System Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny, Pracy i Polityki Społecznej.
Dzienniki resortowe
Dz.Urz.MRPiPSp.2024.13
Akt obowiązujący Wersja od: 3 kwietnia 2024 r.
ZARZĄDZENIE Nr 13
MINISTRA RODZINY, PRACY I POLITYKI SPOŁECZNEJ
z dnia 30 marca 2024 r.
w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny, Pracy i Polityki Społecznej
Na podstawie art. 7 ust. 4 pkt 5 oraz art. 34 ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2022 r. poz. 1188 oraz z 2023 r. poz. 1195, 1234 i 1641) w związku z § 20 ust. 1 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247) zarządza się, co następuje:
§ 1.
1.
System Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny, Pracy i Polityki Społecznej, zwanym dalej "Ministerstwem", stanowi strategię działania w zakresie zapewnienia właściwej ochrony informacji w Ministerstwie.2.
Celem Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie jest ochrona informacji przed utratą poufności, dostępności oraz integralności informacji w komórkach organizacyjnych Ministerstwa oraz w systemach służących do przetwarzania informacji w Ministerstwie.§ 2.
Zarządzanie bezpieczeństwem informacji w Ministerstwie jest realizowane w szczególności przez monitorowanie, aktualizowanie i doskonalenie procedur, polityk, regulaminów regulujących zasady bezpieczeństwa informacji w Ministerstwie.§ 3.
Dyrektor Generalny Ministerstwa sprawuje nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji.§ 4.
Na System Zarządzania Bezpieczeństwem Informacji w Ministerstwie składają się w szczególności następujące obszary:1)
bezpieczeństwo teleinformatyczne;2)
bezpieczeństwo osobowe;3)
bezpieczeństwo fizyczne;4)
bezpieczeństwo obiegu dokumentów;5)
ochrona danych osobowych.§ 5.
1.
Obszar bezpieczeństwa teleinformatycznego reguluje Polityka Bezpieczeństwa Informacji w obszarze IT Ministerstwa.2.
Za zapewnienie właściwego poziomu bezpieczeństwa narzędzi i rozwiązań teleinformatycznych eksploatowanych w Ministerstwie, w szczególności bezpieczeństwa przetwarzanych przez nie informacji i danych osobowych, odpowiada Departament Informatyki.3.
Obszar bezpieczeństwa osobowego i fizycznego reguluje instrukcja kontroli ruchu osobowego i materiałowego oraz organizacji ruchu pojazdów i przydziału miejsc parkingowych w Ministerstwie.4.
Obszar bezpieczeństwa obiegu dokumentów reguluje instrukcja kancelaryjna, jednolity rzeczowy wykaz akt i instrukcja w sprawie organizacji i zakresu działania archiwum zakładowego Ministerstwa.5.
Za zapewnienie bezpieczeństwa osobowego i fizycznego oraz bezpieczeństwa obiegu dokumentów w Ministerstwie odpowiada Biuro Obsługi Ministerstwa.6.
Obszar ochrony danych osobowych reguluje Polityka ochrony danych osobowych w Ministerstwie. Za monitorowanie przestrzegania w Ministerstwie przepisów dotyczących ochrony danych osobowych odpowiada Inspektor Ochrony Danych.§ 6.
1.
W Ministerstwie powołuje się Zespół do spraw Systemu Zarządzania Bezpieczeństwem Informacji, zwany dalej "Zespołem".2.
Zespół ma na celu wsparcie Dyrektora Generalnego Ministerstwa w procesie zarządzania bezpieczeństwem informacji.3.
Do zadań Zespołu należy:1)
monitorowanie aktualizacji regulacji wewnętrznych i inicjowanie propozycji rozwiązań w zakresie dotyczącym obszarów, o których mowa w § 4, w szczególności w oparciu o analizę:a)
charakteru incydentów naruszenia bezpieczeństwa informacji, sporządzoną na podstawie zbiorczych informacji przekazywanych przez poszczególnych członków Zespołu,b)
ryzyka, sporządzoną na podstawie Polityki Bezpieczeństwa Informacji w obszarze IT Ministerstwa;2)
proponowanie wdrożenia działań w celu usprawnienia poszczególnych obszarów, o których mowa w § 4;3)
wskazywanie do wdrażania inicjatyw z obszarów, o których mowa w § 4;4)
monitorowanie realizacji zaleceń pokontrolnych lub poaudytowych przedstawionych w wyniku kontroli lub audytu Systemu Zarządzania Bezpieczeństwem Informacji;5)
opiniowanie wyników oceny ryzyka, sporządzonych na podstawie regulacji wewnętrznych dotyczących kontroli zarządczej w Ministerstwie;6)
monitorowanie i proponowanie udoskonaleń Systemu Zarządzania Bezpieczeństwem Informacji.§ 7.
1.
W skład Zespołu wchodzą:1)
Przewodniczący - Dyrektor Generalny Ministerstwa;2)
Zastępca Przewodniczącego - Dyrektor Biura Kontroli i Audytu;3)
Sekretarz - pracownik Biura Kontroli i Audytu wyznaczony przez Przewodniczącego;4)
Dyrektor Departamentu Informatyki i jego Zastępca;5)
Dyrektor Biura Obsługi Ministerstwa albo jego Zastępca;6)
Dyrektor Biura Dyrektora Generalnego albo jego Zastępca;7)
Dyrektor Biura Ministra albo jego Zastępca;8)
Inspektor Ochrony Danych i jego Zastępca - w trybie doradczym;9)
audytor wewnętrzny - w trybie doradczym;10)
pracownik wydziału kontroli - w trybie doradczym.2.
W przypadku przewidywanej nieobecności członka Zespołu, o którym mowa w ust. 1 pkt 2 oraz 4-7, do udziału w posiedzeniu może zostać wyznaczony przez tego członka Zespołu inny pracownik tej samej komórki organizacyjnej Ministerstwa.3.
W pracach Zespołu, na zaproszenie Przewodniczącego, w zależności od potrzeb, mogą brać udział, z głosem doradczym, osoby inne niż wymienione w ust. 1.§ 8.
1.
Pracami Zespołu kieruje Przewodniczący.2.
Zastępca Przewodniczącego wypełnia zadania Przewodniczącego podczas jego nieobecności.3.
Przewodniczący może w szczególności:1)
zwracać się do dyrektorów komórek organizacyjnych Ministerstwa z prośbą o informacje, wyjaśnienia oraz wgląd do dokumentów, niezbędnych do realizacji zadań Zespołu;2)
powierzać poszczególnym członkom Zespołu wykonanie określonych czynności, niezbędnych do realizacji zadań Zespołu.4.
Przewodniczący zarządza prowadzenie prac Zespołu w trybie stacjonarnym lub zdalnym, za pośrednictwem środków porozumiewania się na odległość, albo w trybie obiegowym przy użyciu poczty elektronicznej.5.
Zespół obraduje na posiedzeniach, odbywających się nie rzadziej niż raz na pół roku.6.
Miejsce i termin posiedzeń Zespołu wyznacza Przewodniczący.7.
Zespół obraduje z inicjatywy Przewodniczącego lub na pisemny wniosek członka Zespołu, skierowany do Przewodniczącego Zespołu.8.
Zespół podejmuje decyzje w drodze głosowania zwykłą większością głosów, w obecności co najmniej połowy członków Zespołu.9.
W przypadku niepodjęcia decyzji w sposób, o którym mowa w ust. 8, ostateczną decyzję podejmuje Przewodniczący.10.
Sekretarz sporządza protokół z posiedzenia Zespołu. Protokół podpisują Sekretarz i Przewodniczący.11.
Protokół jest przekazywany członkom Zespołu w ciągu 14 dni od dnia posiedzenia.§ 9.
Praca w Zespole odbywa się w ramach obowiązków służbowych. Członkowie Zespołu nie otrzymują z tego tytułu dodatkowego wynagrodzenia.§ 10.
Obsługę organizacyjno-biurową Zespołu zapewnia Biuro Kontroli i Audytu w Ministerstwie.§ 11.
1.
Kierujący komórkami organizacyjnymi Ministerstwa odpowiadają za wdrożenie i przestrzeganie Systemu Zarządzania Bezpieczeństwem Informacji w podległych sobie komórkach organizacyjnych, w szczególności określają zasoby informacji i ich nośniki, zagrożenia dla informacji oraz szacują ryzyko w zakresie bezpieczeństwa informacji dla podległych sobie komórek organizacyjnych.2.
Kierujący komórkami organizacyjnymi Ministerstwa współpracują z Zespołem w zakresie zarządzania bezpieczeństwem informacji.§ 12.
System Zarządzania Bezpieczeństwem Informacji w Ministerstwie nie dotyczy informacji niejawnych w rozumieniu ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. z 2023 r. poz. 756, 1030 i 1532).§ 13.
Traci moc zarządzenie nr 38 Ministra Rodziny i Polityki Społecznej z dnia 6 grudnia 2022 r. w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny i Polityki Społecznej (Dz.Urz. Min. Rodz. i Pol. Społ. poz. 39 oraz z 2023 r. poz. 28).§ 14.
Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.