Wprowadzenie Systemu Zarządzania Bezpieczeństwem Informacji w Głównym Inspektoracie Transportu Drogowego.
Dz.Urz.GITD.2023.17
Akt obowiązującyZARZĄDZENIE Nr 17/2023
GŁÓWNEGO INSPEKTORA TRANSPORTU DROGOWEGO
z dnia 30 sierpnia 2023 r.
w sprawie wprowadzenia Systemu Zarządzania Bezpieczeństwem Informacji w Głównym Inspektoracie Transportu Drogowego
ZAŁĄCZNIK
Polityka Bezpieczeństwa Informacji Głównego Inspektoratu Transportu Drogowego
Polityka Bezpieczeństwa Informacji Głównego Inspektoratu Transportu Drogowego
CZĘŚĆ I:
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
Rozdział 1
[Wprowadzenie]
[Wprowadzenie]
- administrowane przez BT oraz
- administrowane i zarządzane przez BDG.
Rozdział 2
[Struktura i obszary PBI]
[Struktura i obszary PBI]
Rozdział 3
[Zgodność z przepisami, normami i standardami]
[Zgodność z przepisami, normami i standardami]
Rozdział 4
[Odstępstwa i wyjątki]
[Odstępstwa i wyjątki]
Rozdział 5
[Dokumentacja SZBI]
[Dokumentacja SZBI]
CZĘŚĆ II:
ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI
ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI
Rozdział 6
[Role i odpowiedzialność]
[Role i odpowiedzialność]
Rozdział 7
[Zarządzanie ryzykiem]
[Zarządzanie ryzykiem]
Rozdział 8
[Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]
[Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]
Rozdział 9
[Zarządzanie zasobami, wiedzą i kompetencjami]
[Zarządzanie zasobami, wiedzą i kompetencjami]
Rozdział 10
[Zarządzanie komunikacją w ramach SZBI]
[Zarządzanie komunikacją w ramach SZBI]
Rozdział 11
[Monitorowanie, pomiary, analiza i ocena]
[Monitorowanie, pomiary, analiza i ocena]
Rozdział 12
[Audyt wewnętrzny]
[Audyt wewnętrzny]
Rozdział 13
[Przeglądy zarządzania]
[Przeglądy zarządzania]
Rozdział 14
[Niezgodności i działania korygujące]
[Niezgodności i działania korygujące]
Rozdział 15
[Zarządzanie incydentami bezpieczeństwa informacji]
[Zarządzanie incydentami bezpieczeństwa informacji]
Rozdział 16
[Ciągłe doskonalenie]
[Ciągłe doskonalenie]
CZĘŚĆ III:
ZAPEWNIENIE BEZPIECZEŃSTWA INFORMACJI
ZAPEWNIENIE BEZPIECZEŃSTWA INFORMACJI
Rozdział 17
[Polityki bezpieczeństwa informacji]
[Polityki bezpieczeństwa informacji]
Rozdział 18
[Organizacja bezpieczeństwa informacji]
[Organizacja bezpieczeństwa informacji]
Rozdział 19
[Urządzenia mobilne i praca na odległość]
[Urządzenia mobilne i praca na odległość]
Rozdział 20
[Bezpieczeństwo osobowe]
[Bezpieczeństwo osobowe]
Rozdział 21
[Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]
[Zarządzanie urządzeniami teleinformatycznymi i oprogramowaniem]
Rozdział 22
[Kontrola dostępu]
[Kontrola dostępu]
Rozdział 23
[Kryptografia]
[Kryptografia]
Rozdział 24
[Bezpieczeństwo fizyczne i środowiskowe]
[Bezpieczeństwo fizyczne i środowiskowe]
Rozdział 25
[Bezpieczna eksploatacja]
[Bezpieczna eksploatacja]
Rozdział 26
[Bezpieczeństwo komunikacji]
[Bezpieczeństwo komunikacji]
Rozdział 27
[Pozyskiwanie, rozwój i utrzymanie systemów]
[Pozyskiwanie, rozwój i utrzymanie systemów]
Rozdział 28
[Relacje z podmiotami zewnętrznymi]
[Relacje z podmiotami zewnętrznymi]
Rozdział 29
[Zarządzanie incydentami]
[Zarządzanie incydentami]
Rozdział 30
[Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania]
[Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania]
Rozdział 31
[Zgodność]
[Zgodność]
Rozdział 32
[Załączniki do PBI]
[Załączniki do PBI]
Załącznik Nr 1
Oświadczenie o zapoznaniu i zobowiązanie do przestrzegania zasad ochrony informacji określonych Polityką Bezpieczeństwa Informacji Głównego Inspektoratu Transportu Drogowego
Oświadczenie o zapoznaniu i zobowiązanie do przestrzegania zasad ochrony informacji określonych Polityką Bezpieczeństwa Informacji Głównego Inspektoratu Transportu Drogowego
Załącznik Nr 2
Polityka Bezpieczeństwa Osobowego
Polityka Bezpieczeństwa Osobowego
Załącznik Nr 3
Polityka Bezpieczeństwa Fizycznego i Środowiskowego
Polityka Bezpieczeństwa Fizycznego i Środowiskowego
mechanicznym
Załącznik Nr 4
Polityka Bezpieczeństwa Teleinformatycznego
Polityka Bezpieczeństwa Teleinformatycznego
Wymagania i zasady dotyczące prowadzenia CMDB
Wymagania i zasady dotyczące prowadzenia CMDB
Wymagania i zasady dotyczące zarządzania nośnikami elektronicznymi
Wymagania i zasady dotyczące zarządzania nośnikami elektronicznymi
Wymagania i zasady dotyczące użytkowania urządzeń mobilnych
Wymagania i zasady dotyczące użytkowania urządzeń mobilnych
Wymagania i zasady dotyczące użytkowania urządzeń przenośnych
Wymagania i zasady dotyczące użytkowania urządzeń przenośnych
Wymagania i zasady dotyczące bezpieczeństwa informacji przy pracy na odległość, w tym pracy zdalnej
Wymagania i zasady dotyczące bezpieczeństwa informacji przy pracy na odległość, w tym pracy zdalnej
Polityka korzystania z urządzeń prywatnych (BYOD)
Polityka korzystania z urządzeń prywatnych (BYOD)
Wymagania i zasady dotyczące informacji uwierzytelniających
Wymagania i zasady dotyczące informacji uwierzytelniających
Wymagania i zasady dotyczące kontroli dostępu
Wymagania i zasady dotyczące kontroli dostępu
Wymagania i zasady dotyczące stosowania zabezpieczeń kryptograficznych
Wymagania i zasady dotyczące stosowania zabezpieczeń kryptograficznych
Wymagania i zasady dotyczące dokumentacji systemów
Wymagania i zasady dotyczące dokumentacji systemów
- w zakresie szczegółowym wynikającym z obowiązujących przepisów prawa, na podstawie polityki procedur ustanowionych i wdrożonych dla systemu.
Wymagania i zasady dotyczące kopii zapasowych
Wymagania i zasady dotyczące kopii zapasowych
Wymagania i zasady dotyczące rejestrowania zdarzeń oraz monitorowania
Wymagania i zasady dotyczące rejestrowania zdarzeń oraz monitorowania
Wymagania i zasady dotyczące nadzoru nad sprzętem i oprogramowaniem
Wymagania i zasady dotyczące nadzoru nad sprzętem i oprogramowaniem
Przeglądy, konserwacje i naprawy sprzętu
Przeglądy, konserwacje i naprawy sprzętu
Użytkowanie oprogramowania
Użytkowanie oprogramowania
Wycofywanie oprogramowania z eksploatacji
Wycofywanie oprogramowania z eksploatacji
Instalowanie oprogramowania
Instalowanie oprogramowania
Repozytoria nośników instalacyjnych i pakietów instalacyjnych oprogramowania
Repozytoria nośników instalacyjnych i pakietów instalacyjnych oprogramowania
Aktualizowanie oprogramowania
Aktualizowanie oprogramowania
Bezpieczne użytkowanie sprzętu i oprogramowania
Bezpieczne użytkowanie sprzętu i oprogramowania
Ochrona przed szkodliwym oprogramowaniem
Ochrona przed szkodliwym oprogramowaniem
Wymagania i zasady dotyczące zarządzania podatnościami technicznymi
Wymagania i zasady dotyczące zarządzania podatnościami technicznymi
Wymagania i zasady dotyczące bezpieczeństwa sieci teleinformatycznych
Wymagania i zasady dotyczące bezpieczeństwa sieci teleinformatycznych
Wymagania i zasady dotyczące projektowania bezpiecznych systemów
Wymagania i zasady dotyczące projektowania bezpiecznych systemów
Dopuszczenie systemu do eksploatacji
Dopuszczenie systemu do eksploatacji
Prace związane z budową lub rozwojem systemów zlecane podmiotom zewnętrznym
Prace związane z budową lub rozwojem systemów zlecane podmiotom zewnętrznym
Wymagania i zasady dotyczące danych testowych i środowisk
Wymagania i zasady dotyczące danych testowych i środowisk
Zarządzanie zmianami w systemach
Zarządzanie zmianami w systemach
Wymagania i zasady dotyczące zarządzania ciągłością działania
Wymagania i zasady dotyczące zarządzania ciągłością działania
Wymagania i zasady dotyczące zarządzania ciągłością realizacji zadań
Wymagania i zasady dotyczące zarządzania ciągłością realizacji zadań
Synchronizacja zegarów z wzorcowym źródłem czasu
Synchronizacja zegarów z wzorcowym źródłem czasu
Bezpieczeństwo okablowania
Bezpieczeństwo okablowania
Bezpieczeństwo wideokonferencji
Bezpieczeństwo wideokonferencji
Wykaz systemów informatycznych i wspierających
Wykaz systemów informatycznych i wspierających
Załącznik Nr 1
Część A
Część A
WYKAZ SYSTEMÓW INFORMACYJNYCH WSKAZANYCH W § 5 PBI | ||
Lp. | Nazwa systemu informacyjnego | Właściciel biznesowy systemu informacyjnego |
1 | 2 | |
1 | ||
2 |
WYKAZ SYSTEMÓW WSPIERAJĄCYCH WSKAZANYCH W § 6 PBI | ||
Lp. | System | Właściciel systemu wspierającego |
1 | 2 | |
1 | ||
2 |
Właściciel biznesowy systemu informacyjnego / właściciel systemu wspierającego - właściciele, o których mowa w § 3 pkt 56 i 57 PBI
Część B
INFORMACJE DOTYCZĄCE SYSTEMÓW ZAWARTYCH W WYKAZIE SYSTEMÓW INFORMACYJNYCH WSKAZANYCH W § 5 PBI | ||||||||||||||
Lp. | Nazwa systemu | Czy rejestr publiczny? (nie, tak - podstawa prawna) | Cel stosowania / zadania publiczne | Właściciel biznesowy | AMS | ISV | Kategorie informacji przetwarzane w systemie informacyjnym (kategoria informacji, kategoria bezpieczeństwa informacji) | Kategoria bezpieczeństwa systemu informacyjnego | Skala systemu | Powiązania z innymi systemami | Warstwa techniczna | Producent | Czy są umowy serwisowe / dotyczące administrowania | Inne |
1 |
INFORMACJE DOTYCZĄCE SYSTEMÓW ZAWARTYCH W WYKAZIE SYSTEMÓW INFORMACYJNYCH WSKAZANYCH W § 6 PBI | |||||||||||||
Lp. | System | Cel stosowania | Właściciel systemu wspierającego | AMS | ISV | Kategorie informacji przetwarzane w systemie wspierającym (kategoria informacji, kategoria bezpieczeństwa informacji) | Kategoria bezpieczeństwa systemu wspierającego | Skala systemu | Powiązania z innymi systemami | Warstwa techniczna | Producent | Czy są umowy serwisowe / dotyczące administrowania | Inne |
1 |
Nazwa systemu informacyjnego / System - nazwa systemu zgodna z jego dokumentacją lub przyjętą nomenklaturą
Czy rejestr publiczny? - czy system jest rejestrem publicznym? Jeżeli tak, wskazanie podstawy prawnej prowadzenia rejestru publicznego. Cel stosowania / zadania publiczne - cel stosowania systemu / wskazanie zadań publicznych, które system wspiera (wraz z odniesieniem do podstawy prawnej wskazującej obowiązek ich realizacji).
Właściciel biznesowy systemu informacyjnego / właściciel systemu wspierającego - właściciele, o których mowa w § 3 pkt 56 i 57 PBI AMS - wskazanie danych kontaktowych AMS.
ASI - wskazanie danych kontaktowych ASI.
Kategoria bezpieczeństwa systemu informacyjnego - jak ważny jest system dla urzędu, jak ważne są dane i informacje w nim przetwarzane i gromadzone, jak istotne jest funkcjonowanie systemu dla użytkowników wewnętrznych, zewnętrznych, jakie skutki mogą wystąpić w przypadku naruszenia poufności, integralności lub dostępności systemu informacyjnego. Kategoryzacja systemu informacyjnego zgodnie z NSC 199 (NISKA, UMIARKOWANA, WYSOKA).
Kategorie informacji przetwarzane w systemie informacyjnym - klasyfikacja informacji przetwarzanych w systemie informacyjnym na podstawie załącznika nr 10 do PBI (najwyższa grupa informacji z zakresu: informacje jawne, informacje wrażliwe, informacje prawnie chronione) wraz ze wskazaniem kategorii bezpieczeństwa informacji zgodnie z NSC 199 (NISKA, UMIARKOWANA, WYSOKA).
Skala systemu - jaki jest zasięg terytorialny systemu (lokalny, krajowy, międzynarodowy).
Powiązania z innymi systemami - z którymi systemami dany system jest zintegrowany w celu wymiany informacji, wskazanie kierunku integracji.
Warstwa techniczna - rodzaj architektury, platforma sprzętowa, technologia bazodanowa, rodzaj zabezpieczeń informatycznych, wykorzystywane media telekomunikacyjne, itp.
Producent - kto jest producentem/dostawcą systemu.
Czy są umowy serwisowe / dotyczące administrowania - czy system jest objęty umową/umowami serwisowymi, z jaką firmą jest podpisana umowa serwisowa. Czy serwis dotyczy wyłącznie utrzymania czy także rozwoju systemu.
Inne - dodatkowe informacje podane przez właściciela systemu inne niż wskazane w pozostałych kolumnach.
Załącznik Nr 5
Polityka Utrzymania Ciągłości Działania
Polityka Utrzymania Ciągłości Działania
Załącznik Nr 6
Polityka Zarządzania Incydentami
Polityka Zarządzania Incydentami
Zarządzanie zdarzeniami związanymi z bezpieczeństwem informacji
Zarządzanie zdarzeniami związanymi z bezpieczeństwem informacji
Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji
Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji
Postępowanie z incydentami
Postępowanie z incydentami
Działania IOD w zakresie obsługi naruszeń ochrony danych osobowych
Działania Pełnomocnika do spraw bezpieczeństwa cyberprzestrzeni w zakresie obsługi incydentu w podmiocie publicznym
Działania Pełnomocnika do spraw bezpieczeństwa informacji w zakresie obsługi incydentu bezpieczeństwa informacji
Ograniczanie skutków
Ograniczanie skutków
Odtwarzanie systemu
Odtwarzanie systemu
Działania po zakończeniu incydentu w systemie
Gromadzenie materiału dowodowego
Gromadzenie materiału dowodowego
Załącznik Nr 1
Instrukcja zabezpieczania materiału dowodowego z komputerów
Instrukcja zabezpieczania materiału dowodowego z komputerów
2. Jeśli urządzenie jest wyłączone, nie wyłączaj go.
3. Jeśli urządzenie jest włączone, nie próbuj zamykać programów ani wyłączać komputera. Nie przerywaj drukowania, zabezpiecz, jeśli to możliwe, wykonane wydruki. Zanotuj dokładnie wszystkie wiadomości, jakie pojawiają się na ekranie.
4. Zanotuj wszystkie parametry połączeń komputera:
1) w przypadku połączenia modemowego, zanotuj numer telefoniczny, adres IP komputera, adresy bramki wychodzącej oraz serwera DNS;
2) w przypadku połączenia po sieci kablowej, zanotuj typ połączenia, adres IP komputera, adresy bramki wychodzącej oraz serwera DNS;
3) w przypadku połączenia po sieci bezprzewodowej, zanotuj ustawienia zabezpieczenia sieci adres IP komputera, adresy bramki wychodzącej oraz serwera DNS.
5. Przed zabezpieczeniem zanotuj, w jaki sposób poszczególne części stanowiska są ze sobą połączone. Zrób zdjęcia, wykonaj szkic (plan połączeń z opisem wyposażenia). Oznacz odpowiednio wszystkie przewody i połączenia.
6. Następnie odłącz wszystkie kable zewnętrzne od komputera. Zanotuj czas odłączenia kabli.
7. Zabezpiecz jednostkę centralną (komputer) oraz inne urządzenia z zainstalowaną na stałe pamięcią masową w wytrzymałych mechanicznie workach foliowych.
8. Zaplombuj worek i wypełnij metryczkę. Metryczka powinna zawierać typ, numer seryjny urządzenia i numer inwentarzowy nadany przez Agencję albo opis jego indywidualnych cech. Wpisz do protokołu wykonane czynności.
9. Pakuj ostrożnie okablowanie i sprzęt (m. in. klawiatury, monitory, drukarki, plotery, skanery, czytniki kart i pamięci, napędy zewnętrzne).
10. Zabezpiecz wszystkie wymienne nośniki komputerowe: pamięci flash, dyskietki, dyskietki ZIP, JAZZ, taśmy streamera, płyty CD, DVD, MO oraz niezamontowane dyski twarde (także uszkodzone). Grupy nośników pakuj zbiorczo (dyskietki, płyty CD itp.). Pakuj, numeruj poszczególne paczki, plombuj i opisz w protokole. Wpisz do protokołu wykonane czynności.
11. Zażądaj od administratora spisu oprogramowania zainstalowanego na komputerze, a następnie zgodnie ze spisem - okazania licencji i oryginalnych nośników oprogramowania lub wskazania miejsca przechowywania lub osoby upoważnionej, która zarządza licencjami i oryginalnymi nośnikami oprogramowania. Jeśli administrator nie ma spisu oprogramowania, to zażądaj okazania wszystkich posiadanych przez niego licencji i oryginalnych nośników oprogramowania. Oznaczenia licencji i nośników wpisz do protokołu, a następnie zabezpiecz jako materiał porównawczy. Wpisz do protokołu wykonane czynności.
12. Zażądaj od administratora przekazania instrukcji programów pisanych na zamówienie lub programów nietypowych. Zabezpiecz jako materiał porównawczy i wpisz do protokołu wykonane czynności.
13. Zażądaj od użytkowników i administratora podania parametrów dostępu do BIOS-u, systemu operacyjnego i oprogramowania (nazw kont, identyfikatorów, haseł do BIOS), a następnie zabezpiecz je przed osobami postronnymi za pomocą bezpiecznej koperty. Wpisz czynność przejęcia parametrów dostępu do protokołu.
14. Przechowuj zabezpieczone materiały (nośniki i sprzęt) w miejscach suchych i chłodnych z daleka od urządzeń emitujących pole elektromagnetyczne, a bezpieczne koperty w sejfie.
NIE PRÓBUJ SAMODZIELNIE BADAĆ KOMPUTERA, ANI ZAWARTOŚCI NOŚNIKÓW DANYCH. KAŻDE TWOJE WŁĄCZENIE KOMPUTERA WYKONANE PO ZAKOŃCZENIU ZABEZPIECZANIA WYWOŁUJE POWSTANIE ŚLADÓW WSKAZUJĄCYCH NA NARUSZENIE INTEGRALNOŚCI MATERIAŁU DOWODOWEGO.
Załącznik Nr 7
Polityka Ochrony Danych Osobowych
Polityka Ochrony Danych Osobowych
Cel i zakres przetwarzania danych osobowych
Cel i zakres przetwarzania danych osobowych
Środki podejmowane w celu wykonania obowiązków informacyjnych
Środki podejmowane w celu wykonania obowiązków informacyjnych
Wyznaczenie Inspektora Ochrony Danych
Wyznaczenie Inspektora Ochrony Danych
Realizacja praw osób, których dane dotyczą
Realizacja praw osób, których dane dotyczą
Działania podejmowane w celu przejrzystego informowania i komunikacji oraz wykonywania praw osób
Działania podejmowane w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą
Działania podejmowane w przypadku zbierania danych w sposób inny, niż bezpośrednio od osoby, której dane dotyczą
Środki ochrony danych osobowych w systemach
Środki ochrony danych osobowych w systemach
Polityki Ochrony Danych Osobowych
Polityki Ochrony Danych Osobowych
Nadzór nad przetwarzaniem danych osobowych
Nadzór nad przetwarzaniem danych osobowych
Obowiązek konsultacji wszelkich spraw związanych z przetwarzaniem danych osobowych
Obowiązek konsultacji wszelkich spraw związanych z przetwarzaniem danych osobowych
Przetwarzanie danych osobowych na podstawie upoważnienia
Przetwarzanie danych osobowych na podstawie upoważnienia
Obowiązek zapoznania z przepisami oraz zasadami ochrony danych osobowych przed uzyskaniem upoważnienia do przetwarzania danych osobowych
Obowiązek zapoznania z przepisami oraz zasadami ochrony danych osobowych przed uzyskaniem upoważnienia do przetwarzania danych osobowych
Informowanie o rozpoczęciu i zakończeniu zatrudnienia
Informowanie o rozpoczęciu i zakończeniu zatrudnienia
Szkolenia i zapoznawanie z przepisami oraz zasadami ochrony danych osobowych
Szkolenia i zapoznawanie z przepisami oraz zasadami ochrony danych osobowych
Obowiązek zgłaszania naruszeń ochrony danych osobowych
Obowiązek zgłaszania naruszeń ochrony danych osobowych
Powierzenie przetwarzania danych osobowych innemu podmiotowi
Powierzenie przetwarzania danych osobowych innemu podmiotowi
Główny Inspektor jako podmiot przetwarzający
Główny Inspektor jako podmiot przetwarzający
Przetwarzanie danych osobowych na podstawie zgody
Przetwarzanie danych osobowych na podstawie zgody
Ochrona danych w fazie projektowania i domyślna ochrona danych
Ochrona danych w fazie projektowania i domyślna ochrona danych
Rejestrowanie czynności przetwarzania
Rejestrowanie czynności przetwarzania
Współpraca z UODO
Współpraca z UODO
Zarządzanie naruszeniami ochrony danych osobowych
Zarządzanie naruszeniami ochrony danych osobowych
Ocena skutków dla ochrony danych
Ocena skutków dla ochrony danych
Szczegółowe zabezpieczenia danych osobowych
Szczegółowe zabezpieczenia danych osobowych
Załącznik Nr 3
OŚWIADCZENIE O ZAPOZNANIU Z ZASADAMI MONITORINGU SŁUŻBOWEJ POCZTY ELEKTRONICZNEJ ORAZ KOMPUTERÓW SŁUŻBOWYCH I SIECI
OŚWIADCZENIE O ZAPOZNANIU Z ZASADAMI MONITORINGU SŁUŻBOWEJ POCZTY ELEKTRONICZNEJ ORAZ KOMPUTERÓW SŁUŻBOWYCH I SIECI
Załącznik Nr 5
Szablon rejestru zgód na przetwarzanie danych osobowych
Szablon rejestru zgód na przetwarzanie danych osobowych
L.p. | Dane identyfikacyjne osoby, której danych zgoda dotyczy | Dane kontaktowe osoby (jeśli podano) | Dane adresowe osoby (jeśli podano) | Kanał (forma) pozyskania zgody | Czego dotyczy zgoda (zakres danych, proces) | Data udzielenia zgody | Data obowiązywania zgody | Data wycofania zgody | Kanał (forma) wycofania zgody | Powód wycofania zgody (jeśli podano) |
1 | Jan Osobowy | jan. osobowy@jakas.domena tel. 123-456-789 | ul. Osobowa 1 00-000 Osobowo | Pisemnie | Przetwarzanie wizerunku pracownika w systemie kadrowo - płacowym. Przetwarzanie wizerunku pracownika na legitymacji pracowniczeej. | 01.01.2010 | Okres związania umową o pracę | |||
2 | Jan Telefoniczny | tel. 987-654-321 | - | Formularz na stronie abc.pl | Przetwarzanie prywatnego numeru telefonu w celach związanych ze stosunkiem pracy. | 01.01.2010 | Okres związania umową o pracę | 31.12.2020 | - | |
Załącznik Nr 8
Polityka Bezpieczeństwa Relacji z Podmiotami Zewnętrznymi
Polityka Bezpieczeństwa Relacji z Podmiotami Zewnętrznymi
Załącznik Nr 9
Przykładowy wzór udokumentowanego wyznaczenia osoby do pełnienia roli ASI / AMS
Przykładowy wzór udokumentowanego wyznaczenia osoby do pełnienia roli ASI / AMS
Załącznik Nr 10
Polityka Klasyfikacji i Postępowania z Informacjami
Polityka Klasyfikacji i Postępowania z Informacjami
Zasady klasyfikacji i postępowania z informacjami
Zasady klasyfikacji i postępowania z informacjami
Postępowanie z dokumentami papierowymi
Postępowanie z dokumentami papierowymi
Podstawowe zasady ochrony informacji
Podstawowe zasady ochrony informacji
Polityka "czystego biurka" oraz "czystego ekranu"
Polityka "czystego biurka" oraz "czystego ekranu"
2) Po zakończonej pracy pracownik zobowiązany jest odłożyć dokumenty i nośniki zawierające informacje chronione do zamykanej na klucz szafy.
3) W sytuacjach nagłych, związanych m.in. ze stanem zdrowia pracownika lub przedłużającą się nieobecnością, za realizację polityki czystego biurka w jego imieniu odpowiadają solidarnie pracownicy, których stanowiska pracy znajdują się najbliżej oraz bezpośredni przełożony pracownika.
4) Po zakończonej pracy pracownik powinien pozostawić na biurku jedynie powierzony mu sprzęt komputerowy, telefon oraz materiały biurowe. Na biurku mogą być przechowywane dokumenty jedynie w przypadku, gdy nie zawierają one informacji chronionych.
5) Pracowników obowiązuje zakaz trzymania na biurku wszelkich produktów spożywczych, których posiadanie grozi rozlaniem płynu i uszkodzeniem urządzeń elektronicznych. Należy stosować postanowienia Regulaminu pracy w Inspektoracie.
6) Pracownik zobowiązany jest na bieżąco niszczyć te dokumenty, które przestały mu być potrzebne, jeżeli obowiązek ich przechowywania i archiwizacji nie wynika z odrębnych przepisów. Dokumenty powinny być niszczone w sposób uniemożliwiający odtworzenie zawartych w nich informacji.
7) Konfiguracja komputerów wymusza włączenie wygaszacza ekranu na użytkowanym komputerze po 5 minutach bezczynności użytkownika. W przypadku wznowienia aktywności, powrót do pracy z komputerem jest możliwy jedynie po podaniu hasła (włączenie wygaszacza ekranu powoduje zablokowanie komputera).
8) W przypadku czasowego opuszczenia stanowiska pracy, pracownik jest zobowiązany do każdorazowego blokowania komputera lub wylogowania się z systemu (przyciski Ctrl + Alt + Del -> Zablokuj ten komputer lub przyciski lewy logo Windows + L).
Zasada wiedzy koniecznej
Zasada wiedzy koniecznej
2) Każdy pracownik - użytkownik powinien posiadać wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do funkcjonalności, które są konieczne do realizacji obowiązków służbowych.
3) Zapoznanie pracownika - użytkownika z zasadami użytkowania systemu powinno następować przed rozpoczęciem pracy z tym systemem.
4) Zapoznanie pracownika - użytkownika z zasadami użytkowania systemu może następować w dowolnej formie, m.in.: przez szkolenia stacjonarne lub online, e-learning, zapoznanie użytkownika z dokumentacją, samodzielną naukę na środowisku szkoleniowym.
5) AMS lub ASI odpowiadają za udostępnienie pracownikowi - użytkownikowi dokumentacji użytkownika systemu lub przeszkolenie użytkownika z zasad bezpiecznego użytkowania systemu.
Zasada indywidualnej odpowiedzialności
Zasada indywidualnej odpowiedzialności
2) Pracownik lub użytkownik ponosi indywidualną odpowiedzialność za niedopełnienie obowiązków dotyczących ochrony powierzonych lub udostępnionych do użytkowania urządzeń, oprogramowania, nośników oraz informacji, w szczególności, gdy naruszenie bezpieczeństwa wystąpiło w czasie, gdy pracownik/użytkownik był zalogowany do systemu, w którym wystąpiło naruszenie.
3) Pracownik lub użytkownik ponosi również odpowiedzialność za ujawnienie swoich informacji uwierzytelniających, których poufności ma obowiązek zapewnić.
Zasada niewygody uzasadnionej
Zasada niewygody uzasadnionej
2) Zabronione jest obchodzenie zabezpieczeń, ich wyłączanie lub stosowanie wyłącznie niektórych zabezpieczeń w celu podniesienia komfortu pracy. Jakiekolwiek odstępstwa od stosowanych zabezpieczeń muszą być udokumentowane, musi zostać przeprowadzona analiza ryzyka dla tych odstępstw oraz muszą podlegać zatwierdzeniu.
Zasada obecności koniecznej
Zasada obecności koniecznej
2) Osoby nieuprawnione przebywając w takich pomieszczeniach nie powinny mieć dostępu do urządzeń oraz możliwości podglądu ekranów, jeżeli nie ma to związku z celem ich przebywania w tych pomieszczeniach (np. prace serwisowe).
3) Za nadzór nad osobami nieuprawnionymi odpowiadają osoby uprawnione.
4) Zalecane jest zapewnienie rozliczalności dostępu osób nieuprawnionych do pomieszczeń poprzez stosowanie elektronicznych systemów kontroli dostępu lub procedur manualnych (np. książka wejść do serwerowni).
Zasada zamykania pomieszczeń
Zasada zamykania pomieszczeń
2) Powyższa zasada dotyczy również pomieszczeń, w których zlokalizowane są urządzenia wspierające pracę serwerowni, np. elementy systemu klimatyzacji czy UPS.
Zasady nadzorowania dokumentów i ochrony nośników
Zasady nadzorowania dokumentów i ochrony nośników
2) Zabronione jest pozostawianie, bez zabezpieczenia i nadzoru nad nośnikiem informacji, dokumentów i nośników elektronicznych zawierających informacje wrażliwe lub informacje prawnie chronione.
3) Dokumenty i nośniki należy zabezpieczać przed ich utratą lub ujawnieniem zapisanych na nich informacji poprzez chowanie do zamykanych na klucz mebli biurowych lub przeznaczonych do tego celu szaf, sejfów, itp.
4) Dokumenty i nośniki zawierające informacje wrażliwe lub prawnie chronione należy zabezpieczać na czas transportu lub przekazywania poza pomieszczenia Inspektoratu np.: wysyłając pocztą, poprzez stosowanie szyfrowania całych nośników lub zawartych na nich informacji, stosowanie bezpiecznych kopert lub innych środków ochrony.
Zasada stałej gotowości
Zasada stałej gotowości
2) Niedopuszczalne jest samodzielne wyłączanie przez pracowników/użytkowników zabezpieczeń elektronicznych lub niestosowanie się do ustanowionych zabezpieczeń proceduralnych.
Zasady zachowania prywatności kont oraz poufności informacji uwierzytelniających
Zasady zachowania prywatności kont oraz poufności informacji uwierzytelniających
2) Pracownik lub użytkownik odpowiada za ujawnienie informacji uwierzytelniających jego dotyczących.
3) Zabronione są wszelkie formy udostępniania komukolwiek swoich informacji uwierzytelniających.
4) Zabronione jest wykorzystywanie cudzych informacji uwierzytelniających. W sytuacji uzyskania przez pracownika lub użytkownika dostępu do cudzych informacji uwierzytelniających, ma on obowiązek zgłosić incydent bezpieczeństwa.
5) Pracownik/użytkownik, który podejrzewa, że jego informacje uwierzytelniające mogły zostać ujawnione, zostały ujawnione lub wykorzystane przez kogoś innego, ma obowiązek zgłosić incydent bezpieczeństwa.
Zasada legalnego oprogramowania
Zasada legalnego oprogramowania
2) Jeżeli legalność wykorzystywanego oprogramowania budzi wątpliwości, należy to zgłosić do ASI lub BT.
Zasada podwyższonego poziomu ochrony zbiorów informacji
Zasada podwyższonego poziomu ochrony zbiorów informacji
2) Ocena wymaganego poziomu ochrony całego zbioru informacji należy do jej właściciela, m.in. poprzez przeprowadzenie analizy ryzyka dla pojedynczych informacji oraz całego ich zbioru.
Zasada czystego kosza
Zasada czystego kosza
2) Nośniki optyczne należy niszczyć w przeznaczonych do tego celu niszczarkach dostępnych w przestrzeni ogólnej Inspektoratu - przed umieszczeniem nośnika optycznego w niszczarce należy upewnić się, że jest ona przeznaczona do niszczenia nośników optycznych, aby nie spowodować awarii urządzenia.
3) Inne nośniki danych, jak nośniki przenośne (m. in. dyski przenośne, pamięci USB, karty pamięci), dyski twarde - lub stałe (m. in. HDD, SSD,) należy przekazać do BT w celu ich zniszczenia lub przygotowania do ponownego wykorzystania, jeżeli nośnik się do tego nadaje technicznie.
4) Należy opróżniać zawartość kosza w systemie operacyjnym komputera. Rekomendowanym rozwiązaniem jest stosowanie ustawień automatycznego opróżniania kosza systemowego (np. zgodnie z ustawionym harmonogramem) lub ustawień uniemożliwiających przechowywanie plików w koszu systemowym.
Formalny obowiązek zachowania poufności informacji
Formalny obowiązek zachowania poufności informacji
2) Powyższe dotyczy również praktykantów, stażystów, wolontariuszy oraz każdej innej osoby, która wykonuje w Inspektoracie jakiekolwiek prace i uzyskuje dostęp do systemów i/lub informacji przetwarzanych w jakiejkolwiek postaci.
3) Obowiązek zachowania poufności informacji przez podmioty zewnętrzne należy zapewnić w umowach, porozumieniach lub innych dokumentach regulujących współpracę, z uwzględnieniem zasad opisanych w PBI.
Obowiązek zgłaszania incydentów i naruszeń ochrony danych
Obowiązek zgłaszania incydentów i naruszeń ochrony danych
2) Powyższe dotyczy również sytuacji, w których zdarzenie jeszcze nie wystąpiło, ale jego wystąpienie (uwzględniając prawdopodobieństwo oraz łatwość wykorzystania podatności) może wpłynąć na bezpieczeństwo systemów, bezpieczeństwo informacji lub ochronę danych osobowych.
3) Powyższe obowiązki zgłaszania zdarzeń wpływających lub mogących wpłynąć na bezpieczeństwo systemów, bezpieczeństwo informacji lub ochronę danych osobowych należy obowiązkowo uwzględniać w umowach, porozumieniach lub innych dokumentach regulujących współpracę podmiotami zewnętrznymi, gdzie dochodzi do przetwarzania informacji, w tym w systemach.