávají ve stavebnictví neustále na významu. Propojení sítí v rámci podniku, avšak rovněž se zákazníky, dodavateli a společnými podniky výrazným způsobem podporuje poskytování služeb. Výpadky klíčových systémů mohou již v krátkém čase způsobit škody pro podnikání stejně jako pro reputaci společnosti SWIETELSKY.

Bezpečnost informací vytváří nezbytnou důvěru, ať již interně či na straně zákazníků a partnerů, aby tak bylo možno pokračovat v digitalizaci a tím i zacílení na takto vzniklá rizika. Z toho důvodu sleduje představenstvo, popřípadě jím pověřený koordinátor aktivně téma bezpečnosti informací s ohledem na právní, technologické a organizační aspekty.

4. Organizační kontext

Stavební firmu založil v roce 1936 Dipl. Ing. Hellmuth Swietelsky. Dnes patří společnost SWIETELSKY AG se svými přibližně 10 000 zaměstnanci k nejvýznamnějším podnikům rakouského stavebního průmyslu.

S pobočkami ve čtyřech státech (Rakousko, Německo, Česko, Maďarsko) a 15 dalších zemích je podnik plně v soukromém vlastnictví. Aktivity společnosti SWIETELSKY sahají do všech odvětví stavebního průmyslu. Koncern přitom nabízí nejvyšší kvalitu, flexibilitu a projekty dokončované v dohodnutém termínu a to v jakémkoli rozsahu.

„Decentralizovaná organizace v ziskových centrech, delegovaná odpovědnost, stejně jako podíl na úspěších společnosti mají za následek, že naši vysoce motivovaní a kompetentní zaměstnanci mohou vykonávat činnost jako podnikatelé v podniku" - toto je filozofie společnosti SWIETELSKY

4.1 Vnitřní kontext

Společnost SWIETELSKY je decentralizovaně organizovaný podnik s různými samostatnými divizemi podnikání, které vykonávají svou činnost v Evropě a Austrálii. Společné služby (Common Services), jako je personální, finanční či IT oddělení jsou řízeny centrálně.

Za účelem splnění přání našich zákazníků, požadavků tendrů a řízení kontrolních opatření provozuje společnost SWIETELSKY vedle systému ISMS také další systémy řízení. Ty jsou provozovány nezávisle jednotlivými koordinátory, přičemž pravidelná koordinace činností zajišťuje, aby systémy řízení pracovaly ve vzájemném souladu.

4.2 Vnější kontext

Aktivity společnosti SWIETELSKY pokrývají všechna odvětví stavebního průmyslu. Za účelem plnění jednotlivých úkolů je nezbytná úzká spolupráce jednotlivých dodavatelů, zákazníků, subdodavatelů a dalších účastnických firem ve formě společných podniků.

5. Zainteresované strany

Existují různé zainteresované strany, které společnosti SWIETELSKY adresují požadavky týkající se ISMS.

5.1 Smluvní strany (zákazníci, dodavatelé, společné podniky)

Smluvní strany očekávají důvěrné nakládání se svými daty, především však bezproblémové fungování a tím i disponibilitu služeb.

5.2 Interní strany (obchodní jednotky, zaměstnanci)

Interní strany očekávají funkční služby, které jsou kdykoli k dispozici. Prostoje by měly být pokud možno co nejkratší a nesmí k nim v žádném případě docházet neplánovaně. Bezpečnost musí být provozována v pozadí a pokud možno nesmí ovlivňovat nebo ztěžovat vlastní činnosti. Příležitostně jsou zdůrazňovány také vysoké standardy z hlediska zachování důvěrnosti.

5.3 Akcionáři (management, vlastníci)

Akcionáři očekávají, že budou chráněni před obchodními, právními a reputačními riziky. Systém ISMS má za cíl využívat zdroje efektivněji a umožňovat konkurenční výhodu na základě certifikací.

5.4 Veřejná správa (úřady, legislativa)

Veřejná správa očekává, že budou dodržovány všechny zákony. Veškeré předávané informace musejí být dodány státním úřadům v daném termínu, korektně a kompletně.

6. Organizace

V rámci systému ISMS jsou definovány následující klíčové úlohy a odpovědnost:

7. Cíle

Cíle systému ISMS jsou definovány na základě zásad kodexu chování společnosti SWIETELSKY.

Zde popsaným strategickým cílům systému ISMS jsou přiděleny operační cíle. Tyto jsou vyhodnocovány každoročně pomocí stanovených indexů.

7.1 Chráníme majetek společnosti

7.1.1 Zabraňování neplánovaných výpadků centrálních IT služeb

Výpadky centrálních služeb mohou mít v krátkém čase dopad na obchodní činnost a vést k finančním ztrátám.

7.1.2 Zabraňování finančním ztrátám zapříčiněným kyberkriminalitou

Kriminální aktivity prováděné pomocí elektronických médií mohou způsobit závažné finanční škody.

7.2 S obchodními dokumenty a informacemi zacházíme při zachování důvěrnosti

7.2.1 Ochrana důvěrnosti informací

Neúmyslné předání nebo zveřejnění informací může mít negativní dopad na reputaci společnosti SWIETELSKY, stejně jako právní a smluvní důsledky.

7.3 Dodržujeme standardy týkající se IT bezpečnosti a ochrany osobních dat

7.3.1 Vytvoření náležité úrovně IT bezpečnosti s ohledem na daný stav technologií

Vytvořením systému ISMS a přizpůsobením bezpečnostních opatření standardům ISO/IEC 27001 stejně jako externí certifikací zajišťujeme třetím stranám bezpečnostní úroveň odpovídající stavu daných technologií.

7.4 Pokračujeme ve vývoji

7.4.1 Vytváření příslušného povědomí mezi personálem

Permanentní školení a kurzy jsou základem dalšího vývoje náležitého povědomí zaměstnanců společnosti Swietelsky.

7.4.2 Permanentní vylepšování systému ISMS a bezpečnostních opatření

Vytvoření permanentního procesu vylepšování systému v rámci ISMS zajišťuje ustavičné vyhodnocování a další vývoj stávajících opatření, stejně jako identifikaci nových opatření založených na vyhýbání se rizikům.

8. Realizace

Za účelem realizace těchto bezpečnostních standardů jsou v rámci systému ISMS vytvářeny následující klíčové komponenty:

9. Oblast platnosti ISO/IEC 27001

Ačkoliv oblast platnosti těchto bezpečnostních standardů a systému ISMS pokrývá celý podnik, je externí certifikace v souladu s ISO/IEC 27001 omezena na následující oblast platnosti:

Oblast platnosti systému ISMS zahrnuje přípravu a provoz centrálních IT služeb a za tímto účelem nezbytnou infrastrukturu v Rakousku v rámci celého koncernu.

Služby
Centrální IT služby a provoz IT infrastruktury jsou relevantními službami pro danou oblast platnosti.

Procesy
Jako primární předmět posuzování platí pro úkoly v rámci dané oblasti platnosti proces provozu IT služeb.

Oddělení/Odbory
Pro danou oblast platnosti je příslušný odbor IT&Procesy s odděleními IT uživatelské služby, IT infrastruktury, ERP & Procesy stejně jako kybernetické bezpečnosti.

Provozní místa
Oblast platnosti zahrnuje centrální IT prostory, serverové prostory a prostory pro zálohování serverů, stejně jako IT zálohová provozní místa v Rakousku.

Rozhraní
V rámci oblasti platnosti probíhá úzká spolupráce s různými rozhraními, jako je oblast HR, řízení kvality, digitalizace, řízení budovy, právní servis stejně jako poskytování služeb a outsourcingoví partneři.

IT systémy a aplikace
V oblasti platnosti se nacházejí mimo jiné mobilní a stacionární IT zařízení, paměťová řešení a s nimi propojené backupy, systémy kontroly přístupu a uživatelské administrace stejně jako stavební a personální software.

Právní jednotky
Všechny procesy, oddělení a provozní místa, relevantní pro oblast platnosti, jsou součástí společnosti SWIETELSKY.

Informace
Oblast platnosti zahrnuje všechny informace relevantní pro poskytování služeb.