Studium przypadku Urząd Miasta Kielce podnosi
Transkrypt
Studium przypadku Urząd Miasta Kielce podnosi
Studium przypadku Branża: Administracja Publiczna Informacje o kliencie Kielce - położone w sercu Gór Świętokrzyskich stanowią gospodarcze i turystyczne centrum województwa świętokrzyskiego. Liczą ok. 200 tys. mieszkańców i 109 km kw. powierzchni. Miasto jest również zagłębiem budowlanym o bogatych tradycjach, ośrodkiem turystycznym, kulturalnym, a także miejscem geologicznych osobliwości. Dzieje miasta liczą ponad 900 lat. Pierwsza wzmianka o Kielcach w dokumentach średniowiecznych pochodzi z 1212 roku. Prawa miejskie uzyskały przed 1295 rokiem. Korzyści Wdrożenie mechanizmów systemowego zarządzania bezpieczeństwem informacji. Zorientowanie działań Urzędu na potrzeby i oczekiwania mieszkańców. Budowa wizerunku Urzędu transparentnego i bezpiecznego. Zmiana kultury organizacji i poczucie większego bezpieczeństwa pracowników Systematyczna analiza ryzyka i precyzyjne reagowanie na ryzyka nieakceptowalne Urząd Miasta Kielce podnosi bezpieczeństwo przetwarzanych informacji, zgodnie z ISO/IEC 27001 i przeciwdziała zagrożeniom korupcyjnym wg SPZK. „Opracowany, wdrożony i certyfikowany w 2005 roku, System Zarządzania Jakością wg. normy PN-EN ISO 9001:2001 w Urzędzie Miasta Kielce jest nadal utrzymywany i doskonalony. Przykładem doskonalenia jest fakt przebudowy obecnego SZJ do systemu zintegrowanego opierającego się na wymaganiach ISO 27001 i SPZK” Janusz Koza, Sekretarz Miasta, UM Kielce Urząd Miasta spełnia służebną rolę wobec swoich klientów. Przy załatwianiu spraw, pracownicy bazują na aktualnie obowiązujących przepisach, starają się wykonywać swoje obowiązki w sposób rzetelny, bez zbędnej zwłoki i spełniać oczekiwania swoich klientów. W celu usprawnienia obsługi klienta w Urzędzie Miasta uruchomiono bezpłatną infolinię, udostępniono 3 punkty Biura Obsługi Interesanta, opracowano gotowe druki spraw załatwianych w Urzędzie, które są dostępne w BOI i na stronach internetowych Urzędu Miasta. Wydłużono też czas pracy tych jednostek, które są najczęściej odwiedzane przez klientów: BOI, Urzędu Stanu Cywilnego, a także referatów Wydziału Spraw Obywatelskich: Rejestracji Pojazdów, Praw Jazdy, Ewidencji Ludności i Dowodów Osobistych. Urząd jest łatwo dostępny dla osób niepełnosprawnych, które mogą korzystać z podjazdów oraz windy zamontowanej w budynku magistratu. W celu poprawy jakości świadczonych usług oraz dostępności klienta do Urzędu, magistrat wdraża system elektronicznego obiegu dokumentów. W odpowiedzi na wyzwania XXI wieku i wymogi nakładane przez członkostwo w Unii Europejskiej Urząd Miasta w Kielcach stale udoskonala też infrastrukturę informatyczną. Dlatego Miasto Kielce stało się jednym z podmiotów realizujących projekt pod nazwą "e-świętokrzyskie", który zakłada m.in.: zbudowanie, utrzymanie i eksploatację: infrastruktury sieci światłowodowej, elektronicznego obiegu dokumentów wraz z jego wdrożeniem oraz portalu "Wrota Świętokrzyskie" współfinansowanych z Funduszy Strukturalnych Unii Europejskiej na lata 2004-2006. Jesienią 2004r. w Urzędzie zainstalowano monitoring, mający na celu poprawę bezpieczeństwa klientów i pracowników. W 2007 roku podjęto również decyzję o wdrożeniu Zintegrowanego Systemu Zarządzania, który ma w sposób systemowy nadzorować jakość, bezpieczeństwo, transparentność i bezstronność Urzędu. Zintegrowany System Zarządzania, jako pierwszy w kraju w branży administracji publicznej bazuje i spełnia wymagania trzech standardów ISO 9001:2000, ISO/IEC 27001 oraz Systemu Przeciwdziałania Zagrożeniom Korupcyjnym (KIG i PCBC). W 2007 roku Urząd nawiązał współpracę z PBSG. Jej celem było m.in. zbudowanie i wdrożenie Zintegrowanego Systemu Zarządzani. W wyniku tej współpracy, w Osiągnięcia i certyfikaty: 2005 r. - Certyfikat Systemu ciągu niespełna roku, PBSG wdrożyło system zarządzania bezpieczeństwem informacji wg. ISO/IEC 27001 i System Przeciwdziałania Zagrożeniom Korupcyjnym oraz zintegrowało te wymagania z funkcjonującym systemem zarządzania jakością. Zintegrowany system zarządzania przeszedł pozytywny proces certyfikacji, dokonany przez niezależną jednostkę certyfikacyjną, a Urząd Miasta Kielce otrzymał, jako pierwszy w Polsce organ administracji samorządowej akredytowany certyfikat, potwierdzający spełnienie wymagań ISO 9001, ISO/IEC 27001 i SPZK. Zarządzania Jakością dla Urzędu Miasta Kielce wg normy PN-EN 9001:2001 2006 r. - Certyfikat dla Urzędu Miasta Kielce za udział w akcji "Przejrzysta Polska”, 2005,2006,2007 r. – Długoterminowy rating krajowy dla Kielc na poziomie "A-(pol)" 2007 r. – Ratingi międzynarodowe na poziomie "BBB-" dla długoterminowego zadłużenia w walucie zagranicznej i krajowej, 2008 r. - odnowienie certyfikatu Systemu Zarządzania Jakością i przyznanie certyfikatów Systemu Zarządzania Bezpieczeństwem Informacji według PN-ISO/IEC 27001:2007 oraz Systemu Przeciwdziałania Zagrożeniom Korupcyjnym Sytuacja Urząd Miasta Kielce działa i realizuje swoje zadania na podstawie: ustawy z dnia 8 marca 1990r. o samorządzie gminnym (Dz. U. z 2001r. Nr 142 poz. 1591 z późniejszymi zmianami), ustawy z dnia 5 czerwca 1998r. o samorządzie powiatowym (Dz. U. z 2001r. Nr 142 poz. 1592 z późniejszymi zmianami), ustawy z dnia 24 lipca 1998r. o zmianie niektórych ustaw określających kompetencje organów administracji publicznej – w związku z reformą ustrojową państwa (Dz. U. Nr 106 poz. 668 z późniejszymi zmianami), ustawy z dnia 16 grudnia 1998r. o zmianie niektórych ustaw w związku z wdrożeniem reformy ustrojowej państwa (Dz. U. Nr 162 poz. 1126 z późniejszymi zmianami) oraz zleconych w innych ustawach, jako sprawy należące do zakresu działania i wykonywane przez organy innych miast oraz organy miast na prawach powiatu. Szczegółową organizację Urzędu oraz zasady funkcjonowania określa Regulamin Organizacyjny Urzędu Miasta Kielce wprowadzony Zarządzeniem Nr 115/2007 Prezydenta Miasta Kielce z dnia 10 maja 2007 r. w sprawie nadania Urzędowi Miasta Kielce Regulaminu Organizacyjnego. Regulamin Organizacyjny określa organizację Urzędu, zasady i zakres funkcjonowania poszczególnych komórek organizacyjnych Urzędu, a także inne postanowienia związane z realizacją zadań Miasta, wynikające z obowiązującego prawa. Certyfikat Systemu Zarządzania Jakością wg normy PN-EN ISO 9001:2001 Urząd Miasta w Kielcach otrzymał 25 maja 2005r. podczas uroczystej Sesji Rady Miejskiej z okazji 15-lecia powstania Samorządu Terytorialnego w Polsce. Certyfikat w zakresie "wykonywanie zadań administracji samorządowej, służących umacnianiu poczucia społecznego zaufania mieszkańców do władz Miasta oraz pracowników Urzędu" na ręce prezydenta Kielc Wojciecha Lubawskiego wręczyli: Dyrektor ds. Koordynacji i Administracji Polskiego Centrum Badań i Certyfikacji, Stanisław Walenta oraz Andrzej Suliński auditor zewnętrzny. Wtedy otrzymanie certyfikatu było wielkim osiągnięciem dla Urzędu i sukcesem zespołu roboczego na czele, którego stała pani Agnieszka Ceglińska. Tego samego dnia przez myśl Sekretarza Miasta – To nie koniec… Rozwój SZJ w Urzędzie Sekretarz Miasta – Janusz Koza jak pomyślał – tak też uczynił. Została podjęta decyzja o wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001:2005 oraz Systemu Przeciwdziałania Zagrożeniom Korupcyjnym (KIG i PCBC). W ciągu kilku miesięcy – od rozpoczęcia audytu przedwdrożeniowego do procesu certyfikacji– stworzono rozwiązanie, które zrealizowało stawiane przed Urzędem cele. Zastosowane rozwiązanie oparto na ciężkiej pracy powołanego zespołu roboczego i doradztwa konsultantów PBSG. Etapy projektu W ciągu 10 miesięcy – od podpisania umowy do procesu certyfikacji– stworzono rozwiązanie, które zrealizowało stawiane przed nim cele. Zastosowane rozwiązanie oparto o wymagania ISO/IEC 27001 i SPZK. ETAP I PRZEPROWADZENIE AUDYTU Antykorupcja: Korupcja, oszustwa i nadużycia dotykają każdej organizacji i stanowią istotny problem. Jednak ze względu na brak przeprowadzania w organizacjach kompleksowych analiz tego typu przypadków skala problemu nie jest w pełni widoczna. Agnieszka Ceglińska Koordynator d/s Zintegrowanego Systemu Zarządzania, UM Kielce • Jakie sa krytyczne problemy? • Jaki model oceny przyjac? ETAP III OPRACOWANIE DOKUEMNTACJI I WDROZENIE ETAP II ANALIZA RYZYKA • Jaka jest optymalna ocena? • Jakie sa mozliwosci wzrostu? • Jakie sa procesy krytyczne? • Jaki stopien glebokosci przyjac do oceny? • • • • Identyfikacja potrzeb (analiza procesów, analiza braków Analiza dokumentacji Zaprojektowanie list kontrolnych opracowanie metod badawczych • Audyty • Wywiady • Ankiety • Opracowania wlasne • • • • • Ocena metodyk analizy ryzyka Inwentaryzacja zagrozen Ocena realizacji procesów Identyfikacja dzialan krytycznych Wskazanie rekomendacji • Warsztaty • Prezentacja • • • • • Opracowanie polityki procedur Analiza punktów krytycznych dla procesów Wdrozenie dokumentacji i wymagan Okreslenie potencjalu zmian Dokonanie oceny wdrozenia •Warsztaty • Ankiety ETAP IV CERTYFIKACJA SYSTEMU • Jaka jest optymalna struktura doskonalenia i rozwoju? • • Opracowanie wytycznych do strategii zarzadzania ryzykiem w systemie antykorupcyjnym Ocena zewnetrzna wdrozenia systemu antykorupcyjnego • Analiza • Warsztaty Rys.2 Etapy projektu PBSG zrealizowała swoje usługi w zakresie opracowania, wdrożenia i przygotowania do certyfikacji systemu zarządzania bezpieczeństwem informacji i systemu przeciwdziałania zagrożeniom korupcyjnym. Przygotowana usługa zawierała prace począwszy od przygotowania i przeprowadzenia audytów wstępnych, poprzez opracowanie metodyki analizy ryzyka, opracowanie mechanizmów zarządzania ryzykiem, opracowanie niezbędnej dokumentacji na przeprowadzeniu szkoleń dla audytorów i pracowników oraz realizacji końcowych audytów skończywszy. Pierwszym etapem rozpoczynającym realizację projektu była analiza dokumentacji, dostarczonej przez przedstawicieli Klienta. Konsultanci zapoznali się z wszystkimi dostępnymi regulacjami wewnętrznymi, mającymi wpływ na nadużycia i bezpieczeństwo informacji. W szczególności analizie poddane zostaną: regulaminy organizacyjne stosowana metodyka analizy ryzyka i klasyfikacji informacji definicja i opis stref bezpieczeństwa procedury i wyniki działań komórek kontroli i audytów wewnętrznych polityki, procedury i instrukcje związane z zarządzaniem zasobami ludzkimi procedury zarządzania systemami informatycznymi, w szczególności reguły tworzenia kopii zapasowych, nadawania uprawnień oraz definiowania wymagań dla nowych systemów procedury zarządzania ciągłością działania umowy z kluczowymi dostawcami materiałów i usług. Celem realizacji etapu było zapoznanie się konsultantów z aktualną specyfiką wymagań obowiązujących w organizacji oraz wskazanie ew. obszarów zmian w zakresie istniejącej dokumentacji opisującej procedury postępowania i kontroli wewnętrznej. Kolejnym krokiem realizacji projektu stało się przeprowadzenie audytów bezpieczeństwa informacji antykorupcyjnych w poszczególnych komórkach organizacyjnych. Diagnozę przeprowadzano w oparciu o przygotowane wcześniej listy kontrolne. Podstawowym narzędziem audytowym – obok analizy dostarczonej dokumentacji – były rozmowy i wywiady z pracownikami. Konsultanci także starali się określić spełnienie poszczególnych wymagań PCBC i ISO/IEC 27001 na podstawie analizy zapisów z realizowanych procesów, a także weryfikacji mechanizmów i zagrożeń antykorupcyjnych i ochrony informacji (np. ochrona wydruków, niszczenie danych, udzielanie informacji zainteresowanym itp.). Podczas audytu badaniu poddano w szczególności następujące obszary organizacji: struktura zarządzania i odpowiedzialności związane z zarządzaniem, nadzór nad firmami, mającymi wpływ na możliwe nadużycia i utratę informacji (np. podwykonawcy, firmy świadczące usługi outsourcingu – jak kancelaria prawna), nadzór nad pracownikami czasowymi (np. praktykanci), zgłaszanie i postępowanie z incydentami bezpieczeństwa i zdarzeń korupcyjnych, Bezpieczeństwo informacji: Bezpieczeństwo informacji to nie tylko zabezpieczenia informatyczne czy fizyczne. To także odpowiednio przeszkolony i świadomy zagrożeń personel, to odpowiednio zdefiniowane umowy z dostawcami, to również sformalizowane i przetestowane plany ciągłości działania. Tomasz Olbratowski Pełnomocnik Prezydenta ds. Bezpieczeństwa Informacji, UM Kielce zgodność z wymaganiami własnymi oraz zewnętrznymi (np. umowy z Klientami). Obok audytu procesowego, konsultanci zapoznali się także z ogólnymi działaniami urzędu w zakresie działań antykorupcyjnych i ochrony danych. W tym celu zweryfikowana zostanie skuteczność stosowanych mechanizmów, oraz inicjatywy urzędu w zakresie kształtowania świadomości wśród pracowników. Przeprowadzono także dwa typy szkoleń wstępnych: dla kierownictwa oraz dla pracowników. Dodatkowo oba typy szkoleń wzbogacone zostały prezentacją wybranych wyników i wniosków z przeprowadzonych audytów wstępnych. Niezbędnym etapem budowania mechanizmów bezpieczeństwa informacji i antykorupcyjnych jest inwentaryzacja informacji i identyfikacja punktów krytycznych w realizowanych procesach narażonych na zagrożenia korupcyjne. Ponieważ Urzędzie istniały już pewne opracowania w tym względzie, zostały one wykorzystane przy ostatecznej wersji klasyfikacji informacji. Konsultanci PBSG zaproponowali metodykę identyfikacji informacji kluczowych, bazującą na ocenie wskaźników poufności, integralności oraz dostępności dla poszczególnych grup informacji. Wspólnie z przedstawicielami Klienta przedyskutowano i ustalono kategorie ochrony informacji. Kolejnym i najważniejszym etapem wdrożenia mechanizmów bezpieczeństwa informacji i systemu antykorupcyjnego okazało się opracowanie i zbudowanie mechanizmów zarządzania ryzykiem. Analiza ryzyka jest częścią cyklicznego procesu zarządzania ryzykiem. Jest to proces identyfikacji i zarządzania incydentami na tyle poważnymi, aby zagrozić płynnemu prowadzeniu jakiejś działalności. Efektem analizy jest zapobiegnie incydentom bezpieczeństwa i nadużyciom oraz eliminacja najgłębszych przyczyn ich pojawiania się. Niezwykle ważnym stała się przy tym pomoc konsultantów w zakresie rozróżnienia prawdopodobieństwa wystąpienia niebezpieczeństwa, a konsekwencjami jego wystąpienia. Poprawna (realistyczna) ocena ryzyka określa bowiem wybór strategii zarządzania takim ryzykiem. Zadaniem przeprowadzonej wspólnie z Urzędem analizy ryzyka była więc identyfikacja ryzyk, które muszą być kontrolowane lub zaakceptowane. W kontekście systemów antykorupcyjnych analiza ryzyka składała się z analizy wartości procesów, zagrożeń i podatności. W wyniku analizy ryzyka określone zostało prawdopodobne ryzyko możliwości wystąpienia zagrożeń korupcyjnych. Zidentyfikowane czynniki ryzyka porównano z założonymi kryteriami ryzyka w celu wyznaczenia jego wagi i powzięcia odpowiednich środków zabezpieczających. W finalnym etapie budowy mechanizmów zarządzania ryzykiem opracowano plany minimalizacji ryzyka. Dokumenty te wskazują czynności, jakie powinny zostać zrealizowane w celu utrzymania lub zwiększenia realizowanego poziomu bezpieczeństwa i przejrzystości realizacji procesów. Propozycje zmian dotyczyły zarówno nowych mechanizmów organizacyjnych, czyli zasad postępowania takich jak procedury czy instrukcje, jak również zabezpieczeń technicznych lub informatycznych. W planach minimalizacji ryzyka zamieszczono również informacja o ewentualnych nakładach finansowych i czasowych potrzebnych do realizacji poszczególnych zadań. Prace i efekty każdego z etapów raportowano najwyższemu kierownictwu. Realizacja założeń Planu minimalizacji ryzyka w dużej części sprowadziła się do opracowania nowych i zaktualizowania istniejących dokumentów wewnętrznych, takich jak procedury i instrukcje. Konsultanci PBSG wspierali Urzędników w tym zadaniu poprzez uczestnictwo w wybranych spotkaniach zespołów zadaniowych oraz przedkładanie propozycji poszczególnych procedur i instrukcji, a także opiniowanie dokumentów uzgodnionych przez Urzędników. Przyjęta metodyka pracy zapewniła, że opracowana dokumentacja jest spójna, kompletna oraz odpowiada specyfice Urzędu. W trakcie przebudowy istniejącej dokumentacji zaktualizowano ją o szczegółowe wymagania poszczególnych norm – zgodnie z metodologią realizacji projektu. Aby przyspieszyć i poprawić skuteczność wdrożenia zatwierdzonej dokumentacji, konsultanci PBSG przeprowadzili serię szkoleń dla wybranych grup pracowników. Celem szkoleń było zapoznanie z nowymi i zmienionymi procedurami. Wartościowym elementem szkoleń było omówienie nowych zasad na konkretnych przykładach z życia organizacji. Trenerzy przedstawili także, w jaki sposób wprowadzane zmiany wpływają na poprawę jakości usług, ich bezpieczeństwa i transparentności. Opinia PBSG: Wiemy, że nowoczesne organizacje wymagają stałego doskonalenia w zakresie systemów zarządzania. Dlatego nasze usługi nastawione są na ciągły rozwój wartości Klienta. Marcin Zastawa, Wiceprezes, PBSG Zgodnie z normą ISO/IEC 27001 i ISO 9001 (która jest podstawą na SPZK) oraz tzw. pętlą ciągłego doskonalenia PDCA, kolejnym krokiem po implementacji planu doskonalenia była ocena skuteczności podjętych działań. Narzędziem do realizacji tego celu są audyty wewnętrzne. Zanim jednak audyty zostały przeprowadzone konieczne było przeszkolenie osób, mających być w przyszłości audytorami wewnętrznymi z zasad dotyczących realizacji prawidłowych audytów oraz ze szczegółowych wymagań normy ISO/IEC 27001 oraz SPZK. Ponieważ audyty wewnętrzne muszą być przeprowadzane okresowo także po zakończeniu projektu, konsultanci PBSG pełnili rolę doradcy podczas audytów. W ten sposób wiedza dotycząca zasad organizacji i przeprowadzania audytów wewnętrznych pozostała w organizacji. Wynikiem audytu jest pisemny raport. Ostatnim etapem projektu była jego ocena przez zewnętrzną jednostkę certyfikacyjną. Przedmiotem oceny był sposób zdefiniowania, udokumentowania oraz wdrożenia systemów ISO/IEC 27001 i SPZK – a w szczególności spełnienie wszystkich wymagań nowych standardów. W wyniku przeprowadzonego audytu, jednostka wydała rekomendację do wystawienia certyfikatu ISO/IEC 27001, SPZK a także przedłużono ważności certyfikatu ISO 9001. Certyfikat taki jest rozpoznawalnym dowodem zarządzania systemami na najwyższym poziomie. Zewnętrzna certyfikacja była także najlepszą weryfikacją pracy PBSG nad budową systemu oraz przygotowaniem pracowników Urzędu do jego samodzielnego utrzymania i doskonalenia. © 2008 PBSG Sp. z o.o.. Wszystkie prawa zastrzeżone. Niniejsze studium przypadku służy wyłącznie celom informacyjnym. Przedruk dopuszczalny za zgodą PBSG Sp. z o.o. Korzyści Wdrożone systemy i związane z nimi rozwiązania spowodowały diametralny wzrost świadomości pracowników co do wagi informacji do jakich mają dostęp oraz co do możliwości identyfikowania i przeciwdziałania zjawiskom korupcyjnym. Określone zostały jasne zasady postępowania z informacją, raportowania incydentów, postępowania z niepożądanymi zachowaniami korupcyjnymi. Poczucie bezpieczeństwa pracowników Pracownicy Urzędu twierdzą, że zdecydowanie zmalało ryzyko utraty przez nich przetwarzanych informacji (np. przez obowiązek cotygodniowej archiwizacji). Przestrzeganie polityki haseł sprawiło, że w znacznym stopniu wzrosło bezpieczeństwo informacji przed dostępem osób trzecich, zabezpieczenie przed ich modyfikacją. Zwiększono również dostęp do zasobów. System przeciwdziałania zagrożeniom korupcyjnym wprowadził przede wszystkim przejrzysty sposób postępowania w przypadku zagrożenia korupcją.