ZATWIERDZENIE DOKUMENTU
Sporządził Sprawdził Zatwierdził
Volvox Consulting Pełnomocnik ds. ZSBI Administrator Danych
Nr dokumentu: P08 Data wydania: 01.06.2016 rok Wydanie: 1
Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone.
Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji.
Procedura odpowiada wymogom:
Prawnym
PN/ISO 27001:2014 7.5.1, 7.5.2, 9.2, 10
Kontroli Zarządczej C.10, C.11, C.12, E.16, E.19, E.21
P08-Procedury SZBI, wyd.1 2 z 8
P08-Procedury SZBI, wyd.1 3 z 8
Spis treści
1. NADZÓR NAD DOKUMENTACJĄ ... 4 1.1. Decyzja o stworzeniu nowego dokumentu lub modyfikacji istniejącego... 4 1.2. Edycja dokumentu ... 4 1.3. Zatwierdzenie dokumentu do stosowania ... 4 1.4. Rejestracja i identyfikacja dokumentu ... 4 1.5. Dystrybucja i przechowywanie dokumentacji ... 4 1.6. Nadzór nad normami i aktami prawnymi ... 5 1.7. Przegląd dokumentów ... 5 1.8. Archiwizacja dokumentów nadzorowanych ... 5 2. NADZÓR NAD ZAPISAMI ... 6
2.1. Sporządzanie zapisów jakości ... 6 2.2. Identyfikacja zapisów jakości ... 6 2.3. Gromadzenie, porządkowanie i przechowywanie zapisów SZBI ... 6 3. AUDYT WEWNĘTRZNY SZBI ... 7
3.1. Ustalenie programu audytów wewnętrznych ... 7
3.2. Plan - harmonogram audytów ... 7
3.3. Zatwierdzenie planu i programu audytów wewnętrznych SZBI ... 7
3.4. Organizacja i prowadzenie działań audytowych ... 8
3.5. Zamknięcie działania audytowego ... 8
4. HISTORIA DOKUMENTU ... 8
P08-Procedury SZBI, wyd.1 4 z 8 1. NADZÓR NAD DOKUMENTACJĄ
1.1. Decyzja o stworzeniu nowego dokumentu lub modyfikacji istniejącego
wejście z procesu: Potrzeba utworzenia nowego lub modyfikacji istniejącego dokumentu
Propozycje stworzenia dokumentu lub wprowadzaniu zmian w istniejącym składane są odpowiednio przez:
Kierownictwo Urzędu,
Pełnomocnika ds. SZBI/ AsADO lub ASI
Kierownika komórki organizacyjnej,
Pracownika w zakresie sprawowanego nadzoru lub udziału w realizowanym procesie.
Zakres i szczegółowość dokumentacji uzależnione są od rozmiaru i ważności poszczególnych działań, ich złożoności i powiązań oraz kompetencji personelu. Za konsultacje nad nowym lub poprawianym dokumentem odpowiada AsADO.
wyjście z procesu, wejście do procesu: 1.2 1.2. Edycja dokumentu
Pełnomocnik ds. SZBI /AsADO
wejście z procesu: 1.1
Wszystkie zmiany są odpowiednio oznaczone w „historii dokumentu”. Nowe edycje dokumentu mają nadany kolejny numer i datę wydania. Wszystkie zmiany w dokumentacji objętej SZBI (również zmian w instrukcjach lub formularzach), opisywane są w „Książce zmian dokumentacji”.
wyjście z procesu, wejście do procesu: 1.3 1.3. Zatwierdzenie dokumentu do
stosowania
Burmistrz
wejście z procesu: 1.2
Opracowany dokument zostaje zweryfikowany pod kątem poprawności merytorycznej i formalnej przez Pełnomocnika ds. SZBI lub AsADO , a następnie zatwierdzony przez Burmistrza.
Zatwierdzeniu podlegają również wszelkie akty prawne dotyczące organizacji przetwarzania danych i bezpieczeństwa informacji.
wyjście z procesu, wejście do procesu: 1.4 1.4. Rejestracja i identyfikacja
dokumentu
Pełnomocnik ds. SZBI /AsADO
wejście z procesu: 1.3
Pełnomocnik ds. SZBI/ AsADO nadaje odpowiedni numer dokumentu i wprowadza go do systemu, a dany dokument zostaje zarejestrowany w odpowiednim wykazie.
Wykazy dokumentów nadzorowane są przez Pełnomocnika ds. SZBI/ AsADO, informują, które z dokumentów zostały przyjęte do SZBI jako obowiązujące. Wykazy są prowadzone dla:
Dokumentacji procedur systemowych, druków i formularzy SZBI
Dokumentacji procedur organizacyjnych
Zarządzeń Burmistrza oraz Informacji wewnętrznych związanych z SZBI wyjście z procesu, wejście do procesu: 1.5; 1.6;
1.5. Dystrybucja i przechowywanie dokumentacji
Pełnomocnik ds. SZBI /AsADO
wejście z procesu: 1.4
Dokumentacja Systemu nadzorowana jest i dystrybuowana poprzez Pełnomocnika ds. SZBI/AsADO . Nadzoruje on oryginał danego dokumentu. W zależności od zapotrzebowania, przygotowuje odpowiednią liczbę kopii. Każda kopia posiada swój niepowtarzalny numer przypisany do osoby z listy dystrybucyjnej dołączonej do oryginału. Następnie Pełnomocnik ds. SZBI/ AsADO przekazuje kopie dokumentów, rejestrując ich wydanie poprzez zebranie podpisów. Instrukcje i formularza, stanowiące załącznik do innych dokumentów, dystrybuowane są łącznie z nimi. W przypadku konieczności wymiany dokumentu, Pełnomocnik ds. SZBI/ AsADO zbiera wydane egzemplarze i dystrybuuje nowe. W przypadku zmian formularzy lub instrukcji, stanowiących załącznik do dokumentu, wymianie podlegają nieaktualne formularze/ instrukcje.
wyjście z procesu, wejście do procesu: 1.7
Cel procedury Zapewnienie, że wszystkie dokumenty potrzebne do funkcjonowania SZBI są zatwierdzone, aktualizowane, a ich odpowiednie wersje są dostępne upoważnionym użytkownikom.
Zakres procedury Procedura swoim zakresem obejmuje wszystkie dokumenty ujęte w wykazie (zal_3_P08 )oraz te, które dotyczą bezpieczeństwa informacji w Urzędu Gminy Kęty.
Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia
zarządzeniem.
Podstawa dokumentu ISO 9001 – 4.2.3; ISO 27001 – 7.5; KZ – C10 Działanie / odpowiedzialny Opis działania
P08-Procedury SZBI, wyd.1 5 z 8 1.6. Nadzór nad normami i
aktami prawnymi
Pełnomocnik ds. SZBI /AsADO
wejście z procesu: 1.4
Pełnomocnik ds. SZBI/AsADO jest odpowiedzialny za pozyskiwanie norm, rozpowszechnianie i nadzorowanie. Pozyskany egzemplarz normy rejestruje w wykazie, po czym wykonuje niezbędną ilość kopii. Każdą stronę kopii oznacza jako
„DOKUMENT WEWNĘTRZNY UG Kęty”.
Sprawdzenie aktualności norm zamieszczonych w wykazie dokonuje Pełnomocnik ds.
SZBI/AsADO .
W przypadku zmiany normy lub jej nieważności postępuje jak w pkt. 1.5.
wyjście z procesu, wejście do procesu: 1.7 1.7. Przegląd dokumentów
Pełnomocnik ds. SZBI /AsADO
wejście z procesu: 1.5; 1.6
W regularnych odstępach czasu, nie rzadziej niż raz w roku, cała dokumentacja SZBI powinna zostać przeglądnięta pod względem aktualności i adekwatności. Przeglądu dokonuje się na formularzu (zal_2_P08) – „Karta przeglądu dokumentacji”.
wyjście z procesu, wejście do procesu: 1.8 1.8. Archiwizacja dokumentów
nadzorowanych
Pełnomocnik ds. SZBI /AsADO
wejście z procesu: 1.7
Archiwizacji wycofanych dokumentów i zapisów dokonuje się na podstawie wykazów:
„Wykaz dokumentów formularzy i druków SZBI” – 3 lata,
„Wykaz zapisów SZBI” – według wykazu
Wybrane dokumenty zawarte w wykazie mogą mieć inny okres archiwizacji, wytyczne zawarte są w wykazach. Archiwista jest odpowiedzialny za ład i porządek w archiwum, prawidłowe opisanie i oznaczenie archiwizowanych dokumentów (zgodnie z przepisami państwowymi w tym zakresie), bieżące nadzorowanie terminów upływu okresu archiwizacji.
Dokumenty związane zal_1_P08-Rejestr_zmian_w_dokumentacji;
zal_2_P08-Karta_przeglądu_dokumentacji;
zal_3_P08-Wykaz_druków_i_formularzy_nadzorowanych;
zal_4_P08-Wykaz_zapisów_SZBI;
P08-Procedury SZBI, wyd.1 6 z 8 2. NADZÓR NAD ZAPISAMI
Cel procedury Zapewnienie, że zapisy dostarczające dowodów zgodności z wymaganiami i skuteczności systemu zarządzania są czytelne, łatwe do zidentyfikowania, przechowywane i zabezpieczane przez określony czas a także dostępne dla osób upoważnionych.
Zakres procedury Procedura swoim zakresem obejmuje wszystkie zapisy ujęte w wykazie ( zal_4_P08) oraz te, które dotyczą bezpieczeństwa informacji w Urzędu.
Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia
zarządzeniem.
Podstawa dokumentu ISO 9001 – 4.2.4; ISO 27001 – 7.5; KZ – C10 Działanie / odpowiedzialny Opis działania
2.1. Sporządzanie zapisów jakości
Pełnomocnik ds. SZBI/AsADO
Zapisy powstają w wyniku realizacji działań wymaganych w SZBI, wg określonych procedur. Poszczególne procedury przedmiotowe, o ile wymagają stworzenia zapisów, podają w jakiej formie zapisy mają być sporządzone oraz identyfikują je.
Powstające zapisy dotyczące bezpieczeństwa są czytelne oraz dają możliwość jednoznacznego odniesienia do działania lub zagadnienia którego dotyczą.
Dokumenty i zapisy objęte nadzorem wymienione są w wykazie, którego wzór stanowi załącznik do niniejszej procedury. Podczas tworzenia zapisów na drukach SZBI (formularzach) należy pamiętać o wypełnieniu wszystkich rubryk, wstawieniu daty i podpisu. Jeżeli z jakichkolwiek przyczyn nie wszystkie pola na formularzu można wypełnić, wówczas należy niewypełnione pola przekreślić lub wpisać „nie dotyczy”. Protokoły i raporty z badań, przeglądów, spotkań, itp., należy sporządzać w sposób przejrzysty i estetyczny, pamiętając o umieszczeniu danych osoby
opracowującej, daty i podpisu..
2.2. Identyfikacja zapisów jakości
Pełnomocnik ds. SZBI/AsADO lub
inna osoba wskazana w procedurze
Każdy zapis winien posiadać, co najmniej:
nazwę zapisu (świadectwo, protokół, raport, notatka itp.)
numer kolejny, w przypadku zapisów podlegających numeracji
datę ustanowienia,
określenie przedmiotu zapisu,
podpis ustanawiającego.
Zapisy stanowiące załączniki oraz zapisy posiadające załączniki należy dodatkowo opisać w sposób podający przyporządkowanie. Zapisy przechowywane jako pliki komputerowe na dysku twardym komputera oznaczane są skrótem nazwy i przedmiotu zapisu oraz numerem kolejnym lub datą i zabezpieczone hasłem. Zaleca się tworzenie folderów tematycznych dla zapisywania dokumentów
przyporządkowanych.
2.3. Gromadzenie, porządkowanie i przechowywanie zapisów SZBI
Pełnomocnik ds. SZBI/AsADO lub
inna osoba wskazana w procedurze
Zapisy dotyczące jakości gromadzone są na bieżąco w miarę ich powstawania, są rejestrowane oraz archiwowane w kolejności wprowadzania do akt. Ukończone zapisy umieszczane są w oznaczonych skoroszytach, segregatorach lub pojemnikach.
Zgromadzone zapisy przechowywane są i utrzymywane przez zainteresowane komórki organizacyjne w warunkach zapewniających ich poufność, dostępność i integralność na wymaganym poziomie. Segregatory z zapisami należy przechowywać w szafach lub na regałach w zamykanych pomieszczeniach. Zapisy w formie
papierowej przechowywane są w sposób uporządkowany chronologicznie i tematycznie w opisanych segregatorach. Zapisy w formie elektronicznej
przechowywane są na dyskach twardych komputerów komórki organizacyjnej lub na serwerach Urzędu. Miejsce i czas przechowywania zapisów z uwzględnieniem wymogów własnych i prawnych, podaje załącznik do niniejszej procedury „Wykaz zapisów SZBI”.
Dokumenty związane zal_4_P08-Wykaz_zapisów_SZBI
P08-Procedury SZBI, wyd.1 7 z 8 3. AUDYT WEWNĘTRZNY SZBI
Cel procedury Zapewnienie, że wprowadzony i stosowany System Zarządzania Bezpieczeństwem Informacji podlega ciągłemu nadzorowi, w wyniku którego wprowadza się działania mające na celu ciągłe jego doskonalenie i eliminowanie bieżących nieprawidłowości.
Zakres procedury Procedura dotyczy całej działalności urzędu objętej Systemem Zarządzania Bezpieczeństwem Informacji.
Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia
zarządzeniem.
Podstawa dokumentu ISO 9001 – 8.2.2; ISO 27001 – 9.2; KZ – E21 Działanie / odpowiedzialny Opis działania
3.1. Ustalenie programu audytów wewnętrznych
Pełnomocnik ds. SZBI/AsADO
wejście : obowiązek audytu wewnętrznego w zakresie bezpieczeństwa informacji Pełnomocnik ds. SZBI/AsADO sporządza program audytów na formularzu (zal_5_P08) na dany rok. Zakres audytu w poszczególnych komórkach ustala w taki sposób aby uwzględnić w nim:
wagę poszczególnych elementów systemu dla celów urzędu;
problemy występujące w praktyce działania urzędu w obszarze poszczególnych elementów systemu.
Audyt wewnętrzny powinien objąć wszystkie komórki organizacyjne i całą działalność w obszarze SZBI.
wyjście z procesu - > wejście do procesu: 3.2 3.2. Plan - harmonogram
audytów
Pełnomocnik ds. SZBI/AsADO
wejście z procesu: 3.1
Na podstawie programu sporządza się plan audytów wewnętrznych i dokumentuje na formularzu (zal_6_P08). W każdej jednostce organizacyjnej urzędu wykonywany jest co najmniej jeden audyt rocznie, jednakże Pełnomocnik ds. SZBI/AsADO może ustalić dla określonej jednostki ich większą ilość, biorąc pod uwagę:
złożoność zadań komórki;
znaczenie działalności komórki dla wyników urzędu;
stan dyscypliny realizacji ustalonych wymagań w danej komórce.
wyjście z procesu, wejście do procesu: 3.3 3.3. Zatwierdzenie planu i
programu audytów wewnętrznych SZBI
Burmistrz
wejście z procesu:3.2
Plan i program audytów podlega zatwierdzenie przez Burmistrza. Zatwierdzenie programu i planu wiąże się z upoważnieniem Pełnomocnik ds. SZBI/AsADO oraz z przydzieleniem niezbędnych zasobów do prowadzenia działań audytowych.
W przypadku stwierdzenie konieczności do planu i programu audytu można dopisać działania audytowe doraźne, wymagają one jednak akceptacji Burmistrza.
wyjście z procesu, wejście do procesu: zatwierdzony plan i program audytów
P08-Procedury SZBI, wyd.1 8 z 8 4. HISTORIA DOKUMENTU
3.4. Organizacja i prowadzenie działań audytowych
Pełnomocnik ds. SZBI/AsADO oraz wyznaczony
Audytor Wewnętrzny
wejście z procesu: zatwierdzony plan i program audytów
Nie później niż 14 dni przed planowanym audytem w danej komórce Pełnomocnik ds.
SZBI/AsADO wystawia Kartę audytu, formularzu (zal_7_P08), w której:
wyznacza audytowaną komórkę;
ustala zakres i termin audytu;
wyznacza audytora wewnętrznego i powiadamia zainteresowanych o swoich decyzjach.
Audyt wewnętrzny może przeprowadzać:
Pełnomocnik ds. SZBI/AsADO osobiście;
Wyznaczony pracownik urzędu, posiadający odpowiednie, udokumentowane kwalifikacje audytora, nie powiązany bezpośrednio z przedmiotem audytu;
audytor zewnętrzny, o odpowiednich kwalifikacjach, zgodnych z wymaganiami normy PN-EN ISO 19011.
Wyznaczony audytor sporządza listę pytań kontrolnych na formularzu (zal_8_P08), obejmującą pełny zakres audytu (wyznaczone w Karcie audytu obszary SZBI oraz obowiązujące przepisy i normy). Listę przedstawia do oceny Pełnomocnik ds.
SZBI/AsADO. Audytor przeprowadza audyt zbierając obiektywne dowody,
potwierdzające zgodności lub niezgodności praktyki postępowania z wymaganiami.
Notatki sporządza na odwrocie „listy pytań kontrolnych” formularzu (zal_8_P08).
Audytor formułuje stwierdzone niezgodności na karcie audytu, omawiając je z audytowanym i uzyskuje jego pisemne potwierdzenie na karcie audytu. W przypadku odmowy potwierdzenia niezgodności, audytowany sporządza w trakcie audytu notatkę wyjaśniającą w celu dołączenia do karty audytu.
Audytowany może usunąć stwierdzone niezgodności w trakcie audytu, o ile są naprawialne – zdarzenie takie wpisuje się do karty audytu jako spostrzeżenie.
Niezwłocznie po zakończeniu audytu, Audytor przekazuje do Pełnomocnika ds.
SZBI/AsADO kartę audytu wraz z listą pytań i ewentualnymi notatkami oraz omawia wyniki audytu.
wyjście z procesu, wejście do procesu: zrealizowane działanie audytowe, wypełniona karta audytu wewnętrznego(zal_7_P08)) i lista pytań kontrolnych(zal_8_P08).
3.5. Zamknięcie działania audytowego
Pełnomocnik ds. SZBI/AsADO
wejście z procesu: dokumentacja działanie audytowego
Pełnomocnik ds. SZBI/AsADO dokonuje przeglądu zapisów w karcie audytu i związanej dokumentacji audytowej, a następnie podejmuje decyzję w sprawie podjęcia działań korygujących.
Pełnomocnik ds. SZBI/AsADO przechowuje zapisy dotyczące planowania audytu, przeprowadzania audytów oraz działań korygujących przez okres co najmniej 4 lat.
wyjście z procesu, wejście do procesu: zamknięcie działania audytowego / podjęcie działań korygujących lub zapobiegawczych – zgodnie z procedurą:
P03-Zarządzanie_incydentami
Data / wydanie Opis zmiany
01.06.2016 / wyd. 1 Utworzenie dokumentu.
Załącznik nr 1Procedury SZBI Dokument SZBI Urząd Gminy Kęty
R e je st r z m ia n w d o ku m e n ta cji S ZB I
Zal_1_P08; wyd.11 z 1 Lp. Nazwa dokumentu / oznaczenie Numer wniosku / dokument wprowadzający lubanulujący Treść / zakres zmiany Numer wydania dokumentu pozmianie Terminwprowadzenia zmiany pozycja dokumentu wrejestrzeZałącznik nr 2Procedury SZBI Dokument SZBI Urząd Gminy Kęty
K ar ta p rz e glą d u d o ku m e n ta cji S ZB I
Zal_2_P08; wyd.11 z 1N u me r k ar ty : . ... .... ... ... ... ... .... ... ... ... .... ... ... ... ... .... ... .... ... ... .... ... ... ... ... .... ... ... ... .... ... ... ... ... .... ... ... ... .... ... ... ... .... ... ... .... ... ... ... ... .... ... ... ... .... ... ... ... .... ..
Zak re s p rz eg ląd u : . ... ... ... ... ... .... ... ... ... .... ... ... ... ... .... ... ... ... ... ... ... .... ... ... ... .... ... ... ... ... .... ... ... ... .... ... ... ... ... .... .... ... ... ... ... ... .... ... ... ... .... ... ... ... ... .... ... ... .
P o w ó d p rz eg ląd u : . ... ... .... ... ... ... ... .... ... ... ... .... ... ... ... ... ... ... .... ... ... ... ... .... ... ... ... .... ... ... ... .... ... ... ... ... .... ... ... ... .... ... ... .... ... ... ... ... .... ... ... ... .... ... ... ... .... ..
Lp . N u me r i n az w a d o ku me n tu N u me r i d at a w yd an ia O p in ia / U w ag i / St at u s
1
2
3
D o ko n u jąc y p rz eg ląd u : .. ... ... ... .... ... ... ... ... .... ... ... ... .... ... ... ... ... ... .... ... ... ... .... . D at a i p o d p is p rz eg ląd ając eg o … … … ... ... .... ... ... ... .... ... ... ... ... .
Zat w ie rd za jąc y p rz eg ląd : . ... ... ... .... ... ... ... ... .... ... ... ... ... ... ... .... ... ... ... ... .... ... ... D at a i p o d p is z at w ie rd za jąc eg o ... ... .... ... ... ... .... ... ... ... ... .... ... .
Załącznik nr 3
Procedury SZBI Dokument SZBI
Urząd Gminy
Kęty Wykaz druków i formularzy nadzorowanych
Zal_3_P08; wyd.1 1 z 1
Lp. Nazwa dokumentu / oznaczenie Wydanie / data wydania Uwagi
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
Dokument sporządził (data i podpis): ………...
Załącznik nr 4
Procedury SZBI Dokument SZBI
Urząd Gminy
Kęty Wykaz zapisów SZBI
Zal_4_P08;wyd. 1 1 z 1
Lp. Nazwa dokumentu Miejsce
przechowywania
Czas przechowywania
Dokument sporządził (data i podpis): ………...
Załącznik nr 5Procedury SZBIDokument SZBI Urząd Gminy KętyProgram audytów wewnętrznych SZBI 4.3 Określanie zakresu działania systemu zarządzaniabezpieczeństwem informacji 4.4System zarządzania bezpieczeństwem informacji 5 Kierownictwo
5.1Kierownictwo i jego zaangażowanie
Zal_5_P08; wyd.12 z 10 Nr wymogu Obszar wymagania normy ISO/IEC 27001
Zal_5_P08; wyd.13 z 10 Nr wymogu Obszar wymagania normy ISO/IEC 27001
Zal_5_P08; wyd.14 z 10 Nr wymogu Obszar wymagania normy ISO/IEC 27001
Zal_5_P08; wyd.15 z 10 Nr wymogu Obszar wymagania normy ISO/IEC 27001
A.9.2.4 Zarządzanie poufnymi informacjami uwierzytelniającymi użytkownikówA.9.2.5Przegląd praw dostępu użytkowników
A.9.2.6Odebranie lub dostosowanie praw dostępu
Zal_5_P08; wyd.16 z 10 Nr wymogu Obszar wymagania normy ISO/IEC 27001
Zal_5_P08; wyd.17 z 10 Nr wymogu Obszar wymagania normy ISO/IEC 27001
A.12.5.1 Instalacja oprogramowania w systemachoperacyjnych A.12.6Zarządzanie podatnościami technicznymi
A.12.6.1Zarządzanie podatnościami technicznymi
Zal_5_P08; wyd.18 z 10 Nr wymogu Obszar wymagania normy ISO/IEC 27001 A.14.1.2 Zabezpieczanie aplikacji usługowychw sieciach publicznychA.14.1.3Ochrona transakcji usług aplikacyjnych
A.14.2 Bezpieczeństwo w procesach rozwojowych i wsparciaA.14.2.1Polityka bezpieczeństwa prac rozwojowych
A.14.2.2Procedury zarządzania zmianą w systemie
A.14.2.3 Techniczny przegląd aplikacji po zmianach wsystemie operacyjnym A.14.2.4 Ograniczenia dotyczące zmian w pakietachoprogramowaniaA.14.2.5Zasady budowy bezpiecznego systemu
A.14.2.6Bezpieczne środowisko rozwojowe
A.14.2.7 Prace rozwojowe powierzone firmiezewnętrznej A.14.2.8Testowanie bezpieczeństwa systemu
A.14.2.9Testy odbiorowe systemu
A.14.3Dane testowe
Zal_5_P08; wyd.19 z 10 Nr wymogu Obszar wymagania normy ISO/IEC 27001
Zal_5_P08; wyd.110 z 10 Nr wymogu Obszar wymagania normy ISO/IEC 27001
A.18.1.5 Regulacje dotyczące zabezpieczeńkryptograficznych A.18.2Przeglądy bezpieczeństwa informacji
A.18.2.1Niezależny przegląd bezpieczeństwa informacji
A.18.2.2 Zgodność z politykami bezpieczeństwa istandardami A.18.2.3Przegląd zgodności technicznej
Załącznik nr 6Procedury SZBI Dokument SZBI Urząd Gminy Kety
H ar m o n o gr am a u d yt ó w w e w n ę tr zn yc h S ZB I
Zal_6_P08;wyd.11 z 1N r a ud itu K o m ór ka o rg an iza cy jn a R o k 2 01 6
I kw ar ta ł II kw ar ta ł III k w ar ta ł IV kw ar ta ł
1
2
3
4
5
6
7
8
910
11
12
13
14
15
16
17
Załącznik nr 7
Procedury SZBI Dokument SZBI
Urząd Gminy
Kęty Karta audytu wewnętrznego
Zal_7_P08; wyd.1 1 z 1
Numer karty i audytu
wewnętrznego: Termin audytu: data, godz.:
Audytowany:
Komórka organizacyjna:
Audytor
wewnętrzny:
Zakres audytu
procedury, księga jakości, procesy, wymogi prawne, punkty norm.
Pełnomocnik:
data, podpis
dalej wypełnia audytor wewnętrzny
Spostrzeżenia/
niezgodności
L.p. n/s
Treść spostrzeżenia/niezgodności
Potwierdzenie zapisu
Audytowany: data, podpis
Audyt przeprowadził
Audytor: data, podpis
Załącznik nr 8Procedury SZBI Dokument SZBI Urząd Gminy Kęty
Ew id e n cja w yd an yc h a kt yw ó w
* numer dokumentu upoważniającego do wydania aktywu (np. numer umowy powierzenia danych osobowych POW.1/2015)
Zal_8_P08; wyd.11 z 3
A kt yw in fo rm a cy jn y: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
d o ty cz y w yd an ie a kt yw u zw ro t a kt yw u
imię nazwisko/osoba pobierająca aktyw, akta, dokumenty itp./ *umowa nr. oznaczeniedata podpis/ osoby pobierającej aktyw/ data podpis / odbierającego aktyw/* numer dokumentu upoważniającego do wydania aktywu (np. numer umowy powierzenia danych osobowych POW.1/2015)
Zal_8_P08; wyd.12 z 3
A kt yw in fo rm a cy jn y: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
d o ty cz y w yd an ie a kt yw u zw ro t a kt yw u
imię nazwisko/osoba pobierająca aktyw, akta, dokumenty itp./ *umowa nr. oznaczeniedata podpis/ osoby pobierającej aktyw/ data podpis / odbierającego aktyw/* numer dokumentu upoważniającego do wydania aktywu (np. numer umowy powierzenia danych osobowych POW.1/2015)
Zal_8_P08; wyd.13 z 3
A kt yw in fo rm a cy jn y: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
d o ty cz y w yd an ie a kt yw u zw ro t a kt yw u
imię nazwisko/osoba pobierająca aktyw, akta, dokumenty itp./ *umowa nr. oznaczeniedata podpis/ osoby pobierającej aktyw/ data podpis / odbierającego aktyw/Urząd Gminy Kęty
Dokument Systemu Zarządzania Bezpieczeństwem Informacji
P09-Procedury zarządzania SI, wyd.1 1 z 7