Szukaj

Narzędzia

Następna strona

Zarządzanie ochroną danych osobowych

Poprzednia strona

Współpraca z kontrahentami

Zarządzanie bezpieczeństwem informacji

Informacja jest istotnym zasobem w kluczowych obszarach działalności Grupy PGE. Jest składnikiem aktywów, które, podobnie jak inne ważne aktywa biznesowe, ma zasadnicze znaczenie dla organizacji.

Zapewnianie bezpieczeństwa informacji jest jednym z istotnych obszarów działania Grupy PGE. Właściwe funkcjonowanie polityki bezpieczeństwa informacji w Grupie Kapitałowej PGE zostało osiągnięte poprzez wprowadzenie Procedury Ogólnej – Wytyczne w zakresie Bezpieczeństwa i Klasyfikacji Informacji w GK PGE, której celem jest określenie i stosowanie jednolitych reguł i zasad, według których są przetwarzane informacje.

Bezpieczeństwo informacji w Grupie PGE to przede wszystkim:

Zapewnienie pełnej ochrony przetwarzanych informacji

Zachowanie poufności, dostępności
i integralności informacji

Zagwarantowanie odpowiedniego poziomu bezpieczeństwa informacji przetwarzanych w postaci elektronicznej oraz papierowej

Ograniczenie występowania zagrożeń bezpieczeństwa informacji

Wprowadzenie jednolitych standardów w zakresie identyfikacji i klasyfikacji informacji oraz jednolitego nazewnictwa etykiet przypisanych do danego poziomu ochrony

Wprowadzone wytyczne stanowią podstawę do opracowania i wdrożenia wewnętrznych regulacji w zakresie bezpieczeństwa informacji w każdej ze spółek Grupy PGE.

W PGE S.A., z uwagi na istotę aktywów informacyjnych spółki oraz obowiązek ochrony informacji będących istotnym elementem w kluczowych obszarach jej działalności, Zarząd PGE S.A. ustanowił System Zarządzania Bezpieczeństwem Informacji (SZBI), czyli strategię działania w zakresie zapewniania właściwej ochrony informacji. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) pozwala na zachowanie poufności, integralności i dostępności informacji stanowiących dla organizacji wymierną wartość. Celem działań realizowanych w ramach SZBI jest:

  • zapewnienie bezpieczeństwa aktywów informacyjnych,
  • zarządzanie informacjami,
  • podnoszenie świadomości pracowników w zakresie bezpieczeństwa informacji,
  • ustalenie i stosowanie zasad przetwarzania informacji,
  • zapewnienie zgodności działań z obowiązującymi przepisami prawa oraz regulacjami wewnętrznymi w zakresie bezpieczeństwa informacji,
  • zarządzanie ryzykiem w bezpieczeństwie informacji,
  • zarządzanie incydentami.

Na System Zarządzania Bezpieczeństwem Informacji składają się wewnętrzne regulacje:

  • Procedura Zarządzania Bezpieczeństwem Informacji w PGE S.A., która określa mechanizmy zarządzania bezpieczeństwem informacji oraz zasady postępowania w celu zapewnienia poufności, dostępności i integralności informacji przetwarzanych w PGE S.A. Jest ona zasadniczym dokumentem SZBI opracowanym z uwzględnieniem wymogów określonych w Polskiej Normie PN-ISO/IEC 27001,
  • Procedurę Bezpieczeństwa i Klasyfikacji Informacji w PGE S.A., której celem jest zapewnienie odpowiedniego poziomu ochrony informacji przetwarzanych w PGE S.A.

W PGE S.A. prowadzonych jest wiele działań mających na celu zapewnienie bezpieczeństwa informacji, między innymi takie, jak:

  • działania edukacyjne i szkoleniowe dla pracowników, mające na celu podnoszenie wiedzy w zakresie bezpieczeństwa informacji (konsultacje, szkolenia indywidualne i grupowe, szkolenia e-learningowe, itd.),
  • działania informacyjne, tj. komunikaty wewnętrzne dotyczące bezpiecznego przetwarzania informacji,
  • narzędzia wspierające proces identyfikacji i klasyfikacji informacji,
  • zakładka „Bezpieczeństwo informacji” prowadzona w intranecie korporacyjnym (IPK),
  • zabezpieczenia prawne (umowy o zachowaniu poufności „NDA”, oświadczenia o zachowaniu poufności informacji) oraz zabezpieczenia techniczne (np. szyfrowanie komputerów funkcją BitLocker, system IT z automatycznym wylogowaniem użytkownika w momencie bezczynności, system wydruku centralnego z wykorzystaniem karty zbliżeniowej, itd.),
  • wprowadzenie zasad związanych z bezpieczeństwem informacji w zakresie nieautoryzowanego dostępu, utraty, kradzieży lub uszkodzenia informacji, takie jak: „zasady czystego biurka i ekranu”,
  • weryfikacja zgodności działania z ustalonymi regułami (czynności sprawdzające w zakresie stanu zabezpieczenia informacji podlegających ochronie),
  • inne, np.zablokowanie możliwości odczytu i zapisu danych na nośnikach zewnętrznych (blokada portów USB), podniesionie poziomu bezpieczeństwa teleinformatycznego poprzez monitorowanie, kontrolowanie i zarządzanie przepływem informacji wewnątrz i na zewnątrz firmy za pomocą oprogramowania DLP (Data Loss Prevention).