Zintegrowany System Zarządzania Jakością PN-EN ISO 9001:2009 i wymagania SPZK. Bezpieczeństwo informacji

Podobne dokumenty
Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 27/2011 STAROSTY RAWSKIEGO. z dnia 27 lipca 2011 r.

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Rozdział I Zagadnienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM Wydanie IV W ZAKRESIE OCHRONY DANYCH OSOBOWYCH Strona/stron: 1/7

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

REGULAMIN. organizacji i przetwarzania danych osobowych.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

KAPITAŁ LUDZKI NARODOWA STRATEGIA SPÓJNOŚCI

Polityka bezpieczeństwa. Rozdział I Główne zasady bezpiecznego przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ SKARBEK W WAŁBRZYCHU

ZARZĄDZENIE NR 5/2016 WÓJTA GMINY MAŁKINIA GÓRNA. z dnia 2 lutego 2016 r.

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU POMOCY SPOŁECZNEJ W ŁAZACH

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

ZARZĄDZENIE NR 5$ PREZYDENTA MIASTA ZIELONA GÓRA. z dnia. J..lti & r.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Ochrona danych osobowych w biurach rachunkowych

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

I Postanowienia ogólne. II Rejestrowanie w systemie informatycznym

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Załącznik nr 7 do ogłoszenia

Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Żyrzyn

Regulamin korzystania z Portalu Narodowego Funduszu Zdrowia przez pracowników medycznych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Instrukcja Zarządzania Systemem Informatycznym

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

Rozdział I Zasady ogólne

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Polityka bezpieczeństwa ochrony i przetwarzania danych osobowych wraz z instrukcją zarządzania systemem informatycznym

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ZARZĄDZENIE NR 331/2015 PREZYDENTA MIASTA KIELCE. z dnia 24 sierpnia 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W KURATORIUM OŚWIATY W WARSZAWIE

Warszawa, dnia 9 lutego 2012 r. Poz. 8

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE MKPUBLIKACJE

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach

Transkrypt:

PN-EN ISO 9001:2009 i wymagania SPZK Nazwa procesu: Bezpieczeństwo informacji Stron: 18 Data wydania: 30 listopada 2015 r. Symbol procesu: PP-07 PROCEDURA Bezpieczne przetwarzanie danych w Jednostkach Administracji Rządowej w systemie Elektronicznego Zarządzania Dokumentacją (EZD) funkcjonującym w ramach infrastruktury Mazowieckiego Urzędu IMIĘ I NAZWISKO STANOWISKO Opracował Małgorzata Łada inspektor wojewódzki Sprawdził Akceptacja Pełnomocnika ds. ZSZJ wz. Monika Strachota starszy inspektor Uzgodnił Michał Lewandowski specjalista Uzgodnił

Zatwierdził Edyta Sznajder dyrektor BIR 1. Cel i zakres procedury Procedura ma na celu określenie jasnych i przejrzystych zasad korzystania oraz zarządzania systemem Elektronicznego Zarządzania Dokumentacją w Jednostkach Administracji Rządowej. Procedura ma na celu zapewnienie bezpieczeństwa danych przetwarzanych w systemie. Procedura swoim zakresem obejmuje wszystkie Jednostki Administracji Rządowej podległe Wojewodzie Mazowieckiemu, korzystające z systemu Elektronicznego Zarządzania Dokumentacją, funkcjonującym. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 2/18 2. Cel procesu/podprocesu Celem procesu jest zapewnienie prawidłowego funkcjonowania Jednostek Administracji Rządowej podległych Wojewodzie Mazowieckiemu. Celem podprocesu jest ograniczenie ryzyka utraty bezpieczeństwa, poufności, autentyczności oraz integralności danych przetwarzanych w systemie Elektronicznego Zarządzania Dokumentacją. 3. Stosowane określenia ASI (Administrator Systemu Informatycznego) - pracownik Mazowieckiego Urzędu wyznaczony przez dyrektora BIR, posiadający upoważnienie do przetwarzania danych w JAR, odpowiedzialny za wspieranie LASI w administrowaniu i wdrożeniu zasad bezpieczeństwa informacji przetwarzanych w systemie EZD w JAR.

w szczególności w ramach zależności służbowej. BIR - Biuro Informatyki i Rozwoju Systemów Informatycznych Mazowieckiego Urzędu. epuap (elektroniczna Platforma Usług Administracji Publicznej) ogólnopolska platforma teleinformatyczna służąca do komunikacji obywateli z jednostkami administracji publicznej w ujednolicony, standardowy sposób. EZD system elektronicznego zarządzania dokumentacją, umożliwiający zarządzanie obiegiem dokumentacji w JAR. JAR jednostka administracji rządowej przetwarzająca w ramach powierzonych zadań informacje w systemie EZD. Kierujący JAR kierownicy zespolonych służb, inspekcji i straży wojewódzkich. LASI (Lokalny Administrator Systemu Informatycznego) - pracownik JAR, wyznaczony przez osobę kierującą JAR, odpowiedzialny za administrowanie systemem EZD, wdrożenie i stosowanie zasad bezpieczeństwa informacji przetwarzanych w systemie EZD w JAR. Podatność systemu informatycznego wada systemu lub sprzętu informatycznego, która może być wykorzystana do wyrządzenia szkody w systemie lub danych przetwarzanych przez system. Procedura procedura bezpiecznego przetwarzania danych i zarządzania systemem Elektronicznego Zarządzania Dokumentacją (EZD) w Jednostkach Administracji Rządowej posiadających własny serwer systemu EZD. Uprawnienia podstawowe uprawnienia wynikające z danego stanowiska pracy. Uprawnienia zaawansowane uprawnienia rozszerzone, niewynikające z danego stanowiska pracy. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 3/18 Bezpośredni przełożony pracownik JAR koordynujący działania użytkownika,

realizowania zadań na rzecz JAR. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 4/18 Użytkownik osoba zatrudniona w JAR, korzystająca z systemu EZD w ramach 4. Odpowiedzialności i uprawnienia 4.1. Kierujący JAR odpowiada za: 1) wdrożenie i stosowanie procedury w JAR; 2) występowanie do dyrektora BIR z wnioskiem o nadanie uprawnień do pełnienia funkcji LASI EZD w JAR. 4.2. Bezpośredni przełożony odpowiada za: 1) występowanie do LASI z wnioskiem o nadanie, modyfikację lub odwołanie uprawnień do przetwarzania danych w systemie EZD; 2) zapoznanie użytkowników z procedurą. 4.3. Dyrektor BIR odpowiada za: 1) przekazanie do ASI wniosku o nadanie i odwołanie uprawnień do pełnienia funkcji LASI EZD w JAR; 2) nadzorowanie pracy ASI. 4.4. ASI odpowiada za: 1) wspieranie LASI w zakresie rozwiązań praktycznych związanych z: wdrożeniem i stosowaniem zasad bezpieczeństwa informacji przetwarzanych w systemie EZD w JAR, monitorowanie poziomu bezpieczeństwa i poprawności działania systemu EZD; 2) reagowanie na incydenty zgłaszane przez LASI;

w JAR; 4) wykonywanie kopii bezpieczeństwa systemu EZD; 5) wgrywanie raportów i rejestrów; 6) instalowanie aktualizacji systemu EZD; 7) przeglądanie logów systemowych i analizowanie przyczyn powstania zdarzeń wskazujących na błędy w systemie lub konfiguracji; 8) monitorowanie działania usług i dostępności zasobów niezbędnych do prawidłowego i efektywnego działania systemu EZD; 9) podejmowanie działań dążących do poprawy wydajności systemu EZD jeśli obecna jest niewystarczająca. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 5/18 3) prowadzenie ewidencji incydentów naruszenia bezpieczeństwa systemu EZD 4.5. LASI odpowiada za: 1) wdrożenie i stosowanie zasad bezpieczeństwa informacji przetwarzanych w systemie EZD w JAR; 2) nadawanie, modyfikowanie i odbieranie uprawnień w systemie EZD; 3) zarządzanie raportami i rejestrami; 4) prowadzenie ewidencji wniosków o nadanie, modyfikację i odwołanie uprawnień do przetwarzania danych w systemie EZD; 5) reagowanie na zgłaszane incydenty; 6) prowadzenie ewidencji incydentów naruszenia bezpieczeństwa systemu EZD w JAR; 7) monitorowanie poziomu bezpieczeństwa i poprawności działania systemu EZD; 8) informowanie ASI o wszystkich incydentach związanych z bezpieczeństwem systemu EZD.

PN-EN ISO 9001:2009 i wymagania SPZK Stron: 6/18 4.6. Użytkownik systemu EZD w JAR odpowiada za: 1) zapoznanie się z procedurą oraz przestrzeganie jej postanowień. 5. Opis przebiegu procesu 5.1. Wejście i wyjście Wejście - zasoby systemu EZD. Wyjście - bezpieczne, poufne, autentyczne i integralne dane przetwarzane w systemie EZD użytkowanym i zarządzanym przez JAR. 5.2. Opis działań 5.2.1. Zasady ogólne 1. Procedura ma zastosowanie tylko dla tych obszarów, w których w JAR nie występują wewnętrzne regulacje. 2. Dostęp do przetwarzania danych w systemie EZD mogą posiadać wyłącznie użytkownicy posiadający ważne upoważnienie do przetwarzania danych osobowych, nadane zgodnie z procedurą obowiązującą w JAR. 3. Dostęp do przetwarzania danych w systemie EZD możliwy jest wyłącznie po nadaniu uprawnień. 4. Uprawnienia do przetwarzania danych w systemie EZD w JAR nadawane są wyłącznie w przypadku, gdy dostęp do systemu jest niezbędny w związku z wykonywaniem zadań służbowych. 5.2.2 Dostęp do systemu EZD

5.2.2.1 Nadawanie uprawnień 1. Bezpośredni przełożony: wnioskuje do LASI o nadanie uprawnień do przetwarzania danych w systemie 2. LASI: EZD poprzez wypełnienie wniosku i przekazanie go w formie dokumentu elektronicznego za pośrednictwem systemu EZD. Wzór wniosku o nadanie uprawnień stanowi załącznik nr 1 do procedury. przyjmuje wniosek; weryfikuje wniosek pod względem formalnym (w przypadku stwierdzenia nieprawidłowości zwraca go do nadawcy z adnotacją dotyczącą nieprawidłowości); nadaje uprawnienia; rejestruje nadane uprawnienia i wpisuje je do ewidencji wniosków o nadanie, modyfikację i odwołanie uprawnień do przetwarzania danych w systemie EZD. Wzór ewidencji stanowi załącznik nr 4 do procedury. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 7/18 5.2.2.2 Modyfikowanie uprawnień 1. Bezpośredni przełożony w przypadku konieczności zmiany uprawnień użytkownika do systemu EZD: 2. LASI: wnioskuje do LASI o modyfikację uprawnień poprzez wypełnienie wniosku i przekazanie go w formie dokumentu elektronicznego za pośrednictwem systemu EZD. Wzór wniosku o modyfikację uprawnień stanowi załącznik nr 2 do procedury. przyjmuje wniosek;

Mazowiecki Urząd weryfikuje wniosek pod względem formalnym (w przypadku stwierdzenia nieprawidłowości zwraca go do nadawcy z adnotacją dotyczącą nieprawidłowości); PN-EN ISO 9001:2009 i wymagania SPZK Stron: 8/18 modyfikuje uprawnienia; rejestruje modyfikację uprawnień i wpisuje je do ewidencji wniosków o nadanie, modyfikację i odwołanie uprawnień do przetwarzania danych w systemie EZD. Wzór ewidencji stanowi załącznik nr 4 do procedury. 5.2.2.3 Odwoływanie uprawnień 1. Bezpośredni przełożony w przypadku rozwiązania stosunku pracy lub ustania przyczyny, dla której zostały wydane uprawnienie dla użytkownika. wnioskuje do LASI o odwołanie uprawnień poprzez wypełnienie wniosku i przekazanie go w formie dokumentu elektronicznego za pośrednictwem systemu EZD. Wzór wniosku o odwołanie uprawnień stanowi załącznik nr 3 do niniejszej procedury. 2. LASI: przyjmuje wniosek; weryfikuje wniosek pod względem formalnym (w przypadku stwierdzenia nieprawidłowości zwraca go do nadawcy z adnotacją dotyczącą nieprawidłowości); odwołuje uprawnienia; rejestruje odwołane uprawnienie i wpisuje je do ewidencji wniosków o nadanie, modyfikację i odwołanie uprawnień do przetwarzania danych w systemie EZD. Wzór ewidencji stanowi załącznik nr 4 do procedury.

może zostać zastąpiony dokumentem typu obiegówka. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 9/18 Uwaga: W przypadku rozwiązania stosunku pracy, wniosek o odwołanie uprawnień 5.2.3 Korzystanie z systemu EZD 5.2.3.1 Informacje ogólne 1. Użytkownik może wykorzystywać system EZD wyłącznie w celu prawidłowego realizowania powierzonych zadań służbowych. 2. Użytkownik może korzystać z systemu EZD wyłącznie po uwierzytelnieniu własnym identyfikatorem i hasłem. 3. Hasła do komputerów i systemu informatycznego tworzone są zgodnie z następującymi zaleceniami: długość hasła co najmniej 8 znaków; hasło powinno zawierać znaki z co najmniej 3 grup: a. cyfry, b. duże litery, c. małe litery, d. znaki specjalne (!@#$%^&*?...); hasło nie może zawierać prostych sekwencji klawiszy, np: qwerty123, itp.; hasło nie może mieć takiej samej składni jak identyfikator; hasło nie może zawierać ciągów znaków związanych z użytkownikiem, takich jak: imię, nazwisko, pseudonim, stanowisko, adres, imię partnera, dziecka, itp.; hasło musi być zmieniane co 30 dni; hasło nie może być takie same jak poprzednio używane. 4. Użytkownik nie może przekazywać swoich haseł dostępu do systemu EZD oraz pinu do podpisu elektronicznego.

otrzymywanych z wykorzystaniem systemu EZD. W przypadku stwierdzenia niepoprawności danych należy niezwłocznie zawiadomić osobę, od której dane zostały otrzymane. 6. Użytkownik zobowiązany jest do zwrócenia szczególnej uwagi na poprawność danych wprowadzanych do systemów informatycznych. W przypadku, gdy dane mające istotny wpływ na przebieg sprawy zostały wprowadzone do systemu w sposób niepoprawny, należy je niezwłocznie poprawić. Jeżeli jest to niemożliwe, należy o zaistniałej sytuacji niezwłocznie powiadomić bezpośredniego przełożonego sporządzając notatkę w EZD. 7. Zabronione jest przechowywanie i przetwarzanie w systemie EZD danych, które naruszają prawo własności intelektualnej. 8. Zabronione jest przekazywanie osobom nieupoważnionym informacji o charakterze technicznym. 9. W przypadku, gdy wymagane jest opatrzenie przesyłanego dokumentu bezpiecznym podpisem elektronicznym w rozumieniu art. 3 ustawy z dnia 18 września 2001 roku o podpisie elektronicznym, dokument opatrywany jest podpisem elektronicznym przez osobę upoważnioną z wykorzystaniem karty kryptograficznej przypisanej do tej osoby. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 10/18 5. Użytkownik zobowiązany jest zwracać szczególną uwagę na poprawność danych 10. Należy zabezpieczyć (ograniczyć) dostęp do kluczy prywatnych certyfikatów autoryzujących, wykorzystywanych przez system EZD w komunikacji z epuap oraz odpowiednio zabezpieczyć otrzymane pliki certyfikatów z Centrum Certyfikacji Ministerstwa Administracji i Cyfryzacji, aby uniemożliwić ich wykorzystanie przez osoby nieuprawnione. Dostęp do kluczy prywatnych certyfikatu autoryzującego

epuap. 11. Zgłoszenia dotyczące problemów lub rozwoju systemu EZD mogą być dokonywane wyłącznie przez członków zespołów wdrożeniowych JAR lub LASI, za pośrednictwem systemu OTRS, na adres email: helpdesk@mazowieckie.pl. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 11/18 powoduje jednoczesny dostęp do kontekstu bezpieczeństwa podmiotu urzędu na 5.2.3.2 Bezpieczeństwo i poufność danych w systemie EZD 1. Użytkownik zobowiązany jest korzystać z systemu EZD w sposób minimalizujący ryzyko utraty danych. 2. Użytkownik zobowiązany jest do podjęcia niezbędnych działań w celu zabezpieczenia przetwarzanych danych w systemie EZD przed dostępem osób nieupoważnionych. 3. Użytkownik jest zobowiązany do poinformowania LASI o wszystkich wątpliwościach i nieprawidłowościach w działaniu systemu EZD. 4. Wygaszacz ekranu komputera, na którym użytkowany jest system EZD należy skonfigurować w ten sposób, aby automatycznie były wygaszane i blokowane po upływie maksymalnie 15 minut nieaktywności użytkownika. 5. W pomieszczeniach, do których mają dostęp osoby nieupoważnione do przetwarzania danych w systemie EZD, monitory należy ustawić w sposób uniemożliwiający dostęp do danych osobom nieupoważnionym. 6. Każda jednostka (stacja robocza, serwer) powinna posiadać oprogramowanie typu anty-wirus zabezpieczające przed wirusami i innymi atakami. Oprogramowanie antywirus powinno być aktualizowane na bieżąco. 7. Infrastruktura serwerów i stacji roboczej powinna być kontrolowana przez kontroler domeny JAR.

5.2.3.3 Zgłaszanie podatności i informacji o incydentach PN-EN ISO 9001:2009 i wymagania SPZK Stron: 12/18 1. Użytkownik zobowiązany jest poinformować przełożonego w formie ustnej oraz LASI zgodnie z wewnętrznymi regulacjami w JAR o wszystkich: awariach systemu EZD; zaobserwowanych nieprawidłowościach w działaniu systemu; podejrzanych plikach w systemie; stwierdzeniach nieuzasadnionej modyfikacji lub utraty danych; stwierdzeniach lub podejrzenia nieupoważnionego dostępu do systemu; zaobserwowanych podatnościach systemu. 2. Zabronione jest samodzielne testowanie podatności systemu. 3. Użytkownik zgłaszający zaobserwowane podejrzenia zobowiązany jest do powstrzymania się od dalszego korzystania z systemu do czasu wyjaśnienia incydentu jeśli dalsza praca mogłaby utrudnić wyjaśnienie przyczyn incydentu. 4. LASI informuje ASI o wszystkich podatnościach i incydentach za pośrednictwem systemu OTRS, na adres email: helpdesk@mazowieckie.pl. 5.2.3.4 Zawieszanie i kończenie pracy w systemie EZD 1. Użytkownik w przypadku konieczności przerwania pracy w systemie EZD zobowiązany jest do przedsięwzięcia właściwych kroków w celu uniemożliwienia osobom nieupoważnionym dostępu do systemu: w przypadku, gdy ze sprzętu informatycznego korzysta jeden użytkownik, zobowiązany jest on do zablokowania dostępu do systemu operacyjnego wykorzystywanego sprzętu informatycznego oraz upewnienia się, że przetwarzane dane nie są widoczne na ekranie urządzenia;

Mazowiecki Urząd PN-EN ISO 9001:2009 i wymagania SPZK Stron: 13/18 w przypadku, gdy ze sprzętu informatycznego korzysta wielu użytkowników, osoba opuszczająca stanowisko pracy z systemem informatycznym zobowiązana jest do wylogowania się z systemu operacyjnego. 2. Użytkownik w przypadku zakończenia przetwarzania danych w systemie EZD zobowiązany jest do wylogowania się z systemu. 3. Po opuszczeniu pomieszczenia przez wszystkie osoby upoważnione do przetwarzania danych w systemie EZD, użytkownik zobowiązany jest zamknąć pomieszczenie. 5.2.4 Administrowanie systemem EZD w JAR 5.2.4.1 Nadawanie uprawnień do pełnienia funkcji LASI EZD w JAR 1. Kierujący JAR: wnioskuje do dyrektora BIR o nadanie uprawnień do pełnienia funkcji LASI systemu EZD zarządzanego przez JAR, poprzez przekazanie w formie dokumentu elektronicznego w EZD, za pośrednictwem e-puap wypełnionego i podpisanego wniosku. Wzór wniosku o nadanie uprawnień stanowi załącznik nr 5 do procedury. 2. Dyrektor BIR: przekazuje w EZD wniosek do ASI. 3. ASI: przyjmuje wniosek; weryfikuje wniosek pod względem formalnym (w przypadku stwierdzenia nieprawidłowości zwraca go do nadawcy z adnotacją dotyczącą nieprawidłowości); nadaje uprawnienia;

Mazowiecki Urząd PN-EN ISO 9001:2009 i wymagania SPZK Stron: 14/18 rejestruje nadane uprawnienia i wpisuje je do ewidencji wniosków o nadanie i odwołanie uprawnień do pełnienia funkcji LASI systemu EZD w JAR; wzór ewidencji stanowi załącznik nr 7 do procedury. 5.2.4.2. Odwołanie uprawnień do pełnienia funkcji LASI EZD w JAR 1. Osoba kierująca JAR w przypadku rozwiązania stosunku pracy lub ustania przyczyny dla której zostały wydane uprawnienia do pełnienia funkcji LASI: wnioskuje do dyrektora BIR o odwołanie uprawnień do pełnienia funkcji LASI systemu EZD zarządzanego przez JAR, poprzez wypełnienie wniosku w formie dokumentu elektronicznego w EZD i przekazanie go za pośrednictwem e-puap. Wzór wniosku o odwołanie uprawnień stanowi załącznik nr 6 do procedury. 3. Dyrektor BIR: przekazuje w EZD wniosek do ASI. 3. ASI: przyjmuje wniosek; weryfikuje wniosek pod względem formalnym (w przypadku stwierdzenia nieprawidłowości zwraca go do nadawcy z adnotacją dotyczącą nieprawidłowości); odwołuje uprawnienia; rejestruje odwołane uprawnienia i wpisuje je do ewidencji wniosków o nadanie i odwołanie uprawnień do pełnienia funkcji LASI systemu EZD w JAR; wzór ewidencji stanowi załącznik nr 7 do procedury. 5.2.4.3. Postępowanie z incydentami LASI jest zobowiązany:

Mazowiecki Urząd PN-EN ISO 9001:2009 i wymagania SPZK Stron: 15/18 podejmować natychmiastową reakcję na zaobserwowane nieprawidłowości w działaniu systemu EZD i sprzętu informatycznego zagrażające bezpieczeństwu danych przetwarzanych w systemie EZD; podejmować natychmiastową reakcję na zgłoszone przez użytkowników incydenty i nieprawidłowości; prowadzić ewidencję wszystkich zaobserwowanych i zgłaszanych przez użytkowników incydentów. Wzór ewidencji stanowi załącznik nr 8 do procedury; poinformować ASI za pośrednictwem systemu OTRS o wszystkich incydentach związanych z bezpieczeństwem systemu EZD. W tym celu wysyła wiadomość email na adres: helpdesk@mazowieckie.pl lub przekazuje informacje drogą telefoniczną na nr: (22) 695 62 29. 5.3. Nadzorowanie procesu Osoba kierująca JAR zobowiązana jest nadzorować stosowanie zasad zawartych w procedurze. Dyrektor BIR nadzoruje proces nadawania i odwoływania uprawnień do pełnienia funkcji LASI EZD w JAR w części dotyczącej ASI. 5.4. Pomiary i monitorowanie procesu Dyrektor Biura Informatyki i Rozwoju Systemów Informatycznych dokonuje pomiaru systemu poprzez analizę ewidencji incydentów w systemie EZD zarządzanym przez JAR. Analizie poddawana jest częstotliwość występowania incydentów oraz czas ich naprawy. JAR zobowiązany jest do zapewnienia właściwego poziomu bezpieczeństwa, poprzez stosowanie niniejszej procedury.

danych do Mazowieckiego Urzędu. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 16/18 W przypadku funkcjonujących innych zapisów, JAR zobowiązany jest do przesłania 5.5. Ocena skuteczności procesu Raz w roku przed przeglądem zarządzania dyrektor Biura Informatyki i Rozwoju Systemów Informatycznych w oparciu o wyniki realizacji określonych celów przeprowadza ocenę skuteczności procesu. Wyniki realizacji celów wraz z propozycjami działań doskonalących przedstawiane są na przeglądzie zarządzania. 6. Zapisy z procesu Lp. 1. 2. 3. 4. Rodzaj zapisu Wniosek o nadanie uprawnień do przetwarzania danych w systemie EZD w JAR Wniosek o modyfikację uprawnień do przetwarzania danych w systemie EZD w JAR Wniosek o odwołanie uprawnień do przetwarzania danych w systemie EZD w JAR Ewidencja wniosków o nadanie, modyfikację i odwołanie uprawnień do przetwarzania danych w systemie EZD w JAR Zapisy Pkt trybu postępowania Miejsce przechowywania/osoba odpowiedzialna 5.2.2.1 LASI w systemie EZD 5.2.2.2 LASI w systemie EZD 5.2.2.3 LASI w systemie EZD 5.2.2.4 LASI w systemie EZD Czas przechowywania Zgodnie z jednolitym rzeczowym wykazem akt Zgodnie z jednolitym rzeczowym wykazem akt Zgodnie z jednolitym rzeczowym wykazem akt Zgodnie z jednolitym rzeczowym wykazem akt

5. 6. 7. 8. Wniosek o nadanie uprawnień do pełnienia funkcji Lokalnego Administratora Systemu Informatycznego EZD w Jednostce Administracji Rządowej Wniosek o odwołanie uprawnień do pełnienia funkcji Lokalnego Administratora Systemu Informatycznego EZD w Jednostce Administracji Rządowej Ewidencja wniosków o nadanie i odwołanie uprawnień do pełnienia funkcji Lokalnego Administratora Systemu Informatycznego EZD w Jednostce Administracji Rządowej Ewidencja zgłoszonych incydentów w systemie EZD w JAR 5.2.4.1.1 ASI w systemie EZD 5.2.4.1.2 ASI w systemie EZD 5.2.4.1.3 ASI w systemie EZD 5.2.3.3 LASI w systemie EZD PN-EN ISO 9001:2009 i wymagania SPZK Stron: 17/18 Zgodnie z jednolitym rzeczowym wykazem akt Zgodnie z jednolitym rzeczowym wykazem akt Zgodnie z jednolitym rzeczowym wykazem akt Zgodnie z jednolitym rzeczowym wykazem akt 7. Załączniki Nr 1 - Wzór wniosku o nadanie uprawnień do przetwarzania danych w systemie EZD w JAR; Nr 2 - Wzór wniosku o modyfikację uprawnień do przetwarzania danych w systemie EZD w JAR; Nr 3 - Wzór wniosku o odwołanie uprawnień do przetwarzania danych w systemie EZD w JAR; Nr 4 - Wzór ewidencji wniosków o nadanie, modyfikację i odwołanie uprawnień do przetwarzania danych w systemie EZD w JAR; Nr 5 - Wzór wniosku o nadanie uprawnień do pełnienia funkcji LASI EZD w JAR;

Nr 7 - Wzór ewidencji wniosków o nadanie i odwołanie uprawnień do pełnienia funkcji LASI EZD w JAR; Nr 8 - Wzór ewidencji zgłoszonych incydentów w systemie EZD w JAR. 8. Dokumenty związane Brak. 9. Rejestr zmian Brak. PN-EN ISO 9001:2009 i wymagania SPZK Stron: 18/18 Nr 6 - Wzór wniosku o odwołanie uprawnień do pełnienia funkcji LASI EZD w JAR;

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres