Deklaracja stosowania

Podobne dokumenty
Deklaracja stosowania

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

DEKLARACJA STOSOWANIA

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

METODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ

Marcin Soczko. Agenda

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania

POLECENIE SŁUŻBOWE Nr 27/08 DYREKTORA URZĘDU. z dnia 13 listopada 2008 roku

Bezpieczeństwo systemów informacyjnych

Szkolenie otwarte 2016 r.

WYDZIAŁ INFORMATYKI. 2. Do zakresu działania Referatu Zarządzania Infrastrukturą Teleinformatyczną należy:

Bezpieczeństwo systemów informacyjnych

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Deklaracja stosowania

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

SZCZEGÓŁOWY HARMONOGRAM KURSU

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

PROCEDURY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Szczegółowe informacje o kursach

Polityka Bezpieczeństwa dla Dostawców

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Promotor: dr inż. Krzysztof Różanowski

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Rozdział I Zagadnienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

PROGRAM PRAKTYKI ZAWODOWEJ. Technikum Zawód: technik informatyk

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Zał. nr 2 do Zarządzenia nr 48/2010 r.

ZARZĄDZENIE NR 1241/2012 PREZYDENTA MIASTA KRAKOWA Z DNIA

Miejsce audytu teleinformatycznego i doradcy technologicznego

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Warszawa, dnia 16 marca 2015 r. Poz. 5 ZARZĄDZENIE NR 5 PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO. z dnia 16 marca 2015 r.

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Opis przedmiotu zamówienia

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

ZARZĄDZENIE NR WÓJTA GMINY ŁĘCZYCE z dnia 31 października 2016 r.

POLITYKA E-BEZPIECZEŃSTWA

Data utworzenia Numer aktu 1. Akt prawa miejscowego NIE

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

1. Zakres modernizacji Active Directory

UNIWERSYTET KARDYNAŁA STEFANA WYSZYŃSKIEGO w WARSZAWIE REKTOR

Czy wszystko jest jasne??? Janusz Czauderna Tel

Transkrypt:

PSZ.0141.3.2018 Wymagania PN-ISO/IEC 27001:2014-12 5 Polityki bezpieczeństwa informacji 5.1 Kierunki bezpieczeństwa informacji określane przez kierownictwo 5.1.1 Polityki bezpieczeństwa informacji Deklaracja stosowania Polityka Kierownictwa, Dokumentacja Systemu Zarządzania Bezpieczeństwa Informacji, Zasady Systemu Zarządzania Bezpieczeństwem Informacji, Księga ZSZ, Zarządzenie PM ws. wprowadzenia w Urzędzie Miejskim w B-B "Polityki bezpieczeństwa ochrony danych osobowych" oraz zarządzenie w sprawie organizacji ochrony danych osobowych oraz zasad postępowania przy ich przetwarzaniu w Urzędzie Miejskim w Bielsku-Białej 5.1.2 Przegląd polityk bezpieczeństwa informacji Przeglądy ZSZ 6 Organizacja bezpieczeństwa informacji 6.1 Organizacja wewnętrzna 6.1.1 Role i odpowiedzialność za bezpieczeństwo informacji 6.1.2 Rozdzielanie obowiązków 6.1.3 Kontakty z organami władzy Księga ZSZ, Administratorzy, Pełnomocnik PM ds. ZSZ, Naczelnicy wydziałów - właściciele aktywów, Instrukcja ISZ-4/2/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników, Zarządzenie PM ws. organizacji ochrony danych osobowych oraz zasad postępowania przy ich przetwarzaniu w w B-B, Instrukcja ISZ-4/2/BO/1 Zasady postępowania przy zmianie stanowiska pracy, karty stanowiskowe, Upoważnienie do przetwarzania danych osobowych Księga ZSZ, Administratorzy, Pełnomocnik PM ds. ZSZ, Naczelnicy wydziałów - właściciele aktywów, karty urządzeń Telefony alarmowe, ISZ-3/2/3 Instrukcja ewakuacji na wypadek pożaru, Plan ciągłości działania, publikacje w Dzienniku Urzędowym Województwa 6.1.4 Kontakty z grupami zainteresowanych specjalistów Polskie Towarzystwo Informatyczne, Stowarzyszenie "Miasta w Internecie", konferencje organizowane przez firmy informatyczne, administratorzy systemów korzystają z forów internetowych, Śląskie Centrum Społeczeństwa Informacyjnego - "SEKAP", Centrum Projektów Informatycznych 6.1.5 Bezpieczeństwo informacji w zarządzaniu projektami Instrukcja INF-1/4/7 Bezpieczeństwo projektów informatycznych 6.2 Urządzenia mobilne i telepraca 6.2.1 Polityka stosowania urządzeń mobilnych 6.2.2 Telepraca Konfiguracja, Instrukcje: INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/4 Bezpieczeństwo sieci, INF-1/4/5 Bezpieczeństwo urządzeń mobilnych Konfiguracja, Instrukcje: INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/4 Bezpieczeństwo sieci, klauzule w umowach z dostawcami oprogramowania, INF-1/4/6 Bezpieczeństwo podczas telepracy

7 Bezpieczeństwo zasobów ludzkich 7.1 Przed zatrudnieniem 7.1.1 Postępowanie sprawdzające 7.1.2 Warunki zatrudnienia 7.2 Podczas zatrudnienia 7.2.1 Odpowiedzialność kierownictwa pracy, karty stanowiskowe,, konkursy pracy, umowa z pracownikiem, umowy ze stroną trzecią, Regulamin pracy, Polityka bezpieczeństwa ochrony danych osobowych,, pracy, szkolenia wstępne, Regulamin pracy, Oświadczenie o zapoznaniu się z treścią Polityki Kierownictwa oraz o sposobie postępowania z informacjami w w B-B, Polityka bezpieczeństwa ochrony danych osobowych 7.2.2 Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji 7.2.3 Postępowanie dyscyplinarne Regulamin pracy 7.3 Zakończenie i zmiana zatrudnienia 7.3.1 Zakończenie zatrudnienia lub zmiana zakresu obowiązków 8 Zarządzanie aktywami 8.1 Odpowiedzialność za aktywa 8.1.1 Inwentaryzacja aktywów 8.1.2 Własność aktywów 8.1.3 Akceptowalne użycie aktywów Procedury BI (postępowanie) 8.1.4 Zwrot aktywów 8.2 Klasyfikacja informacji 8.2.1 Klasyfikowanie informacji 8.2.2 Oznaczanie informacji 8.2.3 Postępowanie z aktywami Szkolenia na wszystkich szczeblach, Regulamin pracy, Oświadczenie o zapoznaniu się z treścią Polityki Kierownictwa oraz o sposobie postępowania z informacjami w w B-B pracy, karta obiegowa, Polityka bezpieczeństwa ochrony danych osobowych, INF-1/5/5 Utrzymywanie i kontrola dostępu w systemach informatycznych Procedura PSZ-4/1 Analiza bezpieczeństwa informacji, klasyfikacja informacji, Programy-środki trwałe, środki nietrwałe i prasa Procedura PSZ-4/1 Analiza bezpieczeństwa informacji, klasyfikacja informacji pracy, karta obiegowa Procedury: PSZ-4/1 Analiza bezpieczeństwa informacji, PSZ-1/3 Nadzór nad udokumentowaną informacją Procedury: PSZ-4/1 Analiza bezpieczeństwa informacji, PSZ-1/3 Nadzór nad udokumentowaną informacją Procedura PSZ-1/3 Nadzór nad udokumentowaną informacją, Upoważnienie do przetwarzania danych osobowych

8.3 Postępowanie z nośnikami 8.3.1 Zarządzanie nośnikami wymiennymi 8.3.2 Wycofywanie nośników 8.3.3 Przekazywanie nośników 9 Kontrola dostępu 9.1 Wymagania biznesowe wobec kontroli dostępu 9.1.1 Polityka kontroli dostępu Instrukcje: INF-1/5/2 Przekazywanie urządzeń i nośników do ponownego wykorzystania, zbywania lub wycofania z użycia, INF-1/6/1 Tworzenie i przechowywanie kopii bezpieczeństwa danych, niszczenie i usuwanie danych, rejestr wykorzystywanych nośników informacji Instrukcja INF-1/5/2 Przekazywanie urządzeń i nośników do ponownego wykorzystania, zbywania lub wycofania z użycia Procedura PSZ-1/3 Nadzór nad udokumentowaną informacją, Instrukcje: INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/5/2 Przekazywanie urządzeń i nośników do ponownego wykorzystania, zbywania lub wycofania z użycia, INF-1/6/2 Ochrona kryptograficzna, INF-1/6/3 Przekazanie sprzętu do i z eksploatacji, do i z naprawy Instrukcje: INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych, INF-1/4/4 Bezpieczeństwo sieci, INF-1/5/3 Dobór haseł, IINF-1/5/4 Bezpieczeństwo oprogramowania, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych, INF-1/6/3 Przekazanie sprzętu do i z eksploatacji, do i z naprawy, ISZ-4/2/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników, ISZ-4/2/BF/1 Zarządzanie dostępem do pomieszczeń, ISZ-4/2/BF/2 Zasady pracy w strefach, ISZ-4/2/BF/3 Kontrola dostępu przez wykonawców zewnętrznych, ISZ-4/2/BO/1 Zasady postępowania przy zmianie stanowiska pracy 9.1.2 Dostęp do sieci i usług sieciowych Instrukcja INF-1/4/4 Bezpieczeństwo sieci 9.2 Zarządzenie dostępem użytkowników 9.2.1 Rejestrowanie i wyrejestrowywanie użytkowników 9.2.2 Przydzielanie dostępu użytkownikom Instrukcje: ISZ-4/2/BF/1 Zarządzanie dostęp do pomieszczeń, ISZ-4/2/BO/1 Zasady postępowania przy zmianie stanowiska pracy, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych, Karta użytkownika zasobów informatycznych - stosowanie programu ekarta, Upoważnienie do przetwarzania danych osobowych, podpis użytkownika, Unikalne identyfikatory, konfiguracja, Instrukcja INF-1/5/3 Dobór haseł, autoryzacja AD Instrukcje: ISZ-4/2/BF/1 Zarządzanie dostęp do pomieszczeń, ISZ-4/2/BO/1 Zasady postępowania przy zmianie stanowiska pracy, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych, Karta użytkownika zasobów informatycznych - stosowanie programu ekarta, Upoważnienie do przetwarzania danych osobowych, podpis użytkownika

9.2.3 Zarządzanie prawami uprzywilejowanego dostępu Instrukcje: INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych, INF-1/4/4 Bezpieczeństwo sieci, INF-1/5/3 Dobór haseł, INF-1/5/4 Bezpieczeństwo oprogramowania, ISZ-4/2/BO/1 Zasady postępowania przy zmianie stanowiska pracy - stosowanie programu ekarta, ISZ-4/2/BF/1 Zarządzanie dostępem do pomieszczeń, ISZ-4/2/BF/2 Zasady pracy w strefach, Karta użytkownika zasobów informatycznych, Upoważnienie do przetwarzania danych osobowych 9.2.4 Zarządzanie poufnymi informacjami uwierzytelniającymi Instrukcja INF-1/5/3 Dobór haseł, Konfiguracja urządzeń 9.2.5 Przegląd praw dostępu użytkowników Instrukcje: INF-1/5/1 Monitorowanie systemów informatycznych, ISZ-4/2/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników 9.2.6 Odebranie lub dostosowywanie praw dostępu pracy, karta obiegowa, Polityka bezpieczeństwa ochrony danych osobowych - stosowanie programu ekarta 9.3 Odpowiedzialność użytkowników 9.3.1 Stosowanie poufnych informacji uwierzytelniających 9.4 Kontrola dostępu do systemów i aplikacji 9.4.1 Ograniczanie dostępu do informacji 9.4.2 Procedury bezpiecznego logowania 9.4.3 System zarządzania hasłami Instrukcja INF-1/5/3 Dobór haseł 9.4.4 Użycie uprzywilejowanych programów narzędziowych 9.4.5 Kontrola dostępu do kodów źródłowych programów 10 Kryptografia 10.1 Zabezpieczenia kryptograficzne Instrukcje: INF-1/5/3 Dobór haseł, ISZ-4/2/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników Procedura PSZ-1/3 Nadzór nad udokumentowaną informacją, Instrukcje: INF-1/4/1 Bezpieczeństwo serwerów, INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych, Polityka bezpieczeństwa ochrony danych osobowych, Upoważnienie do przetwarzania danych osobowych Konfiguracja dostępu AD, Instrukcja INF-1/5/3 Dobór haseł, Konfiguracja urządzeń, programów i wygaszacza Odebranie praw administracyjnych, karty urządzeń, Instrukcje: INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych Instrukcja INF-1/5/6 Bezpieczeństwo rozwoju oprogramowania, własne - chronione, inne - brak dostępu 10.1.1 Polityka kryptograficznych Instrukcja INF-1/6/2 Ochrona kryptograficzna 10.1.2 Zarządzanie kluczami Instrukcja INF-1/6/2 Ochrona kryptograficzna

11 Bezpieczeństwo fizyczne i środowiskowe 11.1 Obszary bezpieczne 11.1.1 Fizyczna granica obszaru bezpiecznego 11.1.2 Fizyczne zabezpieczenie wejść 11.1.3 Zabezpieczenie biur, pomieszczeń i obiektów 11.1.4 Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi 11.1.5 Praca w obszarach bezpiecznych 11.1.6 Obszary dostaw i załadunku 11.2 Sprzęt 11.2.1 Lokalizacja i ochrona sprzętu ISZ-4/2/BF/2 Zasady pracy w strefach, ISZ-4/2/BF/3 Kontrola dostępu przez wykonawców zewnętrznych, Obszary bezpieczne, podział na strefy, drzwi, domofony, elektryczne karty dostępowe ISZ-4/2/BF/2 Zasady pracy w strefach, ISZ-4/2/BF/3 Kontrola dostępu przez wykonawców zewnętrznych ISZ-4/2/BF/2 Zasady pracy w strefach, ISZ-4/2/BF/3 Kontrola dostępu przez wykonawców zewnętrznych Procedura PSZ-3/2 Postępowanie w przypadku nadzwyczajnych zagrożeń i awarii, PSZ-4/3 Zarządzanie ciągłością działania, Plan ciągłości działania, ISZ-4/2/BF/2 Zasady pracy w strefach, ISZ-4/2/BF/3 Kontrola dostępu przez wykonawców zewnętrznych ISZ-4/2/BF/2 Zasady pracy w strefach, ISZ-4/2/BF/3 Kontrola dostępu przez wykonawców zewnętrznych ISZ-4/2/BF/2 Zasady pracy w strefach, ISZ-4/2/BF/3 Kontrola dostępu przez wykonawców zewnętrznych, INF-1/4/1 Bezpieczeństwo serwerów, INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych, INF-1/4/4 Bezpieczeństwo sieci 11.2.2 Systemy wspomagające Zasilanie, UPS, klimatyzacja, Plan ciągłości działania 11.2.3 Bezpieczeństwo okablowania Przeglądy okablowania, monitorowanie ruchu, Instrukcja INF-1/4/4 Bezpieczeństwo sieci 11.2.4 Konserwacja sprzętu Instrukcja INF-1/5/2 Przekazywanie urządzeń i nośników do ponownego wykorzystania, zbywania lub wycofania z użycia 11.2.5 Wynoszenie aktywów Instrukcja INF-1/4/2 Bezpieczeństwo komputerów przenośnych, Regulamin pracy 11.2.6 Bezpieczeństwo sprzętu i aktywów poza siedzibą Instrukcje: INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/6/3 Przekazanie sprzętu do i z eksploatacji, do i z naprawy 11.2.7 Bezpieczne zbywanie lub przekazywanie do Instrukcja INF-1/5/2 Przekazywanie urządzeń i nośników do ponownego ponownego użycia wykorzystania, zbywania lub wycofania z użycia 11.2.8 Pozostawianie sprzętu użytkownika bez opieki Instrukcje: ISZ-4/2/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych 11.2.9 Polityka czystego biurka i czystego ekranu Księga ZSZ, Instrukcja ISZ-4/2/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników

12 Bezpieczna eksploatacja 12.1 Procedury eksploatacyjne i odpowiedzialność 12.1.1 Dokumentowanie procedur eksploatacyjnych 12.1.2 Zarządzanie zmianami 12.1.3 Zarządzanie pojemnością 12.1.4 Oddzielenie środowisk rozwojowych, testowych i produkcyjnych 12.2 Ochrona przed szkodliwym oprogramowaniem 12.2.1 Zabezpieczenia przed szkodliwym oprogramowaniem 12.3 Kopie zapasowe 12.3.1 Zapasowe kopie informacji 12.4 Rejestrowanie zdarzeń i monitorowanie 12.4.1 Rejestrowanie zdarzeń 12.4.2 Ochrona informacji w dziennikach zdarzeń 12.4.3 Rejestrowanie działań administratorów i operatorów 12.4.4 Synchronizacja zegarów 12.5 Nadzór nad oprogramowaniem produkcyjnym 12.5.1 Instalacja oprogramowania w systemach produkcyjnych 12.6 Zarządzanie podatnościami technicznymi Instrukcje: INF-1/5/1 Monitorowanie systemów informatycznych, INF-1/5/4 Bezpieczeństwo oprogramowania, ISZ-4/2/BF/2 Zasady pracy w strefach Instrukcje: INF-1/5/4 Bezpieczeństwo oprogramowania, INF-1/6/3 Przekazanie sprzętu do i z eksploatacji, do i z naprawy, karty urządzeń Umowy z dostawcami, Instrukcje: INF-1/4/1 Bezpieczeństwo serwerów, Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych Instrukcja INF-1/4/4 Bezpieczeństwo sieci, INF-1/5/6 Bezpieczeństwo rozwoju oprogramowania, zasady zwyczajowo przyjęte Instrukcje: INF-1/4/1 Bezpieczeństwo serwerów, INF-1/4/3 Bezpieczeństwo stacji roboczych, INF-1/4/4 Bezpieczeństwo sieci, INF-1/5/4 Bezpieczeństwo oprogramowania Instrukcje INF-1/4/1 Bezpieczeństwo serwerów, INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych, INF-1/4/4 Bezpieczeństwo sieci, harmonogram backupu, karty urządzeń Konfiguracja urządzeń, Instrukcje: ISZ-4/2/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych, Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych, Konfiguracja urządzeń, Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych Konfiguracja urządzeń, Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych, ALLOY NAVIGATOR Synchronizacja urządzeń wzorcem czasu - konfiguracja automatycznej aktualizacji czasu urządzeń Instrukcja INF-1/6/1 Tworzenie i przechowywanie kopii bezpieczeństwa danych, INF-1/5/4 Bezpieczeństwo oprogramowania 12.6.1 Zarządzanie podatnościami technicznymi Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych, WSUS 12.6.2 Ograniczenia w instalowaniu oprogramowania Instrukcje INF-1/4/1 Bezpieczeństwo serwerów, INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych, INF-1/4/4 Bezpieczeństwo sieci, INF-1/4/5 Bezpieczeństwo urządzeń mobilnych

12.7 Rozważania dotyczące audytu systemów informacyjnych 12.7.1 Zabezpieczenia audytu systemów informacyjnych Umowa certyfikacyjna, audyt techniczny 13 Bezpieczeństwo komunikacji 13.1 Zarządzanie bezpieczeństwem sieci 13.1.1 Zabezpieczenia sieci Instrukcja INF-1/4/4 Bezpieczeństwo sieci, firewall, router, VLAN 13.1.2 Bezpieczeństwo usług sieciowych INF-14/4/ Bezpieczeństwo sieci, INF INF-1/4/1 Bezpieczeństwo serwerów, ograniczony dostęp do zasobu Internetu, umowy z firmami które są dostawcami dostępu do sieci publicznej. 13.1.3 Rozdzielanie sieci VLAN - stosowanie rozdzielenia sieci na podsieci. Wydzielenie sieci Gość. Schemat sieci LAN/WAN 13.2 Przesyłanie informacji 13.2.1 Polityki i procedury przesyłania informacji Procedura PSZ-1/3 Nadzór nad udokumentowaną informacją, wytyczne do umów, oprogramowanie antywirusowe, Polityka czystego biurka i ekranu, Księga ZSZ, Regulamin pracy, Raporty z audytów technicznych, AV, Instrukcje: INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/5/2 Przekazanie urządzeń i nośników do ponownego wykorzystania, zbywania lub wycofania z użycia, INF-1/6/2 Ochrona kryptograficzna, INF-1/6/3 Przekazanie sprzętu do i z eksploatacji, do i naprawy, szkolenia pracowników 13.2.2 Porozumienia dotyczące przesyłania informacji 13.2.3 Wiadomości elektroniczne Instrukcja INF-1/6/2 Ochrona kryptograficzna, Polityki bezpieczeństwa ochrony danych osobowych Instrukcja INF-1/6/2 Ochrona kryptograficzna, PSZ-1/3 Nadzór nad udokumentowaną informacją, podpis elektroniczny, ESP, strona www, BIP, komunikatory i sieci społecznościowe 13.2.4 Umowy o zachowaniu poufności Regulamin pracy, Upoważnienie do przetwarzania danych osobowych 14 Pozyskiwanie, rozwój i utrzymanie systemów 14.1 Wymagania związane z bezpieczeństwem systemów informacyjnych 14.1.1 Analiza i specyfikacja wymagań bezpieczeństwa informacji 14.1.2 Zabezpieczanie usług aplikacyjnych w sieciach publicznych 14.1.3 Ochrona transakcji usług aplikacyjnych INF-1/2 Zakupy sprzętu komputerowego i akcesoriów, materiałów eksploatacyjnych do drukarek, oprogramowania, usług, Procedury i Instrukcje w procesie PSZ-4 Nadzorowanie funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji Instrukcja INF-1/4/4 Bezpieczeństwo sieci, Zarządzenie PM dot. BIP i publikowania materiałów Bank, Przelewy (Wydział FK) - umowa z bankiem, SSL strona banku, Program MSWiA, CEPiK, Źródło, portal finansowy - chronione zgodnie z wytycznymi ochrony tych aplikacji

14.2 Bezpieczeństwo w procesach rozwoju i wsparcia 14.2.1 Polityka bezpieczeństwa prac rozwojowych Instrukcja INF-1/5/6 Bezpieczeństwo rozwoju oprogramowania, INF-1/4/7 Bezpieczeństwo projektów informatycznych 14.2.2 Procedury kontroli zmian w systemach INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych 14.2.3 Przegląd techniczny aplikacji po zmianach w platformie produkcyjnej 14.2.4 Ograniczenia dotyczące zmian w pakietach oprogramowania Instrukcja INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych, karty urządzeń Instrukcje INF-1/4/1 bezpieczeństwo serwerów, INF-1/4/2 bezpieczeństwo komputerów przenośnych, INF-1/4/3 bezpieczeństwo stacji roboczych, INF-1/5/4 bezpieczeństwo oprogramowania, utrzymyweanie elektronicznynego zbioru kart programów dopuszczonych 14.2.5 Zasady projektowania bezpiecznych systemów Instrukcja INF-1/5/6 Bezpieczeństwo rozwoju oprogramowania, IINF-1/4/7 bezpieczeństwo projektów informatycznych 14.2.6 Bezpieczne środowisko rozwojowe Instrukcja INF-1/5/6 Bezpieczeństwo rozwoju oprogramowania, IINF-1/4/7 bezpieczeństwo projektów informatycznych 14.2.7 Prace rozwojowe zlecane podmiotom zewnętrznym Umowy ze stroną trzecią, wytyczne do umów 14.2.8 Testowanie bezpieczeństwa systemów Instrukcja INF-1/5/6 Bezpieczeństwo rozwoju oprogramowania 14.2.9 Testy akceptacyjne systemów Przekazanie do używania wyposażenia, Instrukcje: INF-1/4/1 Bezpieczeństwo serwerów, INF-1/5/4 Bezpieczeństwo oprogramowania, INF-1/5/6 Bezpieczeństwo rozwoju oprogramowania, INF-1/6/3 Przekazanie sprzętu do i z eksploatacji, do i z naprawy, Umowy ze stroną trzecią 14.3 Dane testowe 14.3.1 Ochrona danych testowych 15 Relacje z dostawcami 15.1 Bezpieczeństwo informacji w relacjach z dostawcami 15.1.1 Polityka bezpieczeństwa informacji w relacjach z dostawcami 15.1.2 Uwzględnianie bezpieczeństwa w porozumieniach z dostawcami 15.1.3 Łańcuch dostaw technologii informacyjnych i telekomunikacyjnych 15.2 Zarządzanie usługami świadczonymi przez dostawców 15.2.1 Monitorowanie i przegląd usług świadczonych przez dostawców 15.2.2 Zarządzenie zmianami w usługach świadczonych przez dostawców Instrukcja INF-1/6/1 Tworzenie i przechowywanie kopii bezpieczeństwa danych, chroniona jak każda inna baza, wytyczne do umów, przegląd umów Klauzula w umowach o współpracy, wytyczne do umów Klauzula w umowach o współpracy, wytyczne do umów Klauzula w umowach o współpracy, wytyczne do umów Protokół odbioru, karta urządzenia Umowy SLA, Protokół odbioru, karta urządzenia

16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji 16.1 Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami 16.1.1 Odpowiedzialność i procedury 16.1.2 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji 16.1.3 Zgłaszanie słabości związanych z bezpieczeństwem informacji 16.1.4 Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z bezpieczeństwem informacji 16.1.5 Reagowanie na incydenty związane z bezpieczeństwem informacji 16.1.6 Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji 16.1.7 Gromadzenie materiału dowodowego 17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania 17.1 Ciągłość bezpieczeństwia informacji 17.1.1 Planowanie ciągłości bezpieczeństwa informacji 17.1.2 Wdrożanie ciągłości bezpieczeństwa informacji 17.1.3 Weryfikowanie, przegląd i ocena ciągłości bezpieczeństwa informacji 17.2 Nadmiarowość 17.2.1 Dostępność środków przetwarzania informacji 18 Zgodność 18.1 Zgodność z mi prawnymi i umownymi Procedury: PSZ-4/1 Analiza bezpieczeństwa informacji, PSZ-4/3 Zarządzanie ciągłością działania Procedura PSZ-4/3 Zarządzanie ciągłością działania, Scenariusze awaryjne w Planie ciągłości działania Procedura PSZ-4/3 Zarządzanie ciągłością działania Zapewnienie dostępności zosobów fizycznych, Scenariusze awaryjne w Planie ciągłości działania 18.1.1 Określenie stosownych wymagań prawnych i umownych Ustawy, rozporządzenia, uchwały, zarządzenia 18.1.2 Prawa własności intelektualnej Ustawa o prawie autorskim i prawach pokrewnych 18.1.3 Ochrona zapisów Procedura PSZ-1/3 Nadzór nad udokumentowaną informacją 18.1.4 Prywatność i ochrona danych identyfikujących osobę Polityka bezpieczeństwa ochrony danych osobowych, Upoważnienie do przetwarzania danych osobowych 18.1.5 Regulacje dotyczące zabezpieczeń kryptograficznych Instrukcja INF-1/6/2 Ochrona kryptograficzna

18.2 Przeglądy bezpieczeństwa informacji 18.2.1 Niezależny przegląd bezpieczeństwa informacji 18.2.2 Zgodność z politykami bezpieczeństwa i standardami Raport z audytu certyfikacyjnego, Raporty z audytów technicznych, klauzule w umowach ze stroną trzecią Audit wewnętrzny w zakresie bezpieczeństwa 18.2.3 Sprawdzanie zgodności technicznej Audyt techniczny Bielsko-Biała, dnia 21 czerwca 2018 r. wersja 7 Zatwierdzam: Z. up. Prezydenta Miasta Waldemar Jędrusiński Zastępca Prezydenta

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres