To improve the user experience on this site we use cookies. I agree | I disagree

Politika systému bezpečnosti informací

POLITIKA SYSTÉMU ŘÍZENÍ BEZPEČNOSTI INFORMACÍ – Advantech Czech s.r.o.

1. Účel a působnost dokumentu 

Účelem této politiky je deklarovat a schválit vedením společnosti Advantech Czech s.r.o. (dále jen „společnost“) politiku, strategické cíle, rozsah a hranice systému řízení bezpečnosti informací (dále jen ISMS) a další pravidla a postupy související s řízením ISMS. 
Politika systému řízení bezpečnosti informací musí být přezkoumána manažerem kybernetické bezpečnosti minimálně 1x za rok. I v případě, že nedojde k žádným změnám, musí být u verze uvedeno datum přezkoumání. 


2. Závazek vedení 

Vedení společnosti se zavazuje ke vzniku, řízení, kontrole a podpoře uceleného a funkčního ISMS. Dále se společnost zavazuje k vytvoření podmínek pro získání lidských, technických a finančních zdrojů, které jsou nezbytné pro ustavení, fungování a neustálého zlepšování ISMS. 


3. Cíle, principy a potřeby systému řízení bezpečnosti informací 

Společnost si stanovila následující strategické cíle: 

•    Zajištění souladu s právními předpisy 
•    Zajištění jednotné ochrany informací podle požadavků legislativy 
•    Zajištění odpovídajících zdrojů (personálních, technických i finančních) pro oblast bezpečnosti informací 
•    Implementace bezpečnostních technologií a jejich průběžná aktualizace a modernizace 
•    Zajištění schopnosti zvládání bezpečnostních událostí a incidentů 
•    Zajištění adekvátní úrovně důvěrnosti, integrity a dostupnosti 
•    Formalizace procesů a postupů 
•    Stanovení zodpovědností 
•    Zvýšení úrovně bezpečnostního povědomí zaměstnanců 


4. Rozsah a hranice systému řízení bezpečnosti informací 

Společnost Advantech Czech s.r.o. se rozhodla určit rozsah ISMS jak pro certifikace routerů (HW/SW) a systému DMP (Remote device provisioning, monitoring and management platform), tak i pro veškeré klíčové činnosti v oblasti fyzické a kybernetické bezpečnosti dle ISO 27001:2022, NIS2 a IEC 62443-4-1(2).

1.  Fyzické aspekty rozsahu

Fyzický perimetr, který pokrývá všechny objekty a prostory které jsou ve vlastnictví této organizace, ale i prostory, které nevlastní a má v nájmu.

2.  Organizační a personální aspekty rozsahu
-   Všichni zaměstnanci organizace a další osoby
-   Dodavatelé (včetně subdodavatelů), kteří participují na dodávkách primárních a podpůrných aktiv i ve smyslu poskytovaných služeb 

3.  Technologické aspekty rozsahu
-   Primární a podpůrná aktiva v rámci organizace
-   Primární a podpůrná aktiva spravovaná nebo provozovaná dodavateli 

Konkrétní výčet primárních a podpůrných aktiv je definován v katalogu aktiv. Rozsah ISMS je také určen topologií IT systémů.


5. Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací
 
Pravidelné přezkoumání ISMS probíhá každý rok a obsahuje hodnocení současného stavu, trendů a příležitostí pro další rozvoj, eventuálně nutnost případných změn tak, aby byla zajištěna trvalá vhodnost, přiměřenost a efektivnost systému a výrobků, včetně příležitostí pro zlepšení. Přezkoumání provádí manažer kybernetické bezpečnosti v součinnosti s dalšími bezpečnostními rolemi a zainteresovanými stranami a následně je zpráva z přezkoumání ISMS projednána na výboru kybernetické bezpečnosti (dále jen VKB). 

Vstupy do přezkoumání ISMS:
-   Vyhodnocení opatření z předchozího přezkoumání ISMS 
-   Identifikace změn a okolností, které mohou mít vliv na ISMS 
-   Zpětná vazba o výkonnosti ISM:
           a) neshody a nápravná opatření
           b) výsledky monitorování a měření
           c) výsledky předchozích auditů KB
           d) naplnění cílů ISMS
-   Výsledky hodnocení rizik a stav plnění plánu zvládání rizik 
-   Výstupy ze skenování zranitelností a penetračního testování
-   Přehled kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů za uplynulé období 
-   Vyhodnocení plánu vzdělávání v oblasti KB 
-   GAP analýza (viz Průvodce řízením aktiv a rizik dle vyhlášky o kybernetické bezpečnosti kapitola 5.4) 

Výstupy z přezkoumání:
-    Identifikace možností pro neustálé zlepšování 
-    Doporučení potřebných rozhodnutí, stanovení nápravných opatření a osob zajišťujících výkon jednotlivých činností 


6. Pravidla a postupy pro nápravná opatření a zlepšování systému řízení bezpečnosti informací 

Veškerá nápravná opatření vychází ze zprávy z přezkoumání ISMS. Tato nápravná opatření jsou projednána VKB, k jednotlivým nápravným opatřením jsou stanoveny osoby odpovědné za zavedení nápravných opatření a dodržení termínu zavedení nápravného opatření. 

Nápravná opatření jsou čtvrtletně sledována v rámci VKB. 


7. Závěrečná ustanovení 

Tato politika nabývá účinnosti dnem 15.2.2024

V Ústí na Orlicí 6.2.2024
Ing. Pavel Pospíšil
Prokurista




ENG version

INFORMATION SECURITY MANAGEMENT SYSTEM POLICY – Advantech Czech s.r.o.

1. Purpose

The purpose of this policy is to declare and approve the management of Advantech Czech s.r.o. (hereinafter referred to as "the company") policy, strategic goals, scope and boundaries of the information security management system (hereinafter referred to as ISMS) and other rules and procedures related to ISMS management.
The information security management system policy must be reviewed by the cyber security manager at least once a year. Even if there is no change, the revision date must be indicated on the version.        


2. Leadership commitment

The company's management is committed to the creation, management, control and support of a comprehensive and functional ISMS. Furthermore, the company undertakes to create the conditions for obtaining the human, technical and financial resources that are necessary for the establishment, operation and continuous improvement of the ISMS.


3. Objectives, principles and needs of the information security management system

The company has set the following strategic goals:

•  Ensuring compliance with legal regulations
•  Ensuring uniform protection of information according to the requirements of the legislation
•  Provision of adequate resources (personnel, technical and financial) for the area of information security
•  Implementation of security technologies and their continuous updating and modernization
•  Ensuring the ability to manage security events and incidents
•  Ensuring adequate levels of confidentiality, integrity and availability
•  Formalization of processes and procedures
•  Determination of responsibilities
• Increasing the level of security awareness of employees


4. The scope and boundaries of the information security management system

Advantech Czech s.r.o. has decided to determine the scope of ISMS both for the certification of routers (HW/SW) and the DMP system (Remote device provisioning, monitoring and management platform), as well as for all key activities in the field of physical and cyber security according to ISO 27001:2022, NIS2 and IEC 62443 -4-1(2).

1. Physical aspects of range
A physical perimeter that covers all objects and spaces that are owned by this organization, but also spaces that it does not own but rents.

2. Organizational and personnel aspects of scope
-   All employees of the organization and other persons
-   Suppliers (including subcontractors) who participate in the supply of primary and supporting assets also in terms of the services provided

3. Technological aspects of scope
-   Primary and supporting assets within the organization
-   Primary and support assets managed or operated by suppliers

The specific list of primary and supporting assets is defined in the asset catalog. The scope of the ISMS is also determined by the topology of the IT systems.


5. Rules and procedures for reviewing the information security management system

A regular review of the ISMS takes place every year and includes an assessment of the current state, trends and opportunities for further development, possibly the need for any changes to ensure the continued suitability, adequacy and effectiveness of the system and products, including opportunities for improvement. The review is carried out by the cyber security manager in cooperation with other security roles and stakeholders, and then the ISMS review report is discussed at the cyber security committee (hereafter referred to as CSC).

ISMS review inputs:
-   Evaluation of the measures from the previous review of the ISMS
-   Identification of changes and circumstances that may affect the ISMS
-   ISM Performance Feedback:
           a) non-conformities and corrective measures
           b) monitoring and measurement results
           c) results of previous KB audits
           d) fulfillment of ISMS objectives
-  The results of the risk assessment and the status of the implementation of the risk management plan
-   Outputs from vulnerability scanning and penetration testing
-   Overview of cyber security events and cyber security incidents for the past period
-   Evaluation of the education plan in the area of KB
-   GAP analysis (see the guide to the management of assets and risks according to the Czech decree on cyber security, chapter 5.4)

Findings from the review:
-   Identifying opportunities for continuous improvement
-   Recommending the necessary decisions, determining corrective measures and persons ensuring the performance of individual activities


6. Rules and procedures for corrective actions and improvement of the information security management system

All corrective action is based on the ISMS review report. These corrective measures are discussed by the CSC, the persons responsible for the implementation of corrective measures and compliance with the deadline for the introduction of corrective measures are determined for individual corrective measures.

Corrective measures are monitored quarterly within the CSC.


7. Final Provisions
This policy takes effect on February 15th, 2024

In Ústí na Orlicí February 6th, 2024
Ing. Pavel Pospíšil                
General manager