Studium przypadku Urząd Miasta Kielce podnosi

Studium przypadku
Branża: Administracja Publiczna
Informacje o kliencie
Kielce - położone w sercu Gór
Świętokrzyskich stanowią
gospodarcze i turystyczne
centrum województwa
świętokrzyskiego. Liczą ok. 200
tys. mieszkańców i 109 km kw.
powierzchni. Miasto jest również
zagłębiem budowlanym o
bogatych tradycjach, ośrodkiem
turystycznym, kulturalnym, a
także miejscem geologicznych
osobliwości. Dzieje miasta liczą
ponad 900 lat. Pierwsza
wzmianka o Kielcach w
dokumentach średniowiecznych
pochodzi z 1212 roku. Prawa
miejskie uzyskały przed 1295
rokiem.
Korzyści
Wdrożenie mechanizmów
systemowego zarządzania
bezpieczeństwem informacji.
Zorientowanie działań Urzędu
na potrzeby i oczekiwania
mieszkańców.
Budowa wizerunku Urzędu
transparentnego i
bezpiecznego.
Zmiana kultury organizacji i
poczucie większego
bezpieczeństwa pracowników
Systematyczna analiza ryzyka i
precyzyjne reagowanie na
ryzyka nieakceptowalne
Urząd Miasta Kielce podnosi
bezpieczeństwo przetwarzanych
informacji, zgodnie z ISO/IEC 27001 i
przeciwdziała zagrożeniom korupcyjnym
wg SPZK.
„Opracowany, wdrożony i certyfikowany w 2005 roku, System
Zarządzania Jakością wg. normy PN-EN ISO 9001:2001 w Urzędzie
Miasta Kielce jest nadal utrzymywany i doskonalony. Przykładem
doskonalenia jest fakt przebudowy obecnego SZJ do systemu
zintegrowanego opierającego się na wymaganiach ISO 27001 i SPZK”
Janusz Koza, Sekretarz Miasta, UM Kielce
Urząd Miasta spełnia służebną rolę wobec swoich klientów. Przy
załatwianiu spraw, pracownicy bazują na aktualnie obowiązujących przepisach,
starają się wykonywać swoje obowiązki w sposób rzetelny, bez zbędnej zwłoki i
spełniać oczekiwania swoich klientów.
W celu usprawnienia obsługi klienta w Urzędzie Miasta uruchomiono bezpłatną
infolinię, udostępniono 3 punkty Biura Obsługi Interesanta, opracowano gotowe
druki spraw załatwianych w Urzędzie, które są dostępne w BOI i na stronach
internetowych Urzędu Miasta. Wydłużono też czas pracy tych jednostek, które są
najczęściej odwiedzane przez klientów: BOI, Urzędu Stanu Cywilnego, a także
referatów Wydziału Spraw Obywatelskich: Rejestracji Pojazdów, Praw Jazdy,
Ewidencji Ludności i Dowodów Osobistych. Urząd jest łatwo dostępny dla osób
niepełnosprawnych, które mogą korzystać z podjazdów oraz windy zamontowanej
w budynku magistratu. W celu poprawy jakości świadczonych usług oraz
dostępności klienta do Urzędu, magistrat wdraża system elektronicznego obiegu
dokumentów. W odpowiedzi na wyzwania XXI wieku i wymogi nakładane przez
członkostwo w Unii Europejskiej Urząd Miasta w Kielcach stale udoskonala też
infrastrukturę informatyczną. Dlatego Miasto Kielce stało się jednym z podmiotów
realizujących projekt pod nazwą "e-świętokrzyskie", który zakłada m.in.:
zbudowanie, utrzymanie i eksploatację: infrastruktury sieci światłowodowej,
elektronicznego obiegu dokumentów wraz z jego wdrożeniem oraz portalu "Wrota
Świętokrzyskie" współfinansowanych z Funduszy Strukturalnych Unii Europejskiej
na lata 2004-2006. Jesienią 2004r. w Urzędzie zainstalowano monitoring, mający
na celu poprawę bezpieczeństwa klientów i pracowników. W 2007 roku podjęto
również decyzję o wdrożeniu Zintegrowanego Systemu Zarządzania, który ma w
sposób systemowy nadzorować jakość, bezpieczeństwo, transparentność i
bezstronność Urzędu. Zintegrowany System Zarządzania, jako pierwszy w kraju w
branży administracji publicznej bazuje i spełnia wymagania trzech standardów ISO
9001:2000, ISO/IEC 27001 oraz Systemu Przeciwdziałania Zagrożeniom
Korupcyjnym (KIG i PCBC).
W 2007 roku Urząd nawiązał współpracę z PBSG. Jej celem było m.in. zbudowanie
i wdrożenie Zintegrowanego Systemu Zarządzani. W wyniku tej współpracy, w
Osiągnięcia i certyfikaty:
2005 r. - Certyfikat Systemu
ciągu niespełna roku, PBSG wdrożyło system zarządzania bezpieczeństwem
informacji wg. ISO/IEC 27001 i System Przeciwdziałania Zagrożeniom Korupcyjnym
oraz zintegrowało te wymagania z funkcjonującym systemem zarządzania jakością.
Zintegrowany system zarządzania przeszedł pozytywny proces certyfikacji,
dokonany przez niezależną jednostkę certyfikacyjną, a Urząd Miasta Kielce
otrzymał, jako pierwszy w Polsce organ administracji samorządowej akredytowany
certyfikat, potwierdzający spełnienie wymagań ISO 9001, ISO/IEC 27001 i SPZK.
Zarządzania Jakością dla
Urzędu Miasta Kielce wg normy
PN-EN 9001:2001
2006 r. - Certyfikat dla Urzędu
Miasta Kielce za udział w akcji
"Przejrzysta Polska”,
2005,2006,2007 r. –
Długoterminowy rating krajowy
dla Kielc na poziomie "A-(pol)"
2007 r. – Ratingi
międzynarodowe na poziomie
"BBB-" dla długoterminowego
zadłużenia w walucie
zagranicznej i krajowej,
2008 r. - odnowienie certyfikatu
Systemu Zarządzania Jakością i
przyznanie certyfikatów
Systemu Zarządzania
Bezpieczeństwem Informacji
według PN-ISO/IEC
27001:2007 oraz Systemu
Przeciwdziałania Zagrożeniom
Korupcyjnym
Sytuacja
Urząd Miasta Kielce działa i realizuje swoje
zadania na podstawie: ustawy
z dnia 8 marca 1990r. o samorządzie
gminnym (Dz. U. z 2001r. Nr 142 poz.
1591 z późniejszymi zmianami), ustawy z
dnia 5 czerwca 1998r. o samorządzie
powiatowym (Dz. U. z 2001r. Nr 142 poz.
1592 z późniejszymi zmianami), ustawy z
dnia 24 lipca 1998r. o zmianie niektórych
ustaw określających kompetencje
organów administracji publicznej – w
związku z reformą ustrojową państwa (Dz.
U. Nr 106 poz. 668 z późniejszymi
zmianami), ustawy z dnia 16 grudnia
1998r. o zmianie niektórych ustaw w
związku z wdrożeniem reformy ustrojowej
państwa (Dz. U. Nr 162 poz. 1126 z
późniejszymi zmianami) oraz zleconych w
innych ustawach, jako sprawy należące do
zakresu działania i wykonywane przez
organy innych miast oraz organy miast na
prawach powiatu.
Szczegółową organizację Urzędu oraz
zasady funkcjonowania określa Regulamin
Organizacyjny Urzędu Miasta Kielce
wprowadzony Zarządzeniem Nr 115/2007
Prezydenta Miasta Kielce z dnia 10 maja
2007 r. w sprawie nadania Urzędowi
Miasta Kielce Regulaminu
Organizacyjnego. Regulamin
Organizacyjny określa organizację Urzędu,
zasady i zakres funkcjonowania
poszczególnych komórek organizacyjnych
Urzędu, a także inne postanowienia
związane z realizacją zadań Miasta,
wynikające z obowiązującego prawa.
Certyfikat Systemu Zarządzania Jakością
wg normy PN-EN ISO 9001:2001 Urząd
Miasta w Kielcach otrzymał 25 maja
2005r. podczas uroczystej Sesji Rady
Miejskiej z okazji 15-lecia powstania
Samorządu Terytorialnego w Polsce.
Certyfikat w zakresie "wykonywanie zadań
administracji samorządowej, służących
umacnianiu poczucia społecznego zaufania
mieszkańców do władz Miasta oraz
pracowników Urzędu" na ręce prezydenta
Kielc Wojciecha Lubawskiego wręczyli:
Dyrektor ds. Koordynacji i Administracji
Polskiego Centrum Badań i Certyfikacji,
Stanisław Walenta oraz Andrzej Suliński auditor zewnętrzny. Wtedy otrzymanie
certyfikatu było wielkim osiągnięciem dla
Urzędu i sukcesem zespołu roboczego na
czele, którego stała pani Agnieszka
Ceglińska. Tego samego dnia przez myśl
Sekretarza Miasta – To nie koniec…
Rozwój SZJ w Urzędzie
Sekretarz Miasta – Janusz Koza jak
pomyślał – tak też uczynił. Została
podjęta decyzja o wdrożeniu Systemu
Zarządzania Bezpieczeństwem Informacji
wg ISO/IEC 27001:2005 oraz Systemu
Przeciwdziałania Zagrożeniom
Korupcyjnym (KIG i PCBC).
W ciągu kilku miesięcy – od rozpoczęcia
audytu przedwdrożeniowego do procesu
certyfikacji– stworzono rozwiązanie, które
zrealizowało stawiane przed Urzędem
cele. Zastosowane rozwiązanie oparto na
ciężkiej pracy powołanego zespołu
roboczego i doradztwa konsultantów
PBSG.
Etapy projektu
W ciągu 10 miesięcy – od podpisania
umowy do procesu certyfikacji– stworzono
rozwiązanie, które zrealizowało stawiane
przed nim cele. Zastosowane rozwiązanie
oparto o wymagania ISO/IEC 27001 i
SPZK.
ETAP I
PRZEPROWADZENIE
AUDYTU
Antykorupcja:
Korupcja, oszustwa i
nadużycia dotykają każdej
organizacji i stanowią istotny
problem. Jednak ze względu
na brak przeprowadzania w
organizacjach kompleksowych
analiz tego typu przypadków
skala problemu nie jest w
pełni widoczna.
Agnieszka Ceglińska Koordynator d/s
Zintegrowanego Systemu
Zarządzania, UM Kielce
• Jakie sa krytyczne problemy?
• Jaki model oceny przyjac?
ETAP III
OPRACOWANIE
DOKUEMNTACJI I
WDROZENIE
ETAP II
ANALIZA RYZYKA
• Jaka jest optymalna ocena?
• Jakie sa mozliwosci wzrostu?
• Jakie sa procesy krytyczne?
• Jaki stopien glebokosci
przyjac do oceny?
•
•
•
•
Identyfikacja
potrzeb (analiza
procesów, analiza
braków
Analiza dokumentacji
Zaprojektowanie list
kontrolnych
opracowanie metod
badawczych
• Audyty
• Wywiady
• Ankiety
• Opracowania wlasne
•
•
•
•
•
Ocena metodyk analizy
ryzyka
Inwentaryzacja
zagrozen
Ocena realizacji
procesów
Identyfikacja dzialan
krytycznych
Wskazanie
rekomendacji
• Warsztaty
• Prezentacja
•
•
•
•
•
Opracowanie polityki
procedur
Analiza punktów
krytycznych dla
procesów
Wdrozenie
dokumentacji i
wymagan
Okreslenie potencjalu
zmian
Dokonanie oceny
wdrozenia
•Warsztaty
• Ankiety
ETAP IV
CERTYFIKACJA
SYSTEMU
• Jaka jest optymalna
struktura doskonalenia i
rozwoju?
•
•
Opracowanie
wytycznych do strategii
zarzadzania ryzykiem w
systemie
antykorupcyjnym
Ocena zewnetrzna
wdrozenia systemu
antykorupcyjnego
• Analiza
• Warsztaty
Rys.2 Etapy projektu
PBSG zrealizowała swoje usługi w zakresie
opracowania, wdrożenia i przygotowania
do certyfikacji systemu zarządzania
bezpieczeństwem informacji i systemu
przeciwdziałania zagrożeniom
korupcyjnym. Przygotowana usługa
zawierała prace począwszy od
przygotowania i przeprowadzenia audytów
wstępnych, poprzez opracowanie
metodyki analizy ryzyka, opracowanie
mechanizmów zarządzania ryzykiem,
opracowanie niezbędnej dokumentacji na
przeprowadzeniu szkoleń dla audytorów i
pracowników oraz realizacji końcowych
audytów skończywszy.
Pierwszym etapem rozpoczynającym
realizację projektu była analiza
dokumentacji, dostarczonej przez
przedstawicieli Klienta. Konsultanci
zapoznali się z wszystkimi dostępnymi
regulacjami wewnętrznymi, mającymi
wpływ na nadużycia i bezpieczeństwo
informacji. W
szczególności analizie poddane zostaną:
regulaminy organizacyjne
stosowana metodyka analizy ryzyka i
klasyfikacji informacji
definicja i opis stref bezpieczeństwa
procedury i wyniki działań komórek
kontroli i audytów wewnętrznych
polityki, procedury i instrukcje
związane z zarządzaniem zasobami
ludzkimi
procedury zarządzania systemami
informatycznymi, w szczególności
reguły tworzenia kopii zapasowych,
nadawania uprawnień oraz
definiowania wymagań dla nowych
systemów
procedury zarządzania ciągłością
działania
umowy z kluczowymi dostawcami
materiałów i usług.
Celem realizacji etapu było zapoznanie się
konsultantów z aktualną specyfiką
wymagań obowiązujących w organizacji
oraz wskazanie ew. obszarów zmian w
zakresie istniejącej dokumentacji
opisującej procedury postępowania i
kontroli wewnętrznej.
Kolejnym krokiem realizacji projektu stało
się przeprowadzenie audytów
bezpieczeństwa informacji
antykorupcyjnych w poszczególnych
komórkach organizacyjnych.
Diagnozę przeprowadzano w oparciu o
przygotowane wcześniej listy kontrolne.
Podstawowym narzędziem audytowym –
obok analizy dostarczonej dokumentacji –
były rozmowy i wywiady z pracownikami.
Konsultanci także starali się określić
spełnienie poszczególnych wymagań PCBC
i ISO/IEC 27001 na podstawie analizy
zapisów z realizowanych procesów, a
także weryfikacji mechanizmów i
zagrożeń antykorupcyjnych i ochrony
informacji (np. ochrona wydruków,
niszczenie danych, udzielanie informacji
zainteresowanym itp.).
Podczas audytu badaniu poddano w
szczególności następujące obszary
organizacji:
struktura zarządzania i
odpowiedzialności związane z
zarządzaniem,
nadzór nad firmami, mającymi wpływ
na możliwe nadużycia i utratę
informacji (np. podwykonawcy, firmy
świadczące usługi outsourcingu – jak
kancelaria prawna),
nadzór nad pracownikami czasowymi
(np. praktykanci),
zgłaszanie i postępowanie z
incydentami bezpieczeństwa i zdarzeń
korupcyjnych,
Bezpieczeństwo
informacji:
Bezpieczeństwo informacji to
nie tylko zabezpieczenia
informatyczne czy fizyczne.
To także odpowiednio
przeszkolony i świadomy
zagrożeń personel, to
odpowiednio zdefiniowane
umowy z dostawcami, to
również sformalizowane i
przetestowane plany ciągłości
działania.
Tomasz Olbratowski Pełnomocnik Prezydenta
ds. Bezpieczeństwa
Informacji, UM Kielce
zgodność z wymaganiami własnymi
oraz zewnętrznymi (np. umowy z
Klientami).
Obok audytu procesowego, konsultanci
zapoznali się także z ogólnymi działaniami
urzędu w zakresie działań
antykorupcyjnych i ochrony danych. W
tym celu zweryfikowana zostanie
skuteczność stosowanych mechanizmów,
oraz inicjatywy urzędu w zakresie
kształtowania świadomości wśród
pracowników.
Przeprowadzono także dwa typy szkoleń
wstępnych: dla kierownictwa oraz dla
pracowników. Dodatkowo oba typy
szkoleń wzbogacone zostały prezentacją
wybranych wyników i wniosków z
przeprowadzonych audytów wstępnych.
Niezbędnym etapem budowania
mechanizmów bezpieczeństwa informacji i
antykorupcyjnych jest inwentaryzacja
informacji i identyfikacja punktów
krytycznych w realizowanych procesach
narażonych na zagrożenia korupcyjne.
Ponieważ Urzędzie istniały już pewne
opracowania w tym względzie, zostały one
wykorzystane przy ostatecznej wersji
klasyfikacji informacji. Konsultanci PBSG
zaproponowali metodykę identyfikacji
informacji kluczowych, bazującą na ocenie
wskaźników poufności, integralności oraz
dostępności dla poszczególnych grup
informacji. Wspólnie z przedstawicielami
Klienta przedyskutowano i ustalono
kategorie ochrony informacji.
Kolejnym i najważniejszym etapem
wdrożenia mechanizmów bezpieczeństwa
informacji i systemu antykorupcyjnego
okazało się opracowanie i zbudowanie
mechanizmów zarządzania ryzykiem.
Analiza ryzyka jest częścią cyklicznego
procesu zarządzania ryzykiem. Jest to
proces identyfikacji i zarządzania
incydentami na tyle poważnymi, aby
zagrozić płynnemu prowadzeniu jakiejś
działalności. Efektem analizy jest
zapobiegnie incydentom bezpieczeństwa i
nadużyciom oraz eliminacja najgłębszych
przyczyn ich pojawiania się. Niezwykle
ważnym stała się przy tym pomoc
konsultantów w zakresie rozróżnienia
prawdopodobieństwa wystąpienia
niebezpieczeństwa, a konsekwencjami
jego wystąpienia. Poprawna (realistyczna)
ocena ryzyka określa bowiem wybór
strategii zarządzania takim ryzykiem.
Zadaniem przeprowadzonej wspólnie z
Urzędem analizy ryzyka była więc
identyfikacja ryzyk, które muszą być
kontrolowane lub zaakceptowane. W
kontekście systemów antykorupcyjnych
analiza ryzyka składała się z analizy
wartości procesów, zagrożeń i podatności.
W wyniku analizy ryzyka określone zostało
prawdopodobne ryzyko możliwości
wystąpienia zagrożeń korupcyjnych.
Zidentyfikowane czynniki ryzyka
porównano z założonymi kryteriami
ryzyka w celu wyznaczenia jego wagi i
powzięcia odpowiednich środków
zabezpieczających.
W finalnym etapie budowy mechanizmów
zarządzania ryzykiem opracowano plany
minimalizacji ryzyka. Dokumenty te
wskazują czynności, jakie powinny zostać
zrealizowane w celu utrzymania lub
zwiększenia realizowanego poziomu
bezpieczeństwa i przejrzystości realizacji
procesów. Propozycje zmian dotyczyły
zarówno nowych mechanizmów
organizacyjnych, czyli zasad postępowania
takich jak procedury czy instrukcje, jak
również zabezpieczeń technicznych lub
informatycznych. W planach minimalizacji
ryzyka zamieszczono również informacja o
ewentualnych nakładach finansowych i
czasowych potrzebnych do realizacji
poszczególnych zadań.
Prace i efekty każdego z etapów
raportowano najwyższemu kierownictwu.
Realizacja założeń Planu minimalizacji
ryzyka w dużej części sprowadziła się do
opracowania nowych i zaktualizowania
istniejących dokumentów wewnętrznych,
takich jak procedury i instrukcje.
Konsultanci PBSG wspierali Urzędników w
tym zadaniu poprzez uczestnictwo w
wybranych spotkaniach zespołów
zadaniowych oraz przedkładanie
propozycji poszczególnych procedur i
instrukcji, a także opiniowanie
dokumentów uzgodnionych przez
Urzędników. Przyjęta metodyka pracy
zapewniła, że opracowana dokumentacja
jest spójna, kompletna oraz odpowiada
specyfice Urzędu. W trakcie przebudowy
istniejącej dokumentacji zaktualizowano
ją o szczegółowe wymagania
poszczególnych norm – zgodnie z
metodologią realizacji projektu.
Aby przyspieszyć i poprawić skuteczność
wdrożenia zatwierdzonej dokumentacji,
konsultanci PBSG przeprowadzili serię
szkoleń dla wybranych grup pracowników.
Celem szkoleń było zapoznanie z nowymi i
zmienionymi procedurami. Wartościowym
elementem szkoleń było omówienie
nowych zasad na konkretnych przykładach
z życia organizacji. Trenerzy przedstawili
także, w jaki sposób wprowadzane zmiany
wpływają na poprawę jakości usług, ich
bezpieczeństwa i transparentności.
Opinia PBSG:
Wiemy, że nowoczesne
organizacje wymagają stałego
doskonalenia w zakresie
systemów zarządzania.
Dlatego nasze usługi
nastawione są na ciągły
rozwój wartości Klienta.
Marcin Zastawa,
Wiceprezes, PBSG
Zgodnie z normą ISO/IEC 27001 i ISO
9001 (która jest podstawą na SPZK) oraz
tzw. pętlą ciągłego doskonalenia PDCA,
kolejnym krokiem po implementacji planu
doskonalenia była ocena skuteczności
podjętych działań. Narzędziem do
realizacji tego celu są audyty wewnętrzne.
Zanim jednak audyty zostały
przeprowadzone konieczne było
przeszkolenie osób, mających być w
przyszłości audytorami wewnętrznymi z
zasad dotyczących realizacji prawidłowych
audytów oraz ze szczegółowych wymagań
normy ISO/IEC 27001 oraz SPZK.
Ponieważ audyty wewnętrzne muszą być
przeprowadzane okresowo także po
zakończeniu projektu, konsultanci PBSG
pełnili rolę doradcy podczas audytów. W
ten sposób wiedza dotycząca zasad
organizacji i przeprowadzania audytów
wewnętrznych pozostała w organizacji.
Wynikiem audytu jest pisemny raport.
Ostatnim etapem projektu była jego ocena
przez zewnętrzną jednostkę
certyfikacyjną. Przedmiotem oceny był
sposób zdefiniowania, udokumentowania
oraz wdrożenia systemów ISO/IEC 27001
i SPZK – a w szczególności spełnienie
wszystkich wymagań nowych standardów.
W wyniku przeprowadzonego audytu,
jednostka wydała rekomendację do
wystawienia certyfikatu ISO/IEC 27001,
SPZK a także przedłużono ważności
certyfikatu ISO 9001. Certyfikat taki jest
rozpoznawalnym dowodem zarządzania
systemami na najwyższym poziomie.
Zewnętrzna certyfikacja była także
najlepszą weryfikacją pracy PBSG nad
budową systemu oraz przygotowaniem
pracowników Urzędu do jego
samodzielnego utrzymania i doskonalenia.
© 2008 PBSG Sp. z o.o.. Wszystkie prawa zastrzeżone.
Niniejsze studium przypadku służy wyłącznie celom informacyjnym.
Przedruk dopuszczalny za zgodą PBSG Sp. z o.o.
Korzyści
Wdrożone systemy i związane z nimi
rozwiązania spowodowały diametralny
wzrost świadomości pracowników co do
wagi informacji do jakich mają dostęp
oraz co do możliwości identyfikowania i
przeciwdziałania zjawiskom korupcyjnym.
Określone zostały jasne zasady
postępowania z informacją, raportowania
incydentów, postępowania z
niepożądanymi zachowaniami
korupcyjnymi.
Poczucie bezpieczeństwa
pracowników
Pracownicy Urzędu twierdzą, że
zdecydowanie zmalało ryzyko utraty przez
nich przetwarzanych informacji (np. przez
obowiązek cotygodniowej archiwizacji).
Przestrzeganie polityki haseł sprawiło, że
w znacznym stopniu wzrosło
bezpieczeństwo informacji przed
dostępem osób trzecich, zabezpieczenie
przed ich modyfikacją. Zwiększono
również dostęp do zasobów. System
przeciwdziałania zagrożeniom
korupcyjnym wprowadził przede
wszystkim przejrzysty sposób
postępowania w przypadku zagrożenia
korupcją.