Ustanowienie Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad i określenia sposobu wprowadzania dokumentacji tego systemu.
Dz.Urz.GDDKiA.2021.23
Akt obowiązującyZARZĄDZENIE Nr 23
GENERALNEGO DYREKTORA DRÓG KRAJOWYCH I AUTOSTRAD
z dnia 1 września 2021 r.
w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad i określenia sposobu wprowadzania dokumentacji tego systemu
- staje się dokumentacją w rozumieniu § 4 ust. 2 pkt 1.
ZAŁĄCZNIKI
ZAŁĄCZNIK Nr 1 5
Polityka Bezpieczeństwa Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad
Polityka Bezpieczeństwa Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad
Sygnatura dokumentu | SZBLI.2 |
Wersja dokumentu | 2.0 |
Liczba stron | 29 |
Spis treści
Wstęp
Rozdział 1. Przepisy ogólne
Rozdział 2. Zasady bezpieczeństwa i ochrony informacji w GDDKiA
Rozdział 3. Odpowiedzialność i uprawnienia w zakresie bezpieczeństwa informacji
Rozdział 4. Klasyfikacja informacji i zasady postępowania z informacjami
Rozdział 5. Incydent bezpieczeństwa informacji
Rozdział 6. Zarządzanie ryzykiem
Rozdział 7. Ciągłość działania
Rozdział 8. Działania kontrolne
Rozdział 9. Postanowienia końcowe
Załącznik nr 1
Załącznik nr 2
Wstęp
1.Bezpieczeństwo informacji jest jednym z najistotniejszych elementów budowania zaufania społecznego dla Generalnej Dyrekcji Dróg Krajowych i Autostrad, zwanej dalej "GDDKiA", i powinno być uwzględniane we wszystkich procesach składających się na system zarządzania informacją.
1.Bezpieczeństwo informacji jest jednym z najistotniejszych elementów budowania zaufania społecznego dla Generalnej Dyrekcji Dróg Krajowych i Autostrad, zwanej dalej "GDDKiA", i powinno być uwzględniane we wszystkich procesach składających się na system zarządzania informacją.
- System zarządzania bezpieczeństwem informacji obejmuje wszystkie utrwalone na nośnikach elektronicznych i w dokumentach oraz nieutrwalone informacje wykorzystywane przez GDDKiA stanowiące jej własność lub powierzone jej przez inne podmioty.
- Ryzyko związane z możliwością zaistnienia naruszeń bezpieczeństwa informacji podlega stałej ocenie, monitorowaniu i ograniczaniu.
- Identyfikacja i szacowanie ryzyka opiera się o udokumentowane procedury, uwzględniające zarówno kryteria dotyczące działalności człowieka, jak i aspekty od niego niezależne.
- Informacje zaklasyfikowane do określonej kategorii mają jednoznacznie określone zasady postępowania z nimi i ich ochrony podczas całego cyklu ich przetwarzania.
- System zarządzania bezpieczeństwem informacji jest oparty o obowiązujące normy prawne i uznane standardy w tym zakresie.
Mając na uwadze powyższe, Generalny Dyrektor Dróg Krajowych i Autostrad, zastępcy Generalnego Dyrektora Dróg Krajowych i Autostrad oraz Dyrektor Generalny GDDKiA (Kierownictwo GDDKiA) deklarują zaangażowanie się w zapewnienie odpowiedniego poziomu ochrony bezpieczeństwa informacji, poprzez zapewnienie wdrożenia i utrzymania Systemu Zarządzania Bezpieczeństwem Informacji.
Kierownictwo GDDKiA zobowiązane jest do:
1) wspierania komórki organizacyjnej GDDKiA powołanej do zapewnienia bezpieczeństwa informacji w realizowaniu jej zadań, w tym zadania związanego z utrzymaniem i ciągłym doskonaleniem Systemu Zarzadzania Bezpieczeństwem Informacji;
2) zapewnienia zasobów niezbędnych do wdrożenia i utrzymania Systemu Zarządzania Bezpieczeństwem Informacji, w tym zapewnienia adekwatnych i proporcjonalnych do realizowanych zadań zabezpieczeń organizacyjnych i technicznych mających na celu minimalizację ryzyk związanych z ochroną informacji;
3) wspierania osób przyczyniających się do zapewnienia efektywnego działania Systemu Zarządzania Bezpieczeństwem Informacji.
Podstawowe zasady i odpowiedzialność w zakresie funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji określa niniejsza Polityka Bezpieczeństwa Informacji, opracowana zgodnie z obowiązującymi przepisami prawa i wewnętrznymi aktami normatywnymi, w szczególności:
- Rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. WE L 119 z 27.04.2016, str. 1 oraz Dz. Urz. UE L 127 z 23 maja 2018 r., str. 2),
- ustawą z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902),
- ustawą z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2023 r. poz. 57,1123 i 1234),
- ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2023 r. poz. 756 i 1030),
- ustawą z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz.U. poz. 1641 i z 2022 r. poz. 1700),
- ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781),
- ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913),
- ustawą z dnia 22 listopada 2018 r. o dokumentach publicznych (Dz. U. z 2023 r. poz. 1006),
- rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej (Dz. U. Nr 10, poz. 68),
- rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247),
- zarządzeniem nr 27 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 5 grudnia 2022 r. w sprawie nadania Regulaminu Organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad (Dz. Urz. GDDKiA poz. 27 oraz z 2023 r. poz. 8 i 11),
jak również w oparciu o wymagania Polskich Norm i dobrych praktyk w obszarze bezpieczeństwa informacji, w tym w szczególności z PN-ISO/IEC 27000, PN-ISO/IEC 27001, PN-ISO/IEC 27002, PN- ISO/IEC 27005, PN-EN ISO 22301, PN-EN ISO 22313, PN-EN ISO/IEC 27018.
Rozdział 1.
Przepisy ogólne.
Przepisy ogólne.
Rozdział 2.
Zasady bezpieczeństwa i ochrony informacji w GDDKiA.
Zasady bezpieczeństwa i ochrony informacji w GDDKiA.
Rozdział 3.
Odpowiedzialność i uprawnienia w zakresie bezpieczeństwa informacji.
Odpowiedzialność i uprawnienia w zakresie bezpieczeństwa informacji.
Rozdział 4.
Klasyfikacja informacji i zasady postępowania z informacjami.
Klasyfikacja informacji i zasady postępowania z informacjami.
Rozdział 5.
Incydent bezpieczeństwa informacji.
Incydent bezpieczeństwa informacji.
Rozdział 6.
Zarządzanie ryzykiem.
Zarządzanie ryzykiem.
Rozdział 7.
Ciągłość działania.
Ciągłość działania.
Rozdział 8.
Działania kontrolne.
Działania kontrolne.
Rozdział 9.
Postanowienia końcowe.
Postanowienia końcowe.
Załącznik Nr 1
Oświadczenie o zapoznaniu z zasadami bezpieczeństwa informacji, sposobami ich ochrony i zachowaniu poufności
Oświadczenie o zapoznaniu z zasadami bezpieczeństwa informacji, sposobami ich ochrony i zachowaniu poufności
Załącznik Nr 2 6
Wzór
Harmonogram wdrożenia SZBI
Wzór
Harmonogram wdrożenia SZBI
ZAŁĄCZNIK Nr 2 6
Lp. | Czynności | Odpowiedzialny | Termin realizacji1 |
FAZA WDROŻENIA SZBI | |||
1. Ustalenie struktur SZBI: | |||
1a. | Wyznaczenie Pełnomocnika ds. Bezpieczeństwa Informacji w GDDKiA | Generalny Dyrektor Dróg Krajowych i Autostrad | do 10.01.2022 |
1b. | Powołanie wewnętrznej komórki organizacyjnej ds. bezpieczeństwa informacji w Centrali | Dyrektor Generalny | 30 dni od ustalenia nowego lub zmiany Regulaminu Organizacyjnego GDDKiA |
1c. | Wyznaczenie Koordynatorów ds. Bezpieczeństwa Informacji w Oddziałach GDDKiA | Dyrektorzy Oddziałów GDDKiA | 30 dni od 1b |
1d. | Powołanie Zespołu ds. analizy ryzyka w Centrali i Oddziałach GDDKiA | Dyrektor Generalny / Dyrektorzy Oddziałów GDDKiA | do 30.06.2022 |
2. Inwentaryzacja aktywów informacyjnych: | |||
2a. | Opracowanie i rozdysponowanie arkuszy inwentaryzacji aktywów informacyjnych w Centrali | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30 dni od 1b |
2b. | Rozdysponowanie arkuszy inwentaryzacji aktywów informacyjnych w Oddziałach | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30 dni od 1b |
2c. | Przeprowadzenie procesu inwentaryzacji aktywów informacyjnych w Centrali | Kierownicy komórek organizacyjnych Centrali | do 60 dni od 2a |
2d. | Przeprowadzenie procesu inwentaryzacji aktywów informacyjnych w Oddziałach | Dyrektorzy Oddziałów | do 60 dni od 2b |
3. Klasyfikacja informacji | |||
3a. | Opracowanie i przedstawienie do zatwierdzenia procedury klasyfikacji informacji wraz z harmonogramem jej przeprowadzenia | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30 dni od 1b |
3b. | Przeprowadzenie procesu klasyfikacji informacji | Kierownicy komórek organizacyjnych i Dyrektorzy Oddziałów | wg harmonogramu, o którym mowa w 3a |
4. Dokumentacja SZBI | |||
4a. | Aktualizacja Polityki Ochrony Danych Osobowych | Zespół powołany zarządzeniem Dyrektora Generalnego | do 30.06.2022 |
4b. | Aktualizacja Polityki Bezpieczeństwa Teleinformatycznego | Zespół powołany zarządzeniem Dyrektora Generalnego | do 30.12.2022 |
4c. | Aktualizacja Polityki Bezpieczeństwa Fizycznego | Zespół powołany zarządzeniem Dyrektora Generalnego | do 30.09.2022 |
4d. | Opracowanie i przedstawienie do zatwierdzenia procedur reagowania na incydenty lub podejrzenia wystąpienia incydentu bezpieczeństwa informacji | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30.06.2022 |
4e. | Opracowanie i przedstawienie do zatwierdzenia metodyki analizy ryzyka | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30.09.2022 |
4f. | Opracowanie i przedstawienie do zatwierdzenia wytycznych w sprawie zasad bezpieczeństwa informacji podczas współpracy z podmiotami zewnętrznymi | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30.06.2022 |
4g. | Opracowanie i przedstawienie do zatwierdzenia wytycznych w sprawie bezpieczeństwa osobowego | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30.06.2022 |
Osiągnięcie FAZY EKSPLOATACJI I UTRZYMANIA SZBI |
_______________________
1 Termin inny niż określony datą podawany jest w dniach kalendarzowych
ZAŁĄCZNIK Nr 3 7
Opis sposobu wprowadzania dokumentacji SZBI
Opis sposobu wprowadzania dokumentacji SZBI