Politika pro dodavatele

Politika pro dodavatele

1. PRAVIDLA MANAGEMENTU BEZPEČNOSTI INFORMACÍ PRO DODAVATELE

Společnost TREXIMA, spol. s r.o. má zavedený systém managementu bezpečnosti informací dle normy ISO/IEC 27001. Součástí systému je i popis řízení bezpečnosti informací určený dodavatelům společnosti pracujícím s informačními aktivy společnosti a dodavatelům IT služeb, infrastruktury, hardware a software.  

Dodavatelé společnosti musí respektovat platná pravidla stanovená společností dle této normy.  Smlouva, příp. dodatek ke smlouvě u stávajících klíčových dodavatelů, obsahuje požadavky na bezpečnost informací.


Základní pravidla pro dodavatele:

  • Dodavatel musí mít vytvořenou a schválenou bezpečnostní politiku, která bude pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně dodavatele při poskytování předmětu plnění.
  • Dodavatel řídí vlastní rizika, která mohou ovlivnit poskytování předmětu plnění.
  • Dodavatel zavádí příslušná bezpečnostní opatření v rozsahu poskytovaného předmětu plnění, a to v případě zjištění bezpečnostních rizik či identifikace bezpečnostních potřeb. Bezpečnostní opatření monitoruje a vyhodnocuje jejich účinnost.
  • Dodavatel stanovuje a udržuje aktuální bezpečnostní opatření ve formě procesů a technologií, které zajišťují naplnění bezpečnostní politiky.
  • Pokud dodavatel využívá při poskytování předmětu plnění subdodavatele, musí zajistit adekvátní dodržování těchto bezpečnostních požadavků rovněž ve smluvních vztazích se svými subdodavateli.
  • Dodavatel zajišťuje neustálé vzdělávání svých zaměstnanců s cílem poskytovat předmět plnění dle aktuální legislativy, požadavků a nejnovějších technologií či trendů.
  • Dodavatel má zpracovanou politiku řešení incidentů a nenadálých událostí.
  • Dodavatel poskytuje součinnost při pravidelném monitoringu, který je u něj prováděn.
  • Dodavatel jako zaměstnavatel při provádění prací při plnění předmětu plnění odpovídá za dodržování předpisů BOZP a PO svými zaměstnanci.

Doplňující pravidla pro dodavatele pracující s informačními aktivy:

  • Přístup dodavatelů do aplikačních aktiv odpovídá druhu dodavatele.
  • Dodavatel vede záznamy o vytváření a zpracování dat a informací v rozsahu poskytovaného předmětu plnění, zaznamenává veškeré podstatné okolnosti související se zajištěním bezpečnosti těchto dat a informací a na vyžádání tyto záznamy zpřístupňuje.
  • Dodavatel, či jeho zaměstnanec podílející se na plnění smlouvy výpočetními prostředky dodavatele, musí mít v rámci své IT infrastruktury evidován a veden svůj vlastní jedinečný uživatelský účet, kterému jsou v jednotlivých určených systémech, modulech nebo aplikacích přiřazeny specifické role. Každý zaměstnanec dodavatele musí být veden s platnými identifikačními a aktuálními kontaktními údaji.
  • Dodavatel, či jeho zaměstnanec, pokud přistupuje k interním systémům, má veden a evidován jedinečný uživatelský účet, kterému jsou v jednotlivých systémech, modulech nebo aplikacích přiřazeny specifické role související výhradně s plněním předmětu smlouvy.
  • Pokud dodavatel požaduje přístup ke konkrétním informačním aktivům pro výkon činnosti vedoucí k plnění smlouvy, musí písemně zaslat požadavek Správci sítě, který tento požadavek prověří a přidělí přístup, pokud je na něj nárok.
  • Společnost eviduje všechny přístupy k informačním aktivům, které byly dodavatelům, či jejich zaměstnancům, přiděleny.
  • Všichni dodavatelé, pokud mají přístup k informačním aktivům, jsou seznámeni s pravidly bezpečnosti informací, a musí se jimi řídit.
  • Dodavatel odpovídá za činnosti svých zaměstnanců, popřípadě dalších fyzických osob, které vykonávají práci v jeho prospěch, a zajišťuje, že jejich činnosti je v souladu s bezpečnostními pravidly a dalšími bezpečnostními informacemi předanými ze strany společnosti na základě vyžádání ze strany dodavatele. Veškeré škody, které vzniknou porušením těchto a dalších upřesňujících bezpečnostních informací zaměstnanci dodavatele, či jinými osobami vykonávajícími práci v jeho prospěch, jdou na vrub dodavatele, který je povinen tyto škody v plném rozsahu společnosti nahradit.
  • Dodavatelé, či jeho zaměstnanci, mohou využívat svá přidělená oprávnění jen v přiměřené míře a jen po dobu nezbytně nutnou pro vykonání činnosti v souladu s plněním předmětu smlouvy.
  • Dodavatelé jsou informováni, ke kterým chráněným informacím mají přístup a jak s nimi mohou nakládat. Jiné manipulace nemá dodavatel povoleny.

2. SOUPIS PRAVIDEL PRO VÝBĚR DODAVATELE

Skupina dodavatelůKód dodavatele
Práce s informačními aktivy společnostiA
IT služby a infrastrukturaS
Hardware a softwareHS
2.1 Soupis pravidel pro výběr dodavatele: práce s informačními aktivy společnosti
odborné znalosti a dovednosti dle aktuálního požadavku
anglický jazyk na pokročilé úrovni
hodinová sazba
spolehlivost v jednání a dobrá komunikace
sebevzdělávání
důvěryhodnost
předchozí zkušenosti
termín zahájení spolupráce
2.2 Soupis pravidel pro výběr dodavatele: IT služby a infrastruktura
odbornost poskytovaných služeb
cena nabízených služeb
kvalita nabízených služeb
úroveň komunikace
spolehlivost v jednání
pověst firmy a reference
2.3 Soupis pravidel pro výběr dodavatele: hardware a software
cena
termín a rychlost dodání
cena za dopravu
kvalita nabízených služeb, produktů
možnost vrácení zboží, reklamace služeb
pozitivní externí hodnocení společnosti

3. POPIS POSTUPU PŘI VÝBĚRU DODVATELE

  Popis postupu při výběru dodavateleZainteresovaná osoba
Přípravná fáze: definice toho, co bude společnost nakupovat, za jakým účelem, v jakém termínu.Poptávající manažer, Správce sítě
Identifikace potenciálních dodavatelů: stanovení kritérií výběru a předvýběr potenciálních dodavatelů
(min. 2 při částce od 20 000 Kč do 100 000 Kč; min. 3 při částce nad 100 000 Kč)
Správce sítě
Prozkoumání vybraných dodavatelů: sepsání poptávky a kontaktování potenciálních dodavatelů, lhůta 14 dnů pro zaslání nabídky.Správce sítě
Vyhodnocení nabídek: Porovnání a vyhodnocení sesbíraných nabídek od potenciálních dodavatelů. Dle stanovených kritérií se ohodnotí jednotlivé nabídky a sestaví se žebříček.Správce sítě, poptávající manažer
Výběr dodavatele: Volba konečného dodavatele na základě vyhodnocení nabídek.Jednatel společnosti
Uzavření kontraktu: Uzavření smlouvy s dodavatelem včetně nastavení podmínek spolupráce.Správce sítě, Jednatel společnosti

4. POPIS ŘÍZENÍ ZMĚN VE VZTAHU SPOLEČNOSTI A DODAVATELE

4.1 Změny ze strany společnosti

Pokud společnost rozhodne o změně spolupráce s dodavatelem, Správce sítě informuje písemně kontaktní osobu dodavatele (e-mailem).

Součástí písemné komunikace je předmět a termín změny, a případně další úpravy podmínek spolupráce.

V případě změny osoby Správce sítě je dodavatel informován min. 14 dní předem.

4.2 Změny ze strany dodavatele

Pokud dodavatel chce změnit podmínky dodávek služeb, cenu, či jiné podmínky spolupráce, musí kontaktovat Správce sítě, a navrhované změny podat písemně.

V písemné komunikaci dodavatel uvede, jaké změny navrhuje a jaké důvody jej k tomu vedou.

Správce sítě předá požadavek dodavatele Jednateli společnosti, který rozhodne, zda navrhované změny akceptuje.

Zásadní změny, jako předmět dodávaných služeb, cena či lhůty pro dodání, musí být řešeny písemným dodatkem.

V případě změny kontaktní osoby na straně dodavatele, musí být v dostatečném předstihu (min. 14 dnů) informován Správce sítě

4.3 Ostatní:

Ukončení smluvního vztahu mezi společností a dodavatelem určuje smlouva, včetně délky výpovědní lhůtu.

V případě náhlých událostí na straně dodavatele, musí být Správce sítě neprodleně informován, obzvláště pokud by mohlo dojít k narušení dodávky služeb.

5. NENADÁLÉ UDÁLOSTI A INCIDENTY

Dodavatel musí hlásit veškerá podezření na kybernetické bezpečnostní události / incidenty​:

  • bezprostředně po zjištění kybernetické bezpečnostní události / incidentu
  • e-mailem, telefonicky nebo osobně Správci sítě, který bezpečnostní událost/incident bezprostředně zaeviduje do Evidence incidentů
  • popisem celé události, včetně důkazů a identifikace příčiny
  • data a času zjištění, včetně informace o tom, kdo událost zjistil
  • uskutečněná okamžitá opatření (pokud byla provedena)
  • popis potencionálního dopadu
  • návrh opatření na odstranění a vypořádání se s incidentem

6. HODNOCENÍ DODAVATELE

Společnost pravidelně (1x ročně) provádí monitoring u stanovených dodavatelů, kteří pracují s informačními aktivy společnosti a u dodavatelů IT služeb, infrastruktury, hardware a software. Dodavatelé jsou povinni poskytnout součinnost při provádění monitoringu.

Monitoring se provádí dle stanovených kritérií v souladu se stanovenou metodikou.

V případě závažných důvodů (např. při podezření na rizikové chování dodavatele), a to v souvislosti s plněním smlouvy, si společnost vyhrazuje právo provést neohlášenou kontrolu u dodavatele.

Metodika monitoringu:

  • je stanoveno 12 oblastí, které jsou vyhodnocovány
  • ke každé oblasti je přidělena známka 1–5, jako ve škole
  • pokud je známka 3 a horší, tak se stanoví opatření/nápravy, včetně termínů jejich zavedení
  • dodavatel má povinnost zrealizovat dohodnutá nápravná opatření, a to v dohodnutém termínu
  • dodavatel vypracuje zprávu, ve které popíše, jaká nápravná opatření zrealizoval
  • odsouhlasí se přijatá zpráva a zrealizované opatření

Seznam kritérií pro hodnocení dodavatelů:

  • Dodržování smlouvy, způsobilost
  • Úroveň dodavatelské infrastruktury
  • Dodržování termínů
  • Kvalita zboží/služeb, reklamace
  • Zastupitelnost
  • Incidenty (počet, závažnost)
  • Existence bezpečnostních opatření, plán krizových opatření
  • Existence zavedeného GDPR
  • Zacházení se svěřenými fyzickými aktivy
  • Ochrana přidělených přístupů
  • Vztah k životnímu prostředí
  • Neustálé vzdělávání pracovníků dodavatele