POLITYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIASTA

Załącznik do Zarządzenia Nr 236/2016
Prezydenta Miasta Legionowo
z dnia 30 listopada 2016 r.
POLITYKA BEZPIECZEŃSTWA INFORMACJI
W
URZĘDZIE MIASTA LEGIONOWO
Polityka Bezpieczeństwa Informacji w Urzędzie Miasta Legionowo
Spis treści:
1. Deklaracja stosowania..................................................................................................................................4
2. Definicje i wyrażenia....................................................................................................................................5
3. Analiza ryzyka..............................................................................................................................................5
3.1. Metoda szacowania ryzyka...................................................................................................................5
3.1.1. Klasyfikacja Aktywów Informacyjnych,.......................................................................................6
3.2. Metoda oceny ryzyka............................................................................................................................6
3.3. Kryteria akceptacji ryzyka....................................................................................................................7
3.4. Lista aktywów informacyjnych.............................................................................................................7
3.5. Obszar przetwarzania informacji .........................................................................................................7
3.6. Ryzyka .................................................................................................................................................7
4. Zbiory danych osobowych i systemy informatyczne używane do ich przetwarzania ...................................8
5. Organizacja bezpieczeństwa informacji......................................................................................................10
5.1. Organizacja wewnętrzna.....................................................................................................................10
5.1.1. Zaangażowanie kierownictwa w bezpieczeństwo informacji......................................................10
5.1.2. Koordynacja bezpieczeństwa informacji....................................................................................10
5.1.3. Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji......................................11
5.1.4. Proces autoryzacji środków przetwarzania informacji................................................................11
5.1.5. Umowy o zachowaniu poufności................................................................................................11
5.1.6. Kontakty z organami władzy......................................................................................................11
5.1.7. Kontakty z grupami zaangażowanymi w zapewnienie bezpieczeństwa......................................11
5.1.8. Niezależny przegląd bezpieczeństwa informacji ........................................................................11
5.2. Strony zewnętrzne..............................................................................................................................12
6. Zarządzanie aktywami................................................................................................................................14
6.1. Inwentaryzacja aktywów....................................................................................................................14
6.2. Własność aktywów.............................................................................................................................14
6.3. Akceptowalne użycie aktywów...........................................................................................................14
6.4. Dostęp do aktywów............................................................................................................................14
7. Bezpieczeństwo zasobów ludzkich.............................................................................................................16
7.1. Przed zatrudnieniem...........................................................................................................................16
7.1.1. Role i zakresy odpowiedzialności...............................................................................................16
7.1.2. Postępowanie sprawdzające........................................................................................................16
7.1.3. Zasady i warunki zatrudnienia....................................................................................................17
7.2. Podczas zatrudnienia..........................................................................................................................18
7.2.1. Odpowiedzialność kierownictwa................................................................................................18
7.2.2. Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji...........................19
7.2.3. Postępowanie dyscyplinarne.......................................................................................................19
7.3. Zakończenie lub zmiana zatrudnienia.................................................................................................19
7.3.1 Odpowiedzialność związana z zakończeniem zatrudnienia.........................................................19
7.3.2. Zwrot aktywów...........................................................................................................................20
7.3.3. Odebranie praw dostępu.............................................................................................................21
8. Bezpieczeństwo fizyczne i środowiskowe..................................................................................................23
8.1. Obszary bezpieczne............................................................................................................................23
8.1.1. Fizyczne granice obszaru bezpiecznego.....................................................................................23
8.1.2. Fizyczne i proceduralne zabezpieczenie obszaru przetwarzania informacji................................23
8.1.3. Zabezpieczanie pomieszczeń......................................................................................................23
8.1.4. Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi.................................................24
8.1.5. Praca w obszarach bezpiecznych................................................................................................24
8.1.6. Obszary publicznie dostępne......................................................................................................25
8.2. Bezpieczeństwo sprzętu......................................................................................................................25
8.2.1. Lokalizacja i ochrona sprzętu.....................................................................................................25
8.2.2. Systemy wspomagające..............................................................................................................26
8.2.3. Bezpieczeństwo okablowania.....................................................................................................26
8.2.4. Konserwacja sprzętu...................................................................................................................27
8.2.5. Bezpieczeństwo sprzętu poza siedzibą........................................................................................28
8.2.6. Bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia...................................28
8.2.7. Wynoszenie mienia.....................................................................................................................28
9. Zarządzanie systemami i sieciami...............................................................................................................29
10. Kontrola dostępu.......................................................................................................................................30
10.1. Wymagania wobec kontroli dostępu.................................................................................................30
10.1.1. Polityka kontroli dostępu..........................................................................................................30
10.2. Zarządzanie dostępem użytkowników..............................................................................................30
10.2.1. Dostęp do systemów informatycznych.....................................................................................30
10.2.2. Dostęp do budynku...................................................................................................................31
10.2.3. Dostęp do kluczy......................................................................................................................31
10.3. Odpowiedzialność użytkowników....................................................................................................31
10.3.1. Polityka czystego biurka i czystego ekranu..............................................................................31
10.4. Kontrola dostępu do sieci............................................................................................................32
11. Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych................................................................33
12. Zarządzanie incydentami związanymi z bezpieczeństwem informacji.....................................................34
12.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości........................................34
12.1.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji...............................................34
12.1.2. Zgłaszanie słabości systemu bezpieczeństwa............................................................................35
12.2. Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami.........35
12.2.1. Odpowiedzialność i procedury..................................................................................................35
12.2.2. Postępowanie wyjaśniające.......................................................................................................36
12.2.3.Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji.....................37
12.2.4. Gromadzenie materiału dowodowego.......................................................................................37
13. Zarządzanie ciągłością działania...............................................................................................................38
14. Zgodność..................................................................................................................................................39
14.1. Zgodność z przepisami prawnymi....................................................................................................39
14.1.1. Prawo własności intelektualnej.................................................................................................39
14.1.2.Ochrona danych osobowych......................................................................................................39
14.1.3. Zapobieganie nadużywaniu środków przetwarzania informacji................................................39
14.2. Zgodność z politykami bezpieczeństwa i standardami......................................................................39
15. Bezpieczeństwo danych osobowych.........................................................................................................41
16. Przeglądy Polityki i audyty systemu bezpieczeństwa...............................................................................42
Załączniki:
Załącznik nr 1 - Lista aktywów informacyjnych
Załącznik nr 2 - Lista miejsc przetwarzania
Załącznik nr 3 - Polityka Bezpieczeństwa Danych Osobowych w Urzędzie Miasta Legionowo
Załącznik nr 4 - Opis Struktur Danych
Załącznik nr 5 - Karty kontrolne przeglądów Polityki Bezpieczeństwa Informacji
Załącznik nr 6 - Raporty z Przeglądu Polityki Bezpieczeństwa Informacji
Załącznik nr 7 - Instrukcja Zarządzania Systemami Informatycznymi
Wzory dokumentów