ZARZĄDZENIE NR 23
GENERALNEGO DYREKTORA DRÓG KRAJOWYCH I AUTOSTRAD
z dnia 01 września 2021 r.
w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad i określenia sposobu wprowadzania dokumentacji tego systemu
(DUGDDKiA. z 2022 r., poz. 4; DUGDDKiA. z 2022 r., poz. 22;ostatnia zmiana: DUGDDKiA. z 2023 r., poz. 33)
Na podstawie § 5 ust. 2 piet 1 załącznika do zarządzenia Nr 36 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 4 grudnia 2018 r. w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad1), w związku z art. 24 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 i Dz. Urz. UE L 127 z 23.05.2018, str. 2) oraz § 20 ust. 1 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), zarządza się, co następuje:
§ 1. 1. W Generalnej Dyrekcji Dróg Krajowych i Autostrad, zwanej dalej „GDDKiA", ustanawia się System Zarządzania Bezpieczeństwem Informacji, zwany dalej „SZBI".
2. Celem SZBI jest zapewnienie poufności, integralności i dostępności informacji przetwarzanych w GDDKiA, zarówno będących jej własnością, jak i powierzonych przez inne podmioty, niezależnie od ich formy i nośnika przetwarzania oraz dystrybucji.
3. SZBI obejmuje wszystkie jednostki i komórki organizacyjne GDDKiA.
§ 2. Podstawowe zasady bezpieczeństwa informacji i odpowiedzialność w zakresie funkcjonowania SZBI określa Polityka Bezpieczeństwa Informacji stanowiąca załącznik nr 1 do zarządzenia.
§ 3. 1. [1] (uchylony)
2. Koordynowanie wdrożenia SZBI powierzam Dyrektorowi Departamentu Zarządzania Kryzysowego i Bezpieczeństwa w Centrali GDDKiA.
3. Kierujący komórkami organizacyjnymi Centrali GDDKiA oraz Dyrektorzy Oddziałów GDDKiA są obowiązani do współdziałania i udzielenia wsparcia Dyrektorowi Departamentu Zarządzania Kryzysowego i Bezpieczeństwa w Centrali GDDKiA, koordynującemu wdrożenie SZBI, w szczególności poprzez udostępnianie niezbędnych informacji oraz współpracę w zakresie realizacji poszczególnych etapów wdrożenia SZBI.
§ 4. 1. Określa się sposób wprowadzania dokumentów regulujących funkcjonowanie SZBI, zwanych dalej „dokumentacją SZBI".
2. Na dokumentację SZBI składają się:
1) regulaminy, zasady, wytyczne, instrukcje, procedury stanowiące dokumentację obligatoryjną SZBI;
2) zalecenia i wyjaśnienia;
3) polityki stanowiące dokumenty wprowadzane mocą zarządzenia.
3. W razie wątpliwości co do stosowania reguł wynikających z dokumentacji obligatoryjnej SZBI oraz odstępstw od jej stosowania, uznaje sieją za równoważną wydanemu poleceniu służbowemu przez odpowiednio właściwego przedstawiciela Kierownictwa Generalnej Dyrekcji Dróg Krajowych i Autostrad, Dyrektora Oddziału lub kierownika komórki organizacyjnej. Przepisu nie stosuje się wobec polityk.
4. O wprowadzeniu dokumentacji SZBI informuje się wszystkich pracowników Generalnej Dyrekcji Dróg Krajowych i Autostrad przy użyciu środków komunikacji elektronicznej, w szczególności za pośrednictwem EZD lub poprzez wysłanie e-maila, wskazując w informacji miejsce jej publikacji.
5. Niestosowanie reguł wynikających z dokumentacji SZBI przez pracownika, który nie został poinformowany o ich wprowadzeniu, lub któremu nie wskazano miejsca ich publikacji, lub który nie został poinformowany o obowiązku ich stosowania, nie stanowi uchybienia obowiązkom pracowniczym.
6. Opis sposobu wprowadzania dokumentacji SZBi stanowi załącznik nr 3 do zarządzenia.
§ 5. Obowiązującą dokumentację SZBI publikuje się w Intranecie na specjalnie przeznaczonej do tego celu stronie, do której dostęp posiadają wszyscy pracownicy Generalnej Dyrekcji Dróg Krajowych i Autostrad.
§ 6. 1. Tracą moc:
1) zarządzenie nr 15 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 14 marca 2013 r. w sprawie polityki bezpieczeństwa informacji;
2) zarządzenie nr 24 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 25 marca 2015 r. w sprawie wprowadzenia „Polityki Bezpieczeństwa Teleinformatycznego" w Generalnej Dyrekcji Dróg Krajowych i Autostrad;
4) zarządzenie nr 21 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 24 maja 2018 r. w sprawie Polityki ochrony danych osobowych w Generalnej Dyrekcji Dróg Krajowych i Autostrad.
2. Z dniem wejścia w życie zarządzenia:
1) (uchylony)
2) treść Polityki Bezpieczeństwa Teleinformatycznego, stanowiącej załącznik do zarządzenia nr 24 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 25 marca 2015 r. w sprawie wprowadzenia „Polityki Bezpieczeństwa Teleinformatycznego" w Generalnej Dyrekcji Dróg Krajowych i Autostrad,
3) treść Regulaminu Bezpieczeństwa Teleinformatycznego, stanowiącego załącznik do zarządzenia nr 4 Dyrektora Generalnego Generalnej Dyrekcji Dróg Krajowych i Autostrad z dnia 1 czerwca 2015 r. w sprawie wprowadzenia Regulaminu Bezpieczeństwa Teleinformatycznego w Generalnej Dyrekcji Dróg Krajowych i Autostrad,
4) treść Zasad bezpieczeństwa pracy zdalnej, stanowiących załącznik do zarządzenia nr 10 Dyrektora Generalnego Generalnej Dyrekcji Dróg Krajowych i Autostrad z dnia 27 października 2020 r. w sprawie ustalenia zasad bezpieczeństwa pracy zdalnej w Generalnej Dyrekcji Dróg Krajowych i Autostrad
- staje się dokumentacją w rozumieniu § 4 ust. 2 pkt 1.
3. Niezwłocznie po dniu wejścia w życie zarządzenia, nie później niż w terminie 5 dni roboczych, Dyrektor Departamentu Zarządzania Kryzysowego i Bezpieczeństwa w Centrali GDDKiA realizuje zadania, o których mowa w § 4 ust. 4, w stosunku do treści, o których mowa w ust. 2.
§ 7. 1. Zarządzenie wchodzi w życie z dniem podpisania, z wyjątkiem:
1) § 9 ust. 4 pkt 5 i ust. 5 pkt 1 lit. l Polityki Bezpieczeństwa Informacji, stanowiącej załącznik nr 1 do zarządzenia, które wchodzą w życie z dniem 31 grudnia 2022 r.;
2) § 10, § 11 i § 12 Polityki Bezpieczeństwa Informacji, stanowiącej załącznik nr 1 do zarządzenia, które wchodzą w życie z dniem 1 stycznia 2022 r.
|
1) Niniejsze zarządzenie zostało zmienione zarządzeniem Nr 13 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 6 maja 2020 r. zmieniającym zarządzenie w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad, zarządzeniem Nr 25 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 13 lipca 2020 r. zmieniającym zarządzenie w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad, zarządzeniem Nr 34 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 17 września 2020 r. zmieniającym zarządzenie w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad oraz zarządzeniem Nr 39 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 1 października 2020 r. zmieniającym zarządzenie w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad.
Załącznik nr 1
Polityka Bezpieczeństwa Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad [2]
Załącznik nr 2
Harmonogram wdrożenia SZBI
Lp. | Czynności | Odpowiedzialny | Termin realizacji |
FAZA WDROŻENIA SZBI | |||
1. Ustalenie struktur SZBI: | |||
1a. | Wyznaczenie Pełnomocnika ds. Bezpieczeństwa Informacji w GDDKiA | Generalny Dyrektor Dróg Krajowych i Autostrad | do 10.01.2022 |
1b. | Powołanie wewnętrznej komórki organizacyjnej ds. bezpieczeństwa informacji w Centrali | Dyrektor Generalny | 30 dni od ustalenia nowego lub zmiany Regulaminu Organizacyjnego GDDKiA |
1c. | Wyznaczenie Koordynatorów ds. Bezpieczeństwa Informacji w Oddziałach GDDKiA | Dyrektorzy Oddziałów GDDKiA | 30 dni od 1b |
1d. | Powołanie Zespołu ds. analizy ryzyka w Centrali i Oddziałach GDDKiA | Dyrektor Generalny / Dyrektorzy Oddziałów GDDKiA | do 30.06.2022 |
2. Inwentaryzacja aktywów informacyjnych: | |||
2a. | Opracowanie i rozdysponowanie arkuszy inwentaryzacji aktywów informacyjnych w Centrali | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30 dni od 1b |
2b. | Rozdysponowanie arkuszy inwentaryzacji aktywów informacyjnych w Oddziałach | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30 dni od 1b |
2c. | Przeprowadzenie procesu inwentaryzacji aktywów informacyjnych w Centrali | Kierownicy komórek organizacyjnych Centrali | do 60 dni od 2a |
2d. | Przeprowadzenie procesu inwentaryzacji aktywów informacyjnych w Oddziałach | Dyrektorzy Oddziałów | do 60 dni od 2b |
3. Klasyfikacja informacji |
3a. | Opracowanie i przedstawienie do zatwierdzenia procedury klasyfikacji informacji wraz z harmonogramem jej przeprowadzenia | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30 dni od 1b |
3b. | Przeprowadzenie procesu klasyfikacji informacji | Kierownicy komórek organizacyjnych i Dyrektorzy Oddziałów | wg harmonogramu, o którym mowa w 3a |
4. Dokumentacja SZBI | |||
4a. | Aktualizacja Polityki Ochrony Danych Osobowych | Zespół powołany zarządzeniem Dyrektora Generalnego | do 30.06.2022 |
4b. | Aktualizacja Polityki Bezpieczeństwa Teleinformatycznego | Zespół powołany zarządzeniem Dyrektora Generalnego | do 30.12.2022 |
4c. | Aktualizacja Polityki Bezpieczeństwa Fizycznego | Zespół powołany zarządzeniem Dyrektora Generalnego | do 30.09.2022 |
4d. | Opracowanie i przedstawienie do zatwierdzenia procedur reagowania na incydenty lub podejrzenia wystąpienia incydentu bezpieczeństwa informacji | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30.06.2022 |
4e. | Opracowanie i przedstawienie do zatwierdzenia metodyki analizy ryzyka | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30.09.2022 |
4f. | Opracowanie i przedstawienie do zatwierdzenia wytycznych w sprawie zasad bezpieczeństwa informacji podczas współpracy z podmiotami zewnętrznymi | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30.06.2022 |
4g. | Opracowanie i przedstawienie do zatwierdzenia wytycznych w sprawie bezpieczeństwa osobowego | Pełnomocnik ds. Bezpieczeństwa Informacji w GDDKiA | do 30.06.2022 |
Osiągnięcie FAZY EKSPLOATACJI I UTRZYMANIA SZBI |
1 Termin inny niż określony datą podawany jest w dniach kalendarzowych
Załącznik nr 3
Opis sposobu wprowadzania dokumentacji SZBI [3]
§ 1. 1. Propozycje wprowadzenia nowej polityki, regulaminu, zasad, wytycznych, instrukcji, procedur, deklaracji, planów, zaleceń lub wyjaśnień, a także propozycje ich zmian podlegają zgłoszeniu, za pośrednictwem kanałów komunikacji elektronicznej, pełnomocnikowi ds. bezpieczeństwa informacji.
2. Propozycje, o których mowa w ust. 1, zawierają cel i zakres proponowanych rozwiązań oraz, o ile to możliwe, treść projektowanych postanowień.
3. Propozycje, o których mowa w ust. 1, podlegają:
1) opiniowaniu pod kątem merytorycznym oraz w zakresie spójności SZBI;
2) weryfikacji pod kątem poprawności prawnej i legislacyjnej.
4. Czynności, o których mowa w ust. 3 pkt 1, dokonuje pełnomocnik ds. bezpieczeństwa informacji. W przypadku gdy zakres propozycji dotyczy obszaru bezpieczeństwa fizycznego, bezpieczeństwa teleinformatycznego lub ochrony danych osobowych, pełnomocnik ds. bezpieczeństwa informacji zasięga opinii odpowiednio kierownika komórki ds. ochrony fizycznej Centrali Generalnej Dyrekcji Dróg Krajowych i Autostrad, dalej: „GDDKiA", kierownika komórki ds. informatycznych Centrali GDDKiA, pełnomocnika ds. cyberbezpieczeństwa lub Inspektora Ochrony Danych.
5. Weryfikacji, o której mowa w ust. 3 pkt 2, dokonuje kierownik komórki ds. prawnych Centrali GDDKiA.
6. Pozytywna opinia, o której mowa w ust. 3 pkt 1, stanowi podstawę do:
1) podjęcia działań mających na celu opracowanie nowej polityki, regulaminu, zasad, wytycznych, instrukcji, procedur, deklaracji lub planów;
2) wprowadzenia zmiany w istniejącej polityce, regulaminie, zasadach, wytycznych, instrukcjach, procedurach, deklaracjach lub planach.
§ 2. Propozycje wprowadzenia lub zmiany polityki, stanowiącej dokument wprowadzany mocą zarządzenia, proceduje się zgodnie z zarządzeniem zarządzeniem nr 38 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 31 grudnia 2021 r. w sprawie prowadzenia prac legislacyjnych w Generalnej Dyrekcji Dróg Krajowych i Autostrad.
§ 3. 1. Nowy regulamin, zasady, wytyczne, instrukcje, procedury, deklaracje lub plany oraz ich zmiany podlegają zatwierdzeniu przez Dyrektora Generalnego GDDKiA.
2. Dokument, o którym mowa w ust. 1, lub jego zaktualizowana wersja, jest publikowany w Intranecie, na stronie przeznaczonej do zamieszczania danych o zarządzaniu bezpieczeństwem informacji w GDDKiA.
3. Z dniem następującym po dniu publikacji dokument, o którym mowa w ust. 1, lub wprowadzona zmiana stają się obowiązujące dla wszystkich pracowników GDDKiA i wchodzą w skład dokumentacji SZBI.
§ 4. 1. Projekt wprowadzenia zasad, wytycznych, instrukcji, procedur, deklaracje lub planów lub ich zmian mających obowiązywać w jednym z Oddziałów GDDKiA, w szczególności projekt deklaracji stosowania zabezpieczeń w Oddziale GDDKiA i projekt części pierwszej planu ciągłości działania w Oddziale GDDKiA, są opracowywane przez komórki wewnętrzne Oddziału GDDKiA z uwzględnieniem obowiązujących wytycznych lub wzorów, a następnie przedkładane pełnomocnikowi ds. bezpieczeństwa informacji do akceptacji.
2. Przed dokonaniem akceptacji projektu, o którym mowa w ust. 1, pełnomocnik ds. bezpieczeństwa informacji może zasięgnąć opinii innych komórek organizacyjnych Centrali GDDKiA, pełnomocnika ds. cyberbezpieczeństwa lub Inspektora Ochrony Danych.
3. W przypadku zaakceptowania projektu, o którym mowa w ust. 1, pełnomocnik ds. bezpieczeństwa informacji przekazuje go do zatwierdzenia właściwemu Dyrektorowi Oddziału GDDKiA.
4. Zatwierdzony dokument, o którego projekcie jest mowa w ust. 1, lub jego zaktualizowana wersja, jest publikowany w Intranecie, na stronie przeznaczonej do zamieszczania danych o zarządzaniu bezpieczeństwem informacji w GDDKiA.
5. Z dniem następującym po dniu publikacji w Intranecie dokument, o którego projekcie jest mowa w ust. 1, lub wprowadzona zmiana, stają się obowiązujące dla wszystkich pracowników Oddziału GDDKiA i wchodzą w skład dokumentacji SZBI.
§ 5. 1. Propozycja wprowadzenia nowych zaleceń lub wyjaśnień lub propozycja zmian istniejących zaleceń lub wyjaśnień, zgłoszona zgodnie z § 1 ust. 1, podlega ocenie i akceptacji, zgodnie z właściwością wynikającą z treści wyjaśnień, odpowiednio przez:
1) pełnomocnika ds. bezpieczeństwa informacji - w zakresie spójności z SZBI;
2) kierownika komórki ds. ochrony fizycznej Centrali GDDKiA - w zakresie bezpieczeństwa fizycznego;
3) kierownika komórki ds. informatycznych Centrali GDDKiA - w zakresie bezpieczeństwa teleinformatycznego po uzyskaniu opinii pełnomocnika ds. cyberbezpieczeństwa;
4) pełnomocnika ds. bezpieczeństwa informacji - w zakresie ochrony danych osobowych po uzyskaniu opinii Inspektora Ochrony Danych.
2. Inspektor Ochrony Danych może opracowywać, zgodnie ze swoją właściwością, zalecenia lub wyjaśnienia lub zmiany istniejących zaleceń lub wyjaśnień, po uzyskaniu opinii pełnomocnika ds. bezpieczeństwa informacji.
§ 6. 1. Zalecenia, wyjaśnienia lub ich zmiany, po ich zatwierdzeniu, zgodnie z właściwością, przez pełnomocnika ds. bezpieczeństwa informacji, kierownika komórki ds. ochrony fizycznej Centrali GDDKIA, kierownika komórki ds. informatycznych Centrali GDDKIA, pełnomocnika ds. cyberbezpieczeństwa lub Inspektora Ochrony Danych, są publikowane w Intranecie, na stronie przeznaczonej do zamieszczania danych o zarządzaniu bezpieczeństwem informacji w GDDKIA.
2. Z dniem następującym po dniu publikacji w Intranecie zalecenia, wyjaśnienia lub ich zmiany wchodzą w skład dokumentacji SZBI.
§ 7. 1. W uzasadnionych przypadkach można odstąpić od stosowania regulaminu, zasad, wytycznych, instrukcji, procedur, deklaracji, planów, zaleceń lub wyjaśnień określonych w dokumentacji obligatoryjnej SZBI.
2. Odstępstwo, o którym mowa w ust. 1, następuje wyłącznie na wniosek Dyrektora Oddziału GDDKiA lub kierownika komórki organizacyjnej Centrali GDDKiA.
3. Wniosek, o którym mowa w ust. 2, wraz z uzasadnieniem, dyrektor Oddziału GDDKIA lub kierownik komórki organizacyjnej Centrali GDDKIA, kieruje do Dyrektora Generalnego GDDKIA za pośrednictwem pełnomocnika ds. bezpieczeństwa informacji.
4. Pełnomocnik ds. bezpieczeństwa informacji dokonuje weryfikacji i analizy możliwości zastosowania zaproponowanych odstępstw mając na względzie konieczność zapewnienia poufności, integralności i dostępności informacji przetwarzanych w GDDKiA.
5. W przypadku gdy wniosek, o którym mowa w ust. 2, dotyczy obszaru bezpieczeństwa fizycznego, bezpieczeństwa teleinformatycznego lub ochrony danych osobowych, pełnomocnik ds. bezpieczeństwa informacji zasięga opinii odpowiednio kierownika komórki ds. ochrony fizycznej Centrali GDDKiA, kierownika komórki ds. informatycznych Centrali GDDKiA, pełnomocnika ds. cyberbezpieczeństwa lub Inspektora Ochrony Danych.
6. Po dokonaniu weryfikacji i analizy wniosku oraz zasięgnięciu opinii, o których mowa w ust. 5, pełnomocnik ds. bezpieczeństwa informacji przekazuje wniosek wraz z rekomendacją Dyrektorowi Generalnemu GDDKiA.
7. Zgodę na odstępstwo, o którym mowa w ust. 1, wydaje Dyrektor Generalny GDDKiA.
8. Zgoda na odstępstwo ma charakter konkretny, dotyczący danej sprawy, tymczasowy i obowiązuje w okresie w niej oznaczonym.
§ 8. Publikowanie dokumentacji i informowanie o tej publikacji w Intranecie pracowników GDDKiA jest obowiązkiem pełnomocnika ds. bezpieczeństwa informacji.
[1] § 3 ust. 1 uchylony przez § 1 pkt 1 zarządzenia nr 33 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 4 września 2023 r. zmieniającego zarządzenie w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad i określenia sposobu wprowadzania dokumentacji tego systemu (Dz.Urz.GDDKiA. poz. 33). Zmiana weszła w życie 5 września 2023 r.
[2] Załącznik nr 1 w brzmieniu ustalonym przez § 1 pkt 2 zarządzenia nr 33 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 4 września 2023 r. zmieniającego zarządzenie w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad i określenia sposobu wprowadzania dokumentacji tego systemu (Dz.Urz.GDDKiA. poz. 33). Zmiana weszła w życie 5 września 2023 r.
[3] Załącznik nr 3 w brzmieniu ustalonym przez § 1 pkt 2 zarządzenia nr 33 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 4 września 2023 r. zmieniającego zarządzenie w sprawie ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji w Generalnej Dyrekcji Dróg Krajowych i Autostrad i określenia sposobu wprowadzania dokumentacji tego systemu (Dz.Urz.GDDKiA. poz. 33). Zmiana weszła w życie 5 września 2023 r.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00