Řízení rizik v oblasti bezpečnosti informací a ochrany osobních údajů
A – Přihlašující
Jméno a příjmení: Hana Plášková
Titul: Ing.
Funkce: kontrolní pracovnice
Odbor: odbor vnitřních věcí
E-mail: hana.plaskova@muzabreh.cz
Telefon: +420 583 468 233
Adresa: Masarykovo nám. 510/6, 789 01 Zábřeh
Firma: město Zábřeh
Nominace v kategorii: města
B – Projekt
Název projektu: Řízení rizik v oblasti bezpečnosti informací a ochrany osobních údajů
Lokalita: město Zábřeh
Cíl projektu: efektivnější a uživatelsky přívětivější zpracování analýzy rizik ve webové aplikaci ManaRisk, v návaznosti na bezpečnost informací a ochranu osobních údajů
Cílová skupina: zaměstnanci města Zábřeh, subjekty osobních údajů a dále kontrolní orgány (bezpečnost informací ISMS – ISO 27001 a GDPR)
Provozovatel: město Zábřeh
Realizátor: MANA Consulting s.r.o.
C – popis projektu – pohled provozovatele
PROKAZATELNOST ÚČINKŮ PROJEKTU
Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?
ANO.
Provozovatel každoročně obhajuje certifikát - ISO 27001(bezpečnost informací).
C Vnímají a uznávají uživatelé (cílová skupina) tento projekt jako prospěšný?
ANO.
Aplikace ManaRisk nahradila dosavadní nástroj, který byl řešen prostřednictvím tabulek MS Excel. Práce v původním nástroji byla uživatelsky komplikovaná a nástroj byl dostupný pouze omezené skupině uživatelů. Nyní je přístupný všem zaměstnancům v rámci agend, s kterými nakládají. V aplikaci se pracuje kontinuálně, ukládají se v ní archivní data a jsou přístupné sestavy, přehledné statistiky ke každoročnímu hodnocení rizik a posouzení souladu s požadovanými podmínkami.
Jak podrobně je cílová skupina s projektem obeznámena?
VELMI DOBŘE.
Zaměstnanci jsou proškoleni a každoročně se účastní interního testu zaměřeného na bezpečnost informací, kybernetickou bezpečnost a součástí jsou i testové otázky na informace vedené v aplikaci.
Subjekty údajů mají na webových stránkách přístupný dokument registru agend, který plní podmínky záznamů o činnostech zpracování GDPR.
Odpovídají dosažené výsledky vynaloženým nákladům?
PŘEVYŠUJÍ.
Z dlouhodobého hlediska budou výsledky převyšovat náklady. Aplikace umožnila jednoduché a efektivní řešení dané problematiky.
Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání?
TRVALÝ.
Jedná se o projekt trvalý. Vedení městského úřadu směřuje k neustálému zlepšování bezpečnosti informací (včetně ochrany osobních údajů).
PROKAZATELNOST NEJLEPŠÍ PRAXE
Může být projekt inspirující pro ostatní subjekty veřejné správy?
ROZHODNĚ ANO.
Řízení a analýza rizik je pro veřejnou správu vzhledem k vývoji v legislativě, zvláště v evropském právu, povinnou součástí aktivit, ať už je to z hlediska ochrany osobních údajů, zadávání veřejných zakázek, nebo finanční kontroly a dalších oblastí.
Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?
NE.
Aplikaci zatím nevyužíváme dlouho. Na webových stránkách jsou však přístupné informace pro veřejnost, a tedy i pro ostatní subjekty veřejné správy. Realizátor projektu spolupracuje s dalšími subjekty, kterým předává informace a kontakty.
VÍCEKANÁLOVÝ PŘÍSTUP
Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?
NENÍ MOŽNÉ.
OPEN DATA
Jedná se o projekt, který využívat OPEN DATA?
NE.
DOPLŇUJÍCÍ INFORMACE
Aplikace nám umožňuje minimalizovat vedení více evidencí v různých nástrojích a snižuje nároky na administraci. Přináší možnost jednoduchého a flexibilního zpracování změn nejen interních, legislativních, ale také změn, které přináší současný vývoj ve světě.
Zaměstnanci díky tomuto projektu mají povědomí o jednotlivých agendách, kategoriích informací, způsobech předávání a dalších souvisejících informacích, které používají při své práci. Na agendy navazují další registry a hodnocení rizik z hlediska důvěrnosti, dostupnosti a integrity, které zpracovává užší okruh pověřených zaměstnanců. Aplikace pomáhá městu při plnění podmínek vyplývajících z normy ISO 27001.
Aplikace je rovněž využívána ve vztahu k podmínkám stanoveným obecným nařízením o ochraně osobních údajů (GDPR) a zákonem o zpracování osobních údajů. Subjekty údajů jsou informovány o agendách, v kterých jsou použity osobní údaje a jak je s nimi nakládáno prostřednictvím registru záznamů o činnostech zpracování, s kterým pracuje pověřenec pro ochranu osobních údajů a je zveřejňován na webových stránkách města.
S daty je neustále pracováno podle vývoje aktuální situace nejen v organizaci, ale i ve světě. ManaRisk přispívá k neustálému zlepšování systému bezpečnosti informací, rovněž z hlediska zpracovávání osobních údajů.
Přispívá k vyhledávání rizik v oblasti kybernetické bezpečnosti, která je v současné době velmi aktuálním tématem
D – popis projektu – pohled realizátora
Popište náročnost technické realizace včetně případných specifik:
Technické požadavky na instalaci:
- Databáze MSSQL
- API na .NET CORE 2.2, což zvládne výchozí Microsoft IIS na:
Windows 7 nebo novější,
Windows Server 2008 R2 nebo novější · uživatelské rozhraní – internetový prohlížeč nový Microsoft Edge, Google Chrome, FireFox, · prostor na serveru disk 50 MB, DB 1 GB.
Náročnost pro provozovatele spočívala v naplnění aplikace daty.
V čem může být vaše řešení inspirativní pro ostatní realizátory?
Dlouhodobá spolupráce s provozovatelem v oblasti bezpečnosti informací může přinést nové cesty pro řešení vývoje situace v této oblasti.
Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?
Řešení je využíváno kontinuálně a je srozumitelné a efektivní.
Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?
MěÚ Králíky, Magistrát města Hradec Králové, Náchodská nemocnice, ČEZ Energoservis.
MANA Consulting s.r.o.
tel.: +420 608 882 289
e-mail: mana@mana.cz