Rozdział 4: Zarządzanie aktywami informacyjnymi

Wielkość: px
Rozpocząć pokaz od strony:

Download "Rozdział 4: Zarządzanie aktywami informacyjnymi"

Transkrypt

1 Zarządzanie aktywami informacyjnymi System Zarządzania Bezpieczeństwem Informacji (SZBI w literaturze anglojęzycznej ISMS Information Security Management System) określa, w jaki sposób Organizacja zarządza bezpieczeństwem swych aktywów informacyjnych. Wbrew ciągle jeszcze panującej opinii SZBI nie zajmuje się zarządzaniem bezpieczeństwem systemów komputerowych, lecz bezpieczeństwem informacji, niezależnie od formy i nośników używanych do jej przechowywania i dystrybucji. Przedmiotem zainteresowania SZBI będzie więc także informacja na nośnikach papierowych, a nawet informacja przekazywana ustnie. Sprzęt komputerowy, urządzenia sieciowe itp. mają znaczenie dla SZBI wynikające z ich znaczenia dla bezpieczeństwa informacji. Opracowanie specjalnych standardów SZBI oraz wprowadzanie formalnego procesu audytu, który kończy się wydaniem certyfikatu zgodności SZBI z formalnymi wymaganiami zestawionymi w normie PN-ISO/IEC Nazewnictwo norm wprowadza nieco zamieszania, ponieważ ISO stosuje numerację: ISO/IEC Information Security Management System - Requirements ISO/IEC Code of Practice for Information Security Management System W Polsce numeracje jest nieco inna: PN-ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji - Wymagania PN-ISO/IEC 17799:2007 Praktyczne zasady zarządzania bezpieczeństwem informacji Obie normy wywodzą się z norm British Standard: BS (ISO/IEC 27001) oraz BS (ISO/IEC 27002). Związek pomiędzy tymi normami jest dość oczywisty: Norma PN-ISO/IEC (a zwłaszcza jej załącznik A) jest podstawą certyfikacji SZBI i materiałem dla audytorów. Norma PN-ISO/IEC jest przeznaczona przede wszystkim dla organizacji ustanawiających i wdrażających SZBI oraz dla firm konsultingowych wspomagających to działanie. Postępowanie według zaleceń normy PN-ISO/IEC powinno doprowadzić do ustanowienia SZBI, który następnie zostanie poddany audytowi sprawdzającemu spełnienie przez ten system wymagań normy PN-ISO/IEC Norma ISO/IEC (PN-ISO/IEC 17799) określa kolejność postępowania podczas ustanawiania SZBI oraz definiuje następujące podstawowe zagadnienia, które powinny być wzięte pod uwagę podczas ustanawiania SZBI. Należy jednak zwrócić uwagę, że norma zawiera jak kązdy tego typu dokument zawiera sformułowania ogólne, które powinny być odpowiednio dostosowane do potrzeb Organizacji ustanawiającej i wdrażającej SZBI. Działania wstępne Pierwszym, niezbędnym i bardzo ważnym etapem jest spotkanie z kierownictwem Organizacji oraz uzyskanie wsparcia Kadry Zarządzającej dla działań związanych z ustanawianiem SZBI. Wdrożenie SZBI jest praktycznie niemożliwe bez aktywnego wsparcia kierownictwa, które musi być przekonane o korzyściach biznesowych, które można uzyskać w wyniku wdrożenia SZBI. W wyniku tego spotkania powinien powstać dokument, w którym powinny zostać zestawione (C) Tomasz Barbaszewski str. 1 z 17

2 potrzeby Organizacji w zakresie zarządzania bezpieczeństwem informacji. Dokument ten powinien zawierać zestawienie przewidywanych korzyści, które powinna uzyskać Organizacja w wyniku ustanowienia SZBI oraz preliminarz kosztów z tym związanych, stanowi on bowiem bazę niezbędną dla podjęcia decyzji biznesowej umożliwiającej dalsze działania. Kolejnym krokiem jest określenie zakresu wprowadzania SZBI i przygotowanie dokumentu definiującego ten zakres. Dokument ten wyznacza ramy dalszych działań, a więc powinien zostać zaakceptowany przez kierownictwo Organizacji. W tym miejscu warto podkreślić, że dokumenty opracowywane w ramach ustanawiania SZBI powinny zawierać odpowiednią stronę informacyjną. Przykład formatu takiej strony umieszczono na zakończenie tego rozdziału. Strony informacyjne znacznie ułatwiają nadzór nad procesem wdrażania SZBI i powinny stanowić dobry przykład zarządzania informacją oraz jej bezpieczeństwem. Zakres działań zmierzających do ustanowienia SZBI powinien zostać ew. skorygowany oraz zaakceptowany przez Kierownictwo Organizacji oraz powinien być zgodny z zaleceniami normy PN-ISO/IEC Mamy więc już na samym początku drogi do czynienia z prostym cyklem P-D- C-A. Inwentaryzacja aktywów Ostatnim i bardzo ważnym krokiem jest przeprowadzanie inwentaryzacji zasobów informacyjnych i sporządzenie spisu aktywów będących w dyspozycji organizacji. W zadaniu tym pomocne będzie podejście procesowe i przyporządkowanie aktywów informacji realizowanych przez Organizację procesów biznesowych. Jeśli Organizacja wdrożyła już odpowiednie normy rodziny ISO 9000 przygotowanie takiej bazy danych będzie znacznie ułatwione. Spis aktywów informacyjnych Organizacja może również przygotować we własnym zakresie. W spisie aktywów mogą się znaleźć (przykładowo) następujące pozycje: Aktywa niematerialne: Informacje w formie cyfrowej, Informacje w innej (nie cyfrowej) formie, Oprogramowanie (kody wynikowe oraz licencje na wykorzystywanie programów), Oprogramowanie kody źródłowe wraz z licencjami i dokumentacją, Bazy i zbiory danych, Wzory dokumentów, Bazy wiedzy, Dokumentacje techniczne, Archiwa. Aktywa materialne związane z przetwarzaniem informacji: (C) Tomasz Barbaszewski str. 2 z 17

3 Serwery i farmy serwerów, Komputery obliczeniowe, klastry itp. Urządzenia sieciowe, Stacjonarne komputery osobiste, Komputery przenośne (wszystkie rodzaje), Urządzenia peryferyjne itp... Zasoby ludzkie. System Zarządzania Bezpieczeństwem Informacji Inwentaryzację należy przeprowadzić wykorzystując odpowiednio przygotowane arkusze spisowe: Numer inwentarzowy: Opis: Właściciel: Zarządzający: Użytkownicy: Lokalizacja: Klasyfikacja: Okres ważności: Sposób likwidacji: Kopia awaryjna (wykonywanie): Kopia awaryjna (przechowywanie): Wymagania: Dostępność: Integralność: Poufność: Sporządził: Zatwierdził: Jednostka organizacyjna: Organizacja: Dnia: Dnia: (C) Tomasz Barbaszewski str. 3 z 17

4 Najczęściej do oceny wartości aktywu stosuje się skalę trójstopniową dla określenia stopnia wymagań: niski wartość 1 średni wartość 2. wysoki wartość 3. Za miarę wartości aktywu przyjmuje się sumę wartości przypisanych stawianym wymaganiom, na przykład: dostępność = 3 integralność = 2 poufność = 1 Wartość aktywu = 6 Wartości aktywów zostaną użyte w następnym etapie analizie ryzyka. Arkusze spisowe będą się oczywiście różnic w zależności od rodzaju spisywanego aktywu. Opisując na przykład serwer lub komputer osobisty należy ocenić wymagania zbiorczo dla wszystkich danych, które są nich przechowywane lub przetwarzane i przyjąć za obowiązujące najwyższe wymaganie. (C) Tomasz Barbaszewski str. 4 z 17

5 Klasyfikacja informacji Klasyfikacja informacji jest podstawą ZSBI. Organizacja wprowadzająca ZSBI powinna ustanowić Politykę Klasyfikacji Informacji (zał. A do PN-ISO/IEC 27001). Polityka powinna umożliwiać przypisanie każdej tworzonej lub otrzymywanej informacji do określonej grupy. Zalecane jest utworzenie co najmniej 3 grup klasyfikacyjnych informacji, lecz w razie potrzeby (np. przetwarzanie w organizacji danych niejawnych w sensie Ustawy) organizacja może zdefiniować w Polityce Kwalifikowania Informacji więcej grup. Klasyfikacja informacji powinna jednoznacznie określać warunki przypisania informacji do określonej grupy oraz osobę odpowiedzialną za dokonanie takiego przypisania. Właściciel informacji Pojęcie właściciela informacji nie jest związane z klasycznym pojęciem własności (np. w sensie praw autorskich), ponieważ prawa do informacji tworzonych w Organizacji, a dla informacji otrzymywanych z zewnątrz są określane przez ich prawnych właścicieli. Właściciel informacji w systemie SZBI określa osobę odpowiedzialną za zarządzanie tą informacją. Jest to zazwyczaj kierownik działu, w którym informacja powstała lub osoba, która otrzymała takie uprawnienia. Właściciel informacji dokonuje jej zakwalifikowania do określonej w Polityce Kwalifikowania Informacji grupy i dokonuje jej odpowiedniego oznaczenia. Właściciel informacji jest jedyną osobą uprawnioną do zmiany kwalifikacji informacji. Zmiana kwalifikacji informacji nie może być dokonywana w górę, to znaczy informacja o niższym stopniu ochrony nie może być przeniesiona do grupy, dla której przewidziano wyższy stopień ochrony. Postępowanie z informacją Niezależnie od tego, do jakiej grupy należy informacja Polityka Klasyfikacji Informacji musi określać sposoby postępowania z informacją: 1. Sposób oznaczania informacji, 2. Odpowiedzialność osób tworzących lub otrzymujących informację, 3. Warunki kopiowania informacji oraz postępowania z kopiami, 4. Sposoby i warunki dystrybucji informacji, 5. Sposoby archiwizacji informacji lub nieodwracalnego jej usunięcia. Sposoby postępowania z informacją powinny być uzależnione od grupy, do której informacja została zakwalifikowana przez jej właściciela. Polityka Kwalifikowania Informacji powinna jednoznacznie definiować sposoby postępowania z informacją i określać poziomy, jakim powinny odpowiadać jej podstawowe atrybuty dostępność, integralność oraz poufność. (C) Tomasz Barbaszewski str. 5 z 17

6 Przykładowa Polityka Kwalifikowania Informacji Dokument określający Politykę Kwalifikowania Informacji powinien spełniać ogólne wymagania dla dokumentów tworzonych w ramach ustanawiania SZBI (część informacyjna) oraz powinna mu towarzyszyć odpowiednia deklaracja stosowania. Polityka Kwalifikowania Informacji powinna określać co najmniej trzy grupy kwalifikacyjne: 1. Informacje ogólnodostępne (publiczne), 2. Informacje do użytku wewnętrznego w ramach Organizacji, 3. Informacje poufne, o podwyższonym stopniu ochrony i ograniczonym obiegu wewnątrz organizacji. Informacje ogólnodostępne (publiczne) Do grupy tej należy kwalifikować informacje spełniające następujące warunki: 1. Informacja jest przeznaczona do powszechnego wykorzystywania. Okresowa utrata dostępności do informacji nie stanowi zagrożenia dla ciągłości działania Organizacji i ryzyko z tym związane określono jako akceptowalne. 2. Zachowanie integralności informacji posiada ograniczone (np. wizerunkowe) znaczenie dla Organizacji. Utrata integralności nie rodzi skutków finansowych lub prawnych dla Organizacji. 3. Poufność nie jest zachowywana. W grupie tej znajdą się więc wszelkie informacje marketingowe, broszury, zawartość publicznych stron WWW (łączenie z BIP Biuletynem Informacji Publicznej), publicznie dostępne raporty finansowe, katalogi i wszelkie inne informacje udostępniane bez konieczności spełnienia przez ich odbiorcę jakichkolwiek warunków np. automatycznie generowane odpowiedzi na pocztę elektroniczną w okresie urlopu pracownika. W pewnych przypadkach może być konieczne zachowanie integralności informacji przeznaczonych do udostępniania publicznego (np. aktów prawnych lub ich projektów, dokumentacji zamówień publicznych, kody oprogramowania itp.). W razie takiej konieczności w Polityce Kwalifikowania Informacji należy przewidzieć dodatkową podgrupę, do której będą kwalifikowane informacje udostępniane publicznie, lecz o podwyższonym stopniu ochrony i zastosować dodatkowe mechanizmy kontroli integralności dystrybuowanej informacji oraz przewidzieć możliwość weryfikacji jej integralności przez odbiorcę. (C) Tomasz Barbaszewski str. 6 z 17

7 Oznaczanie informacji przeznaczonych do udostępniania publicznego Polityka Kwalifikowania Informacji powinna określać sposób oznaczania przynależności informacji go określonej grupy. W przypadku informacji udostępnianych publicznie dość rzadko stosuje się umieszczanie tego oznaczenia wewnątrz samej informacji (choć zdarzają się wyjątki np. IBM Disclosed Bulletin). Zarządzanie informacją wymaga jednak, aby towarzyszył jej dodatkowy rekord (metryczka) informacyjna zawierająca dane o: 1. Właścicielu informacji, 2. Zakwalifikowaniu informacji do grupy udostępnianych publicznie i ew. dodatkowych mechanizmach ochrony, 3. Okresie obowiązywania informacji, 4. Sposobie archiwizacji informacji lub o jej braku. Szczegółowy format takiego rekordu jest pozostawiony do decyzji organizacji i zazwyczaj uzależniony od wykorzystywanego systemu obiegu dokumentów. Wiele przykładów Polityki Kwalifikowania Informacji nie przewiduje co prawda obowiązku wprowadzania jakichkolwiek oznaczeń dla informacji udostępnianych publicznie, jest to jednak niekorzystne choćby z tego względu, że znajomość okresu ważności informacji znacznie ułatwia organizację usuwania nieaktualnych informacji z systemu (lub ich archiwizowanie) i tym samym zapobiega możliwym nieporozumieniom. Zarządzanie kopiami informacji udostępnianych publicznie Informacje zakwalifikowane do tej grupy mogą być powielane bez ograniczeń w dowolnej formie. Nie można więc zaliczyć do tej grupy utworów w rozumieniu Prawa Autorskiego, chyba, że właściciel tych praw dopuścił taką możliwość (np. odpowiednią licencją Creative Commons, licencją GPL lub inną licencją publiczną). Odpowiedzialność za zarządzanie kopią informacji (w szczególności za jej aktualność) spoczywa na odbiorcy informacji, który tą kopię wykonał. Dystrybucja informacji udostępnianych publicznie Nie podlega ograniczeniom, jeśli nie narusza ogólnych przepisów prawa. Usuwanie informacji udostępnianych publicznie Nie określa się żadnych dodatkowych wymagań w przypadku informacji w formie elektronicznej w postaci pliku wystarcza standardowe skasowanie go z wykorzystaniem standardowej funkcji systemu operacyjnego, nośniki zawierające informacje zakwalifikowane do tej grupy (papier, tworzywa sztuczne, urządzenia elektroniczne itp.) mogą być przekazywane do recyklingu. (C) Tomasz Barbaszewski str. 7 z 17

8 Informacje o istotnym znaczeniu dla Organizacji (do użytku wewnętrznego) Do tej grupy kwalifikowane są informacje o istotnym znaczeniu dla funkcjonowania Organizacji, do których dostęp powinny mieć jedynie osoby pozostające w związku prawnym z Organizacją (np. w stosunku zatrudnienia). Udostępnienie tych informacji osobom (zarówno fizycznym, jak i prawnym), które nie pozostają w takim związku wymaga formalnej autoryzacji i zgody osób zarządzających Organizacją. Ewentualne ujawnienie lub przejęcie informacji należących do tej grupy przez osoby nieuprawnione nie może skutkować ryzykiem poważnego zakłócenia działania Organizacji. Atrybuty jakości informacji zakwalifikowanych do tej określa się następująco: 1. Dostępność ograniczona do osób posiadających odpowiednie autoryzacje, dystrybucja informacji jedynie do osób uprawnionych, 2. Integralność weryfikacja integralności informacji jest obowiązkowa, 3. Poufność nie jest wymagana, lecz odbiorcy informacji są zobowiązani do ochrony otrzymywanych informacji należących do tej grupy. W grupie tej powinny się znaleźć wszelkie informacje niezbędne do sprawnego działania Organizacji obowiązujące procedury, zarządzenia, materiały szkoleniowe, okólniki, raporty, kontrakty i porozumienia z podmiotami zewnętrznymi, wewnętrzne listy mailingowe i książki telefoniczne, dokumentacje projektowe i wykonawcze, dokumenty wymieniane z innymi podmiotami (wydawane decyzje itp.), dane osobowe itp. Oznaczanie informacji Informacje o istotnym znaczeniu dla Organizacji powinny być wyraźnie oznaczone odpowiednią adnotacją np. Do użytku wewnętrznego. Oznaczenie to powinno być integralną częścią informacji (np. znajdować się w nagłówku informacji umieszczanym na każdej jej stronie). Niezależnie od umieszczenia odpowiedniego oznaczenia informacji powinna towarzyszyć opisana w poprzednim rozdziale metryczka informacyjna. Dodatkowe mechanizmy ochrony Właściciel informacji dokonuje klasyfikacji informacji, wprowadza odpowiednie jej oznaczenie oraz określa listę osób, którym informacja ma być udostępniona. Odbiorca informacji jest odpowiedzialny za odpowiednie zabezpieczenie informacji podczas jej przetwarzania oraz przechowywania, niezależnie od formy i nośnika, na którym informacja jest przechowywana. (C) Tomasz Barbaszewski str. 8 z 17

9 Zarządzanie kopiami Kopie informacji do użytku wewnętrznego mogą być wykonywane jedynie przez pracowników Organizacji lub przez współpracujące z nią podmioty, których upoważnieni przedstawicieli podpisali z Organizacją odpowiedni dokument o zachowaniu poufności (tak zwany NDA NonDisclosure Agreement). Kopia informacji do użytku wewnętrznego podlega takim samym zasadom ochrony jak jej oryginał. Dystrybucja informacji do użytku wewnętrznego Wewnątrz Organizacji: 1. w przypadku przekazywania informacji na nośniku należy go umieścić w odpowiedniej kopercie poczty wewnętrznej, 2. do dystrybucji w postaci elektronicznej dopuszczalne jest jedynie wykorzystywanie wewnętrznego systemu poczty elektronicznej wyposażonego w mechanizm zapobiegający przypadkowemu lub zamierzonemu wysłaniu informacji na adres zewnętrzny. Na zewnątrz Organizacji: 1. Na nośnikach odpowiednio zabezpieczony list polecony za potwierdzeniem odbioru lub przesyłka kurierska, 2. W postaci elektronicznej poczta elektroniczna wyposażona w działający mechanizm szyfrowania przesyłek. 3. Telefaxem pod warunkiem uwierzytelnienia numeru odbiorcy. Usuwanie informacji do użytku wewnętrznego Należy zastosować mechanizmy uniemożliwiające odzyskanie usuwanej informacji do użytku wewnętrznego. Informacja i wszystkie jej kopie muszą być bezwarunkowo usunięta po upływie terminu jej ważności lub na udokumentowane polecenie jej Właściciela. Za archiwizację informacji do użytku wewnętrznego odpowiada jej Właściciel. 1. Dokumenty w postaci papierowej należy użyć niszczarki dokumentów, 2. Dokumenty na nośnikach elektronicznych w przypadku wycofania nośnika (np. krążka CD/DVD) z dalszego użycia należy go przekazać to odpowiedniego działu (np. IT) w celu przeprowadzenia likwidacji. Nośniki, na których niemożliwe jest skasowanie danych (np. CD Read Only) należy przed przekazaniem uszkodzić fizycznie. Z nośników, na których możliwe jest kasowanie danych należy przed przekazaniem do likwidacji skasować wszelkie informacje stosując standardowe mechanizmy systemu operacyjnego (np. procedurę formatowania). (C) Tomasz Barbaszewski str. 9 z 17

10 3. Jeśli nośnik (np. komputer), na którym znajduje się informacja do użytku wewnętrznego podlegająca usunięciu będzie w dalszym ciągu wykorzystywany przez tego samego użytkownika należy skasować tą informację posługując się standardowymi mechanizmami systemu operacyjnego. W przypadku przekazywania nośnika (komputera, dysku przenośnego itp.) innemu użytkownikowi należy skasować wszelkie zawarte na nim informacje do użytku wewnętrznego i przekazać go wyznaczonemu działowi w celu zakończenia procedury kasowania zawartych na nim informacji. Informacje poufne Grupa informacji poufnych obejmuje informacje o kluczowym znaczeniu dla Organizacji. Do grupy tej należy kwalifikować wszelkie informacje, których ujawnienie nieuprawnionym osobom lub podmiotom może skutkować istotnym zakłóceniem działania Organizacji, niekorzystnymi konsekwencjami prawnymi, finansowymi lub technicznymi, naruszeniem własności intelektualnej itp. Grupa ta może obejmować np. wynagrodzenia pracowników, dane medyczne, dokumenty finansowe, opracowania działów rozwoju, dokumentacje techniczne, plany biznesowe itp. Nadzorowane atrybuty informacji poufnych: 1. Dostępność ograniczona jedynie do osób wyznaczonych przez Właściciela informacji. 2. Integralność ściśle kontrolowana z wykorzystaniem mechanizmów kryptograficznych (funkcje skrótu, podpisy cyfrowe, certyfikaty itp.). 3. Poufność wymagana. Informacja musi być szyfrowana lub skutecznie zabezpieczona w sposób fizyczny. Korzystanie z informacji jest dozwolone jedynie w pomieszczeniach, do których dostęp jest kontrolowany i w których nie mogą przebywać bez nadzoru osoby nieuprawnione. Oznaczanie informacji Musi być umieszczone przez Właściciela w sposób trwały na każdej stronie dokumentu i zawierać numer jego egzemplarza oraz liczbę sporządzonych egzemplarzy. Oznaczenie podlega kontroli integralności identycznej jak stosowana dla całego dokumentu. Dodatkowe mechanizmy ochrony Osoba sporządzająca dokument poufny w porozumieniu z jego Właścicielem jest odpowiedzialna za jego dystrybucję jedynie do osób umieszczonych na przygotowanej liście. Na liście dystrybucyjnej mogą być umieszczane jedynie osoby, a nie np. Działy Organizacji. Lista zawiera numer egzemplarza dokumentu, który został dostarczony danej osobie. Odbiorca informacji poufnej jest zobowiązany do potwierdzenia faktu jej otrzymania i może z niej korzystać jedynie w sposób gwarantujący zachowanie jej poufności oraz przechowywania informacji poufnej w taki sposób, aby żadne inne osoby nie mogły uzyskać do niej dostępu. (C) Tomasz Barbaszewski str. 10 z 17

11 Zarządzanie kopiami Kopiowanie informacji poufnej w jakikolwiek sposób jest zabronione. W przypadku konieczności uzyskania dodatkowego egzemplarza dokumentu lub przeniesienia go na inny nośnik wymagane jest każdorazowe uzyskanie zezwolenia Właściciela informacji, który dokona rejestruje ten fakt na liście dystrybucyjnej danej informacji. Dystrybucja informacji poufnej Wewnątrz Organizacji: 1. przekazanie nośnika z informacją umieszczonego w zamkniętej kopercie przez umyślnego pracownika, 2. W formie elektronicznej jedynie pod warunkiem wykorzystywania wewnętrznego systemu poczty elektronicznej skonfigurowanego w taki sposób, aby nie było możliwe dostarczanie poczty na adresy zewnętrzne. Wymagane jest obustronne uwierzytelnienie nadawcy i odbiorcy, zapewnienie integralności oraz szyfrowanie przesyłanych danych. Na zewnątrz Organizacji: 1. Na nośniku umieszczonym w zabezpieczonej przed otwarciem przesyłce poleconej za zwrotnym potwierdzeniem odbioru. 2. W formie przekazu elektronicznego jedynie pod warunkiem wykorzystywania bezpiecznego kanału komunikacyjnego (bezpiecznej wirtualnej sieci prywatnej w trybie tunelowania np. ESP IPSec). Usuwanie informacji poufnej Usuwanie informacji poufnej podlega podobnym procedurom, jak przewidziane dla informacji do użytku wewnętrznego pod warunkiem stosowania niszczarek dokumentów posiadających odpowiedni certyfikat. Nośniki typu Read Only (CD ROM, DVD ROM) muszą być zostać skutecznie zniszczone fizycznie. Z nośników umożliwiających zapis pliki zawierające informacje poufne należy usunąć stosując program realizujący wielokrotny zapis danych losowych (np. wipe, eraser lub podobne). Wycofywane lub przekazywane nośniki należy całkowicie skasować i przekazać do do działu IT. (C) Tomasz Barbaszewski str. 11 z 17

12 Uwagi końcowe Przedstawiona powyżej Polityka Kwalifikowania Informacji jest jedynie przykładem i powinna być dostosowana do potrzeb konkretnej Organizacji wynikających z przeprowadzonej analizy ryzyka. W wielu przypadkach wprowadzane jest pojęcie informacji niekwalifikowanej, która nie jest przedmiotem tej Polityki, a więc niejako pozostaje poza SZBI. Osobiście uważam takie rozwiązanie za nieprawidłowe, ponieważ nie istnieje informacja, która nie posiada żadnego (choćby wizerunkowego) znaczenia dla Organizacji. W organizacjach administracyjnych starannego potraktowania wymagają informacje udostępniane w ramach obowiązujących Biuletynach Informacji Publicznych. Są to informacje, które muszą być z mocy ustawy dostępne bez ograniczeń, jednak niewątpliwie muszą posiadać atrybut kontroli integralności. Z tego też względu wiele urzędów udostępnia te informacje w formie zeskanowanych dokumentów papierowych, przeciwko czemu protestują (i słusznie) organizacje pozarządowe, ponieważ przy sporządzaniu swych opinii pragnęłyby posługiwać się dokumentami w postaci edytowalnej. Wymagania dla poszczególnych grup informacji określane w Polityce Kwalifikowania Informacji powinny być również dostosowane do wymagań organizacji, a co najważniejsze nie powinny kolidować z wymaganiami aktów prawnych wyższego rzędu aby wymienić jedynie Ustawy o ochronie danych osobowych lub informacji niejawnych. Informacje chronione z mocy ustaw nie powinny pozostawać poza ustanawianym systemem zarządzania bezpieczeństwem informacji. Zakwalifikowanie aktywu informacyjnego jest podstawą do jego wyceny dla potrzeb analizy ryzyka na przykład: Klasyfikacja aktywu: Dostępność Integralność Poufność Wartość aktywu Informacja publiczna: Średnia - 2 Niska - 1 Brak Do użytku wewnętrznego Wysoka - 3 Średnia - 2 Średnia Informacja poufna Wysoka- 3 Wysoka - 3 Wysoka (C) Tomasz Barbaszewski str. 12 z 17

13 Ocena i szacowanie zagrożeń i podatności Pojęcia te są często błędnie interpretowane. Najlepiej posłużyć się przykładem komputer PC ze standardowym systemem operacyjnym, bez jakichkolwiek dodatkowych zabezpieczeń niewątpliwie charakteryzuje się wysokim poziomem podatności, jeśli jednak umieścimy go w klatce Faraday a, nie podłączymy do sieci komputerowej i powierzymy do użytkowania jednemu użytkownikowi to poziom zagrożenia należy ocenić jako bardzo niewielki. Odwrotnie, ten sam komputer wyposażony w zaawansowane programy zabezpieczające, lecz podłączony bezpośrednio do sieci Internet będzie charakteryzować się niskim poziomem podatności, lecz wysokim - zagrożenia. Oceny podatności i zagrożeń dokonujemy także zazwyczaj w skali trójstopniowej identycznie jak wartości aktywów. Ostatnim etapem jest oszacowanie prawdopodobieństwa wystąpienia niekorzystnego zdarzenia. Przypisujemy mu wagi liczbowe najczęściej od 1 (zdarzenie nie występuje lub jego prawdopodobieństwo jest znikome) do 5 (zdarzenie występuje często lub jest bardzo prawdopodobne). (C) Tomasz Barbaszewski str. 13 z 17

14 Przykładowy schemat analizy ryzyka: Inwentaryzacja aktywów Wycena wartości aktywów - W Identyfikacja zagrożeń i podatności Z i V Oszacowanie prawdopodobieństwa - P Ocena poziomu ryzyka R=W*Z*V Wpływ na działalność biznesową - B: 0 bez znaczenia... 5 średni katastrofalny Całkowite ryzyko = R*B Opracowany w ten sposób materiał jest podstawą do podjęcia decyzji biznesowych zaakceptowania ryzyka, podjęcia działań zmierzających do ograniczenia poziomu ryzyka i jego wpływu na działalność biznesową lub delegacji ryzyka. Ewentualne decyzje o wprowadzeniu dodatkowych zabezpieczeń lub podjęcie działań organizacyjnych zmierzających do ograniczenia wpływu ryzyka wymaga ponownego przeprowadzenia analizy ryzyka (cykl P-D-C-A). (C) Tomasz Barbaszewski str. 14 z 17

15 Analiza ryzyka jest bazą do przygotowania Planu Postępowania z Ryzykiem. Plan ten powinien zawierać: zestawienie zidentyfikowanych ryzyk, propozycje działań, które należy podjąć w związku ze zidentyfikowanym i ocenionym ryzykiem (wdrożenie zabezpieczeń, opracowanie odpowiednich procedur, wprowadzenie zmian organizacyjnych), zasoby, które są niezbędne do realizacji planu postępowania z ryzykiem, priorytety realizacji umieszczonych w planie działań, osoby odpowiedzialne za realizację działań przewidzianych w planie, proponowany harmonogram realizacji działań. Kolejnym dokumentem jest Deklaracja Stosowania. Dokument zawiera zestawienie powodów oraz celów wprowadzenia zabezpieczeń, a także opis samych zabezpieczeń. Deklaracja stosowania powinna również zawierać krótkie uzasadnienie merytoryczne wyboru określonych zabezpieczeń. Forma Deklaracji Stosowania może być dowolna, lecz w praktyce jest ona zdeterminowana wynikami analizy ryzyka: zidentyfikowane ryzyko wraz z jego oceną, cel wprowadzenia zabezpieczenia, wybór sposobu zabezpieczenia, opis zabezpieczenia wraz z uzasadnieniem, spodziewane efekty zastosowania zabezpieczeń. Powyższe dokumenty po ich opracowaniu są przedkładane Kierownictwu Organizacji w celu: akceptacji pozostawionych szczątkowych ryzyk, zatwierdzenia i wdrożenia Planu Postępowania z Ryzykiem. Akceptacja Planu Postępowania z Ryzykiem raz Deklaracji Stosowania kończy wstępny etap ustanawiania SZBI i umożliwia przystąpienie do opracowywania Programu Implementacji SZBI. Uwagi praktyczne Etap wstępny ustanawiania SZBI ma bardzo duże znaczenie dla powodzenia i szybkiego przeprowadzenia tego przedsięwzięcia. Nie jest to możliwe bez wsparcia Kierownictwa Organizacji. Należy jednak również zwrócić uwagę na uzyskanie zrozumienia dla podejmowanych działań przez pracowników zatrudnionych w Organizacji. Podczas spotkania z Kierownictwem warto zwrócić uwagę, że odpowiednia polityka informacyjna, ew. wspomagana krótkimi szkoleniami powinna być głównie nastawiona na wzmocnienie motywacji wewnętrznej pracowników i ich identyfikowania się z celami Organizacji, do którym należy również zarządzanie bezpieczeństwem informacji. Podejmowane podczas ustanawiania i wdrażania SZBI działania są niekiedy postrzegane jako ograniczenie swobody pracowników zwłaszcza dotyczy to pracowników o wyższej pozycji służbowej. Kształtowanie świadomości pracowników o znaczeniu aktywów informacyjnych w nowoczesnej Organizacji wpływa także bardzo korzystnie na ich efektywność. Wdrażanie SZBI jest znakomitą okazją do przekonania pracowników, że zarówno (C) Tomasz Barbaszewski str. 15 z 17

16 informacja, jak i środki techniczne wykorzystywane do jej dystrybucji, przetwarzania oraz przechowywania są powierzonymi im środkami produkcji i powinni dbać we własnym interesie o wykorzystywanie ich zgodnie z przeznaczeniem to znaczy do realizacji procesów biznesowych Organizacji. Ustanowienie SZBI wiąże się z wprowadzeniem szeregu procedur nie powinno się wymuszać ich stosowania postępowanie zgodnie z tymi procedurami powinno być dla pracownika naturalne i oczywiste. Tylko wówczas procedury (a tym samym zasady bezpieczeństwa informacji) nie będą omijane. Procedury powinny być więc w miarę proste i ściśle związane z zadaniami, które wykonuje pracownik. Związek pomiędzy procedurami bezpieczeństwa i możliwością sprawnej pracy powinien stać się dla każdego pracownika jasny i oczywisty. Dokumentowanie działań podczas ustanawianie SZBI Podczas wdrażania SZBI powstaja szereg dokumentów i zestawień. Najprawdopodobniej (cykl P-D-C-A) będą one podlegały korektom. Warto więc już podczas etapu wstępnego zadbać o właściwy i przejrzysty sposób zarządzania nimi. Każdy dokument, niezależnie od tego, czy będzie przechowywany w postaci klasycznej, czy elektronicznej powinien zawierać odpowiednią metryczkę informacyjną: Tytuł dokumentu: Identyfikator dokumentu: Wersja: Data opracowania: Klasyfikacja informacji: Opracował: Zatwierdził: Lista dystrybucyjna: Otrzymują: Cel przekazania: Lista zmian: Wersja Strona Data: Opis dokonanej zmiany: Wprowadził Zatwierdził (C) Tomasz Barbaszewski str. 16 z 17

17 Powyższa wersja jest oczywiście przykładowa. Jeśli Organizacja wykorzystuje system zarządzania dokumentami to oczywiście może być on stosowany także do dokumentów związanych z ustanawianiem SZBI. Rola konsultanta przy wdrażaniu SZBI Wbrew powszechnej opinii ustanowienie SZBI nie jest zadaniem zbyt trudnym jest jednak niewątpliwie zadaniem złożonym. Wiele Organizacji może się podjąć realizacji takiego projektu własnymi siłami, jednak należy sie liczyć z tym, że spowoduje to konieczność wyłączenia (lub przynajmniej ograniczenia) kilku pracowników z realizacji standardowych zadań. Dodatkowo brak dobrej znajomości procesu ustanawiania SZBI, niezbędnych dokumentów itp. powoduje, że ryzyko niepowodzenia audytu przedcertyfikacyjnego jest duże, a konieczność podejmowania wielu prób wydłuża czas realizacji projektu i oczywiście zwiększa jego koszty. Przeciwstawnym rozwiązaniem jest zaangażowanie specjalistycznej firmy konsultingowej. Nie należy jednak liczyć na to, że będzie ona w stanie dobrze wykonać swoje zadania bez codziennej współpracy z wieloma pracownikami Organizacji. Każda Organizacja ma bowiem swoją specyfikę oraz wypracowane sposoby działania i traktowania informacji. W dużych jednostkach przeprowadzenie pełnej i kompletnej inwentaryzacji aktywów oraz poprawne określenie ich wartości może się okazać wręcz niemożliwe. Oczywiście wiele niezbędnych do przystąpienia do ustanowienia SZBI danych jest dostępnych rutynowo w Organizacji (w działach Inwentaryzacji, Bezpieczeństwa, IT itp.) jednak moja praktyka wykazała, że niezbędna jest ich weryfikacja np. wiele posiadanych i zinwentaryzowanych licencji na wykorzystywanie oprogramowania nie jest faktycznie wykorzystywanych, na niektórych serwerach (np. WWW) jest wykorzystywane Wolne i Otwarte lecz nie jest to nigdzie zewidencjonowane (brak jest również wymaganej kopii licencji GPL), komputery osobiste bywają często wykorzystywane do innych zadań itp. Rzetelne przeprowadzenie inwentaryzacji aktywów nie jest w takiej sytuacji możliwe bez ścisłej współpracy z pracownikami Organizacji. Bardzo korzystnym rozwiązaniem, które znakomicie sprawdza się w praktyce jest nawiązanie współpracy z doświadczonym konsultantem, lecz pozostawienie części zadań w gestii pracownika organizacji. Pracownik ten powinien móc efektywnie współpracować z działami Organizacji oraz z konsultantem, którego zadaniem będzie wówczas przygotowywanie odpowiednich ankiet oraz zbiorcze opracowywanie danych. W ten sposób utrzymany zostaje dobry kontakt z pracownikami Organizacji i otrzymywane dane są poprawne i wiarygodne, a równocześnie dokumenty i procedury opracowywane w procesie ustanawiania SZBI odpowiadają wymaganiom formalnym. Wielu konsultantów współpracuje z jednostkami certyfikującymi i dzięki temu znają oni wymagania ich audytorów. Unika się dzięki temu przykrych niespodzianek i konieczności powtarzania audytów. Dodatkowo oddelegowany do współpracy z konsultantem pracownik zdobywa wiedzą praktyczną w zakresie ustanawiania i wdrażania SZBI i może pełnić funkcję audytora wewnętrznego. (C) Tomasz Barbaszewski str. 17 z 17

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

I. O P I S S Z K O L E N I A

I. O P I S S Z K O L E N I A Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl INSTRUKCJA ZARZĄDZANIA Obowiązuje od: 01

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W

Bardziej szczegółowo

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Spis treści. Analiza Ryzyka Instrukcja Użytkowania Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.

Bardziej szczegółowo

a) po 11 dodaje się 11a 11g w brzmieniu:

a) po 11 dodaje się 11a 11g w brzmieniu: Zarządzenie Nr 134/05 Starosty Krakowskiego z dnia 27 grudnia 2005r. - w sprawie zmiany Zarządzenia Starosty Krakowskiego Nr 40/99 z dnia 19 sierpnia 1999r. w sprawie ochrony danych osobowych, stosowanych

Bardziej szczegółowo

SKZ System Kontroli Zarządczej

SKZ System Kontroli Zarządczej SKZ System Kontroli Zarządczej KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych Na podstawie art. 69 ust. 3 ustawy z

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

Komunikat nr 115 z dnia 12.11.2012 r.

Komunikat nr 115 z dnia 12.11.2012 r. Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania

Bardziej szczegółowo

Ustanawianie SZBI. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001

Ustanawianie SZBI. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Ustanawianie SZBI Decyzję o ustanowieniu SZBI podejmuje Kierownictwo Organizacji. W wyniku tej decyzji zostaje opracowany i przedstawiony do akceptacji Kierownictwa Program Implementacji SZBI, który powinien

Bardziej szczegółowo

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 2002 nr

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo. Załącznik nr 2 do zarządzenia nr 39/2015 Wójta Gminy Ostaszewo z dnia 27 maja 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI Dz. U. z 2004 r. Nr 100, poz. 1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO Załącznik Nr 1 do Zarządzenia Starosty Suskiego Nr 35/2010 z dnia 30 lipca 2010 r. KARTA AUDYTU WEWNĘTRZNEGO Rozdział 1 Postanowienia ogólne 1 Karta audytu wewnętrznego reguluje funkcjonowanie audytu wewnętrznego

Bardziej szczegółowo

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego INSTRUKCJA zarządzania systemem informatycznym dla systemu Podsystem

Bardziej szczegółowo

Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe. Podstawy uwierzytelnienia. dr Tomasz Barbaszewski Kraków, 2012

Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe. Podstawy uwierzytelnienia. dr Tomasz Barbaszewski Kraków, 2012 Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe Podstawy uwierzytelnienia dr Tomasz Barbaszewski Kraków, 2012 Podstawowym atrybutem jakości informacji jest jej dostępność. Jeśli

Bardziej szczegółowo

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU SPIS TREŚCI: ROZDZIAŁ I... 3 POSTANOWIENIA OGÓLNE... 3 ROZDZIAŁ II... 6 KONTROLA INSTYTUCJONALNA PROWADZONA

Bardziej szczegółowo

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Wykładowca mgr prawa i mgr inż. elektronik Wacław Zimny audyt

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. w sprawie szczegółowych warunków organizacyjnych i technicznych dla systemu teleinformatycznego służącego identyfikacji

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO ROZDZIAŁ I Postanowienia ogólne 1. 1. Polityka bezpieczeństwa przetwarzania danych osobowych w Stowarzyszeniu

Bardziej szczegółowo

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL W Z Ó R INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL Wzór ma charakter pomocniczy. Wzór może być modyfikowany

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE Chruślina 19-03-2015r. 1 POLITYKA BEZPIECZEŃSTWA Administrator Danych Dyrektor Szkoły Podstawowej w Chruślinie Dnia 10-03-2015r.

Bardziej szczegółowo

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych

Bardziej szczegółowo

HARMONOGRAM SZKOLENIA

HARMONOGRAM SZKOLENIA Materiały Tytuł Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 Zagadnienie do przerobienia Materiały do przeglądnięcia CZĘŚĆ 1 1. Wymagania dla systemu ISMS wg ISO/IEC 27001

Bardziej szczegółowo

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Warszawa, dnia 28 czerwca 2012 r. Poz. 93 Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

Przykładowy wykaz zbiorów danych osobowych w przedszkolu Przykładowy wykaz zbiorów danych osobowych w przedszkolu Lp. Nazwa zbioru Pomieszczenie 1. Zbiór 1 Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych 2. Zbiór 2 Kontrola wewnętrzna wyniki,

Bardziej szczegółowo

Bezpieczeństwo teleinformatyczne danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych Bezpieczna Firma Bezpieczeństwo teleinformatyczne danych osobowych Andrzej Guzik stopień trudności System informatyczny, w którym przetwarza się dane osobowe, powinien oprócz wymagań wynikających z przepisów

Bardziej szczegółowo

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. w sprawie Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy Świętajno Na podstawie art. 36 ust. 2 Ustawy z dnia

Bardziej szczegółowo

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA ZESPÓŁ SZKÓŁ PLASTYCZNYCH W DĄBROWIE GÓRNICZEJ CZĘŚĆ OGÓLNA Podstawa prawna: 3 i 4 rozporządzenia Ministra Spraw

Bardziej szczegółowo

Rozdział I Zagadnienia ogólne

Rozdział I Zagadnienia ogólne Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych

Bardziej szczegółowo

10. Dokumentacja systemu zarządzania bezpieczeństwem i higieną pracy

10. Dokumentacja systemu zarządzania bezpieczeństwem i higieną pracy 10. Dokumentacja systemu zarządzania bezpieczeństwem i higieną pracy 10.1. Co to są dokumenty i zapisy w systemie zarządzania bezpieczeństwem i higieną pracy? W każdym systemie zarządzania dokumentacja

Bardziej szczegółowo

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH

Bardziej szczegółowo

Dane osobowe: Co identyfikuje? Zgoda

Dane osobowe: Co identyfikuje? Zgoda Luty 2009 Formalności Na podstawie ustawy z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i rozporządzenia Prezesa Rady Ministrów z 25 lutego

Bardziej szczegółowo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010 Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe

Bardziej szczegółowo

Księga Zintegrowanego Systemu Zarządzania ZINTEGROWANY SYSTEM ZARZĄDZANIA

Księga Zintegrowanego Systemu Zarządzania ZINTEGROWANY SYSTEM ZARZĄDZANIA Strona: 1 z 5 1. Opis systemu zintegrowanego systemu zarządzania 1.1. Postanowienia ogólne i zakres obowiązywania W Samodzielnym Zespole Publicznych Zakładów Lecznictwa Otwartego Warszawa Ochota jest ustanowiony,

Bardziej szczegółowo

Umowa Nr. Zawarta w dniu.. roku w..., pomiędzy... zwanym w dalszej części umowy Zamawiającym reprezentowanym przez:

Umowa Nr. Zawarta w dniu.. roku w..., pomiędzy... zwanym w dalszej części umowy Zamawiającym reprezentowanym przez: Umowa Nr Zawarta w dniu.. roku w..., pomiędzy............ zwanym w dalszej części umowy Zamawiającym reprezentowanym przez:......... a firmą Netword z siedzibą w Poznaniu zwanym w dalszej części umowy

Bardziej szczegółowo

INSTRUKCJA BEZPIECZEŃSTWA PRZEMYSŁOWEGO (IBP)

INSTRUKCJA BEZPIECZEŃSTWA PRZEMYSŁOWEGO (IBP) 1 Załącznik nr 1 do umowy nr z dnia INSTRUKCJA BEZPIECZEŃSTWA PRZEMYSŁOWEGO (IBP) 1. Niniejsza Instrukcja Bezpieczeństwa Przemysłowego (IBP) jest załącznikiem do umowy nr z dnia i stanowi jej integralną

Bardziej szczegółowo

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice Załącznik Nr 2 do Zarządzenia Nr 20/2008 Wójta Gminy Miłkowice z Dnia 2 kwietnia 2008r. w sprawie wprowadzenia do użytku służbowego Instrukcji zarządzania systemami informatycznymi, służącymi do przetwarzania

Bardziej szczegółowo

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta

Bardziej szczegółowo

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski : bezpieczeństwo IT w wybranych standardach niemieckich i francuskich Maciej Kaniewski 1/19 IT Baseline Protection Manual IT Grundschutz = zabezpieczenie podstawowe Opracowany przez Federalny Urząd ds.

Bardziej szczegółowo

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security. Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena

Bardziej szczegółowo

Warszawa, dnia 12 maja 2016 r. Poz. 20

Warszawa, dnia 12 maja 2016 r. Poz. 20 Warszawa, dnia 12 maja 2016 r. Poz. 20 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 10 maja 2016 r. w sprawie Karty audytu wewnętrznego w Ministerstwie Spraw

Bardziej szczegółowo

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych. ABI nie tylko audytor i koordynator Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych Andrzej Rutkowski Stowarzyszenie Administratorów Bezpieczeństwa Informacji

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 FIRMY ELF24 SP. Z O.O. SP. K. Z SIEDZIBĄ W POZNANIU Poznań, czerwiec 2015 SPIS TREŚCI SPIS TREŚCI...

Bardziej szczegółowo

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach Wdrożony Zintegrowany System Zarządzania obejmuje swoim zakresem wszystkie komórki organizacyjne Urzędu Dobczyce, dnia 15 listopada 2013 roku Rozdział Opis normy/wymaganie Sposób realizacji A.5 Polityka

Bardziej szczegółowo

REKTORA UNIWERSYTETU RZESZOWSKIEGO z dnia 17.02.2012r.

REKTORA UNIWERSYTETU RZESZOWSKIEGO z dnia 17.02.2012r. Rektor Uniwersytetu Rzeszowskiego al. Rejtana 16 C; 35 959 Rzeszów tel.: + 48 17 872 10 00 (centrala) + 48 17 872 10 10 fax: + 48 17 872 12 65 e-mail: rektorur@univ.rzeszow.pl ZARZĄDZENIE Nr 13/2012 REKTORA

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL Załącznik Nr 4 do Strategii informacyjno-rekrutacyjnej projektu pn. Pozalekcyjna Akademia Kompetencji INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU

Bardziej szczegółowo

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował

Bardziej szczegółowo

Warszawa, dnia 5 lutego 2014 r. Poz. 9 ZARZĄDZENIE NR 5 KOMENDANTA GŁÓWNEGO POLICJI. z dnia 29 stycznia 2014 r.

Warszawa, dnia 5 lutego 2014 r. Poz. 9 ZARZĄDZENIE NR 5 KOMENDANTA GŁÓWNEGO POLICJI. z dnia 29 stycznia 2014 r. DZIENNIK URZĘDOWY KOMENDY GŁÓWNEJ POLICJI Warszawa, dnia 5 lutego 2014 r. Poz. 9 ZARZĄDZENIE NR 5 KOMENDANTA GŁÓWNEGO POLICJI z dnia 29 stycznia 2014 r. w sprawie form uwierzytelniania użytkowników systemów

Bardziej szczegółowo

Imed El Fray Włodzimierz Chocianowicz

Imed El Fray Włodzimierz Chocianowicz Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNYM ZESPOLE OBSŁUGI PLACÓWEK OŚWIATOWYCH W ŚWIERKLANACH Rozdział I Postanowienia wstępne. Na podstawie 3

Bardziej szczegółowo

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA NADZÓR NAD DOKUMENTAMI I ZAPISAMI

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA NADZÓR NAD DOKUMENTAMI I ZAPISAMI URZĄD MIASTA I GMINY ŁASIN DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ 20.01.2012 PN-EN ISO 9001:2009 PN-EN ISO 14001:2005 PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA NADZÓR NAD DOKUMENTAMI I ZAPISAMI

Bardziej szczegółowo

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,

Bardziej szczegółowo

Kontrola dostępu. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001

Kontrola dostępu. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Kontrola dostępu Kontrola dostępu jest jednym z najważniejszych elementów zarządzania bezpieczeństwem informacji. Warunkiem skutecznej kontroli dostępu jest wykorzystywanie odpowiednich mechanizmów uwierzytelniających,

Bardziej szczegółowo

1) Instrukcji o zasadach pracy biurowej w resorcie obrony narodowej (sygn. Szt. Gen. 1537/2002),

1) Instrukcji o zasadach pracy biurowej w resorcie obrony narodowej (sygn. Szt. Gen. 1537/2002), 1. WSTĘP W odróżnieniu od informacji niejawnych, których ochrona i tryb udostępniania określa szczegółowo ustawa z 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późn. zm.)

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

PROCEDURA. Nadzór nad dokumentami i zapisami

PROCEDURA. Nadzór nad dokumentami i zapisami I. Cel działania Celem procedury jest określenie zasad postępowania z dokumentacją SZJ i jakości zapewniających: 1) zgodność dokumentacji SZJ z obowiązującym prawem i wymaganiami; 2) formalną i merytoryczną

Bardziej szczegółowo

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. DZIENNIK URZĘDOWY MINISTRA SPRAW ZAGRANICZNYCH Warszawa, dnia 6 maja 2015 r. Poz. 16 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. w sprawie Karty

Bardziej szczegółowo

Zarządzenie Nr R-25/2011 Rektora Politechniki Lubelskiej z dnia 19 kwietnia 2011 r.

Zarządzenie Nr R-25/2011 Rektora Politechniki Lubelskiej z dnia 19 kwietnia 2011 r. Zarządzenie Nr R-25/2011 Rektora Politechniki Lubelskiej z dnia 19 kwietnia 2011 r. w sprawie realizacji w Politechnice Lubelskiej ochrony danych osobowych Na podstawie art. 66 ust. 2 Ustawy z dnia 27

Bardziej szczegółowo

2 Wykonanie zarządzenia powierzam kierownikowi sekcji organizacyjnej. 3 Zobowiązuje się wszystkich pracowników do stosowania procedury.

2 Wykonanie zarządzenia powierzam kierownikowi sekcji organizacyjnej. 3 Zobowiązuje się wszystkich pracowników do stosowania procedury. ZARZĄDZENIE NR 119.2013 Dyrektora Ośrodka Pomocy Społecznej w Sandomierzu z dnia 18.11.2013 w sprawie wprowadzenia procedury komunikacji wewnętrznej i zewnętrznej Ośrodka Pomocy społecznej w Sandomierzu.

Bardziej szczegółowo

Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B

Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B Załącznik Nr 1 Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B Wersja 1.0 Na podstawie: Europejskiej Modelowej Umowy o EDI (w skrócie:

Bardziej szczegółowo

Procedura: Zarządzanie Dokumentacją I Zapisami

Procedura: Zarządzanie Dokumentacją I Zapisami Procedura: Zarządzanie Dokumentacją I Zapisami I. CEL PROCEDURY Celem niniejszego dokumentu jest zapewnienie skutecznego zarządzania dokumentacją Zintegrowanego Systemu Zarządzania w Starostwie w zakresie

Bardziej szczegółowo

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1) Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Filozofia prezentacji wymagań i zabezpieczeń zgodnie z załącznikiem A Nagłówek rozdziały

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL 1 Rozdział 1 Postanowienia ogólne 1. Instrukcja Zarządzania

Bardziej szczegółowo

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje Załącznik do Zarządzenia nr 70/2015 Rektora UEP z dnia 27 listopada 2015 roku Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu 1 Definicje Określenia użyte w Polityce zarządzania

Bardziej szczegółowo

010 P1/01/10 NADZÓR NAD DOKUMENTACJĄ

010 P1/01/10 NADZÓR NAD DOKUMENTACJĄ Starostwo Powiatowe we Włocławku 010-F2/01/10 STAROSTWO POWIATOWE WE WŁOCŁAWKU PROCEDURA SYSTEMU ZARZĄDZANIA JAKOŚCIĄ 010 P1/01/10 NADZÓR NAD DOKUMENTACJĄ Właściciel procedury: Sekretarz Powiatu Data Imię

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości

Bardziej szczegółowo

Zarządzenie Nr OR.0050.40. 2012.OR Burmistrza Gminy i Miasta Lwówek Śląski z dnia 30 lipca 2012r.

Zarządzenie Nr OR.0050.40. 2012.OR Burmistrza Gminy i Miasta Lwówek Śląski z dnia 30 lipca 2012r. Zarządzenie Nr OR.0050.40. 2012.OR Burmistrza Gminy i Miasta Lwówek Śląski z dnia 30 lipca 2012r. w sprawie organizacji i funkcjonowania kontroli zarządczej w Urzędzie Gminy i Miasta Lwówek Śląski. Na

Bardziej szczegółowo

Urząd Miejski w Przemyślu

Urząd Miejski w Przemyślu Urząd Miejski w Przemyślu Wydanie: PROCEDURA SYSTEMOWA P/4.2.3/4.2.4 NADZÓR NAD DOKUMENTAMI I ZAPISAMI Strona: /4 Załącznik Nr 6 do Księgi Jakości Obowiązuje od: 26.07.20 r. Data modyfikacji:. CEL PROCEDURY

Bardziej szczegółowo

Opis Przedmiotu Zamówienia

Opis Przedmiotu Zamówienia Załącznik nr 1 do SIWZ/ załącznik nr 1 do umowy OP/UP/099/2011 Opis Przedmiotu Zamówienia 1. Przedmiot zamówienia 1.1. Przedmiotem zamówienia jest świadczenie usług konsultancko-developerskich dla systemu

Bardziej szczegółowo