POLITYKA BEZPIECZEŃSTWA INFORMACJI



Podobne dokumenty
Załącznik nr 1 do Zarządzenia Nr 22/09 z dnia 8 maja 2009 r. POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Uchwała wchodzi w życie z dniem uchwalenia.

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Szkolenie otwarte 2016 r.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Krzysztof Świtała WPiA UKSW

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

POLITYKA BEZPIECZEŃSTWA INFORMACJI

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

ZARZĄDZENIE NR 1/2016 WÓJTA GMINY CZERNIKOWO z dnia 4 stycznia 2016r.

Rozdział I Postanowienia ogólne

Biura Audytu Wewnętrznego

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Polityka bezpieczeństwa informacji

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Zarządzenie Nr 1152/2014 Prezydenta Miasta Sopotu z dnia 24 stycznia 2014 r.

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Zbiór wytycznych do kontroli zarządczej w Akademii Pedagogiki Specjalnej im. Marii Grzegorzewskiej

Polityka Bezpieczeństwa Teleinformatycznego

REGULAMIN BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Polityka Zarządzania Ryzykiem

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

REGULAMIN. organizacji i przetwarzania danych osobowych.

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

WYTYCZNE BEZPIECZEŃSTWA INFORMACJI DLA KONTRAHENTÓW I OSÓB ZEWNĘTRZNYCH

Procedury Kontroli Zarządczej Starostwa Powiatowego w Skarżysku-Kamiennej

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

DZIENNIK URZĘDOWY KOMENDY GŁÓWNEJ STRAŻY GRANICZNEJ

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 1241/2012 PREZYDENTA MIASTA KRAKOWA Z DNIA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

KARTA AUDYTU WEWNĘTRZNEGO

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI

Załącznik nr 7 do ogłoszenia

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA NADZÓR NAD DOKUMENTAMI I ZAPISAMI

Promotor: dr inż. Krzysztof Różanowski

SPRAWOZDANIE Z FUNKCJONOWANIA KONTROLI ZARZĄDCZEJ ZA ROK W Gimnazjum im. Ojca Ludwika Wrodarczyka w Radzionkowie

Kwestionariusz samooceny kontroli zarządczej

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

ZARZĄDZENIE NR 19/2011/2012 DYREKTORA PRZEDSZKOLA KRÓLA Maciusia I w Komornikach z dnia w sprawie przyjęcia regulaminu kontroli zarządczej

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Amatorski Klub Sportowy Wybiegani Polkowice

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

Zarządzenie Nr OR OR Burmistrza Gminy i Miasta Lwówek Śląski z dnia 30 lipca 2012r.

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

ZARZĄDZENIE WEWNĘTRZNE NR 28 /2011 NACZELNIKA URZĘDU SKARBOWEGO W SOSNOWCU Z DNIA 12 PAŹDZIERNIKA 2011

REGULAMIN. Organizacyjny Biura Zarządu Wielkopolskiego Stowarzyszenia Sportowego w Poznaniu I. POSTANOWIENIA OGÓLNE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W KURATORIUM OŚWIATY W WARSZAWIE

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH Spółdzielni Mieszkaniowej PARKITKA w Częstochowie

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Transkrypt:

Załącznik nr 1 do Zarządzenia nr 23/2014 z dnia 2.06.2014r. POLITYKA BEZPIECZEŃSTWA INFORMACJI Poznań 2014

Spis treści: SŁOWNIK TERMINÓW... 3 1. STRATEGIA BEZPIECZEŃSTWA... 4 1. Definicja strategii bezpieczeństwa... 4 2. Cel strategii bezpieczeństwa... 4 3. Deklaracja Kierownictwa Urzędu Marszałkowskiego... 5 4. Regulacje ogólne... 5 5. Uwarunkowania prawne... 6 6. Potencjalne zagrożenia... 6 7. Zasady ochrony zasobów informacyjnych... 7 2. ORGANIZACJA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MARSZAŁKOWSKIM... 8 8. Role związane z zapewnieniem bezpieczeństwa informacji... 8 9. Zespół Sterujący ds. Bezpieczeństwa Informacji... 9 10. Zadania Zespołu Sterującego ds. Bezpieczeństwa Informacji... 9 11. Uprawnienia Przewodniczącego Zespołu Sterującego ds. Bezpieczeństwa Informacji... 10 12. Obowiązki pracowników, stażystów, praktykantów, wolontariuszy Urzędu Marszałkowskiego oraz osób fizycznych, prawnych i nieposiadających osobowości prawnej, z którymi Marszałek zawarł umowy cywilno-prawne... 10 13. Bezpieczeństwo w umowach cywilno-prawnych z kontrahentami i jednostkami zewnętrznymi 10 14. Konsekwencje naruszenia Polityki Bezpieczeństwa Informacji.... 11 15. Przegląd i ocena PBI... 11 3. ZARZĄDZANIE ZASOBAMI... 12 16. Własność zasobów... 12 17. Klasyfikacja ważności zasobów informacyjnych... 12 18. Oznaczanie informacji i postępowanie z informacją... 13 4. HIERARCHIA DOKUMENTACJI... 14 19. Dokumentacja Polityki Bezpieczeństwa Informacji... 14 5. DZIAŁANIA URZĘDU MARSZAŁKOWSKIEGO W ZAKRESIE REALIZACJI I UDOSKONALANIA PBI... 14 6. ZAŁĄCZNIKI:... 14 Strona 2 z 14

SŁOWNIK TERMINÓW Występujące w Polityce Bezpieczeństwa Informacji zwroty oznaczają: 1. ABI Administrator Bezpieczeństwa Informacji osoba odpowiedzialna za nadzór nad przetwarzaniem danych osobowych. 2. ADO Administrator Danych Osobowych osoba decydująca o celach i środkach przetwarzania danych osobowych. W Urzędzie Marszałkowskim Administratorem Danych Osobowych jest Marszałek Województwa. 3. Analiza ryzyka - proces identyfikacji ryzyka, określanie jego wartości, identyfikowanie zagrożeń i określanie niezbędnych zabezpieczeń. 4. APL Administrator aplikacji osoba odpowiedzialna za funkcjonowanie aplikacji, nadzór nad ochroną przetwarzanych w niej danych oraz odpowiada za prawidłowe przydzielenie dostępu do funkcji i zasobów aplikacji dla użytkowników. 5. ASI Administrator Systemów Informatycznych - osoba odpowiedzialna za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa jego dotyczących. 6. Gestor pełni nadzór nad zasobem i decyduje we wszelkich sprawach merytorycznych dotyczących tego zasobu. Rolę Gestora pełni Dyrektor Biura/Departamentu, Zespołu, który na mocy Regulaminu Organizacyjnego jest odpowiedzialny za dany zasób. 7. Informacja wrażliwa są to takie informacje, których nieuprawnione upublicznienie (ujawnienie) może mieć szkodliwy wpływ na wykonywanie zadań przez UMWW i które mogą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione wykorzystanie np.: dane osobowe, tajemnica przedsiębiorstwa, tajemnice branżowe i inne. 8. Jednostka zewnętrzna / podmiot zewnętrzny / firma zewnętrzna - podmiot posiadający dostęp do zasobów UMWW z racji powierzonych mu zadań, na podstawie przepisów prawa lub zawartych z nim umów, nie będący komórką organizacyjną Urzędu. 9. Kierownictwo Urzędu Zarząd Województwa Wielkopolskiego, Skarbnik Województwa Wielkopolskiego, Sekretarz Województwa Wielkopolskiego oraz dyrektorzy departamentów i biur Urzędu Marszałkowskiego. 10. Kluczowy sprzęt informatyczny - serwery, aktywne i pasywne urządzenia sieci informatycznej, centrale telefoniczne oraz urządzenia zapewniające zasilanie bezprzerwowe. 11. Komórka organizacyjna Departamenty i Biura Urzędu Marszałkowskiego Województwa Wielkopolskiego. 12. Kontrahent/wykonawca - osoba fizyczna lub prawna lub jednostka organizacyjna nie posiadająca osobowości prawnej, którym ustawa przyznaje zdolność prawną do zawierania umów, na podstawie których świadczy usługi na rzecz UMWW. 13. Marszałek - Marszałek Województwa Wielkopolskiego. 14. Osoby upoważnione przez Marszałka do wykonywania zadań Administratora Danych Osobowych wskazani pracownicy, którzy wykonują czynności techniczne i nadzorują przestrzeganie przetwarzania danych osobowych w imieniu Administratora Danych Osobowych. 15. PBI - Polityka Bezpieczeństwa Informacji. 16. Podatność - skłonność zasobu na oddziaływanie zagrożeń. 17. Pracownik osoba zatrudniona w Urzędzie Marszałkowskim na podstawie umowy o pracę, umowy cywilno-prawnej, stażysta, praktykant lub wolontariusz. 18. Przełożony Marszałek, decernent, Skarbnik Województwa Wielkopolskiego, Sekretarz Województwa, dyrektor, z-ca dyrektora, kierownik wydziału lub naczelnik oddziału Departamentu/Biura. 19. Ryzyko - prawdopodobieństwo, że występujące zagrożenie może spowodować straty w zasobach. 20. Sekretarz Sekretarz Województwa Wielkopolskiego. Strona 3 z 14

21. System informacyjny - system, w którym w trakcie zachodzących w nim procesów gromadzi się, przetwarza, przechowuje i udostępnia informacje, niezależnie od sposobu realizacji tych procesów. 22. System teleinformatyczny - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, aplikacji, usług, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu elektronicznego przetwarzania danych. 23. Urząd, Urząd Marszałkowski, UMWW - Urząd Marszałkowski Województwa Wielkopolskiego w Poznaniu. 24. Wytyczne Bezpieczeństwa Informacji wyciąg z Zasad Zarządzania Bezpieczeństwem Informacji. 25. Zagrożenie - potencjalna przyczyna niepożądanego incydentu, którego skutkiem mogą być straty w zasobach. 26. Zasób - są to dobra materialne i niematerialne, które posiadają wartość dla Urzędu Marszałkowskiego, zapewniające funkcjonowanie Urzędu np.: mienie wykorzystywane w Urzędzie Marszałkowskim oraz przez jego pracowników, informacje przetwarzane w Urzędzie Marszałkowskim, pracownicy, wizerunek Urzędu Marszałkowskiego i inne. 27. Zasób informacyjny - są to zasoby materialne i niematerialne, w tym wszelkiego rodzaju użyteczne dane (informacje), niezbędne do skutecznego i zgodnego z przepisami prawa podejmowania decyzji. 28. ZSBI - Zespół Sterujący ds. Bezpieczeństwa Informacji. 29. ZZBI - Zasady Zarządzania Bezpieczeństwem Informacji dokument zawierający szczegółowe wytyczne dotyczące przetwarzania i ochrony zasobów Urzędu Marszałkowskiego, który jest dla Urzędu instrukcją zarządzania systemem teleinformatycznym. 1. STRATEGIA BEZPIECZEŃSTWA 1. Definicja strategii bezpieczeństwa 1. Bezpieczeństwo Urzędu Marszałkowskiego to stan określony przez przyjęty zbiór norm, zasad, rozwiązań oraz środków i metod ochrony zasobów, którego miarą jest poziom ryzyka naruszenia dostępności, poufności lub integralności tych zasobów. 2. Bezpieczeństwo informacji Urzędu Marszałkowskiego jest zapewnione, jeżeli ryzyko naruszenia dostępności, poufności lub integralności chronionych zasobów w Urzędzie Marszałkowskim nie przekracza akceptowalnych parametrów przy zachowaniu zasad sformułowanych w niniejszej Polityce. 3. Wprowadzenie PBI ma na celu obniżanie zidentyfikowanych ryzyk. 2. Cel strategii bezpieczeństwa Zapewnienie wymaganego zaangażowania pracowników w utrzymanie bezpieczeństwa systemów informacyjnych, określenie kierunków rozwoju zarządzania bezpieczeństwem tych systemów, przy jednoczesnym spełnieniu wszelkich wymogów obowiązującego prawa oraz zagwarantowanie sprawnego funkcjonowania Urzędu Marszałkowskiego. Strona 4 z 14

3. Deklaracja Kierownictwa Urzędu Marszałkowskiego 1. PBI wyznacza kierunek działania Kierownictwa oraz pracowników Urzędu Marszałkowskiego w celu zapewnienia systemowego nadzoru nad gromadzeniem, przetwarzaniem, przechowywaniem i udostępnianiem informacji, niezależnie od sposobu realizacji tych procesów. 2. Kierownictwo Urzędu Marszałkowskiego zapewnia bezpieczeństwo zasobów oraz informacji zawartych w systemach informacyjnych Urzędu Marszałkowskiego i poza nimi, w sposób opisany w ZZBI, ponieważ mają one fundamentalne znaczenie dla realizacji misji i celów statutowych Urzędu Marszałkowskiego. 3. PBI wyraża wolę Kierownictwa Urzędu Marszałkowskiego w zakresie ochrony jej zasobów. 4. Kierownictwo Urzędu Marszałkowskiego aktywnie wspiera procesy zmierzające do zapewnienia bezpieczeństwa przetwarzania informacji poprzez wdrażanie, rozwój, uaktualnianie PBI oraz regulacji z niej wynikających. 5. PBI oraz regulacje z niej wynikające obowiązują wszystkich pracowników, stażystów, praktykantów, wolontariuszy oraz inne osoby fizyczne, prawne lub nieposiadające osobowości prawnej, które uzyskują dostęp do zasobów Urzędu Marszałkowskiego, poza użytkownikami informacji publicznie dostępnych. Kierownictwo Urzędu Marszałkowskiego odpowiada za zapewnienie środków na te cele. 6. Użytkowników serwisów internetowych Urzędu Marszałkowskiego obowiązują regulacje wynikające z Polityk prywatności obowiązujących na tychże serwisach. 7. PBI ustala wytyczne do stworzenia zasad ochrony systemów informacyjnych, ze szczególnym uwzględnieniem systemu teleinformatycznego Urzędu Marszałkowskiego i zawartych w nich informacji. 8. Każdy pracownik, stażysta, praktykant, wolontariusz oraz inna osoba fizyczna, prawna lub nieposiadająca osobowości prawnej, która uzyskuje uprawnienie/upoważnienie dostępu do zasobów Urzędu Marszałkowskiego zostaje zapoznany z PBI oraz ZZBI, potwierdza ten fakt pisemnym oświadczeniem oraz zobowiązuje się przestrzegać zasady, reguły i postanowienia z nich wynikające. Wzór oświadczenia stanowi załącznik nr 1 do PBI. 9. Procedury i regulacje wewnętrzne Urzędu Marszałkowskiego nie mogą naruszać zapisów określonych w PBI i ZZBI. 4. Regulacje ogólne 1. Życie i zdrowie osób jest dobrem najwyższym i ich ochrona w sytuacji zagrożenia jest ważniejsza niż ochrona jakichkolwiek innych zasobów. 2. Ponad to ochronie podlegają: a. informacje przetwarzane w Urzędzie Marszałkowskim, niezależnie od ich formy i nośnika, b. sprzęt wykorzystywany do przetwarzania, przesyłania i przechowywania informacji w Urzędzie Marszałkowskim, c. pomieszczenia, w których znajduje się kluczowy sprzęt informatyczny, dokumenty zawierające tajemnice prawnie chronione, w tym dane osobowe, d. oprogramowanie wykorzystywane w Urzędzie Marszałkowskim, e. wizerunek Urzędu Marszałkowskiego, f. pozostałe mienie wykorzystywane w Urzędzie Marszałkowskim, Strona 5 z 14

3. Celem ustanowienia PBI jest zapewnienie poufności, dostępności, integralności, przy zachowaniu autentyczności, niezaprzeczalności i rozliczalności, informacji przetwarzanych w Urzędzie Marszałkowskim. a. Poufność informacji - oznacza, że jest ona dostępna wyłącznie dla osób, które zostały upoważnione do korzystania z danej informacji. b. Dostępność informacji - oznacza możliwość wykorzystania zasobu przez upoważnioną osobę, na każde uzasadnione żądanie, w ustalonym czasie. c. Integralność informacji - oznacza, że informacja nie uległa zmianie od czasu ostatniej autoryzowanej modyfikacji lub nie została usunięta w niekontrolowany sposób. d. Autentyczność - właściwość polegającą na tym, że pochodzenie lub zawartość danych jest taka jak deklarowana. e. Niezaprzeczalność - brak możliwości zanegowania swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie. f. Rozliczalność - właściwość pozwalającą przypisać określone działanie do osoby fizycznej lub procesu oraz umiejscowić je w czasie. 4. Bezpieczeństwo informacji w Urzędzie Marszałkowskim osiąga się wdrażając zabezpieczenia techniczne i organizacyjne w szczególności poprzez: zarządzenia Marszałka, procedury, zasady, instrukcje zapewniające przejrzystą strukturę organizacyjną oraz przez bieżący przegląd prawidłowego funkcjonowania oprogramowania i sprzętu, służącego do przetwarzania informacji. Zabezpieczenia te są monitorowane w celu ich ciągłego doskonalenia. 5. Bezpieczeństwo Informacji Urzędu Marszałkowskiego obejmuje nie tylko siedzibę Urzędu Marszałkowskiego, ale także wszelkie sytuacje, w których informacje związane z działalnością Urzędu Marszałkowskiego są przetwarzane poza jego siedzibą. Obejmuje to w szczególności zdalny dostęp do sieci komputerowej Urzędu Marszałkowskiego. 5. Uwarunkowania prawne PBI jest zgodna z regulacjami prawnymi zawartymi w załączniku nr 2 do niniejszego dokumentu. 6. Potencjalne zagrożenia 1. Zasoby istotne dla realizacji zadań Urzędu Marszałkowskiego a w szczególności informacje i sprzęt niezbędny do ich przechowywania i przetwarzania, są narażone na różne zagrożenia, które identyfikuje się w następujących obszarach ryzyka: a. naruszenie poufności - rozumiane jako udostępnienie informacji i zasobów, osobom nieupoważnionym np.: przekazanie informacji pracownikom nieupoważnionym, osobom niezatrudnionym w Urzędzie Marszałkowskim, kradzież zasobu, zagubienie zasobu. b. naruszenie dostępności - rozumiane jako, znaczne obniżenie istotnych parametrów funkcjonalnych zasobów lub utrata danych np.: zniszczenie zasobu, kradzież zasobu na skutek wystąpienia sił wyższych albo nieumyślnego, umyślnego lub przypadkowego działania. c. naruszenie integralności - rozumiane jako, nieautoryzowana zmiana treści informacji na skutek nieumyślnego, umyślnego lub przypadkowego działania. d. naruszenie autentyczności rozumiane jako, uniemożliwienie weryfikacji informacji lub danych je opisujących. Strona 6 z 14

e. naruszenie niezaprzeczalności rozumiane jako, zanegowanie swego uczestnictwa w procesie wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie. f. naruszenie rozliczalności rozumiane jako, uniemożliwienie weryfikacji działań przez osoby biorące udział w procesach wytwarzania i przetwarzania informacji. 2. Zadaniem regulacji zawartych w PBI jest zmniejszenie ryzyka płynącego z zagrożeń do akceptowalnego poziomu, to znaczy zminimalizowanie możliwości naruszenia bezpieczeństwa zasobów informacyjnych Urzędu Marszałkowskiego, umożliwienie wczesnego wykrycia takiego naruszenia, zminimalizowanie strat związanych z takim naruszeniem oraz sprawne usunięcie jego skutków. 7. Zasady ochrony zasobów informacyjnych 1. Skuteczna ochrona zasobów Urzędu Marszałkowskiego wymaga wspólnego działania i zaangażowania wszystkich pracowników. 2. W sytuacjach kryzysowych, ujawnienie informacji wrażliwych uznawane jest, jako zagrożenie mniejsze od zniszczenia tych informacji. Nie dotyczy to informacji niejawnych w rozumieniu ustawy o ochronie informacji niejawnych. 3. Obowiązek ochrony zasobów Urzędu Marszałkowskiego, w przypadku współpracy z kontrahentami i jednostkami zewnętrznymi, określany jest w ramach umów zawartych z tymi podmiotami. 4. Pracownicy Urzędu Marszałkowskiego zobowiązani są do używania zasobów Urzędu wyłącznie do celów służbowych. W związku z tym wszyscy użytkownicy zasobów podlegają monitoringowi zgodnie z ZZBI. 5. W celu zapewnienia bezpieczeństwa zasobów informacyjnych Urzędu Marszałkowskiego stosuje się następujące ogólne zasady: a. Zasada przywilejów koniecznych: każdy pracownik posiada prawa dostępu do zasobów Urzędu, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu obowiązków. b. Zasada wiedzy koniecznej: pracownikom przekazuje się wiedzę o zasobach Urzędu ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych im zadań. c. Zasada asekuracji zabezpieczeń: ochrona zasobów powinna opierać się na co najmniej dwóch mechanizmach zabezpieczenia. d. Zasada rozliczalności: kierownictwo Urzędu dąży do zapewnienia jednoznacznej odpowiedzialności pracowników za powierzone im zasoby. Wszyscy użytkownicy zasobów informacyjnych ponoszą odpowiedzialność za zaniedbanie swoich obowiązków bądź przekazanie swoich przywilejów innym osobom. Strona 7 z 14

2. ORGANIZACJA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MARSZAŁKOWSKIM 8. Role związane z zapewnieniem bezpieczeństwa informacji 1. Marszałek zatwierdza PBI i dokumenty opracowane na jej podstawie, zmiany organizacyjne wynikające z PBI oraz budżet przeznaczony na PBI. Jest administratorem danych osobowych w Urzędzie Marszałkowskim w rozumieniu art. 3 ust. 1 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 2. Zespół Sterujący ds. Bezpieczeństwa Informacji (ZSBI) odpowiada za koordynację rozwoju i wdrażania PBI, a także analizuje zagrożenia i incydenty związane z bezpieczeństwem informacji. 3. Zespoły powoływane doraźnie do realizacji projektów, w tym komisje przetargowe, odpowiadają za zgodność projektu lub przetargu z wymogami PBI oraz za przestrzeganie procedur bezpieczeństwa w trakcie analizowania, projektowania, testowania i wdrażania tego projektu lub przetargu. 4. Dyrektor Departamentu/Biura, odpowiada za przestrzeganie Polityki Bezpieczeństwa Informacji w podległej jemu komórce organizacyjnej. 5. Dyrektor Departamentu Administracyjnego (Dyrektor DA) odpowiada za zabezpieczenie i ochronę pomieszczeń oraz obsługę administracyjno-techniczną Urzędu. 6. Audytor Wewnętrzny (BA) przeprowadza audyty, mające na celu, ocenę stosowanych rozwiązań i ich zgodność z obowiązującymi przepisami prawa, PBI oraz procedurami. 7. Dyrektor Departamentu Organizacyjnego i Kadr (Dyrektor DO) odpowiada za organizację szkoleń z zakresu PBI. 8. Osoby upoważnione przez Marszałka do wykonywania zadań Administratora Danych Osobowych wskazani pracownicy, którzy wykonują czynności techniczne i nadzorują przestrzeganie przetwarzania danych osobowych w imieniu Administratora Danych Osobowych. 9. Pełnomocnik Marszałka ds. Ochrony Informacji Niejawnych odpowiada za ochronę informacji niejawnych w rozumieniu Ustawy z 5 sierpnia 2010 r. o ochronie informacji niejawnych. 10. Administrator Bezpieczeństwa Informacji (ABI) monitoruje przestrzeganie zasad bezpieczeństwa, prowadzi kontrolę przetwarzania danych osobowych oraz pełni rolę głównego arbitra merytorycznego w zakresie bezpieczeństwa systemów informatycznych w Urzędzie Marszałkowskim. 11. Administrator Systemów Informatycznych (ASI) odpowiada za nadzór, bieżące utrzymanie i funkcjonowanie systemu teleinformatycznego, zapewniając poufność, integralność i dostępność informacji przetwarzanych w tych systemach oraz odpowiada za usuwanie ewentualnych niezgodności z regulacjami określonymi w PBI. 12. Administrator Bezpieczeństwa Teleinformatycznego odpowiada za stosowanie przyjętych procedur bezpieczeństwa w systemie teleinformatycznym, wykrywanie i analizę działań niezgodnych z regulacjami określonymi w PBI i prawie polskim. 13. Gestor pełni nadzór nad zasobem i decyduje we wszelkich sprawach merytorycznych dotyczących tego zasobu. Rolę Gestora pełni Dyrektor Biura/Departamentu lub przewodniczący Zespołu, który na mocy Regulaminu Organizacyjnego Urzędu Marszałkowskiego jest odpowiedzialny za dany zasób. W przypadku rozbudowanych systemów wielomodułowych, poszczególne moduły systemu mogą mieć kilku Gestorów, przy czym przyjmuje się wtedy jednolite sposoby nadzoru nad całością systemu poprzez ustanowienie Głównego Gestora Zasobu wraz z przypisaniem mu zasobu. 14. Przełożony odpowiada za nadzór nad realizacją zadań wynikających z PBI przez podległych pracowników. Strona 8 z 14

15. Pracownik Urzędu Marszałkowskiego, bez względu na pełnioną funkcję lub posiadane stanowisko ma obowiązek dołożyć wszelkich starań, aby chronić powierzone mu i używane przez niego zasoby. Ponadto ma obowiązek informowania osoby odpowiedzialne za bezpieczeństwo informacji o każdym zauważonym przez niego przypadku naruszenia bezpieczeństwa. 9. Zespół Sterujący ds. Bezpieczeństwa Informacji 1. W skład ZSBI wchodzą: a. Przewodniczący osoba wskazana przez Marszałka, b. Dyrektor Departamentu Administracyjnego, c. Dyrektor Departamentu Organizacyjnego i Kadr, d. Osoba upoważniona przez Marszałka do wykonywania czynności technicznych Administratora Danych Osobowych, e. Pełnomocnik Marszałka ds. Ochrony Informacji Niejawnych, f. Administrator Bezpieczeństwa Informacji, g. Administrator Systemów Informatycznych, h. Administrator Bezpieczeństwa Teleinformatycznego, i. Sekretarz Zespołu wskazany przez Przewodniczącego ZSBI, 2. W obradach ZSBI uczestniczy Dyrektor Biura Audytu Wewnętrznego z głosem doradczym. 3. W obradach ZSBI uczestniczy radca prawny z głosem doradczym. 4. Skład Zespołu może być powiększony o dodatkowe osoby wyznaczone przez Przewodniczącego ZSBI lub Marszałka Województwa. 5. Zespół pracuje na posiedzeniach zwyczajnych lub nadzwyczajnych. 6. Posiedzenia zwyczajne odbywają się nie rzadziej niż raz na pół roku. 7. Nadzwyczajne posiedzenie może zostać zwołane w przypadku wystąpienia próby naruszenia bezpieczeństwa lub innych okoliczności wymagających niezwłocznego działania. 8. Obrady ZSBI zwołuje jego Przewodniczący. 9. Nadzwyczajne posiedzenie może zostać zwołane na wniosek: a. Marszałka, b. ABI, c. Dyrektora Departamentu/Biura Urzędu. 10. Zadania Zespołu Sterującego ds. Bezpieczeństwa Informacji 1. Koordynowanie rozwoju i wdrażania PBI oraz dokumentów z nią związanych. 2. Analiza incydentów naruszających bezpieczeństwo informacji. 3. Zatwierdzanie standardów, wytycznych i innych dokumentów związanych z bezpieczeństwem informacji i bezpieczeństwem teleinformatycznym. 4. Ustalenie i zatwierdzenie programów uświadamiających problemy bezpieczeństwa informacji. 5. Opiniowanie przedstawionego przez ABI projektu budżetu w zakresie realizacji zadań związanych z bezpieczeństwem informacji. 6. Ocena funkcjonowania mechanizmów bezpieczeństwa i wnioskowanie o dokonanie zmian w stosownych dokumentach, procedurach, infrastrukturze technicznej i logistycznej związanej z przetwarzaniem informacji. Strona 9 z 14

11. Uprawnienia Przewodniczącego Zespołu Sterującego ds. Bezpieczeństwa Informacji 1. Zapraszanie, z własnej inicjatywy lub na wniosek członków Zespołu, do udziału w pracach ZSBI ekspertów i innych osób mających wpływ na realizację zadań związanych z bezpieczeństwem informacji. 2. Wnioskowanie do Marszałka o zmiany w składzie ZSBI. 3. Przewodniczący ZSBI odpowiada za kontakty z odpowiednimi służbami państwowymi w przypadku naruszenia bezpieczeństwa informacji. 12. Obowiązki pracowników, stażystów, praktykantów, wolontariuszy Urzędu Marszałkowskiego oraz osób fizycznych, prawnych i nieposiadających osobowości prawnej, z którymi Marszałek zawarł umowy cywilno-prawne 1. PBI obowiązuje wszystkich pracowników Urzędu Marszałkowskiego, stażystów, praktykantów, wolontariuszy oraz osoby: fizyczne, prawne i nieposiadające osobowości prawnej, z którymi Marszałek zawarł umowy cywilno-prawne, jeżeli z umowy wynika, że będą posiadały dostęp do zasobów informacyjnych Urzędu Marszałkowskiego. 2. Obowiązkiem wyznaczonych pracowników Urzędu Marszałkowskiego jest prowadzenie szkoleń w zakresie PBI dla wszystkich osób zatrudnionych w UMWW, bez względu na formę zatrudnienia (pracowników, stażystów, praktykantów, wolontariuszy oraz osób zatrudnionych na umowy zlecenia i umowy o dzieło), o ile w trakcie realizacji umowy otrzymują bezpośredni dostęp do zasobów informacyjnych Urzędu Marszałkowskiego. 13. Bezpieczeństwo w umowach cywilno-prawnych z kontrahentami i jednostkami zewnętrznymi 1. PBI obowiązuje wszystkich kontrahentów, jednostki zewnętrzne i ich pracowników, o ile w trakcie realizacji umowy otrzymują bezpośredni dostęp do zasobów informacyjnych Urzędu Marszałkowskiego, w zakresie niezbędnym do wykonania umowy. 2. W przypadku, gdy kontrahent w trakcie wykonywania umowy będzie posiadał dostęp do zasobów informacyjnych Urzędu Marszałkowskiego, w umowach z kontrahentami wprowadzana jest klauzula dotycząca obowiązku przestrzegania postanowień PBI, Wytycznych Bezpieczeństwa Informacji oraz o zachowaniu poufności informacji prawnie chronionych. Zachowanie poufności obowiązywałoby również po zakończeniu umowy. Wprowadzenie odpowiednich zapisów do umowy spoczywa na Dyrektorze Departamentu lub Biura, przewodniczącym zespołu lub komisji, odpowiedzialnym za przygotowanie umowy. PBI i Wytyczne Bezpieczeństwa Informacji stanowią integralną część umowy w postaci załączników. 3. Jednostki zewnętrzne, które uzyskują dostęp do zasobów informacyjnych Urzędu na podstawie odrębnych przepisów/upoważnień, przed przyznaniem dostępu do zasobów informacyjnych otrzymują do zapoznania się i stosowania Wytyczne Bezpieczeństwa Informacji. Strona 10 z 14

14. Konsekwencje naruszenia Polityki Bezpieczeństwa Informacji. 1. Nieprzestrzeganie przez pracownika Polityki Bezpieczeństwa Informacji jest równoznaczne z naruszeniem obowiązków pracowniczych, zgodnie z Regulaminem Pracy UMWW. 2. Tryb postępowania przy udzielaniu kar określony jest w Regulaminie Pracy UMWW. 3. Za działania pracowników/kontrahentów niezgodne z przepisami dot. ochrony informacji prawnie chronionych, grożą im odrębne kary wynikające z tychże przepisów, w szczególności dotyczy to ochrony danych osobowych. 4. Naruszenie postanowień PBI przez kontrahenta lub jego pracowników stanowi podstawę do odstąpienia od umowy i żądania pokrycia powstałej szkody lub zapłaty kary umownej, jeżeli taki obowiązek wynika z zawartej umowy. 15. Przegląd i ocena PBI 1. ZSBI dokonuje raz w roku przeglądu PBI. 2. Dodatkowo dokonywany jest przegląd PBI w przypadku: a. poważnego naruszenia bezpieczeństwa informacji, b. pojawienia się nowych i istotnych rodzajów ryzyka, c. zmian regulacji prawnych dot. bezpieczeństwa informacji, d. na wniosek ABI. 3. Każdy przegląd jest udokumentowany w protokole z posiedzenia ZSBI. 4. Po dokonanym przeglądzie i stwierdzeniu konieczności dokonania zmian w PBI, ZSBI przedstawia Marszałkowi propozycje zmian w PBI. Strona 11 z 14

3. ZARZĄDZANIE ZASOBAMI 16. Własność zasobów 1. Województwo Wielkopolskie jest właścicielem wszystkich zasobów niezbędnych do przetwarzania informacji w komórkach organizacyjnych Urzędu. 2. Informacje przetwarzane i przechowywane w systemie teleinformatycznym Urzędu, nie są objęte prawem do prywatności, jakie przewiduje Konstytucja Rzeczpospolitej Polskiej, ze szczególnym uwzględnieniem zasobów gromadzonych na komputerach użytkowników oraz poczty elektronicznej. 3. Korzystanie z zasobów innych niż wytworzone w Urzędzie, wymaga posiadania odpowiednich praw autorskich, dowodów zakupu, aktów darowizny itp. do tych zasobów. W szczególny sposób dotyczy to oprogramowania, baz danych, patentów. 4. Za każdy zasób Urzędu Marszałkowskiego odpowiada Gestor Zasobu, w osobie Dyrektora Departamentu lub Biura, stosownie do swoich kompetencji wynikających z Regulaminu Organizacyjnego Urzędu Marszałkowskiego. 17. Klasyfikacja ważności zasobów informacyjnych 1. Zasoby informacyjne przetwarzane i wykorzystywane w Urzędzie Marszałkowskim, podlegają klasyfikacji. 2. Klasyfikowanie zasobów ma na celu zapewnienie właściwego poziomu ich bezpieczeństwa. 3. Klasyfikacja zasobu informacyjnego określa jego znaczenie dla Urzędu Marszałkowskiego, w szczególności odzwierciedla ewentualne zagrożenia wynikające z naruszenia bezpieczeństwa zasobu informacyjnego. 4. Klasyfikacja zasobów o ważności co najmniej średniej przeprowadzana jest przez gestorów zasobów informacyjnych w terminie do 31 lipca każdego roku. 5. Sposób klasyfikacji zasobów informacyjnych, określa załącznik nr 3 do PBI. 6. Gestor przedkłada klasyfikację w terminie do 31 lipca każdego roku Administratorowi Bezpieczeństwa Informacji. 7. Zasoby informacyjne są to zasoby materialne i niematerialne, w tym wszelkiego rodzaju użyteczne dane (informacje), niezbędne do skutecznego i zgodnego z przepisami prawa podejmowania decyzji. 8. Zasoby informacyjne dzielimy na: a. informacje np.: bazy danych i pliki z danymi, kontrakty, umowy, dokumentacja systemowa, podręczniki użytkownika, materiały szkoleniowe, procedury, ślady audytowe, informacje zarchiwizowane, akta spraw; b. system teleinformatyczny: współdziałające ze sobą aplikacje, programy, urządzenia komputerowe, urządzenia telekomunikacyjne, nośniki informacji i inne; c. zasoby lokalowe, np.: budynki, pomieszczenia, biura i in. w których przetwarza się informacje; d. usługi np.: teleinformatyczne, telekomunikacyjne, ogrzewanie, zasilanie, klimatyzacja, itp.; e. ludzkie: ludzie, ich kwalifikacje, umiejętności i doświadczenie; f. wartości niematerialne np.: reputacja, wizerunek Urzędu. Strona 12 z 14

9. Zasoby informacyjne poza zasobami ludzkimi i niematerialnymi, wykorzystywane w Urzędzie Marszałkowskim, podlegają klasyfikacji pod względem poziomu ważności: a) ważność wysoka przyznawana jest, gdy utrata lub naruszenie bezpieczeństwa zasobu uniemożliwi osiągnięcie statutowych celów UMWW. Należą do nich m.in.: informacje nadzorowane, wrażliwe pod względem poufności, w szczególności: dane osobowe, tajemnice przedsiębiorstw, oferty przetargowe, dane finansowo - księgowe i inne, których poufność określają ustawy lub zarządzenia wewnętrzne, zasoby i usługi kluczowe, niezbędne do realizowania statutowych celów Urzędu Marszałkowskiego, b) ważność średnia przyznawana jest, gdy utrata lub naruszenie bezpieczeństwa zasobów może mieć wpływ na osiągnięcie statutowych celów UMWW. Należą do nich m.in.: pozostałe informacje nadzorowane, zasoby fizyczne wartościowe, które są drogie lub trudno zastępowalne, ale od których nie zależy bezpośrednio funkcjonowanie Urzędu c) ważność niska przyznawana jest, gdy utrata lub naruszenie bezpieczeństwa zasobu nie ma wpływu na osiągnięcie statutowych celów UMWW. Należą do nich m.in.: zasoby fizyczne zwykłe, które są łatwo odtwarzalne lub zastępowalne i od których nie zależy bezpośrednio funkcjonowanie Urzędu. 18. Oznaczanie informacji i postępowanie z informacją 1. Dokumenty stanowiące zasoby informacyjne są oznaczane, przetwarzane, przechowywane i brakowane zgodnie z zapisami Rozporządzenia Rady Ministrów z dnia 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych (Dz. U. z 2011 r. nr 14, poz. 67, ze zm.). 2. Postępowanie z informacjami niejawnymi określa Plan ochrony informacji niejawnych Urzędu Marszałkowskiego Województwa Wielkopolskiego w Poznaniu określony na podstawie ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r. nr 182, poz. 1228, ze zm.) oraz przepisów wykonawczych do tej ustawy. 3. Postępowanie z danymi osobowymi oraz z zasobami informacyjnymi zawartymi na elektronicznych nośnikach danych określają ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i ZZBI. 4. Zasady postępowania z zasobami (środki trwałe) reguluje ustawa z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2013 r. poz. 330, ze zm.). 5. Zasady postępowania z dowodami finansowo-księgowymi reguluje Instrukcja obiegu i kontroli dowodów finansowo- księgowych. 6. Zasady postępowania z korespondencją określa Zarządzenie nr 15/2011 Marszałka Województwa Wielkopolskiego z dnia 14 kwietnia 2011 r. w sprawie wskazania podstawowego systemu wykonywania czynności kancelaryjnych, wyznaczenia koordynatora czynności kancelaryjnych oraz określenia listy rodzaju przesyłek wpływających, które nie są otwierane przez punkt kancelaryjny dla UMWW w Poznaniu. Strona 13 z 14

4. HIERARCHIA DOKUMENTACJI 19. Dokumentacja Polityki Bezpieczeństwa Informacji 1. PBI uzupełniają Zasady Zarządzania Bezpieczeństwem Informacji. 2. Wyciąg z Zasad Zarządzania Bezpieczeństwem Informacji stanowi Wytyczne Bezpieczeństwa Informacji przeznaczone dla kontrahentów i osób zewnętrznych. Wytyczne Bezpieczeństwa Informacji" są zbiorem zasad obowiązujących wszystkie osoby spoza Urzędu Marszałkowskiego, które ubiegają się o dostęp do jego zasobów informacyjnych (m. in. pracownicy serwisu, zewnętrzni audytorzy i kontrolerzy, konsultanci i programiści z przedsiębiorstw zewnętrznych, usługodawcy). Wytyczne Bezpieczeństwa Informacji" przekazywane są kontrahentom wraz z formularzem oświadczenia o zapoznaniu się z PBI, które jest załącznikiem nr 1 do PBI. 5. DZIAŁANIA URZĘDU MARSZAŁKOWSKIEGO W ZAKRESIE REALIZACJI I UDOSKONALANIA PBI Podnoszenie świadomości bezpieczeństwa informacji wśród wszystkich pracowników Urzędu Marszałkowskiego spoczywa na osobach upoważnionych przez Marszałka Województwa do wykonywania zadań Administratora Danych Osobowych, Administratorze Bezpieczeństwa Informacji oraz Pełnomocniku Marszałka ds. Ochrony Informacji Niejawnych. 6. ZAŁĄCZNIKI: Załącznik nr 1 - Oświadczenie o zapoznaniu się z Polityką Bezpieczeństwa Informacji i Wytycznymi Bezpieczeństwa Informacji UMWW. Załącznik nr 2 - Uwarunkowania prawne. Załącznik nr 3 - Klasyfikacja zasobów informacyjnych. Strona 14 z 14

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres