ZARZĄDZENIE NR 38
MINISTRA RODZINY I POLITYKI SPOŁECZNEJ
z dnia 6 grudnia 2022 r.
w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny i Polityki Społecznej
(ostatnia zmiana: DUMRiPS. z 2023 r., poz. 28)
Na podstawie art. 7 ust. 4 pkt 5 oraz art. 34 ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2022 r. poz. 1188) w związku z § 20 ust. 1 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247) zarządza się, co następuje:
§ 1.
1. System Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny i Polityki Społecznej, zwanym dalej „Ministerstwem”, stanowi strategię działania w zakresie zapewnienia właściwej ochrony informacji w Ministerstwie.
2. Celem Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie jest ochrona informacji przed utratą poufności, dostępności oraz integralności informacji we wszystkich komórkach organizacyjnych Ministerstwa oraz we wszystkich systemach służących do przetwarzania informacji w Ministerstwie.
§ 2.
Zarządzanie bezpieczeństwem informacji w Ministerstwie jest realizowane w szczególności przez monitorowanie, aktualizowanie i doskonalenie procedur, polityk, regulaminów regulujących zasady bezpieczeństwa informacji w Ministerstwie.
§ 3.
Na System Zarządzania Bezpieczeństwem Informacji w Ministerstwie składają się w szczególności następujące obszary:
1) bezpieczeństwo teleinformatyczne;
2) bezpieczeństwo osobowe;
3) bezpieczeństwo fizyczne;
4) bezpieczeństwo obiegu dokumentów;
5) ochrona danych osobowych.
§ 4.
1. Obszar bezpieczeństwa teleinformatycznego reguluje Polityka Bezpieczeństwa Informacji w obszarze IT Ministerstwa.
2. Za zapewnienie właściwego poziomu bezpieczeństwa narzędzi i rozwiązań teleinformatycznych eksploatowanych w Ministerstwie, w szczególności bezpieczeństwa przetwarzanych przez nie informacji i danych osobowych, odpowiada Departament Informatyki.
3. Obszar bezpieczeństwa osobowego i fizycznego reguluje instrukcja kontroli ruchu osobowego i materiałowego oraz organizacji ruchu pojazdów i przydziału miejsc parkingowych w Ministerstwie.
4. Obszar bezpieczeństwa obiegu dokumentów reguluje instrukcja kancelaryjna, jednolity rzeczowy wykaz akt i instrukcja w sprawie organizacji i zakresu działania archiwum zakładowego Ministerstwa.
5. Za zapewnienie bezpieczeństwa osobowego i fizycznego oraz bezpieczeństwa obiegu dokumentów w Ministerstwie odpowiada Biuro Bezpieczeństwa i Logistyki.
6. Obszar ochrony danych osobowych reguluje Polityka ochrony danych osobowych w Ministerstwie. Za monitorowanie przestrzegania w Ministerstwie przepisów dotyczących ochrony danych osobowych odpowiada Inspektor Ochrony Danych.
§ 5.
1. Dyrektor Generalny Ministerstwa sprawuje nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji.
2. Dyrektor Generalny Ministerstwa zapewnia przeprowadzenie przynajmniej raz w roku audytu Systemu Zarządzania Bezpieczeństwem Informacji.
§ 6.
1. W Ministerstwie powołuje się Zespół do spraw Systemu Zarządzania Bezpieczeństwem Informacji, zwany dalej „Zespołem”.
2. Zespół ma na celu wsparcie Dyrektora Generalnego Ministerstwa w procesie zarządzania bezpieczeństwem informacji.
3. Do zadań Zespołu należy:
1) monitorowanie aktualizacji regulacji wewnętrznych i inicjowanie propozycji rozwiązań w zakresie dotyczącym obszarów, o których mowa w § 3, w szczególności w oparciu o:
a) analizę charakteru incydentów naruszenia bezpieczeństwa informacji na podstawie zbiorczych informacji przekazywanych przez poszczególnych członków Zespołu,
b) wyniki oceny ryzyka, sporządzone na podstawie obowiązujących zasad zarządzania ryzykiem w Ministerstwie w części dotyczącej bezpieczeństwa informacji;
2) monitorowanie realizacji zaleceń poaudytowych przedstawionych w wyniku audytu Systemu Zarządzania Bezpieczeństwem Informacji;
3) [1] opiniowanie wyników oceny ryzyka, sporządzonych na podstawie obowiązujących zasad zarządzania ryzykiem w Ministerstwie.
§ 7.
1. W skład Zespołu wchodzą:
1) Przewodniczący - Dyrektor Generalny Ministerstwa;
2) Zastępca Przewodniczącego - Dyrektor Biura Kontroli i Audytu;
3) Sekretarz - pracownik Biura Kontroli i Audytu wyznaczony przez Przewodniczącego;
4) [2] Dyrektor Departamentu Informatyki i jego Zastępca;
5) Dyrektor Biura Bezpieczeństwa i Logistyki lub jego Zastępca;
6) Dyrektor Biura Dyrektora Generalnego lub jego Zastępca;
7) [3] Inspektor Ochrony Danych i jego Zastępca - w trybie doradczym;
8) audytor wewnętrzny - w trybie doradczym;
9) pracownik wydziału kontroli - w trybie doradczym.
2. Listę członków Zespołu, przedstawioną przez Przewodniczącego, zatwierdza Minister.
3. W przypadku nieobecności członka Zespołu, o którym mowa w ust. 1 pkt 2, 4, 5 i 6, do udziału w posiedzeniu może zostać wyznaczony przez tego członka Zespołu inny pracownik tej samej komórki organizacyjnej Ministerstwa.
4. W pracach Zespołu, na zaproszenie Przewodniczącego, w zależności od potrzeb, mogą brać udział, z głosem doradczym, osoby inne niż wymienione w ust. 1.
§ 8.
1. Pracami Zespołu kieruje Przewodniczący.
2. Zastępca Przewodniczącego wypełnia zadania Przewodniczącego podczas jego nieobecności.
3. Przewodniczący Zespołu może w szczególności:
1) zwracać się do dyrektorów komórek organizacyjnych Ministerstwa z prośbą o informacje, wyjaśnienia oraz wgląd do dokumentów, niezbędnych do realizacji zadań Zespołu;
2) powierzać poszczególnym członkom Zespołu wykonanie określonych czynności, niezbędnych do realizacji zadań Zespołu.
4. Przewodniczący zarządza prowadzenie prac Zespołu w trybie stacjonarnym lub zdalnym, za pośrednictwem środków porozumiewania się na odległość albo w trybie obiegowym przy użyciu poczty elektronicznej.
5. Zespół obraduje na posiedzeniach, odbywających się nie rzadziej niż raz na kwartał.
6. Miejsce i termin posiedzeń Zespołu wyznacza Przewodniczący.
7. Zespół podejmuje decyzje w drodze głosowania zwykłą większością głosów, w obecności co najmniej połowy członków Zespołu.
8. W przypadku niepodjęcia decyzji w sposób, o którym mowa w ust. 7, ostateczną decyzję podejmuje Przewodniczący.
9. Sekretarz sporządza protokół z posiedzenia Zespołu. Protokół podpisuje Przewodniczący.
10. Protokół jest przekazywany wszystkim członkom Zespołu w ciągu 21 dni od dnia posiedzenia.
§ 9.
Praca w Zespole odbywa się w ramach obowiązków służbowych. Członkowie Zespołu nie otrzymują z tego tytułu dodatkowego wynagrodzenia.
§ 10.
Obsługę organizacyjno-biurową Zespołu zapewnia Biuro Kontroli i Audytu w Ministerstwie.
§ 11.
1. Kierujący komórkami organizacyjnymi Ministerstwa odpowiadają za wdrożenie i przestrzeganie Systemu Zarządzania Bezpieczeństwem Informacji w podległych sobie komórkach organizacyjnych, w szczególności określają zasoby informacji i ich nośniki, zagrożenia dla informacji oraz szacują ryzyko w zakresie bezpieczeństwa informacji dla podległych sobie komórek organizacyjnych.
2. Kierujący komórkami organizacyjnymi Ministerstwa współpracują z Zespołem w zakresie zarządzania bezpieczeństwem informacji.
§ 12.
[4] System Zarządzania Bezpieczeństwem Informacji w Ministerstwie nie dotyczy informacji niejawnych w rozumieniu ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2023 r. poz. 756 i 1030).
§ 13.
Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.
[1] § 6 ust. 3 pkt 3 dodany przez § 1 pkt 1 zarządzenia nr 28 Ministra Rodziny i Polityki Społecznej z dnia 24 lipca 2023 r. zmieniającego zarządzenie w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny i Polityki Społecznej (Dz.Urz.MRiPS. poz. 28). Zmiana weszła w życie 26 lipca 2023 r.
[2] § 7 ust. 1 pkt 4 w brzmieniu ustalonym przez § 1 pkt 2 lit. a) zarządzenia nr 28 Ministra Rodziny i Polityki Społecznej z dnia 24 lipca 2023 r. zmieniającego zarządzenie w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny i Polityki Społecznej (Dz.Urz.MRiPS. poz. 28). Zmiana weszła w życie 26 lipca 2023 r.
[3] § 7 ust. 1 pkt 7 w brzmieniu ustalonym przez § 1 pkt 2 lit. b) zarządzenia nr 28 Ministra Rodziny i Polityki Społecznej z dnia 24 lipca 2023 r. zmieniającego zarządzenie w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny i Polityki Społecznej (Dz.Urz.MRiPS. poz. 28). Zmiana weszła w życie 26 lipca 2023 r.
[4] § 12 w brzmieniu ustalonym przez § 1 pkt 3 zarządzenia nr 28 Ministra Rodziny i Polityki Społecznej z dnia 24 lipca 2023 r. zmieniającego zarządzenie w sprawie Systemu Zarządzania Bezpieczeństwem Informacji w Ministerstwie Rodziny i Polityki Społecznej (Dz.Urz.MRiPS. poz. 28). Zmiana weszła w życie 26 lipca 2023 r.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00