Budimex.pl
 
Nachhaltigkeit
Sicherheitsrichtlinie für Informationssysteme für Lieferanten von Budimex S.A.
 

Sicherheitsrichtlinie für Informationssysteme für Lieferanten von Budimex S.A.

1. ZWECK 
 

Der Zweck dieses Dokuments ist es, allen Lieferanten, die ihre Dienstleistungen für Budimex S.A. erbringen (und deren Mitarbeitern), die Pflichten und Verantwortlichkeiten in Bezug auf den Schutz der Informationsbestände mitzuteilen, zu denen der Lieferant Zugang hat und die im Rahmen der erbrachten Dienstleistung verarbeitet werden.

 

2. UMFANG
 

Das vorliegende Dokument ist eine Sicherheitsrichtlinie für Informationssysteme, die von den Lieferanten von Budimex S.A. befolgt werden muss, nachstehend als Richtlinie bezeichnet.
Die hierin enthaltenen Bestimmungen regeln zwei grundlegende Bereiche des Informationsschutzes:
• Dienstleistungen, die der Lieferant auf der Grundlage der von Budimex beauftragten Informationssysteme und/oder der mit der IT-Infrastruktur von Budimex verbundenen Informationssysteme erbringt. 
• Dienstleistungen, die der Lieferant auf der Grundlage seiner eigenen Informationssysteme erbringt, wobei die verarbeiteten Daten entweder Eigentum von Budimex sind oder von Budimex geschützt werden (z.B. personenbezogene Daten der Mitarbeiter von Budimex)


3. VERANTWORTUNG

 

Budimex S.A. unternimmt alle Anstrengungen, um sicherzustellen, dass das Unternehmen effizient und sicher geführt wird, um die Bedürfnisse der Kunden, der Interessengruppen und der Mitarbeiter des Unternehmens in höchstem Maße zu erfüllen. Diese besondere Sorgfalt der Unternehmensleitung zeigt sich in der Minimierung des operationellen Risikos durch die Gewährleistung eines angemessenen Sicherheitsniveaus bei der Verarbeitung der Informationswerte. Zu diesem Zweck hat die Geschäftsführung von Budimex S.A. beschlossen, Regelungen zur Informationssicherheit einzuführen.
Das vorliegende Dokument ist ein Ausdruck der Absicht, die Sicherheit der Informationswerte zu gewährleisten, indem die Richtlinie für die Informationssicherheit für die Werte, die den Lieferanten von Budimex zugänglich gemacht und von ihnen verarbeitet werden, umgesetzt wird.

 

4. DEFINITIONEN
 

Informationswerte – Informationen und Systeme, Infrastruktur, Geräte und Software, die für die Informationsverarbeitung verwendet werden.
Informationssicherheit – gesicherte Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten.
Personenbezogene Daten – alle Informationen, die sich auf eine Person beziehen, deren Identität entweder bekannt ist oder direkt oder indirekt festgestellt werden kann.
Informationssicherheitsvorfall – ein unerwünschtes Ereignis oder eine Reihe von Ereignissen, die wahrscheinlich zu einer Unterbrechung des Geschäftsbetriebs führen und Auswirkungen auf die Sicherheit von Informationswerten haben können.
Informationen – alle Informationen, unabhängig von ihrer Form, d.h. in elektronischer Form, in Papierform oder mündlich übermittelt.
Verschlusssache – der Begriff ist im Gesetz vom 5. August 2010 über den Schutz von Verschlusssachen definiert. Er steht für Informationen, die als Staats- oder Berufsgeheimnis vor unbefugter Weitergabe geschützt werden müssen, unabhängig davon, wie sie ausgedrückt werden.
Informationsverarbeitung – jeder Prozess, dem eine Information unterworfen sein kann, sei es das Erstellen, Sammeln, Aufzeichnen, Speichern, Lesen, Ändern, Offenlegen, Löschen usw. 
Benutzer – jeder, der Zugang zu den Informationsbeständen von Budimex hat; dazu gehören Mitarbeiter, Zeitarbeiter, Berater, Auszubildende, Kunden usw.


5. BESCHREIBUNG DES VERFAHRENS – ALLGEMEINE REGELN


5.1 Einhaltung der Richtlinie 
5.1.1 Die Richtlinie ist Teil der Regeln und Verfahren, die die Beziehungen zwischen den Parteien regeln. Die Richtlinie wird in regelmäßigen Abständen überprüft. Die Einhaltung der Richtlinie ist eine Voraussetzung für die Erbringung einer vertragsgemäßen Leistung.


5.2 Einhaltung der Gesetze 
5.2.1 Die Parteien sind verpflichtet, die für die Informationstechnologie geltenden Gesetze und Vorschriften einzuhalten.
5.2.2 Jede Nutzung der Ressourcen der Informationssysteme, die zu einer Verletzung der Rechte an geistigem Eigentum führt, ist strengstens untersagt.
5.2.3 Jede Softwareinstallation oder sonstige Datenspeicherung in dem von Budimex zur Verfügung gestellten Informationssystem, die auf eine Art und Weise erlangt wurde, die Budimex nicht zu einem autorisierten Benutzer macht, stellt eine Verletzung der Richtlinie dar.


5.3 Eigentumsrechte und Schutz von in elektronischer Form gespeicherten Informationen.
5.3.1 Die Daten und Informationen, die in den Informationssystemen von Budimex gespeichert, verarbeitet und/oder übertragen werden, werden ständig überwacht. Dazu gehören die Erfassung, Überwachung, Eingabe in einen Ereignisspeicher und Kontrolle der Daten. Diese ständige Überwachung hat zum Ziel, die Interessen von Budimex und des Lieferanten zu schützen.
5.3.2 Die Daten und Informationen sind Eigentum von Budimex oder des Lieferanten und es ist eine ähnliche Sorgfalt erforderlich wie bei jedem anderen Firmeneigentum.
5.3.3 Die sich auf Budimex beziehenden Daten und Informationen, die in irgendeiner Form oder im Informationssystem gespeichert sind, können nicht ohne Genehmigung entfernt werden. Eine Löschung/Vernichtung kann nur mit vorheriger Zustimmung und in einer mit dem Dateninhaber vereinbarten Weise erfolgen.
5.3.4 Die dem Lieferanten anvertrauten oder im Rahmen der für Budimex erbrachten Dienstleistung erzeugten Daten und Informationen sowie diejenigen Daten, die sich unter der Kontrolle des Lieferanten befinden, müssen vom Lieferanten mit den zur Verfügung stehenden Mitteln ordnungsgemäß gegen Zerstörung, Beschädigung und unbefugten Zugriff geschützt werden.
5.3.5 Der Lieferant muss sicherstellen, dass jederzeit angemessene Schutzmechanismen für die unter seiner Kontrolle befindlichen Systeme und die darin enthaltenen Daten/Informationen eingesetzt werden. Der Lieferant trägt die volle Verantwortung dafür, dass regelmäßig Sicherungskopien der auf der mobilen IT-Ausrüstung gespeicherten Budimex-Daten erstellt werden. Die Daten und Informationen werden auf der mobilen IT-Ausrüstung in einem minimalen Umfang und nur für die Zeit gespeichert, die zur Erledigung des Leistungsumfangs erforderlich ist. Wenn möglich, sollten die Daten auf den Netzlaufwerken gespeichert werden.
5.3.6 Die mobile IT-Ausrüstung, die die wichtigen Daten und/oder Verschlusssachen in Bezug auf Budimex trägt, muss mit einer von den Parteien genehmigten Datenschutztechnologie gegen unbefugten Zugriff ausgestattet sein.
5.3.7 Keine Daten, die im Besitz von Budimex sind, können ohne schriftliche Zustimmung in einem Gerät verarbeitet oder gespeichert werden, das nicht im Besitz von Budimex ist (z.B. in einem Heimcomputer).
5.3.8 Der Zeitraum und die Art und Weise, wie die elektronischen Daten im Informationssystem gespeichert werden, müssen mit den für das jeweilige System angenommenen Annahmen übereinstimmen (Aufbewahrungszeit für Dokumente).
5.3.9 An das Informationssystem von Budimex dürfen keine Geräte angeschlossen werden, die nicht von Budimex genehmigt sind. Der Anschluss von Firmen- oder privaten Mobiltelefonen an die Informationssysteme von Budimex ist strengstens verboten.
5.3.10 Es dürfen keine geheimen oder vertraulichen Daten über das Internet verschickt werden. Die über das Internet empfangenen oder gesendeten wichtigen Informationen (die weder geheim noch vertraulich sind), müssen gemäß den Richtlinien der bestehenden Sicherheitsrichtlinie verschlüsselt werden.

 
6. BESCHREIBUNG DES VERFAHRENS - REGELN FÜR DIE VON BUDIMEX MIT DEM LIEFERANTEN GEMEINSAM GENUTZTEN SYSTEME


6.1 Für Geschäftszwecke verwendete IT-Technologie  

6.1.1 Die Mitarbeiter des Lieferanten, die Benutzer der von Budimex zur Verfügung gestellten Informationssysteme sind, können diese Ressourcen gelegentlich für ihre privaten Zwecke nutzen, jedoch darf diese Art der Nutzung niemals ihre geschäftlichen Pflichten beeinträchtigen und in keiner Weise im Widerspruch zu den Interessen von Budimex stehen.
6.1.2 Jegliche Nutzung der von Budimex zur Verfügung gestellten Ressourcen des Informationssystems für eine gewinnbringende Tätigkeit, die mit einem anderen Unternehmen als Budimex verbunden ist, ist ausgeschlossen.

 

6.2 Kontrolle des Zugangs zu Informationen aus elektronischen Quellen.
6.2.1 Die Zugangskontrolle zu den in den Informationssystemen von Budimex gespeicherten Daten ist obligatorisch. Benutzern wird der Zugriff auf jedes System im für die jeweilige Aufgabe erforderlichen Umfang gewährt.
6.2.2 Der Zugang erfolgt über eine individuelle Kennung und ein Passwort, um den Benutzer im Informationssystem eindeutig zu identifizieren und vor einem unberechtigten Zugriff zu schützen.
6.2.3 Die Passwörter werden nach spezifischen Regeln erstellt, die die Anzahl der Zeichen, die interne Struktur und die Häufigkeit der Änderung festlegen.
6.2.4 Passwörter sind geheim zu halten und dürfen nicht an Dritte weitergegeben werden. Sollte ein im Auftrag des Lieferanten handelnder Nutzer sein Passwort an eine dritte Person weitergeben, bleibt der Lieferant in vollem Umfang für die Integrität und Vertraulichkeit der anvertrauten Daten verantwortlich. Der Passwortschutz liegt immer im Interesse sowohl von Budimex als auch des Lieferanten.
6.2.5 Ein Benutzer, dessen Kennung und Passwort für einen unbefugten Zugang zum Informationssystem verwendet wurde, gilt als unbefugter Benutzer des Informationssystems.
6.2.6 Verlässt ein Benutzer vorübergehend seinen Arbeitsplatz, so ist sein Computer zu sperren (z. B. bei Windows-Betriebssystemen mit der Tastenkombination STRG-ALT-Entf + EINGABE), um eine unbefugte Nutzung durch Dritte zu verhindern.
6.2.7 Für die Aufnahme neuer Benutzer in das Informationssystem ist eine vorherige Zustimmung von Budimex erforderlich.
6.2.8 Budimex ändert das Benutzerpasswort nur auf Antrag der berechtigten Person; ein altes Passwort wird nicht bekannt gegeben.
6.2.9 Jegliche Nutzung der Informationssysteme, die im Besitz von Budimex oder von Dritten sind, ist ohne vorherige Zustimmung einer zur Erteilung von Genehmigungen in dieser Hinsicht befugten Person nicht gestattet.

 

6.3 Schutz der gemeinsamen Ressourcen des Informationssystems 
6.3.1 Es ist dem Lieferanten nicht gestattet, die im Eigentum von Budimex stehende IT-Ausrüstung zu verändern, z.B. durch das Installieren von Hardwareteilen oder Software oder auf andere Weise, ohne vorherige schriftliche Genehmigung durch einen zuständigen Verantwortlichen von Budimex.
6.3.2 Der Lieferant ist verpflichtet, die ihm von Budimex anvertraute Ausrüstung mit der gebotenen Sorgfalt zu behandeln. Er ist verpflichtet, sie insbesondere vor Diebstahl zu schützen, deren Transport- und Handhabungsschäden zu vermeiden, sie bei der richtigen Temperatur zu lagern und keinen starken Magnetfeldern oder ungünstigen Witterungsbedingungen auszusetzen.
6.3.3 Besondere Sorgfalt ist auf den Umgang mit austauschbaren Datenträgern (z. B. CD-ROM etc.) anzuwenden, die außerhalb des Informationssystems von Budimex erstellt oder extern verwendet werden. In der Ausrüstung von Budimex dürfen keine Medien aus ungeprüfter oder unbekannter Quelle verwendet werden. Jegliches Material dieser Art muss zuerst auf Viren gescannt und/oder vom IT-Büro von Budimex getestet werden.
6.3.4 Die Installation von Software auf den Computern von Budimex wird ausschließlich von Budimex durchgeführt. Die Installation legaler Software für den Unternehmensgebrauch durch Personen, die keine Mitarbeiter von Budimex sind, erfordert eine schriftliche Zustimmung von Budimex.
6.3.5 Jegliche Installation und/oder Nutzung privater Software auf der von Budimex überlassenen IT-Ausrüstung ist verboten.
6.3.6 Auf den Computern von Budimex muss immer ein Virenschutz vorhanden sein, der durch die neueste Version der von Budimex gelieferten Antivirensoftware gewährleistet wird. Die Virenschutzhinweise von Budimex sind stets zu beachten. Dazu gehören auch Fälle möglicher Virenbeseitigung, die das Informationssystem von Budimex infizieren könnten. Sollte eine ungewöhnliche Aktivität der Antivirensoftware festgestellt werden, muss der Benutzer das IT-Büro von Budimex sofort darüber informieren.
6.3.7 Alle festgestellten Bedrohungen, Verletzungen und Schwächungen der Sicherheit der Informationssysteme oder der Betrieb von Software, die von Budimex nicht autorisiert wurde (Sicherheitsvorfälle), müssen unverzüglich dem IT-Büro von Budimex gemeldet werden.

 

6.4 Elektronische Nachrichtenübermittlung 
6.4.1 Das Unternehmensmailsystem von Budimex, das den Benutzern, die unter der Verantwortung des Lieferanten handeln, zur Verfügung gestellt werden kann, ist ein anerkanntes Kommunikationsmittel in der Gesellschaft Budimex und wird als offizielle Mail betrachtet.
6.4.2 Jeder Benutzer, der unter der Verantwortung des Lieferanten handelt, darf in seinen elektronisch verbreiteten Nachrichten keine privaten Ansichten und Urteile, sondern nur die Position von Budimex darstellen.
6.4.3 Auf den von Budimex zur Verfügung gestellten Computern dürfen nur die von Budimex genehmigten Lösungen für den elektronischen Nachrichtenaustausch verwendet werden.
6.4.4 Auf den von Budimex zur Verfügung gestellten Computern dürfen keine externen Webdienste (z.B. Hotmail, Yahoo, WP, ONET, Webchats, Instant Messaging usw.) genutzt werden. 
6.4.5 Zur Verhinderung jeglicher Aktivität von Malware (z.B. Viren), die das Budimex-Informationssystem infizieren kann, müssen unerwartete Nachrichten einschließlich ihrer Anhänge von einem unbekannten Absender sofort entfernt werden. Kein Anhang einer solchen Nachricht kann geöffnet werden.
6.4.6 Der Umlauf einer E-Mail-Nachricht im Unternehmensmailsystem von Budimex ist auf die Empfänger zu beschränken, die die Nachricht kennen müssen, bzw. auf die Empfänger, die direkt an deren Verdienst beteiligt sind. Mailinglisten sollten nicht verwendet werden, es sei denn, alle Empfänger erfüllen die oben genannten Kriterien..
6.4.7 Große Anhänge von Nachrichten, die über Mailinglisten an eine große Anzahl von Empfängern verteilt werden, sind im Budimex-Unternehmensmailsystem zu vermeiden. Die von Budimex gelieferte Komprimierungssoftware ist zu verwenden, um die Größe von großen Anhängen zu begrenzen, und/oder es sind stattdessen mehrere Nachrichten zu versenden.
6.4.8 Die Größe eines Firmenpostfachs ist begrenzt. Ein Benutzer, der unter der Verantwortung des Lieferanten handelt, ist verpflichtet, veraltete Nachrichten regelmäßig zu löschen.

 

6.5 Internet 
6.5.1 Es kann sich als notwendig erweisen, dem Lieferanten einen Internetzugang zur Verfügung zu stellen, damit die vertragsgegenständlichen Leistungen von Budimex ordnungsgemäß unterstützt werden können. Der Zugang unterliegt jedoch bestimmten Beschränkungen, die durch die Richtlinie der Informationssicherheit von Budimex SA festgelegt sind. Der Internetzugang mit der Ausrüstung und/oder über die von Budimex bereitgestellte Infrastruktur ist nur mithilfe der von Budimex bereitgestellten und genehmigten Lösungen erlaubt. 
6.5.2 Ein Benutzer, der unter der Verantwortung des Lieferanten handelt, kann die ihm anvertraute Ausrüstung unter keinen Umständen mit dem Internet oder einem anderen Netz über Kabel, Einwahlmodems oder drahtlose Lösungen verbinden, es sei denn, die Ausrüstung ist durch Lösungen gesichert, die der bestehenden Richtlinie für Informationssicherheit von Budimex SA entsprechen. Jeder Anschluss der anvertrauten Ausrüstung an ein Computernetzwerk, das nicht im Besitz der Budimex-Gruppe ist, muss von Budimex individuell genehmigt werden.
6.5.3 Budimex behält sich das Recht vor, die Internetverbindung unabhängig von ihrer Art zu überwachen, wenn die Informationssysteme von Budimex betroffen sind, und den Zugang zu den Webdiensten und Seiten zu sperren, wenn sie im Widerspruch zur Richtlinie der Informationssicherheit von Budimex SA stehen.
6.5.4 Nachstehend sind die Handlungen aufgeführt, die Benutzern untersagt sind, die unter der Verantwortung des Lieferanten handeln:

Versuche zu unternehmen, um Schutzmaßnahmen, Zugangskontroll- oder Inhaltsfilterungsmechanismen am Internet-Gateway zu umgehen; 
das Funktionieren des Netzes absichtlich zu stören, indem Benutzer Viren verbreiten, Hacking-Praktiken anwenden und einen großen Datenverkehr verursachen, der das Netz überlastet und so die Tätigkeit anderer Benutzer behindern kann; 
Verschlusssachen oder geheime Unternehmensinformationen über das Internet weiterzugeben oder zu veröffentlichen, einschließlich Finanzdaten, unternehmensbezogenen neuen Ideen und Lösungen, Strategien, Marketingplänen, Datenbanken und darin enthaltenen Aufzeichnungen, Kundenlisten, Software-Quellcodes, Computer-/Netzwerkzugangscodes und geschäftsbezogenen Verbindungen usw; 
das Internet, die E-Mail oder andere Hilfsmittel zu nutzen, um rechtliche oder vertragliche Bindungen zu schaffen, ohne die erforderlichen Befugnisse der Geschäftsführung der Gesellschaft Budimex zu besitzen; 
die Ressourcen auf eine andere, von Budimex bestimmte Weise zu nutzen.
 

6.6 Unangemessene Inhalte 
6.6.1 Dem Lieferanten ist es nicht gestattet, die von Budimex zur Verfügung gestellte IT-Ausrüstung sowie Geräte oder Einrichtungen zur Aufrufung, Bearbeitung, Herstellung und/oder Verteilung von Materialien unter den Mitarbeitern oder anderen Personen außerhalb von Budimex zu nutzen, deren Inhalte unter eine der unten aufgeführten Kategorien fallen:

Diskriminierung (rassistischer oder sonstiger Art), 
Belästigung (sexueller oder sonstiger Art), 
die Drohungen darstellen, 
obszön, 
pornografisch, 
beleidigend, 
rechtswidrig sind.
6.6.2 Der Lieferant ist verpflichtet, die in Punkt 6.6.1. genannten Materialien, die er aus irgendeiner Quelle erhalten hat, unverzüglich zu vernichten/zu entfernen und von dem Absender zu verlangen, dass er derartige Praktiken unterlässt. Der Beauftragte für Informationssicherheit von Budimex ist unverzüglich darüber informieren, einschließlich der E-Mail-Adresse des Absenders, des Betreffs und der getroffenen Maßnahmen.

 

7. BESCHREIBUNG DES VERFAHRENS - REGELN FÜR DIE INFORMATIONSSYSTEME DES LIEFERANTEN VON BUDIMEX

 

Falls der Lieferant bei der Erbringung seiner Dienstleistung ein Informationssystem verwendet, das nicht im Besitz von Budimex ist, und keine Verbindung zur Infrastruktur von Budimex hergestellt wird, sind die folgenden Anforderungen das Minimum, bevor ein System zur Unterstützung der Dienstleistung zugelassen werden kann:


7.1 Die Software (das Betriebssystem und die Anwendungen) ist gemäß den gesetzlichen Bestimmungen und den jeweiligen Lizenzbedingungen zu installieren und zu nutzen.
7.2 Das Betriebssystem und alle Anwendungen müssen regelmäßig (mindestens einmal pro Monat) einem Sicherheitsupdate unterzogen werden.
7.3 Jedes System, das in irgendeiner Weise mit der Außenwelt interagieren kann (Computernetzwerk, optisches Laufwerk, USB-Anschluss, Diskettenlaufwerk), muss mit einer aktuellen und aktiven Antivirensoftware ausgestattet sein (tägliche Aktualisierung). Für Windows-basierte Systeme befindet sich die Liste der verfügbaren Antiviren-Partner unter folgendem Link: http://windows.microsoft.com/en-US/windows/antivirus-partners#AVtabs=win7 7.4 Die Systemzeit muss genau sein und regelmäßig synchronisiert werden (bei einem System mit Netzzugang: durch einen Zeitserver; bei einem Offline-System: eine dokumentierte Synchronisierung mindestens einmal im Monat).
7.5 Das System muss über eine funktionierende und regelmäßig überprüfte Back-up-Software verfügen (Datenwiederherstellung mindestens einmal pro Jahr getestet).
7.6 Die gesamte Umgebung, auf der die für Budimex erbrachte Dienstleistung basiert, muss über einen logischen und umwelttechnischen Schutz verfügen: Sicherung der Stromversorgung, Schutz vor unbefugtem Zugriff, sowohl physisch als auch logisch.

7.7 Das Personal muss in der Nutzung und Bedienung des Systems geschult sein.

 

8. DOKUMENTIERTE INFORMATIONEN

 

8.1 Der Bericht des Lieferanten über die Überprüfung der organisatorischen und technischen Kontrollen.

 

9. ANHÄNGE UND FORMULARE

 

KEINE

Zuletzt aktualisiert: 2017-02-07
 


 
Budimex S.A. mit Sitz in Warschau, Adresse: Siedmiogrodzka-Str. 9, 01-204 Warschau, Unternehmerregister, geführt vom Amtsgericht für die Hauptstadt Warschau in Warschau, XIII. Wirtschaftsabteilung des Landesgerichtsregisters KRS Nr. 0000001764, NIP: 526-10-03-187, REGON 010732630, Grundkapital in Höhe von 127 650 490 PLN, vollständig eingezahlt.