Procedura cyberbezpieczeństwa

Dokument dotyczy wszystkich przedsiębiorców i instytucje z sektora finansów publicznych, którzy realizują tzw. zadania publiczne i są zaliczane do grupy tzw. operatorów usług kluczowych. Grupa ta obejmuje takie podmioty jak np.:

• sektor zdrowia,
• sektor energii,
• sektor zaopatrzenia w wodę,
• infrastruktura internetowa,
• sektor farmacji,
• sektor szkolnictwa,
• sektor finansów,
• platformy handlowe,
• transport drogowy,
• spółki komunalne,
• spółki prawa handlowego realizujące zdania na rzecz społeczeństwa,
• państwowe i samorządowe instytucje kultury,
• zakłady budżetowe,
• i inne ...

Dokument zawiera wszelkie niezbędne informacje do prawidłowego dokonania analizy zagrożeń i szacowania ryzyka w kontekście stosownych systemów i aplikacji informatycznych w aspekcie zarządzania incydentem.

Dokument pozwala na:

• powołanie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowymi w zakresie cyberbezpieczeństwa,
• dokonanie identyfikacji incydentu istotnego mającego wpływ na ciągłość działania usługi cyfrowej,
• zgłoszenie incydentu istotnego mającego wpływ na ciągłość działania usługi cyfrowej do krajowego podmiotu cyberbezpieczeństwa,
• dokonanie weryfikacji poziomu bezpieczeństwa (aplikacja, infrastruktura, czynnik ludzki),
• dokonanie weryfikacji zagrożenia utraty danych,
• dokonanie weryfikacji możliwości odtworzenia danych,
• dokonanie weryfikacji możliwości ujawnienia danych stanowiących tajemnicę przedsiębiorstwa,
• dokonanie weryfikacji poziomu zabezpieczeń danych powierzonych przez stronę trzecią.

Dokument pn. Wewnętrzna Procedura Cyberbezpieczeństwa – jest ściśle powiązany z ogólnym rozporządzeniem o ochronie danych osobowych (RODO) jak również z Ustawą dot. Krajowych Ram Interoperacyjności (KRI) oraz Ustawą o Ochronie Informacji Niejawnych.

Należy zaznaczyć, że system związanych z ochroną zagadnień teleinformatycznych oraz systemem ochrony danych osobowych muszą w danym podmiocie tworzyć system spójny i jednolity.