Polityka ochrony tajemnicy przedsiębiorstwa

Polityka ochrony tajemnicy przedsiębiorstwa

Niniejsza Polityka ochrony tajemnicy przedsiębiorstwa stanowi wzorcowy dokument będący zbiorem zasad, reguł i dobrych praktyk obowiązujących wewnątrz organizacji i służących ochronie informacji objętych tajemnicą przedsiębiorstwa przed nieuprawnionym dostępem.

Niniejsza Polityka pozostaje w ścisłym związku z obowiązującymi w Organizacji politykami bezpieczeństwa informacji i ochrony danych osobowych wraz z politykami i procedurami powiązanymi. Częścią wspólną tych polityk jest bezpieczeństwo informacji. Powyższe polityki wyznaczają zasady i reguły, składające się na proces dążenia do zapewnienia bezpieczeństwa informacji.

Art. 1.Definicje

1) Incydent - zdarzenie, które ma lub może mieć wpływ na bezpieczeństwo Tajemnicy przedsiębiorstwa rozumiane jako poufność, integralność lub dostępność Tajemnicy przedsiębiorstwa.

2) Jednostka odpowiedzialna - jednostka wewnętrzna w Organizacji posiadająca kompetencje i wyznaczona do realizacji zadań związanych ze stosowaniem niniejszej Polityki.

3) Kadra kierownicza - wszystkie osoby, które pełnią w Organizacji funkcję przełożonych i kierują pracą podporządkowanych im osób, współtworzących osobną jednostkę organizacyjną (zespół) w Organizacji.

4) Kadra kierownicza wyższego szczebla - członkowie Zarządu oraz inne osoby na najwyższych stanowiskach w Organizacji mające kluczowy wpływ na zarządzanie Organizacją, w tym podejmowanie decyzji strategicznych dla działalności Organizacji. Organizacja prowadzi spis stanowisk oraz piastunów stanowisk będących kadrą kierowniczą wyższego szczebla w Organizacji.

5) Kontrahenci - jednostki, niezależnie od formy organizacyjnej, z którymi Organizacja pozostaje w stosunkach gospodarczych.

6) Organizacja - jednostka organizacyjna składająca się z grupy osób współdziałających we wspólnym celu w ramach jednego przedsiębiorstwa.

7) Polityka ochrony tajemnicy przedsiębiorstwa ("Polityka") - niniejsza Polityka.

8) Pracownik - każda osoba będąca Pracownikiem Organizacji w rozumieniu Kodeksu Pracy oraz osoby stale wykonujące prace na rzecz Organizacji na podstawie umów cywilnoprawnych.

9) System ochrony tajemnicy przedsiębiorstwa ("System") - ustrukturyzowany zespół zasad i reguł wprowadzonych niniejszą Polityką do stosowania w Organizacji w celu zapewnienia odpowiedniego standardu ochrony informacji objętych Tajemnicą przedsiębiorstwa.

10) Tajemnica przedsiębiorstwa - tajemnica przedsiębiorstwa w rozumieniu art. 118 ust. 1 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, tj. informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności. Na potrzeby niniejszej Polityki przyjmuje się ponadto, że tajemnicą przedsiębiorstwa objęte są wszystkie informacje pozostające w zasobach informacyjnych Organizacji uzyskane lub wytworzone w związku z jej działalnością, z wyjątkiem informacji powszechnie znanych oraz informacji publicznie dostępnych.

Tajemnicą przedsiębiorstwa objęte są m.in.:

- oferty handlowe;

- warunki umów z Kontrahentami;

- treść wewnętrznych aktów normatywnych;

- zasady wynagradzania Pracowników;

- know-how;

- nieujawnione publicznie dane techniczne produktów Organizacji;

- strategie i plany biznesowe;

- informacje dot. prowadzonych projektów wewnętrznych;

- treść wewnętrznych instrukcji i szkoleń.

11) Ustawa o zwalczaniu nieuczciwej konkurencji, u.z.n.k. - Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2003 r. Nr 153, poz. 1503 z późn. zm.).

12) Właściciel Tajemnicy - kierownik jednostki wewnętrznej, która wytworzyła informację i odpowiedzialna jest za jej sklasyfikowanie oraz wdrożenie środków technicznych i organizacyjnych adekwatnych do przyznanej klasyfikacji, zgodnie z postanowieniami Polityki. Minimum przedstawiciel Kadry kierowniczej.

Art. 2.Postanowienia ogólne

1. W Organizacji wprowadza się niniejszą Politykę ochrony Tajemnicy przedsiębiorstwa.

2. Niniejsza Polityka określa:

a) cele systemu ochrony Tajemnicy przedsiębiorstwa,

b) zasady ochrony Tajemnicy przedsiębiorstwa,

c) strukturę Systemu ochrony Tajemnicy przedsiębiorstwa,

d) zasady klasyfikowania informacji objętych ochroną jako Tajemnica przedsiębiorstwa,

e) jednostkę odpowiedzialną za realizację Polityki oraz jej zadania,

f) zadania Właścicieli Tajemnicy,

g) środki organizacyjne i techniczne ochrony Tajemnicy przedsiębiorstwa,

h) zakres odpowiedzialności za powierzone informacje oraz za ich nieuprawnione ujawnienie.

Art. 3.Cele ochrony Tajemnicy przedsiębiorstwa

1. Celem Polityki jest zapewnienie bezpieczeństwa informacji w Organizacji stanowiącej Tajemnicę Przedsiębiorstwa. Przez bezpieczeństwo należy rozumieć zapewnienie poufności, integralności i dostępności Tajemnicy Przedsiębiorstwa.

2. Poufność oznacza zapewnienie, że Tajemnica Przedsiębiorstwa jest dostępna wyłącznie dla osób uprawnionych, posiadających odpowiednie prawa dostępu.

3. Integralność oznacza zapewnienie, że Tajemnica Przedsiębiorstwa nie zostanie w sposób nieautoryzowany zmodyfikowana.

4. Dostępność oznacza zapewnienie, że Tajemnica Przedsiębiorstwa jest zawsze dostępna dla osób uprawnionych.

Art. 4.Zasady ochrony Tajemnicy przedsiębiorstwa

Niniejsza Polityka opiera się na następujących fundamentalnych zasadach ochrony Tajemnicy przedsiębiorstwa:

1) Zasada poufności - rozumiana jako ogólny obowiązek utrzymania informacji objętych Tajemnicą przedsiębiorstwa w poufności.

2) Zasada minimalizacji dostępu - rozumiana jako domyślne ograniczanie dostępu do informacji objętych Tajemnicą przedsiębiorstwa oraz udzielanie pracownikom dostępu do Tajemnicy przedsiębiorstwa jedynie w zakresie koniecznym do niezakłóconego wykonywania obowiązków służbowych (inaczej zasada need-to-know).

3) Zasada proporcjonalności - rozumiana jako stosowanie dla każdej z klasy informacji objętych Tajemnicą przedsiębiorstwa odmiennego zestawu środków technicznych i organizacyjnych proporcjonalnych do ryzyka związanego z nieuprawnionym ujawnieniem tej kategorii informacji. Niniejsza Polityka reguluje zasady klasyfikacji informacji oraz stosowania środków technicznych i organizacyjnych bezpieczeństwa.

4) Zasada odpowiedzialności - rozumiana jako zasada domyślnego ścigania w razie naruszenia zobowiązań związanych z ochroną Tajemnicy przedsiębiorstwa.

Art. 5.System ochrony Tajemnicy przedsiębiorstwa

1. Ochrona Tajemnicy przedsiębiorstwa w Organizacji odbywa się w ramach Systemu ochrony Tajemnicy przedsiębiorstwa.

2. Na System ochrony Tajemnicy przedsiębiorstwa składają się:

1) zasady klasyfikacji informacji objętych Tajemnicą przedsiębiorstwa,

2) zadania Jednostki odpowiedzialnej za stosowanie niniejszej Polityki,

3) zadania Właścicieli tajemnicy,

4) obowiązki każdego Pracownika,

5) środki organizacyjne ochrony Tajemnicy przedsiębiorstwa,

6) środki techniczne ochrony Tajemnicy przedsiębiorstwa,

7) zobowiązania nałożone na konkretne podmioty wewnątrz i na zewnątrz Organizacji w związku z ochrona Tajemnicy przedsiębiorstwa,

8) zasady egzekwowania odpowiedzialności za naruszenie zobowiązań związanych z ochroną Tajemnicy przedsiębiorstwa.

Art. 6.Klasyfikacja informacji

1. Na potrzeby stosowania niniejszej Polityki wprowadza się klasyfikację informacji stanowiących Tajemnicę przedsiębiorstwa.

2. Informacje stanowiące Tajemnicą przedsiębiorstwa podlegają klasyfikacji na informacje wewnętrzne, informacje zastrzeżone, informacje poufne oraz informacje tajne:

a) Informacjami wewnętrznymi informacje, do których dostęp mogą mieć wszyscy pracownicy Organizacji. Ich nieuprawnione ujawnienie wiąże się z niskim lub bardzo niskim ryzykiem wpływu na wartość Organizacji, wyniki finansowe, prowadzenie projektów, reputację.

b) Informacjami zastrzeżonymi informacje, do których, z uwagi na ich wartość gospodarczą oraz potencjalne straty wywołane ich ujawnieniem dostęp powinna mieć wyłącznie ograniczona grupa pracowników Organizacji (np. Dział Sprzedaży, Dział Marketingu, Dział Rozwoju), niebędące informacjami poufnymi. Ich nieuprawnione ujawnienie wiąże się ze średnim ryzykiem wpływu na wartość Organizacji, wyniki finansowe, prowadzenie projektów, reputację.

c) Informacjami poufne informacje, posiadające szczególną wartość biznesową dla Organizacji, których ujawnienie prawdopodobnie wpłynęłoby na wartość Firma "Przykładowa Sp. z o.o.", wyniki finansowe, reputację Organizacji, powodzenie prowadzonych projektów, reputację.

3. Każda informacja stanowiąca Tajemnicę Przedsiębiorstwa sklasyfikowana jest minimum jako informacja wewnętrzna.

4. Klasyfikacji informacji należy dokonywać zgodnie z zasadą minimalizacji dostępu, przewidującą dostęp Pracowników do informacji obejmujących Tajemnicę przedsiębiorstwa na zasadzie minimum koniecznego (need-to-know).

5. Klasyfikacji informacji dokonuje Właściciel Tajemnicy mając na uwadze kryteria opisane w ust. 2.

6. Dostęp Pracowników nie należących do Kadry kierowniczej Organizacji do informacji sklasyfikowanych jako informacja poufna wymaga zgody Kadry kierowniczej wyższego szczebla Organizacji.

7. Każdy Właściciel Tajemnicy w Organizacji prowadzi Rejestr Tajemnicy Przedsiębiorstwa sklasyfikowanej jako Informacja Zastrzeżona lub poufna. Rejestr obejmuje kategorie przetwarzanych informacji stanowiących Tajemnicę przedsiębiorstwa, zasoby wykorzystywane do przetwarzane Tajemnicy przedsiębiorstwa.

8. Informacje z Rejestrów Tajemnicy Przedsiębiorstwa prowadzonych przez poszczególnych Właścicieli Tajemnicy agregowane są na poziomie Jednostki odpowiedzialnej.

Art. 7.Jednostka odpowiedzialna

1. Organizacja wyznacza Jednostkę odpowiedzialną za zapewnienie stosowania w Organizacji niniejszej Polityki.

2. Jednostka odpowiedzialna podlega bezpośrednio organowi zarządzającemu Organizacji.

3. Do zadań Jednostki odpowiedzialnej należy w szczególności:

a) organizacja i przeprowadzanie szkoleń z zakresu ochrony Tajemnicy przedsiębiorstwa,

b) rekomendowanie, ustalanie oraz wsparcie we wdrażaniu środków organizacyjnych i technicznych w celu ochrony Tajemnicy przedsiębiorstwa proporcjonalnych do klasyfikacji informacji objętych Tajemnicą przedsiębiorstwa,

c) akceptowanie odstępstw w zakresie środków technicznych lub organizacyjnych wymaganych Polityką bezpieczeństwa informacji oraz prowadzenie rejestru odstępstw,

d) wdrażanie środków technicznych ochrony Tajemnicy Przedsiębiorstwa wymagających wiedzy i wsparcia technicznego na poziomie, którym nie dysponuje jednostka wewnętrzna Organizacji odpowiedzialna za wdrożenie środków ochrony (Właściciel Tajemnicy),

e) sporządzanie regularnych raportów z realizacji niniejszej Polityki oraz przekazywanie do właściwych Organów w Organizacji,

f) nadzór nad realizacją Polityki, w szczególności koordynacja procesu zgłaszania incydentów ochrony Tajemnicy przedsiębiorstwa oraz procesu egzekwowania odpowiedzialności za naruszenie zobowiązań związanych z ochroną Tajemnicy przedsiębiorstwa,

g) ciągłe doskonalenie Polityki i zasad ochrony Tajemnicy Przedsiębiorstwa,

h) ciągłe identyfikowanie ryzyka oraz przeprowadzanie i regularne aktualizowanie oceny ryzyka w ochronie Tajemnicy Przedsiębiorstwa oraz dostosowywanie rekomendowanych i wymaganych środków technicznych i organizacyjnych ochrony Tajemnicy Przedsiębiorstwa adekwatnie do oceny.

4. Jednostką odpowiedzialną jest jednostka organizacyjna odpowiedzialna za wdrożenie systemu zarządzania bezpieczeństwem informacji w Organizacji.

Art. 8.Właściciel Tajemnicy

Do zadań Właścicieli Tajemnicy należy w szczególności:

a) wdrażanie środków technicznych i organizacyjnych adekwatnych do klasyfikacji Tajemnicy przedsiębiorstwa, zgodnie z wymaganiami Polityki Bezpieczeństwa Informacji Organizacji,

b) klasyfikowanie Tajemnicy Przedsiębiorstwa zgodnie z wymaganiami Polityki,

c) prowadzenie i aktualizowanie Rejestru Tajemnicy przedsiębiorstwa,

d) przekazywanie Rejestru Tajemnicy przedsiębiorstwa do Jednostki odpowiedzialnej,

e) przekazywanie do Jednostki odpowiedzialnej powziętych informacji o Incydentach lub ryzyku wystąpienia Incydentu dotyczącego Tajemnicy przedsiębiorstwa.

Art. 9.Pracownicy

1. Każdy Pracownik odpowiedzialny jest za przestrzeganie niniejszej Polityki oraz podejmowanie działań zmierzających do realizacji celów Polityki (zapewnienia integralności, poufności i dostępności Tajemnicy Przedsiębiorstwa).

2. Każdy Pracownik odpowiedzialny jest za niezwłoczne zgłaszanie do kierownika swojej jednostki (przedstawiciela Kadry kierowniczej) lub Jednostki odpowiedzialnej powziętych informacji o Incydentach lub ryzyku wystąpienia Incydentu dotyczącego Tajemnicy przedsiębiorstwa.

Art. 10.Zasady stosowania środków technicznych i organizacyjnych

1. W celu zapewnienia ochrony Tajemnicy Przedsiębiorstwa Organizacja stosuje środki techniczne i organizacyjne adekwatne do klasyfikacji informacji. Zakres oraz szczegółowe zasady stosowania środków technicznych i organizacyjnych określa Polityka bezpieczeństwa informacji Organizacji wraz z powiązanymi procedurami.

2. W ramach zapewnienia bezpieczeństwa Tajemnicy Przedsiębiorstwa sklasyfikowanej jako informacja wewnętrzna stosuje się standardowe środki techniczne i organizacyjne przewidziane dla ochrony informacji w Organizacji zgodnie z Polityką bezpieczeństwa informacji. W stosunku do Informacji wewnętrznej nie są stosowane dedykowane środki techniczne i organizacyjne, niemniej, Informacja wewnętrzna pozostaje przedmiotem ochrony Polityki.

3. W przypadku informacji sklasyfikowanych jako Informacja zastrzeżona lub Informacja poufna Właściciel Tajemnicy wdraża dedykowane środki techniczne i organizacyjne, zgodnie z Polityką bezpieczeństwa informacji.

4. Właściciel Tajemnicy jest odpowiedzialny za wdrożenie środków technicznych i organizacyjnych przewidzianych w Polityce bezpieczeństwa informacji, przy czym w przypadku środków technicznych, których wdrożenie wymaga szczególnej wiedzy technicznej, zwraca się o wsparcie do Jednostki odpowiedzialnej. Jednostka odpowiedzialna wspiera Właściciela tajemnicy we wdrożeniu tych środków technicznych.

5. Jednostka odpowiedzialna zobowiązania jest do bieżącego konsultowania i udzielania rekomendacji Właścicielom Tajemnicy i podległym im jednostkom w zakresie sposobu właściwego realizowania niniejszej Polityki.

Art. 11.Środki organizacyjne ochrony Tajemnicy przedsiębiorstwa

1. Do środków organizacyjnych ochrony Tajemnicy przedsiębiorstwa należą w szczególności:

a) zarządzanie uprawnieniami i dostępami do Tajemnicy przedsiębiorstwa, w szczególności dostępami do pomieszczeń, systemów i zasobów informatycznych,

b) podział ról i obowiązków w Organizacji,

c) stosowanie umów o zachowaniu poufności

d) klasyfikowanie informacji obejmujących Tajemnicę przedsiębiorstwa,

e) zarządzanie dokumentami i sprzętem służbowym umożliwiającymi dostęp do Tajemnicy przedsiębiorstwa,

f) szkolenia i podnoszenie świadomości pracowników z zakresu zasad ochrony tajemnicy przedsiębiorstwa,

g) procedury zarządzania Incydentami w obszarze Tajemnicy Przedsiębiorstwa.

2. Organizacja stosuje środki organizacyjne zgodnie z zasadą proporcjonalności.

3. Pełen katalog środków organizacyjnych stosowanych w ochronie Tajemnicy przedsiębiorstwa opisuje Polityka bezpieczeństwa informacji Organizacji.

Art. 12.Zarządzanie dostępami do Tajemnicy przedsiębiorstwa

1. Zakres dostępu do Tajemnicy przedsiębiorstwa jest uzależniony od stanowiska pracownika i wynika z funkcjonującej w Organizacji klasyfikacji informacji zgodnie z art. 6 niniejszej Polityki.

2. Pracownicy nie należący co najmniej do Kadry kierowniczej co do zasady mogą mieć dostęp wyłącznie do Informacji wewnętrznej lub zastrzeżonej. Udzielenie dostępu do informacji o wyższym stopniu poufności niż stopień właściwy dla stanowiska pracownika ("Rozszerzony dostęp") wymaga zatwierdzenia przez depozytariusza tych informacji będącego przełożonym pracownika.

3. W przypadku informacji poufnych dostęp zatwierdza odpowiednio przełożony z Kadry kierowniczej lub Kadry kierowniczej wyższego szczebla i informuje o fakcie rozszerzenia dostępu o informacje poufne Jednostkę odpowiedzialną.

4. Proces opisany w pkt 3 jest prowadzony zgodnie z zasadą minimalizacji dostępu.

5. Osoba uprawniona do zatwierdzenia Rozszerzonego dostępu może w każdej chwili cofnąć dostęp w części rozszerzonej. Jeżeli potrzeba udzielenia Rozszerzonego dostępu jest przemijająca, osoba uprawniona do zatwierdzenia Rozszerzonego dostępu ma obowiązek cofnięcia dostępu w części rozszerzonej po ustaniu przyczyny rozszerzenia.

6. Jednostka odpowiedzialna dokumentuje proces zarządzania dostępami. W tym celu uwzględnia się przysługujący pracownikom zakres dostępu powiązany z ich stanowiskami oraz okoliczność Rozszerzonego dostępu do informacji poufnych i tajnych. Proces ten Jednostka organizacyjna może realizować samodzielnie lub przy współpracy z jednostką odpowiedzialną za politykę kadrową w Organizacji.

Art. 13.Zarządzanie dokumentami i sprzętem służbowym

1. Organizacja zarządza dokumentami i sprzętem służbowym umożliwiającymi dostęp do Tajemnicy przedsiębiorstwa w celu zapobiegania nieuprawnionemu ujawnieniu informacji stanowiących Tajemnicę przedsiębiorstwa.

2. Na potrzeby niniejszej Polityki za dokument uznaje się nośnik informacji umożliwiający zapoznanie się z jej treścią obejmującą Tajemnicę przedsiębiorstwa ("Dokument").

3. Na potrzeby niniejszej Polityki za sprzęt służbowy uznaje się wszelkie urządzenia oddane do użytku pracowników w celu wykonywania obowiązków służbowych lub prywatne urządzenia zatwierdzone do wykonywania obowiązków służbowych, których użytek umożliwia dostęp do informacji stanowiących Tajemnicę przedsiębiorstwa ("Sprzęt służbowy").

4. Zakazane jest uzyskiwanie dostępu przez pracowników do Tajemnicy przedsiębiorstwa z urządzeń innych niż Sprzęt służbowy.

5. Pracownicy są zobowiązani do korzystania z Dokumentów oraz Sprzętu służbowego z zachowaniem zasady poufności.

6. W odniesieniu do Dokumentów zobowiązanie, o którym mowa w ust. 5 niniejszego artykułu polega w szczególności na:

a) wykonywaniu czynności zapoznawania się, powielania, skanowania, publikowania, przesyłania, udostępniania i innych czynności związanych z Dokumentami jedynie w zakresie niezbędnym do niezakłóconego wykonywania obowiązków służbowych;

b) niepozostawianiu wykorzystywanych Dokumentów w ogólnie dostępnych pomieszczeniach Organizacji, np. w pomieszczeniach z drukarkami bezpośrednio po wydrukowaniu, na stanowisku pracy lub w przypadku Dokumentów w wersji elektronicznej - na wyświetlaczu monitora (zasady czystego biurka i czystego ekranu);

c) regularna i trwała utylizacja (niszczenie lub kasowanie) Dokumentów po ich wykorzystaniu przez pracownika w sposób ustalony w Organizacji;

7. W odniesieniu do Sprzętu służbowego zobowiązanie, o którym mowa w ust. 5 niniejszego artykułu polega w szczególności na:

a) wykorzystywaniu Sprzętu służbowego jedynie w zakresie niezbędnym do niezakłóconego wykonywania obowiązków służbowych (np. korzystanie ze Sprzętu w miejscu wykonywania pracy oraz niewykorzystywanie Sprzętu do celów prywatnych)

b) ograniczaniu dostępu osób nieupoważnionych do Sprzętu służbowego (np. blokowanie urządzeń mobilnych) oraz ograniczanie dostępu do informacji stanowiących Tajemnicę przedsiębiorstwa (zarządzanie materiałami zapisanymi na Sprzęcie służbowym),

c) odbieraniu, zdawaniu i korzystaniu ze Sprzętu służbowego zgodnie z procedurami wewnętrznymi obowiązującymi w Organizacji,

Art. 14.Szkolenia i podnoszenie świadomości

1. Organizacja prowadzi obowiązkowe szkolenia onboardingowe dla nowych pracowników oraz regularne szkolenia dla wszystkich pracowników z zakresu ochrony Tajemnicy przedsiębiorstwa.

2. Organizacja udostępnia niniejszą Politykę wszystkim pracownikom w sposób pozwalający na swobodne zapoznanie się z jej treścią (np. drogą mailową, w intranecie, w publicznie dostępnym pomieszczeniu w ul. Kwiatowa 1, 00-000 Warszawa).

Art. 15.Zgłaszanie incydentów ochrony Tajemnicy przedsiębiorstwa

1. Organizacja przy współpracy z Jednostką odpowiedzialną umożliwia pracownikom zgłaszanie okoliczności świadczących o naruszeniu zasad i obowiązków wynikających z niniejszej Polityki ("Incydent ochrony Tajemnicy przedsiębiorstwa").

2. Pracownicy są zobowiązani do zgłaszania Incydentów ochrony Tajemnicy przedsiębiorstwa bez zbędnej zwłoki do Jednostki odpowiedzialnej. W razie przekazania informacji o Incydencie, Jednostka odpowiedzialna weryfikuje prawdziwość okoliczności wskazanych w zgłoszeniu i na tej podstawie podejmuje odpowiednie środki mające na celu usunięcie lub ograniczenie negatywnych skutków Incydentu.

3. Organizacja uwzględnia proces zgłaszania Incydentów ochrony Tajemnicy przedsiębiorstwa w obowiązującej w Organizacji procedurze zgłaszania incydentów lub uchwala odrębną procedurę zgłaszania Incydentów ochrony Tajemnicy przedsiębiorstwa.

Art. 16.Środki techniczne ochrony Tajemnicy przedsiębiorstwa

1. Do środków technicznych służących ochronie Tajemnicy przedsiębiorstwa należą w szczególności:

a) wieloskładnikowe metody uwierzytelniania użytkowników w systemach i zasobach informatycznych,

b) procedury kryptograficzne (np. szyfrowanie dysków wewnętrznych, korzystanie z narzędzi kryptograficznych w przypadku przechowywania danych na dyskach zewnętrznych, szyfrowanie dokumentów przesyłanych pocztą elektroniczną),

c) objęcie systemów przetwarzających informacje narzędziami monitorowania bezpieczeństwa informacji i zarządzania incydentami bezpieczeństwa (Security Information and Event Management),

d) narzędzia ochrona urządzeń końcowych,

e) oprogramowanie antywirusowe,

f) Polityki DLP,

g) zabezpieczenia fizyczne do zasobów dających dostęp do Tajemnicy przedsiębiorstwa.

2. Organizacja stosuje środki techniczne służące ochronie Tajemnicy przedsiębiorstwa przed nieuprawnionym dostępem zgodnie z zasadą proporcjonalności.

3. Szczegółowe zasady stosowania w Organizacji środków technicznych w celu ochrony Tajemnicy przedsiębiorstwa reguluje Polityka Bezpieczeństwa Informacji.

Art. 17.Zobowiązania z tytułu ochrony Tajemnicy przedsiębiorstwa

1. Organizacja zobowiązuje swoich pracowników oraz Kontrahentów do zachowania poufności ujawnionej im Tajemnicy przedsiębiorstwa na podstawie zobowiązania do zachowania poufności informacji lub umowy o zachowanie poufności (non-disclosure agreements). Złożenie oświadczenia zawierającego zobowiązanie do zachowania poufności następuje każdorazowo przed ujawnieniem Tajemnicy przedsiębiorstwa.

2. Organizacja zobowiązuje ponadto swoich pracowników do postępowania zgodnie z postanowieniami niniejszej Polityki.

3. Zobowiązania do zachowania poufności informacji stanowiących Tajemnicę przedsiębiorstwa mogą wynikać także z innych źródeł, w szczególności z ustawy o zwalczaniu nieuczciwej konkurencji oraz postanowień umownych łączących Organizację z pracownikiem lub Kontrahentem.

4. Zobowiązania wskazane w art. 17 ust. 1-3 Polityki stanowią łącznie "zobowiązania związane z ochroną Tajemnicy przedsiębiorstwa".

5. Jednostka odpowiedzialna prowadzi rejestr zawartych umów o zachowanie poufności.

Art. 18.Odpowiedzialność za naruszenie ochrony Tajemnicy przedsiębiorstwa

1. W razie uzyskania informacji o naruszeniu zobowiązań związanych z ochroną Tajemnicy przedsiębiorstwa Jednostka odpowiedzialna ustala okoliczności naruszenia.

2. W razie potwierdzenia, że doszło do naruszenia zobowiązań związanych z ochroną Tajemnicy przedsiębiorstwa Jednostka odpowiedzialna rekomenduje Organizacji podjęcie określonych działań w celu wyegzekwowania odpowiedzialności za naruszenie.

3. Organizacja decyduje o podjęciu odpowiednich działań, w szczególności:

a) wykonuje swoje uprawnienia wynikające z umów o zachowaniu poufności lub innych postanowień umownych (w przypadku Kontrahentów np. rozwiązanie umowy),

b) korzysta z dostępnych środków egzekwowania odpowiedzialności cywilnej (w szczególności na podstawie art. 18 u.z.n.k.) oraz odpowiedzialności karnej (w szczególności na podstawie art. 23 u.z.n.k.),

c) pociąga pracowników do odpowiedzialności dyscyplinarnej lub organizacyjnej. Podjęte działania powinny być proporcjonalne do naruszenia zobowiązania związanego z ochroną Tajemnicy przedsiębiorstwa, w szczególności do stopnia poufności informacji, której dotyczy naruszenie.

Art. 19.Postanowienia końcowe

1. Postanowienia niniejszej Polityki w razie wątpliwości należy interpretować w sposób zapewniający szerszą ochronę Tajemnicy przedsiębiorstwa.

2. Polityka wchodzi w życie z dniem jej przyjęcia przez Organizację.