To improve the user experience on this site we use cookies. I agree | I disagree

Politika systému bezpečnosti informací

POLITIKA SYSTÉMU ŘÍZENÍ BEZPEČNOSTI INFORMACÍ – Advantech Czech s.r.o.
 

1.    Účel a působnost dokumentu

Účelem této politiky je deklarovat a schválit vedením společnosti Advantech Czech s.r.o. (dále jen „společnost“) politiku, strategické cíle, rozsah a hranice systému řízení bezpečnosti informací (ISMS) a další pravidla a postupy související s řízením ISMS.
Politika ISMS musí být přezkoumána Vedoucím Informační Bezpečnosti a Manažerem informační bezpečnosti minimálně jednou ročně. I v případě, že nedojde k žádným změnám, musí být u verze uvedeno datum přezkoumání.

2.    Závazek vedení

Vedení společnosti se zavazuje k implementaci, řízení, kontrole a podpoře uceleného a funkčního ISMS. Organizace se rovněž zavazuje k vytvoření podmínek pro zajištění dostatečných lidských, technických a finančních zdrojů potřebných pro zavedení, provoz a neustálé zlepšování ISMS.

3.    Cíle, principy a potřeby systému řízení bezpečnosti informací 

Společnost si stanovila následující strategické cíle:

•    Zajištění souladu s legislativou a regulačními požadavky
•    Implementace a průběžná modernizace bezpečnostních opatření
•    Zajištění odpovídajících personálních, technických a finančních zdrojů pro ISMS
•    Zajištění schopnosti zvládání bezpečnostních událostí a incidentů
•    Zajištění důvěrnosti, integrity a dostupnosti informací
•    Formalizace procesů a postupů v oblasti ISMS
•    Definování a řízení odpovědností v rámci ISMS
•    Zvyšování bezpečnostního povědomí zaměstnanců

4.    Rozsah a hranice systému řízení bezpečnosti informací 

Společnost Advantech Czech s.r.o. stanovuje rozsah ISMS pro certifikace routerů (HW/SW), systém DMP (Remote Device Provisioning, Monitoring and Management Platform) a další klíčové činnosti v oblasti fyzické a kybernetické bezpečnosti dle ISO 27001:2022 a NIS2.

1.    Fyzické aspekty rozsahu

•    Fyzický perimetr, který pokrývá všechny objekty a prostory které jsou ve vlastnictví této organizace, ale i prostory, které nevlastní a má v nájmu.

2.    Organizační a personální aspekty rozsahu

•    Všichni zaměstnanci organizace a další osoby
•    Dodavatelé (včetně subdodavatelů), kteří participují na dodávkách primárních a podpůrných aktiv i ve smyslu poskytovaných služeb 

3.    Technologické aspekty rozsahu

•    Primární a podpůrná aktiva v rámci organizace
•    Primární a podpůrná aktiva spravovaná nebo provozovaná dodavateli 

Konkrétní výčet primárních a podpůrných aktiv je definován v katalogu aktiv. Rozsah ISMS je také určen topologií IT systémů.

5.    Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací 

Pravidelné přezkoumání ISMS probíhá každý rok a obsahuje hodnocení současného stavu, trendů a příležitostí pro další rozvoj, eventuálně nutnost případných změn tak, aby byla zajištěna trvalá vhodnost, přiměřenost a efektivnost systému a výrobků, včetně příležitostí pro zlepšení. Přezkoumání provádí Manažer informační bezpečnosti ve spolupráci s dalšími bezpečnostními rolemi a relevantními zainteresovanými stranami. Výstupem je zpráva z přezkoumání ISMS, která je předložena vedení organizace ke schválení. Vedení následně rozhoduje o nutnosti případných změn a zlepšení ISMS.
Vstupy do přezkoumání ISMS: 

•    Vyhodnocení opatření z předchozího přezkoumání ISMS 
•    Identifikace změn a okolností, které mohou mít vliv na ISMS 
•    Zpětná vazba o výkonnosti ISM:
      a)    neshody a nápravná opatření
      b)    výsledky monitorování a měření
      c)    výsledky předchozích auditů KB
      d)    naplnění cílů ISMS
•    Výsledky hodnocení rizik a stav plnění plánu zvládání rizik 
•    Výstupy ze skenování zranitelností a penetračního testování
•    Přehled kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů za uplynulé období 
•    Vyhodnocení plánu vzdělávání v oblasti bezpečnosti

Výstupy z přezkoumání:
•    Identifikace možností pro neustálé zlepšování 
•    Doporučení potřebných rozhodnutí, stanovení nápravných opatření a osob zajišťujících výkon jednotlivých činností 

6.    Pravidla a postupy pro nápravná opatření a zlepšování systému řízení bezpečnosti informací 

Veškerá nápravná opatření vycházejí ze zprávy z přezkoumání ISMS. Manažer informační bezpečnosti ve spolupráci s vedením organizace:

•    Stanovuje odpovědné osoby za implementaci opatření
•    Určuje termíny pro realizaci
•    Pravidelně sleduje stav opatření v rámci ISMS

7.    Závěrečná ustanovení 

Tato politika nabývá účinnosti dnem 1.1.2025
V Ústí na Orlicí 1.1.2025

Ing. Pavel Pospíšil                    
prokurista    

 

 

ENG version

INFORMATION SECURITY MANAGEMENT SYSTEM POLICY – Advantech Czech s.r.o.

        
1.    Purpose 

The purpose of this policy is to declare and approve, by the management of Advantech Czech s.r.o. (hereinafter referred to as "the company") the policy, strategic objectives, scope, and boundaries of the Information Security Management System (ISMS) and other rules and procedures related to ISMS management.
The ISMS policy must be reviewed by the Chief Information Security Officer and the Information Security Manager at least once a year. Even if no changes occur, the version must include the date of the review.

2.    Leadership commitment

The company's management is committed to the creation, management, control and support of a comprehensive and functional ISMS. Furthermore, the company undertakes to create the conditions for obtaining the human, technical and financial resources that are necessary for the establishment, operation and continuous improvement of the ISMS.

3.    Objectives, principles and needs of the information security management system

The company has set the following strategic goals:

•    Ensuring compliance with legal and regulatory requirements
•    Implementing and continuously upgrading security measures
•    Ensuring adequate human, technical, and financial resources for ISMS
•    Ensuring the ability to manage security events and incidents
•    Ensuring the confidentiality, integrity, and availability of information
•    Formalizing processes and procedures within the ISMS
•    Defining and managing responsibilities within the ISMS
•    Increasing employee security awareness

4.    The scope and boundaries of the information security management system 

Advantech Czech s.r.o. has decided to determine the scope of ISMS both for the certification of routers (HW/SW) and the DMP system (Remote device provisioning, monitoring and management platform), as well as for all key activities in the field of physical and cyber security according to ISO 27001:2022 and NIS2.

1. Physical aspects of range

•    A physical perimeter that covers all objects and spaces that are owned by this organization, but also spaces that it does not own but rents.

2. Organizational and personnel aspects of scope

•    All employees of the organization and other persons
•    Suppliers (including subcontractors) who participate in the supply of primary and supporting assets also in terms of the services provided

3. Technological aspects of scope

•    Primary and supporting assets within the organization
•    Primary and support assets managed or operated by suppliers
The specific list of primary and supporting assets is defined in the asset catalog. The scope of the ISMS is also determined by the topology of the IT systems.

5.    Rules and procedures for reviewing the information security management system

The ISMS undergoes an annual review, including an assessment of the current state, trends, and opportunities for further development, as well as the need for any changes to ensure the ongoing suitability, adequacy, and effectiveness of the system and products, including opportunities for improvement.
The review is conducted by the Information Security Manager in cooperation with other security roles and relevant stakeholders. The output is an ISMS review report submitted to the organization's management for approval. Management then decides on necessary changes and improvements to the ISMS.
ISMS review inputs:

•    Evaluation of the measures from the previous review of the ISMS
•    Identification of changes and circumstances that may affect the ISMS
•    ISM Performance Feedback:
     a)    non-conformities and corrective measures
     b)    monitoring and measurement results
     c)    results of previous KB audits
     d)    fulfillment of ISMS objectives
•    The results of the risk assessment and the status of the implementation of the risk management plan
•    Outputs from vulnerability scanning and penetration testing
•    Overview of cyber security events and cyber security incidents for the past period
•    Evaluation of the education plan in the area of KB

Findings from the review:
•    Identifying opportunities for continuous improvement
•    Recommending the necessary decisions, determining corrective measures and persons ensuring the performance of individual activities

6.    Rules and procedures for corrective actions and improvement of the information security management system

All corrective actions are based on the ISMS review report. The Information Security Manager, in collaboration with the organization's management:
•    Assigns responsible persons for the implementation of measures
•    Defines deadlines for implementation
•    Regularly monitors the status of ISMS measures

7.    Final Provisions
This policy takes effect on January 1, 2025.

In Ústí na Orlicí January 1, 2025.

Ing. Pavel Pospíšil                    
Executive manager