Podmiot publiczny musi zarządzać bezpieczeństwem informacji w tym danych osobowych na określonych zasadach przewidzianych w przepisach krajowych. Całokształt zasad zarządzania bezpieczeństwem informacji składa się na SZBI czyli System Zarządzania Bezpieczeństwem Informacji. Kto musi wdrożyć SZBI? Jakie obowiązki spoczywają na administratorze? Wyjaśnienie w artykule.
System Zarządzania Bezpieczeństwem Informacji – co to takiego
System Zarządzania Bezpieczeństwem Informacji (SZBI) to zbiór:
- polityk,
- procedur,
- wytycznych,
- przydzielonych zasobów oraz aktywności,
zarządzanych wspólnie przez organizację w celu ochrony swoich zasobów informacyjnych. Innymi słowy, jest to całość dokumentacji dotyczącej ochrony informacji w organizacji, a więc nie tylko danych osobowych ale także:
- informacji niejawnych,
- tajemnicy handlowej,
- tajemnicy zawodowej
- innych tajemnic.
Zarządzanie bezpieczeństwem informacji ma zapewnić:
- poufność,
- dostępność,
- integralność.
chronionych informacji. System musi uwzględniać następujące atrybuty
- autentyczność,
- rozliczalność,
- niezaprzeczalność,
- niezawodność.
Kto musi wprowadzić System Zarządzania Bezpieczeństwem Informacji
Zarządzanie bezpieczeństwem informacji w przedstawionym rozumieniu do obowiązek podmiotów wykonujących zadania publiczne. Kto ma status podmiotu realizującego zadania publiczne? Brak jest definicji zarówno w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne jak i rozporządzeniu Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Tymczasem właśnie te akty prawne należy odnosić do SZBI.
W art. 2 tej ustawy zdefiniowano natomiast „podmiot publiczny”, który należy utożsamić z podmiotem wykonującym zadania publiczne.
