PROCEDURA ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI 1. CEL PROCEDURY

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

MONITOROWANIE I EWALUACJA STRATEGII ROZWOJU MIASTA NOWY TARG

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

010 P1/01/10 NADZÓR NAD DOKUMENTACJĄ

Regulamin zarządzania ryzykiem. Założenia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Urząd Miejski w Przemyślu

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Reforma ochrony danych osobowych RODO/GDPR

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Zintegrowane działania na rzecz poprawy jakości zarządzania w Starostwie i jednostkach samorządowych Powiatu Lubelskiego

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Procedura: Zarządzanie Dokumentacją I Zapisami

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia

Szczegółowy opis przedmiotu zamówienia:

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

Zał. nr 2 do Zarządzenia nr 48/2010 r.

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

0142 P1/01/2011 NADZÓR NAD DOKUMENTACJĄ

ZARZĄDZANIE ZAPISAMI JAKOŚCI

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZNIA NADZÓR NAD USŁUGĄ NIEZGODNĄ DZIAŁANIA KORYGUJĄCE/ ZAPOBIEGAWCZE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA NADZÓR NAD DOKUMENTAMI I ZAPISAMI

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZNIA NADZÓR NAD USŁUGĄ NIEZGODNĄ DZIAŁANIA KORYGUJĄCE/ ZAPOBIEGAWCZE

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Procedura PSZ 4.13 NADZÓR NAD ZAPISAMI

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

SOLIDNA SZKOŁA ŻEGLARSTWA tel

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzenie wchodzi w życie z dniem 5 lipca 2013 roku.

Polityka bezpieczeństwa informacji w tym danych osobowych

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA. OiSO NADZÓR NAD DOKUMENTACJĄ I ZAPISAMI

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

WPROWADZENIE ZMIAN - UAKTUALNIENIA

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Zarządzenie Nr 458/2009 Prezydenta Miasta Kalisza z dnia 21 października 2009 r.

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Amatorski Klub Sportowy Wybiegani Polkowice

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH Spółdzielni Mieszkaniowej PARKITKA w Częstochowie

PROCEDURA SYSTEMU ZARZĄDZANIA JAKOŚCIĄ VI.01.00/01 NADZÓR NAD DOKUMENTACJĄ I ZAPISAMI. Lider procedury: Jerzy Pawłowski

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

1 Zakres Regulaminu. integralności, rozliczalności przetwarzania danych osobowych. 2 Pojęcia używane w Regulaminie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Zarządzenie Nr 71/2010 Burmistrza Miasta Czeladź. z dnia 28 kwietnia 2010r.

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

a) po 11 dodaje się 11a 11g w brzmieniu:

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

POLITYKA ZARZĄDZANIA RYZYKIEM

SPRAWOZDANIE Z FUNKCJONOWANIA KONTROLI ZARZĄDCZEJ ZA ROK W Gimnazjum im. Ojca Ludwika Wrodarczyka w Radzionkowie

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Polityka bezpieczeństwa informacji

W celu skutecznego zarządzania ryzykiem, wprowadzam zasady zarządzania ryzykiem w PWSZ w Ciechanowie.

Transkrypt:

Załącznik do Zarządzenia Prezydenta Miasta Jastrzębie-Zdrój Nr Or.IV.0050.634.2015 z dnia 23 listopada 2015 w sprawie wprowadzenia w Urzędzie Miasta w Jastrzębiu-Zdroju Procedury analizy ryzyka bezpieczeństwa informacji PROCEDURA ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI 1. CEL PROCEDURY Celem procedury jest zapewnienie że: 1) proces szacowania ryzyka, daje szczegółowe, porównywalne i odtwarzalne rezultaty; 2) organizacja zidentyfikowała aktywa informacyjne, ich lokalizację, właścicieli oraz zabezpieczenia; 3) dokumentacja inwentaryzacji aktywów zwana dalej analizą ryzyka jest zawsze aktualna i uwzględnia wszelkie zmiany. 2. PRZEDMIOT PROCEDURY Przedmiotem procedury jest ustalenie metodyki analizy ryzyka bezpieczeństwa informacji z uwzględnieniem odpowiedzialności oraz zasad wprowadzania zmian i aktualizacji w dokumentacji inwentaryzacji aktywów informacyjnych. Na proces analizy ryzyka składa się: a) zidentyfikowanie aktywów i przypisanie do odpowiednich grup b) zidentyfikowanie właścicieli aktywów; c) określenie lokalizacji, zabezpieczeń oraz miejsca przetwarzania informacji. d) subiektywne i racjonalne wskazanie przez właściciela wartości aktywów dla organizacji lub samego procesu. Procedura swoim zakresem obejmuje wszystkie wydziały Urzędu Miasta za wyjątkiem Jastrzębskiego Centrum Organizacji Pozarządowych, Urzędu Stany Cywilnego i Wydziału Świadczeń Rodzinnych i Alimentacyjnych, w których przetwarzane są dane o znaczeniu prawnym, strategicznym oraz biznesowym. 3. KOMPETENCJE I ODPOWIEDZIALNOŚĆ 1) Pełnomocnik ds. Bezpieczeństwa Informacji jest kompetentny i odpowiedzialny za merytoryczne przygotowanie, rozpowszechnianie, analizowanie, zatwierdzanie oraz przechowywanie oryginałów dokumentów szacowania ryzyka. 2) Naczelnicy wydziałów odpowiadają za zapewnienie aktualności oraz nadzorowanie wprowadzania zmian w analizie ryzyka, uwzględniających: zmiany w przepisach prawa i w wewnętrznych aktach normatywnych, wpływających na zabezpieczenia, zmiany lokalizacji, miejsce, właściciela lub zidentyfikowanego

zagrożenia. Ponadto wyznaczają wagę aktywów, w celu wskazania istotności dokumentu dla funkcjonowania danego procesu. 4. TRYB POSTĘPOWANIA 4.1 Analiza ryzyka Proces analizy ryzyka jest inicjowany przez Pełnomocnika. Analiza ryzyka prowadzona jest przez osoby wyznaczone i ma zapewnić, iż zapisy te są aktualne, kompletne i identyfikowalne. Inwentaryzacja aktywów wyznacza zakres i granice szacowania ryzyka, jest elementem analizy ryzyka i stanowi dane wejściowe do uruchomienia procedury Oceny Ryzyka Bezpieczeństwa Informacji. Identyfikacja i oznaczanie aktywów prowadzone jest zgodnie z Instrukcją Kancelaryjną. 4.1.1 Inwentaryzacja aktywów informacyjnych W wyniku inwentaryzacji aktywów informacyjnych powstaje baza danych zawierająca wszystkie zidentyfikowane grupy zbiorów informacji utrzymywanych w formie tradycyjnej papierowej lub elektronicznej, ustanowionych i nie ustanowionych wewnętrznymi aktami normatywnymi, które noszą znamiona zapisów. Inwentaryzacje aktywów informacyjnych prowadzi się w formularzu stanowiącym zał.1 do procedury. do sporządzenia analizy ryzyka aktywów informacyjnych zgodnie z Załącznikiem do procedury zamieszczono w Tabeli nr 1. Tabela nr 1 do sporządzenia inwentaryzacji aktywów informacyjnych, Grupa informacji Opis zbioru Miejsce Nośnik Zidentyfikowane w jednostce organizacyjnej informacje wg numerów z Jednolitego Rzeczowego Wykazu Akt. (Teczka zbiorcza zbiór dokumentów potrzebnych pracownikowi do wykonywania obowiązków służbowych). Zidentyfikowane w jednostce organizacyjnej informacje zgodnie z przypisaną grupą i nazwą według Załącznika nr 1do procedury. W przypadku gdy te same zbiory dokumentów, przechowywane są w wielu egzemplarzach, w tej samej lokalizacji, miejscu oraz należą do jednego właściciela, zaleca się zapisać go pod jedną nazwą. Wymagane jest szczegółowe określenie gdzie znajduje się pomieszczenie, w tym celu należy wskazać: numer pokoju/ budynek. Forma w jakiej aktywa informacyjne są utrzymywane i utrwalane. Wyróżniamy formę tradycyjną papierową (P) lub elektroniczną (E). Zabezpieczenia Określić w jaki sposób zabezpieczone są pomieszczenia, serwery gdzie przetwarzane są zbiory informacji, np.: Szafa zamykana na klucz, Pokój zamykany na zamek patentowy, instalacja alarmowa. W przypadku nośników elektronicznych indywidualne zabezpieczenia stanowią hasła, zbiory przechowywane na serwerach, oraz dostęp do samego komputera. Właściciel Naczelnik Wydziału lub pracownik, który w ramach przypisanych obowiązków ponosi odpowiedzialność za przetwarzane aktywa

Użytkownik Informacji Pracownik, który w ramach zakresu obowiązków służbowych przetwarza aktywa. W przypadku gdy z aktywa korzysta grupa pracowników, można podać nazwę tej grupy lub pełnione stanowisko np.: Kierownik referatu., Wszyscy pracownicy itp. Wagę informacji określa Właściciel aktywów informacyjnych, pod kątem istotności informacji dla funkcjonowania organizacji i/lub procesu, ze względu na przepisy prawa, wartość biznesową, wg podanych kryteriów: 3 duża dla informacji, których wypłynięcie, zniszczenie czy też uszkodzenie mogło by przynieść negatywne następstwa dla Urzędu Miasta, szczególnie ze względu na przepisy prawa (dane osobowe, poufne dane biznesowe, informacje niejawne); 2 średnia - dla aktywów istotnych i kluczowych dla funkcjonowania danego procesu i/lub Urzędu Miasta, ponadto ich brak mógłby w sposób poważny zagrozić zachowaniu dostępności, poufności i/lub integralności. 1 mała - informacja nie ma bezpośredniego wpływu na ocenę ryzyka, niemniej pośrednio przyczynia się do jej oszacowania oraz wyznaczenia priorytetów i chronologii w przypadku podjętych działań korygujących i zapobiegawczych. 4.1.2 Inwentaryzacja aktywów fizycznych Inwentaryzacja aktywów fizycznych obejmuje swoim zakresem: sprzęt komputerowy, urządzenia komunikacyjne typu telefon fax, nośniki wymienne oraz sprzęt kopiujący, kserujący i/lub drukujący dokumenty. Dodatkowo dostarcza informacji na temat zainstalowanego na stacjach roboczych oprogramowania, aplikacji, systemów, oraz zabezpieczeń. do sporządzenia analizy ryzyka aktywów fizycznych zgodnie z Załącznikiem do procedury zamieszczono w Tabeli nr 2. Tabela nr 2 do sporządzania analizy ryzyka aktywów fizycznych Stacja robocza Użytkownik Stacjonarny/ Przenośny własna danego komputera (ulokowaną zwykle w prawym dolnym rogu ekranu monitora). W przypadku nie ustanowionej drogą elektroniczną nazwy stacji roboczej należy powołać się na numer inwentarzowy zapisany na obudowie urządzenia. Określić pracownika, który w ramach przypisanych obowiązków ponosi bezpośrednią odpowiedzialność za użytkowanie bądź administrowanie danego urządzenia i zamieszczonego na nim oprogramowania. Za urządzenie przenośne należy rozumieć urządzenie elektroniczne pozwalające na przetwarzanie, odbieranie oraz wysyłanie danych bez konieczności utrzymywania przewodowego połączenia z siecią elektryczną: mobilne dyski twarde, skanery, drukarki jak również pendriv y.

System operacyjny Oprogramowanie zarządzającego sprzętem komputerowym dotyczy wyłącznie komputerów. Oprogramowanie Wszystkie programy oraz aplikacje zainstalowane na komputerze poza tymi które udostępnia system operacyjny ulokowany na danej stacji roboczej. Informacje przetwarzane Lokalizacja Zabezpieczenia Informacji Określenie kluczowych informacji przetwarzanych na danej stacji roboczej dotyczy wyłącznie komputerów. Należy wskazać: nr pokoju/ piętro. Określić w jaki sposób zabezpieczone są pomieszczenia, serwery gdzie przetwarzane są zbiory informacji, np.: Szafa zamykana na klucz, Pokój zamykany na zamek patentowy, instalacja alarmowa. W przypadku nośników elektronicznych indywidualne zabezpieczenia stanowią hasła, zbiory przechowywane na serwerach oraz dostęp do samego komputera. Istotności danego aktywa fizycznego dla funkcjonowania Urzędu Miasta i/lub procesu, właściciel aktywa zobligowany jest obiektywnie i racjonalnie oszacować ważność urządzenia wg żądanych kryteriów: 3 duża - dla urządzenia podatnego na wypłynięcie, zniszczenie czy też uszkodzenie, którego brak mógłby przynieść negatywne następstwa dla Urzędu Miasta lub danego procesu np. wstrzymanie procesu produkcji. Szczególnie należy uwzględnić urządzenia, które utrwalają informacje, szczególnie istotne ze względu na przepisy prawa (dane osobowe, poufne dane biznesowe, informacje niejawne); 2 średnia - obejmuje urządzenia istotne z punktu funkcjonowania danego procesu i/lub organizacji, ich unieruchomienie nie wpływa znacząco i długotrwale na cykl funkcjonowania Urzędu Miasta 1 mała - tyczy się urządzeń o niewielkim znaczeniu dla danego procesu lub organizacji. Ich unieruchomienia zagrożenia dla integralności, poufności oraz dostępności. 4.1.3 Inwentaryzacja instalacji i infrastruktury Inwentaryzacja instalacji i infrastruktury obejmuje swoim zakresem urządzenia podtrzymujące zasilanie - typu UPS, sieci przesyłające dane oraz energię elektryczną, urządzenia chłodzące oraz instalacje przeciwpożarowe mające bezpośredni lub pośredni jak również pozytywny lub negatywny wpływ na bezpieczeństwo fizyczne oraz teleinformatyczne przetwarzanych informacji. Spisu aktywów należy dokonać w Załączniku do procedury z uwzględnieniem wytycznych przedstawionych w Tabeli nr 3. Tabela nr 3 do sporządzania analizy ryzyka instalacji i infrastruktury aktywa W celu późniejszej weryfikacji aktywa należy podać jego identyfikowalną nazwę.

Znaczenie dla bezp. informacji Dokumentacja (miejsce przechowywania) Właściciel Należy dokonać krótkiego opisu aktywa mając na względzie pozytywne oraz negatywne czynniki oddziałujące na bezpieczeństwo informacji. Zaleca się w tym miejscu uwzględnić podatność danego urządzenia, sieci lub instalacji w kontekście zagrożeń mogących przyczynić się do naruszenia bezpieczeństwa informacji. Określić miejsce (wydział) przechowywania dokumentacji Wskazać właściciela lub podmiot, który ma przypisane kompetencje do sprawowania nadzoru nad aktywem. Lokalizacja Sporządzić zapis zgodnie z zasadami określonymi w Tabeli nr 1 i 2 Ocena wagi zidentyfikowanych urządzeń, sieci oraz instalacji dokonywana jest przez właściciela bezpośrednio użytkującego dane aktywa według zadanych kryteriów: 3 - duża dotyczy sprzętu od którego oczekuje się najwyższej sprawności i niezawodności ze względu na ważność przetwarzanych oraz utrwalanych informacji. Ich awaria spowoduje poważną dezorganizację pracy. 2 średnia - dla aktywów od których oczekuje się sprawności i niezawodności jednak ich niesprawność nie spowoduje poważnych konsekwencji dla Urzędu Miasta lub danego procesu. 1 mała - dla aktywów, które nie mają znaczącego wpływu na zachowanie dostępności, poufności oraz integralności. Czasowa niesprawność nie spowoduje znaczącej dezorganizacji pracy. 4.1.4 Ewidencja pracowników przetwarzających aktywa informacyjne Analiza ryzyka bezpieczeństwa informacji w zakresie dotyczącym pracowników przetwarzających aktywa informacyjne obejmuje sporządzenie ewidencji pracowników oraz zakresu wykonywanych przez nich zadań w nadzorowanym obszarze, z jednoczesnym określeniem odpowiedzialności i wpływu jaki ponosi pracownik w zakresie bezpieczeństwa przetwarzanych informacji. Ewidencję opracowuje się wg Załącznika procedury z uwzględnieniem wytycznych przedstawionych w Tabeli nr.4 Tabela nr 4 do ewidencji pracowników przetwarzających aktywa informacyjne Stanowisko Dostęp do informacji stanowiska pracy - z którym związany jest zakres zadań/ operacji wykonywanych na aktywach informacyjnych. Określić do jakich grup informacji wg JRWA ma dostęp pracownik.

Znaczenie dla bezpieczeństwa informacji Dodatkowe ryzyka Podlega Współpracuje Określić jakie znaczenie dla bezpieczeństwa informacji posiada pracownik lub grupa pracowników. Znaczenie wysokie oznacza dostęp do informacji wrażliwych, znaczenie średnie do informacji istotnych i kluczowych dla funkcjonowania organizacji w tym danych osobowych, znaczenie małe określa dostęp do informacji nie mających bezpośrednio wpływu na ocenę ryzyka. Należy określić czy pracownik jest narażony na dodatkowe ryzyka związane np. z utratą informacji tj. praca w terenie Określić komu bezpośrednio podlega dany pracownik lub grupa pracowników Wpisać wydziały, jednostki, podmioty zewnętrzne z którymi pracownik lub grupa pracowników współpracuje. Ocenić odpowiedzialności pracownika przetwarzającego aktywa informacyjne 3 - duża pracownik przetwarza aktywa informacyjne bardzo istotne dla działalności Urzędu Miasta ze względu na przepisy prawa, cele strategiczne i biznesowe, posiada uprawnienia do ich zatwierdzania, wysyłania na zewnątrz do jednostek współpracujących, kontrolnych itp. 2 średnia pracownik przetwarza aktywa informacyjne istotne dla realizacji procesów w ramach funkcjonowania Urzędu Miasta. Posiada uprawnienia do ich akceptowania i zatwierdzania oraz wysyłania wewnątrz przedsiębiorstwa lub na zewnątrz po zatwierdzeniu przełożonych. 1 mała pracownik przetwarza aktywa informacyjne o mniejszym znaczeniu dla działalności Urzędu Miasta, nie posiada uprawnień rozpowszechniania wewnątrz przedsiębiorstwa lub na zewnątrz. Przetwarzane dokumenty wymagają zatwierdzenia przełożonych. 4.2 Aktualizacja dokumentacji inwentaryzacyjnej i wprowadzanie zmian Dokumentacja inwentaryzacji aktywów ma charakter dynamiczny, dlatego w celu utrzymania jej kompletności i autentyczności należy cyklicznie ją aktualizować. Za aktualny stan inwentaryzacji odpowiadają naczelnicy poszczególnych wydziałów. Korekty w niniejszej dokumentacji należy wprowadzać w przypadku. 1) utworzenia nowego aktywa; 2) wprowadzenia jakiejkolwiek zmiany w zinwentaryzowanych aktywach informacyjnych; 3) likwidacji danego aktywa. Zmiany powinny być dokonywane natychmiast po zaistnieniu jednego z powyższych przypadków. W przypadku zmian dokonywanych w zabezpieczeniach przyjmuje się, iż dane zabezpieczenie jest aktywne z dniem jego odbioru przez uprawnione służby Urzędu Miasta. Naczelnik wydziału lub osoba przez niego wyznaczona dokonuje aktualizacji tabel inwentaryzacyjnych i przesyła je niezwłocznie drogą elektroniczną do Pełnomocnika ds. Bezpieczeństwa Informacji. Pełnomocnik zaktualizowaną tabelę inwentaryzacyjną

danego wydziału wprowadza niezwłocznie do dokumentacji inwentaryzacyjnej Urzędu Miasta. Raz w roku, w trakcie przeglądu zintegrowanego systemu zarządzania jakością dokumentacja inwentaryzacyjna zostaje sporządzona w wersji papierowej przez każdy z wydziałów. Dokument w wersji papierowej podpisany przez naczelnika wydziału trafia do Pełnomocnika ds. Bezpieczeństwa Informacji. Termin do kiedy wydziały powinny złożyć aktualną wersję papierową inwentaryzacji określa Pełnomocnik. Sporządzenie wersji papierowej w ramach przeglądu systemu obowiązywać będzie od 2015 roku. 5. WYMAGANIA NORMATYWNE Norma ISO/IEC 27001:2013 6. DOKUMENTACJA ZWIĄZANA Procedura - Ocena Ryzyka Bezpieczeństwa Informacji 7. ZAŁĄCZNIKI Załącznik nr 1 Inwentaryzacja aktywów informacyjnych Załącznik nr 2 Inwentaryzacja aktywów fizycznych Załącznik nr 3 Inwentaryzacja instalacji i infrastruktury Załącznik nr 4 Ewidencja pracowników przetwarzających aktywa informacyjne.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres