Polityka bezpieczeństwa informacji Urzędu Miasta Piekary Śląskie

Załącznik nr 3 do Zarządzenia Nr ORo.0151-179/08
Prezydenta Miasta Piekary Śląskie z dnia 21.05.08r.
Polityka bezpieczeństwa informacji Urzędu Miasta Piekary Śląskie
Polityka bezpieczeństwa informacji określa ogólne zasady bezpieczeństwa zasobów
informacyjnych i stanowi podstawę wytyczającą strategię Urzędu w tym zakresie w szczególności
w kontekście polityki zarządzania jakością.
Definicja bezpieczeństwa informacji i określenia jego znaczenia dla prawidłowego funkcjonowania
Urzędu
Zapewnienie bezpiecznego przetwarzania danych w urzędzie jest sprawą znaczenia informacji,
stanowiącej o możliwościach działania urzędu miasta i możliwości realizacji obowiązków jej pracowników.
Ochrona informacji przetwarzanych metodami tradycyjnymi lub elektronicznymi jest wspólnym
problemem kadry kierowniczej oraz osób odpowiedzialnych za prawidłowe, od strony technicznej,
funkcjonowanie infrastruktury urzędu. Jest to przede wszystkim zagadnienie związane z odpowiednim
zarządzaniem bezpieczeństwem danych, wdrożeniem i kontrolowaniem procesów zapewniających ich
ochronę. Poprawne wdrożenie systemu bezpieczeństwa informacji przetwarzanych w urzędzie jest
możliwe tylko w przypadku aktywnego udziału całej kadry kierowniczej urzędu.
Ochrona informacji powinna uwzględniać trzy podstawowe elementy:
• Poufność - zapewnienie, że tylko upoważnione osoby będą miały dostęp do informacji
• Integralność - zapewnienie, że informacja będzie odzwierciedlać rzeczywisty stan rzeczy, innymi
słowy, że będzie poprawna
• Dostępność - zapewnienie, że w razie potrzeby informacja będzie dostępna osobom
upoważnionym.
Procesy związane z zarządzaniem bezpieczeństwem informacji muszą uwzględniać wszystkie podane
wyżej elementy, ich znaczenie jest jednak uzależnione od specyfiki urzędu i jego komórek. Przyjmuje się, że
definicją bezpieczeństwa informacyjnego urzędu miasta jest „bezpieczeństwo informacyjne stanowi zbiór
procedur i zasad przetwarzania informacji w sposób minimalizujący straty finansowe urzędu i dotyczy
procesów zależnych”.
Wsparcie kierownictwa urzędu dla realizacji zadań związanych z ochroną informacji
Prezydent Miasta lub inny, wskazany decyzją Prezydenta Miasta, członek ścisłego kierownictwa Urzędu
Miasta jest odpowiedzialny za procesy zabezpieczenia informacji. Kadra kierownicza odpowiedzialna jest za
właściwe funkcjonowanie podległych jej komórek organizacyjnych oraz prawidłowy przebieg procesów
administracyjnych. Pracownicy piastujący stanowiska kierownicze pełnią rolę właścicieli informacji.
Wskazanie podstaw normatywno-prawnych
Politykę bezpieczeństwa konstytuują w szczególności:
1.
Ustawa z dnia 8 marca 1990 r. o samorządzie gminnym, Dz.U.01.142.1591.
2.
Ustawa z dnia 17 maja 1990 r. o podziale zadań i kompetencji określonych w ustawach szczególnych
pomiędzy organy gminy a organy administracji rządowej oraz o zmianie niektórych ustaw,
Dz.U.90.34.198.
3.
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, Dz.U.00.98.1071.
4.
Ustawa z dnia 29 września 1994 r. o rachunkowości, Dz.U.02.76.694.
5.
Ustawa z dnia 20 grudnia 1996 r. o gospodarce komunalnej, Dz.U.97.9.43.
6.
Ustawa z dnia 26 listopada 1998 r. o finansach publicznych, Dz.U.03.15.148.
7.
Rozporządzenie prezesa rady ministrów z dnia 22 grudnia 1999 r. w sprawie instrukcji kancelaryjnej
dla organów gmin i związków międzygminnych, Dz.U.99.112.1319.
8.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U.02.101.926.
9.
Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Dz.U.99.11.95.
10. Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych, Dz.U.01.87.960.
11. Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych, Dz.U.01.128.1402.
Strona 1 z 2
12.
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. Nr 100 poz. 1024)
Zobowiązania pracowników
Zobowiązuje się pracowników urzędu do przestrzeganie zasad bezpieczeństwa przetwarzania informacji
w Urzędzie Miasta. Pracownicy aktywnie współpracują z administratorem danych w zakresie ochrony
informacji. Pracownicy mogą brać udział w projektowaniu i wdrażaniu systemu zabezpieczeń, opiniując
poszczególne rozwiązania.
Określenia konsekwencji nieprzestrzegania zasad ochrony informacji
Wdrożenie zasad reagowania na incydenty w zakresie ochrony informacji jest istotnym elementem
utrzymania wymaganego poziomu ich bezpieczeństwa. Zobowiązuje się pracowników do zgłaszania
wszelkich zauważonych nieprawidłowości w działaniu Urzędu - jest to podstawą do odpowiednio
wczesnego wykrycia incydentu i podjęcia kroków zaradczych. Ustanawia się zasadę odpowiedzialności
dyscyplinarnej wobec osób winnych zaniedbania, zaniechania lub świadomego naruszenia bezpieczeństwa
informacji.
Definicje obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji
W celu zdefiniowania ogólnych i szczególnych obowiązków w odniesieniu do zarządzania
bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia zasad bezpieczeństwa informacji
tworzy się Instrukcję zarządzania bezpieczeństwem systemu informatycznego UM Piekary Śląskie.
Instrukcja precyzuje zasady bezpiecznego wytwarzania, przetwarzania i przekazywania informacji, w tym
danych osobowych. Instrukcja ta dotyczy zakresu informacji przetwarzanych w systemie komputerowym,
za pomocą środków informatycznych.
Pielęgnacja polityki bezpieczeństwa
Za dystrybucję i wprowadzanie zmian do polityki bezpieczeństwa odpowiedzialny jest kierownik komórki
właściwej ds. organizacyjnych. Współpracuje on w tym zakresie z wszystkimi właścicielami informacji.
Polityka bezpieczeństwa informacji podlega przekazaniu wszystkim użytkownikom systemu
informatycznego. Politykę publikuje Prezydent Miasta.
Delegacje szczegółowe:
1. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi.
Opisy powyższe znajdują się w dokumentacji każdego z programów przeznaczonych do
przetwarzania danych osobowych, w adekwatnym do realizowanych procesów zakresie. Niniejszym
dokumentacje te włącza się, w przedmiotowym zakresie do polityki bezpieczeństwa.
2. Sposób przepływu danych pomiędzy systemami.
Opisy powyższe znajdują się w dokumentacji każdego z programów przeznaczonych do
przetwarzania danych osobowych, w adekwatnym do realizowanych procesów zakresie. Niniejszym
dokumentacje te włącza się, w przedmiotowym zakresie do polityki bezpieczeństwa.
3. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych.
Przedmiotowe środki techniczne i organizacyjne, w zakresie dotyczącym danych osobowych
przetwarzanych w systemie informatycznym przyjmuje się za tożsame z opisanymi w Instrukcji
zarządzania bezpieczeństwem systemu informatycznego UM Piekary Śląskie.
Strona 2 z 2