Temat: Udostępnianie Polityki Bezpieczeństwa Informacji i...

Witam
Mam pytanie, czy jednostka kontrolująca projekt EFS ma prawo wglądu do Polityki Bezpieczeństwa Informacji i Instrukcji Zarządzania Systemem Informatycznym jednostki kontrolowanej.
Moim zdaniem nie można im nic pokazywać.
Pozdrawiam

Temat: Udostępnianie Polityki Bezpieczeństwa Informacji i...

Miałam podobny dylemat. Stworzyłam oddzielną politykę i instrukcję dla projektów unijnych i tylko to pokazuje podczas kontroli projektów. Jeśli to złe rozwiązanie proszę o wskazówkę jak inaczej to rozwiązać.

Temat: Udostępnianie Polityki Bezpieczeństwa Informacji i...

Anna Pogorzelska:
Miałam podobny dylemat. Stworzyłam oddzielną politykę i instrukcję dla projektów unijnych i tylko to pokazuje podczas kontroli projektów. Jeśli to złe rozwiązanie proszę o wskazówkę jak inaczej to rozwiązać.

A która z nich obowiązuje?

Co do udostępniania czy chronienia informacji i danych myślę, że nieco za daleko. W politykach bezpieczeństwa powinni Państwo mieć informację, kto i do czego może mieć dostęp. Do tego art 39 ust 2- przypadkiem te osoby nie są upoważniane? jeśli nie - zapis ten można rozszerzyć o osoby, które mają dostęp (klasa do odczytu - ale jeśli nie upoważniacie - można inaczej). Plus rejestr osób, które miały dostęp do danych, bo gdzieś to trzeba mieć.

Kolejna metoda - 266 Kodeksu Karnego. Znowu - osoby te zapoznają się z informacjami prawnie chronionymi w związku z wykonywaną pracą. Można przypomnieć treść.

Kolejne, dla prywatnych - ustawa o zwalczaniu nieuczciwej konkurencji - art 11 ust 4 i zapis w regulaminie, czy uchwale - "wszystkie dokumenty, organizujące bezpieczeństwo, w tym w szczególności plan ochrony, polityka bezpieczeństwa danych osobowych... (...) stanowią tajemnicę przedsiębiorstwa o charakterze organizacyjnym"

Sankcja - 266 KK (po spełnieniu wymaganych działań)

Dla organizacji adm. publicznej - może warto w niejawne pójść i niektóre dokumenty zrobić zastrzeżonymi. Zwłaszcza po tym, jak zmieniła się ustawa o dostępie do informacji publicznej.

Resumując. Nie wiem i nie znam istoty oraz celu takiego trzymania w ścisłej tajemnicy dokumentów które w większości firm są dokumentacją pomocniczą dla głównego procesu. Bo takim procesem jest bezpieczeństwo. Ale moim zdaniem nie można popadać w paranoję, zwłaszcza w zakresie dostępu do informacji, które i tak są chronione i tak - właśnie 266 KK jako początek. Ważne - informacja dla tych, co tak chcą grzebać, plus dokumentacja, że udostępnić trzeba było.

Temat: Udostępnianie Polityki Bezpieczeństwa Informacji i...

Panie Grzegorzu to nie do końca jest tak, że ja im nie chcę pokazać. Jeśli by poprosili to ja bym im dała. Ja przy projektach unijnych spotykam się z innym problemem. Osoby kontrolujące projekty unijne (przynajmniej te z którymi ja miałam okazję się spotkać) wymagają aby polityka nazywała się "Polityka Bezpieczeństwa dla zbioru Podsystem Monitorowania Europejskiego Funduszu Społecznego 2007 u Beneficjenta w ramach projektu..... " tak samo instrukcja. Tym sposobem muszę mieć oddzielne polityki i instrukcję dla każdego z projektów, plus normalną dot. całej firmy. Ta dot. całej firmy w ogóle ich nie interesuje. Przy ostatniej kontroli zarzucili mi dodatkowo, że nie zostałam powołana jako "ABI dla zbioru PEFS... dla projektu....." na nic się zdały moje tłumaczenia, że zostałam powołana ABI przez zarządzenie i mam to w zakresie obowiązków. ADO musiał wydać kolejne zarządzenie powołujące mnie jako "ABi zbioru PEFS dla projektu...." i jeszcze dodatkowo napisać oświadczenie, że mnie powołał (jakby już samo zarządzenie przez niego podpisane nie wystarczyło ;)). Sporo bym mogła innych przykładów wymieniać. W normalnej (czyt. nie unijnej) polityce napisałam, że dopuszcza się oddzielne polityki dla projektów unijnych bo dyskutować z nimi jest ciężko.

Temat: Udostępnianie Polityki Bezpieczeństwa Informacji i...

Anna P.:
Panie Grzegorzu to nie do końca jest tak, że ja im nie chcę pokazać. Jeśli by poprosili to ja bym im dała. Ja przy projektach unijnych spotykam się z innym problemem. Osoby kontrolujące projekty unijne (przynajmniej te z którymi ja miałam okazję się spotkać) wymagają aby polityka nazywała się "Polityka Bezpieczeństwa dla zbioru Podsystem Monitorowania Europejskiego Funduszu Społecznego 2007 u Beneficjenta w ramach projektu..... " tak samo instrukcja. Tym sposobem muszę mieć oddzielne polityki i instrukcję dla każdego z projektów, plus normalną dot. całej firmy. Ta dot. całej firmy w ogóle ich nie interesuje. Przy ostatniej kontroli zarzucili mi dodatkowo, że nie zostałam powołana jako "ABI dla zbioru PEFS... dla projektu....." na nic się zdały moje tłumaczenia, że zostałam powołana ABI przez zarządzenie i mam to w zakresie obowiązków. ADO musiał wydać kolejne zarządzenie powołujące mnie jako "ABi zbioru PEFS dla projektu...." i jeszcze dodatkowo napisać oświadczenie, że mnie powołał (jakby już samo zarządzenie przez niego podpisane nie wystarczyło ;)). Sporo bym mogła innych przykładów wymieniać. W normalnej (czyt. nie unijnej) polityce napisałam, że dopuszcza się oddzielne polityki dla projektów unijnych bo dyskutować z nimi jest ciężko.

Tak z ciekawości która IP?
Niestety politykę i instrukcję trzeba pokazać w ramach kontroli z bardzo prostego powodu beneficjent ma powierzone dane PEFS 2007 przez IZ i jako ADO może kontrolować ( a nawet powinien) realizację art 36-39 ( zresztą wynika to umowy). Niestety kontrolujące osoby często kontrolują projekt nie mając wiedzy na temat ochrony danych osobowych przez co domagają się oddzielnej dokumentacji - spotkałem już duże organizacje które miały zakończone lub realizowane ok 20 projektów i oprócz powołąnego ABI w organizacji powoływali abiego do każdego projektu - taka sytuacja powoduje tylko chaos i obniżenie bezpieczeństwa a nie jego podniesienie - zawsze zalecam jedną dokumentacje (spójną i kompleksowa obejmującą wszystkie zbiory)oraz jednego ABI - ego (przygotowanego merytorycznei do prowadzenia tej funkcji). Iną ciekawą sytuacją jest sama dokumentacja - kilka lat temu MRR stworzyło wzór polityki i instrukcji który często jest wdrażany w organizacji tylko porzez wprowadzenie nazwy beneficjenta we wzór i koniec - bez analizy zmian które się dokonały od czasu powstania wzorów.