1. Uvod
1.1. Svrha
Ovim se pravilnikom uspostavlja sustav upravljanja sigurnošću informacija u skladu sa zahtjevima međunarodnog standarda ISO/IEC 27001 i određuje smjernice za zaštitu informacija i sredstava društva Certech Global i njezinog informacijskog sustava od raznih prijetnji kako bi se omogućilo kontinuirano poslovanje.
1.2. Cilj
Pravilnikom se želi smanjiti eventualna šteta, poboljšati imidž, povećati prihodi i vratiti uložena sredstva u sigurnosne mjere.
1.3. Područje primjene
Ovaj se pravilnik odnosi na sve zaposlenike, suradnike, partnere, izvođače, konsultante, privremeno zaposlene, podizvođače ili bilo koja treća lica s kojima poduzeće ima poslovni odnos.
1.4. Primjenjivost
Ovaj se pravilnik primjenjuje na sva sredstva, materijalna i nematerijalna, koja su u vlasništvu ili u zakupu društva Certech Global.
2. Opće odredbe
2.1. Obveza pridržavanja
Svi zaposlenici, suradnici i partneri dužni su se pridržavati ovog pravilnika.
2.2. Tehničke i organizacijske mjere
Poduzeće omogućava odgovarajuće tehničke i organizacijske mjere za zaštitu informacija.
2.3. Edukacija
Redovito se provode edukacije o sigurnosti informacija.
2.4. Sustav upravljanja informacijama
Certech Global primjenjuje sustav upravljanja sigurnosti informacija (ISMS) kojima se postavljaju ciljevi i osnovna načela za učinkovito upravljanje informacijama.
3. Upravljačke obveze
3.1. Odjel za sigurnost informacija
Osniva se Odjel za sigurnost informacija koji će nadzirati provedbu ovih odredbi i osigurati usklađenost s ovim pravilnikom.
3.2. Planovi i procedure
Izrađuju se planovi sigurnosti, postupci za upravljanje incidentima i planovi oporavka od katastrofa.
3.3. Vlasnik pravilnika
Direktor je društva Certech Global odgovoran za upravljanje ovim pravilnikom kao i njegovo pravilno korištenje i redovno ažuriranje.
4. Zaštita informacija
4.1. Klasifikacija informacija
Označavanje osjetljivih podataka i ograničavanje pristupa prema stupnju osjetljivosti.
4.2. Kontrola pristupa
Kontrola pristupa sustavima i podacima putem jakih lozinki, višefaktorske autentifikacije i sustava autorizacije.
4.3. Sigurnosno kopiranje
Redovito sigurnosno kopiranje podataka i provjera ispravnosti sigurnosnih kopija.
4.4. Sigurnosne provjere
Redovite sigurnosne provjere (penetracijsko testiranje, ranjivosti) i ažuriranje softverskih rješenja.
4.5. Zaštita od zlonamjernog softvera
Implementacija i održavanje antivirusnih i anti-malware rješenja.
4.6. Zaštita mreže
Postavljanje i održavanje vatrozida, sustava za detekciju upada (IDS) i sustava za prevenciju upada (IPS).
5. Upravljanje sigurnosnim incidentima
5.1. Prijavljivanje incidenata
Svi zaposlenici moraju prijaviti sumnjive incidente ili povrede sigurnosti informacija.
5.2. Analiza i sanacija
Provodi se analiza incidenta, poduzimaju mjere sanacije i provodi se naknadna analiza kako bi se spriječili budući incidenti.
5.3. Postupak za incidente
Uspostavlja se interni postupak za postupanje sa sigurnosnim incidentima, uključujući obavještavanje relevantnih strana.
6. Fizička sigurnost
6.1. Kontrola pristupa
Kontrola pristupa poslovnim prostorima uporabom kartica, biometrijskih sustava ili drugih metoda identifikacije.
6.2. Sigurnost opreme
Omogućavanje fizičke sigurnosti prijenosnih uređaja (prijenosna računala, tableti, mobilni telefoni).
7. Osobni podaci
7.1. Pridržavanje OUZP-a
Poštovanje važećih zakona o zaštiti osobnih podataka (OUZP).
7.2. Ograničenje pristupa
Ograničenje pristupa osobnim podacima samo na one zaposlenike kojima je pristup neophodan za obavljanje posla.
7.3. Informiranje ispitanika
Informiranje ispitanika o načinu prikupljanja, obrade i pohrane njihovih osobnih podataka.
8. Edukacije i svijest
8.1. Redovite edukacije
Redovite edukacije zaposlenika o sigurnosti informacija, uključujući prepoznavanje phishing napada, sigurnost lozinki i druge relevantne teme.
8.2. Promicanje kulture
Promicanje kulture sigurnosti unutar poduzeća internim komunikacijama, obukama i radionicama.
8.3. Testiranje svijesti
Provedba simuliranih phishing napada i drugih testova svijesti kako bi se procijenila učinkovitost edukacija.
9. Praćenje
9.1. Redoviti auditi
Redoviti interni i eksterni auditi i provjere provedbe sigurnosnih mjera.
9.2. Ažuriranje pravilnika
Ažuriranje i poboljšavanje sigurnosnih pravilnika i postupaka na temelju rezultata audita, promjena u okruženju i novih prijetnji.
9.3. Kontinuirano poboljšanje
Praćenje performansi sigurnosnih sustava i kontinuirano poboljšanje sigurnosnih mjera.
10. Završne odredbe
10.1. Stupanje na snagu
Ovaj pravilnik stupa na snagu danom donošenja.
10.2. Potpisivanje izjave
Svi zaposlenici potpisuju izjavu o poznavanja pravilnika.
10.3. Kršenje pravilnika
Svako kršenje ovog pravilnika može rezultirati disciplinskim mjerama, uključujući i otkaz ugovora o radu.
Datum: 9. listopada 2025.
Certech Global
1.1. Svrha
Ovim se pravilnikom uspostavlja sustav upravljanja sigurnošću informacija u skladu sa zahtjevima međunarodnog standarda ISO/IEC 27001 i određuje smjernice za zaštitu informacija i sredstava društva Certech Global i njezinog informacijskog sustava od raznih prijetnji kako bi se omogućilo kontinuirano poslovanje.
1.2. Cilj
Pravilnikom se želi smanjiti eventualna šteta, poboljšati imidž, povećati prihodi i vratiti uložena sredstva u sigurnosne mjere.
1.3. Područje primjene
Ovaj se pravilnik odnosi na sve zaposlenike, suradnike, partnere, izvođače, konsultante, privremeno zaposlene, podizvođače ili bilo koja treća lica s kojima poduzeće ima poslovni odnos.
1.4. Primjenjivost
Ovaj se pravilnik primjenjuje na sva sredstva, materijalna i nematerijalna, koja su u vlasništvu ili u zakupu društva Certech Global.
2. Opće odredbe
2.1. Obveza pridržavanja
Svi zaposlenici, suradnici i partneri dužni su se pridržavati ovog pravilnika.
2.2. Tehničke i organizacijske mjere
Poduzeće omogućava odgovarajuće tehničke i organizacijske mjere za zaštitu informacija.
2.3. Edukacija
Redovito se provode edukacije o sigurnosti informacija.
2.4. Sustav upravljanja informacijama
Certech Global primjenjuje sustav upravljanja sigurnosti informacija (ISMS) kojima se postavljaju ciljevi i osnovna načela za učinkovito upravljanje informacijama.
3. Upravljačke obveze
3.1. Odjel za sigurnost informacija
Osniva se Odjel za sigurnost informacija koji će nadzirati provedbu ovih odredbi i osigurati usklađenost s ovim pravilnikom.
3.2. Planovi i procedure
Izrađuju se planovi sigurnosti, postupci za upravljanje incidentima i planovi oporavka od katastrofa.
3.3. Vlasnik pravilnika
Direktor je društva Certech Global odgovoran za upravljanje ovim pravilnikom kao i njegovo pravilno korištenje i redovno ažuriranje.
4. Zaštita informacija
4.1. Klasifikacija informacija
Označavanje osjetljivih podataka i ograničavanje pristupa prema stupnju osjetljivosti.
4.2. Kontrola pristupa
Kontrola pristupa sustavima i podacima putem jakih lozinki, višefaktorske autentifikacije i sustava autorizacije.
4.3. Sigurnosno kopiranje
Redovito sigurnosno kopiranje podataka i provjera ispravnosti sigurnosnih kopija.
4.4. Sigurnosne provjere
Redovite sigurnosne provjere (penetracijsko testiranje, ranjivosti) i ažuriranje softverskih rješenja.
4.5. Zaštita od zlonamjernog softvera
Implementacija i održavanje antivirusnih i anti-malware rješenja.
4.6. Zaštita mreže
Postavljanje i održavanje vatrozida, sustava za detekciju upada (IDS) i sustava za prevenciju upada (IPS).
5. Upravljanje sigurnosnim incidentima
5.1. Prijavljivanje incidenata
Svi zaposlenici moraju prijaviti sumnjive incidente ili povrede sigurnosti informacija.
5.2. Analiza i sanacija
Provodi se analiza incidenta, poduzimaju mjere sanacije i provodi se naknadna analiza kako bi se spriječili budući incidenti.
5.3. Postupak za incidente
Uspostavlja se interni postupak za postupanje sa sigurnosnim incidentima, uključujući obavještavanje relevantnih strana.
6. Fizička sigurnost
6.1. Kontrola pristupa
Kontrola pristupa poslovnim prostorima uporabom kartica, biometrijskih sustava ili drugih metoda identifikacije.
6.2. Sigurnost opreme
Omogućavanje fizičke sigurnosti prijenosnih uređaja (prijenosna računala, tableti, mobilni telefoni).
7. Osobni podaci
7.1. Pridržavanje OUZP-a
Poštovanje važećih zakona o zaštiti osobnih podataka (OUZP).
7.2. Ograničenje pristupa
Ograničenje pristupa osobnim podacima samo na one zaposlenike kojima je pristup neophodan za obavljanje posla.
7.3. Informiranje ispitanika
Informiranje ispitanika o načinu prikupljanja, obrade i pohrane njihovih osobnih podataka.
8. Edukacije i svijest
8.1. Redovite edukacije
Redovite edukacije zaposlenika o sigurnosti informacija, uključujući prepoznavanje phishing napada, sigurnost lozinki i druge relevantne teme.
8.2. Promicanje kulture
Promicanje kulture sigurnosti unutar poduzeća internim komunikacijama, obukama i radionicama.
8.3. Testiranje svijesti
Provedba simuliranih phishing napada i drugih testova svijesti kako bi se procijenila učinkovitost edukacija.
9. Praćenje
9.1. Redoviti auditi
Redoviti interni i eksterni auditi i provjere provedbe sigurnosnih mjera.
9.2. Ažuriranje pravilnika
Ažuriranje i poboljšavanje sigurnosnih pravilnika i postupaka na temelju rezultata audita, promjena u okruženju i novih prijetnji.
9.3. Kontinuirano poboljšanje
Praćenje performansi sigurnosnih sustava i kontinuirano poboljšanje sigurnosnih mjera.
10. Završne odredbe
10.1. Stupanje na snagu
Ovaj pravilnik stupa na snagu danom donošenja.
10.2. Potpisivanje izjave
Svi zaposlenici potpisuju izjavu o poznavanja pravilnika.
10.3. Kršenje pravilnika
Svako kršenje ovog pravilnika može rezultirati disciplinskim mjerama, uključujući i otkaz ugovora o radu.
Datum: 9. listopada 2025.
Certech Global