ZARZĄDZANIE INCYDENTAMI DZIAŁANIA KORYGUJĄCE

Podobne dokumenty
PLAN CIĄGŁOŚCI DZIAŁANIA NA WYPADEK DYSFUNKCJI SYSTEMU INFORMATYCZNEGO

PROCEDURA. Działania korygujące i zapobiegawcze DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE. Imię i Nazwisko Małgorzata Reszka Paweł Machnicki Marcin Pawlak

PROCEDURA NR 8.2 TYTUŁ: DZIAŁANIA KORYGUJĄCE

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Zarządzenie Nr 458/2009 Prezydenta Miasta Kalisza z dnia 21 października 2009 r.

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZNIA NADZÓR NAD USŁUGĄ NIEZGODNĄ DZIAŁANIA KORYGUJĄCE/ ZAPOBIEGAWCZE

Polityka Bezpieczeństwa Teleinformatycznego

Procedura: Postępowanie Z Niezgodnością, Działania Korygujące I Zapobiegawcze

NS-01 Procedura auditów wewnętrznych systemu zarządzania jakością

Procedura: Postępowanie Z Niezgodnością, Działania Korygujące I Zapobiegawcze

System Zarządzania Jakością wg PN EN ISO 9001:2009. Procedura Pr/8/1 WEWNĘTRZNY AUDIT JAKOŚCI, DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE

PROCEDURA DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE. Urząd Miejski w Konstantynowie Łódzkim. Spis treści. 1. Cel procedury Miernik procedury...

PROCEDURA NR 8.3 TYTUŁ: DZIAŁANIA ZAPOBIEGAWCZE

System Zarządzania Jakością wg PN EN ISO 9001:2009. Procedura Pr/8/1 WEWNĘTRZNY AUDIT JAKOŚCI, DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZNIA NADZÓR NAD USŁUGĄ NIEZGODNĄ DZIAŁANIA KORYGUJĄCE/ ZAPOBIEGAWCZE

WEWNĘTRZNY AUDIT JAKOŚCI, DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE

EGZEMPLARZ NR: INDEKS Ps-05 EDYCJA 1 STRONA 1 URZĄD MIASTA JEDLINA - ZDRÓJ DZIAŁANIA ZAPOBIEGAWCZE. Opracował: Pełnomocnik ds. Jakości.

Państwowa Wyższa Szkoła Zawodowa w Elblągu KSIĘGA JAKOŚCI

Postępowanie z usługą niezgodną. Działania korygujące i zapobiegawcze.

Procedura: Ocena Systemu Zarządzania

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE P-03/05/III

Procedura PSZ 4.11_4.12 DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE

WEWNĘTRZNY AUDIT JAKOŚCI, DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE

SYSTEM ZARZĄDZANIA JAKOŚCIĄ

PROCEDURA. Działania korygujące i zapobiegawcze

Procedura jest stosowana przy planowaniu, realizacji i dokumentowaniu działań korygujących i zapobiegawczych we wszystkich KO.

Symbol: PU3. Data: Procedura. Strona: 1/5. Wydanie: N2 AUDYT WEWNĘTRZNY PU3 AUDYT WEWNĘTRZNY

Działania korekcyjne, korygujące i zapobiegawcze oraz nadzór nad niezgodnościami

ZARZĄDZENIE NR 21/2015 BURMISTRZA MIASTA WĄGROWCA z dnia 02 lutego 2015 r. w sprawie wprowadzenia Księgi Procedur Audytu Wewnętrznego

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Zarządzenie Nr W ojewody Dolnośląskiego z dnia sierpnia 2016 r.

Polityka Systemu Zarządzania Bezpieczeństwem Informacji

Zarządzenie Nr 119/2008 Burmistrza Miasta Czeladź. z dnia 29 maja 2008r

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

Poziom 1 DZIAŁANIA DOSKONALĄCE Data:

DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE

Procedura Działania korygujące Starostwa Powiatowego w Lublinie

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Procedura auditów wewnętrznych i działań korygujących

Egzamin za szkolenia Audytor wewnętrzny ISO nowy zawód, nowe perspektywy z zakresu normy ISO 9001, ISO 14001, ISO 27001

2.0. ZAKRES PROCEDURY Procedura swym zakresem obejmuje wszystkie wydziały i biura Urzędu Miasta Szczecin.

INSTRUKCJA NR QI/5.6/NJ

Agencja Inicjatyw Gospodarczych S.A. ul. Obwodnica Tarnowskie Góry

Dokument dostępny w sieci kopia nadzorowana, wydruk kopia informacyjna

ZARZĄDZENIE NR 109/2016/K BURMISTRZA GMINY KĘTY. z dnia 1 czerwca 2016 r.

KARTA PROCESU KP/09/01

Procedura: Ocena Systemu Zarządzania

WPROWADZENIE ZMIAN - UAKTUALNIENIA

Regulamin v korzystania z RMA.GAMP.PL

Zapytanie ofertowe nr OR

PROCEDURA Szkolenia i kwalifikacje SZKOLENIA I KWALIFIKACJE

Przegląd systemu zarządzania jakością

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA. OiSO DZIAŁANIA KOREKCYJNE, KORYGUJĄCE I ZAPOBIEGAWCZE ORAZ NADZÓR NAD NIEZGODNOŚCIAMI

Procedura PSZ 4.9 NADZOROWANIE NIEZGODNYCH Z WYMAGANIAMI BADAŃ

REGULAMIN ZARZĄDZANIA INCYDENTAMI

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

SYSTEM ZARZĄDZANIA JAKOŚCIĄ

Rozpatrywanie reklamacji, skarg i odwołań

KSIĘGA JAKOŚCI 8 POMIARY, ANALIZA I DOSKONALENIE. Państwowa WyŜsza Szkoła Zawodowa w Elblągu. 8.1 Zadowolenie klienta

PROCEDURY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Instrukcja Postępowania w Sytuacji Naruszeń. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

SYSTEM ZARZĄDZANIA JAKOŚCIĄ PN-EN ISO 9001:2009

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

ICR Polska Sp. z o.o.

Procedura Audity wewnętrzne Starostwa Powiatowego w Lublinie

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Audyty wewnętrzne Nr:

Rozdział I Zagadnienia ogólne

KARTA PROCESU VII.00.00/02 SYSTEM ZARZĄDZANIA JAKOŚCIĄ. LIDERZY PROCESU SEKRETARZ WOJEWÓDZTWA PEŁNOMOCNIK ds. SYSTEMU ZARZĄDZANIA JAKOŚCIĄ

Numer dokumentu: PRC/DSJ/AW. Sprawdził / Zatwierdził : Tomasz Piekoszewski

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

PROCEDURA SYSTEMU ZARZĄDZANIA JAKOŚCIĄ VI.01.00/01 NADZÓR NAD DOKUMENTACJĄ I ZAPISAMI. Lider procedury: Jerzy Pawłowski

Polityka Bezpieczeństwa Fizycznego

SYSTEM ZARZĄDZANIA JAKOŚCIĄ

010 - P3/01/10 AUDITY WEWNĘTRZNE SYSTEMU ZARZĄDZANIA JAKOŚCIĄ

DZIAŁANIA KORYGUJĄCE I ZAPOBIEGAWCZE

SYSTEM ZARZĄDZANIA JAKOŚCIĄ PN-EN ISO9001:2009 Nadzoru nad Produktem Niezgodnym w Urzędzie Gminy Łukta

Księga Jakości. Zawsze w zgodzie z prawem, uczciwie, dla dobra klienta

Szkolenie otwarte 2016 r.

Uchwała wchodzi w życie z dniem uchwalenia.

HARMONOGRAM SZKOLENIA

Krzysztof Świtała WPiA UKSW

DOSTĘP DO INFORMACJI PUBLICZNEJ

Urząd Miejski w Przemyślu

II. Organizacja audytu wewnętrznego w AM

ARKUSZ SAMOOCENY KONTROLI ZARZĄDCZEJ URZĘDU GMINY I MIASTA NOWE SKALMIERZYCE

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Polityka Zarządzania Ryzykiem

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

SYSTEM ZARZĄDZANIA JAKOŚCIĄ PN-EN ISO 9001:2009 Procedura auditów wewnętrznych i działań korygujących PN EN ISO 9001:2009

Postępowanie ze skargami

Procedura PSZ 4.15 PRZEGLĄDY ZARZĄDZANIA

Strona: 1 z 5 PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA. OiSO AUDYTY WEWNĘTRZNE

System Zarządzania Jakością wg PN EN ISO 9001:2009. Procedura Pr/7/6 DOSTĘP DO INFORMACJI PUBLICZNEJ. Oryginał Obowiązuje od: r. Nr egz.

PROCEDURA POSTĘPOWANIA NA WYPADEK POGORSZENIA SIĘ JAKOŚCI WODY PRZEZNACZONEJ DO SPOŻYCIA PRZEZ LUDZI NA TERENIE MIASTA ŚWIEBODZICE

PROCEDURA ORGANIZACYJNA

Warszawa, dnia 16 marca 2015 r. Poz. 5 ZARZĄDZENIE NR 5 PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO. z dnia 16 marca 2015 r.

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA PRZEGLĄD ZARZĄDZANIA P-03/02/III

Transkrypt:

Urząd Gminy Kęty Dokument Systemu Zarządzania Bezpieczeństwem Informacji ZARZĄDZANIE INCYDENTAMI DZIAŁANIA KORYGUJĄCE ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Nr dokumentu: P03 Data wydania: 01.06.2016 rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym Ustawa z dnia 29.08.1997 o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm), Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526). PN/ISO 27001:2014 10 Kontroli Zarządczej Standard D16; E19; E.21 P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 1 z 6

P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 2 z 6

Spis treści 1. NADZÓR NAD NIEZGODNOŚCIAMI ORAZ INCYDENTAMI BEZPIECZEŃSTWA INFORMACJI... 4 1.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji... 4 1.2. Rozpoznanie incydentu... 4 1.3. Ograniczanie skutków incydentu działania korygujące... 5 1.4. Rejestracja incydentu, podjęcie działań zapobiegawczych... 5 2. DZIAŁANIA KORYGUJĄCE I DZIAŁANIA ZAPOBIEGAWCZE... 6 2.1. Inicjowanie działań korygujących i/ lub zapobiegawczych... 6 2.2. Wszczęcie działań korygujących i/ lub zapobiegawczych... 6 2.3. Planowanie i prowadzenie działań korygujących i/ lub zapobiegawczych... 6 2.4. Zakończenie działań korygujących i/ lub zapobiegawczych... 6 3. HISTORIA DOKUMENTU... 6 P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 3 z 6

1. NADZÓR NAD NIEZGODNOŚCIAMI ORAZ INCYDENTAMI BEZPIECZEŃSTWA INFORMACJI Cel procedury Zakres procedury Podstawa dokumentu Działanie / odpowiedzialny 1.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji / Każdy pracownik UG Kęty 1.2. Rozpoznanie incydentu / ADO oraz AsADO lub ASI Celem Procedury jest przedstawienie reguł dotyczących zarządzania incydentami w Urzędzie Gminy Kęty. Procedura obowiązuje wszystkich pracowników w Urzędu. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. KZ:D.16; E.19; E.21; PN-ISO/IEC 27001:2014: 10; PN-EN ISO 9001:2009 :8.3; 8.5.2; 8.5.3; Opis działania wejście : zaistnienie zdarzenia związanego z bezpieczeństwem informacji Każdy pracownik ma obowiązek zgłosić wszelkie zdarzenia mogące naruszyć bezpieczeństwo zasobów i informacji przetwarzanych w organizacji. Katalog sytuacji mogących stanowić incydent bezpieczeństwa opisany jest w dokumencie Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Zgłoszenie może nastąpić drogą ustną, mailową lub pismem do ADO, AsADO lub ASI. W przypadku powiadomień ustnych spisywana jest notatka, która jest później przedstawiana do podpisania przez pracownika zgłaszającego. ASI ma obowiązek zareagowania na automatyczne powiadomienia systemu teleinformatycznego generowanego przez moduł wykrywania włamań i innych zdarzeń związanych z bezpieczeństwem informacji. W przypadku powierzenia obowiązków zarządzania systemami informacyjnymi podmiotom zewnętrznym, powiadamianie Administratora Systemu o zdarzeniu odbywa się na zasadach określonych w umowie o świadczeniu usług. Pracownik do czasu przybycia ADO, AsADO lub ASI nie powinien bez uzasadnionej przyczyny opuszczać miejsca wykrycia potencjalnego naruszenia bezpieczeństwa informacji i powstrzymać się od dalszej realizacji zadań, mogących wpłynąć na obraz incydentu. wyjście z procesu - > wejście do procesu: 1.2. ( Rozpoznanie incydentu ) wejście z procesu: 1.1. Dokonuje się wstępnej analizy czy zdarzenie wpłynęło na bezpieczeństwo informacji w organizacji. O naruszeniu bezpieczeństwa może świadczyć: naruszenie lub wadliwe funkcjonowanie zabezpieczeń fizycznych w pomieszczeniach, w których następuje przetwarzanie informacji (uszkodzone zamki, okna, drzwi, naruszone plomby, itp.), nadmierne, w stosunku do wykonywanych zadań (zakres upoważnienia), uprawnienia użytkownika do zasobów systemu, niestabilna praca (anomalie) systemu lub programu, mogące świadczyć np. o obecności wirusa, duża liczba nieudanych logowań w krótkim czasie, nowe, nieautoryzowane konta użytkownika, logi świadczące o korzystaniu z systemu po godzinach pracy, częściowy lub całkowity brak danych. O naruszeniu bezpieczeństwa ASI powiadamia ADO lub AsADO, którzy rozpatrują incydent uwzględniając następujące obszary: charakter incydentu, ilość jednostek /obszarów dotkniętych incydentem, możliwości ograniczenia potencjalnego rozprzestrzeniania się incydentu, szacunkowy czas i potrzebne zasoby do zlikwidowania skutków incydentu i przywrócenie stanu informacji do poziomu sprzed incydentu, szacunkowy poziom szkód (finansowych, prawnych i wizerunkowych). ADO, ASI, AsADO i wskazani przez nich pracownicy zbierają materiał dowodowy zachowując przy tym wszystkie atrybuty bezpieczeństwa. Materiałem dowodowym może być dokument papierowy, elektroniczny, logi, pliki systemowe, itp. Jeśli zasięg, czas trwania i szkody incydentu powoduje zakwalifikowanie go do sytuacji kryzysowej ADO decyduje o konieczności rozpoczęcia procedury kryzysowej. W przypadku, gdy zasięg incydentu wykracza poza system teleinformatyczny Urzędu, AsADO z zastrzeżeniem posiadania stosownych rękojmi właściwych podmiotów zewnętrznych, może przekazać do podmiotu zewnętrznego informacje o incydencie zawierające: typ zdarzenia, informacje o odległym systemie, który może być źródłem naruszenia, w tym nazwy serwerów, adresy IP, identyfikatory użytkowników, wszystkie zapisy z rejestrów zdarzeń w określonym przedziale czasowym, inne informacje określone w umowie z podmiotem zewnętrznym. W przypadku, gdy rodzaj i zasięg incydentu, zidentyfikowany na którymkolwiek z etapów postępowania, uzasadnia potrzebę powiadomienia organów ścigania, to decyzję o sposobie i terminie powiadomienia podejmuje ADO. wyjście z procesu, wejście do procesu: 1.3 (ograniczanie skutków incydentu) działania korygujące lub uruchomienie procedur utrzymania ciągłości działania) P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 4 z 6

1.3. Ograniczanie skutków incydentu działania korygujące / ADO, AsADO oraz ASI 1.4. Rejestracja incydentu, podjęcie działań zapobiegawczych / ASI oraz AsADO Dokumenty związane wejście z procesu: 1.2 - Rozpoznanie incydentu Osoba wyznaczona przez ADO lub AsADO prowadzi dokumentację bieżącą incydentu, w której umieszcza informację od chwili zgłoszenia incydentu poprzez podjęte działania ograniczające skutki incydentu (opis działań, daty i osoby odpowiedzialne) (zal_1 P03) Karta zgłoszenia niezgodności incydentu. Sposób dokumentowania incydentu opisany jest w procedurze Działania korygujące i działania zapobiegawcze. By ograniczyć skutki incydentu w systemie teleinformatycznym ASI może zablokować część systemu. Jeśli sytuacja wymaga wyłączenia części systemu potrzebnej do realizacji zadań ustawowych lub statutowych ASI przedstawia ADO decyzję do akceptacji oraz rekomendację, w której zawiera następujące informacje: Czas, przez który organizacja może funkcjonować bez systemu, Stopień narażenia informacji chronionej na zagrożenie, Potrzebne zasoby czasowe, ludzkie i/lub finansowe dla podejmowanych działań. Zebrana dokumentacja stanowi zapis działań korygujących. wyjście z procesu -> wejście do procesu: 1.4 Rejestracja incydentu wejście z procesu: 1.3 Ograniczenie skutków incydentu - działania korygujące Dokumentacja incydentu wraz z zebranym materiałem dowodowym jest przekazywana do AsADO, który wpisuje wystąpienie incydentu w (zal_2 P03) Rejestr incydentów niezgodności. Na podstawie analizy incydentów, osoby wyznaczone przez AsADO tworzą rekomendację dotyczącą szkoleń i doskonalenia zabezpieczeń i systemu zarządzania. zal_1 P03_ Karta_zgłoszenia_niezgodności_incydentu zal_2 P03_ Rejestr_incydentów_niezgodnoścI P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 5 z 6

2. DZIAŁANIA KORYGUJĄCE I DZIAŁANIA ZAPOBIEGAWCZE Cel procedury Zakres procedury Podstawa dokumentu Działanie / odpowiedzialny 2.1. Inicjowanie działań korygujących i lub zapobiegawczych Pracownicy Urzędu / strony zainteresowane 2.2. Wszczęcie działań korygujących i lub zapobiegawczych / AsADO 2.3. Planowanie i prowadzenie działań korygujących i lub zapobiegawczych / AsADO, Osoba wyznaczona do realizacji zadania 2.4. Zakończenie działań korygujących i lub zapobiegawczych / AsADO Celem procedury jest zapewnienie eliminowania potencjalnych i rzeczywistych przyczyn niezgodności, zapobiegania potencjalnym niezgodnościom lub powtarzaniu się stwierdzonych niezgodności. Przyjmuje się, że niezgodności są przyczynami incydentów związanych z bezpieczeństwem informacji. Procedura dotyczy całej działalności urzędu objętej Systemem Zarządzania Bezpieczeństwem Informacji. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. KZ:E.19; PN-ISO/IEC 27001:2014: 6.1.1; 10; PN-EN ISO 9001:2009 :8.3; 8.5.2; 8.5.3; Opis działania wejście: zaistnienie zdarzenia związanego z bezpieczeństwem informacji Działania korygujące i zapobiegawcze podejmowane są na podstawie: Zgłoszenia niezgodności (w postaci pisemnej notatka służbowa, e-mail), wnioski racjonalizatorskie, Zgłoszenia wystąpienia incydentu bezpieczeństwa pkt. 1.1 Raportu z audytu wewnętrznego bądź zewnętrznego, Przeglądu SZBI przez kierownictwo, Skargi. wyjście z procesu - > wejście do procesu: 2.2 wejście z procesu: 2.1 W terminie nie dłuższym niż 7 dni od wpłynięcia informacji wymienionej w pkt. 2.1. niniejszej procedury, AsADO podejmuje decyzję o przyjęciu lub odrzuceniu zgłoszenia. W przypadku odrzucenie powiadamia o tym zgłaszającego. Przyjmując zgłoszenie AsADO przygotowuje Karta zgłoszenia incydentu/niezgodności (zal_1 P03), na której dokumentuje zgłoszoną niezgodność, zaplanowane działania korygujące / zapobiegawcze, wskazuje się osobę odpowiedzialną za przeprowadzenie działań. Każdej karcie nadaje się kolejny numer i wpisuje się do rejestru (zal_2 P03). wyjście z procesu -> wejście do procesu: 2.3 wejście z procesu: 2.2 AsADO w porozumieniu z osobą odpowiedzialną za przeprowadzenie działań ustala, jakie czynności mają zostać podjęte w celu usunięcia niezgodności, oraz zapobieżeniu jej w przyszłości. Podczas analizy zgłaszanych i wykrytych niezgodności czy też zgłoszeń propozycji działań korygujących i/lub zapobiegawczych można stosować dowolne metody: tablice wyników, burze mózgów, analiza FMEA, itp. Zaplanowane działania, kryteria ich odbioru, termin zakończenia, osoby odpowiedzialne za prawidłową realizację działań wpisywane są na właściwą kartę zgłoszenia. wyjście z procesu - > wejście do procesu: 2.4 wejście z procesu: 2.3 Wymaga się, aby dla każdych zakończonych działań korygujących i/lub zapobiegawczych była prowadzona ocena skuteczności. Jeżeli ocena skuteczności nie będzie zadowalająca, należy ponownie przeprowadzić analizę niezgodności i zaplanować działania korygujące i/lub zapobiegawcze w sposób umożliwiający pozytywną ocenę po ich zakończeniu. Każdy cykl działań powinien być dokumentowany na kolejnej "Karcie zgłoszenia incydentu niezgodności". Dokumenty związane zal_1 P04_ Karta_zgłoszenia_niezgodności_incydentu zal_2 P04_ Rejestr_incydentów_niezgodnoścI 3. HISTORIA DOKUMENTU Data / wydanie Opis zmiany 01.06.2016 / wyd. 1 Utworzenie dokumentu. P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 6 z 6

Załącznik nr 1 Zarządzanie incydentami i niezgodnościami Karta zgłoszenia niezgodności/incydentu bezpieczeństwa Dokument SZBI Urząd Gminy Kęty niezgodność / incydent* Numer karty: Stwierdzający niezgodność Komórka, której dotyczy niezgodność Opis niezgodności lub opis incydentu: Dokument określający wymogi: Data zgłoszenia: rzeczywisty / potencjalny* Okoliczności stwierdzenia niezgodności*: - audyt wewnętrzny / zewnętrzny* - kontrola własna - skarga / reklamacja - zgłoszenie pracownika Urzędu - inne:.. (Przyczyna, skutek, obszar oddziaływania, koszt obsługi, potencjalne szkody) (Ustawa, rozporządzenie, zarządzenie Burmistrza, polityka, procedura, księga jakości, punkty norm). (Informacja o analizie ryzyka w związku ze zgłoszeniem) Proponowane działania korygujące: Planowana data zakończenia działań: Kierujący Odpowiedzialny (AsADO lub ASI) za działania: Ocena skuteczności działań działania zaakceptowano / działań nie zaakceptowano* korygujących: Uwagi do oceny skuteczności (z uwzględnieniem analizy ryzyka względem zdarzenia): Ocenę skuteczności działań przeprowadził: W dniu: Zal_1_P03, wyd.1 1 z 1

Załącznik nr 2 Zarządzanie incydentami i niezgodnościami Dokument SZBI Urząd Gminy Kety Rejestr niezgodności i incydentów bezpieczeństwa informacji Data zgłoszenia Rodzaj zgłoszenia (raport, skarga, notatka) Numer karty (zal_1 P03) Podjęte działania Data zakończenia Ocena skuteczności Zakończono TAK/NIE Zal_2_P03, wyd.1 1 z 1

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres