1. Úvod
Městský úřad Litomyšl (dále jen městský úřad) zajišťuje úkoly a činnosti v oblasti samostatné a přenesené působnosti veřejné správy.
V rámci této činnosti zpracovává značné množství informací v elektronické i listinné formě. Kromě informací přístupných veřejnosti jsou shromažďovány, zpracovávány a uchovávány také informace podléhající zákonu o krizovém řízení, zákonu o ochraně osobních údajů a informace, které jsou určeny pouze pro interní potřebu organizace.
Politika bezpečnosti informací (dále jen politika) definuje základní strategii a zásady týkající se bezpečnosti městského úřadu, určuje základní bezpečnostní pravidla pro provoz, používání a údržbu informačních a komunikačních technologií s cílem zajistit požadovanou úroveň ochrany informací v souladu s jejich významem.
2. Odpovědnost
2.1 Vymezení rozsahu působnosti politiky
Politika se vztahuje na Městský úřad v Litomyšli a na organizační složky úřadu.
Politika bezpečnosti informací je závazným dokumentem, se kterým musí být seznámeni všichni zaměstnanci městského úřadu, externí uživatelé informačních prostředků a dodavatelé mající přístup k informacím nebo k informačním technologiím městského úřadu.
Politika je dále upřesněna v ostatních organizačních a řídících dokumentech městského úřadu, zejména: Provozní řád informačního systému MěÚ Litomyšl, Organizační řád, Organizace bezpečnosti informaci, Správa zařízení, Řízení přístupu, Provozní postupy, Řízení vývoje, Řízení rizik, incidentů a havárií.
2.2 Závazek vedení
Vedení městského úřadu přijímá závazek podporovat a prosazovat tuto politiku, zejména:
- provádí pravidelné monitorování a vyhodnocování bezpečnostních rizik a přijímá odpovídající opatření vedoucí k omezení jejich vlivu
- v rámci celého úřadu a v souladu s obecně závaznými právními předpisy a smluvními požadavky provádí opatření vedoucí k neustálému zlepšování bezpečnosti informací, tj. zabezpečení včasné dostupnosti, zamezení nežádoucí modifikace, zneužití nebo ztráty informací
- způsob zpracování informací definuje souborem směrnic a dokumentovaných postupů, které prosazuje a sděluje všem zaměstnancům
- dbá na to, aby náklady na bezpečnostní opatření byly vynakládány efektivně, tj. odpovídaly významu a ceně informací
- zajišťuje dlouhodobý rozvoj a plánování informačních systémů.
2.3 Odpovědnost zaměstnanců
Každý zaměstnanec, kterému byl umožněn přístup k informačním prostředkům pro potřeby výkonu pracovní činnosti, přebírá odpovědnost za bezpečné nakládání s těmito prostředky a za ochranu informací ve své působnosti. Stanovená, přijatá a schválená politika a související bezpečnostní dokumentace je závazná pro všechny uživatele s přístupem k informacím, a to bez ohledu na zastávanou funkci, pozici či roli v úřadu. Všichni uživatelé nesou v souladu s platnou legislativou a předpisy svůj díl zodpovědnosti za dodržení, resp. porušení pravidel, s nimiž byli seznámeni.
Všichni zaměstnanci jsou povinni předepsaným způsobem reagovat na závady, poruchy a bezpečnostní incidenty, které se vyskytnou a upozornit na ně v souladu s příslušnými zásadami a směrnicemi.
3. Hlavní zásady práce s informacemi, způsob jejich zabezpečení a zajištění kvality
- zajistit kvalitu dat technických a programových prostředků a kvalitu služeb souladu s platnou legislativou a interními požadavky organizace
- zajistit odpovídající ochranu osobních údajů v souladu s platnou legislativou
- vytvářet a prosazovat systém řízeného přístupu k informacím
- začleňovat zabezpečení informací do odpovědnosti za práci
- zajišťovat systematické vzdělávání a zvyšování kvalifikace zaměstnanců v oblasti bezpečnosti informací
- provádět stálou identifikaci bezpečnostních incidentů a přijímat účinná opatření pro zlepšování bezpečnosti informací
- zpracovávat soubory opatření pro zachování kontinuity pro případy závažného výpadku v oblasti informací; tato opatření pravidelně přezkušovat a ověřovat
- zabezpečovat informační systémy, Internet, elektronickou poštu a další způsoby výměny informací přístupných veřejnosti
- zabezpečovat systém fyzického přístupu do prostor pro snížení ohrožení informačního majetku
- nepřetržitě zajišťovat dostupnost, spolehlivost a integritu dat
- nepřetržitě monitorovat a kontrolovat stav síťových prvků a účinnost bezpečnostních prvků
- prosazovat politiku bezpečného pracoviště - čistý stůl, prázdné obrazovky a odpadkové koše
- prosazovat bezpečnostní pravidla pro přenosná počítačová zařízení a jiné nosiče informací
- zajišťovat spolehlivou kontrolu celé interní sítě proti působení zlomyslného softwaru
- udržovat, chránit a rozvíjet informační majetky, spolehlivě zálohovat informační systémy
4. Následky porušení informační politiky
- porušování zásad této politiky bezpečnosti informací ze strany zaměstnanců městského úřadu i dodavatelů je chápáno jako bezpečnostní incident, který má vliv na bezpečnost informací a v těchto intencích musí být řešen
- příčiny porušení informační politiky se musí analyzovat a přijímat účinná opatření s cílem učení se z těchto událostí.
V Litomyšli dne 21. 1. 2009