Załącznik nr 10 do Zarządzenia nr 40/2008 Agencja Restrukturyzacji i Modernizacji Rolnictwa Al. Jana Pawła II 70, 00-175 Warszawa REGULAMIN BEZPIECZEŃSTWA INFORMACJI W ZARZĄDZANIU ZASOBAMI LUDZKIMI
Spis treści: 1 Postępowanie rekrutacyjne... 3 2 Podjęcie pracy... 3 3 Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji... 5 4 Zakończenie zatrudnienia... 5 5 Przeniesienie pracownika w ramach Agencji... 6 6 Długotrwałe urlopy i zwolnienia lekarskie... 7 Załącznik nr 1... 8 Załącznik nr 2. 9 Załącznik nr 3... 10 2
1. Postępowanie rekrutacyjne 1. Postępowanie rekrutacyjne odbywa się zgodnie z regulacjami art. 11 do art. 18 ustawy z dn. 9 maja 2008 r. o Agencji Restrukturyzacji i Modernizacji Rolnictwa (ze zm.) oraz zarządzeniem Prezesa Agencji w sprawie wprowadzenia regulaminu naboru pracowników w ARiMR. 2. Agencja potwierdza za zgodność z oryginałem dokumenty aplikacyjne wszystkich osób zatrudnianych w ARiMR. 3. (skreślony) 2. Podjęcie pracy 1. Warunki przystąpienia do pracy, w zależności od zakresu obowiązków, uwzględniają następujące aspekty bezpieczeństwa: 1) przeszkolenie pracownika w zakresie tematycznym wynikającym z obowiązków i odpowiedzialności na zajmowanym stanowisku w Agencji, 2) oświadczenie pracownika o zapoznaniu się z odpowiednimi regulaminami, procedurami, zarządzeniami w sprawie bezpieczeństwa informacji w ARiMR przyjmuje pracownik komórki właściwej ds. kadrowych i przechowuje w teczce akt osobowych pracownika, 3) szkolenia pracowników Centrali ARiMR z zakresu ochrony danych osobowych, informacji wrażliwych, bezpieczeństwa informacji przeprowadzane są przed uzyskaniem dostępu do zasobów informacyjnych Agencji; szkolenia prowadzą pracownicy komórki właściwej ds. bezpieczeństwa informacji; komórka ta zobowiązana jest do prowadzenia ewidencji osób przeszkolonych z zakresu ochrony danych osobowych, informacji wrażliwych, bezpieczeństwa informacji - wzór ewidencji określa załącznik nr 3 do regulaminu, 4) szkolenia pracowników oddziałów regionalnych i biur powiatowych ARiMR z zakresu ochrony danych osobowych, informacji wrażliwych, bezpieczeństwa informacji przeprowadzane są przed uzyskaniem dostępu do zasobów informacyjnych Agencji; 3
szkolenie prowadzi pracownik zatrudniony na Samodzielnym stanowisku pracy ds. bezpieczeństwa w oddziale regionalnym; pracownik ten zobowiązany jest do prowadzenia ewidencji osób przeszkolonych z zakresu ochrony danych osobowych, informacji wrażliwych i bezpieczeństwa informacji - wzór ewidencji określa załącznik nr 3 do regulaminu, 5) zobowiązanie pracownika do zachowania w poufności informacji prawnie chronionych, również poza siedzibą Agencji i godzinami pracy, a także po ustaniu zatrudnienia bądź zakończeniu wykonywania usług na rzecz Agencji, zgodnie z wymogami 15 ust. 6 i 7 Regulaminu ochrony danych osobowych, 6) upoważnienie pracownika do przetwarzania danych osobowych nadaje się zgodnie z trybem zawartym w rozdziale 6 Regulaminu ochrony danych osobowych, 7) zakres uprawnień do pracy w systemie teleinformatycznym ARiMR w Centrali (systemy operacyjne, usługi sieciowe, aplikacje) jest nadawany po odbyciu szkoleń, o których mowa w pkt 3 na wniosek dyrektora komórki organizacyjnej, w której pracownik został zatrudniony, zgodnie z procedurą zawartą w KP-611-101-ARiMR, 8) zakres uprawnień do pracy w systemie teleinformatycznym ARiMR w oddziałach regionalnych i biurach powiatowych (systemy operacyjne, usługi sieciowe, aplikacje) jest nadawany po odbyciu szkoleń, o których mowa w pkt 4 na wniosek dyrektora oddziału regionalnego /kierownika biura powiatowego, w którym pracownik został zatrudniony, zgodnie z procedurą zawartą w KP-611-101-ARiMR. 2. Warunki, o których mowa w ust. 1, dotyczą zarówno pracowników, jak i stażystów, praktykantów, wolontariuszy oraz innych osób wykonujących pracę na podstawie umów cywilnoprawnych. W wyjątkowych przypadkach szkolenie może przeprowadzić kierownik biura powiatowego, do którego dane osoby zostały skierowane. 3. W przypadku podejmowania prac w ramach powoływanych w Agencji komisji / zespołów roboczych, pracownik Agencji może zostać zobowiązany do złożenia dodatkowego oświadczenia o zachowaniu w poufności informacji, które uzyska w związku z pracami takiej komisji bądź zespołu. Wzór oświadczenia stanowi załącznik nr 4 do Regulaminu. 4
3. Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji 1. Bezpośredni przełożony jest odpowiedzialny za prowadzenie bieżącej kontroli szkoleń i przestrzegania zasad bezpieczeństwa przez podległych pracowników. 2. Dyrektor komórki właściwej ds. bezpieczeństwa informacji jest obowiązany do rozpoznawania potrzeb, koordynowania i przygotowywania planów szkoleń z różnych obszarów bezpieczeństwa informacji dla różnych grup odbiorców. 3. Szkolenia pracowników mają na celu uzyskanie przez nich optymalnego poziomu wiedzy i umiejętności, które pozwolą właściwie korzystać z systemów przetwarzania informacji. 4. Okresowo szkolenia są powtarzane, ze szczególnym uwzględnieniem: 1) zmian przepisów prawa, 2) zmian wewnętrznych uregulowań, 3) podnoszenia świadomości z zakresu bezpieczeństwa informacji. 5. Uczestnictwo w szkoleniach z zakresu bezpieczeństwa informacji jest dokumentowane w systemie e-szkoleń (z wyłączeniem szkoleń, o których mowa w 2 ust. 1 pkt 1, 3 i 4). 4. Zakończenie zatrudnienia 1. Kierujący komórką właściwą ds. kadrowych w Centrali /oddziale regionalnym niezwłocznie informuje dyrektora komórki organizacyjnej w Centrali /kierownika biura w OR /kierownika BP o terminie rozwiązania stosunku pracy lub terminie zakończenia wykonywania pracy przez pracownika zatrudnionego w danej komórce /jednostce organizacyjnej oraz informuje Administratora Systemu i Administratora Zabezpieczeń Fizycznych, którzy zgodnie z podanym terminem odbierają uprawnienia dostępu tego użytkownika do systemów/ aplikacji/ zasobów/ pomieszczeń. Informacja do Administratora Systemu przekazywana jest na wniosku, zgodnie z procedurą nadawania/ zmiany/ odbierania uprawnień pracownikom ARiMR zawartą w KP-611-101-ARiMR. 2. (skreślony) 3. W przypadku rozwiązania stosunku pracy lub zakończenia wykonywania pracy przez pracownika zatrudnionego na stanowisku dyrektora komórki organizacyjnej Centrali, dyrektora oddziału lub członka Kierownictwa ARiMR, dyrektor komórki właściwej 5
ds. kadrowych w Centrali informuje o tym fakcie terminie rozwiązania stosunku pracy / terminie zakończenia wykonywania pracy, Administratora Systemu oraz Administratora Zabezpieczeń Fizycznych, którzy zgodnie z podanym terminem odbierają uprawnienia dostępu tego użytkownika do systemów /aplikacji /zasobów /pomieszczeń Agencji. Informacja do Administratora Systemu przekazywana jest na wniosku, zgodnie z procedurą nadawania/ zmiany/ odbierania uprawnień pracownikom ARiMR zawartą w KP-611-101-ARiMR. 3a. W przypadku rozwiązania stosunku pracy lub zakończenia wykonywania pracy przez pracownika zatrudnionego na stanowisku zastępcy dyrektora oddziału regionalnego, dyrektor komórki właściwej ds. kadrowych w Centrali, poza zadaniami określonymi w ust. 3, informuje dodatkowo o tym fakcie dyrektora oddziału regionalnego. 4. Pracownik zobowiązany jest do rozliczenia się przed bezpośrednim przełożonym z prowadzonych przez siebie spraw i pism, nad którymi pracował. 5. Pracownik jest zobowiązany do zwrotu powierzonego mu mienia Agencji w momencie zakończenia stosunku pracy i uzyskania stosownego potwierdzenia tego faktu. Potwierdzeniem rozliczenia się z daną komórką organizacyjną jest złożenie podpisu na karcie obiegowej przez kierującego komórką organizacyjną lub przez osobę przez niego upoważnioną. Wzór karty obiegowej dla pracowników Centrali określa załącznik nr 1 do regulaminu. Wzór karty obiegowej dla pracowników oddziałów regionalnych i biur powiatowych określa załącznik nr 2 do regulaminu. 6. Kartę obiegową dołącza się do akt osobowych pracownika. 5. Przeniesienie pracownika w ramach Agencji 1. Kierujący komórką właściwą ds. kadrowych w Centrali / oddziale regionalnym każdorazowo informuje właściwych dyrektorów Centrali / oddziałów regionalnych i Administratora Zabezpieczeń Fizycznych o zmianie komórki / jednostki zatrudnienia przez pracownika (data przeniesienia, nazwa komórki / jednostki, do której zostaje przeniesiony pracownik) oraz wnioskuje do Administratora Systemu o odebranie uprawnień dostępu do systemu i aplikacji nadanych na dotychczasowym stanowisku pracy zgodnie z procedurą nadawania/ zmiany/ odbierania uprawnień pracownikom ARiMR zawartą w KP-611-101-ARiMR. 6
2. Administrator Zabezpieczeń Fizycznych aktualizuje prowadzone przez siebie rejestry, w tym rejestr osób upoważnionych do pobierania kluczy, o którym mowa w 4 Regulaminu bezpieczeństwa fizycznego i środowiskowego. 3. Kierujący komórką organizacyjną, do której pracownik został przeniesiony, wnioskuje do Administratora Systemu o przyznanie uprawnień dostępu do systemu i aplikacji, do których pracownik powinien mieć przyznany dostęp zgodnie z nowym zakresem obowiązków. Wnioskowanie odbywa się zgodnie z procedurą nadawania/ zmiany/ odbierania uprawnień pracownikom ARiMR zawartą w KP-611-101-ARiMR. 4. (skreślony) 6. Długotrwałe nieobecności 1. W przypadkach długotrwałych nieobecności, których długość trwania przekracza 30 dni, dyrektor komórki właściwej ds. kadrowych / dyrektor oddziału regionalnego występuje z wnioskiem do Administratora Systemu o odebranie uprawnień dostępu do systemu i aplikacji na czas nieobecności pracownika zgodnie z procedurą zawartą w KP-611-101- ARiMR. 2. W przypadku powrotu pracownika do pracy po nieobecności dłuższej niż 6 miesięcy komórka właściwa ds. kadrowych informuje go o konieczności odbycia szkolenia doskonalącego z zakresu bezpieczeństwa informacji, o którym mowa w 2 ust. 5 załącznika nr 5 do zarządzenia Nr 40/2008 Prezesa ARiMR w sprawie bezpieczeństwa informacji w ARiMR, zgłaszając ten fakt komórce właściwej ds. przeprowadzania szkoleń na platformie e-learning, która udostępnia przedmiotowe szkolenie dla danego pracownika. 7
Załącznik nr 1 do Regulaminu KARTA OBIEGOWA Imię i Nazwisko:.. Stanowisko:.. Biuro/Departament:.. Stosunek pracy rozwiązany z dniem.. ADNOTACJE Dyrektor Departamentu Komórka ds. finansowych Komórka ds. informatyki Komórka ds. majątku Archiwum Zakładowe Biuro Prezesa Komórka ds. płac i spraw socjalnych Komórka ds. podnoszenia kwalifikacji zawodowych PZU (komórka ds. kadrowych) Komórka ds. bezpieczeństwa informacji Komórka ds. administracyjnych Komórka ds. osobowych 8
Załącznik nr 2 do Regulaminu KARTA OBIEGOWA Imię i Nazwisko:.. Stanowisko:.. Biuro/ Samodzielne stanowisko pracy.. Stosunek pracy rozwiązany z dniem.. ADNOTACJE Bezpośredni przełożony Kierownik Biura w OR / Kierownik BP Archiwum Zakładowe / Składnica Akt Samodzielne stanowisko pracy ds. BHP Kierownik komórki ds. kadrowych i szkoleniowych Kierownik komórki ds. finansowo-księgowych Samodzielne stanowisko pracy ds. bezpieczeństwa Kierownik Biura Oddziału Regionalnego Dyrektor Oddziału Regionalnego 9
Załącznik nr 3 do Regulaminu Rejestr osób przeszkolonych przez komórkę właściwą ds. bezpieczeństwa informacji (Centrala) / pracownika zatrudnionego na Samodzielnym stanowisku pracy ds. bezpieczeństwa (OR) w zakresie ochrony danych osobowych, informacji wrażliwych i zasad polityki bezpieczeństwa informacji dane osoby szkolonej Lp. Data szkolenia Imię i nazwisko osoby prowadzącej szkolenie komórka organizacyjna Imię i nazwisko Potwierdzenie odbycia szkolenia - podpis 1. 2. 3. 4. 5. 6. 7. 8. 10
Załącznik nr 4 do Regulaminu Oświadczenie Jako członek Komisji/Zespołu do spraw (zwanej/go dalej Komisją / Zespołem ) oraz pracownik Agencji Restrukturyzacji i Modernizacji Rolnictwa zobowiązuję się do zachowania w poufności wszelkich informacji, które uzyskam w związku z pracami Komisji/Zespołu. Jednocześnie oświadczam, że jestem świadomy iż: a) informacje i wiadomości, w których posiadanie wejdę w związku z pracami Komisji/Zespołu mają szczególną wartość dla Agencji Restrukturyzacji i Modernizacji Rolnictwa, a ich nieuprawnione ujawnienie niezależnie od odpowiedzialności cywilnej i karnej może stanowić ciężkie naruszenie przeze mnie podstawowych obowiązków pracowniczych, o którym mowa w art. 52 1 pkt 1 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy, a także naruszenie umowy o zakazie konkurencji zawartej pomiędzy mną a ARiMR; b) ponieważ nieuprawnione ujawnienie osobom trzecim informacji i wiadomości, w których posiadanie wejdę w związku z pracami Komisji/Zespołu, może spowodować powstanie szkody w majątku ARiMR na podstawie art. 122 w zw. z art. 115 Kodeksu pracy, jeżeli pracownik umyślnie wyrządził szkodę pracodawcy, jest obowiązany do jej naprawienia w pełnej wysokości i ponosi odpowiedzialność za szkodę w granicach rzeczywistej straty poniesionej przez pracodawcę, za normalne następstwa działania lub zaniechania, z którego wynikła szkoda; c) w związku z pracami Komisji/Zespołu wszedłem lub mogę wejść w posiadanie wiadomości i informacji niejawnych opatrzonych klauzulą zastrzeżone w rozumieniu ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, do których dostęp wymaga odpowiedniego upoważnienia, bez którego nie jestem uprawniony do zapoznania się z tymi wiadomościami i informacjami; d) zgodnie z art. 266 ustawy z dnia 6 czerwca 1997 r. Kodeks karny, kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.., dnia (podpis pracownika, miejscowość, data) 11