Polityka Bezpieczeństwa Informacji
Publiczna wersja Polityki Bezpieczeństwa Informacji określająca zasady ochrony informacji zgodne z Dyrektywą NIS 2, ISO 27001:2022, ISO 22301:2019 i wytycznymi ENISA.
1. Wprowadzenie
1.1. Cel dokumentu
Niniejsza Polityka Bezpieczeństwa Informacji określa zasady ochrony informacji w organizacji oraz ustanawia ramy bezpieczeństwa zgodne z:
- Dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS 2)
- Normą ISO/IEC 27001:2022 – System Zarządzania Bezpieczeństwem Informacji
- Normą ISO 22301:2019 – System Zarządzania Ciągłością Działania
- Wytycznymi Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA)
- Projektem ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa
1.2. Zakres stosowania
Polityka dotyczy wszystkich:
- Pracowników organizacji (zatrudnionych na podstawie umowy o pracę, umów cywilnoprawnych)
- Współpracowników zewnętrznych i podwykonawców
- Systemów informacyjnych wykorzystywanych do świadczenia usług
- Procesów biznesowych organizacji
- Infrastruktury teleinformatycznej i bezpieczeństwa fizycznego
1.3. Definicje kluczowych pojęć
Odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych oraz związanych z nimi usług.
Zdarzenie naruszające lub mogące naruszyć cyberbezpieczeństwo.
Incydent powodujący lub mogący powodować poważne zakłócenie w funkcjonowaniu systemów informacyjnych.
Zespół współpracujących ze sobą urządzeń informatycznych, oprogramowania i połączeń zapewniających przetwarzanie i przechowywanie danych.
Skoordynowane działania mające na celu identyfikację, analizę, ocenę i postępowanie z ryzykiem związanym z bezpieczeństwem informacji.
2. Zarządzanie bezpieczeństwem informacji
2.1. Struktura organizacyjna
Organizacja ustanawia następującą strukturę odpowiedzialności za cyberbezpieczeństwo:
- Zatwierdza Politykę i strategię cyberbezpieczeństwa
- Zapewnia odpowiednie zasoby
- Nadzoruje wdrażanie środków zarządzania ryzykiem
- Ponosi ostateczną odpowiedzialność zgodnie z NIS 2
- Nadzoruje realizację Polityki
- Koordynuje działania związane z bezpieczeństwem
- Raportuje do Zarządu o stanie cyberbezpieczeństwa
- Zarządza procesem reagowania na incydenty
- Wdrażają Politykę w swoich obszarach
- Identyfikują ryzyka specyficzne dla procesów
- Szkolą pracowników w zakresie bezpieczeństwa
2.2. System Zarządzania Bezpieczeństwem Informacji (SZBI)
Organizacja wdraża i utrzymuje SZBI zgodny z normą ISO/IEC 27001:2022, który:
- Stosuje podejście procesowe i oparte na ryzyku.
- Podlega ciągłemu doskonaleniu w cyklu PDCA (Plan-Do-Check-Act).
- Jest integrowany z ogólnym systemem zarządzania organizacją.
- Uwzględnia wymagania zainteresowanych stron i kontekst działania.
2.3. Dokumentacja systemu
System dokumentacji SZBI obejmuje:
- Politykę Bezpieczeństwa Informacji (niniejszy dokument)
- Cel i zakres SZBI
- Procedury operacyjne i instrukcje
- Rejestry: aktywów, ryzyk, incydentów, środków ochrony
- Dokumentację audytów, przeglądów i działań korygujących
3. Zarządzanie ryzykiem (zgodnie z NIS 2, art. 21)
3.1. Proces zarządzania ryzykiem
Organizacja stosuje strukturalny proces zarządzania ryzykiem obejmujący:
1. Identyfikacja ryzyka
- Mapowanie aktywów informacyjnych i procesów biznesowych
- Identyfikacja zagrożeń i podatności
- Analiza łańcucha dostaw i zależności od dostawców
2. Analiza i ocena ryzyka
- Określenie prawdopodobieństwa materializacji zagrożeń
- Oszacowanie potencjalnego wpływu na organizację
- Klasyfikacja ryzyka według akceptowalnych poziomów
3. Postępowanie z ryzykiem
- Modyfikacja (wdrożenie środków ochrony)
- Przeniesienie (ubezpieczenie, outsourcing)
- Unikanie (rezygnacja z działalności wysokiego ryzyka)
- Akceptacja (dla ryzyka w akceptowalnym zakresie)
4. Monitorowanie i przegląd
- Regularna weryfikacja efektywności środków ochrony
- Aktualizacja oceny ryzyka w odpowiedzi na zmiany
- Przeglądy śródroczne i roczne
3.2. Podejście „all-hazards” (wielozagrożeniowe)
Zgodnie z wymogami NIS 2, organizacja uwzględnia w zarządzaniu ryzykiem:
- Zagrożenia cybernetyczne (ataki, złośliwe oprogramowanie)
- Zagrożenia fizyczne (kradzież, sabotaż, awarie)
- Zagrożenia środowiskowe (pożary, powodzie, ekstremalne warunki pogodowe)
- Zagrożenia ludzkie (błędy, zaniedbania, działania wewnętrzne)
- Zagrożenia związane z łańcuchem dostaw
4. Środki zarządzania ryzykiem w cyberbezpieczeństwie
Poniżej przedstawiono kluczowe środki wdrożone w organizacji, zgodne z Art. 21 Dyrektywy NIS 2.
4.1. Polityki analizy ryzyka i bezpieczeństwa systemów
Organizacja wdraża i utrzymuje:
- Metodykę analizy ryzyka opartą na uznanych standardach (ISO 27005, ENISA)
- Politykę bezpieczeństwa systemów dla wszystkich środowisk (produkcyjne, testowe, developerskie)
- Procedury klasyfikacji informacji i systemów według krytyczności
- Mechanizmy zarządzania podatnościami i łatami bezpieczeństwa
4.2. Postępowanie z incydentami
Procedury wykrywania i reagowania
- System monitoringu bezpieczeństwa działający 24/7
- Zdefiniowane procedury eskalacji incydentów
- Zespół reagowania na incydenty (CSIRT wewnętrzny lub zewnętrzny)
- Plany działania dla różnych kategorii incydentów
Zgłaszanie incydentów (zgodnie z NIS 2)
- Wczesne ostrzeżenie: w ciągu 24 godzin od wykrycia
- Raport właściwy: w ciągu 72 godzin z oceną istotności i działaniami podjętymi
- Raport końcowy: w ciągu miesiąca z szczegółową analizą i wnioskami
- Zgłoszenia kierowane są do właściwego CSIRT sektorowego i organów właściwych
4.3. Ciągłość działania i odzyskiwanie po incydentach
Zgodnie z ISO 22301, organizacja wdraża:
Zarządzanie Ciągłością Działania (BCM)
- Analiza wpływu na działalność (BIA) dla procesów krytycznych
- Określenie celów czasowych: RTO (Recovery Time Objective) i RPO (Recovery Point Objective)
- Strategie ciągłości dopasowane do krytyczności procesów
- Plany Ciągłości Działania dla funkcji krytycznych
Odzyskiwanie po awarii
- Plan Odzyskiwania po Awarii (DRP) dla systemów IT
- Procedury tworzenia i testowania kopii zapasowych
- Systemy rezerwowe i mechanizmy redundancji
- Regularne testy i ćwiczenia odzyskiwania
4.4. Bezpieczeństwo łańcucha dostaw
Organizacja zarządza ryzykiem dostawców poprzez:
- Due diligence dostawców krytycznych usług i komponentów
- Umowy zawierające wymogi cyberbezpieczeństwa
- Okresowe audyty bezpieczeństwa u kluczowych dostawców
- Monitorowanie zależności i planowanie alternatyw
- Uwzględnienie ryzyka geopolitycznego i koncentracji dostawców
4.5. Bezpieczeństwo w cyklu życia systemów (SDLC)
Bezpieczny rozwój
- Uwzględnienie bezpieczeństwa już w fazie projektowania (Security by Design)
- Cykl życia rozwoju oprogramowania (SDLC) z wbudowanym bezpieczeństwem
- Testy bezpieczeństwa i przeglądy kodu
- Zarządzanie konfiguracją i kontrola zmian
Zarządzanie podatnościami
- Regularne skanowanie podatności
- Proces zarządzania łatami z określonymi SLA
- Mechanizmy patch management dla systemów krytycznych
- Monitorowanie biuletynów bezpieczeństwa
4.6. Polityki i procedury oceny efektywności środków
Organizacja regularnie ocenia skuteczność wdrożonych środków poprzez:
- Wewnętrzne audyty SZBI (minimum raz w roku)
- Testy penetracyjne i oceny podatności (zgodnie z harmonogramem ryzyka)
- Wskaźniki wydajności bezpieczeństwa (KPI/KRI)
- Przeglądy zarządcze systemu
- Zewnętrzne audyty certyfikacyjne (ISO 27001)
4.7. Praktyki z zakresu cyberhigieny i szkolenia
Szkolenia obligatoryjne
- Szkolenie wprowadzające dla wszystkich nowych pracowników
- Szkolenia odświeżające minimum raz w roku
- Szkolenia specjalistyczne dla zespołów IT i bezpieczeństwa
- Kampanie podnoszenia świadomości (phishing simulations, newslettery)
Podstawowe praktyki cyberhigieny
- Silne uwierzytelnianie wieloskładnikowe (MFA)
- Polityka silnych haseł i zarządzanie hasłami
- Zasada najmniejszych uprawnień (Least Privilege)
- Bezpieczna konfiguracja urządzeń i aplikacji
- Regularne aktualizacje oprogramowania
4.8. Polityki i procedury dotyczące kryptografii
Organizacja stosuje mechanizmy kryptograficzne:
- Szyfrowanie danych w tranzycie (TLS 1.2+, VPN)
- Szyfrowanie danych w spoczynku dla informacji wrażliwych
- Bezpieczne zarządzanie kluczami kryptograficznymi
- Stosowanie algorytmów zgodnych z rekomendacjami ENISA i BSI
- Podpisy elektroniczne dla integralności danych
4.9. Bezpieczeństwo kadr, kontrola dostępu i zarządzanie aktywami
Bezpieczeństwo zasobów ludzkich
- Weryfikacja przeszłości dla stanowisk krytycznych
- Umowy z klauzulami poufności (NDA)
- Proces onboardingu i offboardingu z kontrolą dostępu
- Procedury bezpiecznego rozwiązywania współpracy
Zarządzanie dostępem
- Formalne procedury nadawania, modyfikacji i odbierania uprawnień
- Regularne przeglądy uprawnień (minimum kwartalnie)
- Silne uwierzytelnianie dla dostępu zdalnego i uprzywilejowanego
- Segregacja obowiązków dla funkcji krytycznych
Zarządzanie aktywami
- Rejestr wszystkich aktywów informacyjnych
- Właściciele aktywów i odpowiedzialność
- Klasyfikacja aktywów według krytyczności i wrażliwości
- Cykl życia aktywów od nabycia do bezpiecznej utylizacji
4.10. Uwierzytelnianie wieloskładnikowe i komunikacja szyfrowana
Wymogi MFA
- Obowiązkowe MFA dla dostępu zdalnego
- MFA dla kont uprzywilejowanych
- MFA dla dostępu do systemów przetwarzających dane wrażliwe
- Stosowanie rozwiązań zgodnych ze standardami (FIDO2, TOTP)
Zabezpieczenia komunikacji
- Szyfrowana poczta elektroniczna dla danych wrażliwych
- Bezpieczne kanały komunikacji wewnętrznej
- Zabezpieczone połączenia VPN dla dostępu zdalnego
- Polityka dopuszczalnych narzędzi komunikacji
5. Bezpieczeństwo fizyczne i środowiskowe
5.1. Obszary bezpieczne
Organizacja zabezpiecza pomieszczenia krytyczne poprzez:
- Kontrolę dostępu fizycznego (karty, biometria)
- Monitoring wizyjny w strefach krytycznych
- Rejestrację wejść/wyjść dla pomieszczeń serwerowni
- Ochronę przed zagrożeniami środowiskowymi (pożar, zalanie)
5.2. Zasilanie i infrastruktura
- Systemy UPS dla infrastruktury krytycznej
- Agregaty prądotwórcze dla długotrwałych awarii
- Systemy klimatyzacji i kontroli temperatury
- Ochrona przed przepięciami i zakłóceniami
6. Zgodność z wymogami prawnymi i regulacyjnymi
6.1. Obowiązki wynikające z NIS 2
Organizacja jako podmiot spełnia wszystkie wymogi dyrektywy NIS 2:
- Wdrożenie środków zarządzania ryzykiem (art. 21)
- Zgłaszanie incydentów istotnych
- Rejestracja w krajowym systemie cyberbezpieczeństwa
- Współpraca z organami właściwymi i CSIRT sektorowymi
- Odpowiedzialność członków zarządu za cyberbezpieczeństwo
6.2. Ochrona danych osobowych (RODO)
Organizacja zapewnia zgodność z RODO poprzez:
- Politykę Ochrony Danych Osobowych
- Powołanie Inspektora Ochrony Danych
- Procedury realizacji praw osób, których dane dotyczą
- Oceny skutków dla ochrony danych (DPIA)
- Zgłaszanie naruszeń ochrony danych osobowych
6.3. Inne wymogi regulacyjne
Organizacja identyfikuje i spełnia wymogi branżowe i sektorowe, w tym:
- Regulacje sektorowe (bankowe, energetyczne, telekomunikacyjne itp.)
- Normy bezpieczeństwa specyficzne dla branży
- Wymogi kontraktowe klientów i partnerów
- Certyfikacje i akredytacje
7. Monitorowanie, pomiar i doskonalenie
7.1. Wskaźniki wydajności
Organizacja monitoruje skuteczność SZBI poprzez wskaźniki:
- Liczba i kategorie wykrytych incydentów
- Czas wykrycia i reakcji na incydenty (MTTD, MTTR)
- Pokrycie zasobów kopią zapasową i testy odzyskiwania
- Udział pracowników w szkoleniach
- Wyniki audytów i testów penetracyjnych
- Poziom podatności krytycznych i czas ich usuwania
7.2. Audyt wewnętrzny
- Program audytów wewnętrznych zgodny z ISO 19011
- Audyty planowane na podstawie statusu i ważności obszarów
- Niezależność audytorów wewnętrznych
- Działania korygujące dla niezgodności
7.3. Przegląd zarządczy
Zarząd przeprowadza przeglądy SZBI minimum raz w roku, oceniając:
- Wyniki audytów i ocen zgodności
- Status działań korygujących
- Wyniki wskaźników wydajności
- Zmiany w kontekście wewnętrznym i zewnętrznym
- Możliwości ciągłego doskonalenia
- Adekwatność zasobów
8. Postanowienia końcowe
8.1. Odpowiedzialność
Każdy pracownik i współpracownik jest odpowiedzialny za przestrzeganie niniejszej Polityki. Naruszenie Polityki może skutkować:
- Konsekwencjami dyscyplinarnymi
- Rozwiązaniem umowy o pracę/współpracę
- Odpowiedzialnością cywilną lub karną (w zależności od charakteru naruszenia)
8.2. Wyjątki od Polityki
Wyjątki od zasad określonych w Polityce wymagają:
- Formalnego wniosku z uzasadnieniem
- Zatwierdzenia przez Pełnomocnika ds. Bezpieczeństwa Informacji i właściciela ryzyka
- Dokumentacji ryzyka resztkowego i środków kompensacyjnych
- Okresowego przeglądu (minimum rocznie)
8.3. Aktualizacja Polityki
Polityka podlega przeglądowi i aktualizacji:
- Co najmniej raz w roku
- W przypadku istotnych zmian w organizacji, technologii lub regulacjach
- Po poważnych incydentach bezpieczeństwa
- Na podstawie wniosków z audytów i przeglądów
8.4. Komunikacja i dostępność
- Polityka jest dostępna dla wszystkich pracowników w intranecie
- Niniejsza wersja publiczna jest publikowana na stronie internetowej organizacji
- Polityka jest komunikowana w ramach szkoleń i programów świadomości
- Pytania i wątpliwości dotyczące Polityki należy kierować do Pełnomocnika ds. Bezpieczeństwa Informacji
9. Dokumenty powiązane
- Polityka Ochrony Danych Osobowych
- Polityka Kontroli Dostępu
- Polityka Akceptowalnego Użytkowania
- Procedura Zgłaszania i Obsługi Incydentów
- Plan Ciągłości Działania
- Plan Odzyskiwania po Awarii
- Procedura Zarządzania Ryzykiem
- Polityka Klasyfikacji Informacji
- Instrukcje techniczne i operacyjne
Z uwagi na bezpieczeństwo informacji nie udostępniamy publicznie pełnego wykazu dokumentów SZBI.
10. Kontakt
W przypadku pytań dotyczących Polityki Bezpieczeństwa Informacji lub w celu zgłoszenia incydentu, prosimy o kontakt z odpowiednim działem.
Pytania dotyczące Polityki Bezpieczeństwa Informacji, wdrożenia SZBI i zgodności z NIS 2
Natychmiastowe zgłaszanie incydentów bezpieczeństwa i podejrzanych zdarzeń
Prezes Zarządu • Data: 03.10.2025
Dokument niniejszy został opracowany zgodnie z wymogami Dyrektywy NIS 2 (UE) 2022/2555, norm ISO/IEC 27001:2022 oraz ISO 22301:2019, wytycznych ENISA oraz projektu polskiej ustawy o krajowym systemie cyberbezpieczeństwa implementującej NIS 2.
Wersja publiczna – dokument nie zawiera informacji mogących zagrozić bezpieczeństwu organizacji.