§ 1. Zarządzenie reguluje sposób postępowania z incydentami bezpieczeństwa informacji w Głównym Urzędzie Miar, zwanym dalej „GUM".

§ 2. Użyte w zarządzeniu pojęcia oznaczają:

1) incydent bezpieczeństwa informacji - zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo informacji w GUM;

2) incydent cyberbezpieczeństwa - incydent bezpieczeństwa informacji w rozumieniu art. 2 pkt 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913);

3) incydent krytyczny - incydent bezpieczeństwa informacji w rozumieniu art. 2 pkt 6 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;

4) obsługa incydentu bezpieczeństwa informacji - obsługę incydentu bezpieczeństwa informacji w rozumieniu art. 2 pkt 10 ustawy z dnia 5 lipca 2023 r. o krajowym systemie cyberbezpieczeństwa;

5) system HelpDesk - system pomocy technicznej GUM;

6) Zespół - zespół ds. bezpieczeństwa informacji, o którym mowa w decyzji Prezesa Głównego Urzędu Miar dotyczącej ustanowienia oraz określenia zadań pełnomocnika Prezesa Głównego Urzędu Miar do spraw Zintegrowanego Systemu Zarządzania.

§ 3. 1. Pracownik, w przypadku wykrycia wystąpienia incydentu bezpieczeństwa informacji, zwanego dalej incydentem", niezwłocznie dokonuje jego zgłoszenia w systemie HelpDesk.

2. Zgłoszenie incydentu powinno zawierać:

1) opis symptomów wystąpienia incydentu;

2) wskazanie okoliczności i czasu, w jakich zgłaszający zetknął się z incydentem;

3) informacje, które mogą wskazywać na przyczynę wystąpienia incydentu, o ile zgłaszający incydent posiada te informacje.

3. W przypadku braku dostępności systemu HelpDesk lub sytuacji wymagającej natychmiastowego działania, pracownik dokonuje zgłoszenia drogą elektroniczną na adres incydenty@gum.gov.pl lub telefonicznie albo osobiście kierownikowi komórki organizacyjnej GUM właściwej do spraw bezpieczeństwa, który przekazuje informacje o zgłoszeniu przewodniczącemu Zespołu w celu obsługi incydentu.

§ 4. Pracownik, który dokonał zgłoszenia, zobowiązany jest do:

1) podjęcia czynności niezbędnych dla powstrzymania niepożądanych skutków zaistniałego naruszenia;

2) niepodejmowania działań, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę;

3) powstrzymanie się od pracy w systemie teleinformatycznym, a w przypadku podejrzenia cyberataku, wyłączenia urządzenia;

4) zabezpieczenia dostępu do pomieszczenia, nośników informacji i urządzeń służących do przetwarzania informacji, a także zabezpieczenia dowodów incydentu;

5) współpracy z pracownikami uczestniczącymi w obsłudze incydentu, w szczególności stosowania się do wskazówek Przewodniczącego Zespołu oraz koordynatora obsługi incydentu, o którym mowa w § 5 ust. 2.

§ 5. 1. Przewodniczący Zespołu zapoznaje się z zaistniałą sytuacją, weryfikuje, czy zgłoszenie dotyczy bezpieczeństwa informacji oraz czy wskazuje na wystąpienie incydentu.

2. W przypadku zaklasyfikowania zgłoszenia jako incydent Przewodniczący Zespołu zwołuje posiedzenie Zespołu oraz wyznacza koordynatora obsługi incydentu spośród członków Zespołu.

3. Jeżeli charakter incydentu tego wymaga, Przewodniczący Zespołu niezwłocznie:

1) zawiadamia odpowiednie służby porządkowe;

2) udziela wskazówek osobie dokonującej zgłoszenia w zakresie dalszego postępowania.

4. W przypadku zakwalifikowania zgłoszenia jako niedotyczącego bezpieczeństwa informacji, zgłoszenie jest zamykane, o czym informowany jest pracownik dokonujący zgłoszenia.

§ 6. W ramach obsługi incydentu Zespół:

1) podejmuje niezbędne działania, mające zminimalizować skutki incydentu;

2) przeprowadza postępowanie wyjaśniające;

3) zabezpiecza dostępne dowody;

4) wdraża plan przywrócenia właściwych warunków działania;

5) dokonuje analizy pod kątem, wystąpienia incydentu krytycznego lub incydentu cyberbezpieczeństwa;

6) podejmuje działania naprawcze i rekomenduje działania zapobiegawcze;

7) dokumentuje incydent w postaci raportu z incydentu, którego wzór określa załącznik nr 1 do zarządzenia;

8) nadaje mu priorytet, wynikający z istotności jego wpływu na funkcjonowanie GUM, konieczności natychmiastowej reakcji i podjęcia właściwych działań, uwzględniając wytyczne określone w załączniku nr 2 do zarządzenia;

9) przekazuje pracownikowi, który dokonał zgłoszenia, informacje o działaniach, jakie podjęto w następstwie zgłoszenia.

§ 7. Przewodniczący Zespołu:

1) prowadzi rejestr zgłoszonych incydentów, zgodnie ze wzorem rejestru określonym w załączniku nr 3 do zarządzenia;

2) niezwłocznie informuje Kierownictwo GUM o wystąpieniu incydentu krytycznego lub incydentu cyberbezpieczeństwa oraz we współpracy z koordynatorem zapewnia obsługę incydentu krytycznego lub incydentu cyberbezpieczeństwa zgodnie z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;

3) koordynuje przygotowanie i aktualizowanie przez Zespół planów ciągłości działania;

4) dokonuje przeglądu incydentów, jak również danych z obsługi incydentów;

5) sporządza Kierownictwu GUM, nie rzadziej niż raz na 6 miesięcy, raport o obsłużonych incydentach, zawierający rekomendacje w zakresie działań doskonalących, którego wzór określa załącznik nr 4 do zarządzenia.

§ 8. Upoważnieni pracownicy GUM, zawierając umowę z podmiotem zewnętrznym, zobowiązani są do zamieszczenia w umowie klauzul zobowiązujących podmiot zewnętrzny do zgłaszania zdarzeń, incydentów oraz podatności związanych z bezpieczeństwem informacji pozyskanych w ramach ich realizacji za pośrednictwem osób do kontaktu wskazanych w umowie.

§ 9. Przewodniczący Zespołu po raz pierwszy sporządzi raport, o którym mowa w § 7 pkt 5, w terminie 6 miesięcy od dnia wejścia w życie zarządzenia.

§ 10. Informacje dotyczące incydentów są uwzględniane w ramach monitorowania i oceny ryzyka zgodnie z odrębnymi regulacjami obowiązującymi w GUM.

§ 11. Do incydentów w sprawach wszczętych i niezakończonych przed dniem wejścia w życie niniejszego zarządzenia stosuje się przepisy dotychczasowe.

§ 12. Traci moc zarządzenie nr 4 Prezesa Głównego Urzędu Miar z dnia 24 lutego 2021 r. w sprawie postępowania z incydentami naruszenia bezpieczeństwa informacji w Głównym Urzędzie Miar.

§ 13. Zarządzenie wchodzi w życie z dniem następującym po dniu podpisania.