Česká průmyslová zdravotní pojišťovna klade velký důraz na ochranu informací při zacházení s údaji souvisejícími s výkonem veřejného zdravotního pojištění.
Cílem zajištění informační bezpečnosti ČPZP je zabránit neoprávněnému nakládání s informacemi ČPZP ve všech formách jejich výskytu v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů a dále v souladu s vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti).
Informační bezpečnost je v ČPZP chápána jako komplexní proces ochrany aktiv tvořený opatřeními personální bezpečnosti, fyzické bezpečnosti, bezpečnosti informačních technologií, plánováním kontinuity činností a zajištěním souladu s požadavky legislativy a norem.
Informační bezpečnost je na všech úrovních ČPZP prosazována v souladu s deklarovaným cílem a odpovídají za ni na všech úrovních vedoucí zaměstnanci jednotlivých útvarů ČPZP.
Informační bezpečnost je zaváděna v souladu se zákonem o kybernetické bezpečnosti a s ohledem na doporučení norem ČSN ISO/IEC 27001:2014 „Informační technologie - Bezpečnostní techniky – Systémy řízení bezpečnosti informací - Požadavky“ a ČSN ISO/IEC 27002:2023 -„ Informační bezpečnost, kybernetická bezpečenost a ochrana soukromí - Opatření informační bezpečnosti" a klade důraz na:
- stanovení cílů a zásad informační a kybernetické bezpečnosti,
- určení odpovědností a pravomocí k realizaci cílů a zásad informační a kybernetické bezpečnosti,
- zavedení a dodržování opatření informační a kybernetické bezpečnosti vycházejících z bezpečnostních cílů a zásad,
- monitorování a přehodnocování funkčnosti a efektivnosti systému managementu bezpečnosti informací ČPZP,
- neustálé zlepšování systému managementu bezpečnosti informací ČPZP založené na výsledcích revizí a auditů. V rámci systému řízení bezpečnosti informací jsou provedeny a zdokumentovány veškeré činnosti vyžadované zákonem o kybernetické bezpečnosti v úrovni správce významného informačního systému.
K zakotvení cílů a zásad informační a kybernetické bezpečnosti je zpracován řád Řízení, správa a bezpečnost ICT. Řád Řízení, správa a bezpečnost ICT definuje hlavní bezpečnostní cíle a stanovuje základní zásady zavedení a rozvoje informační a kybernetické bezpečnosti a určuje pravomoci i odpovědnosti pro její řízení. Zásady této politiky jsou dále rozpracovány do konkrétních pravidel pro jednotlivé oblasti bezpečnosti v hierarchicky nižších vnitřních předpisech, zejména ve směrnici Pravidla bezpečnosti a používání prostředků ICT (postupy a povinnosti uživatelů) a v pokynu Pravidla řízení, provozu, správy a rozvoje ICT (postupy a povinnosti určených rolí v oblasti informační a kybernetické bezpečnosti).
