Powołanie Zespołu do spraw polityki bezpieczeństwa informacji w URTiP.
Dzienniki resortowe
Dz.Urz.URTiP.2005.2.8
Akt utracił moc Wersja od: 22 lutego 2005 r.
ZARZĄDZENIE Nr 4
PREZESA URZĘDU REGULACJI TELEKOMUNIKACJI I POCZTY
z dnia 31 stycznia 2005 r.
w sprawie powołania Zespołu do spraw polityki bezpieczeństwa informacji w URTiP
Na podstawie § 6 statutu Urzędu Regulacji Telekomunikacji i Poczty, stanowiącego załącznik do zarządzenia nr 25 Ministra Infrastruktury z dnia 25 listopada 2004 r. w sprawie nadania statutu Urzędowi Regulacji Telekomunikacji i Poczty (Dz. Urz. Min. In. Nr 20, poz. 213) zarządza się, co następuje:
§ 1.
1.
W Urzędzie Regulacji Telekomunikacji i Poczty, zwanym dalej "URTiP", powołuje się Zespół do spraw polityki bezpieczeństwa informacji w URTiP, zwany dalej "Zespołem", w składzie:| Przewodniczący Zespołu | |
| Marcin Wasil | - Pełnomocnik ds. ochrony informacji niejawnych, |
| Zastępca | |
| Andrzej Zajkowski | - Dyrektor Biura Informatyki, |
| Sekretarz | |
| Andrzej Zwierzchowski | - Naczelnik Wydziału Wsparcia Technicznego w Biurze Informatyki, |
| Członkowie: | |
| Mariusz Czyżak | - Zastępca Dyrektora Biura Administracji i Kadr, |
| Mikołaj Komorowski | - Naczelnik Wydziału Organizacji i Koordynacji w Biurze Dyrektora Generalnego, |
| Jacek Matyszczak | - Naczelnik Wydziału Logistyki i Spraw Pocztowych w Departamencie Spraw Obronnych, |
| Grzegorz Pięta | - Radca Prezesa w Biurze Dyrektora Generalnego. |
2.
Zadaniem Zespołu jest przygotowywanie zasad i procedur w zakresie polityki bezpieczeństwa informacji w URTiP zgodnie z normą PN-ISO/IEC 17799 "Praktyczne zasady zarządzania bezpieczeństwem informacji" w następujących obszarach: 1)
klasyfikacji aktywów, 2)
bezpieczeństwa osobowego, 3)
bezpieczeństwa fizycznego i środowiskowego, 4)
zarządzania systemami i sieciami, 5)
kontroli dostępu do systemów, 6)
rozwoju i utrzymania systemów, 7)
zarządzania ciągłością działania systemów, 8)
kontroli zgodności z przepisami prawaoraz ich coroczna weryfikacja.
3.
Przez systemy rozumie się: 1)
system informacji - celowo zorganizowana struktura pracowników, urządzeń i procedur gromadzenia, przetwarzania i rozdzielania informacji w URTiP; 2)
system informatyczny - część systemu informacyjnego działająca z wykorzystaniem technologii informatycznych; 3)
system teleinformatyczny - połączone ze sobą urządzenia telekomunikacyjne i system informatyczny.§ 2.
Bezpieczeństwo informacji w rozumieniu normy, o której mowa w § 1 ust. 2, oznacza zachowanie: 1)
poufności, przez którą rozumie się zapewnienie osobom uprawnionym dostępu do informacji; 2)
integralności, przez którą rozumie się zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; 3)
dostępności, przez którą rozumie się zapewnienie osobom uprawnionym dostępu do informacji w obszarach, o których mowa w § 1 ust. 2, i związanych z nią aktywów, jeżeli jest to potrzebne.§ 3.
Zespół zapewnia zgodność polityki bezpieczeństwa informacji z przepisami prawa, a w szczególności z przepisami: 1)
o ochronie informacji niejawnych; 2)
o zwalczaniu nieuczciwej konkurencji; 3)
o ochronie danych osobowych; 4)
Prawa autorskiego; 5)
Kodeksu pracy; 6)
Kodeksu karnego; 7)
o ochronie osób i mienia; 8)
Prawa telekomunikacyjnego; 9)
o dostępie do informacji publicznej.§ 4.
Politykę bezpieczeństwa informacji w URTiP określa się w następujących dokumentach: 1)
klasyfikacja aktywów, którego celem jest zinwentaryzowanie aktywów URTiP, czyli wszelkich zasobów mających dla URTiP wartość, a w szczególności:a)
zasobów osobowych,b)
oprogramowania,c)
danych,d)
sprzętu,e)
zasobów administracyjnych,f)
zasobów fizycznych,g)
zasobów komunikacyjnychoraz ustalenie zasad i procedur utrzymania ochrony tych aktywów;
2)
bezpieczeństwo osobowe, zawierającym zasady i procedury, których celem jest ograniczanie ryzyka błędu ludzkiego, kradzieży, oszustwa lub niewłaściwego użytkowania zasobów, o których mowa w pkt 1; 3)
bezpieczeństwo fizyczne i środowiskowe, zawierającym zasady i procedury, których celem jest zapobieganie uszkodzeniom w pomieszczeniach URTiP oraz nieuprawnionemu dostępowi do posiadanych przez URTiP informacji; 4)
zarządzanie systemami i sieciami, zawierającym zasady i procedury, których celem jest zapewnianie poprawnego i bezpiecznego działania urządzeń do przetwarzania informacji; 5)
kontrola dostępu do systemów, zawierającym zasady i procedury, których celem jest sprawdzanie dostępu do informacji strategicznych dla funkcjonowania URTiP w oparciu o wymagania bezpieczeństwa; 6)
rozwój i utrzymanie systemów, zawierającym zasady i procedury, których celem jest zapewnienie, że bezpieczeństwo jest wbudowane w systemy; 7)
zarządzanie ciągłością działania systemów, zawierającym zasady i procedury, których celem jest przeciwdziałanie przerwom w pracy URTiP oraz ochrona przed rozległymi awariami lub katastrofami; 8)
kontrola zgodności z przepisami prawa, zawierającym zasady i procedury, których celem jest eliminowanie naruszania przepisów prawa.§ 5.
1.
Do zadań Zespołu należy: 1)
przygotowanie do zatwierdzenia Dyrektorowi Generalnemu URTiP zasad i procedur, o których mowa w § 1 ust. 2; 2)
wykonywanie okresowych przeglądów polityki bezpieczeństwa informacji; 3)
sporządzanie rocznych sprawozdań z działalności Zespołu oraz przekazywanie ich Prezesowi URTiP, jego zastępcom oraz Dyrektorowi Generalnemu; 4)
monitorowanie narażenia aktywów na zagrożenia; 5)
przegląd naruszeń bezpieczeństwa informacji oraz ich monitorowanie; 6)
zgłaszanie Dyrektorowi Generalnemu URTiP propozycji zmierzających do podniesienia poziomu bezpieczeństwa informacji; 7)
wdrażanie zabezpieczeń informacji.2.
Wdrażanie zabezpieczeń informacji polega na: 1)
opracowaniu zasad i procedur związanych z zapewnieniem bezpieczeństwa informacji, w szczególności: szacowaniem ryzyka i systemem klasyfikacji aktywów; 2)
opiniowaniu zgłaszanych Zespołowi inicjatyw dotyczących bezpieczeństwa informacji oraz ich wspieranie; 3)
uwzględnianiu bezpieczeństwa informacji w rozwoju systemu teleinformatycznego; 4)
ocenie wdrażania zabezpieczeń informacji w zamawianych usługach, w rozumieniu przepisów o zamówieniach publicznych; 5)
dokonywaniu przeglądu naruszeń bezpieczeństwa informacji.§ 6.
1.
Do zadań Przewodniczącego Zespołu, zwanego dalej "Przewodniczącym", należy: 1)
przewodniczenie pracom Zespołu; 2)
wyznaczanie miejsc i terminów posiedzeń Zespołu; 3)
ustalanie planu posiedzeń Zespołu; 4)
koordynacja bieżącej pracy Zespołu; 5)
przydział zadań, jeżeli do ich realizacji wymagane jest współdziałanie kilku członków Zespołu, odpowiedzialnych za poszczególne obszary; 6)
przedkładanie Dyrektorowi Generalnemu URTiP wyników prac Zespołu.2.
Przewodniczący może zapraszać na posiedzenia Zespołu osoby spoza Zespołu w charakterze konsultantów.§ 7.
Prowadzenie spraw związanych z zadaniami, o których mowa w § 1 ust. 2, w następujących obszarach: 1)
klasyfikacji aktywów - powierza się Panu Mikołajowi Komorowskiemu; 2)
bezpieczeństwa osobowego - powierza się Panu Mariuszowi Czyżakowi; 3)
bezpieczeństwa fizycznego i środowiskowego - powierza się Panu Jackowi Matyszczakowi; 4)
zarządzania systemami i sieciami, kontroli dostępu do systemów, rozwoju i utrzymania systemów oraz zarządzania ciągłością działania systemów - powierza się Panu Andrzejowi Zajkowskiemu; 5)
kontroli zgodności z przepisami prawa - powierza się Panu Grzegorzowi Pięcie.§ 8.
Do zadań Sekretarza Zespołu należy: 1)
przygotowywanie materiałów na posiedzenia Zespołu; 2)
sporządzanie protokołów z posiedzeń Zespołu; 3)
prowadzenie korespondencji związanej z pracami Zespołu; 4)
wykonywanie, na polecenia Przewodniczącego, innych prac z zakresu zadań Zespołu.§ 9.
Za pracę w Zespole członkom Zespołu oraz pracownikom biorącym udział w pracach Zespołu nie przysługuje wynagrodzenie.§ 10.
Obsługę administracyjno-biurową Zespołu zapewnia Biuro Informatyki.§ 11.
Zarządzenie wchodzi w życie z dniem ogłoszenia.