Zakres Polityki i cele Systemu Zarządzania Bezpieczeństwem Informacji

Niniejszy dokument Polityki Systemu Zarządzania Bezpieczeństwem Informacji (PSZBI) jest dokumentem zawierającym ogólne zasady i definicje związane z ochroną informacji i bezpieczeństwa jej przetwarzania.

Stanowi on fundament dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Dokument Polityki Systemu Zarządzania Bezpieczeństwem Informacji (PBI) jest dokumentem zawierającym ogólne zasady i definicje związane z ochroną informacji. Stanowi on fundament dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), jest dokumentem pierwszego rzędu. SZBI jest traktowany jako uzupełnienie dla Systemu Kontroli Zarządczej. System Kontroli Zarządczej jest dla SZBI systemem nadrzędnym.

Polityka i System Zarządzania Bezpieczeństwem Informacji zakresem stosowania obejmuje wszystkie komórki organizacyjne Urzędu, wszystkich pracowników Urzędu. Niniejszy system dotyczy wszystkich osób biorących udział w sposób bezpośredni lub pośredni w gromadzeniu, przetwarzaniu danych, w tym danych osobowych.

W ramach systemu ustala się wewnętrzne procedury i instrukcje określające zasady bezpiecznego postępowania z informacją zarówno elektroniczną jak i tradycyjną - papierową, celem zachowania wszystkich atrybutów bezpieczeństwa informacji tj.:

A. poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,

B. integralność danych – rozumianą jako właściwość polegająca na zapewnieniu dokładności i kompletności aktywów oraz metod jej przetwarzania (między innymi zapewnienie, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany),

C. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie,

D. dostępność danych - rozumianą jako właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu oraz zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią z aktywów wtedy, gdy jest to potrzebne.

Polityka Systemu Zarządzania Bezpieczeństwem Informacji

Urzędu Gminy Kęty czerwiec 2016

P06-Polityka SZBI, wyd. 1 5 z 12

Polityka Systemu Zarządzania Bezpieczeństwem Informacji, ukierunkowana jest na realizację celów bezpieczeństwa informacji, którym system ma służyć. Są nimi:

A. zapewnienie ochrony informacji przed nieupoważnionym dostępem;

B. zapewnienie poufności, dostępności i integralności informacji przetwarzanych w Urzędzie Gminy Kęty zgodnie z wymaganiami prawnymi;

C. zapewnienie, że szkolenia z zakresu bezpieczeństwa informacji są pracownikom organizowane na odpowiednim poziomie;

D. zapewnienie, że wszelkie naruszenia bezpieczeństwa informacji oraz słabe punkty SZBI są raportowane i badane;

E. zapewnienie, że zachowanie ciągłości realizacji zadań publicznych odbywa się w oparciu o udokumentowane plany, weryfikowane i testowane w stopniu umożliwiającym potwierdzenie ich przydatności;

F. zapewnienie, że poziom bezpieczeństwa informacji jest podnoszony wraz z rozwojem SZBI.

W ramach planowania Pełnomocnik może formułować szczegółowe cele, jakie mają być osiągane w związku z rozwojem i doskonaleniem SZBI. Cele te będą ujęte w osobnym dokumencie oraz oparte będą o wymagania PN-ISO/IEC 27001:2014-12 pkt. 6.2.

Aktualizacja formularzy powiązanych z niniejszym dokumentem nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem.

3. Podstawowe definicje

Ustawie – rozumie się ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r.

poz. 2135 ze zm);

Administratorze Danych Osobowych (ADO) – oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych - Burmistrz Gminy Kęty.

Pełnomocniku ds. Systemu Zarządzania Bezpieczeństwem Informacji (PSZBI)- rozumie się przez to osobę która w imieniu Burmistrza sprawuje nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji.

Asystent Administratora Danych Osobowych (AsADO) – rozumie się przez to osobę, którą Administrator Danych Osobowych powołał do wsparcia w wypełnianiu ustawowych obowiązków;

Administratorze Systemów Informatycznych (ASI) – rozumie się przez to osobę, której Administrator Danych Osobowych powierzył pełnienie obowiązków Administratora Systemów Informatycznych w odniesieniu do systemu nadzoru nad informacją (aktywami) funkcjonującą w systemach informatycznych;

System Zarzadzania Bezpieczeństwem Informacji (SZBI) – system zarządzający bezpieczeństwem informacji w oparciu o wymogi normy PN-ISO/IEC 27001,

Urzędzie – rozumie się Urząd Gminy Kęty;

danych – każdą informację (tekst, cyfry, wykres, rysunek, dźwięk, animację, zapis audio i video), która może być przetworzona;

danych osobowych – w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

danych wrażliwych – rozumie się przez to dane określone w artykule 27 ustawy, a więc dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność

Polityka Systemu Zarządzania Bezpieczeństwem Informacji

Urzędu Gminy Kęty czerwiec 2016

P06-Polityka SZBI, wyd. 1 6 z 12

wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym;

zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;

dokumentacji bezpieczeństwa informacji – rozumie się przez to dokument Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych, Instrukcję Zarządzania Systemem Informatycznym oraz pozostałe polityki, regulaminy, procedury, instrukcje, formularze przyjęte do stosowania w Urzędzie, mające na celu wskazanie reguł i zasad postępowania w związku z przetwarzaniem informacji;

haśle – rozumie się przez to co najmniej 8-znakowy ciąg znaków literowych, cyfrowych, zawierający duże i małe litery oraz znaki specjalne, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

identyfikatorze użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w wyznaczonych przez Administratora Danych Osobowych obszarach systemu informatycznego;

incydencie bezpieczeństwa – rozumie się przez to czynności, zdarzenia, zjawiska naruszające przepisy niniejszej polityki bezpieczeństwa oraz pozostałych dokumentów bezpieczeństwa informacji, mogące zagrozić utracie aktywów informacyjnych Urzędu, ich integralności lub dostępności, a także dopuścić do nieuprawnionego dostępu do danych, mogące stanowić sytuację kryzysową;

procedurach ochrony danych osobowych – rozumie się przez to sposób przetwarzania danych osobowych oraz warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych w taki sposób, by zachować ich tajemnicę, zapewnić ochronę przed zniszczeniem i kradzieżą, określone wymogami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm) oraz wymogami niniejszej Polityki;

przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, wprowadzanie do systemu, przechowywanie, opracowywanie, zmienianie, usuwanie i udostępnianie;

rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

służbach informatycznych – rozumie się przez to informatyków zatrudnionych w Urzędzie;

serwisancie – rozumie się przez to firmę lub pracownika firmy zajmującej się dostawą, instalacją, naprawą i konserwacją sprzętu komputerowego;

systemie informatycznym – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych, w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną;

systemy przetwarzania informacji – tzn. informacje mogą być przetwarzane wyłącznie w systemach, które spełniają warunki opisane w PBI oraz spełniające wymogi prawa;

sytuacją kryzysową – jest to wystąpienie, zagrożenie lub domniemanie kradzieży, nieautoryzowanego dostępu, modyfikacji, zatajenia lub utraty (zniszczenia) przetwarzanej w systemie informacji zastrzeżonej.

Każdy system informatyczny (SI) powinien przechodzić okresowe audyty bezpieczeństwa;

użytkowniku – rozumie się przez to pracownika Urzędu, zatrudnionego na podstawie, umowy o pracę, umowy zlecenia lub innej umowy przewidzianej przepisami prawa oraz osobę odbywającą staż, praktykę studencką, wolontariat, który przetwarza dane osobowe znajdujące się w zbiorach danych;

zbiorze danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw danych osobowych, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Polityka Systemu Zarządzania Bezpieczeństwem Informacji

Urzędu Gminy Kęty czerwiec 2016

P06-Polityka SZBI, wyd. 1 7 z 12