Zarządzenia Prezydenta Miasta Szczecin z 2023 r.

ZARZĄDZENIE NR 312/23
PREZYDENTA MIASTA SZCZECIN
z dnia 28 czerwca 2023 r.

w sprawie określenia zasad bezpieczeństwa informacji oraz wytycznych dla Polityki Bezpieczeństwa Informacji Urzędu Miasta Szczecin

Na podstawie art. 33 ust. 3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2023 r. poz. 40 i 572), art. 13 ust. 1 ustawy 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2023 r. poz. 57), oraz art. 24 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1, Dz. Urz. UE L 127 z 23.05.2018, s. 2 oraz Dz. Urz. UE. L 74 z 04.03.2021, s. 35) zarządzam, co następuje:

§ 1. Ilekroć w Zarządzeniu jest mowa o:

1) ADO - należy przez to rozumieć Administratora danych - osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

2) ASI - należy przez to rozumieć Administratora Systemu Informacyjnego - osoby wyznaczone przez ADO, odpowiedzialne za sprawne działanie systemów informatycznych, reagowanie na zagrożenia oraz administrowanie infrastrukturą informatyczną Urzędu i narzędziami programowania i systemami;

3) ASU – Administratora Systemu Użytkowego - należy przez to rozumieć osobę wyznaczoną przez Dyrektora Wydziału Informatyki do pełnienia takiej funkcji, odpowiedzialną za funkcjonowanie systemów użytkowych, nadawanie, odbieranie uprawnień do poszczególnych modułów lub funkcji systemu użytkowego;

4) aktywach – należy przez to rozumieć wszystko co ma wartość dla Urzędu Miasta Szczecin w szczególności zasoby: osobowe, majątkowe, rzeczowe;

5) aktywach informacyjnych – należy przez to rozumieć wszelkie zasoby oraz systemy, infrastrukturę, urządzenia i oprogramowanie wykorzystywane w celu przetwarzania informacji;

6) bezpieczeństwie informacji – należy przez to rozumieć zapewnienie poufności, integralności i dostępności aktywów informacyjnych;

7) ciągłości działania – należy przez to rozumieć zdolność jednostki do wykonywania zadań publicznych (przywrócenia jej działań) w trakcie zakłócenia przez akceptowalne ramy czasowe (okres reagowania na incydenty);

8) czynności przetwarzania – należy przez to rozumieć zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane;

9) dostępności – należy przez to rozumieć właściwość polegającą na pozostawaniu informacji jako dostępnej, użytecznej na żądanie autoryzowanej osoby lub podmiotu;

10) elektronicznych Nośnikach Informacji (ENI) - należy przez to rozumieć zewnętrzne nośniki danych, w szczególności płyty CD, DVD, Pendrive, pamięci typu FLASH, które muszą zostać zgłoszone i zarejestrowane przez ASI;

11) firewall (zapora sieciowa) – należy przez to rozumieć urządzenie zabezpieczające sieć, które monitoruje przychodzący i wychodzący ruch sieciowy i decyduje o jego przepuszczeniu lub zablokowaniu w oparciu o zestaw określonych zasad;

12) haśle - należy przez to rozumieć ciąg znaków literowych, cyfrowych lub innych, znany jedynie użytkownikowi;

13) incydencie bezpieczeństwa – należy przez to rozumieć niepożądane zdarzenie lub serię zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań kluczowych i mogą mieć negatywny wpływ na bezpieczeństwo aktywów informacyjnych;

14) identyfikatorze - należy przez to rozumieć ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący użytkownika upoważnionego do przetwarzania danych osobowych w systemie informatycznym;

15) integralności – należy przez to rozumieć właściwość polegająca na zapewnieniu dokładności i kompletności informacji;

16) intranecie - należy przez to rozumieć sieć komputerową, ograniczającą się do komputerów w Urzędzie, umożliwiającą korzystanie przez użytkowników usług stron www czy poczty elektronicznej;

17) jednostce – należy przez to rozumieć jednostkę organizacyjną Urzędu (wydział, biuro, samodzielne stanowisko);

18) kierowniku - należy przez to rozumieć Kierownika jednostki organizacyjnej Urzędu;

19) LAN - należy przez to rozumieć lokalną sieć łączącą komputery na określonym obszarze np. w Urzędzie;

20) osobie upoważnionej do przetwarzania danych osobowych – należy przez to rozumieć osobę, która upoważniona została do przetwarzania danych osobowych poprzez upoważnienie na piśmie przez ADO lub upoważnioną przez niego osobę;

21) podatności - należy przez to rozumieć pewnego rodzaju słabość, odnosi się do braku odporności jednostki na wskutek wrogiego środowiska. Zjawisko podatności wykorzystywane jest przez zagrożenia i prowadzi do strat;

22) podmiocie zewnętrznym - należy przez to rozumieć inną organizację, instytucję, inny Urząd;

23) PBI – należy przez to rozumieć politykę bezpieczeństwa informacji – dokument o znaczeniu strategicznym dającym możliwość efektywnego zarządzania bezpieczeństwem informacji w Urzędzie;

24) poufności – należy przez to rozumieć właściwość polegającą na tym, że informacja nie jest udostępniana ani ujawniana nieautoryzowanym osobom lub podmiotom;

25) privacy by design - należy przez to rozumieć wdrażanie odpowiednich środków technicznych i organizacyjnych przez Administratora danych osobowych zarówno przed przystąpieniem do przetwarzania (tj. w fazie planowania / projektowania sposobów przetwarzania) danych osobowych, jak i w czasie samego przetwarzania, mająca na celu zapewnienie zgodności z RODO;

26) publicznej sieci telekomunikacyjnej - należy przez to rozumieć sieć w rozumieniu ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2022 r. poz. 1648, 1933 i 2581);

27) raporcie - należy przez to rozumieć przygotowane przez system informatyczny zestawienie zakresu i treści przetwarzanych danych;

28) rozliczalności - należy przez to rozumieć właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

29) RODO – należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1, Dz. Urz. UE L 127 z 23.05.2018, s. 2 oraz Dz. Urz. UE. L 74 z 04.03.2021, s. 35);

30) serwisancie – należy przez to rozumieć pracownika Referatu Wsparcia Użytkowników WInf, firmę lub pracownika firmy zajmującej się instalacją, naprawą, konserwacją sprzętu komputerowego lub systemu/ programu komputerowego;

31) sieci lokalnej VPN - należy przez to rozumieć połączenie jednostek komputerowych pracujących w Urzędzie w celu wymiany danych (informacji) dla własnych potrzeb, przy wykorzystaniu urządzeń telekomunikacyjnych, realizowane przez sieć prywatną lub sieć publiczną, taką jak Internet. Połączenie jest ustanowione logicznie (wirtualnie) pomiędzy dwoma lub wieloma węzłami sieci komputerowej umożliwiające bezpieczną łączność pomiędzy uczestnikami tej sieci;

32) słownikach systemowych - należy przez to rozumieć składniki programu (systemu) jako obiekty i procedury służące do gromadzenia stale powtarzających się informacji np. słowniki kodów pocztowych, nazw, ulic miejscowości, organizacji oraz ich udostępniania;

33) systemie informatycznym – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

34) systemie pocztowym - należy przez to rozumieć oprogramowanie zgodne ze standardami poczty elektronicznej w Internecie służące do wymiany informacji oraz zarządzania kalendarzami współdzielonymi;

35) SZBI – należy przez to rozumieć System Zarządzania Bezpieczeństwem Informacji - zbiór procedur, wytycznych oraz przydzielonych zasobów oraz aktywności, zarządzanych wspólnie przez Urząd w celu ochrony swoich zasobów informacyjnych;

36) środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych;

37) umowie powierzenia - należy przez to rozumieć umowę zawartą na piśmie przez ADO z podmiotem zewnętrznym, któremu zostało powierzone przetwarzanie danych w rozumieniu art. 28 RODO;

38) Urzędzie – należy przez to rozumieć Urząd Miasta Szczecin;

39) urządzeniach mobilnych – należy przez to rozumieć (przenośne) urządzenia elektroniczne pozwalające na przetwarzanie, odbieranie oraz wysyłanie danych bez konieczności utrzymywania przewodowego połączenia z siecią, w szczególności laptop, tablet, smartfon;

40) uwierzytelnianiu – należy przez to rozumieć działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

41) usłudze – należy przez to rozumieć czynności niematerialne (np. porada techniczna, audyt, szkolenie) lub materialne (produkcja, wykonawstwo, dostarczanie);

42) użytkowniku - należy przez to rozumieć osobę upoważnioną do przetwarzania danych osobowych zarówno w systemach tradycyjnych, w tym systemie informatycznym (m.in. pracownik, praktykant, stażysta, osoba wykonująca pracę na podstawie umowy cywilnoprawnej);

43) WInf – należy przez to rozumieć Wydział Informatyki Urzędu;

44) właścicielu aktywa (zasobu) – należy przez to rozumieć osobę w strukturze organizacyjnej, odpowiedzialną za nadzorowanie, rozwój, utrzymanie, korzystanie i bezpieczeństwo aktywów;

45) zabezpieczeniu danych w systemie informatycznym – należy przez to rozumieć wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;

46) zdarzeniu związanym z bezpieczeństwem informacji – należy przez to rozumieć określony stan, który wskazuje na możliwe naruszenie bezpieczeństwa danych osobowych, błąd zabezpieczenia lub nieznana dotychczas sytuacja, która może być związana z bezpieczeństwem danych osobowych.

§ 2. 1. W Urzędzie wprowadza się zasady bezpieczeństwa informacji oraz wytyczne dla Polityki Bezpieczeństwa Informacji.

2. Bezpieczeństwo informacji oraz systemów, w których są one przetwarzane jest jednym z kluczowych elementów zapewniających realizację zadań Urzędu.

§ 3. System Zarządzania Bezpieczeństwem Informacji.

1. Urząd deklaruje, że SZBI, w tym PBI, został opracowany na podstawie rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247, oraz z 2019 r. poz. 848) oraz polskimi normami stanowiącymi wytyczne:

1) PN-EN ISO/IEC 27001:2017 (Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji - Wymagania);

2) PN-EN ISO/IEC 27002:2017 (Technika Informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji) – w odniesieniu do ustanawiania zabezpieczeń;

3) PN-ISO/IEC 27005:2014-01 (Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji – Wsparcie do Normy PN-EN ISO/IEC 27001:2017);

4) PN-ISO/IEC 24762:2010 Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie.

2. Celem wdrożonego w Urzędzie SZBI jest osiągnięcie właściwego poziomu organizacyjnego i technicznego, który:

1) maksymalnie ograniczy występowanie zagrożeń dla bezpieczeństwa informacji, wynikających z celowej bądź przypadkowej działalności człowieka oraz ich ewentualnego wykorzystania na szkodę Urzędu;

2) zapewni poprawne i bezpieczne funkcjonowanie wszystkich systemów informatycznych przetwarzających informacje;

3) zapewni dokładność i kompletność informacji oraz metod jej przetwarzania (zasada integralności informacji);

4) zapewni, że informacja będzie udostępniana jedynie osobom upoważnionym (zasada poufności informacji);

5) zapewni, że osoby upoważnione będą miały dostęp do informacji i związanych z nią aktywów zawsze wtedy, gdy istnieje taka potrzeba (zasada dostępności informacji);

6) zapewni gotowość do podjęcia działań w sytuacjach kryzysowych dla bezpieczeństwa działania Urzędu, jego interesów, posiadanych i powierzonych jemu informacji oraz będzie gwarantem właściwej ochrony informacji oraz ciągłości procesu ich przetwarzania.

§ 4. Zakres SZBI.

1. Zakres ustanowionego SZBI obejmuje:

1) odpowiedzialność ADO, IOD, ASI oraz użytkowników;

2) zarządzanie pracą użytkownika w systemach teleinformatycznych tj. nadawanie, modyfikacja i cofanie uprawnień oraz rozpoczęcie, zawieszenie/odwieszenie i zakończenie pracy użytkownika w systemie teleinformatycznym;

3) zarządzanie bezpieczeństwem w systemach teleinformatycznych;

4) zabezpieczenia kryptograficzne;

5) zarządzanie bezpieczeństwem i komunikacją w sieciach teleinformatycznych;

6) ochrona przed szkodliwym oprogramowaniem;

7) postępowanie z urządzeniami mobilnymi;

8) nadzór nad oprogramowaniem oraz zarządzanie zmianami i konfiguracją;

9) inwentaryzację sprzętu;

10) postępowanie z nośnikami;

11) projektowanie, wdrażanie i eksploatacja systemów teleinformatycznych;

12) informacje - obejmujące dane osobowe, które Urząd przetwarza w związku z prowadzoną działalnością; informacje niezbędne do ociągnięcia celów Urzędu,

13) operacje przetwarzania: czynności w procesie przetwarzania danych osobowych, które Urząd jest zobowiązany podejmować/utrzymywać, by osiągać cele strategiczne Urzędu przy jednoczesnym zapewnieniu bezpieczeństwa przetwarzanych informacji w Urzędzie.

2. Cele i dobór zabezpieczeń w SZBI prowadzony jest w oparciu o aktualne wymogi prawa powszechnie obowiązującego, zalecenia polskich norm z rodziny ISO 27000 oraz wyniki monitorowania Systemu, w szczególności wyniki szacowania ryzyka w bezpieczeństwie informacji.

3. Stosowane zabezpieczenia fizyczne, techniczne i organizacyjne powinny uzupełniać się wzajemnie, zapewniając wymagany poziom bezpieczeństwa informacji.

4. Informacje przetwarzane w Urzędzie objęte zakresem ustanowionego SZBI klasyfikowane są w grupach:

1) informacje chronione na podstawie powszechnie obowiązujących aktów prawa, takie jak: dane osobowe, kadrowe, finansowo-księgowe, informacje zawarte w aktach spraw uzyskane w trakcie i dla potrzeb postępowań, opinie biegłych, oferty przetargowe przed ich otwarciem, polityki bezpieczeństwa, wewnętrzne procedury dotyczące bezpieczeństwa, strategiczne projekty, informacje zastrzeżone do wyłącznej wiadomości ADO oraz inne tajemnice ustawowo chronione (tajemnice powołane na mocy ustaw, których obowiązek ochrony wynika z tychże ustaw) – chronione ze względu na poufność, integralność i dostępność;

2) pozostałe informacje przetwarzane w Urzędzie, w szczególności informacje, których zakres i tryb udostępniania określa ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej.

5. SZBI nie obejmuje w szczególności:

1) przetwarzania przez Urząd poza systemami teleinformatycznymi, za wyjątkiem prowadzenia dokumentacji systemów teleinformatycznych oraz dokumentacji związanej z administracją i eksploatacją systemów teleinformatycznych;

2) bezpieczeństwa informacji w ramach procesów zarządzania personelem w zakresie innym niż eksploatacja systemów teleinformatycznych;

3) przetwarzania informacji niejawnych w rozumieniu ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych;

4) aktywów służących do przetwarzania informacji niejawnych, w szczególności systemów teleinformatycznych, sprzętu oraz pomieszczeń, w których przetwarzane są informacje niejawne.

6. SZBI podlega przeglądowi w przypadku poważnego naruszenia systemów zabezpieczeń, pojawienia się nowych i istotnych rodzajów ryzyka, zmian regulacji prawnych mających zastosowanie lub wprowadzenie nowych systemów informatycznych lub zmian infrastruktury technicznej. Ponadto SZBI jest przeglądany w cyklu rocznym, tak by zapewnić jego skuteczność w funkcji zachodzących zmian.

7. Co najmniej raz w roku dokonuje się przeglądu zarządzania, wynikiem przeglądu są udokumentowane decyzje najwyższego kierownictwa w zakresie możliwości doskonalenia SZBI i potrzeb jego zmiany.

§ 5. Role i odpowiedzialność w SZBI.

1. W ramach ustanowionego SZBI, role i odpowiedzialność w zakresie bezpieczeństwa informacji zostały zidentyfikowane i przypisane.

2. ADO wytycza kierunek działania systemu ochrony danych oraz podejmuje decyzje w kluczowych sprawach związanych z bezpieczeństwem informacji.

3. ADO odpowiedzialny jest za:

1) zapewnienie zasobów niezbędnych do bieżącego funkcjonowania, utrzymania i ciągłego monitorowania oraz doskonalenia SZBI;

2) zapewnienie, że PBI oraz cele bezpieczeństwa informacji są ustanowione i zgodne z kierunkiem strategicznym Urzędu;

3) zapewnienie, że SZBI osiąga zamierzone wyniki;

4) promowanie ciągłego doskonalenia SZBI;

5) komunikowanie znaczenia skutecznego zarządzania bezpieczeństwem informacji i zgodności z wymaganiami SZBI,

6) kierowanie i wspieranie osób przyczyniających się do osiągnięcia skuteczności SZBI;

7) wspieranie innych członków Urzędu w wykazywaniu przywództwa odpowiednio do obszarów ich odpowiedzialności;

8) definiowanie ról, przypisanie odpowiedzialności i uprawnień w Urzędzie;

9) udział w przeglądach zarządzania i doskonaleniu SZBI;

10) zapewnienie warunków aktualizacji wobec regulacji wewnętrznych w stosunku do zmieniającego się otoczenia;

11) zapewnienie aktualności inwentaryzacji sprzętu i oprogramowania co do rodzaju i konfiguracji;

12) umożliwienie/wykonanie okresowej analizy ryzyka wraz z adekwatnymi do wyniku działaniami minimalizującymi ryzyko;

13) podejmowanie działań zapewniających weryfikację stosownych uprawnień wobec osób uczestniczących w procesie przetwarzania danych;

14) zapewnienie warunków technicznych, organizacyjnych i fizycznych ze szczególnym naciskiem na:

a) szkolenia obejmujące tematykę zagrożeń, skutków naruszenia bezpieczeństwa informacji oraz zapewnienie bezpieczeństwa wraz z minimalizacją ryzyka błędów ludzkich,

b) ochrona przed kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami,

15) zapewnienie odpowiednich środków organizacyjnych i technicznych w celu zapewnienia i wykazania przetwarzania danych osobowych zgodnie z zasadami przetwarzania danych osobowych określonymi w RODO,

16) wytyczanie przez polityki kierunków działania Urzędu w kontekście ochrony informacji;

17) wdrożenie procedur ochrony danych osobowych;

18) prawidłową realizację praw osób, których dane dotyczą;

19) zapewnienie legalności przekazywania danych osobowych do podmiotów trzecich;

20) współpracę z organem nadzorczym w ramach wykonywania przez niego swoich zadań;

21) stosowanie umów powierzenia;

22) nadawanie upoważnień do przetwarzania danych osobowych;

23) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;

24) zapewnienie odpowiednich środków w celu dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych w sytuacji, jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w tym, jeżeli zajdą ku temu odpowiednie przesłanki, konsultacje z organem nadzorczym;

25) dokumentowanie wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych;

26) zgłaszanie naruszenia ochrony danych osobowych właściwemu organowi nadzorczemu, a w przypadku, gdy zajdą ku temu odpowiednie przesłanki, również osobie, której dane dotyczą.

4. Odpowiedzialność za bezpieczeństwo informacji ponoszą wszyscy pracownicy Urzędu, praktykanci, stażyści, wolontariusze i podmioty objęte zakresem ustanowionego SZBI.

5. Przedmiotowa odpowiedzialność polega na przestrzeganiu wymagań prawa powszechnie obowiązującego, zapisów niniejszego dokumentu oraz pozostałych wymogów wskazanych w dokumentacji bezpieczeństwa, w szczególności na:

1) realizacji przypisanych zadań w obszarze bezpieczeństwa informacji;

2) ochronie powierzonych informacji i zabezpieczeniu aktywów wspierających ich przetwarzanie;

3) nieudostępnianiu informacji osobom nieuprawnionym;

4) zachowaniu w tajemnicy chronionych informacji oraz sposobów ich zabezpieczenia;

5) informowaniu o podejrzeniu/wszelkich zauważonych nieprawidłowościach, które mogą mieć wpływ na bezpieczeństwo informacji.

6. W celu realizacji działań, o których mowa w ust. 5, kluczowe role i odpowiedzialność w zakresie bezpieczeństwa informacji została przypisana do obowiązków osób pełniących funkcje w Urzędzie, w szczególności do:

1) ASI – który odpowiada za:

a) definiowanie i wdrażanie zabezpieczeń technicznych w Urzędzie,

b) uczestnictwo w procesie analizy ryzyka w roli eksperta,

c) utrzymywanie zasobów i infrastruktury teleinformatycznej,

d) nadzór nad dostępami do zasobów w Urzędzie,

e) monitorowanie i utrzymanie zasobów i sieci teleinformatycznych Urzędu,

f) zarządzanie dostępnością, potencjałem wykonawczym oraz zdarzeniami,

g) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego,

h) reakcję na zagrożenie i incydenty bezpieczeństwa w Urzędzie,

i) wsparcie i wykonanie elementów składających się na plany ciągłości działania w Urzędzie,

j) nadzór nad stosowaniem środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, a w szczególności przeciwdziałających dostępowi osób niepowołanych do tych systemów,

k) ścisłą współpracę z IOD w zakresie przestrzegania bezpieczeństwa informacji i zasad przetwarzania danych osobowych w systemach informatycznych,

l) opracowywanie oraz aktualizację ogólnego opisu technicznych środków bezpieczeństwa wdrożonych w strukturze ADO,

m) identyfikację i analizę zagrożeń oraz ocenę ryzyka, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych;

n) sprawowanie nadzoru nad kopiami zapasowymi;

o) inicjowanie i nadzór nad wdrażaniem nowych narzędzi, procedur organizacyjnych oraz sposobów zarządzania systemami informatycznymi, które mają doprowadzić do wzmocnienia bezpieczeństwa przy przetwarzaniu danych osobowych,

p) podejmowanie innych czynności w zakresie zabezpieczenia przetwarzania danych w systemach informatycznych,

q) dokonywanie cyklicznych przeglądów aktualności i stosowania procedur z zakresu przetwarzania danych w systemach informatycznych, na podstawie opracowanego planu przeglądów.

2) IOD, który odpowiada za:

a) nadzór nad stosowaniem środków bezpieczeństwa w systemach teleinformatycznych,

b) nadzór nad przestrzeganiem procedur bezpieczeństwa przez ADO oraz użytkowników,

c) proponowanie i uzgadnianie procedur w systemach teleinformatycznych z ADO oraz ASI,

d) informowanie kierownictwa Urzędu oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO i doradzanie im w tej sprawie,

e) monitorowanie przestrzegania RODO, innych przepisów branżowych o ochronie danych oraz wewnętrznych polityk w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

f) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,

g) podejmowanie działań zwiększających świadomość pracowników ADO w zakresie obowiązków wynikających z RODO lub przyjętych procedur,

h) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,

i) udział w procesie realizacji praw osób, których dane dotyczą,

j) udział w procesach związanych z naruszeniami ochrony danych osobowych (koordynacja);

3) ASU – który odpowiada za:

a) nadawanie, aktualizację i odbieranie uprawnień do poszczególnych modułów lub funkcji systemu,

b) testowanie nowych wersji systemu,

c) sprawowanie nadzoru nad prawidłowym działaniem systemu,

d) zgłaszanie dostawcy systemu uwag użytkowników oraz nowych funkcjonalności;

4) Właścicieli zasobów (aktywów) informacyjnych – kierownicy, którzy odpowiadają za:

a) decyzję o przydzielaniu zasobów informacyjnych użytkownikom,

b) wyznaczenie właścicieli procesów informacyjnych,

c) pełnienie nadzoru właścicielskiego (w imieniu Urzędu) nad danymi osobowymi, niezależnie od ich formy przetwarzania,

d) przeprowadzanie oceny skutków przetwarzania danych osobowych w podległych im procesach zgodnie z procedurą domyślnej ochrony danych osobowych (privacy by default) oraz ochrony danych osobowych na etapie projektowania produktu lub usługi (privacy by design),

e) aktualizowanie rejestru czynności przetwarzania danych osobowych w podległych im procesach,

f) inicjowanie zawarcia umów powierzenia z podmiotami, którym dane mają zostać powierzone do dalszego przetwarzania przez Urząd,

g) zgłaszanie naruszeń ochrony danych osobowych, zgodnie z procedurą zarządzania incydentami bezpieczeństwa informacji,

h) koordynowanie działań w zakresie bezpieczeństwa systemów informacyjnych, w szczególności za opracowanie i akceptację wyników analizy ryzyka aktywów informacyjnych, za które odpowiada właściciel procesu - zgodnie z procesem analizy ryzyka,

i) akceptowanie warunków eksploatacji systemów proponowanych przez ASI,

j) współtworzenie regulacji szczegółowych SZBI w zakresie systemu, którego jest właścicielem, w tym zatwierdzanie procedury i zasad obsługi praw dostępu (wszelkie regulacje muszą być zgodne z zasadami polityki bezpieczeństwa oraz SZBI),

k) realizację praw osób, których dane są przetwarzane, w podległych im procesach zgodnie z zaleceniami IOD,

l) wnioskowanie o udzielenie i odbieranie praw dostępu do systemów użytkownikom, zgodnie z Procedurą zarządzania uprawnieniami do zasobów/systemów informatycznych Urzędu stanowiącą Załącznik Nr 24 do Zarządzenia;

5) Właścicieli procesów informacyjnych – użytkownicy, którzy odpowiedzialni są za poszczególne procesy przetwarzania danych osobowych w jednostce.

7. W zakresie wykonywanych obowiązków i zadań niezależnie od siebie ASI i IOD mogą:

1) wydawać wytyczne, rekomendacje, opinie;

2) żądać udzielenia wyjaśnień od wszystkich pracowników jednostek Urzędu w zakresie zdarzeń związanych z bezpieczeństwem informacji i ochroną danych osobowych.

8. ADO może wyznaczyć Pełnomocnika ds. SZBI, który odpowiadać będzie za ogólny nadzór nad działaniem i efektywnością SZBI, w szczególności za:

1) definiowanie, ciągłe doskonalenie i nadzór nad SZBI;

2) koordynowanie wszystkich działań składających się na SZBI;

3) komunikowanie SZBI w Urzędzie;

4) kontakt z organami władzy i grupami zainteresowań z obszaru SZBI;

5) koordynowanie procesu zarządzania ryzykiem w bezpieczeństwie informacji.

§ 6. Polityka Bezpieczeństwa Informacji.

1. Realizując konstytucyjne prawo każdej osoby do ochrony życia prywatnego orazpostanowienia RODO, w celu zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem RODO oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, wprowadza się w Urzędzie Politykę Bezpieczeństwa Informacji, stanowiącą Załącznik Nr 1 do zarządzenia.

2. Nadrzędnym celem PBI i innych instrukcji oraz regulaminów określonych w Zarządzeniu jest zagwarantowanie, że w Urzędzie:

1) stosuje się ogólne zasady przetwarzania wynikające z RODO;

2) zapewnia się, aby dane przetwarzane były zgodnie z prawem;

3) zapewnia się, aby przestrzegane były prawa osób, których dane są przetwarzane;

4) wypełnia się ogólne obowiązki w zakresie przetwarzania danych ciążących na ADO i podmiocie przetwarzającym;

5) zapewnia się bezpieczeństwo przetwarzania danych uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób;

6) stosuje się właściwy dobór zabezpieczeń (środków bezpieczeństwa) oparty na rezultatach i wnioskach wynikających z procesów szacowania i postępowania z ryzykiem, wymagań prawnych, wymagań nadzoru, zobowiązań kontraktowych oraz pozostałych wymagań dotyczących bezpieczeństwa informacji;

7) zapewnia się kontrolę nad przetwarzaniem danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania;

8) testuje, mierzy i ocenia się skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych (audyty, sprawdzenia, kontrole itd.).

3. Dokument ma zastosowanie do wszystkich informacji chronionych niezależnie od formy, w jakiej są przechowywane (papierowej, elektronicznej lub innej).

4. Z dokumentem są zobowiązani zapoznać się wszyscy pracownicy Urzędu, posiadający dostęp do danych osobowych i informacji ustawowo chronionych.

§ 7. Cele bezpieczeństwa informacji.

1. Do głównych celów bezpieczeństwa informacji w Urzędzie należy:

1) zapewnienie bezpieczeństwa aktywów informacyjnych Urzędu (w tym ochrona wizerunku i relacji z podmiotami zewnętrznymi), zgodnie z wymogami obowiązującego prawa oraz adekwatnie do wyników szacowania ryzyka w bezpieczeństwie informacji;

2) usprawnienie funkcjonowania Urzędu poprzez uporządkowanie zasad przetwarzania informacji oraz zarządzanie aktywami informacyjnymi w zorganizowany sposób, tak aby ułatwić ciągłe doskonalenie i dostosowanie do bieżących celów Urzędu;

3) minimalizowanie ryzyka i ograniczanie skutków utraty bezpieczeństwa informacji;

4) maksymalne ograniczenie występowania zagrożeń dla bezpieczeństwa informacji, które wynikają z celowej bądź przypadkowej działalności człowieka oraz ich wykorzystania na szkodę Urzędu;

5) zapewnienie poprawnego i bezpiecznego funkcjonowania wszystkich systemów informatycznych przetwarzających informacje;

6) stałe podnoszenie świadomości pracowników w zakresie bezpieczeństwa informacji.

2. W ramach realizacji celów, o których mowa w ust. 1, adekwatnie do poziomu zidentyfikowanych zagrożeń podejmowane są działania w kierunku osiągnięcia poziomu organizacyjnego i technicznego Urzędu, który w szczególności zapewni:

1) zachowanie poufności przetwarzanych informacji;

2) integralność informacji oraz ich dostępność;

3) uwzględnienie dodatkowych atrybutów bezpieczeństwa zgodnie z wymaganiami i decyzjami;

4) bezpieczne przetwarzanie informacji, w tym zdolność do podejmowania działań w sytuacjach kryzysowych;

5) przypisanie kompetencji i odpowiedzialności w zakresie bezpieczeństwa informacji;

6) szkolenia oraz otrzymanie odpowiedniego poziomu kompetencji i świadomości pracowników Urzędu;

7) zarządzanie poziomem bezpieczeństwa przetwarzanych informacji;

8) analizę i minimalizację zagrożeń oraz właściwe reakcje w sytuacjach zagrożeń;

9) zarządzanie podatnościami;

10) poprawne i bezpieczne funkcjonowanie systemów przetwarzania informacji;

11) zarządzanie ciągłością działania;

12) zarządzanie incydentami bezpieczeństwa;

13) monitorowanie, podejmowanie działań zapobiegawczych i usprawniających skuteczność przyjętych zasad;

14) zgodność jako unikanie przekroczeń jakichkolwiek przepisów prawa, przyjętych zobowiązań czy posiadanych regulacji wewnętrznych ze szczególnym uwzględnieniem:

a) ochrony własności intelektualnej,

b) ochrony danych osobowych i prywatności osób fizycznych,

c) regulacji dotyczących zabezpieczeń kryptograficznych,

d) zgodność z politykami bezpieczeństwa i standardami ISO.

§ 8. Podstawowe zasady bezpieczeństwa informacji.

1. Dążąc do zabezpieczenia informacji i aktywów wspierających ich przetwarzanie wprowadza się do stosowania podstawowe zasady bezpieczeństwa informacji:

1) zasada asekuracji zabezpieczeń – należy przez to rozumieć, że ochrona zasobów nie może opierać się wyłącznie na jednym mechanizmie zabezpieczenia;

2) zasada indywidualnej odpowiedzialności – należy przez to rozumieć, że Urząd dąży do zapewnienia jednoznacznej odpowiedzialności osób za zasoby im powierzone; wszyscy użytkownicy muszą być świadomi swej odpowiedzialności i konsekwencji, które poniosą, jeżeli zaniedbają swoje obowiązki bądź przekażą swoje uprawnienia innym osobom;

3) zasada adekwatności zabezpieczeń – należy przez to rozumieć, że stosowane zabezpieczenia muszą być adekwatne do zidentyfikowanych zagrożeń;

4) zasada bezpiecznej współpracy z podmiotami zewnętrznymi - należy przez to rozumieć, że dokumenty regulujące współpracę z podmiotami zewnętrznymi (m.in. treść umów i porozumień) zawierające zapisy dotyczące bezpieczeństwa informacji, w tym m.in. klauzule bezpieczeństwa o zachowaniu poufności;

5) zasada czystego biurka – należy przez to rozumieć, że w celu wyeliminowania ryzyka przypadkowego lub celowego odczytania informacji, ich skopiowania, zniszczenia lub zmodyfikowania przez osoby nieuprawnione, opuszczając stanowisko pracy należy usunąć dokumenty zawierające informacje inne niż informacje o charakterze jawnym, umieszczając je w przeznaczonych do tego celu zabezpieczonych meblach biurowych;

6) zasada czystego ekranu - należy przez to rozumieć, że na czas nieobecności dostęp do komputera należy skutecznie blokować, a po zakończeniu pracy komputer wyłączyć, chyba że musi on pracować w trybie ciągłym;

7) zasada najsłabszego ogniwa – należy przez to rozumieć, że poziom bezpieczeństwa informacji wyznacza najsłabsze ogniwo (najsłabiej zabezpieczony element) SZBI;

8) zasada podziału obowiązków i zadań - należy przez to rozumieć, że obowiązki i uprawnienia powinny być tak rozdzielone, aby pojedyncza osoba nie dysponowała pełnią uprawnień do wykonywania zadań w całości;

9) zasada uprawnionego dostępu – należy przez to rozumieć, że korzystanie z aktywów informacyjnych Urzędu odbywać się może tylko w oparciu o formalne uprawnienia do korzystania z wybranych aktywów;

10) zasada wiedzy koniecznej – należy przez to rozumieć, że poszczególne osoby posiadają wiedzę o zasobach Urzędu ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych im zadań;

11) zasada uprawnień koniecznych – należy przez to rozumieć, że każda osoba posiada prawa dostępu do zasobów Urzędu ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych jej obowiązków;

12) zasada doskonalenia SZBI - należy przez to rozumieć, że SZBI jest dostosowywany do zmieniających się warunków w oparciu o wyniki okresowo prowadzonego monitorowania i nadzoru.

2. Dodatkowe zasady bezpieczeństwa mogą zostać określone w pozostałych dokumentach wchodzących w skład dokumentacji bezpieczeństwa.

§ 9. Instrukcja określająca sposób zarządzania systemem teleinformatycznym, służącym do przetwarzania danych.

1. W celu określenia zasad przetwarzania danych osobowych oraz korzystania z Internetu w sieci teleinformatycznej Urzędu, wraz zapewnieniem identyfikacji użytkowników, określeniem obowiązków zabezpieczenia posiadanych zasobów teleinformatycznych wprowadza się Instrukcję Zarządzania Systemem Informatycznym Urzędu służącym do przetwarzania danych osobowych, określoną w Załączniku Nr 2 do Zarządzenia.

2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe w Urzędzie jest określony w Załączniku Nr 3 do Zarządzenia.

§ 10. Zarządzanie ryzykiem w bezpieczeństwie informacji.

1. Ocenę ryzyka można przeprowadzić w oparciu o:

1) wszystkie zidentyfikowane zasoby zaangażowane w przetwarzanie danych – podejście rekomendowane lub

2) zidentyfikowane zasoby bezpośrednio powiązane z czynnościami przetwarzania dla których ryzyko jest wysokie.

2. Strategicznym elementem zarządzania aktywami związanymi z przetwarzaniem informacji i bezpieczeństwem informacji w Urzędzie jest przeprowadzanie okresowej analizy ryzyka i opracowanie planu postępowania z ryzykiem.

3. Szczegółowe zasady oceny ryzyka w bezpieczeństwie informacji zostały uregulowane w Procedurze oceny ryzyka z obszaru bezpieczeństwa informacji, stanowiącej Załącznik Nr 18 do Zarządzenia.

§ 11. Podejście oparte na ryzyku.

1. Zasada podejścia opartego na ryzyku zobowiązuje ADO do:

1) respektowania tego, że RODO szczególny nacisk kładzie na ochronę praw i wolności osób, których dane są przetwarzane;

2) dostosowania środków ochrony przetwarzania danych osobowych do skali ryzyka. Ocenia się je pod kątem utraty poufności, integralności i dostępności danych, biorąc pod uwagę:

a) zakres, charakter (wrażliwość) danych,

b) kontekst i cele przetwarzania,

c) kwestie zapewniania bezpieczeństwa usług przetwarzania (niezawodność, integralność i dostępność systemu przetwarzania),

d) zapewnianie autentyczności i rozliczalności danych i podmiotów uczestniczących w przetwarzaniu,

3) koncentrowania się na poszukiwaniu środków redukujących prawdopodobieństwo wystąpienia zagrożeń najbardziej dotkliwych oraz środków redukujących skutki ich wystąpienia.

2. W strukturze Urzędu podejście oparte na ryzyku następuje poprzez:

1) przeprowadzanie oceny ryzyka dla procesów lub sposobów organizacji przetwarzania danych osobowych – uwzględnia się ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

2) dokonywanie kwalifikacji procesów przetwarzania danych osobowych pod kątem konieczności poddania ich ocenie skutków dla ochrony danych osobowych;

3) przeprowadzanie oceny skutków dla ochrony danych osobowych;

4) stosowanie tzw. zasad privacy by design i privacy by default;

5) przeprowadzanie testów równowagi prawnie uzasadnionego interesu ADO;

6) analizę ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze przy uwzględnieniu charakteru, kontekstu, zakresu i celu przetwarzania danych;

7) stały monitoring otoczenia prawnego mającego wpływ na przetwarzanie danych osobowych przez ADO (monitoring zewnętrzny);

8) stały monitoring realizacji wypracowanych założeń w zakresie ochrony danych osobowych w ramach struktury ADO (monitoring wewnętrzny).

3. Skuteczność wdrożonych środków ochrony danych osobowych jest stale monitorowana i udoskonalana, w szczególności w ramach audytów zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz procedurami wdrożonymi w strukturze ADO.

§ 12. Ocena skutków dla ochrony danych - proces oceny ewentualnych skutków zagrożeń dla planowanych operacji przetwarzania.Ocena ryzyka dla procesów lub sposobów organizacji przetwarzania danych osobowych przeprowadzana jest w sytuacjach, gdy istnieje uzasadnione podejrzenie, że dany proces lub sposób organizacji przetwarzania danych osobowych może nieść za sobą ryzyko naruszenia praw lub wolności osób, których dane dotyczą (ze względu na ich charakter, zakres lub cel).

§ 13. Szczegółowe zasady oceny ryzyka oraz oceny skutków dla ochrony danych zostały uregulowane w Procedurze oceny ryzyka dla czynności przetwarzania danych osobowych, stanowiącej Załącznik Nr 19 do Zarządzenia.

§ 14. Ochrona danych w fazie projektowania oraz domyślna ochrona danych.

1. ADO wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu:

1) skutecznej realizacji zasad ochrony danych osobowych;

2) nadania przetwarzaniu danych niezbędnych zabezpieczeń oraz zapewnieniu ochrony praw osób, których dane dotyczą.

2. Wdrażając środki, o których mowa w ust. 1 ADO uwzględnia:

1) stan wiedzy technicznej;

2) koszt wdrażania;

3) charakter, zakres, kontekst i cele przetwarzania danych;

4) ryzyko naruszenia praw lub wolności osób fizycznych wynikające z przetwarzania danych osobowych.

3. ADO wdraża takie środki, o których mowa w ust. 1, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia określonego celu przetwarzania, biorąc pod uwagę:

1) ilość zbieranych danych osobowych;

2) zakres danych osobowych;

3) okres przechowywania danych osobowych;

4) dostępność danych osobowych dla innych osób.

4. ADO zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

5. W pierwszej kolejności, ADO rozważa, czy cel jakiemu ma służyć projektowane rozwiązane jest możliwy do osiągnięcia bez konieczności przetwarzania danych osobowych. Jeśli tak, należy wybrać takie rozwiązanie.

6. ADO zapewnia, aby spełnienie warunków wskazanych w ust. 1-5 było odpowiednio udokumentowane np. w formie notatki, maila, raportu z przeprowadzonych testów systemu informatycznego, wydruku z ekranu systemu itd.

§ 15. Za procesy, o których mowa w § 14 odpowiadają Kierownicy.

§ 16. Test równowagi prawnie uzasadnionego interesu ADO.

1. W przypadkach, kiedy ADO przetwarza lub planuje przetwarzać dane osobowe na podstawie art. 6 ust. 1 lit. f RODO, tj. do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO lub przez stronę trzecią, jest on zobowiązany do przeprowadzenia tzw. testu równowagi.

2. Prawnie uzasadnione interesy ADO lub strony trzeciej, mogą być podstawą przetwarzania danych wyłącznie wtedy, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z ADO nie są nadrzędne interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

3. Procedura testu równowagi prawnie uzasadnionego interesu ADO stanowi Załącznik nr 25 do Zarządzenia.

§ 17. Bezpieczeństwo zasobów ludzkich w zakresie przetwarzania informacji.

1. Celem ograniczenia ryzyka błędu ludzkiego, kradzieży lub nadużycia oraz zapewnienia, że pracownicy Urzędu, praktykanci, stażyści, wolontariusze, zleceniobiorcy oraz inne osoby i podmioty wykonujące czynności w imieniu i na rzecz Urzędu i/lub mające dostęp do aktywów informacyjnych Urzędu są świadomi odpowiedzialności i swoich obowiązków dotyczących bezpieczeństwa informacji oraz, że wypełniają je w odpowiedni sposób i z uwzględnieniem interesów Urzędu, podejmowane są określone działania w obszarze bezpieczeństwa zasobów ludzkich, w szczególności:

1) zapewnienie wykwalifikowanych pracowników i/lub innych osób oraz podmiotów zewnętrznych do realizacji zadań;

2) uwzględnienie odpowiednich zapisów dot. odpowiedzialności w zakresie bezpieczeństwa informacji w umowach zawieranych z ww. osobami i podmiotami;

3) szkolenie ww. osób w zakresie bezpieczeństwa informacji oraz regularne informowanie o aktualizacji polityk i procedur związanych z ich stanowiskiem pracy.

2. Pracownicy Urzędu są zobowiązani do świadomego i odpowiedzialnego przestrzegania bezpieczeństwa informacji i podlegają obowiązkowym szkoleniom z zakresu ochrony informacji w szczególności:

1) przed dopuszczeniem do przetwarzania danych osobowych;

2) podczas zatrudnienia.

3. Zapewnia się szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:

1) zagrożenia bezpieczeństwa informacji;

2) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna;

3) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.

§ 18. Bezpieczeństwo teleinformatyczne, komunikacji.

1. W ramach zarządzania bezpieczeństwem teleinformatycznym podejmowane są działania w zakresie szacowania i kontroli ryzyka utraty poufności, integralności, dostępności informacji w związku z korzystaniem z systemu informatycznego Urzędu oraz aplikacji, komputerów i urządzeń mobilnych, sieci komputerowych i transmisji danych.

2. Przedmiotowe działania podejmowane są w szczególności w zakresie rozwoju, monitorowania i doskonalenia infrastruktury teleinformatycznej.

3. Skuteczna realizacja postawionego celu możliwa jest dzięki:

1) kompetencjom i świadomości pracowników oraz podpisanym umowom ze specjalistycznymi firmami wspomagającymi Urząd;

2) zasadzie, że wszystkie systemy Urzędu przed dopuszczeniem do eksploatacji muszą spełniać minimalne wymagania bezpieczeństwa i być zgodne z obowiązującymi standardami;

3) obowiązującym zasadom konserwacji i redundancji urządzeń sieciowych w celu zapewnienia ich nieprzerwanej pracy;

4) kontrolowaniu wprowadzania zmian do infrastruktury technicznej;

5) zapewnieniu bezpieczeństwa systemów produkcyjnych, poprzez prowadzenie prac rozwojowych i testowych na oddzielnych urządzeniach lub środowiskach;

6) nadzorowaniu usług dostarczanych przez strony trzecie, a w szczególności wszelkim wprowadzanym do nich zmianom. Po zakupie, lub wprowadzeniu zmiany do systemu jest on odbierany i akceptowany w sposób świadomy, uwzględniający jego wpływ na istniejący system bezpieczeństwa;

7) wdrożonym zabezpieczeniom, chroniącym przed złośliwym oprogramowaniem i złośliwym kodem;

8) usystematyzowanemu tworzeniu, przechowywaniu i testowaniu kopii bezpieczeństwa;

9) przestrzeganiu opracowanych zasad zarządzania bezpieczeństwem usług sieciowych;

10) przestrzeganiu opracowanych zasad korzystania z urządzeń i narzędzi komunikacyjnych;

11) przestrzeganiu opracowanych zasad postępowania z nośnikami;

12) bieżącemu monitorowaniu aktywów informacyjnych, w tym informatycznych, pod kątem wcześniejszego wykrycia wszelkich niebezpieczeństw mogących zagrozić bezpieczeństwu systemów;

13) wykrywaniu incydentów w systemach teleinformatycznych i mechanizmom reagowania w przypadkach ich wystąpienia;

14) systematycznym testom penetracyjnym;

15) ograniczonemu dostępowi do niektórych usług internetowych,

16) monitorowaniu poziomu bezpieczeństwa informacji i posiadaniu mechanizmów reagowania w przypadkach wystąpienia incydentów.

§ 19. Bezpieczeństwo fizyczne, środowiskowe.

1. W celu zapobieżenia nieuprawnionemu fizycznemu dostępowi, szkodom i zakłóceniom w przetwarzaniu informacji i środkach przetwarzania informacji oraz utracie, zniszczeniu, uszkodzeniu, kradzieży aktywów informacyjnych Urzędu stosowane są mechanizmy ochrony w obszarze bezpieczeństwa fizycznego i środowiskowego.

2. W ramach ochrony fizycznej, która dotyczy bezpieczeństwa fizycznego i środowiskowego należy uwzględnić zagrożenia zewnętrzne i środowiskowe (pożar, zalanie, wybuch itd.).

3. Zapewnienie ochrony fizycznej przed nieuprawnionym dostępem, uszkodzeniem lub zakłóceniem obejmuje:

1) ochronę przed nieuprawnionym dostępem;

2) zapewnienie ochrony dla przetwarzania informacji krytycznych;

3) zapewnienie ochrony dla eksploatowanego sprzętu teleinformatycznego z uwzględnieniem instalacji wspomagających;

4) zapewnienie ochrony sprzętu używanego poza siedzibą Urzędu.

4. Ochronie podlega sprzęt (łącznie ze sprzętem wykorzystywanym poza siedzibą Urzędu), ze szczególnym uwzględnieniem warunków zabezpieczenia przed utratą, uszkodzeniem lub kradzieżą.

5. Zbywanie, likwidacja lub zmiana użytkownika składnika majątkowego sprzętu informatycznego lub nośnika, wymaga skutecznego usunięcia danych ze szczególnym uwzględnieniem zawartości dysków twardych komputerów. Podstawowym zaleceniem jest skuteczne niszczenie takich nośników.

6. Do ochrony sprzętu stosuje się środki i systemy wspomagające i zabezpieczające przed awariami lub zakłóceniami infrastruktury innego rodzaju: zasilanie, klimatyzacja.

7. Zapewnienie prawidłowej i bezpiecznej eksploatacji posiadanych środków przetwarzania informacji następuje poprzez:

1) określenie procedur w zakresie przetwarzania i administrowania;

2) przypisanie odpowiedzialności w zakresie przetwarzania i administrowania;

3) rozdzielenie odpowiedzialności;

4) prognozowanie wydajności zasobów;

5) zapewnienie integralności i dostępności informacji Urzędu;

6) zapewnienie bezpieczeństwa informacji wymienianej z innymi podmiotami;

7) monitorowanie i wykrywanie działań nieautoryzowanych;

8) monitorowanie i rejestrowanie zdarzeń związanych z bezpieczeństwem informacyjnym z zachowaniem warunku o nie przekraczaniu uprawnień;

9) zarządzanie incydentami związanymi z bezpieczeństwem informacji, w tym gromadzenie materiałów dowodowych;

8. Do zapewnienia ciągłej dostępności i integralności sprzętu zaleca się jego okresową konserwację.

§ 20. Zarządzanie systemami i sieciami.

1. Środki w zakresie rozwiązań teleinformatycznych stosowane na terenie i na rzecz Urzędu podlegają analizie i są adekwatne do wymagań ochrony przetwarzanej informacji wynikającej z przeprowadzonej w Urzędzie analizy ryzyka.

2. Zmiany w środowiskach przetwarzania informacji wymagają zarządzania i nadzoru.

3. Środowisko przetwarzania informacji podlega zarządzaniu i obejmuje:

1) zbiory i pliki z danymi, licencje i dokumentacje systemów;

2) sprzęt komputerowy: serwery, komputery, urządzenia mobilne, macierze, przełączniki, routery itd.;

3) usługi obliczeniowe, przesyłania i przechowywania danych, udostępniania internetu i poczty elektronicznej;

4) inne usługi infrastruktury: zasilanie i klimatyzacja;

5) kwalifikacje zawodowe i informatyczne pracowników i ich doświadczenie;

6) aplikacje.

4. Dla obszaru systemów teleinformatycznych i zarządzanych sieci komputerowych stosuje się następujące wymagania:

1) rozdzielenie obowiązków i odpowiedzialności za środki przetwarzania informacji (systemy), aby uniknąć nieuprawnionej lub nieumyślnej modyfikacji lub niewłaściwego użycia aktywów;

2) oddzielenie aktywów przeznaczonych do działań rozwojowych, testowych i eksploatacyjnych;

3) właściwego zdefiniowania poziomów dostępności usług oraz zapewnienia monitorowania dostarczanych usług. W przypadku świadczenia tych usług przez podmiot zewnętrzny wymagane jest definiowanie usług oraz poziom dostaw w umowach serwisowych;

4) szkolenia dla użytkowników;

5) wycofywanie z eksploatacji nieużywanych usług i infrastruktury i ich likwidowanie po usunięciu informacji;

6) zapewnienie wykonywania kopii bezpieczeństwa zasobów informacyjnych;

7) właściwe wdrażanie procedur obsługi nośników danych oraz ich zastosowania przy wymianie informacji;

8) monitorowanie właściwego zabezpieczenia systemów informatycznych i sieci komputerowych oraz rejestrowanie zdarzeń, błędów oraz informacji w systemie informatycznym.

§ 21. Kontrola dostępu do informacji.

1. Procedury kontroli dostępu do informacji i środków przetwarzania informacji są ustanowione, udokumentowane i monitorowane w zgodzie z potrzebami Urzędu i wymaganiami bezpieczeństwa określonymi w PBI.

2. Zarządzanie dostępem do informacji odbywa się w ramach procesu opartego na systemie obiegu wniosków.

3. W szczególności dostęp do wszystkich systemów informatycznych wymaga uregulowania w zakresie rejestrowania użytkowników, obowiązku stosowania haseł dostępu, zarządzania uprawnieniami i hasłami, izolowania systemów wrażliwych.

4. Wymagane jest wykonywanie regularnych przeglądów praw dostępu.

5. Uregulowania te powinny obejmować wszystkich użytkowników, ASI i ASU.

6. Użytkownicy, ASI, ASU są odpowiedzialni za ochronę haseł do systemów, prawidłową eksploatację systemów informatycznych i użytkowanego sprzętu, zgodnie z uregulowaniami poszczególnych systemów.

7. Usługi sieciowe są chronione przed nieautoryzowanym dostępem poprzez określenie zasad korzystania z tych usług, zasad konfiguracji i kontroli zdarzeń w sieci, tj. identyfikację urządzeń, kontrolę połączeń ich ruchu w sieciach Urzędu.

8. Przetwarzanie na urządzeniach mobilnych i praca na odległość są uregulowane poprzez określenie zasad korzystania z tych usług oraz wdrożenie odpowiednich zabezpieczeń.

9. Nadzór, kontrola nadawania i odbierania uprawnień do systemów informatycznych jest prowadzona w ramach dedykowanego systemu przez Winf.

§ 22. Zarządzanie ciągłością działania.

1. W Urzędzie podejmowane są działania w zakresie planowania, weryfikowania, zapewnienia, przeglądu i oceny ciągłości działania i postępowania w przypadku wystąpienia sytuacji kryzysowych.

2. Urząd posiada procedury zarządzania i nadzoru, które zapewniają ciągłość działania kluczowych funkcji, określonych, jako plany awaryjne zarówno w znaczeniu procesów biznesowych jak i organizacyjnych w przypadkach sytuacji kryzysowych, katastrof, awarii zabezpieczeń, utraty informacji i innych.

3. Strategia zapewnienia ciągłości działania przetwarzania informacji Urzędu została określona w Załączniku Nr 21 do Zarządzenia.

4. Bazowy plan ciągłości działania do dokumentacji zarządzania ciągłością działania Urzędu ostał określony w Załączniku Nr 22 do Zarządzenia.

§ 23. Relacje z dostawcami.

1. Z uwagi na realizowane zadania, kompetencje w obszarze kontaktów z dostawcami leżą w gestii właściciela obszaru.

2. Precyzując zasady kontaktów z dostawcami w ramach poszczególnych rodzajów dostaw powinny zostać uwzględnione w miarę możliwości następujące aspekty:

1) umowy o zachowaniu poufności;

2) zasady uświadamiania i szkolenia pracowników dostawców oraz podpisywanie stosownych oświadczeń i upoważnień (dane osobowe);

3) procedury przesyłania informacji, w tym przekazywania informacji innym podmiotom;

4) umowy powierzenia i związane z nimi ankiety bezpieczeństwa;

5) wymagania bezpieczeństwa informacji, w tym dotyczące klasyfikacji informacji;

6) zarządzanie usługami i zmianami w usługach, w tym:

a) precyzyjne zdefiniowanie zakresu usługi,

b) zakres odpowiedzialności poszczególnych stron umowy,

c) wykaz poddostawców,

d) wymagania i uprawnienia dotyczące monitorowania realizacji usług,

e) zarządzanie ryzykiem związanym ze zgłoszoną zmianą;

7) wykaz zawartych umów z dostawcami wraz z ich statusem;

8) tryb zakończenia realizacji umowy, z uwzględnieniem zwrócenia powierzonych wzajemnie aktywów.

3. Zaleca się wypracowanie wspólnych wzorów umów, zawierających między innymi zapisy dotyczące zachowania poufności lub powierzenia przetwarzania danych osobowych, dla ułatwienia procesu ich zawierania.

4. Kierownicy w zakresie zadań realizowanych zgodnie z Regulaminem Organizacyjnym prowadzą bieżący nadzór w swoich jednostkach w zakresie zgodności z przepisami prawa i zapisami umownymi.

§ 24. Zarządzanie incydentami związanymi z bezpieczeństwa informacji.

1. Incydenty naruszenia bezpieczeństwa informacji są bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.

2. Do przypadków mogących świadczyć lub świadczących o naruszeniu bezpieczeństwa, niewłaściwym funkcjonowaniu oprogramowania lub słabości systemu teleinformatycznego zalicza się w szczególności:

1) naruszenie lub wadliwe funkcjonowanie zabezpieczeń fizycznych w pomieszczeniach (np. wyłamane lub zacinające się zamki, naruszone plomby, niedomykające się bądź wybite okna etc.);

2) utratę usługi, urządzenia lub funkcjonalności;

3) nieautoryzowaną modyfikację lub zniszczenie danych;

4) udostępnienie danych osobom nieupoważnionym;

5) pozyskiwanie oprogramowania z nielegalnych źródeł;

6) pojawianie się nietypowych komunikatów na ekranie komputera;

7) niemożność zalogowania się do systemu teleinformatycznego;

8) spowolnienie pracy oprogramowania;

9) niestabilną pracę zasobu teleinformatycznego;

10) brak reakcji zasobu na działania użytkownika;

11) ponowny start lub zawieszanie się komputera;

12) ograniczenie funkcjonalności oprogramowania.

4. Kierownicy w sytuacjach związanych ze stwierdzeniem incydentów bezpieczeństwa, naruszeń ochrony danych czy sytuacji kryzysowych obowiązani są do:

1) wyjaśnienia wszelkich aspektów naruszenia bezpieczeństwa informacji;

2) przedsięwzięcia środków zapobiegawczych;

3) wdrożenia postępowania dyscyplinarnego;

4) współpracy z IOD i ASI.

5. W przypadku wystąpienia klęski żywiołowej lub aktu terroru w pierwszej kolejności powiadamiane są właściwe służby, a następnie ochrona budynku oraz Sekretarz Miasta.

6. W przypadku wystąpienia próby włamania, kradzieży dokumentów, sprzętu oraz wszelkich innych prób niszczenia mienia powiadamiana jest ochrona budynku.

7. Ustanawia się instrukcję postępowania z incydentami bezpieczeństwa i naruszeniami ochrony danych osobowych, zasady ich identyfikacji, zasady zgłaszania i postępowania, które określa Załącznik Nr 15 do Zarządzenia.

8. Klasyfikacja incydentów bezpieczeństwa teleinformatycznego w Urzędzie stanowi Załącznik Nr 8 do Zarządzenia.

9. Klasyfikacja incydentów i zdarzeń dotyczących bezpieczeństwa fizycznego w związku z bezpieczeństwem systemów i urządzeń teleinformatycznych w Urzędzie stanowi Załącznik Nr 9 do Zarządzenia.

§ 25. Pozyskiwanie, rozwój, utrzymanie i inwentaryzacja oprogramowania informatycznego.

1. Urząd zapewnia, że wszystkie procesy związane z pozyskaniem, rozwojem bądź utrzymaniem systemów informacyjnych, w tym systemów i aplikacji teleinformatycznych, realizowanych zarówno we własnym zakresie, jak i przy wsparciu podwykonawców, wykorzystywanych wewnętrznie lub oferowanych obywatelom, realizowane są w sposób nadzorowany, gwarantujący utrzymanie odpowiedniego poziomu bezpieczeństwa.

2. Pozyskiwanie, rozwój, utrzymanie i inwentaryzacja systemów teleinformatycznych obejmuje:

1) uwzględnienie wymogów bezpieczeństwa podczas zakupu lub budowy nowych systemów teleinformatycznych;

2) dopuszczenie nowego systemu do eksploatacji poprzedzone jest zawsze fazą testów funkcjonalnych, wydajnościowych i testów bezpieczeństwa na środowisku testowym;

3) nadzorowanie dostępu do kodów źródłowych oprogramowania;

4) wdrożenie mechanizmów aktualizacji oprogramowania;

5) wdrożenie procedur kontroli zmian oprogramowania.

3. Utrzymywana jest aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.

4. Dokumentacja zarządzania sprzętem i oprogramowaniem obejmuje:

1) rejestr zasobów informatycznych;

2) procedury prowadzenia rejestru zasobów informatycznych;

3) procedury przydzielenia, zwrotu sprzętu i oprogramowania;

4) procedury korzystania z zasobów informatycznych przez użytkowników;

5) dokumentację wykonywania ww. procedur.

5. Za zapewnienie właściwego przebiegu procesu pozyskiwania, rozwoju, utrzymania i inwentaryzacji systemów teleinformatycznych odpowiedzialny jest Dyrektor WInf.

6. Procedurę pozyskiwania, rozwoju, utrzymania i inwentaryzacji oprogramowania określa Regulamin zarządzania oprogramowaniem w Urzędzie stanowiący Załącznik Nr 4 do Zarządzenia.

§ 26. Zarządzanie aktywami.

1. Urząd zarządza swoimi aktywami (zasobami) w celu zapewnienia im wymaganego poziomu bezpieczeństwa.

2. Wszystkim zasobom z wyjątkiem zasobów ludzkich przypisuje się poziom ważności:

1) ważność wysoka przyznawana jest, gdy utrata lub naruszenie bezpieczeństwa zasobów powoduje przerwanie procesu. Należą do nich m.in.:

a) informacje nadzorowane, wrażliwe pod względem poufności w szczególności: informacje niejawne dodatkowo podlegające ochronie w stopniu zgodnym z postanowieniami ustawy o ochronie informacji niejawnych,

b) dane osobowe dodatkowo podlegające ochronie w stopniu zgodnym z postanowieniami RODO,

c) dane finansowo – księgowe,

d) inne informacje, których poufność określają ustawy,

e) zasoby materialne kluczowe niezbędne do realizowania statutowych celów ADO.

2) ważność średnia przyznawana jest, gdy utrata lub naruszenie bezpieczeństwa zasobów może mieć wpływ na prawidłową realizację procesu. Należą do nich m.in.:

a) pozostałe informacje nadzorowane, niewrażliwe (np. korespondencja wewnętrzna ADO),

b) zasoby fizyczne wartościowe, które są drogie lub trudno zastępowalne, ale od których nie zależy bezpośrednio funkcjonowanie ADO,

3) ważność niska przyznawana jest, gdy utrata lub naruszenie bezpieczeństwa zasobu ma znikomy wpływ na funkcjonowanie procesu. Należą do nich m.in.:

a) informacje nienadzorowane i inne informacje publiczne,

b) zasoby fizyczne zwykłe, które są łatwo odtwarzalne lub zastępowalne i od których nie zależy bezpośrednio funkcjonowanie ADO.

3. Aktywa chronione są ze względu na przepisy prawa oraz wartość materialną i intelektualną. Aktywa mogą być chronione na mocy:

1) przepisów prawa (np. dane osobowe, informacje niejawne, prawo autorskie);

2) warunków licencji;

3) zapisów umów pomiędzy jednostką organizacyjną a podmiotami zewnętrznymi.

4. Rodzaje aktywów, o których mowa ust 3 określa Załącznik Nr 20 do Zarządzenia.

§ 27. Audyt i przegląd SZBI.

1. Audyty i przeglądy SZBI podlegają wdrożeniu, jako okresowe procedury kontroli jednostek organizacyjnych w Urzędzie.

2. Audyty i przeglądy SZBI mogą być realizowane przez podmiot zewnętrzny zgodnie z wytycznymi dotyczącymi audytu bezpieczeństwa informacji wykonywanymi przez podmiot zewnętrzny, które określa Załącznik Nr 23 do Zarządzenia.

3. Na podstawie audytu SZBI dokonuje się oceny, czy cele, zastosowane zabezpieczenia, procedury i procesy realizowane w Urzędzie są skuteczne i zgodnie z wymaganiami PBI.

4. Na podstawie przeglądu SZBI dokonuje się ocenę możliwości doskonalenia i potrzeb zmian w zarządzaniu bezpieczeństwem informacji.

5. Wyniki audytów i wnioski pokontrolne są przekazane ADO i Kierownikom w celu podjęcia i wdrożenia stosownych działań doskonalących.

§ 28. Doskonalenie SZBI.

1. SZBI jest doskonalony poprzez podejmowanie następujących działań:

1) przeprowadzanie działań korygujących oraz ocena ich skuteczności;

2) przeprowadzanie działań zapobiegawczych oraz ocena ich skuteczności;

3) informowanie zainteresowanych stron o działaniach i udoskonaleniach.

§ 29. Zakończenie zatrudnienia w Urzędzie.

1. Wszystkie mechanizmy identyfikacji i autoryzacji uprawniające użytkownika do dostępu do zasobów, kończącego zatrudnienie lub zmieniającego stanowisko pracy, winny być odebrane i wyłączone przed zakończeniem zatrudnienia użytkownika.

2. Użytkownik kończący zatrudnienie w Urzędzie lub zmieniający stanowisko pracy jest zobowiązany do przekazania wszystkich posiadanych zasobów informacyjnych użytkownikowi wskazanemu przez jego Kierownika, z zachowaniem wszystkich aspektów bezpieczeństwa informacji.

§ 30. Sankcje za naruszenie zasad bezpieczeństwa informacji i ochrony danych osobowych.Pracownik, który nie przestrzega przepisów dotyczących bezpieczeństwa informacji i ochrony danych osobowych, w zależności od sytuacji może ponieść:

1) odpowiedzialność dyscyplinarną (możliwe jest rozwiązanie z nim umowy o pracę za wypowiedzeniem lub bez wypowiedzenia z winy pracownika);

2) odpowiedzialność odszkodowawczą;

3) w niektórych sytuacjach odpowiedzialność karną.

§ 31. Minimalne wymagania bezpieczeństwa systemów informatycznych.

1. Każdy system informatyczny wykorzystywany w Urzędzie musi spełniać następujące wymagania lub posiadać następujące funkcjonalności:

1) możliwość przyznawania indywidualnych identyfikatorów użytkownikom;

2) możliwość gradacji uprawnień na minimum dwóch poziomach administrator – użytkownik;

3) możliwość konfiguracji kontroli dostępu do systemu (złożoność haseł, częstotliwość zmiany haseł);

4) możliwość odnotowania daty oraz identyfikatora użytkownika pierwszego i każdej kolejnej modyfikacji wprowadzenia danych (rekordów) do systemu;

5) każdy system informatyczny przetwarzający dane osobowe wykorzystywany w organizacji musi spełniać następujące wymagania lub posiadać następujące funkcjonalności:

a) możliwość odnotowania sprzeciwu i odwołania zgody wobec przetwarzania danych osobowych,

b) możliwość sporządzania wydruków dotyczących konkretnej osoby lub generowania plików do powszechnie używanych formatów,

c) możliwość poprawiania wprowadzonych danych,

d) możliwość trwałego usunięcia lub zanonimizowania danych w systemie,

e) możliwość wprowadzenia ograniczenia przetwarzania poszczególnych pól informacyjnych tylko do wglądu (bez możliwości edycji).

2. Administrator systemu informatycznego (na wniosek osoby zainteresowanej) oraz każda osoba umocowana do podejmowania wiążących decyzji w zakresie korzystania z zewnętrznego oprogramowania weryfikują ww. zasady wobec każdego nowego systemu informatycznego.

§ 32. W celu zapewnienia ochrony przetwarzanych informacji oraz zabezpieczenia prawidłowego przetwarzania danych osobowych w Urzędzie wprowadza się następujące dokumenty:

1) Polityka Bezpieczeństwa Informacji w Urzędzie stanowiąca Załącznik Nr 1 do Zarządzenia;

2) Instrukcja Zarządzania Systemem Informatycznym Urzędu stanowiąca Załącznik Nr 2 do Zarządzenia;

3) Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe w Urzędzie stanowiący Załącznik Nr 3 do Zarządzenia;

4) Regulamin zarządzania oprogramowaniem w Urzędzie stanowiący Załącznik Nr 4 do Zarządzenia;

5) Zasady korzystania z internetu oraz poczty elektronicznej Urzędu stanowiące Załącznik Nr 5 do Zarządzenia;

6) Kategorie uprawnień do systemów teleinformatycznych Urzędu stanowiące Załącznik Nr 6 do Zarządzenia;

7) Regulamin użytkowania urządzeń mobilnych w Urzędzie stanowiący Załącznik Nr 7 do Zarządzenia;

8) Klasyfikację incydentów bezpieczeństwa teleinformatycznego w Urzędzie stanowiącą Załącznik Nr 8 do Zarządzenia;

9) Klasyfikacja incydentów i zdarzeń dotyczących bezpieczeństwa fizycznego w związku z bezpieczeństwem systemów i urządzeń teleinformatycznych w Urzędzie stanowiącą Załącznik Nr 9 do Zarządzenia;

10) Zasady stosowania pamięci komputerowych i pomocniczych w Urzędzie ze wskazaniem poziomu ich bezpieczeństwa stanowiące Załącznik Nr 10 do Zarządzenia;

11) Zgłoszenie użytkownika systemów informatycznych w Urzędzie stanowiące Załącznik Nr 11 do Zarządzenia;

12) Regulamin korzystania z zasobów teleinformatycznych Urzędu stanowiący Załącznik Nr 12 do Zarządzenia;

13) Zasady wydawania upoważnień do przetwarzania danych osobowych stanowiące Załącznik Nr 13 do Zarządzenia;

14) Oświadczenie o zapoznaniu się z zarządzeniem stanowiące Załącznik Nr 14 do Zarządzenia;

15) Instrukcja postępowania z incydentami bezpieczeństwa i naruszeniami ochrony danych osobowych w Urzędzie stanowiąca Załącznik Nr 15 do Zarządzenia;

16) Procedura administrowania identyfikatorami i hasłami dostępu w Urzędzie stanowiąca Załącznik Nr 16 do Zarządzenia;

17) Procedura tworzenia i przechowywania kopii bezpieczeństwa oraz archiwum danych w Urzędzie stanowiąca Załącznik Nr 17 do Zarządzenia;

18) Procedura oceny ryzyka z obszaru bezpieczeństwa informacji stanowiąca Załącznik Nr 18 do Zarządzenia;

19) Procedura oceny ryzyka dla czynności przetwarzania danych osobowych stanowiąca Załącznik Nr 19 do Zarządzenia;

20) Aktywa Urzędu stanowiące Załącznik Nr 20 do Zarządzenia;

21) Strategia zapewnienia ciągłości działania przetwarzania informacji w Urzędzie stanowiąca Załącznik Nr 21 do Zarządzenia;

22) Bazowy Plan dokumentacji zarządzania ciągłością działania w Urzędzie stanowiący Załącznik Nr 22 do Zarządzenia;

23) Wytyczne dotyczące audytu bezpieczeństwa informacji wykonywane przez podmiot zewnętrznej stanowiące Załącznik Nr 23 do Zarządzenia;

24) Procedura zarządzania uprawnieniami do zasobów/systemów informatycznych Urzędu, stanowiąca Załącznik Nr 24 do Zarządzenia;

25) Procedura testu równowagi prawnie uzasadnionego interesu ADO stanowi Załącznik Nr 25 do Zarządzenia;

26) Procedura kontroli podmiotów przetwarzających dane osobowe w imieniu ADO stanowi Załącznik Nr 26 do Zarządzenia;

27) Plan wewnętrznego audytu zgodności przetwarzania danych u ADO stanowi Załącznik Nr 27 do Zarządzenia;

28) Procedura obsługi żądań podmiotów danych stanowi Załącznik Nr 28 do Zarządzenia.

§ 33. Wykonanie zarządzenia powierzam dyrektorom wydziałów, kierownikom biur oraz samodzielnym stanowiskom działającym poza strukturą wydziałów i biur Urzędu Miasta Szczecin.

§ 34. Nadzór nad realizacją zarządzenia powierzam Sekretarzowi Miasta.

§ 35. 1. Załączniki, o których mowa w § 32 od pkt. 1-4; 6; 8-9; 15-22 nie podlegają publikacji w Biuletynie Informacji Publicznej Urzędu.

2. Załącznik, o którym mowa w § 32 pkt 3, nie podlega udostępnieniu użytkownikom.

§ 36. Traci moc Zarządzenie Nr 150/18 Prezydenta Miasta Szczecin z dnia 6 kwietnia 2018 roku w sprawie określenia zasad bezpieczeństwa informacji oraz wytycznych dla Polityki Bezpieczeństwa Informacji Urzędu Miasta Szczecin (zm. Zarządzenie Nr 327/19 Prezydenta Miasta Szczecin z dnia 26 lipca 2019 r.).

§ 37. Zarządzenie wchodzi w życie z dniem podpisania.

Prezydent Miasta
Piotr Krzystek