Ochrana
Útvar Ochrana Skupiny ČEZ zajišťuje velkou část činností základní oblasti řízení A_Ochrana, týkající se ochrany osob, objektů, informací, projektů a ostatních aktiv společností Skupiny ČEZ.
Útvar odpovídá za implementaci požadavků na zabezpečení JE dle zákona č. 263/2016 Sb., atomový zákon nebo požadavků na ochranu kritické infrastruktury ČR dle zákona č. 240/200 Sb., krizový zákon a v posledním období zejména za zajištění informační a kybernetické bezpečnosti. V této oblasti jde především o plnění Nařízení EP a rady (EU) o ochraně osobních údajů, známého pod zkratkou GDPR, dále zákona č. 181/2014 o kybernetické bezpečnosti, zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ale i specifických ustanovení Atomového zákona pro oblast zabezpečení počítačových systémů. V oblastech informační bezpečnosti útvar řídí nebo se podílí na ochraně kategorizovaných informací (obchodní tajemství, vnitřní informace, atd.), implementaci opatření vyplývajících z doporučení norem řady ISO (ISO/IEC 27001:2013 ISMS) nebo renomovaných mezinárodních organizací, např. IAEA (NSS 17 Computer Security Management at Nuclear Facilities), apod.
Politika
Vrcholovým dokumentem v oblasti ochrany je "Politika ochrany Skupiny ČEZ".
Pro naplnění Politiky Ochrany představenstvo ČEZ, a. s., a statutární orgány ostatních dotčených společností ve Skupině ČEZ vytvářejí a rozvíjejí odpovídající podmínky a dostatečné lidské i finanční zdroje, účinné řídící struktury a kontrolní mechanismy.
1.1 Závazek statutárních orgánů společností skupiny ČEZ v oblasti ochrany Skupiny ČEZ
Statutární orgány společností Skupiny ČEZ si uvědomují existenci reálných hrozeb v oblasti informační a kybernetické bezpečnosti, oblasti ochrany informací, projektů a zájmů a dále v oblasti zabezpečení jaderného zařízení (JZ) a jaderných materiálů (JM) a ochrany kritické infrastruktury a důležitost zajištění ochrany SKČ ve všech těchto oblastech.
Statutární orgány společností Skupiny ČEZ si uvědomují svoji odpovědnost za bezpečnost SKČ a proto, v souladu se strategií SKČ, aktivně podporují zajištění ochrany SKČ.
Statutární orgány společností Skupiny ČEZ se zároveň aktivně podílejí na hodnocení efektivnosti systému řízení a zajištění ochrany SKČ a poskytují odpovídající zdroje nutné k dosažení cílů stanovených pro jednotlivé oblasti ochrany SKČ v přílohách tohoto dokumentu.
Pro adekvátní podporu zajištění ochrany SKČ stanoví Představenstvo ČEZ, a. s., osobu odpovědnou za nastavení efektivního systému řízení ochrany SKČ a zajištění adekvátních zdrojů k dosažení stanovených cílů SKČ v oblasti ochrany generálního ředitele ČEZ, a. s.
1.2 Odpovědnost za ochranu Skupiny ČEZ
Generální ředitel ČEZ, a. s., deleguje dílčí odpovědnosti a s tím spojené pravomoci za nastavení efektivního systému řízení ochrany SKČ a zajištění adekvátních zdrojů k dosažení cílů SKČ v oblasti ochrany v souladu se systémem řízení SKČ.
Za zajištění ochrany SKČ odpovídají členové statutárních orgánů a zaměstnanci společností Skupiny ČEZ v rozsahu své pracovní náplně, svých odpovědností a kompetencí.
Vedoucí na všech úrovních řízení odpovídají za výkon kontrolních funkcí v oblasti ochrany SKČ v rozsahu své působnosti.
1.3 Vize skupiny ČEZ v oblasti ochrany Skupiny ČEZ
Zajistit odpovídající úroveň ochrany SKČ v souladu s platnou legislativou, mezinárodními standardy a doporučeními.
Zajistit spolehlivé poskytování produktů a služeb všem zákazníkům a partnerům SKČ a to pomocí kontinuálního vzdělávání a přípravy odborného personálu a všech uživatelů informací a informačních a technologických systémů, správy a rozvoje informačních a technologických systémů, efektivního řízení rizik a zavádění adekvátních bezpečnostních opatření.
Politiky
Politika informační a kybernetické bezpečnosti
Politika ochrany informací, projektů a zájmů
Politika zajištění kontinutity podnikání a krizového řízení
ISMS Certifikace
Informační a kybernetická bezpečnost (IKB) je nezbytnou součástí systému řízení v každé větší organizaci. V ČEZ, a. s., se řídí Systémem pro řízení informační bezpečnosti (ve zkratce ISMS z anglického Information Security Management System) dle normy ISO/IEC 27001.
Stav a nastavení ochrany informačních systémů jaderných elektráren. Ale také povědomí zaměstnanců o významu informační a kybernetické bezpečnosti a její dodržování, nebo soulad mezi zákonnými požadavky a stávajícími podmínkami ve společnosti ČEZ. To je jen příklad oblastí, které spadají do systému pro řízení informační bezpečnosti (ISMS). Dukovany a Temelín patří mezi první jaderná zařízení na světě, která tímto procesem úspěšně prošla.
Certifikát, vydaný podle příslušné mezinárodní normy ISO, je platný do října 2024.
Odpovědnou osobou za oblast ISMS je Ing. Pavel Hejduk, manažer útvaru informační a kybernetická bezpečnost.
Veškeré Vaše dotazy, náměty, připomínky související s certifikací ISMS směřujte, prosím, na email security@cez.cz.
CSIRT-ČEZ
Ve společnosti ČEZ, a. s. byla v roce 2023 zahájena činnost týmu CSIRT, který řeší skupinově významné incidenty z oblasti kybernetické bezpečnosti v rámci provozovaných sítí a IT systémů Skupiny ČEZ. Cílem CSIRT-ČEZ je pomoci společnostem Skupiny ČEZ účinně čelit bezpečnostním výzvám, reagovat na kybernetické incidenty, koordinovat kroky k jejich řešení a účinně jim předcházet.
Základní informace – RFC2350 – česká verze
Základní informace – RFC2350 – anglická verze
CSIRT- ČEZ – kontakt/contact
- Veřejný PGP klíč pro CSIRT-ČEZ/Public PGP for CSIRT-CEZ:
- Type: RSA/3072 Expires: 16.1.2028
- Fpr: 12E8 74DE DBF3 4F1F 7EFE 92CB FF1A 27C4 F49B BA2B
- UID: CSIRT-CEZ csirt@cez.cz
- Link for PGP
- Veřejný PGP pro zástupce CSIRT-ČEZ/Public PGP for CSIRT-CEZ representative:
- Type: RSA/3072 Expires: 22.2.2029
- Fpr: F5DF E7A0 9501 5E6E D811 1B28 F52C 2246 88AF 8A59
- UID: Grznar Tomas tomas.grznar@cez.cz
- Link for PGP