PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Podobne dokumenty
PLAN CIĄGŁOŚCI DZIAŁANIA NA WYPADEK DYSFUNKCJI SYSTEMU INFORMATYCZNEGO

ZARZĄDZANIE INCYDENTAMI DZIAŁANIA KORYGUJĄCE

Marcin Soczko. Agenda

Regulamin korzystania z Systemu Wrota Podlasia

Polityka Bezpieczeństwa Teleinformatycznego

Załącznik nr 7 do ogłoszenia

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Szkolenie otwarte 2016 r.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Warszawa, dnia 21 lipca 2016 r. Poz. 1076

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

WYDZIAŁ INFORMATYKI. 2. Do zakresu działania Referatu Zarządzania Infrastrukturą Teleinformatyczną należy:

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Rozdział I Zagadnienia ogólne

Umowa nr. Wzór umowy o ochronie danych osobowych do umowy nr... z dnia...

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Ale ile to kosztuje?

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Opis przedmiotu zamówienia

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Regulamin korzystania z systemu SEKAP 1 DEFINICJE

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych objętych zbiorem pod nazwą

POLITYKA BEZPIECZEŃSTWA

Promotor: dr inż. Krzysztof Różanowski

1. Zakres modernizacji Active Directory

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Szczegółowe informacje o kursach

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI Urzędu Miasta Kościerzyna

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Załącznik nr 8 do SIWZ

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Regulamin - Prymus.info

ZARZĄDZENIE NR 109/2016/K BURMISTRZA GMINY KĘTY. z dnia 1 czerwca 2016 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ZARZĄDZENIE NR 1241/2012 PREZYDENTA MIASTA KRAKOWA Z DNIA

ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni

WZÓR UMOWY. zwanym dalej Wykonawcą w wyniku przeprowadzenia przez Zamawiającego wyboru oferty Wykonawcy w trybie przetargu nieograniczonego.

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Warunki realizacji Zamówienia

Wpływ kompetencji pracowników administracji publicznej na wdrożenie i utrzymanie systemów teleinformatycznych

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Zapytanie ofertowe nr OR

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ZARZĄDZENIE NR 838/2009 PREZYDENTA MIASTA KRAKOWA Z DNIA 21 kwietnia 2009 r.

Dane osobowe: Co identyfikuje? Zgoda

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia: bip.cui.wroclaw.pl

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia: bip.cui.wroclaw.pl

PHICS - Polish Harbours Information & Control System Dokumentacja użytkownika System weryfikacji autentyczności polskich dokumentów marynarzy

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Żyrzyn

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Transkrypt:

Urząd Gminy Kęty Dokument Systemu Zarządzania Bezpieczeństwem Informacji PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych Nr dokumentu: P09 Data wydania: 01.06.2016 rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym PN/ISO 27001:2014 6.1; 8.1; Kontroli Zarządczej C.11, C.12,E.19, P09-Procedury zarządzania SI, wyd.1 1 z 7

P09-Procedury zarządzania SI, wyd.1 2 z 7

Spis treści 1. NADZÓR NAD POŁĄCZENIAMI VPN... 4 1.1. Dopuszczenie do połączeń zdalnych VPN... 4 1.2. Nawiązywanie, zamykanie i ewidencja połączeń VPN... 4 1.3. Połączenia VPN na potrzeby zdalnego nadzoru... 4 1.4. Nawiązywanie połączeń VPN przez... 4 2. AUTORYZACJA NOWYCH URZĄDZEŃ DOPUSZCZANYCH DO SIECI TELEINFORMATYCZNEJ URZĘDU 5 2.1. Autoryzacja nowych urządzeń... 5 2.2. Proces autoryzacji... 5 2.3. Kontrola specyfikacji urządzenia... 5 3. ZARZĄDZANIE ZMIANAMI W SYSTEMACH TELEINFORMATYCZNYCH... 6 3.1. Zasady ogólne wprowadzania zmian w systemie informatycznym Urzędu... 6 3.2. Testowanie zmian w aplikacjach i systemach w środowisku zapasowym... 7 3.3. Warunki odstąpienia od procedury testowania zmian... 7 3.4. Nadzór nad realizacją oprogramowania dla Urzędu... 7 4. HISTORIA DOKUMENTU... 7 P09-Procedury zarządzania SI, wyd.1 3 z 7

1. NADZÓR NAD POŁĄCZENIAMI VPN Zakres procedury Zasady nadzoru nad połączeniami VPN, Ewidencja połączeń VPN, Warunki korzystania z VPN. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. Podstawa dokumentu Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526, 20 ust. 8 rozporządzenia), PN-ISO/IEC 27001: A.12.4; A.13.2, A.15.2; Działanie / odpowiedzialny Opis działania Dopuszczenie do połączeń zdalnych VPN Asystent ADO/ Nawiązywanie, zamykanie i ewidencja połączeń VPN Urząd umożliwia jednostkom zewnętrznym - świadcząca usługę nadzoru technicznego nad dostarczoną aplikacją - dostęp do wybranych aplikacji i baz danych systemu informatycznego przez tunel VPN. Każda z jednostek zewnętrznych, która korzysta z dostępu do zasobów Urzędu poprzez tunel VPN musi zostać zatwierdzona i wpisana do wykazu prowadzonego przez ABI. Wykaz powinien zawierać listę upoważnionych do nawiązywanie połączeń VPN pracowników jednostki zewnętrznej wraz z numerami telefonów. W przypadku zmian kadrowych w firmie zewnętrznej, ma ona obowiązek poinformowania o tym Urzędu. Udostępnianie połączenia w trybie zdalnym może odbywać się jedynie w godzinach wcześniej ustalonych z Urzędem. Przed każdą próbą nawiązania połączenia Jednostka zewnętrzna świadcząca nadzór nad aplikacją ma obowiązek skontaktowania się z Administratorem Systemu Informatycznego, celem uzgodnienia dostępu tunelem VPN. wraz z upoważnionym pracownikiem podmiotu zewnętrznego ustalają czas otwarcia tunelu, cel, szyfrowanie i inne elementy zabezpieczenia transmisji. otwiera tunel VPN na określony przedział czasowy, nie wykraczający po za godziny nadzoru nad systemem IT Urzędu. Każdorazowe uruchomienie tunelu VPN ewidencjonowane jest w dzienniku systemu informatycznego ( zal 6 P01). oraz upoważniony pracownik urzędu Połączenia VPN na potrzeby zdalnego nadzoru Asystent ADO/ Nawiązywanie połączeń VPN przez wszyscy pracownicy Urzędu Dokumenty związane Zamknięcie tunelu VPN następuje poprzez zgłoszenie firmy zewnętrznej o zakończeniu prac serwisowych lub po upłynięciu ustalonego czasu. W razie konieczności przedłużenia czasu otwarcia tunelu firma zewnętrzna zobowiązana jest zadzwonić do organizacji, na co najmniej 20 min. przed upływem ustalonego wcześniej czasu zamknięcia tunelu. Administrator Systemu Informatycznego może wykorzystywać tunele VPN do nadzorowania systemu informatycznego po godzinach pracy z dogodnej dla siebie lokalizacji, pod warunkiem, że logowanie nie odbędzie się z publicznych punktów dostępu do sieci Internet. Połączenie musi być odpowiednio zabezpieczone, a parametry dostępowe (loginy i hasła) zmieniane nie rzadziej niż co 30 dni i wykorzystywany system tokenowy do dodatkowej weryfikacji. Każde takie połączenie musi zostać zanotowane w dzienniku systemu informatycznego, nie później niż w następnym dniu roboczym po jego nawiązaniu. Pracownikom Urzędu zakazuje się samodzielnego (poza procedurą) uruchamiania programów i aplikacji, które nawiązują połączenia typu VPN. zal 7 P01 - Dziennik systemu informatycznego. P09-Procedury zarządzania SI, wyd.1 4 z 7

2. AUTORYZACJA NOWYCH URZĄDZEŃ DOPUSZCZANYCH DO SIECI TELEINFORMATYCZNEJ Zakres procedury Autoryzacja nowych urządzeń służących do przetwarzania informacji w systemie informatycznym Urzędu. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem Podstawa dokumentu Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526, 20 ust. 7 pkt. c) rozporządzenia), PN-ISO/IEC 27001: A.11.2; A.12.4; A.13.1; Działanie / odpowiedzialny Autoryzacja nowych urządzeń Proces autoryzacji Opis działania Autoryzacji podlegają wszystkie nowe modele urządzeń mające być użyte w sieci teleinformatycznej Urzędu. Autoryzacji podlega również sprzęt nie będący własnością Urzędu, służący do przetwarzania danych związanych z działalnością urzędu (sprzęt osobisty, powierzony przez podmioty zewnętrzne). Kontrola specyfikacji urządzenia, O ile zachodzi taka konieczność - testy urządzenia. Kontrola specyfikacji urządzenia Sprawdzenie, czy urządzenie posiada certyfikaty i homologacje wymagane na terenie kraju. Sprawdzenie, czy urządzenie spełnia wymagania techniczne dotyczące podłączenia go do infrastruktury urzędu (interfejsy sieciowe). Sprawdzenie, czy urządzenie spełnia wymagania bezpieczeństwa systemów oraz wymagania Polityki Bezpieczeństwa Informacji, zwłaszcza w zakresie sposobu zabezpieczenia systemu informatycznego przed działalnością oprogramowania, mającego na celu uzyskanie nieuprawnionego dostępu do systemu informatycznego Sprawdzenie, czy urządzenie posiada funkcjonalność umożliwiającą zastosowanie odpowiednich polityk dostępu. P09-Procedury zarządzania SI, wyd.1 5 z 7

3. ZARZĄDZANIE ZMIANAMI W SYSTEMACH TELEINFORMATYCZNYCH Zakres procedury Wprowadzanie i nadzorowanie zmian wprowadzanych do systemów informatycznych, Zmiana konfiguracji, funkcjonalności, kluczowych komponentów systemu informatycznego. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem Podstawa dokumentu Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526, 15 ust. 1 rozporządzenia), PN-ISO/IEC 27001:2013 : A.12.5; A.12.6; A.14.2; Działanie / odpowiedzialny Zasady ogólne wprowadzania zmian w systemie informatycznym Urzędu Opis działania Nie dopuszcza się zmian w aplikacjach / systemach operacyjnych, które nie są uwarunkowane względami bezpieczeństwa bądź istotną dla organizacji modyfikacją funkcjonalności. W sytuacji, gdy dokonywanie zmian stanowi czynność należącą do zakresu obowiązków pracownika i ma charakter powtarzalny (np. aktualizacja systemu operacyjnego serwera), pracownik samodzielnie podejmuje decyzję o wprowadzeniu zmiany, dokumentując czynności wpisem do dziennika SI (zal 6 P01), W przypadku stwierdzenia niekorzystnego wpływu zmian na funkcjonowanie systemów informatycznych, Administrator Systemu Informatycznego w porozumieniu z Administratorem Bezpieczeństwa Informacji niezwłocznie zarządza podjęcie działań mających na celu wyeliminowanie bądź minimalizację negatywnych skutków zmiany. Efektywność tych działań podlega bieżącemu monitorowaniu. Zapisy w dziennikach aplikacji/systemów, dotyczące wprowadzania zmian należy sporządzać w sposób umożliwiający łatwe i jednoznaczne ich powiązanie w ramach konkretnej zmiany. W przypadku, gdy zmiana skutkuje odmienną niż dotychczasowa konfiguracją stacji roboczej lub serwera, osoba odpowiedzialna za wprowadzenie zmiany niezwłocznie przekazuje informacje niezbędne dla aktualizacji dokumentacji stacji roboczej lub serwera. W przypadku, gdy zmiana skutkuje ingerencją w prawa dostępu do zasobów informacji, pracownik odpowiedzialny za zmianę uzgadnia możliwość jej wprowadzenia z właścicielami tych zasobów. P09-Procedury zarządzania SI, wyd.1 6 z 7

Testowanie zmian w aplikacjach i systemach w środowisku zapasowym Wprowadzanie zmian w aplikacjach oraz systemach operacyjnych powinno być poprzedzone próbną na maszynie testowej, na której odtworzono środowisko pracy stacji docelowej w niezbędnym zakresie. Funkcję stacji testowej może pełnić dowolna dostępna jednostka, po zapewnieniu bezpiecznego usunięcia z niej informacji i aplikacji po zrealizowanym teście. W przypadku, gdy z dostępnej wiedzy i doświadczenia przeprowadzającego test wynika, że ewentualny wpływ zmiany na środowisko pracy nie spowoduje utraty kontroli nad przebiegiem testu i nie wygeneruje innych zagrożeń dla bezpieczeństwa aktywów organizacji, przeprowadzający test może wykorzystać własną lub udostępnioną przez innego użytkownika stację roboczą, pod warunkiem uprzedniego zabezpieczenia przechowywanych na niej danych (backup), a jeśli wymagają tego względy zapewnienia ciągłości działania, wykonania obrazu systemu wraz z niezbędnymi aplikacjami, celem pełnego odtworzenia środowiska pracy w razie takiej konieczności. Wprowadzenie zmian jest dopuszczalne wyłącznie po wykluczeniu negatywnego wpływu zmiany zarówno na system/aplikację, jak i środowisko, na funkcjonowanie którego wpływa system/aplikacja poddana procesowi zmiany. W przypadku zmiany systemu operacyjnego serwera aplikacji/plików wymagane jest uprzednie przetestowanie współpracy tych aplikacji z nowym systemem. Dotyczy to także podniesienia aplikacji lub systemu do wyższej wersji. Wprowadzanie zmian do systemu informatycznego powinno być realizowane w sposób umożliwiający przywrócenie stanu wyjściowego przed zmianą. Warunki odstąpienia od procedury testowania zmian Nadzór nad realizacją oprogramowania dla Urzędu Od przeprowadzenia testu można odstąpić jedynie w przypadku, gdy autor zmiany dysponuje zapisem posiadającej odpowiednie kompetencje strony trzeciej, z którego jednoznacznie wynika, że wprowadzenie zmiany nie pociąga za sobą jakichkolwiek zagrożeń dla środowiska pracy, lub że wprowadzenie zmiany jest niezbędne ze względów bezpieczeństwa, a ewentualne zakłócenia w funkcjonowaniu systemu / aplikacji są zidentyfikowane i zagrożenia wynikające z nich są mniejsze niż koszty zaniechania wprowadzenia zmiany (dotyczy np. poprawek krytycznych systemów operacyjnych). Jeżeli wprowadzenie zmiany wiąże się z opracowaniem przez firmę zewnętrzną dedykowanego oprogramowania, Administrator Systemu Informatycznego zgodnie z odpowiednimi zapisami umowy wiążącej strony nadzoruje proces tworzenia oprogramowania. Nadzór nad pracami ma zapewnić, że zostały podjęte wszelkie niezbędne środki przewidziane umową, mające wpływ na zachowanie poufności w trakcie realizacji umowy, w szczególności w zakresie postępowania z informacjami istotnymi dla bezpieczeństwa organizacji. 4. HISTORIA DOKUMENTU Data / wydanie Opis zmiany 01.06.2016 / wyd. 1 Utworzenie dokumentu. P09-Procedury zarządzania SI, wyd.1 7 z 7

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres