Formularze PBI. Załącznik nr 2 do zasad Zarządzenia bezpieczeństwem informacji w Urzędzie Miasta Krakowa. Spis treści

Podobne dokumenty
2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

Polityka bezpieczeństwa przetwarzania danych osobowych w sklepie internetowym prowadzonym przez firmę STORK Szymon Małachowski

Z A R Z Ą D Z E N I E Nr 187/2011. Wójta Gminy Celestynów z dnia 26 września 2011 roku

Instrukcja Zarządzania Systemem Informatycznym Urzędu Miejskiego w Zdzieszowicach

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Załącznik nr 7 do Instrukcji Zarządzania Systemem Informatycznym INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Szkolenie otwarte 2016 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Rozdział I Zagadnienia ogólne

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

ZARZĄDZENIE Nr 96/2014 Burmistrza Bornego Sulinowa z dnia 26 października 2014 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

D R U K I I Z A Ł Ą C Z N I K I

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

ZAŁĄCZNIK NR 7 DO UMOWY NR [***] O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Rozdział I Postanowienia ogólne

WYKAZ WZORÓW FORMULARZY

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

POLITYKA BEZPIECZEŃSTWA

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

ZARZĄDZENIE NR 331/2015 PREZYDENTA MIASTA KIELCE. z dnia 24 sierpnia 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

ZARZĄDZENIE NR 5/2016 WÓJTA GMINY MAŁKINIA GÓRNA. z dnia 2 lutego 2016 r.

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W NAZWA FIRMY

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

POLITYKA BEZPIECZEŃSTWA INFORMACJI Urzędu Miasta Kościerzyna

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Chronimy (czy ciągle tracimy?) dane i informacje w systemach teleinformatycznych organizacji

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH. sklepu internetowego ECOTRONICS.PL POSTANOWIENIA OGÓLNE

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

Ochrona Informacji i innych aktywów Zamawiającego

Amatorski Klub Sportowy Wybiegani Polkowice

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Ochrony Danych Osobowych

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH FOOD ARTS HOLDING SP. Z O.O.

POLITYKA PRYWATNOŚCI Centrum Edukacyjno Językowe English Is Easy Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Załącznik nr 3 do Polityki Ochrony Danych Osobowych Toruń, dnia 25 maja 2018 r.

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach

Transkrypt:

Załącznik nr 2 do zasad Zarządzenia bezpieczeństwem informacji w Urzędzie Miasta Krakowa Formularze PBI Spis treści FORMULARZE PBI... 1 F-1 UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH... 2 F-2 WNIOSEK O UDOSTĘPNIENIE DANYCH ZE ZBIORU DANYCH OSOBOWYCH... 3 F-3 OŚWIADCZENIE O OCHRONIE UDOSTĘPNIONYCH DANYCH OSOBOWYCH... 4 F-4 OŚWIADCZENIE O ZACHOWANIU POUFNOŚCI... 5 F-5 LISTA OSÓB UPRAWNIONYCH NA STAŁE DO PRZEBYWANIA W OBIEKTACH POZA REGULAMINOWYMI GODZINAMI PRACY... 7 F-6 REJESTR GOŚCI... 8 F-7 REJESTR POBIERANYCH KLUCZY DO POMIESZCZEŃ PRACOWNICZYCH... 9 F-8 LISTA OSÓB UPRAWNIONYCH DO POBIERANIA KLUCZY DO POMIESZCZEŃ PRACOWNICZYCH... 10 F-9 REJESTR POBIERANYCH KLUCZY PRZEZ FIRMY ZEWNĘTRZNE... 11 F-10 WYKAZ OSÓB Z FIRM ZEWNĘTRZNYCH UPRAWNIONYCH DO POBIERANIA KLUCZY... 12 F-11 WZÓR WNIOSKU O PRZYZNANIE DOSTĘPU DO SI UMK... 13 F-12 LISTA INCYDENTÓW... 15 F-13 REJESTR INCYDENTÓW... 18 F-14 RAPORT Z PRZEGLĄDU INCYDENTÓW... 19 F-15 ZASADY POSTĘPOWANIA Z INFORMACJAMI NALEŻĄCYMI DO OKREŚLONEGO POZIOMU OCHRONY - SZABLON... 20 F-16 SZABLON ZIDENTYFIKOWANYCH GRUP INFORMACJI... 21 F-17 RAPORT Z ANALIZY RYZYKA I PLAN POSTĘPOWANIA Z RYZYKIEM... 22 F-18 STRUKTURA PCD... 24 F-19 PROTOKÓŁ Z TESTU PLANU CIĄGŁOŚCI DZIAŁANIA... 25 F-20 FORMULARZ PLANU WYKONANIA KOPII ZAPASOWYCH... 26 F-21 REJESTR WYKONYWANIA KOPII ZAPASOWYCH - SZABLON... 27 WYKAZ ZMIAN... 28

F-1 Upoważnienie do przetwarzania danych osobowych Data: Numer upoważnienia: Ważność upoważnienia: Symbol: UPOWAŻNIENIE Na podstawie art.37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Z 2002 r. Nr 101 poz. 926, z późn. zm.) upoważniam Panią/Pana: Jan Kowalski OR-WYDZIAŁ ORGANIZACJI I NADZORU do przetwarzania danych osobowych w następujących zbiorach danych: Lp. Zbiór danych Forma przetwarzania Aplikacje przetwarzane w zbiorach Rejestry pisemne Podpis Administratora Bezpieczeństwa Informacji Potwierdzenie odbioru upoważnienia:. data. podpis 2

F-2 Wniosek o udostępnienie danych ze zbioru danych osobowych WNIOSEK O UDOSTĘPNIENIE DANYCH ZE ZBIORU DANYCH OSOBOWYCH 1. Wniosek do...... (dokładne oznaczenie Merytorycznego Administratora Informacji) 2. Wnioskodawca......... (nazwa firmy i jej siedziba albo nazwisko, imię i adres zamieszkania wnioskodawcy, ew. NIP oraz nr REGON) 3. Podstawa prawna upoważniająca do pozyskania danych albo wskazanie wiarygodnie uzasadnionej potrzeby posiadania danych w przypadku osób innych niż wymienione w art. 29 ust. 1 ustawy o ochronie danych osobowych:...... 4. Cel pozyskania danych:...... 5. Oznaczenie lub nazwa zbioru, z którego mają być udostępnione dane:... 6. Zakres żądanych informacji ze zbioru:......... (data, podpis i ew. pieczęć wnioskodawcy) 3

F-3 Oświadczenie o ochronie udostępnionych danych osobowych imię i nazwisko adres zamieszkania OŚWIADCZENIE O OCHRONIE UDOSTĘPNIONYCH DANYCH OSOBOWYCH Na postawie art... ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz.926 z późn. zm.) oświadczam, iż udostępnione mi dane osobowe ze zbiorów: 1.. 2.. przetwarzanych przez UMK, wykorzystam jedynie i wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. Oświadczam, że zapoznałem się z przepisami Rozdziału 8 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i jestem świadom odpowiedzialności karnej za naruszenie zasad ochrony danych osobowych.... data, podpis wnioskodawcy data, podpis przyjmującego oświadczenie 4

F-4 Oświadczenie o zachowaniu poufności Załącznik nr 1 do Procedury zarządzania upoważnieniami i uprawnieniami.. Imię i Nazwisko... Komórka organizacyjna UMK/ Instytucja zewnętrzna Kraków, dnia... OŚWIADCZENIE O ZACHOWANIU POUFNOŚCI Niniejszym oświadczam, że: 1) Zapoznałam (-em) się z przepisami dotyczącymi ochrony danych osobowych, w tym z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z poźn. zm.) oraz rozporządzeniami wykonawczymi wydanymi na jej podstawie. 2) Zapoznałam (-em) się z regulacjami obowiązującymi w Urzędzie Miasta Krakowa dotyczącymi Polityki Bezpieczeństwa Informacji. 3) Zobowiązuję się do przestrzegania przepisów i regulacji wiążących się z Polityką Bezpieczeństwa Informacji Urzędu Miasta Krakowa, w szczególności z ochroną danych osobowych oraz innych danych krytycznych dla funkcjonowania Urzędu. W szczególności zobowiązuję się do: a) zachowania w tajemnicy posiadanych haseł i kont w SI UMK, b) zmiany haseł do posiadanych kont co najmniej raz na miesiąc, c) wykorzystywania posiadanych oraz udostępnionych kont Użytkownika wyłącznie do zadań służbowych, d) niepodejmowania prób wykorzystania obcych kont i uruchamiania aplikacji deszyfrujących (łamiących) hasła, e) nieinstalowania samodzielnie, bez zgody administratorów SI UMK oprogramowania systemowego, podsystemów i aplikacji (programów), f) nieuruchamiania aplikacji (programów), które mogą zakłócić i destabilizować pracę SI UMK, bądź naruszyć prywatność danych w nim zgromadzonych, g) nieudostępniania osobom trzecim informacji na temat struktury informatycznej SI UMK (w tym adresacji sieci, struktur aplikacji, baz danych itp.), h) postępowania zgodnie z procedurą zarządzania incydentami bezpieczeństwa w przypadku wykrycia incydentu bezpieczeństwa informacji a szczególności nieautoryzowanego dostępu do danych. 5

Przyjmuję do wiadomości iż: a) moje działania w SI UMK mogą być na bieżąco monitorowane oraz będą w pełni lub częściowo rejestrowane, b) postępowanie sprzeczne z niniejszym oświadczeniem może być uznane za naruszenie obowiązków pracowniczych w rozumieniu Kodeksu Pracy lub Urząd może dochodzić roszczeń na drodze sądowej w oparciu o przepisy kodeksu cywilnego. czytelny podpis 6

F-5 Lista osób uprawnionych na stałe do przebywania w obiektach poza regulaminowymi godzinami pracy Lista osób uprawnionych na stałe do przebywania w obiektach poza regulaminowymi godzinami pracy L.p. Imię Nazwisko Komórka organizacyjna UMK Nr pomieszczenia 7

F-6 Rejestr gości Rejestr Gości L.p. Imię Nazwisko PESEL Komorka organizacyjna UMK/ Pracownik urzędu Godz. wejścia Godzina wyjścia Podpis gościa 8

F-7 Rejestr pobieranych kluczy do pomieszczeń pracowniczych Rejestr pobieranych kluczy do pomieszczeń pracowniczych L.p. Imię Nazwisko Komórka organizacyjna UMK Nr pokoju Godzina pobrania Godzina zdania Podpis pracownika 9

F-8 Lista osób uprawnionych do pobierania kluczy do pomieszczeń pracowniczych Lista osób uprawnionych do pobierania kluczy do pomieszczeń pracowniczych L.p. Imię Nazwisko Komórka organizacyjna UMK Numer pokoju 10

F-9 Rejestr pobieranych kluczy przez firmy zewnętrzne Rejestr pobieranych kluczy przez firmy zewnętrzne L.p. Imię Nazwisko Nazwa firmy Nr pokoju Godzina pobrania Godzina zdania Podpis pobierającego 11

F-10 Wykaz osób z firm zewnętrznych uprawnionych do pobierania kluczy Wykaz osób z firm zewnętrznych uprawnionych do pobierania kluczy L.p. Imię Nazwisko Nazwa Firmy Nr pomieszczenia 12

F-11 Wzór wniosku o przyznanie dostępu do SI UMK Załącznik nr 2 do Procedury zarządzania upoważnieniami i uprawnieniami Imię i nazwisko osoby wypełniającej wniosek. Nazwa firmy/ Miejska Jednostka Organizacyjna * Kraków, dnia W N I O S E K O PRZYZNANIE DOSTĘPU DO SI UMK Proszę o przyznanie dostępu do Systemu Informatycznego Urzędu Miasta Krakowa oraz przyznanie Identyfikatorów Użytkownika w SI UMK*, w na podstawie umowy numer: W celu: dla następujących osób: LP. Imię i Nazwisko PESEL 1. 2. 3. 4. Dane teleadresowe: Pełna Nazwa Firmy: Nazwa skrócona: NIP:. REGON: Dane kontaktowe (tel, fax, email):.. Adres korespondencyjny:. Adres siedziby firmy:. Dostęp do danych osobowych: TAK/NIE*: Nazwa zbioru danych osobowych: 1. 2. Dostęp ma być przyznany:* 13

a) na czas nieokreślony, b) na okres od do. Dostęp ma być przyznany:* a) bezpośrednio b) zdalnie Lista zadań przewidzianych do realizacji w SI UMK z wykorzystaniem tego dostępu: 1..... 2..... Jednocześnie zobowiązuję się do pokrycia kosztów związanych z usuwaniem ewentualnych uszkodzeń SI UMK, jakie mogą być następstwem działań osób uzyskujących dostęp. Roszczeń odszkodowawczych wynikających z powstałej szkody, UMK dochodzić będzie na zasadach ogólnych, w postępowaniu przed sądem właściwym dla siedziby Urzędu...... Podpis osoby wypełniającej wniosek ----------------------------- *niepotrzebne skreślić 14

F-12 Lista incydentów Załącznik nr 1 do Procedury zarządzania incydentami bezpieczeństwa informacji Lista zdarzeń/incydentów związanych z bezpieczeństwem informacji L.p. Zdarzenie/incydent Operator incydentu Obszar teleinformatyczny 1 Zidentyfikowanie złośliwego oprogramowania np. wirus, spyware (stacje robocze oraz systemy lub serwery). 2 Niestabilna praca systemów zaklasyfikowanych jako ważne i krytyczne oraz stacji roboczych. 3 Awaria systemu informatycznego. 4 Niedostępność systemu informatycznego. 5 Awaria zasilania urządzeń przetwarzających informacje (stacje robocze oraz systemy lub serwery). 6 Utrudniona praca w systemie np. zbyt duże obciążenie procesora, przekroczenie dostępnych zasobów systemowych. 7 Nadmierne uprawnienia w systemach w stosunku do wykonywanej pracy. 8 Nieuprawniona zmiana danych lub ich uszkodzenie. 9 Utrata danych. 10 Fizyczne zniszczenie lub uszkodzenie sprzętu oraz nośników przetwarzającego informacje. 11 Kradzież sprzętu przetwarzającego informacje. 12 Błędy w obsłudze i konserwacji sprzętu komputerowego służącego do przetwarzania informacji. 13 Błędy w przechowywaniu, eksploatacji oraz konserwacji oprogramowania. 14 Włamanie do sieci i systemów teleinformatycznych (np. atak hackera). 15 Nie wykonanie kopii bezpieczeństwa. 16 Nie zweryfikowanie możliwości odtworzenia danych z kopii zapasowych. Incydenty bezpieczeństwa informacji związane ze stronami zewnętrznymi 17 Ujawnienie danych osobom nieuprawnionym. 18 Brak stosownych zabezpieczeń w umowach ze stronami trzecimi. 19 Pozostawienie bez nadzoru przedstawicieli strony trzeciej (np. serwisanci). Incydenty związane z bezpieczeństwem osobowym 20 Nowy pracownik nie podpisał oświadczenia o zachowaniu poufności. 21 W wyniku rozwiązania umowy z pracownikiem nie podjęto działań związanych z odebraniem uprawnień. 22 Pracownik nie rozliczył się z powierzonych środków 15

przetwarzania informacji. Bezpieczeństwo fizyczne i środowiskowe 23 Nieuprawniony dostęp do strefy administracyjnej. 24 Umieszczono środki przetwarzania informacji w strefie ogólnodostępnej. 25 Wejście do strefy administracyjnej z pominięciem kontroli dostępu. 26 Wejście do pomieszczeń teletechnicznych z pominięciem kontroli dostępu. 27 Pozostawienie otwartych okien, drzwi po zakończeniu pracy. 28 Pożar, zalanie. 29 Pozostawienie środków przetwarzania informacji bez nadzoru. 30 Nieprzestrzeganie polityki czystego biurka oraz czystego ekranu. 31 Odnotowanie dokumentów w koszu na śmieci. 32 Pozostawienie wydruków na ogólnodostępnej drukarce. 33 Nieautoryzowane wykonanie kopii klucza do pomieszczeń biurowych. 34 Wyniesienie klucza poza organizację. 35 Zagubienie identyfikatora osobistego. Incydenty związane z zarządzaniem aktywami 36 Zidentyfikowano środek przetwarzający informacje nieznanego pochodzenia (sprzęt, nośnik). 37 Wykorzystano niezinwentaryzowany środek przetwarzania informacji (nie należący do organizacji). Incydenty związane z pracą w systemie informatycznym 38 Wykorzystanie nielegalnego oprogramowania oraz narzędzi służących do obchodzenia zabezpieczeń w systemach informatycznych. 39 Próba instalacji nie zatwierdzonego oprogramowania. 40 Wykorzystanie ogólnodostępnych serwisów pocztowych (np. Wirtualna Polska, Onet.pl, o2.pl) w celach służbowych. 41 Wykorzystanie służbowej poczty elektronicznej do celów prywatnych. 42 Nie zgłaszanie informacji o nieprawidłowym działaniu systemów bezpieczeństwa (firewall, program AV). 43 Zmiana konfiguracji sprzętowej oraz programowej systemów oraz stacji roboczych przez niepowołane osoby. 44 Wykonywanie pracy zdalnej przy pomocy komputera innego niż służbowy. 45 Zablokowane konto w systemach informatycznych. 46 Podjęcie pracy w stanie zagrożenia bezpieczeństwa informacji. 47 Niestosowanie się do wymagań dotyczących złożoności haseł. 48 Nie zablokowana stacja robocza. 49 Przesłanie wiadomości e-mail do niewłaściwego adresata. 16

50 Przechowywanie haseł w niewłaściwy osób. 51 Przekazywanie haseł innym osobom. 52 Pojawienie się nieautoryzowanej informacji na stronie internetowej. 53 Niewłaściwe niszczenie nośników z danymi pozwalającymi na ich odczyt. 17

F-13 Rejestr incydentów Załącznik nr 2 do Procedury zarządzania incydentami bezpieczeństwa informacji Rejestr incydentów Nr incydentu (nr/rok) Osoba zgłaszająca Rodzaj (typ) incydentu Operator Obsługi Incydentu Czynności związane z obsługą incydentu Wyniki podjętych działań Data zamknięcia incydentu Osoba zatwierdzająca 18

F-14 Raport z przeglądu incydentów Załącznik nr 3 do Procedury zarządzania incydentami bezpieczeństwa informacji Nr przeglądu RAPORT Z PRZEGLĄDU INCYDENTÓW data sporządzenia raportu Data przeprowadzenia przeglądu: Podsumowanie wyników przeglądu:.................. Spostrzeżenia służące doskonaleniu:........................ Załączniki do raportu: 1.... 2.... 3.... Rozdzielnik: 1.... 2.... 3.... (Data / Sporządził) (Data / Zatwierdził) 19

F-15 Zasady postępowania z informacjami należącymi do określonego poziomu ochrony - szablon Załącznik nr 1 do Procedury klasyfikacji informacji Poziom ochrony I Chronione w UMK (WG <=8) Informacje w postaci papierowej Oznaczanie Przechowywanie Kopiowanie Niszczenie Przekazywanie wewnątrz UMK Przekazywanie na zewnątrz UMK Wynoszenie informacji Informacje w postaci elektronicznej Oznaczanie Przechowywanie Kopiowanie Niszczenie Przekazywanie wewnątrz UMK Przekazywanie na zewnątrz UMK Wynoszenie informacji Poziom ochrony II Szczególnie chronione w UMK (WG=9) Informacje w postaci papierowej Oznaczanie Przechowywanie Kopiowanie Niszczenie Przekazywanie wewnątrz UMK Przekazywanie na zewnątrz UMK Wynoszenie informacji Informacje w postaci elektronicznej Oznaczanie Przechowywanie Kopiowanie Niszczenie Przekazywanie wewnątrz UMK Przekazywanie na zewnątrz UMK Wynoszenie informacji 20

F-16 Szablon zidentyfikowanych grup informacji Załącznik nr 2 do Procedury klasyfikacji informacji Id Grupy informacji Przykładowe dokumenty P I D WG Poziom ochrony Kierujący komórką organizacyjną UMK przetwarzający informację z danej grupy 21

F-17 Raport z analizy ryzyka i Plan postępowania z ryzykiem Załącznik nr 1 do Procedury analizy ryzyka RAPORT Z ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI 1. Szacowanie ryzyka za okres od... r. do... r. W dniach od... r. do... r. zespół roboczy w składzie: 1....-... 2....-... przeprowadził szacowanie ryzyka bezpieczeństwa informacji w oparciu o zdefiniowaną metodykę zarządzania ryzykiem bezpieczeństwa informacji zgodnie z procedurą Analiza ryzyka. Rezultatem prac grupy roboczej było: 1. przeprowadzenie klasyfikacji informacji (patrz tabela nr 1), 2. określenie obszarów funkcjonowania wraz z określeniem ich krytyczności (patrz tabela nr 2), 3. określenie punktów krytycznych (patrz tabela nr 3), 4. wyznaczenie poziomu ryzyk dotyczących bezpieczeństwa informacji, opracowanie rankingu ryzyk oraz wyznaczenie poziomu akceptowalności ryzyk (patrz tabela nr 4). 1.1 Klasyfikacja informacji Zgodnie z obowiązującą w UMK procedurą wyznaczono 64 grupy informacji i dla każdej z grup określono wrażliwość grupy informacji. Wynik zestawiono w tabeli nr 1. Tabela nr 1. Klasyfikacja informacji grupy informacji Przykładowe Id Grupy informacji dokumenty P I D WG 1.2 Obszary funkcjonowania W tabeli nr 2 przedstawiono obszary funkcjonowania realizowane w organizacji wraz z określeniem ich krytyczności, w obrębie których oceniano ryzyko. Tabela nr 2. Obszary funkcjonowania Obszary funkcjonowania Id (Zidentyfikowane procesy wewnętrzne) Opis obszaru funkcjonowania Krytyczność 22

1.3 Punkty krytyczne W tabeli nr 3 przedstawiono punkty krytyczne, w obrębie których oceniano ryzyko. Tabela nr 3. Punkty krytyczne wraz z opisem ID Definicja Podatność Zagrożenie 1.4 Ranking ryzyk W oparciu o metodykę zarządzania ryzykiem otrzymano wyniki, które zebrano w tabeli nr 4. Tabela nr 4. Ranking ryzyk - ryzyka i ich wartości otrzymane w wyniku przeprowadzenia procesu szacowania ryzyka Lp. Akceptacj Ryzyko a [TAK/NIE] Punkt krytyczny 2. Plan postępowania z ryzykiem Zarząd UMK przeanalizował wyniki analizy ryzyka, wyznaczył kryterium akceptowalności ryzyka oraz deklaruje podjęcie działań zmierzających do minimalizacji nieakceptowanych ryzyk. Zgodnie z przyjętym kryterium akceptowalności określonym w metodyce analizy ryzyka wartość ryzyka akceptowalnego w UMK określono na poziomie.... Tabela nr 5. Ryzyka L p. Punkt krytyczny Planowane działanie Oczekiwany efekt Odpowiedzialny Termin realizac ji. Podpis sporządzającego.. Podpis zatwierdzającego 23

F-18 Struktura PCD 1. Informacje ogólne o PCD a) Osoba odpowiedzialna za utrzymanie PCD. b) Skład zespołu opracowującego plan. c) Potwierdzenie weryfikacji planu przez ABI. d) Data opracowania planu. e) Data zatwierdzenia planu przez GAI. f) Data ostatniej aktualizacji planu. 2. Cel i zakres. 3. Warunki uruchomienia planu. 4. Reakcja na zdarzenie postępowanie. Nr Opis działania 1. 2. 3. Odpowiedzialny Czas realizacji Wymagane zasoby 5. Funkcjonowanie organizacji bezpośrednio po wystąpieniu incydentu. 6. Procedura powrotu do normalnej działalności. 7. Wykaz działań przygotowawczych. 8. Wykaz procedur awaryjno-odtworzeniowych. 9. Lista kontaktowa. 10. Wykaz osób posiadających dostęp do powyższego planu. 11. Liczba kopii planu i miejsca, w których są przechowywane. 24

F-19 Protokół z testu planu ciągłości działania PROTOKÓŁ Z TESTU PLANU CIĄGŁOŚCI DZIAŁANIA nr. z dnia.. Nazwa planu awaryjnego: Termin testowania: Osoby testujące: Typ testu: (dokumentowy/komponentowy/operacyjny*) Scenariusz testowy: Wyniki: Wnioski a) Test nie został zakończony w przewidywanym czasie z powodu: Założenia okazały się błędne-brak możliwości realizacji założeń:.. Brak możliwości realizacji założeń z przyczyn organizacyjnotechnicznych: b) Inne: Data sporządzenia: Podpis osoby odpowiedzialnej: Otrzymałem w dniu Podpis GAI: *)Niewłaściwe skreślić 25

F-20 Formularz planu wykonania kopii zapasowych Plan wykonywania kopii zapasowych 1. Odpowiedzialność za wykonywanie kopii zapasowych [Należy wyznaczyć osobę odpowiedzialną za przeprowadzanie procesu wykonywania kopii zapasowej systemu.] 2. Rodzaje wykonywanych kopii zapasowych [Należy określić typ wykonywanej kopii zapasowej systemu. Możliwe jest wykonanie kopii zapasowej pełnej lub przyrostowej.] 3. Częstotliwość wykonywania kopii zapasowych [Należy określić, jak często kopia zapasowa będzie wykonywana. Zalecane jest wykonywanie pełnej kopii codziennej z dnia roboczego, kopii tygodniowej oraz kwartalnej. Kopie zapasowe wykonywane są w godzinach wieczornych] 4. Określić zakres wykonywania kopii zapasowej [Należy określić, jakie dane mają zostać objęte procesem wykonywania kopii zapasowej] 5. Weryfikowanie kopii zapasowych [Każdorazowe wykonanie kopii zapasowej musi być rejestrowane i weryfikowane. Należy przeanalizować logi z programu wykonującego kopie zapasową informujące o poprawności wykonanego zadania. Administrator sporządza raport z wykonania kopii zapasowej. Dodatkowo należy okresowo przeprowadzać procedurę odtworzenia kopii zapasowej i sprawdzić poprawność odtworzonych danych.] 6. Przechowywanie kopii zapasowych [Należy określić miejsce przechowywania kopii zapasowych, sposób opisywania kopii zapasowej oraz czas po którym nośniki kopii zapasowych mogą być nadpisane.] 7. Niszczenie nośników kopii zapasowych [Należy określić warunki związane z utylizacją nośników kopii zapasowych. W przypadku, gdy nośnik kopii zapasowej jest uszkodzony i nie można go ponownie wykorzystać, nośnik należy zniszczyć w sposób uniemożliwiający odtworzenie zapisanych na nich danych.] 26

F-21 Rejestr wykonywania kopii zapasowych - szablon REJESTR WYKONANIA KOPII ZAPASOWYCH L.p. Serwer Data i godzina rozpoczęcia Data i godzina zakończenia Oznaczenie nośnika Rezultat Uwagi Podpis 27

Wykaz zmian Wersja Formularz Data Opis zmiany 28

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres