WYSTĄPIENIE POKONTROLNE
|
|
- Jan Kalinowski
- 5 lat temu
- Przeglądów:
Transkrypt
1 Warszawa, 30 listopada 2017 r. WOJEWODA MAZOWIECKI WK-I Pani Aurelia Michałowska Mazowiecki Kurator Oświaty Al. Jerozolimskie Warszawa WYSTĄPIENIE POKONTROLNE Na podstawie art. 28 ust. 1 pkt 1 ustawy o wojewodzie i administracji rządowej w województwie 1 pracownicy Mazowieckiego Urzędu Wojewódzkiego w Warszawie: Kamil Chmielewski starszy inspektor wojewódzki i Paweł Kwarciany inspektor wojewódzki w Wydziale Kontroli oraz Łukasz Plaskot starszy inspektor wojewódzki w Biurze Informatyki i Rozwoju Systemów Informatycznych, przeprowadzili w dniach od 29 maja do 20 czerwca 2017 r. kontrolę w Kuratorium Oświaty w Warszawie, z siedzibą przy Al. Jerozolimskich 32. Przedmiot kontroli obejmował działanie systemów teleinformatycznych używanych do realizacji zadań publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (dalej ustawa o informatyzacji) 2 pod względem zgodności z minimalnymi wymogami dla systemów teleinformatycznych lub minimalnymi wymaganiami dla rejestrów publicznych i wymiany informacji w postaci elektronicznej. Kontrolą objęto okres od 1 stycznia 2016 r. do 8 maja 2017 r. Ocenie poddano trzy główne obszary kontroli, tj. wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami informatycznymi oraz wspomaganie usług drogą elektroniczną, zarządzanie bezpieczeństwem informacji w systemach teleinformatycznych oraz zapewnienie dostępności informacji zawartych na stronach internetowych urzędu dla osób niepełnosprawnych. Nawiązując do projektu wystąpienia pokontrolnego z dnia 25 października 2017 r. do którego nie wniesiono zastrzeżeń, przekazuję pani Kurator wystąpienie pokontrolne. 1 Ustawa z dnia 23 stycznia 2009 r. o wojewodzie i administracji rządowej w województwie (Dz. U. z 2015 r. poz. 525, z późn. zm.). 2 Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570). 1
2 Zgodnie z przedstawioną w toku kontroli informacją w Kuratorium Oświaty w Warszawie (dalej Kuratorium) wykorzystywane były dwa systemy teleinformatyczne używane do realizacji zadań publicznych, tj. system teleinformatyczny.. 3 oraz system...). W jednostce nie prowadzono rejestrów publicznych, o których mowa w art. 14 ustawy o informatyzacji. I. Wymiana informacji w postaci elektronicznej, w tym współpraca z innymi systemami teleinformatycznymi oraz wspomaganie usług drogą elektroniczną Kuratorium udostępniło, zgodnie z wymogiem art. 16 ust. 1a ustawy o informatyzacji, na stronie internetowej Biuletynu Informacji Publicznej Kuratorium (dalej BIP) Elektroniczną Skrzynkę Podawczą znajdującą się na elektronicznej Platformie Usług Administracji Publicznej (dalej epuap), umożliwiającą doręczanie pism w formie dokumentów elektronicznych. Zgodnie z 3 ust. 1 rozporządzenia w sprawie sporządzania i doręczania dokumentów elektronicznych oraz udostępnia formularzy, wzorów i kopii dokumentów elektronicznych 4 na stronie internetowej BIP poinformowano o warunkach organizacyjno-technicznych doręczania dokumentów elektronicznych. Kuratorium umożliwiło przyjmowanie dokumentów elektronicznych służących do załatwiania spraw w formatach danych określonych w załączniku nr 2 i 3 do rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej rozporządzenie w sprawie KRI) 5. W ramach realizacji projektu Elektronicznej Platformy Wymiany i Obiegu Dokumentów Województwa Mazowieckiego w Kuratorium wdrożono na platformie epuap 3 e-usługi 6. Informacja o świadczonych e-usługach została zamieszczona na stronie BIP Kuratorium w zakładce E-usługi, a ich wzory przekazano do Centralnego Repozytorium Wzorów Wniosków Elektronicznych, zgodnie z art. 19b ust. 3 ustawy o informatyzacji. W ww. zakładce znajdowały się linki do usług, przekierowujące użytkownika bezpośrednio na platformę epuap, gdzie znajdował się opis świadczonych usług, co umożliwia skuteczne zapoznanie się z informacją o sposobie dostępu oraz zakresie użytkowym serwisów dla usług realizowanych przez Kuratorium, 3 System teleinformatyczny oznacza całość zasobów informatycznych:.., Rozporządzenie Prezesa Rady Ministrów z dnia 14 września 2011 r. w sprawie sporządzania i doręczania dokumentów elektronicznych oraz udostępnia formularzy, worów i kopii dokumentów elektronicznych (Dz. U. z 2015 r. poz. 971, z późń. zm.). 5 Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113, z późn. zm.). 6 Dotyczy e-usług: wydawanie zaświadczeń o zatrudnieniu i wynagrodzeniu (Rp-7), udzielenie patronatu lub rekomendacji Mazowieckiego Kuratora Oświaty oraz wydawanie wykazów godzin ze szkoły medycznej, zaświadczeń z okresu nauki oraz kserokopii arkusza ocen. 2
3 zgodnie z 5 ust. 2 pkt 1 rozporządzenia w sprawie KRI. Opis procedur obowiązujących przy załatwianiu spraw drogą elektroniczną został opublikowany w BIP, zgodnie z wymogiem 5 ust. 2 pkt 4 rozporządzenia w sprawie KRI i zawierał dane dotyczące: właściciela usługi (komórka organizacyjna Kuratorium), podstawy prawnej, wymaganych dokumentów, wysokości opłaty, terminu i sposobu realizacji, trybu odwoławczego oraz dodatkowych informacji i uwag. Usługi udostępniane w Kuratorium realizowane są na deklarowanym poziomie dostępności w oparciu o udokumentowane procedury, zgodnie z 15 ust. 2 rozporządzenia w sprawie KRI poprzez wskazanie właściciela merytorycznego usługi, ustalenie osób odpowiedzialnych za utrzymanie usługi, monitorowanie poziomu świadczenia usług. Zasoby informacyjne udostępniane są z wykorzystaniem formatu html/css z możliwością pobrania/dostarczenia niektórych informacji w innych formatach ujętych w załączniku nr 2 do rozporządzenia w sprawie KRI. Stwierdzono, że system teleinformatyczny powiązany jest z platformą epuap, komunikacja pomiędzy systemami jest automatyczna, a do zabezpieczeń wykorzystywany jest certyfikat zapewniany przez podmiot odpowiedzialny za działanie platformy epuap. Współpraca pomiędzy systemami jest możliwa dzięki wyposażaniu Kuratorium w odpowiednie składniki sprzętowe oraz oprogramowanie umożliwiające wymianę danych między systemami, zgodnie z 16 ust. 1 rozporządzenia w sprawie KRI. Kodowanie znaków w wysyłanych z systemów lub odbieranych przez te systemy dokumentach odbywa się według standardu Unicode UTF-8. Kuratorium nie udostępniło w systemach teleinformatycznych usług sieciowych, o których mowa w 8 rozporządzenia w sprawie KRI, natomiast system korzysta z udostępnionych przez epuap usług sieciowych do wzajemnej wymiany danych. Zgodnie z zarządzeniem nr 37 Mazowieckiego Kuratora Oświaty z dnia 30 czerwca 2015 r. w sprawie systemów wykonywania czynności kancelaryjnych w Kuratorium podstawowym sposobem dokumentowania przebiegu załatwiania i rozstrzygania spraw oraz wykonywania czynności kancelaryjnych jest system tradycyjny ( papierowy ). Jednocześnie w celu wspomagania procesu obiegu dokumentacji wprowadzono system.. System elektroniczny obiegu dokumentacji poprzez zastosowane zabezpieczenia uniemożliwia osobom nieuprawnionym ujawnienie informacji, ich modyfikację, usunięcie lub zniszczenie. Przedstawiając powyższe informuję, że realizację zadań dotyczących wymiany informacji w postaci elektronicznej, w tym współpracy z innymi systemami oraz wspomaganie usług drogą elektroniczną ocenia się pozytywnie. Wskazana ocena wynika z faktu, że w Kuratorium udostępniono elektroniczną skrzynkę podawczą zintegrowaną z systemem oraz zapewniono jej obsługę, używanym systemom 3
4 teleinformatycznym zapewniono interoperacyjność, dostarczano usługi na deklarowanym poziomie dostępności oraz prawidłowo zarządzano obiegiem dokumentacji w jednostce. II. System zarządzania bezpieczeństwem informacji w systemach teleinformatycznych W kontrolowanej jednostce opracowano dokumenty dotyczące zarządzania bezpieczeństwem informacji. Zgodnie z udzieloną w toku kontroli informacją w okresie poddanym badaniu w Kuratorium nie miały miejsca istotne zmiany otoczenia, które miałyby wpływ na aktualizację regulacji wewnętrznych w zakresie bezpieczeństwa informacji. Urząd posiadał aktualne informacje w zakresie posiadanego sprzętu informatycznego, jego konfiguracji i oprogramowania. Zebrane informacje zawierały dane odnośnie zawartości każdej ze stacji roboczych z wyszczególnieniem specyfikacji technicznej i użytkowanego oprogramowania, zgodnie z 20 ust. 2 pkt 2 rozporządzenia w sprawie KRI. Ustalenia kontroli wykazały, że zgodnie z 20 ust. 2 pkt 4 rozporządzenia w sprawie KRI pracownicy wykonujący zadania w systemach teleinformatycznych uczestniczyli w procesie przetwarzania informacji w stopniu adekwatnym do przypisanych obowiązków. W przypadku pracowników, którzy w okresie objętym kontrolą zakończyli pracę w Kuratorium stwierdzono, że nastąpiła blokada uprawnień do użytkowanych przez nich systemów teleinformatycznych, zgodnie z 20 ust. 2 pkt 5 rozporządzenia w sprawie KRI. W Kuratorium, stosownie do 20 ust. 2 pkt 6 rozporządzenia w sprawie KRI, zapewniono szkolenie osób zaangażowanych w proces przetwarzania informacji. Zakres tematyczny szkolenia obejmował m.in. zagadnienia związane z przetwarzaniem danych, obowiązujące w Kuratorium procedury i zasady przetwarzania danych osobowych. Zasady korzystania i zabezpieczania urządzeń mobilnych zostały uregulowane w zarządzeniu nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r., w którym wskazano podstawowe zasady wykorzystania przez pracowników komputerów przenośnych. Mobilny dostęp do systemu odbywał się wyłącznie z odpowiednio przygotowanych laptopów, które są własnością Kuratorium. Komunikacja z systemem była prowadzona za pośrednictwem.. W Kuratorium stosownie do zapisów 20 ust. 2 pkt 13 rozporządzenia w sprawie KRI wprowadzono procedurę zgłaszania incydentów naruszenia bezpieczeństwa informacji, którą opisano w rozdziale 7 zarządzenia nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r. W urzędzie obowiązywała procedura tworzenia i przechowywania kopii zapasowych. Zgodnie z obowiązującą procedurą kopie zapasowe danych sporządzane były codziennie. Test kopii zapasowych odbywał się poprzez sprawdzenie poprawności rozpakowania kopii. Kopie zapasowe 4
5 przechowywane były w.. oraz dodatkowo w innym pomieszczeniu na..., pełniącą również inne role związane z administrowaniem systemem informatycznym. Powyższy stan spełniał wymogi określone w 20 ust. 2 pkt 12 lit. b rozporządzenia w sprawie KRI w zakresie minimalizowania ryzyka utraty informacji w wyniku awarii. Poddane kontroli systemy teleinformatyczne eksploatowane były z uwzględnieniem wymogów funkcjonalności, używalności, niezawodności i wydajności, określonych w 15 ust. 1 rozporządzenia w sprawie KRI. Jednocześnie w okresie objętym kontrolą nie wystąpiły przypadki projektowania i wdrażania systemów teleinformatycznych oraz nie dokonywano istotnych zmian w działaniach systemów informatycznych używanych w Kuratorium. W jednostce określono zasady wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych, zgodnie z którymi przegląd i konserwacja sprzętu informatycznego oraz nośników informacji wbudowanych w sprzęt stacjonarny są realizowane przez pracowników wyznaczonych przez administratora systemów informatycznych. Zasady postępowania zapewniające ochronę informacji przed ich kradzieżą, nieuprawnionym dostępem lub zakłóceniami zawarto w załączniku nr 2 do zarządzenia nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r. W przedmiotowym zarządzeniu określono m. in.: zasady postępowania przy wykonywaniu przeglądów i konserwacji systemów oraz nośników informacji, sposób zabezpieczania systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, ogólne zasady postępowania z nośnikami informacji, w których wskazano, że w przypadku zmiany przeznaczenia sprzętu komputerowego dane osobowe na nim zapisane podlegają usunięciu, zaś w przypadku likwidacji sprzętu komputerowego, związane z nim nośniki danych, np. dysk twardy, podlegają fizycznemu zniszczeniu. Jednocześnie stwierdzono, że ochroną i monitoringiem siedziby Kuratorium zajmuje się wyspecjalizowana firma na podstawie zawartej umowy. W budynku znajduje się system alarmowy oraz kamery. Klucze do pomieszczeń służbowych przechowywane są w.... znajdującej się w. W przypadku pomieszczenia serwerowni klucze nie są ogólnodostępne dysponują nimi wyłącznie. W urzędzie stosuje się monitoring polegający na przeglądaniu dzienników systemowych i aplikacji. Ponadto okresowo następuje weryfikacja istniejących kont użytkowników pod kątem prawidłowego wycofania uprawnień. Powyższy stan spełniał wymogi w zakresie zabezpieczeń technicznoorganizacyjnych systemów, określone w 20 ust. 2 pkt 7, 9 oraz 11 rozporządzenia w sprawie KRI. 5
6 W celu zapewnienia odpowiedniego poziomu bezpieczeństwa informacji w Kuratorium zarządzenie dystrybucją aktualizacji i poprawek systemów operacyjnych Windows odbywa się... W okresie miesięcznym administrator akceptuje i dystrybuuje aktualizacje i poprawki na stacje robocze. Również serwery z system operacyjnym Windows Server aktualizowane są. w terminie miesiąca. W Kuratorium funkcjonuje system antywirusowy. Aktualizacje sygnatur wykonują się automatycznie, co zostało potwierdzone na stacji roboczej. Zarządzanie systemem na stacjach roboczych odbywa się centralnie przy pomocy konsoli administracyjnej. System na bieżąco pobiera dostępne aktualizacje bazy sygnatur wirusów. W jednostce funkcjonuje urządzenie brzegowe typu firewall, które zapewnia jednocześnie ochronę antyspamową, antywirusową, IPS oraz filtrowanie URL. Urządzenie realizuje połączenia sieciowe z. oraz... Strona internetowa oraz strona BIP Kuratorium uruchomiona jest na serwerze umieszczonym w infrastrukturze lokalnej Kuratorium. System, na którym pracuje serwer aktualizowany jest systematycznie.. Powyższy stan zabezpieczeń funkcjonujących w Kuratorium spełnia wymogi określone w 20 ust. 2 pkt 12 rozporządzenia w sprawie KRI. W załączniku nr 2 do zarządzenia nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r. wskazano metody i środki uwierzytelniania w postaci dostępu do systemu informatycznego. Zapewnienie rozliczalności operacji w Kuratorium polegało na gromadzeniu informacji o wykonanych czynnościach w systemach teleinformatycznych. W stosunku do systemu przeglądu logów dokonują pracownicy... Logi w systemach Kuratorium są przeglądane systematycznie (serwisy www i BIP, logi serwisów) lub doraźnie w razie podejrzeń wystąpienia sytuacji nietypowych. Logi są zbierane od początku działania ww. stron (przez okres ponad 2 lat). Z zapisów logów można jednoznacznie zidentyfikować użytkownika wprowadzającego modyfikację, czas dokonania czynności oraz adres IP komputera, z którego dokonano czynności. W systemie logów ujawnione są również czynności administratora. Funkcjonujące w Kuratorium systemy zbierania logów poszczególnych systemów teleinformatycznych spełniały wymogi, o których mowa w 21 rozporządzenia w sprawie KRI. W wyniku kontroli stwierdzono następujące nieprawidłowości: 1. Nieprzeprowadzenie w okresie objętym kontrolą okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Zaniechaniem takim naruszono dyspozycję 20 ust. 2 pkt 14 rozporządzenia w sprawie KRI, zgodnie z którym kierownictwo podmiotu publicznego umożliwia realizację i egzekwowanie działań w zakresie cyt.: ( ) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok. Zgodnie z wyjaśnieniem Mazowieckiego Wicekuratora Oświaty z 5 czerwca 2017 r. 6
7 cyt.: ( ) nie przeprowadzono audytu wewnętrznego w zakresie bezpieczeństwa informacji. W Kuratorium nie ma pracownika o kwalifikacjach niezbędnych do przeprowadzenia audytu w ww. zakresie ( ). 2. Nieprzeprowadzenie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji 7. Zaniechaniem takim naruszono dyspozycję 20 ust. 2 pkt 3 rozporządzenia w sprawie KRI, zgodnie z którym kierownictwo podmiotu publicznego umożliwia realizację i egzekwowanie działań w zakresie cyt.: (...) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosowanie do wyników przeprowadzonej analizy. 3. Opracowanie Polityki Bezpieczeństwa Informacji jako elementu systemu zarządzania bezpieczeństwem informacji, która w niewystarczający sposób regulowała działanie systemów teleinformatycznych, tj. ww. dokument w szczególności sporządzony został w zawężeniu do ochrony danych osobowych 8. W Kuratorium obowiązywało Zarządzenie nr 51 Mazowieckiego Kuratora Oświaty z dnia 14 czerwca 2012 r. w sprawie ustalenia Polityki bezpieczeństwa danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Kuratorium Oświaty w Warszawie, w którym określono środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń. W zarządzeniu nie uregulowano natomiast w wystarczającym zakresie bezpieczeństwa systemów teleinformatycznych jako odrębnego zagadnienia, niezależnego od charakteru przetwarzanych danych. Należy zwrócić uwagę, że system zarządzania bezpieczeństwem informacji odnosi się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Podmiot publiczny aby zapewnić bezpieczeństwo informacji działania systemów teleinformatycznych winien zastosować podejście systemowe, w ramach którego będzie zarządzał kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji. Kompleksowość podejścia oznacza objęcie systemem zarządzania bezpieczeństwem informacji całej organizacji wraz ze wszystkimi systemami teleinformatycznymi i procesami przetwarzania informacji w niej zachodzącymi 9. Powyższym naruszono regulacje 20 ust. 1 rozporządzenia w sprawie KRI zgodnie z którą cyt.: Podmiot realizujący zdania publiczne opracowuje i ustanawia, wdraża i eksploatuje, 7 W toku kontroli przedstawione zostało oświadczenie z 28 stycznia 2016 r. podpisane przez Mazowieckiego Kuratora Oświaty o dokonanej analizie ryzyka cyberprzestrzeni za rok 2015, w którym stwierdzono, że analiza ryzyka systemu teleinformatycznego na dzień 31 grudnia 2015 r. nie przekracza poziomu ryzyka szczątkowego. 8 W toku kontroli zarządzeniem nr 31 Mazowieckiego Kuratora Oświaty z dnia 25 maja 2017 r. powołano Zespół ds. wykonania opracowania projektu systemu zarządzania bezpieczeństwem w Kuratorium Oświaty w Warszawie. 9 Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych, opracowane przez Ministerstwo Cyfryzacji. Warszawa, 15 grudnia 2015 r. 7
8 monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 4. Niewskazanie w trzech umowach abonamentowych 10 dotyczących użytkowania i serwisu oprogramowania IT zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji. Działaniem takim naruszono wymóg 20 ust. 2 pkt 10 rozporządzenia w sprawie KRI, zgodnie z którym kierownictwo podmiotu publicznego umożliwia realizację i egzekwowanie działań w zakresie cyt.: ( ) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji. Ponadto w wyniku kontroli stwierdzono, że w przypadku dostępu z urządzeń przenośnych, wykorzystywane są certyfikaty użytkowników podpisane... Obecnie kryptograficzny algorytm podpisu.. uważany jest za niewystarczający i mogący w niedalekiej przyszłości powodować problemy oraz brak kompatybilności z nowymi systemami i rozwiązaniami teleinformatycznymi. Jednocześnie w trakcie przeprowadzonych oględzin ustalono, że serwery Kuratorium ustawione były na podłodze pomieszczenia obok instalacji centralnego ogrzewania, co zagrażało zalaniem serwerów w przypadku przecieku instalacji, a przez to mogło spowodować niedostępność lub utratę danych. Przedstawiając powyższe informuję, że realizację zadań w zakresie działania systemu zarządzania bezpieczeństwem informacji w systemach teleinformatycznych ocenia się pozytywnie pomimo stwierdzonych nieprawidłowości. Ustalenia kontroli wykazały, że w Kuratorium zapewniono inwentaryzację sprzętu i oprogramowania służącego do przetwarzania informacji, a osoby zaangażowane w proces przetwarzania informacji były przeszkolone i posiadały stosowne uprawnienia. W Kuratorium wdrożono procedurę zgłaszania incydentów naruszenia bezpieczeństwa informacji, podejmowano działania związane z przechowywaniem i testowaniem kopii zapasowych, eksploatacja systemów teleinformatycznych odbywała się z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności. Ponadto systemy teleinformatyczne funkcjonujące w Kuratorium posiadały wymagane zabezpieczenia techniczno-organizacyjne oraz zapewniono ich rozliczność. 10 Dotyczy umów zawartych pomiędzy firmą.. a Kuratorium Oświaty w Warszawie z 30 maja 2016 r. (dot. oprogramowania ), 30 września 2016 r. (moduł.) oraz 13 lutego 2017 r. ( ). 8
9 Mając natomiast na uwadze, że w jednostce: - nie przeprowadzono audytu wewnętrznego w zakresie bezpieczeństwa informacji oraz okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji, - opracowana dokumentacja dotycząca polityki bezpieczeństwa w niewystarczający sposób regulowała działanie systemów teleinformatycznych, - niewskazano w umowach serwisowych zapisów gwarantujących odpowiedni poziom bezpieczeństwa, a także inne opisane powyżej uchybienia, uzasadnione jest sformułowanie oceny pozytywnej pomimo stwierdzonych nieprawidłowości. III. Zapewnienie dostępności informacji zawartych na stronach internetowych jednostki dla osób niepełnosprawnych Strony internetowe Kuratorium działające pod adresem oraz zostały dostosowane do potrzeb osób niedowidzących poprzez możliwość zmiany kontrastu oraz zmiany wielkości tekstu (potrójne A). Strony internetowe działające w Kuratorium poddano weryfikacji zgodności ze standardem WCAG 2.0 za pomocą walidatora oraz W wyniku weryfikacji ww. stron internetowych ustalono w przypadku pierwszego walidatora obecność 16 i 2 ostrzeżeń, natomiast w przypadku drugiego - 2 błędy i 240 ostrzeżeń. 11 Stwierdzono, że powyższy stan spełniał wymogi określone w 19 rozporządzenia w sprawie KRI. Ustalenia kontroli wykazały, że w Kuratorium zapewniono dostępność informacji zawartych na stronach internetowych urzędu dla osób niepełnosprawnych, w związku z czym uzasadnione jest sformułowanie oceny pozytywnej. Przedstawiając powyższe ustalenia zobowiązuję Panią Kurator do podjęcia działań w celu wyeliminowania ustalonych nieprawidłowości, a w szczególności do: 1. Przeprowadzania okresowych audytów wewnętrznych w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok, zgodnie z dyspozycją 20 ust. 2 pkt 14 rozporządzenia w sprawie KRI. 11 Zgodnie z wyjaśnieniem Mazowieckiego Wicekuratora Oświaty z 23 czerwca 2017 r. Podstawowy walidator sprawdza zgodność strony z wymaganiami dotyczącymi osób niepełnosprawnych (WCAG 2.0). Drugi walidator, ma charakter pomocniczy - stosujemy go do sprawdzania zgodności używanych stylów ze standardem css. Po weryfikacji stron drugim walidatorem i ich analizie usunęliśmy większość błędów. Pozostały jednak dwa, które wynikają z pewnych odstępstw od standardu css. Związane z nimi mechanizmy strony www są zarazem bardzo ważne dla jej działania, między innymi dla zapewnienia poprawnego wyświetlania w różnych przeglądarkach internetowych. Błędy te uznajemy za akceptowalne ponieważ nie mają one wpływu na dostępność stron dla osób niepełnosprawnych (WCAG) weryfikowaną walidatorem podstawowym. 9
10 2. Przeprowadzenia okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, zgodnie z dyspozycją 20 ust. 2 pkt 3 rozporządzenia w sprawie KRI. 3. Opracowania kompleksowej Polityki Bezpieczeństwa Informacji obejmującej system zarządzania bezpieczeństwem informacji całej organizacji wraz ze wszystkimi systemami teleinformatycznymi i procesami przetwarzania informacji w niej zachodzącymi, w myśl 20 ust. 1 rozporządzenia w sprawie KRI. 4. Zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji, zgodnie z wymogami 20 ust. 2 pkt 10 rozporządzenia w sprawie KRI. Jednoczenie wskazuję na zasadność przeprowadzenia migracji certyfikatów podpisanych algorytmem na poprzez wymianę na nowe (dotyczy dostępu z urządzeń przenośnych), a także umieszczenia serwerów Kuratorium w sposób uniemożliwiający ich uszkodzenie w przypadku przecieku instalacji grzewczej. Przedstawiając powyższe informuję, że zgodnie z art. 48 ustawy o kontroli w administracji rządowej 12 od wystąpienia pokontrolnego nie przysługują środki odwoławcze oraz zobowiązuję Panią Kurator na podstawie art. 49 ww. ustawy do przekazania, w terminie 14 dni od daty otrzymania niniejszego wystąpienia pokontrolnego, pisemnej informacji o sposobie wykonania zaleceń, wykorzystaniu wniosków lub przyczynach ich niewykorzystania albo o innym sposobie usunięcia stwierdzonych nieprawidłowości. Z up. Wojewody Mazowieckiego Bogusław Krupa Zastępca Dyrektora Wydziału Kontroli 12 Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 10
WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2
Warszawa, 15 lutego 2018 r. WOJEWODA MAZOWIECKI WK-I.431.12.2.2017 Pani Marzena Dębowska Mazowiecki Wojewódzki Inspektor Nadzoru Budowlanego Ul. Czereśniowa 98 02-456 Warszawa WYSTĄPIENIE POKONTROLNE Na
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoAudyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Bardziej szczegółowoRealizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności
Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności II PODKARPACKI KONWENT INFORMATYKÓW I ADMINISTRACJI 15-16 października 2015, Zamek Dubiecko w Rzeszowie
Bardziej szczegółowoRealizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST
Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST III PODKARPACKI KONWENT INFORMATYKÓW I ADMINISTRACJI 20-21 października
Bardziej szczegółowoWYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH
Dr Artur Romaszewski Uniwersytet Jagielloński - Collegium Medicum Wydział Nauk o Zdrowiu Zakład Medycznych Systemów Informacyjnych Dr hab. med. Wojciech Trąbka Uniwersytet Jagielloński - Collegium Medicum
Bardziej szczegółowoCzy wszystko jest jasne??? Janusz Czauderna Tel
1 Czy wszystko jest jasne??? Janusz Czauderna Tel. 505 328 100 jczauderna@volvox.pl Jednostki finansów publicznych Kontrola Zarządcza Krajowe Ramy Interoperacyjności Jednostki finansów publicznych, niektóre
Bardziej szczegółowoKwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej
Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa
Bardziej szczegółowoPRELEGENT Przemek Frańczak Członek SIODO
TEMAT WYSTĄPIENIA: Rozporządzenie ws. Krajowych Ram Interoperacyjności standaryzacja realizacji procesów audytu bezpieczeństwa informacji. Określenie zależności pomiędzy RODO a Rozporządzeniem KRI w aspekcie
Bardziej szczegółowoZałącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Bardziej szczegółowomgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji
mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK
Bardziej szczegółowoMarcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bardziej szczegółowoZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.
ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie
Bardziej szczegółowoOpracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej
Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl
POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...
Bardziej szczegółowoSamodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach
Samodzielny Publiczny Szpital Kliniczny Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach 41-800 Zabrze, ul. 3-go Maja 13-15 http://www.szpital.zabrze.pl ; mail: sekretariat@szpital.zabrze.pl
Bardziej szczegółowoZarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.
Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r. w sprawie opisu stanowiska Administratora Bezpieczeństwa Informacji. Na podstawie 2 ust. 2 Regulaminu Organizacyjnego Urzędu
Bardziej szczegółowoadministratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE
Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoSPRAWOZDANIE Z KONTROLI
. WOJEWODA OPOLSKI PN.I.431.3.2.2018.RCh Opole, dnia 9 kwietnia 2018 r. Pan Jarosław Kielar Burmistrz Miasta Kluczborka ul. Katowicka 1 46-200 Kluczbork SPRAWOZDANIE Z KONTROLI I. Podstawowe informacje
Bardziej szczegółowoZarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.
Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r. w sprawie opisu stanowiska Administratora Bezpieczeństwa Informacji. Na podstawie 2 ust.2 Regulaminu Organizacyjnego Urzędu
Bardziej szczegółowoPolityka ochrony danych osobowych. Rozdział I Postanowienia ogólne
Polityka ochrony danych osobowych Niniejsza polityka opisuje reguły i zasady ochrony danych osobowych przetwarzanych w ramach działalności gospodarczej prowadzonej przez DEIMIC SP. Z o.o. Liliowa 2 87-152
Bardziej szczegółowoRola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski
bezpieczeństwa informacji w jednostce Marcin Dublaszewski Rola audytu w systemie bezpieczeństwa informacji Dobrowolność? Obowiązek? Dobrowolność Audyt obszaru bezpieczeństwa wynikać może ze standardowej
Bardziej szczegółowoZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.
ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE w sprawie powołania i określenia zadań Administratora Bezpieczeństwa Informacji, Administratora Systemów Informatycznych oraz Lokalnych Administratorów
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS
Bardziej szczegółowoZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania
Bardziej szczegółowoCO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek
CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH
Bardziej szczegółowoZastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych
Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki
Bardziej szczegółowoDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL
W Z Ó R INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL Wzór ma charakter pomocniczy. Wzór może być modyfikowany
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.
1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.
Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
Bardziej szczegółowoPolityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.
Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
Warszawa, 21 maja 2015 r. WOJEWODA MAZOWIECKI WK-O.431.5.3.2014 Pan Roman Napiórkowski Wójt Gminy Rzewnie Urząd Gminy w Rzewniu Rzewnie 19 06-225 Rzewnie WYSTĄPIENIE POKONTROLNE Na podstawie art. 28 ust.
Bardziej szczegółowoSPRAWOZDANIE Z KONTROLI
. WOJEWODA OPOLSKI PN.I.431.3.4.2018.RCh Opole, dnia 26 października 2018 r. Pan Dionizy Duszyński Wójt Gminy Popielów ul. Opolska 13 46-090 Popielów SPRAWOZDANIE Z KONTROLI I. Podstawowe informacje formalno-prawne
Bardziej szczegółowoStarostwo Powiatowe w Sochaczewie ul. Marszałka Józefa Piłsudskiego Sochaczew
Warszawa, 8 maja 2018 r. WOJEWODA MAZOWIECKI WK-I.431.1.60.2017 Pani Jolanta Gonta Starosta Sochaczewski WYSTĄPIENIE POKONTROLNE Starostwo Powiatowe w Sochaczewie ul. Marszałka Józefa Piłsudskiego 65 96-500
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW I. Podstawa prawna Polityka Bezpieczeństwa została utworzona zgodnie z wymogami zawartymi w ustawie z dnia 29 sierpnia 1997r.
Bardziej szczegółowoa) po 11 dodaje się 11a 11g w brzmieniu:
Zarządzenie Nr 134/05 Starosty Krakowskiego z dnia 27 grudnia 2005r. - w sprawie zmiany Zarządzenia Starosty Krakowskiego Nr 40/99 z dnia 19 sierpnia 1999r. w sprawie ochrony danych osobowych, stosowanych
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.
Strona 1 z 5 LexPolonica nr 44431. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoZdrowe podejście do informacji
Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony
Bardziej szczegółowoPan Michał Rutkowski Wójt Gminy Andrzejewo
Warszawa, 31 marca 2017 r. WOJEWODA MAZOWIECKI WK-I.431.1.20.2016 Pan Michał Rutkowski Wójt Gminy Andrzejewo WYSTĄPIENIE POKONTROLNE Na podstawie art. 28 ust. 1 pkt 2 ustawy o wojewodzie i administracji
Bardziej szczegółowoPani Dorota Dmowska Paczuska Wójt Gminy Mokobody Urząd Gminy w Mokobodach pl. Chreptowicza Mokobody
Warszawa, 25 stycznia 2016 r. WOJEWODA MAZOWIECKI WK-S.431.4.2.2015 Pani Dorota Dmowska Paczuska Wójt Gminy Mokobody Urząd Gminy w Mokobodach pl. Chreptowicza 25 08 124 Mokobody WYSTĄPIENIE POKONTROLNE
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185 poz. 1092). 2
WOJEWODA MAZOWIECKI Warszawa, 3 lipca 2018 r. WK-I.431.3.1.2018 Pani Hanna Gronkiewicz-Waltz Prezydent m.st. Warszawy Urząd m.st. Warszawy Pl. Bankowy 3/5 00-950 Warszawa WYSTĄPIENIE POKONTROLNE Na podstawie
Bardziej szczegółowoPOLITYKA E-BEZPIECZEŃSTWA
Definicja bezpieczeństwa. POLITYKA E-BEZPIECZEŃSTWA Przez bezpieczeństwo informacji w systemach IT rozumie się zapewnienie: Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim). Integralności
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL 1 Rozdział 1 Postanowienia ogólne 1. Instrukcja Zarządzania
Bardziej szczegółowoPan Krzysztof Kalinowski Wójt Gminy Dębe Wielkie Urząd Gminy Dębe Wielkie ul. Strażacka Dębe Wielkie
Warszawa, 29 lutego 2016 r. WOJEWODA MAZOWIECKI WK-I.431.1.18.2015 Pan Krzysztof Kalinowski Wójt Gminy Dębe Wielkie Urząd Gminy Dębe Wielkie ul. Strażacka 3 05-311 Dębe Wielkie WYSTĄPIENIE POKONTROLNE
Bardziej szczegółowoPan Arnold Maciej Grossmann Wójt Gminy Szelków Urząd Gminy w Szelkowie Stary Szelków Stary Szelków
Warszawa, 30 września 2015 r. WOJEWODA MAZOWIECKI WK-O.431.4.1.2015 Pan Arnold Maciej Grossmann Wójt Gminy Szelków Urząd Gminy w Szelkowie Stary Szelków 39 06-220 Stary Szelków WYSTĄPIENIE POKONTROLNE
Bardziej szczegółowoZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.
ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. w sprawie Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy Świętajno Na podstawie art. 36 ust. 2 Ustawy z dnia
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA Administrator Danych Małgorzata Ziemianin Dnia 24.11.2015 roku w podmiocie o nazwie Publiczne Gimnazjum im. Henryka Brodatego w Nowogrodzie Bobrzańskim Zgodnie z ROZPORZĄDZENIEM
Bardziej szczegółowoProjekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego INSTRUKCJA zarządzania systemem informatycznym dla systemu Podsystem
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2
Warszawa, 20 lutego 2018 r. WOJEWODA MAZOWIECKI WK-I.431.1.51.2017 Pan Jan Żychliński Starosta Warszawski Zachodni Starostwo Powiatu Warszawskiego Zachodniego ul. Poznańska 129/133 05-850 Ożarów Mazowiecki
Bardziej szczegółowoZarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku
Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku w sprawie: wprowadzenia w życie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym,
Bardziej szczegółowoWarszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.
DZIENNIK URZĘDOWY MINISTRA SKARBU PAŃSTWA Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r. w sprawie ochrony danych osobowych w Ministerstwie
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoSystemy informatyczne w samorządzie. Łódź, czerwca 2016
Systemy informatyczne w samorządzie Łódź, 16-17 czerwca 2016 Podmiot publiczny JST obowiązany jest używać do realizacji zadań systemy teleinformatyczne, które spełniają minimalne wymagania określone przepisami
Bardziej szczegółowoZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.
ZARZĄDZENIE NR 0050.117.2011 WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia 15.11.2011 roku. w sprawie : wprowadzenia Polityki Bezpieczeństwa w Urzędzie Gminy Krzyżanowice Na podstawie: 1) art.
Bardziej szczegółowoPROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)
pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik
Bardziej szczegółowoPan Krzysztof Woźniak Wójt Gminy Pacyna Urząd Gminy Pacyna ul. Wyzwolenia Pacyna
Warszawa, 7 lipca 2015 r. WOJEWODA MAZOWIECKI WK-P.431.4.1.2015 Pan Krzysztof Woźniak Wójt Gminy Pacyna Urząd Gminy Pacyna ul. Wyzwolenia 7 09-541 Pacyna WYSTĄPIENIE POKONTROLNE Na podstawie art. 28 ust.
Bardziej szczegółowoZałącznik nr 7 do ogłoszenia
Załącznik nr 15 do zarządzenia organizacyjnego nr 108/14 Prezydenta Miasta Gliwice z dnia 12 grudnia 2014 r. Załącznik nr 7 do ogłoszenia Umowa nr.. Na powierzenie zbioru danych oraz ustalenie zasad przetwarzania
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
Warszawa, 27 kwietnia 2016 r. WOJEWODA MAZOWIECKI WK-I.431.1.7.2016 Pan Piotr Andrzej Szymański Wójt Gminy Brochów Urząd Gminy w Brochowie Brochów 125 05-088 Brochów WYSTĄPIENIE POKONTROLNE Na podstawie
Bardziej szczegółowoPan WYSTĄPIENIE POKONTROLNE
Warszawa, 2 lipca 2018 r. WOJEWODA MAZOWIECKI WK-I.431.1.15.2018 Pan Wójt Gminy Zakrzew Urząd Gminy w Zakrzewie Zakrzew 51 26-652 Zakrzew WYSTĄPIENIE POKONTROLNE Na podstawie art. 6 ust. 4 pkt 3 ustawy
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL
Załącznik Nr 4 do Strategii informacyjno-rekrutacyjnej projektu pn. Pozalekcyjna Akademia Kompetencji INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
WOJEWODA MAZOWIECKI Warszawa, 10 lipca 2015 r. WK-S.431.1.3.2015 Pan Bogusław Karakula Burmistrz Miasta Sokołów Podlaski Urząd Miasta Sokołów Podlaski ul. Wolności 21 08-300 Sokołów Podlaski WYSTĄPIENIE
Bardziej szczegółowoPan Stanisław Kubeł Starosta Ostrołęcki
Warszawa, 31 marca 2017 r. WOJEWODA MAZOWIECKI WK-I.431.4.14.2016 Pan Stanisław Kubeł Starosta Ostrołęcki WYSTĄPIENIE POKONTROLNE Na podstawie art. 28 ust. 1 pkt 2 ustawy o wojewodzie i administracji rządowej
Bardziej szczegółowoWarszawa, dnia 6 października 2016 r. Poz. 1626
Warszawa, dnia 6 października 2016 r. Poz. 1626 ROZPORZĄDZENIE MINISTRA CYFRYZACJI 1) z dnia 5 października 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
Warszawa, 11 marca 2019 r. WOJEWODA MAZOWIECKI WK-I.431.4.65.2018 Rada Miejska w Szydłowcu Urząd Miejski w Szydłowcu ul. Plac Rynek Wielki 1 26-500 Szydłowiec WYSTĄPIENIE POKONTROLNE Na podstawie art.
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO ROZDZIAŁ I Postanowienia ogólne 1. 1. Polityka bezpieczeństwa przetwarzania danych osobowych w Stowarzyszeniu
Bardziej szczegółowoSzczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:
Rozdział I Szczegółowy opis przedmiotu umowy Załącznik nr 1 do Umowy Architektura środowisk SharePoint UMWD 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów: a) Środowisko
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
WOJEWODA MAZOWIECKI Warszawa, 31 lipca 2013 r. WK I.431.5.5.2012 Pan Tadeusz Bulik Wójt Gminy Dąbrówka Urząd Gminy w Dąbrówce ul. Kościuszki 14 05 252 Dąbrówka WYSTĄPIENIE POKONTROLNE Na podstawie art.
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoZarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.
Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r. w sprawie wdrożenia Instrukcji zarządzania systemem informatycznym Urzędu Gminy Przywidz Na podstawie art.33 ust.3 ustawy z dnia 8 marca
Bardziej szczegółowoDane osobowe: Co identyfikuje? Zgoda
Luty 2009 Formalności Na podstawie ustawy z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i rozporządzenia Prezesa Rady Ministrów z 25 lutego
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoOBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE
Załącznik nr 2 do Polityki bezpieczeństwa danych osobowych OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE 1 Ochrona danych osobowych
Bardziej szczegółowoBEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Magdalena Skrzypczak Magia Urody 42-215 Częstochowa, ul. Kisielewskiego 19 Maj 2018 r. Str. 1 z 9 Spis treści I. Postanowienia ogólne ---------------------------------------------------------------------------
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM
Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
Warszawa, 14 kwietnia 2017 r. WOJEWODA MAZOWIECKI WK-I.431.3.6.2016 Pan Marian Kmieciak Wójt Gminy Odrzywół Urząd Gminy w Odrzywole ul. Warszawska 53 26-425 Odrzywół WYSTĄPIENIE POKONTROLNE Na podstawie
Bardziej szczegółowoKRAJOWE RAMY INTEROPERACYJNOŚCI
KRAJOWE RAMY INTEROPERACYJNOŚCI Wprowadzenie do Krajowych Ram Interoperacyjności Aspekty wdrożenia, audytowania i kontroli realizacji wymagań Krajowych Ram Interoperacyjności Rozporządzenie Rady Ministrów
Bardziej szczegółowoAnaliza ryzyka w obszarze bezpieczeństwa informacji 1
Analiza ryzyka w obszarze bezpieczeństwa informacji 1 Obowiązek wynikający z prawa... 3 Czym jest ryzyko... 4 Obszary zagrożeń... 4 Identyfikacja ryzyka... 5 Zarządzanie ryzykiem... 6 Praktyczne zastosowanie...
Bardziej szczegółowoZadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..
Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych Co ASI widzieć powinien.. Czy dane osobowe są informacją szczególną dla Administratora Systemów IT? Administrator
Bardziej szczegółowoZARZĄDZENIE Nr 110/2018 Rektora Uniwersytetu Wrocławskiego z dnia 23 sierpnia 2018 r.
ZARZĄDZENIE Nr 110/2018 Rektora Uniwersytetu Wrocławskiego z dnia 23 sierpnia 2018 r. w sprawie wprowadzenia zmiany do zarządzenia Nr 142/2017 Rektora Uniwersytetu Wrocławskiego z dnia 14 grudnia 2017
Bardziej szczegółowoPolityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie
Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie
Bardziej szczegółowo2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe
Załącznik nr 4 do Zarządzenia nr 19/2018 Dyrektora Miejskiego Ośrodka Pomocy Rodzinie w Toruniu z dnia 16 marca 2018 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Danych Osobowych w MOPR w Toruniu
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoInstrukcja zarządzania systemem informatycznym STORK Szymon Małachowski
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w sklepie internetowym www.stork3d.pl prowadzonym przez firmę STORK Szymon Małachowski Właścicielem materialnych
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
Warszawa, 19 listopada 2018 r. WOJEWODA MAZOWIECKI WK-I.431.4.1.2018 Pan Wojciech Szustakiewicz Starosta Żyrardowski Starostwo Powiatowe w Żyrardowie ul. Limanowskiego 45 96-300 Żyrardów WYSTĄPIENIE POKONTROLNE
Bardziej szczegółowoInstrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie
Instrukcja zarządzania RODO w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie 1 1. Wstęp...3 2. Zabezpieczenia fizyczne...3 3. Zabezpieczenia techniczne...3 4. Procedura nadawania uprawnień
Bardziej szczegółowoZARZĄDZENIE NR 331/2015 PREZYDENTA MIASTA KIELCE. z dnia 24 sierpnia 2015 r.
ZARZĄDZENIE NR 331/2015 PREZYDENTA MIASTA KIELCE z dnia 24 sierpnia 2015 r. w sprawie wymiany zasobów danych informacji przestrzennej w sieciach teleinformatycznych Na podstawie art. 14 ust. 1 ustawy z
Bardziej szczegółowoUrząd Miasta Siedlce Skwer Niepodległości Siedlce
Warszawa, 31 marca 2017 r. WOJEWODA MAZOWIECKI WK-I.431.1.22.2016 Pan Wojciech Kudelski Prezydent Miasta Siedlce Urząd Miasta Siedlce Skwer Niepodległości 2 08-110 Siedlce WYSTĄPIENIE POKONTROLNE Na podstawie
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
Warszawa, 10 marca 2017 r. WOJEWODA MAZOWIECKI WK-I.431.1.9.2016 Pan Dariusz Jaszczuk Burmistrz Mrozów Urząd Miasta i Gminy Mrozy ul. Adama Mickiewicza 35 05-320 Mrozy WYSTĄPIENIE POKONTROLNE Na podstawie
Bardziej szczegółowoWykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII
Wykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2017 r. poz. 570 ze zm.) Rozdział 1. Przepisy
Bardziej szczegółowoWYSTĄPIENIE POKONTROLNE
Warszawa, 30 września 2015 r. WOJEWODA MAZOWIECKI WK-I.431.1.11.2015 Pani Hanna Wocial Wójt Gminy Jakubów Urząd Gminy Jakubów ul. Mińska 15 05-306 Jakubów WYSTĄPIENIE POKONTROLNE Na podstawie art. 28 ust.
Bardziej szczegółowoWystąpienie pokontrolne
Olsztyn, 2 sierpnia 2018 r. WOJEWODA WARMIŃSKO-MAZURSKI Artur Chojecki FK-IV.431.11.2018 Szanowny Pan Andrzej Bondaruk Wójt Gminy Godkowo Godkowo 14 14-407 Godkowo Stosownie do art. 47 ustawy z dnia 15
Bardziej szczegółowoZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.
36 ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ z dnia 9 maja 2011 r. w sprawie wdrożenia i eksploatacji systemu Wiza-Konsul w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych
Bardziej szczegółowoZARZĄDZENIE NR 27/2011 STAROSTY RAWSKIEGO. z dnia 27 lipca 2011 r.
ZARZĄDZENIE NR 27/2011 STAROSTY RAWSKIEGO z dnia 27 lipca 2011 r. w sprawie wprowadzenia Instrukcji Zarządzania Systemem Informatycznym dla systemu i Polityki Bezpieczeństwa dla zbioru Podsystem Monitorowania
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach
Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i
Bardziej szczegółowo