RedIT - navodila za prevzem vzorčnih notranjih pravil
Transcription
RedIT - navodila za prevzem vzorčnih notranjih pravil
VZORČNA NOTRANJA PRAVILA RAZLIČICA 1.0 NAVODILA ZA PREVZEM VZORČNIH NOTRANJIH PRAVIL Domžale, junij 2009 1/7 1 UVOD Da bi bil prevzem vzorčnih notranjih pravil za podjetje, kot je vaše, čim bolj enostaven in da bi vam resnično prihranil čas pri ureditvi notranjega poslovanja ob uvajanju hrambe gradiva v digitalni obliki, smo pripravljavci RedIT pripravili navodila za prevzem vzorčnih notranjih pravil sistema RedIT. Najprej je potrebno ugotoviti trenutno stanje. Več o tem, na kaj vse morate biti pozorni, sledi v poglavju Ugotovite trenutno stanje (poglavje 2). Vzorčna notranja pravila lahko prevzamete tako, da z enostavnim internim aktom pristopite k Enotnim pravilom za varstvo gradiva in Enotni informacijski varnostni politiki ter se zavežete k njunemu doslednemu izvajanju. Ta način je zagotovo najenostavnejši in najhitrejši. Navodila za takšen prevzem notranjih pravil najdete v poglavju Pristop k enotnim pravilom – Enostavno kot 1,2,3 (poglavje 3). Prevzem notranjih pravil je seveda le prvi korak k zagotavljanju varne hrambe gradiva v digitalni obliki. Bistveno zahtevnejše opravilo, ki ga je potrebno izvesti, je implementacija pravil v notranje poslovanje organizacije. Nasvete, kako se lotiti implementacije, smo zbrali v sklepnem poglavju Za konec (poglavje 4). 2 UGOTOVITE TRENUTNO STANJE Podjetje, ki želi prevzeti vzorčna notranja pravila RedIT kot svoja notranja pravila, mora najprej odgovoriti na nekaj osnovnih vprašanj: 1. Ali je sistem RedIT sploh primeren za naše podjetje? RedIT za podjetja se v večini primerov ne bo izkazal primeren za: ● velike poslovne sisteme z razvejano organizacijo na več lokacijah, z zapletenimi poslovnimi procesi, kompleksno organizacijsko strukturo in razvejanimi sistemi povezav med različnimi procesi; ● podjetja iz nekaterih dejavnosti, ki so izrazito regulirana s predpisi (npr. farmacevtska industrija, bančništvo, zavarovalništvo...); ● ustvarjalce zasebnega arhivskega gradiva. Če ugotovite, da sistema RedIT zaradi kateregakoli razloga, navedenega zgoraj, ne morete prevzeti kot vaša notranja pravila, pa lahko vzorčna notranja pravila RedIT še vedno uporabite kot delovni pripomoček za pripravo vaših lastnih notranjih pravil. V tem primeru boste seveda vaša notranja pravila morali potrditi pri Arhivu Republike Slovenije. 2. Kaj imamo z internimi pravnimi akti že urejeno? Podjetje se mora vprašati: 2.1 Ali podjetje že posluje v skladu z informacijsko varnostno politiko, skladno z zahtevami standarda družine ISO 27000 ali predhodnih standardov: ○ če da, mora podjetje ugotoviti, ali je obstoječ Sistem upravljanja varovanja informacij, ki mora biti dokumentiran, skladen z zahtevami ZVDAGA, Uredbe in ETZ; to najlažje ugotovi s pomočjo Kontrolnega seznama za preverjanje usklajenosti notranjih pravil z ZVDAGA in potrjevanje ■ če podjetje ima informacijsko varnostno politiko, skladno z zahtevami ZVDAGA, sistema RedIT ne bo prevzelo v celoti, temveč bo obstoječa informacijska varnostna politika postala del notranjih pravil. V tem primeru bo podjetje moralo svoja notranja pravila potrditi pri Arhivu Republike Slovenije. Posebej poudarjamo, 2/7 da v primeru, da podjetje že ima informacijsko varnostno politiko, ki bo postala del notranjih pravil podjetja, ne šteje, da prevzema sistem RedIT, in bo potrebna potrditev notranjih pravil pri Arhivu Republike Slovenije. ■ če podjetje ima informacijsko varnostno politiko, vendar ta ni skladna z zahtevami ZVDAGA, Uredbe in ETZ, je najbolj smiselno, da obstoječo varnostno politiko nadomesti z Enotno informacijsko varnostno politiko za podjetja sistema RedIT. 2.2 Ali podjetje že ima pridobljen certifikat po ISO 9001 ali posluje v skladu z njim: ○ posamezne določbe s področja zagotavljanja kakovosti, vključene v vzorčna notranja pravila, v ničemer ne nasprotujejo omenjenemu standardu, temveč pomenijo zagotavljanje še učinkovitejšega sistema kakovosti in uspešnosti poslovanja podjetja 2.3 Ali ima podjetje sprejet akt o notranjih organizaciji in sistemizaciji, ali obstajajo opisi delovnih mest, ali so odgovornosti posameznih delavcev opredeljene zgolj s pogodbami: ○ če ima podjetje sprejet akt o notranji organizaciji in sistemizaciji in/ali obstajajo opisi del in nalog posameznih delovnih mest, mora podjetje preveriti, ali opisi delovnih mest še ustrezajo novim zadolžitvam, ki jih bodo s prevzemom vzorčnih notranjih pravil začeli izvajati delavci. Prav tako mora podjetje preveriti, ali novim zadolžitvam ustrezajo tudi določila v obstoječih pogodbah o zaposlitvi oziroma v pogodbah z zunanjimi sodelavci in v primeru, da določila niso več ustrezna, sprejeti ustrezne anekse k pogodbam ali skleniti nove pogodbe. ○ če podjetje v skladu z določili veljavnega Zakona o delovnih razmerjih ni zavezano, da pogoje za opravljanje dela na posameznem delovnem mestu določi s splošnim aktom (manjši delodajalec - delodajalec, ki zaposluje deset ali manj delavcev), priporočamo, da v ta namen podjetje izda sklep, s katerim določi nove zadolžitve delavcev, ki jih bodo ti začeli izvajati s prevzemom vzročnih notranjih pravil. Prav tako mora podjetje preveriti, ali novim zadolžitvam ustrezajo tudi določila v obstoječih pogodbah o zaposlitvi oziroma v pogodbah z zunanjimi sodelavci in v primeru, da določila niso več ustrezna, sprejeti ustrezne anekse k pogodbam ali skleniti nove pogodbe. 2.4 Ali ima podjetje sprejet interni akt s področja varovanja osebnih podatkov: ○ če ima podjetje interni pravni akt s področja varovanja osebnih podatkov, v katerih so urejeni tudi nekateri vidiki informacijske varnosti, obstajata dve možnosti. Obstoječi interni akt mora podjetje bodisi deloma bodisi v celoti nadomestiti z vzorčnimi notranjimi pravili sistema RedIT in v sklepu o varstvu gradiva in zagotavljanju informacijske varnosti opredeliti datum prenehanja veljavnosti tega internega pravnega akta oz. dela tega internega pravnega akta (če so namreč v obstoječem internem aktu s področja varovanja osebnih podatkov urejene specifike, ki jih sistem RedIT ne ureja, predlagamo, da podjetje te določbe ohrani v veljavi) ali pa obstoječ pravni akt ohraniti v veljavi, kar pomeni, da sistema RedIT podjetje ne bo prevzelo v celoti, temveč bo obstoječi pravni akt postal del notranjih pravil. V tem primeru bo podjetje moralo svoja notranja pravila potrditi pri Arhivu Republike Slovenije. 2.4 Ali ima podjetje sprejet interni akt s področja varovanja poslovnih skrivnosti: ○ če ima podjetje pravni akt s področja varovanja poslovnih skrivnosti, ki v večji meri kot iz pravnih izvirajo iz poslovnih zahtev, pa podjetje lahko ohrani obstoječ akt v veljavi, saj Enotna informacijska varnostna politika izrecno določa, da se v primeru, da ima podjetje akt, s katerim opredeljuje poslovne skrivnosti, uporablja ta. 3/7 2.6 Ali ima podjetje način upravljanja z dokumentarnim gradivom že urejen z internim aktom, ki vsebuje tudi klasifikacijski načrt, signirni načrt in podobno (velja za podjetja): ○ če da, podjetje preveri, ali je obstoječi interni pravni akt skladen z zahtevami ZVDAGA, Uredbe in ETZ; to najlažje ugotovi s pomočjo Kontrolnega seznama za preverjanje usklajenosti notranjih pravil z ZVDAGA in potrjevanje ■ če podjetje ima interni pravni akt, skladen z zahtevami ZVDAGA, sistema RedIT ne bo prevzelo v celoti, temveč bo obstoječi pravni akt postal del notranjih pravil. V tem primeru bo podjetje moralo svoja notranja pravila potrditi pri Arhivu Republike Slovenije. Posebej poudarjamo, da v primeru, da podjetje že ima interni pravni akt, ki ureja upravljanje z gradivom, ki bo postal del njegovih notranjih pravil, ne šteje, da prevzema sistem RedIT, četudi prevzame preostali del in da bo potrebna potrditev notranjih pravil pri Arhivu Republike Slovenije; ■ če podjetje ima interni pravni akt, ki ureja upravljanje z dokumentarnim gradivom, vendar ta ni skladen z zahtevami ZVDAGA, Uredbe in ETZ, je najbolj smiselno, da obstoječi interni pravni akt nadomesti z Enotnimi pravili za varstvo gradiva. 3. Ali se podjetje opira na zunanje izvajalce in v kolikšni meri (ali podjetje izvajanje nalog, povezanih z IT v celoti prepušča zunanjim izvajalcem, ali zunanji izvajalci upravljajo s posameznimi komponentami informacijskega sistema, ali podjetje samo upravlja s svojim lastnim informacijskim sistemom): ○ če se podjetje poslužuje zunanjega izvajanja IT (t.i. outsourcing IT) v celoti in samo ne izvaja nikakršnih nalog, povezanih z IT, je najbolj smiselno, da podjetje kljub temu prevzame celotno Enotno informacijsko varnostno politiko za podjetja, vendar pa je v delu, ki se nanaša na naloge in odgovornosti zunanjega izvajalca, ne izvaja samo; podobno velja v primeru, če se podjetje poslužuje zunanjega izvajanja v smislu upravljanja določenih komponent informacijskega sistema – tudi v tem primeru je smiselno, da prevzame celotno Enotno informacijsko varnostno politiko za podjetja sistema RedIT, ki je v nekem delu sicer ne izvaja, saj za določene komponente informacijskega sistema skrbi zunanji izvajalec na podlagi lastnih notranjih pravil. Na tem mestu ponovno poudarjamo, da bodo notranja pravila, ki jih bo podjetje prevzelo s sistemom RedIT štela za potrjena pri Arhivu Republike Slovenije le v primeru, da jih prevzame v celoti in spreminja zgolj in samo v naprej predvidenem obsegu. Če podjetje ugotovi, da sistema RedIT ne more ali ne želi prevzeti v celoti (npr. ker že ima lastno informacijsko varnostno politiko ali interne akte, ki so skladni z zahtevami ZVDAGA, Uredbe in ETZ, ker ne želi ali ne more prilagoditi lastnega poslovanja predvidenim rešitvam ali ker je njeno poslovanje v tolikšni meri specifično, da bo potrebno pripraviti lastna notranja pravila), lahko sistem RedIT prevzame le deloma ali pa ga uporabi kot delovni pripomoček, na osnovi katerega pripravi lastna notranja pravila. Posebej poudarjamo, da bo moralo podjetje v tem primeru samo poskrbeti za potrditev notranjih pravil pri Arhivu Republike Slovenije. 4/7 3 PRISTOP K ENOTNIM PRAVILOM – ENOSTAVNO KOT 1,2,3 KORAK 1: SPOZNAJTE ENOTNA PRAVILA REDIT Če bo podjetje izvajalo hrambo gradiva v digitalni obliki le v omejenem obsegu (npr. zgolj eračune), potem je najenostavneje, da vzorčna notranja pravila sistema RedIT prevzame tako, da pristopi k enotnim pravilom. Podjetje bo pristopilo k dvema dokumentoma: Enotnim pravilom za varstvo gradiva za podjetja in Enotni informacijski varnostni politiki za podjetja. V Enotnih pravilih za varstvo gradiva so navedena pravila upravljanja z gradivom v celotni življenjski poti gradiva (od sprejema pošte v podjetju preko evidentiranja, klasificiranja, signiranja, do odpreme pošte, in nenazadnje pravila kratkoročne in dolgoročne hrambe gradiva). Enotna informacijska varnostna politika pa vsebuje pravila, kako podjetje zagotavlja informacijsko varnost (fizično varovanje, urejanje razmerij z zunanjimi izvajalci, pravila za določanje dostopnih pravic, varovanje pred zlonamerno programsko opremo, obvladovanje sprememb, nadzor informacijskega sistema ipd.). Zahteve ZVDAGA, Uredbe in ETZ temeljijo na mednarodno priznanih standardih (v delu, ki se nanaša na informacijsko varnost predvsem na standardu ISO 27001). To pomeni, da je tudi Enotna informacijska varnostna politika skladna z zahtevami standarda ISO 27001. Seveda pa zgolj prevzem Enotne informacijske varnostne politike še ne pomeni, da se lahko podjetje certificira po ISO 27001. KORAK 2: PRIPRAVITE VSE POTREBNO ZA PRISTOP K PRAVILOM Pristop k enotnim pravilom bo za podjetje pomenil, da bodo delavci prevzeli odgovornosti za izvajanje nekaterih novih nalog, oziroma, da bodo nekatere naloge, ki so opravljali že do sedaj, po pristopu k enotnim pravilom opravljali na drugačen način, med njimi: ● ● ● ● ● ● ● ● ● ● ● ● ● ● dodatne naloge s kadrovskega področja; dodatne naloge s področja financ; preverjanje splošnega elektronskega naslova in evidentiranje sporočil; evidentiranje dokumentarnega gradiva; izvajanje kontrole zajema in pretvorbe gradiva; uničevanje nosilcev podatkov; priprava, posodabljanje in posredovanje katalogov osebnih podatkov; odbiranje, izločanje in uničevanje gradiva; notranji nadzor izvajanja notranjih pravil: vzdrževanje notranjih pravil; usklajenost Enotne informacijske varnostne politike s predpisi; dodatne naloge s področja informatike; naloge sistemske administracije in administracije požarnega zidu; ipd. Zato je smiselno, da se v podjetju pred pristopom k enotnim pravilom dogovorite, kdo bo odgovoren za posamezno področje oziroma za izvajanje posameznih nalog. Nato mora podjetje ugotoviti, s katerim zunanjim izvajalcem ali več zunanjimi izvajalci želi sodelovati pri zagotavljanju varne hrambe ter ugotoviti, katere tehnične priloge v sklopu RedIT 5/7 bodo veljale za podjetje. Tehnične priloge pripravi zunanji izvajalec in so sestavni del Enotnih pravil za varstvo gradiva oziroma Enotne informacijske varnostne politike. KORAK 3: PRISTOPITE K ENOTNIM PRAVILOM REDIT Podjetje, ki bo želelo vzorčna notranja pravila prevzeti na način, da pristopi k enotnim pravilom, se bo k izvajanju pravil, zapisanih v Enotnih pravilih za varstvo gradiva in v Enotni informacijsko varnostni politiki zavezala z ustrezno izjavo, ki jo bo sprejela ob pristopu k hrambi gradiva v digitalni obliki. Podjetje takšno izjavo sprejme v obliki sklepa v smislu ZGD, v sklepu pa določi odgovornosti svojih zaposlenih v zvezi z zagotavljanjem informacijske varnosti in varstva dokumentarnega gradiva. S sklepom pa podjetje določi tudi nekatere druge vidike hrambe gradiva v digitalni obliki (katere vrste gradiva bo hranilo v digitalni obliki, kateri zunanji izvajalci bodo izvajali hrambo gradiva v digitalni obliki, kakšen klasifikacijski načrt bo uporabljalo podjetje ipd.). Dokumenti, ki sestavljajo vzorčna notranja pravila RedIT – enotna pravila za podjetja in jih mora podjetje prevzeti v celoti so: 1. Ugotovitve faze priprave za podjetja, različica 1.0. 2. Obrazložitev vzorčnih notranjih pravil za podjetja, različica 1.0. 3. Enotna pravila za varstvo gradiva za podjetja, različica 1.0. • priloga klasifikacijski načrt 4. Tehnična navodila, različica 1.0. 5. Enotna informacijska varnostna politika za podjetja, različica 1.0. 6. Pomembni podatki za neprekinjeno poslovanje 7. Pregled groženj in ocena tveganj 8. Vzorci : • Primeri sklepov (2 sklepa o digitalizaciji obstoječega digitalnega gradiva – vzorec z oznako S7310 – P1 in S7310 - P2, Sklep o zagotavljanju pravne veljavnosti že digitaliziranega dokumentarnega gradiva – vzorec z oznako S7320 - P1 , Sklep o varstvu gradiva in zagotavljanju informacijske varnosti, Sklep o imenovanju komisije – vzorec z oznako S3315 - P1, Sklep o imenovanju Skupine za informacijsko varnost – vzorec z oznako S6301 - P1, Sklep, s katerim se dodelijo posamezne naloge v skladu z Enotno informacijsko varnostno politiko/Enotnimi pravili za varstvo gradiva za podjetja – vzorec z oznako S3315-P2) • Izjava o zaupnosti zunanji sodelavec (vzorec z oznako S3130 – P1) • Vzorčne določbe v pogodbi o zaposlitvi ali pogodbi o delu (vzorec z oznako S3310P1) • Vzorčne določbe v pogodbi z zunanjim izvajalcem (vzorec z oznako S3310 – P2) • Izjava o zaupnosti zaposleni (vzorec z oznako S3310 – P3) • Vzorčni obrazec za prijavo varnostnega dogodka (vzorec z oznako S3350 – P1) • Pooblastilo za vstop v varovanje prostore (vzorec z oznako S3410 – P1) • Dnevnik vstopov v varovane prostore (vzorec z oznako S3410 – P2) • Zapisnik varnega uničenja podatkov na magnetnem mediju (vzorec z oznako S3560 – P1). Podjetje mora v primeru, da želi spremeniti ali dopolniti klasifikacijski načrt, ki je del Enotnih pravil za varstvo gradiva, spremembe določiti tako, da klasifikacijski načrt, ki je del enotnih pravil uvrsti v prilogo sklepa, s katerim se zaveže k izvajanju enotnih pravil in klasifikacijski načrt ustrezno dopolni. Pri tem seveda odsvetujemo, da se popravljajo zakonsko določeni roki hrambe. Prav tako opozarjamo, da so roki v zvezi z osebnimi podatki določeni hkrati kot minimalni in maksimalni roki, zato odsvetujemo kakršnokoli podaljševanje ali skrajševanje teh rokov. Tista podjetja, za katere je neprekinjeno poslovanje v smislu 24/7/365 poslovno smiselno, v 6/7 celoti izpolnijo tudi dokument „Pomembni podatki za neprekinjeno poslovanje“ s konkretnimi podatki. Če za podjetje ni poslovno upravičeno zagotavljanje neprekinjenega poslovanja v smislu 24/7/365, je kljub temu pomembno, da zagotovi izvajanje določb v zvezi z neprekinjenim poslovanjem predvsem v delu, ki se nanaša na varnostne kopije gradiva. V okviru sistema RedIT so na voljo tudi vzorčni sklepi za primere, ko se podjetje odloči za masovni zajem gradiva za nazaj (masovni zajem izvede podjetje samo ali s pomočjo zunanjega izvajalca) in za primere, ko je podjetje že izvajalo postopke zajema in hrambe gradiva pred pristopom k enotnim pravilom, in želi zagotoviti pravno veljavnost tako zajetega in hranjenega gradiva. Tehnični vidiki zagotavljanja varne hrambe gradiva v digitalni obliki so v primeru podjetij, ki pristopajo k enotnim pravilom, seveda v domeni zunanjega izvajalca. Prav tako bo lahko nekatere naloge, zapisane v prevzetih dokumentih, za podjetje lahko izvajal eden ali več zunanjih izvajalcev (npr. v primeru, da podjetje najame zunanjega izvajalca za masovni zajem gradiva v digitalno obliko ipd.). Zato so del tako prevzetih notranjih pravil tudi tehnične priloge k Enotnim pravilom za varstvo gradiva oziroma Enotni informacijski varnostni politiki, ki jih pripravijo zunanji izvajalci. V primeru, da bo podjetje za hrambo različnih vrst gradiva v digitalni obliki najela več zunanjih izvajalcev, oziroma najame zunanje izvajalce tudi za zagotavljanje spremljevalnih storitev (npr. digitalizacija gradiva, najem varnega prostora ipd.), podjetje ne bo ponovno prevzelo Enotnih pravil za varstvo gradiva in Enotne informacijske varnostne politike, temveč bo ob vsakokratni sklenitvi dogovora z zunanjim izvajalcem dopolnilo že omenjeni sklep o varstvu gradiva in zagotavljanju informacijske varnosti in v svoja notranja pravila prevzelo Tehnično prilogo k Enotnim pravilom za varstvo gradiva oziroma Enotni informacijski varnostni politiki vsakokratnega zunanjega izvajalca. 4 ZA KONEC Več informacij o prevzemu vzorčnih notranjih pravil RedIT je na voljo na spletni strani http://www.redit.si. Na pripravljavca sistema RedIT se lahko obrnete po elektronski pošti na naslov info@perenic.com. Bistveno je, da se zavedate, da se s prevzemom vzorčnih notranjih pravil pravo delo šele začne. Zelo pomembno je, da izberete primerne izvajalce. Predlagamo vam, da izberete takšne izvajalce, ki so oziroma bodo: ● ● ● registrirani pri Arhivu Republike Slovenije; lahko ponudili akreditirano opremo ali storitev, če ste ustvarjalec arhivskega gradiva; vključeni v sistem RedIT, saj to pomeni, da se zavedajo pomembnosti zagotavljanja skladnosti s predpisi in tehnološkimi zahtevami, velikokrat pa pri razvoju njihovih rešitev sodeluje tudi naše podjetje. Še bolj pomembno od izbire primernega izvajalca pa je, da vaša notranja pravila ustrezno implementirate v vaše poslovanje. Hramba vašega gradiva bo zanesljiva in varna samo v primeru, da boste resnično in na pravilen način predpisana pravila vgradili v vaše poslovanje. Samo varna in zanesljiva hramba vašega gradiva vam bo v primeru morebitnih sodnih, upravnih in podobnih postopkov pomagala ohraniti vaš ugled in pomagala dokazati vašo strokovnost in zakonito ravnanje. Implementacija pravil v poslovanje seveda še zdaleč ni enostavna. Ključnega pomena je, da svoje delavce primerno usposobite in v njih vzbudite zavedanje o pomembnosti informacijske varnosti ter varne hrambe gradiva. Pri tem vam lahko pomaga tudi naše podjetje s seminarji in delavnicami, na katerih vam bomo ponudili praktične nasvete za učinkovito uvedbo pravil. Če želite sodelovati z nami, nam na zgoraj omenjeni e-poštni naslov posredujte sporočilo in poslali vam bomo predstavitveno brošuro o tem, kako vam lahko še pomagamo. 7/7