POLITYKA BEZPIECZEŃSTWA

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Grupa Garrigues podjęła decyzję o zarządzaniu swoimi systemami informacyjnymi (ISMS) z wykorzystaniem najlepszych praktyk międzynarodowych, zgodnie z normą ISO/IEC 27001 oraz hiszpańskim Krajowym Systemem Bezpieczeństwa.

Mając to na uwadze, opracowano Politykę bezpieczeństwa informacji spełniającą wymogi prawne wynikające z następujących przepisów:

  • Dekretu królewskiego nr 311/2022 z dnia 3 maja 2022 r. w sprawie Krajowego Systemu Bezpieczeństwa,
     
  • normy ISO 27001: 2022,
     
  • rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz hiszpańskiej Ustawy organicznej nr 3/2018 z dnia 5 grudnia 2018 r. o ochronie danych osobowych i gwarancjach praw cyfrowych (LOPD-gdd).
     

Polityka bezpieczeństwa informacji ma dwojaki cel:

  • po pierwsze zdefiniować ramy odniesienia w celu umożliwienia ochrony zabezpieczeń aktywów wykorzystywanych do obsługi procesów w Grupie Garrigues. Cel ten wynika z przeprowadzonej analizy ryzyka związanego z uzgodnieniem strategicznych wymogów biznesowych z wymogami prawnymi i umownymi. Stosownie do regulacji wyznaczających ramy prawne Polityka bezpieczeństwa informacji służy do ustanowienia przewidzianych nimi podstawowych zasad funkcjonowania systemów bezpieczeństwa, procedur, instrukcji technicznych, rejestrów oraz innych dokumentów niezbędnych do określenia sposobu korzystania z informacji i obsługujących je aktywów i systemów;
     
  • po drugie celem Polityki bezpieczeństwa informacji jest ustanowienie odpowiednich organizacyjnych, fizycznych i technicznych środków bezpieczeństwa służących ochronie tych aktywów w oparciu o założenie, że bezpieczeństwo trzeba pojmować jako proces integralny i przekrojowy (obejmujący wszystkie związane z systemem informacyjnym i komunikacyjnym elementy o charakterze technicznym, ludzkim, materialnym i organizacyjnym), przy czym środków tych nie powinno się traktować jako wydatek zarządczy, ale raczej jako inwestycję zapobiegającą negatywnym skutkom dla działalności.
     

Polityka ma zastosowanie do systemów informacyjnych obsługujących procesy związane z klientami, które Grupa Garrigues wykonuje w ramach swojej działalności. Należy przestrzegać wszelkich wewnętrznych regulacji i procedur dotyczących określonego aspektu bezpieczeństwa systemów informacyjnych i respektować zapisy wszystkich dokumentów.

Polityka ma zastosowanie do wszystkich pracowników, partnerów i pozostałych członków spółek Grupy Garrigues włączonych do systemów Garrigues, a także do współpracowników i podmiotów trzecich uczestniczących w działalności i procesach zdefiniowanych w zakresie ISMS i obsługujących procesy związane z klientami Grupy ( „użytkownicy informacji” lub po prostu „użytkownicy”).

Polityka bezpieczeństwa informacji opiera się na następujących podstawowych zasadach:

  1. zasada zgodności z przepisami: wszystkie systemy informacyjne należy dostosować do obowiązujących przepisów prawa, innych regulacji oraz zasad branżowych dotyczących bezpieczeństwa informacji, w szczególności odnoszących się do ochrony danych osobowych oraz bezpieczeństwa systemów, danych oraz komunikacji i usług elektronicznych;
     
  2. zasada zarządzania ryzykiem: należy dążyć do minimalizacji ryzyka przy jednoczesnym zachowaniu równowagi pomiędzy bezpieczeństwem a charakterem informacji. Cele bezpieczeństwa powinny być zdefiniowane, poddawane przeglądom i spójne z aspektami bezpieczeństwa informacji;
     
  3. zasada świadomości i szkolenia: należy stworzyć programy szkoleniowe oraz kampanie uświadamiające i informacyjne dotyczące bezpieczeństwa informacji skierowane do wszystkich użytkowników posiadających dostęp do informacji;
     
  4. zasady poufności, integralności, dostępności, identyfikowalności i autentyczności:
     
    • poufność informacji należy zagwarantować przez udzielanie dostępu do nich jedynie upoważnionym osobom,
       
    • integralność wykorzystywanych informacji zapewnia się przez ich zwięzłość i precyzyjność, ze szczególnym naciskiem na dokładność zarówno treści, jak i procesów,
       
    • dostępność informacji należy zagwarantować przez zapewnienie ciągłości działalności wspomaganej przez usługi informacyjne dzięki opracowaniu planów awaryjnych;
       
    • identyfikowalność informacji jest niezbędna w celu zapewnienia, aby można było jednoznacznie wskazać podmiot (osobę lub proces) odpowiedzialny za określone działania;
       
    • autentyczność informacji należy zagwarantować, aby mieć pewność co do tożsamości podmiotu (osoby lub procesu), który je przetwarza;
       
  5. zasada proporcjonalności: wprowadzanie mechanizmów kontroli ograniczających zagrożenie dla bezpieczeństwa aktywów powinno odbywać się z zachowaniem w każdym czasie równowagi pomiędzy środkami bezpieczeństwa, charakterem informacji oraz rodzajem i stopniem zagrożenia;
     
  6. zasada odpowiedzialności: odpowiedzialność za zachowanie bezpieczeństwa informacji zgodnie z ustalonymi normami i procedurami kontrolnymi przy podejmowaniu czynności powinni ponosić wszyscy członkowie Grupy Garrigues;
     
  7. zasada ciągłego doskonalenia: stopień skuteczności wdrożonych mechanizmów kontroli bezpieczeństwa podlega stałemu przeglądowi, co pozwala na lepsze dostosowanie się do stale zmieniającego się charakteru ryzyka i środowiska technologicznego.
     

Polityka ta stanowi ramy odniesienia dla określenia celów w dziedzinie bezpieczeństwa.

Garrigues posiada plan ciągłości działania gwarantujący dostępność krytycznych usług i systemów. W szczególności ustanowiono następujące narzędzia:

  • plan ciągłości działania;
     
  • analizę wpływu na działalność;
     
  • plan usuwania skutków awarii.
     

Plan ciągłości działania Garrigues został zaprojektowany w celu umożliwienia ciągłości funkcjonowania najważniejszych obszarów wsparcia, ograniczenia szkód i wpływu niespodziewanych zdarzeń zakłócających wykonywanie usług, jak też poprawy zdolności szybkiego przywracania stanu sprzed ich wystąpienia.

Zgodnie z postanowieniami art. 33 Dekretu królewskiego nr 311/2022 z dnia 3 maja 2022 r. Garrigues będzie informować klientów o wszelkich zdarzeniach mających istotny wpływ na bezpieczeństwo wykorzystywanych przez siebie informacji oraz o usługach świadczonych w ramach kategorii przewidzianych w Krajowym Systemie Bezpieczeństwa.

Każdy podmiot trzeci uzyskujący dostęp do informacji będących w posiadaniu Grupy Garrigues w kontekście świadczenia usług musi znać Politykę bezpieczeństwa informacji i związane z nią przepisy oraz przyjąć i wypełniać wynikające z nich obowiązki. Może także określić własne procedury służące wykonywaniu tych obowiązków. Na potrzeby sporządzania raportów i rozwiązywania problemów wynikających ze określonych zdarzeń opracowane zostaną szczegółowe procedury. Pracownicy podmiotów trzecich muszą mieć wystarczającą świadomość dotyczącą bezpieczeństwa, co najmniej w stopniu określonym w Polityce bezpieczeństwa informacji. 

W celu uzyskania dodatkowych informacji na temat polityki bezpieczeństwa informacji lub zgłoszenia sugestii w tym zakresie prosimy o kontakt mailowy na adres: [email protected].