Информационна сигурност и околна среда

Медико ЕООД работи по проект 3МС-02-26/01.06.2011

 „Повишаване на конкурентоспособността на Медико ЕООД чрез внедряване на международно признати стандарти”,

по ОП „Развитие на конкурентноспособността на Българската икономика 2007-2013 г.”, Операция „Покриване на международно признати стандарти”.

Дейност 1: Разработване и внедряване на система за

управление на информационната сигурност и система за управление на околната среда.

Разработeна е система за управление на информационната сигурност и система за управление на околната среда

  • Определен е екип от страна на Медико ЕООД, срокове, ресурси за участие в разработването, методи и форми на комуникация;
  • Извършена е диагностика на съществуващата система за управление за съответствие на съществуващите управленски практики с изискванията на ISO 14001:2004 и ISO 27001:2005;
  • Обучено е ръководството и екипите за изискванията на стандартите;
  • Приета е методика и е извършена идентификация на аспектите и оценка на въздействието върху околната среда;
  • Приета е методика и е извършена оценка на риска на информационните активи;

Внедрена е система за управление на информационната сигурност и система за управление на околната среда

  • Разработен е Наръчник, документирани процедури и други документи;
  • Проведено е обучение на персонала за системата за управление;

Проверена е системата за управление на информационната сигурност и системата за управление на околната среда.

  • Извършен е вътрешен одит и преглед от ръководството

Резултат от дейността:

  • Проведена е процедура за избор на изпълнител за предоставяне на консултантска услуга;
  • Подписан е договор № BG161PO0003-2.1.08-0051-C0001-Sе-02/02.08.2011 г. със „Стоун Компютърс” АД за консултантска помощ за разработване и внедряване на система за управление на околната среда (ISO 14001:2004) и система за управление на информационната сигурност (ISO 27001:2005) в Медико ЕООД.
  • Разработени са и са внедрени за ползване комплект документи на система за управление на околната среда (ISO 14001:2004) и за система за управление на информационната сигурност (ISO 27001:2005);
  • Проведени са  еднодневни обучения на персонала;
  • Проведен един вътрешен одит и един преглед от ръководството;

Дейност 2: Доставка и инсталиране на оборудване

 Доставено и е инсталирано – оборудване: Сървърна компютърна система и Мрежови мултифункционален център с доставчик „Вали компютърс” ООД по Договор № BG 161PO003-2.1.08-0051-CO001-SU -01/09.09.2011 г. ;




Дейност 3: Доставка и инсталиране на програмен продукт за фирмена информационна система

Резултат от дейността:

  • Подписан договор за доставка на  програмен продукт $ Фирменна информационна система по Договор № BG 161PO003-2.1.08-0051-CO001-SU -01/09.09.2011 г. с „Вали компютърс” ООД;
  • Доставено е оборудването – програмен продукт и е проведено обучение на служители за работа с програмния продукт;

Със закупуването и внедряването на предложеното оборудване (сървърна компютърна система и мрежови мултифункционален център) и софтуер (програмен продукт за фирмена информационна система) Медико ЕООД  има възможност да преодолее съществуващи проблеми и по най-ефективен начин са осигури изискванията на ISO 27001:2005, а именно:

  • Осигуряване на поверителността, целостта и наличността на информацията за клиентите, доставчиците, фирмата при  обработка, обмен и съхраняване на информация;
  • Реализиране на политика за предлагане на електронни надеждни услуги;
  • Осигуряване на възможност за резервни копия на информацията и по този начин гарантиране на нейната цялост и наличност;
  • Гарантиране на сигурността на информационните носители и на електронните офис системи;
  • Осигуряване на контрол на вътрешната обработка на информация.
  • Гаранция, че пробивите в сигурността и загубите и компрометирането на информация ще са намалени до минимум;
  • Създаване на възможности за непрекъснато предоставяне на услугите без грешки и загуба на информация;

Дейност 4: Сертификация на системата за управление на околната среда и системата за управление на информационната сигурност за съответствие с ISO 14001:2004 и ISO 27001:2005.

 Подписан е договор №BG161PO003-2.1.08-3MC-02-26-Se-03/06.02.2012 г. с „Тюф Норд България ЕООД, за предоставяне на услуга: акредитирана сертификация на система за управление на околната среда и система за управление на информационната сигурност. 

  • Сертификацията на системата за управление на околната среда и системата за управление на информационната сигурност се извърши в съответствие с правилата на акредитирания орган по сертификация.
  • Органът по сертификация осигури квалифицирани одитори и съответните акредитирани процедури и документи за планиране, провеждане и докладване на етап 1 и етап 2 на сертификационния одит;
  • Органът по сертификация  осигури и прегледа  резултатите. Взе решение за сертификация и издаване на сертификати за съответствие; 
  1. Резултат от дейността:
  • Проведен е сертификационен одит на два етапа (етап 1 и етап 2)
  • Издадени сертификати за съответствие с ISO 14001:2004 и ISO 27001:2005

ПОЛИТИКА ПО ОКОЛНА СРЕДА

Ръководството на Медико ЕООД разбира, че дейностите на всяка организация оказват пряко и непряко влияние върху околната среда, и затова се ангажира да подобрява въздействието си върху околната среда чрез по-добро управление и прилагането на най-добрите бизнес практики.

Като част от този ангажимент компанията е внедрила система за управление на околната среда в съответствие с изискванията на ISO 14001:2004. Медико ЕООД се ангажира непрекъснато да подобрява внедрената система за управление на околната среда и да предотвратява замърсяването. Ръководството на Медико ЕООД гарантира, че в компанията се спазват всички приложими нормативни и други изисквания, свързани с управлението на околната среда.

От служителите на Медико ЕООД се очаква да подкрепят системата за управление на околната среда като спазват всичките и изисквания и насърчават непрекъснатото подобряване чрез предотвратяване на замърсяването и вредите за околната среда.

ПОЛИТИКА ПО ИНФОРМАЦИОННА СИГУРНОСТ

            Ръководството на „МЕДИКО” ЕООД определя Политиката по ИС, която е в съответствие с целите на организацията и съдържа неговата ангажираност за непрекъснато подобряване на сигурността на информацията, изпълнение на изискванията на регулиращите органи, клиентите и изискванията към продуктите и услугите. То осигурява Политиката по ИС да бъде разгласена и разбрана от персонала, клиентите (физически и юридически лица), доставчиците и всички други заинтересовани лица и регулиращи органи.

За да осигури съответствие на Политиката по ИС, с изискванията на ISO 27001:2005, ръководството на организацията:
1. Определя областта на приложение на (СУИС).
2. Определя политиката и препоръчителните практики за управление на ИС по отношение на характеристиките на дейността на „МЕДИКО” ЕООД, нейното разположение, активи и технология, която:
• включва рамка за поставяне на целите и установяване на общо чувство за ориентация и принципи за действие по отношение на ИС;
• взема предвид административни, законодателни или нормативни изисквания и договорните задължения за сигурността;
• установява стратегическия организационен контекст и контекста на управление на риска, в който ще се осъществи установяването и поддържането на СУИС;
• установява критерии, спрямо които ще бъде оценен рискът и ще бъде определена структурата на определяне на риска;
• е утвърдена от Ръководството.

3. Определя системен подход за определяне на риска, който е подходящ за СУИС и определеното ниво на сигурност на информацията, законодателните и нормативните изисквания. Определя политика и цели на СУИС за намаляване на риска до приемливи нива. Определя критерии за приемане на рисковете и дефинира приемливите нива на риска;
4. Прилага модела „Планиране-Изпълнение-Проверка-Действие“ (ПИПД), който се използва за всички процеси в рамките на СУИС.

5. Идентифицира рисковете
• Определя активите и собствениците на тези активи;
• Идентифицира заплахите за тези активи;
• Идентифицира уязвимите места, които могат да бъдат използвани от заплахите;
• Идентифицира въздействията, които загубите могат да имат върху активите.

6. Анализира и оценява рисковете
• Оценява вредите за бизнес процесите, които могат да се получат от пробив в сигурността, като се вземат предвид потенциалните последици;
• Оценява реалистичната вероятност от такова настъпване на пробив в сигурността в светлината на преобладаващите заплахи и уязвими места и въздействията, свързани с тези активи и средствата за контрол, които са въведени понастоящем;
• Оценява нивата на рисковете;
• Оценява и дефинира дали рискът е приемлив или изисква намаляване, като се използват съответните контроли и мерки за сигурност.

7. Идентифицира и оценява възможните алтернативи за намаляване (въздействие) на риска. Възможните действия включват:
• Прилагане на подходящи механизми за контрол;
• Познаване, съзнателно и обективно приемане на рисковете, при положение че те ясно удовлетворяват политиката на организацията и критериите за приемане на риск;
• Избягване на рисковете;
• Прехвърляне на асоциираните бизнес рискове на други страни, например на застрахователи, охранители, доставчици.

8. Избора на целите и механизмите за контрол и средствата за контрол на намаляването на рисковете.

– Ръководството одобрява предложените остатъчни рискове от KИС.
– KИС получава официалното разрешение от Ръководството за внедряване и действие на СУИС.
– KИС разработва Декларация за приложимост, която включва:
• Целите по контрола и механизмите за контрол и причините за техния избор;
• Внедрените в момента цели по контрола и механизми за контрол
• Изключенията на някои от целите по контрола или някои от механизмите за контрол, както и документирана обосновка за тяхното изключване.

С разработването и приемането на Политиката по ИС, Ръководството на „МЕДИКО” ЕООД се стреми:
• да определи основната и стратегическа цел за защита на всички процеси на организацията;
• да определят най-подходящите и полезни насоки за развитие на ИС за организацията;
• да създаде основата за формирането на точни, ясни и полезни цели по сигурността,
• да ангажира усилията на всички служители за постигане на набелязаните цели.

За постигането на тези свои намерения Ръководството се ангажира:
• да разгласява и разяснява основната идея на политиката по ИС, с оглед постигане на нужната мотивация и ангажираност на всеки служител, за нейната реализация,
• да оценява трайния ефект от изпълнението на приетата политика по ИС от гледна точка на постигане на очакваните резултати.

ISO/IEC 27001:2005 – Система за управление на информационната сигурност – Управление на информационни активи във връзка с консултации по управление на риска на работните места; наблюдение, регистриране и анализ на здравният статус на работещите; обучение по правилата за опадване на здравето и безопасността при работа.
Сертификат № 44 100 120573/ 05.04.2012 г. валиден до 04.04.2015 г. -Издадено от Тюф Норд България ЕООД.
Сертификат ISO 14001EN ISO/ 14001:2004 – Система за управление на околната среда  – Консултации по уравление на риска по работните места; наблюдение, регистриране и анализ на здравният статус на работещите; консултации по правилата за опазване на безопасността и здравето при работа.Сертификат №44 104 120572/ 21.04.2012 г. валиден до 20.04.2015 г. -Издадено от Тюф Норд България ЕООД.