PROCEDURY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Transkrypt

1 Urząd Gminy Kęty Dokument Systemu Zarządzania Bezpieczeństwem Informacji PROCEDURY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTEM INFORMACJI ZATIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Nr dokumentu: P08 Data wydania: rok ydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. szelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym PN/ISO 27001: , 7.5.2, 9.2, 10 Kontroli Zarządczej C.10, C.11, C.12, E.16, E.19, E.21 P08-Procedury SZBI, wyd.1 1 z 8

2 P08-Procedury SZBI, wyd.1 2 z 8

3 Spis treści 1. NADZÓR NAD DOKUMENTACJĄ Decyzja o stworzeniu nowego dokumentu lub modyfikacji istniejącego Edycja dokumentu Zatwierdzenie dokumentu do stosowania Rejestracja i identyfikacja dokumentu Dystrybucja i przechowywanie dokumentacji Nadzór nad normami i aktami prawnymi Przegląd dokumentów Archiwizacja dokumentów nadzorowanych NADZÓR NAD ZAPISAMI Sporządzanie zapisów jakości Identyfikacja zapisów jakości Gromadzenie, porządkowanie i przechowywanie zapisów SZBI AUDYT ENĘTRZNY SZBI Ustalenie programu audytów wewnętrznych Plan - harmonogram audytów Zatwierdzenie planu i programu audytów wewnętrznych SZBI Organizacja i prowadzenie działań audytowych Zamknięcie działania audytowego HISTORIA DOKUMENTU... 8 P08-Procedury SZBI, wyd.1 3 z 8

4 1. NADZÓR NAD DOKUMENTACJĄ Cel procedury Zakres procedury Podstawa dokumentu Działanie / odpowiedzialny 1.1. Decyzja o stworzeniu nowego dokumentu lub modyfikacji istniejącego Zapewnienie, że wszystkie dokumenty potrzebne do funkcjonowania SZBI są zatwierdzone, aktualizowane, a ich odpowiednie wersje są dostępne upoważnionym użytkownikom. Procedura swoim zakresem obejmuje wszystkie dokumenty ujęte w wykazie (zal_3_p08 )oraz te, które dotyczą bezpieczeństwa informacji w Urzędu Gminy Kęty. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. ISO ; ISO ; KZ C10 Opis działania wejście z procesu: Potrzeba utworzenia nowego lub modyfikacji istniejącego dokumentu Propozycje stworzenia dokumentu lub wprowadzaniu zmian w istniejącym składane są odpowiednio przez: Kierownictwo Urzędu, Pełnomocnika ds. SZBI/ AsADO lub ASI Kierownika komórki organizacyjnej, Pracownika w zakresie sprawowanego nadzoru lub udziału w realizowanym procesie. Zakres i szczegółowość dokumentacji uzależnione są od rozmiaru i ważności poszczególnych działań, ich złożoności i powiązań oraz kompetencji personelu. Za konsultacje nad nowym lub poprawianym dokumentem odpowiada AsADO. wyjście z procesu, wejście do procesu: Edycja dokumentu Pełnomocnik ds. SZBI /AsADO 1.3. Zatwierdzenie dokumentu do stosowania Burmistrz 1.4. Rejestracja i identyfikacja dokumentu Pełnomocnik ds. SZBI /AsADO 1.5. Dystrybucja i przechowywanie dokumentacji Pełnomocnik ds. SZBI /AsADO wejście z procesu: 1.1 szystkie zmiany są odpowiednio oznaczone w historii dokumentu. Nowe edycje dokumentu mają nadany kolejny numer i datę wydania. szystkie zmiany w dokumentacji objętej SZBI (również zmian w instrukcjach lub formularzach), opisywane są w Książce zmian dokumentacji. wyjście z procesu, wejście do procesu: 1.3 wejście z procesu: 1.2 Opracowany dokument zostaje zweryfikowany pod kątem poprawności merytorycznej i formalnej przez Pełnomocnika ds. SZBI lub AsADO, a następnie zatwierdzony przez. Zatwierdzeniu podlegają również wszelkie akty prawne dotyczące organizacji przetwarzania danych i bezpieczeństwa informacji. wyjście z procesu, wejście do procesu: 1.4 wejście z procesu: 1.3 Pełnomocnik ds. SZBI/ AsADO nadaje odpowiedni numer dokumentu i wprowadza go do systemu, a dany dokument zostaje zarejestrowany w odpowiednim wykazie. ykazy dokumentów nadzorowane są przez Pełnomocnika ds. SZBI/ AsADO, informują, które z dokumentów zostały przyjęte do SZBI jako obowiązujące. ykazy są prowadzone dla: Dokumentacji procedur systemowych, druków i formularzy SZBI Dokumentacji procedur organizacyjnych Zarządzeń oraz Informacji wewnętrznych związanych z SZBI wyjście z procesu, wejście do procesu: 1.5; 1.6; wejście z procesu: 1.4 Dokumentacja Systemu nadzorowana jest i dystrybuowana poprzez Pełnomocnika ds. SZBI/AsADO. Nadzoruje on oryginał danego dokumentu. zależności od zapotrzebowania, przygotowuje odpowiednią liczbę kopii. Każda kopia posiada swój niepowtarzalny numer przypisany do osoby z listy dystrybucyjnej dołączonej do oryginału. Następnie Pełnomocnik ds. SZBI/ AsADO przekazuje kopie dokumentów, rejestrując ich wydanie poprzez zebranie podpisów. Instrukcje i formularza, stanowiące załącznik do innych dokumentów, dystrybuowane są łącznie z nimi. przypadku konieczności wymiany dokumentu, Pełnomocnik ds. SZBI/ AsADO zbiera wydane egzemplarze i dystrybuuje nowe. przypadku zmian formularzy lub instrukcji, stanowiących załącznik do dokumentu, wymianie podlegają nieaktualne formularze/ instrukcje. wyjście z procesu, wejście do procesu: 1.7 P08-Procedury SZBI, wyd.1 4 z 8

5 1.6. Nadzór nad normami i aktami prawnymi Pełnomocnik ds. SZBI /AsADO 1.7. Przegląd dokumentów Pełnomocnik ds. SZBI /AsADO 1.8. Archiwizacja dokumentów nadzorowanych Pełnomocnik ds. SZBI /AsADO Dokumenty związane wejście z procesu: 1.4 Pełnomocnik ds. SZBI/AsADO jest odpowiedzialny za pozyskiwanie norm, rozpowszechnianie i nadzorowanie. Pozyskany egzemplarz normy rejestruje w wykazie, po czym wykonuje niezbędną ilość kopii. Każdą stronę kopii oznacza jako DOKUMENT ENĘTRZNY UG Kęty. Sprawdzenie aktualności norm zamieszczonych w wykazie dokonuje Pełnomocnik ds. SZBI/AsADO. przypadku zmiany normy lub jej nieważności postępuje jak w pkt wyjście z procesu, wejście do procesu: 1.7 wejście z procesu: 1.5; 1.6 regularnych odstępach czasu, nie rzadziej niż raz w roku, cała dokumentacja SZBI powinna zostać przeglądnięta pod względem aktualności i adekwatności. Przeglądu dokonuje się na formularzu (zal_2_p08) Karta przeglądu dokumentacji. wyjście z procesu, wejście do procesu: 1.8 wejście z procesu: 1.7 Archiwizacji wycofanych dokumentów i zapisów dokonuje się na podstawie wykazów: ykaz dokumentów formularzy i druków SZBI 3 lata, ykaz zapisów SZBI według wykazu ybrane dokumenty zawarte w wykazie mogą mieć inny okres archiwizacji, wytyczne zawarte są w wykazach. Archiwista jest odpowiedzialny za ład i porządek w archiwum, prawidłowe opisanie i oznaczenie archiwizowanych dokumentów (zgodnie z przepisami państwowymi w tym zakresie), bieżące nadzorowanie terminów upływu okresu archiwizacji. zal_1_p08-rejestr_zmian_w_dokumentacji; zal_2_p08-karta_przeglądu_dokumentacji; zal_3_p08-ykaz_druków_i_formularzy_nadzorowanych; zal_4_p08-ykaz_zapisów_szbi; P08-Procedury SZBI, wyd.1 5 z 8

6 2. NADZÓR NAD ZAPISAMI Cel procedury Zakres procedury Podstawa dokumentu Działanie / odpowiedzialny 2.1. Sporządzanie zapisów jakości Pełnomocnik ds. SZBI/AsADO 2.2. Identyfikacja zapisów jakości Pełnomocnik ds. SZBI/AsADO lub inna osoba wskazana w procedurze 2.3. Gromadzenie, porządkowanie i przechowywanie zapisów SZBI Pełnomocnik ds. SZBI/AsADO lub inna osoba wskazana w procedurze Dokumenty związane Zapewnienie, że zapisy dostarczające dowodów zgodności z wymaganiami i skuteczności systemu zarządzania są czytelne, łatwe do zidentyfikowania, przechowywane i zabezpieczane przez określony czas a także dostępne dla osób upoważnionych. Procedura swoim zakresem obejmuje wszystkie zapisy ujęte w wykazie ( zal_4_p08) oraz te, które dotyczą bezpieczeństwa informacji w Urzędu. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. ISO ; ISO ; KZ C10 Opis działania Zapisy powstają w wyniku realizacji działań wymaganych w SZBI, wg określonych procedur. Poszczególne procedury przedmiotowe, o ile wymagają stworzenia zapisów, podają w jakiej formie zapisy mają być sporządzone oraz identyfikują je. Powstające zapisy dotyczące bezpieczeństwa są czytelne oraz dają możliwość jednoznacznego odniesienia do działania lub zagadnienia którego dotyczą. Dokumenty i zapisy objęte nadzorem wymienione są w wykazie, którego wzór stanowi załącznik do niniejszej procedury. Podczas tworzenia zapisów na drukach SZBI (formularzach) należy pamiętać o wypełnieniu wszystkich rubryk, wstawieniu daty i podpisu. Jeżeli z jakichkolwiek przyczyn nie wszystkie pola na formularzu można wypełnić, wówczas należy niewypełnione pola przekreślić lub wpisać nie dotyczy. Protokoły i raporty z badań, przeglądów, spotkań, itp., należy sporządzać w sposób przejrzysty i estetyczny, pamiętając o umieszczeniu danych osoby opracowującej, daty i podpisu.. Każdy zapis winien posiadać, co najmniej: nazwę zapisu (świadectwo, protokół, raport, notatka itp.) numer kolejny, w przypadku zapisów podlegających numeracji datę ustanowienia, określenie przedmiotu zapisu, podpis ustanawiającego. Zapisy stanowiące załączniki oraz zapisy posiadające załączniki należy dodatkowo opisać w sposób podający przyporządkowanie. Zapisy przechowywane jako pliki komputerowe na dysku twardym komputera oznaczane są skrótem nazwy i przedmiotu zapisu oraz numerem kolejnym lub datą i zabezpieczone hasłem. Zaleca się tworzenie folderów tematycznych dla zapisywania dokumentów przyporządkowanych. Zapisy dotyczące jakości gromadzone są na bieżąco w miarę ich powstawania, są rejestrowane oraz archiwowane w kolejności wprowadzania do akt. Ukończone zapisy umieszczane są w oznaczonych skoroszytach, segregatorach lub pojemnikach. Zgromadzone zapisy przechowywane są i utrzymywane przez zainteresowane komórki organizacyjne w warunkach zapewniających ich poufność, dostępność i integralność na wymaganym poziomie. Segregatory z zapisami należy przechowywać w szafach lub na regałach w zamykanych pomieszczeniach. Zapisy w formie papierowej przechowywane są w sposób uporządkowany chronologicznie i tematycznie w opisanych segregatorach. Zapisy w formie elektronicznej przechowywane są na dyskach twardych komputerów komórki organizacyjnej lub na serwerach Urzędu. Miejsce i czas przechowywania zapisów z uwzględnieniem wymogów własnych i prawnych, podaje załącznik do niniejszej procedury ykaz zapisów SZBI. zal_4_p08-ykaz_zapisów_szbi P08-Procedury SZBI, wyd.1 6 z 8

7 3. AUDYT ENĘTRZNY SZBI Cel procedury Zakres procedury Podstawa dokumentu Działanie / odpowiedzialny 3.1. Ustalenie programu audytów wewnętrznych Pełnomocnik ds. SZBI/AsADO 3.2. Plan - harmonogram audytów Pełnomocnik ds. SZBI/AsADO 3.3. Zatwierdzenie planu i programu audytów wewnętrznych SZBI Burmistrz Zapewnienie, że wprowadzony i stosowany System Zarządzania Bezpieczeństwem Informacji podlega ciągłemu nadzorowi, w wyniku którego wprowadza się działania mające na celu ciągłe jego doskonalenie i eliminowanie bieżących nieprawidłowości. Procedura dotyczy całej działalności urzędu objętej Systemem Zarządzania Bezpieczeństwem Informacji. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. ISO ; ISO ; KZ E21 Opis działania wejście : obowiązek audytu wewnętrznego w zakresie bezpieczeństwa informacji Pełnomocnik ds. SZBI/AsADO sporządza program audytów na formularzu (zal_5_p08) na dany rok. Zakres audytu w poszczególnych komórkach ustala w taki sposób aby uwzględnić w nim: wagę poszczególnych elementów systemu dla celów urzędu; problemy występujące w praktyce działania urzędu w obszarze poszczególnych elementów systemu. Audyt wewnętrzny powinien objąć wszystkie komórki organizacyjne i całą działalność w obszarze SZBI. wyjście z procesu - > wejście do procesu: 3.2 wejście z procesu: 3.1 Na podstawie programu sporządza się plan audytów wewnętrznych i dokumentuje na formularzu (zal_6_p08). każdej jednostce organizacyjnej urzędu wykonywany jest co najmniej jeden audyt rocznie, jednakże Pełnomocnik ds. SZBI/AsADO może ustalić dla określonej jednostki ich większą ilość, biorąc pod uwagę: złożoność zadań komórki; znaczenie działalności komórki dla wyników urzędu; stan dyscypliny realizacji ustalonych wymagań w danej komórce. wyjście z procesu, wejście do procesu: 3.3 wejście z procesu:3.2 Plan i program audytów podlega zatwierdzenie przez. Zatwierdzenie programu i planu wiąże się z upoważnieniem Pełnomocnik ds. SZBI/AsADO oraz z przydzieleniem niezbędnych zasobów do prowadzenia działań audytowych. przypadku stwierdzenie konieczności do planu i programu audytu można dopisać działania audytowe doraźne, wymagają one jednak akceptacji. wyjście z procesu, wejście do procesu: zatwierdzony plan i program audytów P08-Procedury SZBI, wyd.1 7 z 8

8 3.4. Organizacja i prowadzenie działań audytowych Pełnomocnik ds. SZBI/AsADO oraz wyznaczony Audytor ewnętrzny 3.5. Zamknięcie działania audytowego Pełnomocnik ds. SZBI/AsADO Dokumenty związane wejście z procesu: zatwierdzony plan i program audytów Nie później niż 14 dni przed planowanym audytem w danej komórce Pełnomocnik ds. SZBI/AsADO wystawia Kartę audytu, formularzu (zal_7_p08), w której: wyznacza audytowaną komórkę; ustala zakres i termin audytu; wyznacza audytora wewnętrznego i powiadamia zainteresowanych o swoich decyzjach. Audyt wewnętrzny może przeprowadzać: Pełnomocnik ds. SZBI/AsADO osobiście; yznaczony pracownik urzędu, posiadający odpowiednie, udokumentowane kwalifikacje audytora, nie powiązany bezpośrednio z przedmiotem audytu; audytor zewnętrzny, o odpowiednich kwalifikacjach, zgodnych z wymaganiami normy PN-EN ISO yznaczony audytor sporządza listę pytań kontrolnych na formularzu (zal_8_p08), obejmującą pełny zakres audytu (wyznaczone w Karcie audytu obszary SZBI oraz obowiązujące przepisy i normy). Listę przedstawia do oceny Pełnomocnik ds. SZBI/AsADO. Audytor przeprowadza audyt zbierając obiektywne dowody, potwierdzające zgodności lub niezgodności praktyki postępowania z wymaganiami. Notatki sporządza na odwrocie listy pytań kontrolnych formularzu (zal_8_p08). Audytor formułuje stwierdzone niezgodności na karcie audytu, omawiając je z audytowanym i uzyskuje jego pisemne potwierdzenie na karcie audytu. przypadku odmowy potwierdzenia niezgodności, audytowany sporządza w trakcie audytu notatkę wyjaśniającą w celu dołączenia do karty audytu. Audytowany może usunąć stwierdzone niezgodności w trakcie audytu, o ile są naprawialne zdarzenie takie wpisuje się do karty audytu jako spostrzeżenie. Niezwłocznie po zakończeniu audytu, Audytor przekazuje do Pełnomocnika ds. SZBI/AsADO kartę audytu wraz z listą pytań i ewentualnymi notatkami oraz omawia wyniki audytu. wyjście z procesu, wejście do procesu: zrealizowane działanie audytowe, wypełniona karta audytu wewnętrznego(zal_7_p08)) i lista pytań kontrolnych(zal_8_p08). wejście z procesu: dokumentacja działanie audytowego Pełnomocnik ds. SZBI/AsADO dokonuje przeglądu zapisów w karcie audytu i związanej dokumentacji audytowej, a następnie podejmuje decyzję w sprawie podjęcia działań korygujących. Pełnomocnik ds. SZBI/AsADO przechowuje zapisy dotyczące planowania audytu, przeprowadzania audytów oraz działań korygujących przez okres co najmniej 4 lat. wyjście z procesu, wejście do procesu: zamknięcie działania audytowego / podjęcie działań korygujących lub zapobiegawczych zgodnie z procedurą: P03-Zarządzanie_incydentami zal_5_p08-program_audytow_wewnetrznych zal_6_p08-harmonogram_audytow_wewnetrznych zal_7_p08-karta_audytu_wewnetrznego zal_8_p08-lista_pytań_kontrolnych 4. HISTORIA DOKUMENTU Data / wydanie Opis zmiany / wyd. 1 Utworzenie dokumentu. P08-Procedury SZBI, wyd.1 8 z 8

9 Załącznik nr 1 Procedury SZBI Dokument SZBI Urząd Gminy Kęty Rejestr zmian w dokumentacji SZBI Lp. Nazwa dokumentu / oznaczenie Numer wniosku / dokument wprowadzający lub anulujący Treść / zakres zmiany Numer wydania dokumentu po zmianie Termin wprowadzenia zmiany pozycja dokumentu w rejestrze Zal_1_P08; wyd.1 1 z 1

10 Załącznik nr 2 Procedury SZBI Dokument SZBI Urząd Gminy Kęty Karta przeglądu dokumentacji SZBI Numer karty:... Zakres przeglądu:... Powód przeglądu:... Lp. Numer i nazwa dokumentu Numer i data wydania Opinia / Uwagi / Status Dokonujący przeglądu:... Data i podpis przeglądającego... Zatwierdzający przegląd:... Data i podpis zatwierdzającego... Zal_2_P08; wyd.1 1 z 1

11 Załącznik nr 3 Procedury SZBI ykaz druków i formularzy nadzorowanych Dokument SZBI Urząd Gminy Kęty Lp. Nazwa dokumentu / oznaczenie ydanie / data wydania Uwagi Dokument sporządził (data i podpis):... Zal_3_P08; wyd.1 1 z 1

12 Załącznik nr 4 Procedury SZBI ykaz zapisów SZBI Dokument SZBI Urząd Gminy Kęty Lp. Nazwa dokumentu Miejsce przechowywania Czas przechowywania Dokument sporządził (data i podpis):... Zal_4_P08;wyd. 1 1 z 1

13 Zal_5_P08; wyd.1 1 z iedza 7.1 Zasoby osiągnięcie 7 sparcie 6 Planowanie Działania w zakresie zarządzania ryzykiem i 6.1 możliwościami Cele w zakresie bezpieczeństwa informacji i 6.2 planowanie działań umożliwiających ich 5.3 Role organizacyjne, zakresy odpowiedzialności i organy władzy 5.2 Polityka 5.1 Kierownictwo i jego zaangażowanie 5 Kierownictwo 4.1 Rozumienie istoty organizacji i jej kontekstu Rozumienie potrzeb i oczekiwań zainteresowanych 4.2 stron Określanie zakresu działania systemu zarządzania 4.3 bezpieczeństwem informacji 4.4 System zarządzania bezpieczeństwem informacji 4 Kontekst organizacji B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP PUNKTY NORMY: 1-10 Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościami. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne Numer karty:.. Załącznik nr 5 Procedury SZBI Dokument SZBI Urząd Gminy Kęty Program audytów wewnętrznych SZBI

14 Zal_5_P08; wyd.1 2 z Ciągłe doskonalenie 10.1 Niezgodności i działania korygujące 10 Działania korygujące 9.3 Postępowanie sprawdzające dotyczące zarządzania 9.2 Audyt wewnętrzny 9.1 Monitorowanie, pomiary i analiza bezpieczeństwem informacji 9 Ocena wydajności Szacowanie ryzyka związanego z bezpieczeństwem informacji Postępowanie z ryzykiem związanym z 8.1 Planowanie i kontrola działań eksploatacyjnych 8 Eksploatacja 7.5 Dokumentowanie informacji 7.4 Komunikacja 7.3 Świadomość B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP PUNKTY NORMY: 1-10 Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościami. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne

15 Zal_5_P08; wyd.1 3 z 10 A Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji A Odpowiedzialność kierownictwa A.7.2 Podczas zatrudnienia A Zasady i warunki zatrudnienia A Postępowanie sprawdzające A.7.1 Przed zatrudnieniem A.7 Bezpieczeństwo zasobów ludzkich A Telepraca Kontakty z grupami zaangażowanymi w A zapewnianie bezpieczeństwa Bezpieczeństwo informacji w zarządzaniu A projektami A Polityka dla urządzeń mobilnych A Kontakty z organami władzy A Podział obowiązków A Role w bezpieczeństwie informacji i zakresy odpowiedzialności A.6.1 Organizacja wewnętrzna A.6 Organizacja bezpieczeństwa informacji A Przegląd polityki bezpieczeństwa informacji A Polityki bezpieczeństwa informacji A.5.1 sparcie kier. dla bezpieczeństwa informacji A.5 Polityki bezpieczeństwa informacji B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP ZAŁĄCZNIK [A] Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościam i. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne

16 Zal_5_P08; wyd.1 4 z 10 A.9.2 Zarządzanie dostępem użytkowników A Dostęp do sieci i usług sieciowych A Polityka kontroli dostępu A.9.1 ymagania biznesowe wobec kontroli dostępu A.9 Kontrola dostępu A Transfer nośników fizycznych A Niszczenie nośników A Zarządzanie nośnikami wymiennymi A.8.3 Obsługa nośników A Postępowanie z aktywami A Oznaczanie informacji A Klasyfikacja informacji A.8.2 Klasyfikacja informacji A Zwrot aktywów A Akceptowalne użycie aktywów A łasność aktywów A Inwentaryzacja aktywów A.8.1 Odpowiedzialność za aktywa A.8 Zarządzanie aktywami A Odpowiedzialności związane z zakończeniem lub zmianą zatrudnienia A.7.3 Zakończenie lub zmiana zatrudnienia A Postępowanie dyscyplinarne B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP ZAŁĄCZNIK [A] Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościam i. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne

17 Zal_5_P08; wyd.1 5 z 10 A Fizyczna granica obszaru bezpiecznego A.11.1 Zabezpieczenia kryptograficzne A.11 Bezpieczeństwo fizyczne i środowiskowe A Zarządzanie kluczami A Polityka korzystania z zabezpieczeń kryptograficznych A.10.1 Zabezpieczenia kryptograficzne programów A.10 Kryptografia A narzędziowych Kontrola dostępu do kodów źródłowych A System zarządzania hasłami A Użycie uprzywilejowanych programów A Procedury bezpiecznego logowania A Ograniczanie dostępu do informacji A.9.4 Kontrola dostępu do systemów i aplikacji A Stosowanie poufnych informacji uwierzytelniających A.9.3 Odpowiedzialność użytkowników A Odebranie lub dostosowanie praw dostępu A Przegląd praw dostępu użytkowników A Zarządzanie poufnymi informacjami uwierzytelniającymi użytkowników A Zarządzanie uprzywilejowanymi prawami dostępu A Zapewnienie dostępu użytkowników A Rejestracja i wyrejestrowywanie użytkowników B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP ZAŁĄCZNIK [A] Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościam i. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne

18 Zal_5_P08; wyd.1 6 z 10 A Rozdzielanie środowisk rozwojowych, testowych i eksploatacyjnych A Zarządzanie pojemnością A Zarządzanie zmianą A Dokumentowanie procedur eksploatacyjnych A.12.1 Procedury eksploatacyjne i zakresy odpowiedzialności A.12 Bezpieczna eksploatacja A Polityka czystego biurka i czystego ekranu A A Bezpieczne zbywanie lub przekazywanie do ponownego użycia Pozostawienie sprzętu użytkownika bez opieki A Bezpieczeństwo sprzętu i aktywów poza siedzibą A ynoszenie aktywów A Konserwacja sprzętu A Bezpieczeństwo okablowania A Systemy wspomagające A Lokalizacja i ochrona sprzętu A.11.2 Sprzęt A Obszary dostaw i załadunku A Praca w obszarach bezpiecznych A Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi A Zabezpieczanie biur, pomieszczeń i urządzeń A Zabezpieczenia wejścia fizycznego B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP ZAŁĄCZNIK [A] Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościam i. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne

19 Zal_5_P08; wyd.1 7 z 10 A.13.2 Przekazywanie informacji A Rozdzielanie sieci A Bezpieczeństwo usług sieciowych A Zabezpieczenia sieci A.13.1 Zarządzanie bezpieczeństwem sieci A.13 Bezpieczeństwo komunikacji A Zabezpieczenia audytu systemów informacyjnych A.12.7 Rozważania dotyczące audytu systemów informacyjnych A Ograniczenia dotyczące instalacji oprogramowania A Zarządzanie podatnościami technicznymi A.12.6 Zarządzanie podatnościami technicznymi A Instalacja oprogramowania w systemach operacyjnych A.12.5 Zabezpieczenie eksploatowanego oprogramowania A Synchronizacja zegarów A Dzienniki administratora i operatora A Ochrona informacji zawartych w dziennikach A Rejestrowanie zdarzeń A.12.4 Rejestrowanie zdarzeń i monitorowanie A Kopie zapasowe informacji A.12.3 Kopie zapasowe A Zabezpieczenia przed oprogramowaniem malware A.12.2 Ochrona przed oprogramowaniem malware B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP ZAŁĄCZNIK [A] Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościam i. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne

20 Zal_5_P08; wyd.1 8 z 10 A.14.3 Dane testowe A Testy odbiorowe systemu A Testowanie bezpieczeństwa systemu A Prace rozwojowe powierzone firmie zewnętrznej A Bezpieczne środowisko rozwojowe A Zasady budowy bezpiecznego systemu A A Techniczny przegląd aplikacji po zmianach w systemie operacyjnym Ograniczenia dotyczące zmian w pakietach oprogramowania A Procedury zarządzania zmianą w systemie A Polityka bezpieczeństwa prac rozwojowych A.14.2 Bezpieczeństwo w procesach rozwojowych i wsparcia A Ochrona transakcji usług aplikacyjnych A Zabezpieczanie aplikacji usługowych w sieciach publicznych A Analiza i opis wymagań Bezpieczeństwa informacji A.14.1 ymagania bezpieczeństwa systemów informacyjnych A.14 Pozyskiwanie, rozwój i utrzymanie systemów A Umowy o zachowaniu poufności lub nieujawnianiu A iadomości elektroniczne A Umowy o przekazywaniu informacji A Polityki i procedury przekazywania informacji B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP ZAŁĄCZNIK [A] Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościam i. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne

21 Zal_5_P08; wyd.1 9 z 10 Zgłaszanie zdarzeń związanych z bezpieczeństwem A informacji Zgłaszanie słabości Systemu bezpieczeństwa A informacji Ocenianie i podejmowanie decyzji w odniesieniu A do incydentów bezpieczeństwa informacji Reagowanie na incydenty bezpieczeństwa A informacji yciąganie wniosków z incydentów związanych z A bezpieczeństwem informacji A Gromadzenie materiału dowodowego A Zarządzanie zmianami usług dostawców Zarządzanie incydentami bezpieczeństwa A.16 informacji Zarządzanie incydentami bezpieczeństwa informacji i A.16.1 usprawnieniami A Odpowiedzialność i procedury A Monitorowanie i przegląd usług dostawcy A.15.2 Zarządzanie usługami dostarczanymi przez dostawców A Łańcuch dostaw technologii informacyjnych i komunikacyjnych A Bezpieczeństwo w umowach z dostawcami A Polityka bezpieczeństwa informacji w relacjach z dostawcami A.15.1 Bezpieczeństwo informacji w relacjach z dostawcami A.15 Relacje z dostawcami A Ochrona danych testowych B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP ZAŁĄCZNIK [A] Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościam i. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne

22 Zal_5_P08; wyd.1 10 z 10 A Przegląd zgodności technicznej A Zgodność z politykami bezpieczeństwa i standardami A Niezależny przegląd bezpieczeństwa informacji A.18.2 Przeglądy bezpieczeństwa informacji A Regulacje dotyczące zabezpieczeń kryptograficznych A Prywatność oraz ochrona danych osobowych A Ochrona zapisów A Prawo do własności intelektualnej A Określenie odpowiednich przepisów prawa oraz wymagań wynikających z umów A.18.1 Zgodność z przepisami i prawa oraz wymaganiami wynikającymi z umów A.18 Zgodność A Dostępność środków przetwarzania informacji A.17.2 Redundancja A eryfikacja, przegląd i ocena ciągłości bezpieczeństwa informacji A drażanie ciągłości bezpieczeństwa informacji A Planowanie ciągłości bezpieczeństwa informacji A.17.1 Ciągłość bezpieczeństwa informacji A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania B I-ZB II-ZB SE SK IS S IN IG GN SP OS KU ZK FB D R SM USC ZP KA GK BHP OP ZAŁĄCZNIK [A] Obszar wymagania normy Nr ISO/IEC wymogu Burmistrz I Zastępca II Zastępca Sekretarz Skarbnik. Infrastruktury Społecznej. Świadczeń Biuro Informatyzacji. Infrastruktury Gminnej. Gospodarki Nieruchomościam i. Środowiska i Przedsiębiorczości. Organizacyjny i Spraw Obywatel. Kancelaria Urzędu. Zarządzania Kryzysowego. Finansowo Budżetowy. Dochodów. Rozwoju Straż Miejska Urząd stanu Cywilnego Stan. Ds. Zam. Publicznych Biuro Kontroli i Audytu. Geodezji i Kartografii Stan. Ds. BHP Biuro Obsługi Prawnej Komórki organizacyjne

23 Załącznik nr 6 Procedury SZBI Dokument SZBI Urząd Gminy Kety Harmonogram audytów wewnętrznych SZBI Rok 2016 Nr auditu Komórka organizacyjna I kwartał II kwartał III kwartał IV kwartał Zal_6_P08;wyd.1 1 z 1

24 Załącznik nr 7 Procedury SZBI Karta audytu wewnętrznego Dokument SZBI Urząd Gminy Kęty Numer karty i audytu wewnętrznego: Audytowany: Termin audytu: data, godz.: Komórka organizacyjna: Audytor wewnętrzny: procedury, księga jakości, procesy, wymogi prawne, punkty norm. Zakres audytu Pełnomocnik: data, podpis dalej wypełnia audytor wewnętrzny L.p. n/s Treść spostrzeżenia/niezgodności Spostrzeżenia/ niezgodności Potwierdzenie zapisu Audyt przeprowadził Audytowany: data, podpis Audytor: data, podpis Zal_7_P08; wyd.1 1 z 1

25 Załącznik nr 8 Procedury SZBI Dokument SZBI Urząd Gminy Kęty Ewidencja wydanych aktywów Aktyw informacyjny: imię nazwisko /osoba pobierająca aktyw, akta, dokumenty itp./ dotyczy wydanie aktywu zwrot aktywu *umowa nr. oznaczenie data podpis / osoby pobierającej aktyw/ data podpis / odbierającego aktyw/ * numer dokumentu upoważniającego do wydania aktywu (np. numer umowy powierzenia danych osobowych PO.1/2015) Zal_8_P08; wyd.1 1 z 3

26 Aktyw informacyjny: imię nazwisko /osoba pobierająca aktyw, akta, dokumenty itp./ dotyczy wydanie aktywu zwrot aktywu *umowa nr. oznaczenie data podpis / osoby pobierającej aktyw/ data podpis / odbierającego aktyw/ * numer dokumentu upoważniającego do wydania aktywu (np. numer umowy powierzenia danych osobowych PO.1/2015) Zal_8_P08; wyd.1 2 z 3

27 Aktyw informacyjny: imię nazwisko /osoba pobierająca aktyw, akta, dokumenty itp./ dotyczy wydanie aktywu zwrot aktywu *umowa nr. oznaczenie data podpis / osoby pobierającej aktyw/ data podpis / odbierającego aktyw/ * numer dokumentu upoważniającego do wydania aktywu (np. numer umowy powierzenia danych osobowych PO.1/2015) Zal_8_P08; wyd.1 3 z 3