Dodatak L - Sklapanje i raskid ugovora

Svrha

Svrha pravilnika o sklapanju i raskidu ugovora jest definirati procedure:<

  • koje je potrebno poduzeti u pogledu sigurnosti kod sklapanja ugovora o zaposlenju ili suradnji,
  • koje definiraju koje točke sigurnosti ugovor o zaposlenju ili suradnji mora referencirati,
  • koje definiraju na koji način kvalitetno provesti raskid ugovora.

Cilj navedenih procedura je smanjenje rizika od ljudske pogreške, krađa, prijevara i zlouporabe resursa informacijskog sustava ZEMRIS.

Procedure sklapanja ugovora

Odgovorne osobe pri sklapanju ugovora o zaposlenju ili suradnji dužne su provesti mjere sigurnosti definirane sljedećim procedurama:

I. Provjera

Provjera (eng. screening) u svrhu kontrole potencijalnih zaposlenika, ulagača ili poslovnih partnera jedna je od preventivnih metoda kojima organizacija može djelovati na sigurnost informacijskog sustava. Odgovorna osoba dužna je provesti ili inicirati provjeru i ispitivanje nad potencijalnim zaposlenikom. Proces provjere i ispitivanja mora uzeti u obzir sva prava i zakonske odredbe privatnosti, te ukoliko je dopušteno uključiti sljedeće:

  • raspoložive reference karaktera, poslovanja itd.,
  • pregled dostupnih CV-a, kontrola dostavljenih podataka,
  • potvrde o školovanju i profesionalnim kvalifikacijama,
  • dokazi identiteta (putovnica),
  • da li je osoba kazneno gonjena itd.

Prikupljene podatke potrebno je dokumentirati kao povjerljive podatke, te prema njima napraviti procjenu da li postoji mogućnost zlouporabe informacijskog sustava od strane potencijalnog zaposlenika.

II. Uvjeti zaposlenja i ugovor odgovornosti

Prije zaposlenja radnika, sklapanja partnerstva s drugom organizacijom ili uključivanja u posao treće strane neophodno je u ugovor uključiti dio koji sve strane obavezuje na pridržavanje pravila definiranih sigurnosnom politikom.

Ugovor treba sadržavati dodatak s pojašnjenjima i stavovima:

  • da svaki zaposlenik, partner ili treća strana, prije dobivanja prava pristupa imovini organizacije, mora potpisati ugovor o povjerenju,
  • o zakonskim pravima i odgovornostima svakog zaposlenika, korisnika i poslovnog partnera,
  • o odgovornostima organizacije o čuvanju i rukovanju informacijama o zaposlenicima,
  • o odgovornostima u slučaju obavljanja posla izvan radnog vremena ili izvan prostorija organizacije (npr. kod kuće),
  • o akcijama koje je potrebno poduzeti ukoliko se utvrdi nepridržavanje pravila definiranih sigurnosnom politikom.

III. Odgovornosti rukovoditelja

Rukovoditelji mora zahtijevati i inzistirati na pridržavanju pravila definiranih sigurnosnom politikom od strane zaposlenika, korisnika, poslovnih partnera i treće strane. Njihova je zadaća sve zaposlenike, korisnike, partnere i treće strane:

  • pravilno i jasno informirati o njihovim ulogama u provedbi sigurnosti, te o njihovim odgovornostima prije dodjeljivanja prava pristupa osjetljivim informacijama,
  • pružiti im uvid u obliku smjernica o tome što se očekuje od njih ovisno o njihovim ulogama,
  • motivirati da se pridržavaju pravila definiranih sigurnosnom politikom,
  • osigurati potrebnu razinu svijesti o potrebi za sigurnošću, ovisno o ulogama.

IV. Edukacija o informacijskoj sigurnosti

Svi zaposlenici organizacije, i ukoliko se ukaže potreba, partneri i osoblje treće strane moraju proći odgovarajuću obuku o svijesti o informacijskoj sigurnosti, te pravovremeno biti upoznati s dopunama ili promjenama u sigurnosnoj politici organizacije.

Osnovni pojmovi o sigurnosti i obuka o svijesti o informacijskoj sigurnosti moraju biti prezentirani zaposlenicima, partnerima i trećoj strani prije dodjeljivanja prava pristupa informacijama. Edukacija korisnika mora biti s skladu s ulogom, sposobnošću i odgovornosti pojedinca.

Raskid ugovora

Postupak raskida ugovora važno je pravovremeno i kvalitetno obaviti kako se korisniku ne bi pružila mogućnost obavljanja zlonamjernih radnji.

Prilikom raskida ugovora potrebno je zadovoljiti sljedeće sigurnosne kontrole:

  • najvažniji dio raskida ugovora - ukloniti sva prava pristupa resursima zavoda; ukoliko je moguće potrebno je prava pristupa ukloniti automatski pomoću posebnih programa (pristup programskim resursima),
  • svi ključevi, pametne kartice i sl. također moraju biti vraćeni,
  • svu imovinu koju je dobio na korištenje korisnik mora vratiti u posjed zavoda,
  • vraćena imovina postaje vlasništvom zavoda (za nju postaje odgovorna glavna odgovorna osoba),
  • svi postupci vezani uz raskid ugovora (npr. vraćena imovina) moraju biti dokumentirani.