Řízení rizik v oblasti bezpečnosti informací a ochrany osobních údajů

A – Přihlašující

Jméno a příjmení: Hana Plášková

Titul: Ing.

Funkce: kontrolní pracovnice

Odbor: odbor vnitřních věcí

E-mail: hana.plaskova@muzabreh.cz

Telefon: +420 583 468 233

Adresa: Masarykovo nám. 510/6, 789 01 Zábřeh

Firma: město Zábřeh

Nominace v kategorii: města

 

B – Projekt

Název projektu: Řízení rizik v oblasti bezpečnosti informací a ochrany osobních údajů

Lokalita: město Zábřeh

Cíl projektu: efektivnější a uživatelsky přívětivější zpracování analýzy rizik ve webové aplikaci ManaRisk, v návaznosti na bezpečnost informací a ochranu osobních údajů

 

Cílová skupina: zaměstnanci města Zábřeh, subjekty osobních údajů a dále kontrolní orgány (bezpečnost informací ISMS – ISO 27001 a GDPR)

Provozovatel: město Zábřeh

Realizátor: MANA Consulting s.r.o.

 

C – popis projektu – pohled provozovatele

PROKAZATELNOST ÚČINKŮ PROJEKTU

Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?

ANO.

Provozovatel každoročně obhajuje certifikát - ISO 27001(bezpečnost informací).

 

C Vnímají a uznávají uživatelé (cílová skupina) tento projekt jako prospěšný?

ANO.

Aplikace ManaRisk nahradila dosavadní nástroj, který byl řešen prostřednictvím tabulek MS Excel. Práce v původním nástroji byla uživatelsky komplikovaná a nástroj byl dostupný pouze omezené skupině uživatelů. Nyní je přístupný všem zaměstnancům v rámci agend, s kterými nakládají. V aplikaci se pracuje kontinuálně, ukládají se v ní archivní data a jsou přístupné sestavy, přehledné statistiky ke každoročnímu hodnocení rizik a posouzení souladu s požadovanými podmínkami.

 

Jak podrobně je cílová skupina s projektem obeznámena?

VELMI DOBŘE.

Zaměstnanci jsou proškoleni a každoročně se účastní interního testu zaměřeného na bezpečnost informací, kybernetickou bezpečnost a součástí jsou i testové otázky na informace vedené v aplikaci.

 

Subjekty údajů mají na webových stránkách přístupný dokument registru agend, který plní podmínky záznamů o činnostech zpracování GDPR.

 

Odpovídají dosažené výsledky vynaloženým nákladům?

PŘEVYŠUJÍ.

Z dlouhodobého hlediska budou výsledky převyšovat náklady. Aplikace umožnila jednoduché a efektivní řešení dané problematiky.

 

Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání?

TRVALÝ.

Jedná se o projekt trvalý. Vedení městského úřadu směřuje k neustálému zlepšování bezpečnosti informací (včetně ochrany osobních údajů).

 

PROKAZATELNOST NEJLEPŠÍ PRAXE

Může být projekt inspirující pro ostatní subjekty veřejné správy?

ROZHODNĚ ANO.

Řízení a analýza rizik je pro veřejnou správu vzhledem k vývoji v legislativě, zvláště v evropském právu, povinnou součástí aktivit, ať už je to z hlediska ochrany osobních údajů, zadávání veřejných zakázek, nebo finanční kontroly a dalších oblastí.

 

Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?

NE.

Aplikaci zatím nevyužíváme dlouho. Na webových stránkách jsou však přístupné informace pro veřejnost, a tedy i pro ostatní subjekty veřejné správy. Realizátor projektu spolupracuje s dalšími subjekty, kterým předává informace a kontakty.

 

VÍCEKANÁLOVÝ PŘÍSTUP

Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?

NENÍ MOŽNÉ.

 

OPEN DATA

Jedná se o projekt, který využívat OPEN DATA?

NE.

 

DOPLŇUJÍCÍ INFORMACE

Aplikace nám umožňuje minimalizovat vedení více evidencí v různých nástrojích a snižuje nároky na administraci. Přináší možnost jednoduchého a flexibilního zpracování změn nejen interních, legislativních, ale také změn, které přináší současný vývoj ve světě.

Zaměstnanci díky tomuto projektu mají povědomí o jednotlivých agendách, kategoriích informací, způsobech předávání a dalších souvisejících informacích, které používají při své práci. Na agendy navazují další registry a hodnocení rizik z hlediska důvěrnosti, dostupnosti a integrity, které zpracovává užší okruh pověřených zaměstnanců. Aplikace pomáhá městu při plnění podmínek vyplývajících z normy ISO 27001.

 

Aplikace je rovněž využívána ve vztahu k podmínkám stanoveným obecným nařízením o ochraně osobních údajů (GDPR) a zákonem o zpracování osobních údajů. Subjekty údajů jsou informovány o agendách, v kterých jsou použity osobní údaje a jak je s nimi nakládáno prostřednictvím registru záznamů o činnostech zpracování, s kterým pracuje pověřenec pro ochranu osobních údajů a je zveřejňován na webových stránkách města.

 

S daty je neustále pracováno podle vývoje aktuální situace nejen v organizaci, ale i ve světě. ManaRisk přispívá k neustálému zlepšování systému bezpečnosti informací, rovněž z hlediska zpracovávání osobních údajů.

 

Přispívá k vyhledávání rizik v oblasti kybernetické bezpečnosti, která je v současné době velmi aktuálním tématem

 

D – popis projektu – pohled realizátora

 

Popište náročnost technické realizace včetně případných specifik:

 

Technické požadavky na instalaci:

  • Databáze MSSQL
  • API na .NET CORE 2.2, což zvládne výchozí Microsoft IIS na:

       Windows 7 nebo novější,

       Windows Server 2008 R2 nebo novější · uživatelské rozhraní – internetový prohlížeč nový Microsoft Edge, Google Chrome, FireFox, · prostor na serveru disk 50 MB, DB 1 GB.

Náročnost pro provozovatele spočívala v naplnění aplikace daty.

 

V čem může být vaše řešení inspirativní pro ostatní realizátory?

Dlouhodobá spolupráce s provozovatelem v oblasti bezpečnosti informací může přinést nové cesty pro řešení vývoje situace v této oblasti.

 

Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?

Řešení je využíváno kontinuálně a je srozumitelné a efektivní.

 

Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?

MěÚ Králíky, Magistrát města Hradec Králové, Náchodská nemocnice, ČEZ Energoservis.

 

MANA Consulting s.r.o.

tel.: +420 608 882 289

e-mail: mana@mana.cz

www.mana.cz

 

inPage - webové stránky s AI, doménawebhosting