Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny



Podobne dokumenty
Krzysztof Świtała WPiA UKSW

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Promotor: dr inż. Krzysztof Różanowski

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Bezpieczeństwo informacji. jak i co chronimy

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Krajowe Ramy Interoperacyjności - sprawna (?) komunikacja prawnotechnologiczna. informacyjnym

Zdrowe podejście do informacji

Warszawa, dnia 6 października 2016 r. Poz. 1626

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Opis przedmiotu zamówienia

P.2.1 WSTĘPNA METODA OPISU I

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Komunikat nr 115 z dnia r.

* 1. Rozporządzenie określa szczegółowe wymagania techniczne i organizacyjne

Imed El Fray Włodzimierz Chocianowicz

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Maciej Byczkowski ENSI 2017 ENSI 2017

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej

Społeczeństwo informacyjne Rola normalizacji. Jerzy Krawiec Warszawa,

Polskie normy dotyczące ochrony informacji - najbliższe zmiany i dalsze potrzeby w tym zakresie Wdrożenie SZBI w podmiocie publicznym

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

IV Ogólnopolska Konferencja Normalizacja w Szkole

Prawne obowiązki w zakresie udostępniania informacji spoczywające na barkach samorządów lokalnych i jednostkach administracji publicznej

Interoperacyjność i bezpieczeństwo danych w związku z analizą danych medycznych

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Marcin Soczko. Agenda

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

Umowy IT zabezpieczenie interesów stron

Zarządzanie ryzykiem w bezpieczeostwie IT

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Lokalna kopia bioinformatycznego serwera obliczeniowego jako wysokowydajne środowisko obliczeniowe

Badania mikrobiologiczne w obszarze regulowanym prawnie. Justyna Czyrko Uniwersytet w Białymstoku

Warszawa, 2 września 2013 r.

Został on sporządzony przez Wojskowe Centrum Normalizacji, Jakości i Kodyfikacji. Dyrektor WCNJiK (-) p. o. płk Paweł KRASOWSKI 3 kwietnia 2018 roku

Aktualizacja: 04/12/2012

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia: bip.pum.edu.

ABI I OCHRONA DANYCH OSOBOWYCH ORAZ INFORMACJI W ADMINISTRACJI PUBLICZNEJ

Wpływ kompetencji pracowników administracji publicznej na wdrożenie i utrzymanie systemów teleinformatycznych

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Warsztaty FRAME. Sygnatura warsztatu: W1 (W3) Czas trwania: 3 dni

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

(Tekst mający znaczenie dla EOG)

I. O P I S S Z K O L E N I A

SEKCJA I: ZAMAWIAJĄCY SEKCJA II: PRZEDMIOT ZAMÓWIENIA. Zamieszczanie ogłoszenia: obowiązkowe. Ogłoszenie dotyczy: zamówienia publicznego.

SPECYFIKACJA WYMAGAŃ

Śląski Konwent Informatyków i Administracji Samorządowej

Standard ISO 9001:2015

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

PRELEGENT Przemek Frańczak Członek SIODO

Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.

Wdrożenie zapisów Rozporządzenia Komisji (UE) 2016/1388 z dnia 17 sierpnia 2016 r. ustanawiającego kodeks sieci dotyczący przyłączenia odbioru

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Historia standardów zarządzania bezpieczeństwem informacji

POLSKIE CENTRUM AKREDYTACJI

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ZP Uniejów, dnia r.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

POLSKIE CENTRUM AKREDYTACJI

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez

Wykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

20000 w ramach projektu pn. Rozbudowa i upowszechnienie Elektronicznej Komunikacji

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Co niesie ze sobą projekt polska ID karta?

Akredytacja laboratoriów wg PN-EN ISO/IEC 17025:2005

Łańcuch dostaw (subzasoby)

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Usługowy model zarządzania w oparciu o ITIL v3. wprowadzenie do biblioteki ITIL na prostym przykładzie

Szkolenie otwarte 2016 r.

ROZPORZĄDZENIE RADY MINISTRÓW. z dnia 2011 r.

Warszawa, dnia 7 października 2013 r. Poz ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 24 września 2013 r.

ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 2012 r.

Załącznik 1 do Zarządzenia Nr 12 Prezesa PKN z dnia 29 marca 2010 r. Strona 1/13

Transkrypt:

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Uwagi do projektu Rozporządzenia RM w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagao dla rejestrów publicznych i wymiany informacji w formie elektronicznej oraz minimalnych wymagao dla systemów teleinformatycznych 1. 1 pkt 3d) Sugerujemy użycie liczby mnogiej: sposoby 2. 2 pk 1) Słowo podmiot użyte w definicji aktywów jest niejednoznaczne. Z racji zakresu Rozporządzenia sugerujemy użyd podmiot publiczny 3. 2 pkt 2) Ogół składników systemu teleinformatycznego jest pojęciem niejasnym, sugerujemy pominięcie słowa Ogół. 4. 2 pkt 9) Sugerujemy zmianę gramatyczną: 9) nieodpłatne oprogramowanie oprogramowanie udostępniane przez właściciela autorskich praw majątkowych na warunkach określonych przez tego właściciela, jednakże bez pobierania opłaty za jego użytkowanie tego oprogramowania a warunkach określonych przez tego właściciela; 5. 2 pkt 10) Definicja jest nielogiczna: właściwośd nie może byd brakiem Sugerujemy definicję z ISO/IEC 27000:2009: niezaprzeczalność zdolność wykazania wystąpienia określonego zdarzenia lub przypisania działania podmiotowi, który to działania rzeczywiście wykonał, w celu rozstrzygnięcia sporu dotyczącego wystąpienia lub niewystąpienia zdarzenia lub działania oraz uczestnictwa podmiotu w zdarzeniu

6. 2 pkt 13) Sugerujemy adaptację definicji z normy ISO/IEC 27000:2009: Podatnośd *systemu teleinformatycznego+ słabośd aktywów *systemu teleinformatycznego+ lub zabezpieczeo, która może byd wykorzystana przez zagrożenie; 7. 2 pkt 14) Sugerujemy konsekwentnie stosowad pojecie podmiot publiczny tym bardziej, ze w definicjach (np. w definicji niezaprzeczalności ) pojęcie podmiot występuje w innym kontekście. podmiot publiczny podmiot w rozumieniu art. 2 ust. 1 ustawy; Sugerujemy przejrzenie całości Rozporządzenia i zamianę pojęd podmiot oraz podmiot realizujący zadanie publiczne określeniem z ustawy podmiot publiczny. 8. 2 pkt 16) Repozytorium nie może byd adresem internetowym. Sugerujemy zmianę definicji: repozytorium rekomendacji interoperacyjności częśd epuap przeznaczona do udostępniania rekomendacji interoperacyjności pod adresem internetowy elektronicznym wskazującym zasoby epuap;, pod którym udostępnia się, do zapoznania lub pobrania, rekomendacje interoperacyjności; 9. 3 ust. 1 Rozporządzenie w żadnym miejscu nie odnosi się do procedur. Sugerujemy wykreślid procedur 10. 3 ust. 2 pkt 1 lit e) Literówka publicznymi 11. 3 ust. 2 pkt 1 lit f) Zdanie niegramatyczne. Sugerujemy modyfikację: f) zapewnienie swobody gospodarczej i równego dostępu do rynku informatycznego dla wszystkich jego uczestników w zakresie przedmiotu Rozporządzenia; zamówieo publicznych realizowanych przez podmioty realizujące zadania publiczne w zakresie systemów teleinformatycznych; 12. 8 ust. 4 teletransmisja jest pojęciem nadmiarowym. Sugerujemy użycie słowa transmisja

13. 10. Ust 2 i 3 a) Wprowadzenie norm ISO/IEC 20000-1 w odniesieniu do systemu teleinformatycznego jest niepoprawne. Normy serii 20000 odnoszą się do dostawcy usług IT. Z tego względu, jeśli przykładowo podmiot publiczny korzysta całkowicie z outsourcingu, to sam ISO/IEC 20000 nie wdraża! Warto podkreślid, że w przypadku ISO/IEC 27001 podmiotowo właściwa jest organizacja (nasz podmiot publiczny ), zatem wymagania zarządzania bezpieczeostwem można odnosid do tego podmiotu. b) Przywoływanie normy ISO/IEC 20000-2 jako wymagania nie powinno mied miejsca. Ta częśd to tylko zalecenia. c) Nie widzimy racjonalności przywołania w ust. 2 - nie wszystkich zresztą procesów opisanych w ISO 20000-1 (przykładowo, brakuje budżetowania oraz rozliczania usług), aby potem powoład) wprost wymagania normy ISO/IEC 20000-1. Zdecydowanie sugerujemy zmianę: a) Skreślid ust. 2. b) Zmodyfikowad ust. 3: 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione jeśli zarządzanie usługami teleinformatycznymi przez dostawców świadczących te usługi na rzecz podmiotu publicznego odbywa się projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie udoskonalanie systemu teleinformatycznego odbywają się zgodnie z wymaganiami Polskiej Normy PN-ISO/IEC 20000-1:2007 Technika informatyczna Zarządzanie usługami Częśd 1: Specyfikacja wraz z poprawkami lub uzupełnieniami tej normy albo normą ją zastępującą.. c) Dodad ust. 4: 4. Przy wdrażaniu normy wskazanej w ust. 3 zaleca się uwzględnienie wytycznych zawartych w PN-ISO/IEC 20000-2:2007 Technika informatyczna Zarządzanie usługami Częśd 2: Reguły postępowania wraz z poprawkami lub uzupełnieniami tej normy albo normą ją zastępującą. 14. 14. Ust 3 i 4 a) Proponujemy modyfikację ust. 3, która ma na celu odseparowanie normy zawierającej wymagania (27001) ord norm wspierających jej wdrożenie (zawierających wytyczne). 3. System zarządzania bezpieczeostwem informacji spełnia wymogi, o których mowa w ust. 1 i 2, jeżeli jest zgodny z został opracowany na podstawie Polską Normą PN ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeostwa Systemy zarządzania bezpieczeostwem informacji Wymagania wraz z normami uzupełniającymi lub normy go zastępującej, wraz z poprawkami lub uzupełnieniami tej normy albo normą ją zastępującą. b) Dodad nowy ust 4 z 2. Części ust. 3: 4. Przy wdrażaniu normy wskazanej w ust. 3 zaleca się uwzględnienie wytycznych zawartych w: 1) PN-ISO/IEC 17799:2007 Technika informatyczna Techniki bezpieczeostwa Praktyczne zasady zarządzania bezpieczeostwem informacji, 2) PN-ISO/IEC 27005:2010 Technika informatyczna Techniki bezpieczeostwa Zarządzanie ryzykiem w bezpieczeostwie informacji, 3) PN-ISO/IEC 27006:2009 Technika informatyczna Techniki bezpieczeostwa Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeostwem informacji, <Uwaga: norma ta podmiotowo zawiera WYMAGANIA akredytacji dla jednostek certyfikujących SZBI, zatem nie odnosi się do podmiotów publicznych!>

4) PN-ISO/IEC 24762:2010 Technika informatyczna Techniki bezpieczeostwa Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie. wraz z poprawkami lub uzupełnieniami tych norm albo normami je zastępującymi. c) Skreślid ust. 4 ust. ten nie jest poprawny z punktu widzenia wdrożenia wymagao opisanych w normie 27001. Zabezpieczenia wdrożone w oparciu o model opisany w 27001 uwzględniad muszą wyniki szacowania ryzyka oraz odnośne przepisy prawa. 15. Proponujemy wpisad na początku następujące zastrzeżenia: 1. Jeśli norma nie ma oznaczenia daty wydania, to oznacza, że ma zastosowanie ostatnie wydanej normy 2. Jeśli specyfikacja techniczna nie ma oznaczonej wersji lub daty wydania, to ma zastosowanie najnowsza, zalecana przez producenta, wersja specyfikacji 16. Kolumna nr 5 - Nagłówek Nagłówek tej kolumny jest niejasny. Czy oznacza on organizację normalizacyjną, czy firmę, która ma prawo własności intelektualnej? Sugerujemy nie wprowadzad takiego ograniczenia, natomiast wpisad, czy specyfikacja jest przedmiotem międzynarodowej normalizacji wtedy podad oznaczenie specyfikacji (nr normy lub jej nazwę), czy jest specyfikacją nieopublikowaną, wewnętrzna - wtedy podad właściciela tej specyfikacji. Należy zaznaczyd, ze opublikowanie specyfikacji lub algorytmu nie przesądza o prawach własności, w tym licencji za użytkowanie. 17. Kolumna nr 6 - Nagłówek W nagłówku pojawiają się pojęcia niezdefiniowane: (dokument Normalizacyjny, dokument standaryzacyjny). Proponujemy zmienid na: Oznaczenie i nazwa normy lub dokumentu zawierającego specyfikację techniczna wskazanego formatu 18., pkt A.1.1.3 Ma zastosowanie norma ISO 19005-1:2005 Document management -- Electronic document file format for long-term preservation -- Part 1: Use of PDF 1.4 (PDF/A-1) Prośba o uwzględnienie bez daty publikacji

19., pkt A.1.1.6 Ma zastosowanie norma ISO/IEC 26300 ISO/IEC 26300:2006 Information technology -- Open Document Format for Office Applications (OpenDocument) v1.0 prośba o uwzglednienie bez daty publikacji; na dniach są zatwierdzane techniczne poprawki TechCor 2

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres