Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

Podobne dokumenty
ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Zarządzenie nr 4/2016 Dyrektora Zespołu Szkolno-Przedszkolnego nr 4 w Rybniku z dnia 2 września 2016 roku

Zarządzenie nr 8/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 31 grudnia 2015 roku

Załącznik do zarządzenia nr 3/2011 Procedura zarządzania ryzykiem PROCEDURA ZARZĄDZANIA RYZYKIEM

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

Dyrektora Gminnego Zespołu Szkół w Ozimku

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

LWKZ Zarządzenie nr 4/2017

PROCEDURY ZARZĄDZANIARYZYKIEM

POLITYKA ZARZĄDZANIA RYZYKIEM

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

1/5 INSTRUKCJA OCENY RYZYKA W OPOLSKIM URZĘDZIE WOJEWÓDZKIM W OPOLU I. CEL WYDANIA PROCEDURY

ZARZĄDZENIE NR B-0151/224/10 BURMISTRZA MIASTA BIERUNIA z dnia r.

POLITYKA ZARZĄDZANIA RYZYKIEM

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Zarządzenie Nr 87/2011 Burmistrza Miasta i Gminy Prabuty z dnia r.

ZARZĄDZENIE NR Or BURMISTRZA MIASTA SANDOMIERZA. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Sandomierzu.

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

REGULAMIN ZARZĄDZANIA RYZYKIEM. w Sądzie Okręgowym w Krakowie

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW. z dnia 7 czerwca 2013 r. w sprawie zarządzanie ryzykiem

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia roku

REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

ZARZĄDZENIE NR 10/2012 WÓJTA GMINY SIEMIATYCZE. z dnia 17 kwietnia 2012 r. w sprawie procedury zarządzania ryzykiem w Urzędzie Gminy Siemiatycze.

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

Instrukcja zarządzania ryzykiem

Procedura Zarządzania Ryzykiem I. PODSTAWOWE POJĘCIA

ZARZĄDZENIE Dyrektora Samodzielnego Publicznego Zakładu Opieki Zdrowotnej im. dr Kazimierza Hołogi w Nowym Tomyślu nr 17 z dnia r.

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

rodo. naruszenia bezpieczeństwa danych

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

Zarządzenie nr Burmistrza Radzymina. z dnia 29 grudnia 2017

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

ZASADY ZARZĄDZANIA RYZYKIEM. Rozdział I Postanowienia ogólne

Regulamin zarządzania ryzykiem. Założenia ogólne

ZARZĄDZENIE NR 1/2016 WÓJTA GMINY CZERNIKOWO z dnia 4 stycznia 2016r.

ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r.

ZARZĄDZENIE NR 125/2014 WÓJTA GMINY WERBKOWICE. z dnia 9 października 2014 r.

Wytyczne do systemu zarządzania ryzykiem w Urzędzie Miejskim w Złotowie i jednostkach organizacyjnych Gminy Miasto Złotów

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

P O L I T Y K A ZARZĄDZANIA RYZYKIEM W KURATORIUM OŚWIATY W WARSZAWIE. Rozdział I TERMINY I DEFINICJE

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

Prelegent : Krzysztof Struk Stanowisko: Analityk

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

PROCEDURA ZARZĄDZANIA RYZYKIEM W URZĘDZIE GMINY W SICIENKU

ZASADY ZARZĄDZANIA W URZĘDZIE MIASTA I GMINY W KAZIMIERZY WIELKIEJ

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Zarządzanie bezpieczeństwem Laboratorium 2. Analiza ryzyka zawodowego z wykorzystaniem metody trzypunktowej

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

ZARZĄDZANIE RYZYKIEM

W celu skutecznego zarządzania ryzykiem, wprowadzam zasady zarządzania ryzykiem w PWSZ w Ciechanowie.

Zarządzanie ryzykiem projektu

Plan realizacji celów głównych i zadań... w roku...

Ocena ryzyka zawodowegoto proste! Copyright by Zdzisław Wiszniewski

Zarządzenie nr 85/2011 BURMISTRZA WYSZKOWA z dnia 20 maja 2011r.

Zarządzanie ryzykiem w rozwiązaniach prawnych. by Antoni Jeżowski, 2014

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

ZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO. z dnia 26 października 2016 r.

Kryteria oceny Systemu Kontroli Zarządczej

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Monitorowanie systemów IT

REGULAMIN ZARZĄDZANIA RYZYKIEM W POWIATOWYM URZĘDZIE PRACY W TARNOWIE

Zarządzanie bezpieczeństwem Laboratorium 2. Analiza ryzyka zawodowego z wykorzystaniem metody trzypunktowej

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Warszawa, dnia 15 stycznia 2014 r. Poz. 3

Zarządzenie wewnętrzne Nr 19/2013 Burmistrza Miasta Środa Wielkopolska z dnia 26 września 2013 r.

Zarządzenie Nr 37/2011. Starosty Lubelskiego z dnia 29 marca 2011 r.

Wykonanie zarządzenia powierza się Wiceprezydentom Miasta, Sekretarzowi Miasta, Skarbnikowi Miasta oraz kierownikom komórek organizacyjnych.

PRELEGENT Przemek Frańczak Członek SIODO

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Załącznik nr 5 do Regulaminu kontroli zarządczej. Tytuł procedury: ZARZĄDZANIE RYZYKIEM SPIS TREŚCI

Transkrypt:

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji PROCEDURA ZARZĄDZANIA RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI 1. 1. Procedura zarządzania ryzykiem w bezpieczeństwie informacji, zwana w dalszej części Procedurą, określa zasady przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy, w Gimnazjum nr 12 im. Górniczego Stanu w Rybniku. 2. Ilekroć w Procedurze jest mowa o: 1) Dyrektorze należy przez to rozumieć Dyrektora Gimnazjum nr 12 im. Górniczego Stanu w Rybniku lub osobę zastępującą, 2) Gimnazjum należy przez to rozumieć Gimnazjum nr 12 im. Górniczego Stanu w Rybniku, 3) ryzyku należy przez to rozumieć ryzyko w bezpieczeństwie informacji. 2. 1. W Gimnazjum wyodrębnia się trzy grupy informacji: 1) dane osobowe, 2) arkusze egzaminacyjne Okręgowej Komisji Egzaminacyjnej, 3) informacje niebędące danymi osobowymi lub arkuszami egzaminacyjnymi Okręgowej Komisji Egzaminacyjnej. 2. Poziom ochrony informacji szacuje się poprzez analizę poufności, integralności i dostępności dla rozważanej grupy informacji i przyjmuje się, że: 1) dane osobowe i arkusze egzaminacyjne Okręgowej Komisji Egzaminacyjnej są informacjami poufnymi, chronionymi przed dostępem nieuprawnionych osób, dostępnymi w sposób nieprzerwany, chronionymi przed nieuprawnioną modyfikacją, 2) informacje niebędące danymi osobowymi są informacjami ogólnodostępnymi lub dostępnymi na wniosek, w sposób nieprzerwany, chronionymi przed nieuprawnioną modyfikacją. 3. Zapewnienie poufności oznacza zabezpieczenie informacji przed dostępem nieuprawnionych osób, podmiotów lub procesów. 4. Zapewnienie dostępności oznacza możliwość wykorzystania informacji w dowolnym momencie przez uprawnioną osobę. 5. Zapewnienie integralności oznacza zabezpieczenie informacji przed nieuprawnioną modyfikacją.

3. 1. Ryzyko to wskaźnik stanu lub zdarzenia, które może prowadzić do strat. Ryzyko jest proporcjonalne do prawdopodobieństwa wystąpienia tego zdarzenia i do wielkości strat, które może spowodować. 2. Zarządzanie ryzykiem to skoordynowane działania dotyczące kierowania i nadzorowania Gimnazjum w odniesieniu do ryzyka. W ramach zarządzania ryzykiem analizuje się, co może się zdarzyć i jakie mogą być możliwe następstwa, a następnie podejmuje decyzję, co i kiedy należy wykonać, aby zredukować ryzyko do akceptowalnego poziomu. 4. 1. Prawdopodobieństwo wystąpienia ryzyka jest to oczekiwana częstotliwość wystąpienia zdarzenia zdefiniowanego jako ryzyko. 2. Strata, którą może spowodować ryzyko jest to wpływ zdarzenia zidentyfikowanego jako ryzyko na integralność, dostępność lub poufność. 5. 1. Ocena ryzyka polega na określeniu prawdopodobieństwa wystąpienia ryzyka i starty, którą może spowodować ryzyko. 2. Oceny ryzyka dokonuje się poprzez przyznanie prawdopodobieństwu wystąpienia ryzyka oraz stracie, którą może spowodować ryzyko, odpowiedniej liczby punktów, w oparciu o tabele punktowe i zsumowanie przyznanej liczby punktów. Dla straty, którą może spowodować ryzyko, przyjmuje się najwyższą przyznaną liczbę punktów spośród wszystkich kategorii. 3. Oceny ryzyka dokonuje się odrębnie dla każdej grupy informacji i dla utraty integralności, dostępności lub poufności informacji. 4. Tabela punktowa prawdopodobieństwa wystąpienia ryzyka utraty integralności, dostępności lub poufności informacji stanowi załącznik nr 1 do Procedury, a tabela punktowa straty, którą może spowodować ryzyko utraty integralności, dostępności lub poufności informacji załącznik nr 2 do Procedury. 5. Oceny ryzyka występujące w Gimnazjum: a) ryzyko wysokie suma przyznanych punktów od 8 do 10. Duża istotność. Konsekwencje poważne. Niezbędne są działania naprawcze, b) ryzyko średnie suma przyznanych punktów od 5 do 7. Średnia istotność. Przeciwdziałanie wskazane, c) ryzyko niskie suma przyznanych punktów od 1 do 4. Mała istotność. Przeciwdziałanie zależy od decyzji właściciela ryzyka. 6. 1. W przypadku ryzyka wysokiego lub średniego konieczne jest postępowanie z ryzykiem. 2. Metody postępowania z ryzykiem występujące w Gimnazjum: a) unikanie polega na dywersyfikacji, eliminacji, zakazie, b) zatrzymanie polega na akceptacji i ponownej wycenie,

c) redukcja polega na rozproszeniu, d) transfer polega na ubezpieczeniu, zabezpieczeniu, kompensacie, e) wykorzystanie polega na alokacji, ekspansji, przeprojektowaniu. 3. Postępowanie z ryzykiem powinno być proporcjonalne do ryzyka tak, aby, w większości przypadków, ryzyko mieć pod kontrolą, a nie je eliminować. 4. Postępując z ryzykiem należy brać pod uwagę w szczególności: 1) ograniczenia czasowe (zabezpieczenie powinno zostać wdrożone w czasie życia informacji lub systemu), 2) ograniczenia finansowe (zabezpieczenia nie powinny być bardziej kosztowne do wdrożenia lub utrzymania niż strata, którą może przynieść ryzyko, za wyjątkiem sytuacji, gdy osiągnięcie zgodności jest wymagane przepisami prawa), 3) ograniczenia techniczne, 4) ograniczenia kulturowe (jeśli pracownicy nie rozumieją zabezpieczenia lub nie akceptują go, to zabezpieczenie staje się z czasem nieskuteczne), 5) ograniczenia prawne, 6) łatwość użycia, 7) ograniczenia przy integrowaniu nowych i istniejących zabezpieczeń. 7. 1. Oceny ryzyka dokonuje zespół ds. oceny ryzyka w bezpieczeństwie informacji, który każdorazowo powołuje Dyrektor. 2. Ocenę ryzyka dokumentuje się z wykorzystaniem karty oceny ryzyka w bezpieczeństwie informacji, która stanowi załącznik nr 3 do Procedury. 3. Karty oceny ryzyka w bezpieczeństwie informacji stanowią rejestr ryzyka w bezpieczeństwie informacji. 8. W sprawach nieuregulowanych w Procedurze decyzję podejmuje Dyrektor.

Załącznik nr 1 do Procedury zarządzania ryzykiem tabela punktowa prawdopodobieństwa wystąpienia ryzyka utraty integralności, dostępności lub poufności informacji TABELA PUNKTOWA PRAWDOPODOBIEŃSTWA WYSTĄPIENIA RYZYKA UTRATY INTEGRALNOŚCI, DOSTĘPNOŚCI LUB POUFNOŚCI INFORMACJI Prawdopodobieństwo wystąpienia ryzyka Bardzo niskie Niskie Średnie Wysokie Bardzo wysokie Opis Zdarzenie, którego zaistnienie jest wysoce nieprawdopodobne (0% 20%) Zdarzenie, którego zaistnienie jest mało prawdopodobne (21% 40%) Zdarzenie, którego zaistnienie jest względnie prawdopodobne (41% 60%) Zdarzenie, którego zaistnienie jest dość prawdopodobne (61% 80%) Zdarzenie, którego zaistnienie jest bardzo prawdopodobne (81% 100%) Liczba punktów 1 2 3 4 5

Załącznik nr 2 do Procedury zarządzania ryzykiem tabela punktowa straty, którą może spowodować ryzyko utraty integralności, dostępności lub poufności informacji TABELA PUNKTOWA STRATY, KTÓRĄ MOŻE SPOWODOWAĆ RYZYKO UTRATY INTEGRLNOŚCI, DOSTĘPNOŚĆI LUB POUFNOŚCI INFORMACJI Stopień oddziaływania ryzyka Bardzo niski Niski Średni Wysoki Bardzo wysoki Skutki finansowe 100 zł do 1.000 zł 1.000 zł do 10.000 zł 10.000 zł do 100.000 zł 100.000 zł do 250.000 zł 250.000 zł Kryteria powiedzialność za zaistnienie zdarzenia Brak naruszenia przepisów prawa Naruszenie przepisów prawa brak odpowiedzialności odpowiedzialność służbowa odpowiedzialność służbowa i finansowa odpowiedzialność karna, ograniczenie lub pozbawienie wolności Reputacja Brak informacji lokalnych regionalnych ogólnokrajowych Doniesienia medialne w całym kraju Liczba punktów 1 2 3 4 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres