DOC-001 ← Portal dokumentów

Polityka Bezpieczeństwa Informacji

Główny dokument Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)
Numer dokumentu
DOC-001
Wersja
▸ np. 1.0
Status
PROJEKT
Data wydania
▸ DD.MM.RRRR
Data przeglądu
▸ DD.MM.RRRR
Właściciel dokumentu
▸ [Imię Nazwisko / stanowisko – np. CISO]
Zatwierdził
▸ [Zarząd / CEO / właściwy organ kierowniczy]
Podstawa prawna
Art. 8 Ustawy KSC; Art. 21 Dyrektywy NIS2; ISO/IEC 27001:2022

Legenda kolorów

Żółte – org. wpisuje swoją wartość
Pomarańczowe – wartość z ograniczeniem (wymaganie min/max)
Niebieskie – odniesienie do innego dokumentu
Czerwone – pole krytyczne KSC/NIS2

1. Cel i zakres

1.1 Cel

Niniejsza Polityka Bezpieczeństwa Informacji (dalej: „Polityka") określa ramy ochrony informacji przetwarzanych przez organizację, ustanawiając podstawowe zasady, role i odpowiedzialności w zakresie bezpieczeństwa informacji. Polityka stanowi fundament Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) i jest odpowiedzią na wymogi Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) oraz Dyrektywy NIS2.

Celem polityki jest:

  • Zapewnienie poufności, integralności i dostępności informacji,
  • Ochrona systemów informacyjnych przed cyberzagrożeniami,
  • Spełnienie wymagań regulacyjnych NIS2/KSC,
  • Minimalizacja ryzyk operacyjnych i reputacyjnych.

1.2 Zakres

⚠ Pole krytyczne – wymagane przez KSC

Niniejsza polityka obowiązuje:

  • Podmiot: ▸ [pełna nazwa prawna organizacji, NIP, adres siedziby]
  • Sektor KSC: ▸ [np. energia / transport / bankowość / ochrona zdrowia / infrastruktura cyfrowa / inne]
  • Kategoria: ▸ [podmiot kluczowy / podmiot ważny – zgodnie z art. 5 KSC]
  • Zasięg: ▸ [wszystkie lokalizacje / oddziały / systemy IT/OT organizacji]

Polityka dotyczy wszystkich pracowników, współpracowników, kontrahentów i innych osób, które mają dostęp do informacji lub systemów organizacji.

1.3 Usługi kluczowe / ważne

⚠ Pole krytyczne – wykaz usług kluczowych

Organizacja świadczy następujące usługi kluczowe/ważne w rozumieniu KSC:

#Nazwa usługiOpisZależne systemy
1▸ [np. System zarządzania siecią dystrybucyjną]▸ opis usługi▸ DOC-020
2▸ [nazwa usługi 2]
3▸ [nazwa usługi 3]

2. Definicje

PojęcieDefinicja
Bezpieczeństwo informacjiZachowanie poufności, integralności i dostępności informacji (CIA triad)
IncydentZdarzenie mające rzeczywisty niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych
Poważny incydentIncydent powodujący znaczne zakłócenie lub mogący powodować znaczne zakłócenie świadczenia usług kluczowych/ważnych (próg ustalany wg DOC-005)
CSIRTZespół reagowania na incydenty bezpieczeństwa komputerowego (CSIRT NASK / CSIRT GOV / CSIRT MON / sektorowy)
SZBISystem Zarządzania Bezpieczeństwem Informacji – zbiór polityk, procedur, procesów i systemów zarządzania ryzykiem bezpieczeństwa informacji
RyzykoPrawdopodobieństwo wystąpienia zdarzenia i jego wpływ na cele organizacji
Aktyw informacyjnyKażda informacja lub system informacyjny mający wartość dla organizacji
Podmiot kluczowyPodmiot spełniający kryteria z art. 5 nowelizacji KSC (duże przedsiębiorstwo w sektorach z zał. I NIS2)
Podmiot ważnyPodmiot spełniający kryteria z art. 5 nowelizacji KSC (średnie przedsiębiorstwo w sektorach z zał. I/II NIS2)
MFAUwierzytelnianie wieloskładnikowe (Multi-Factor Authentication)
RTORecovery Time Objective – maksymalny dopuszczalny czas odtworzenia usługi
RPORecovery Point Objective – maksymalny dopuszczalny punkt przywrócenia danych

3. Zasady Bezpieczeństwa Informacji

3.1 Zasada minimalnych uprawnień

Każdy użytkownik, system i proces otrzymuje wyłącznie minimalne uprawnienia niezbędne do wykonywania przypisanych zadań. Szczegółowe zasady w DOC-008.

3.2 Zasada potrzeby wiedzy (need-to-know)

Dostęp do informacji przyznawany jest wyłącznie osobom, dla których informacja ta jest niezbędna do wykonywania obowiązków służbowych.

3.3 Zasada ochrony wielowarstwowej (defense in depth)

Organizacja stosuje wielowarstwowe środki bezpieczeństwa, tak aby naruszenie jednej warstwy nie powodowało natychmiastowego kompromitacji całości.

3.4 Zasada rozliczalności

Każde działanie w systemach informacyjnych musi być przypisane do konkretnego użytkownika i rejestrowane w logach. Logi przechowywane są przez minimum ▸ [12 miesięcy]min. 12 mies. – KSC.

3.5 Zasada zarządzania ryzykiem

Wszelkie decyzje dotyczące bezpieczeństwa informacji podejmowane są w oparciu o ocenę ryzyka przeprowadzoną zgodnie z DOC-002.

3.6 Zasada ciągłego doskonalenia

SZBI podlega regularnym przeglądom i doskonaleniu w oparciu o wyniki audytów, wyciągniętych wniosków z incydentów oraz zmieniającego się krajobrazu zagrożeń.

3.7 Zasada bezpiecznego projektu (security by design)

Bezpieczeństwo jest uwzględniane od początku projektowania systemów, procesów i usług, a nie dodawane jako element uzupełniający.

4. Role i Odpowiedzialności

ℹ️
Szczegółowa macierz RACI wszystkich ról bezpieczeństwa znajduje się w dokumencie DOC-004. Poniżej przedstawiono kluczowe role wymagane przez KSC.

4.1 Zarząd / Organ Kierowniczy

⚠ Krytyczne – art. 21 ust. 1 NIS2: odpowiedzialność zarządu

Organ kierowniczy odpowiada za:

  • Zatwierdzenie niniejszej Polityki i wszystkich powiązanych dokumentów SZBI,
  • Zapewnienie adekwatnych zasobów (budżet, personel) na realizację SZBI,
  • Nadzór nad wdrożeniem środków zarządzania ryzykiem cyberbezpieczeństwa,
  • Odbycie szkoleń z zakresu cyberbezpieczeństwa min. 1 raz/rok – NIS2,
  • Osobistą odpowiedzialność za naruszenia przepisów KSC.

Skład organu kierowniczego odpowiedzialnego: ▸ [Prezes/CEO/Zarząd – wskazać konkretne osoby]

4.2 Osoba odpowiedzialna za cyberbezpieczeństwo (CISO)

⚠ Krytyczne – wymóg KSC: wyznaczenie osoby odpowiedzialnej

Imię i nazwisko: ▸ [Imię Nazwisko]

Stanowisko: ▸ [np. Chief Information Security Officer / Inspektor ds. Cyberbezpieczeństwa]

Kontakt: ▸ [e-mail służbowy, telefon]

Zakres odpowiedzialności: Koordynacja SZBI, zarządzanie ryzykiem, nadzór nad incydentami, raportowanie do zarządu i CSIRT, prowadzenie dokumentacji.

4.3 Właściciel systemu informacyjnego

Dla każdego systemu informacyjnego wyznaczony jest właściciel biznesowy odpowiedzialny za klasyfikację informacji, decyzje o akceptacji ryzyka i priorytety odtwarzania. Lista właścicieli systemów w DOC-020.

4.4 Administrator systemu

Odpowiedzialny za techniczną realizację środków bezpieczeństwa, wdrażanie poprawek, zarządzanie konfiguracją i tworzenie kopii zapasowych.

4.5 Użytkownicy końcowi

Każdy pracownik i współpracownik mający dostęp do systemów organizacji zobowiązany jest do:

  • Przestrzegania niniejszej Polityki i powiązanych procedur,
  • Natychmiastowego zgłaszania podejrzanych zdarzeń zgodnie z DOC-005,
  • Uczestnictwa w szkoleniach z cyberbezpieczeństwa (patrz DOC-017).

5. Obszary Systemu Zarządzania Bezpieczeństwem Informacji

Organizacja wdraża SZBI obejmujący następujące obszary, każdy uregulowany osobnym dokumentem:

ObszarWymóg NIS2/KSCDokumentStatus
Zarządzanie ryzykiemArt. 21(2)(a) NIS2DOC-002Gotowy
Zarządzanie incydentamiArt. 21(2)(b) NIS2; Art. 10-15 KSCDOC-005, 006, 007W przygotowaniu
Ciągłość działania / BCPArt. 21(2)(c) NIS2DOC-011, 012W przygotowaniu
Bezpieczeństwo łańcucha dostawArt. 21(2)(d) NIS2DOC-015W przygotowaniu
Bezpieczeństwo nabycia, rozwoju i utrzym.Art. 21(2)(e) NIS2DOC-013W przygotowaniu
Ocena skuteczności środkówArt. 21(2)(f) NIS2DOC-021W przygotowaniu
Cyberhigiena i szkoleniaArt. 21(2)(g) NIS2DOC-017W przygotowaniu
Kryptografia i szyfrowanieArt. 21(2)(h) NIS2DOC-009W przygotowaniu
Bezpieczeństwo zasobów ludzkichArt. 21(2)(i) NIS2DOC-016W przygotowaniu
Kontrola dostępu i MFAArt. 21(2)(j) NIS2DOC-008W przygotowaniu

6. Zgodność i Egzekwowanie

6.1 Obowiązek przestrzegania

Naruszenie niniejszej Polityki lub powiązanych dokumentów SZBI przez pracowników może skutkować postępowaniem dyscyplinarnym, łącznie z rozwiązaniem stosunku pracy. Naruszenia przez podmioty zewnętrzne mogą skutkować rozwiązaniem umowy. Szczegóły w DOC-016.

6.2 Kary administracyjne (KSC)

⚠️
Sankcje dla podmiotów kluczowych: kary administracyjne do 10 000 000 EUR lub 2% rocznego obrotu (wyższa z kwot).
Sankcje dla podmiotów ważnych: do 7 000 000 EUR lub 1,4% rocznego obrotu.
Odpowiedzialność osobista kierownictwa za zapewnienie zgodności.

6.3 Wyjątki i odstępstwa

Wszelkie odstępstwa od wymagań Polityki muszą być zatwierdzone pisemnie przez ▸ [CISO / Zarząd], udokumentowane i ograniczone czasowo. Rejestr wyjątków prowadzi ▸ [CISO / właściwa komórka].

7. Komunikacja, Wdrożenie i Szkolenia

Niniejsza Polityka jest:

  • Udostępniana wszystkim pracownikom poprzez ▸ [intranet / system HR / wewnętrzny portal],
  • Omawiana podczas szkoleń wstępnych dla nowych pracowników,
  • Potwierdzana podpisem lub kliknięciem elektronicznym przez każdego pracownika min. 1 raz/rok,
  • Włączona do umów z dostawcami i partnerami mającymi dostęp do systemów organizacji.

Szczegóły programu szkoleń w DOC-017.

8. Zarządzanie Dokumentem i Przeglądy

8.1 Cykl przeglądów

Niniejsza Polityka podlega przeglądowi:

  • Regularnie, co najmniej raz na ▸ [12 miesięcy]max. 12 mies. – KSC,
  • Po każdym poważnym incydencie bezpieczeństwa,
  • Po istotnych zmianach organizacyjnych lub technologicznych,
  • Po zmianach w przepisach prawa.

8.2 Historia zmian

WersjaDataAutor zmianOpis zmianyZatwierdził
▸ 1.0 ▸ DD.MM.RRRR ▸ Imię Nazwisko ▸ Pierwsze wydanie ▸ Zarząd/CEO

8.3 Dokumenty powiązane

DokumentRelacja
DOC-002 Procedura Zarządzania RyzykiemUszczegółowienie sekcji 3.5 (zasada ryzyka)
DOC-003 Rejestr RyzykRejestr operacyjny ryzyk identyfikowanych wg DOC-002
DOC-004 Role i RACISzczegółowa macierz odpowiedzialności do sekcji 4
DOC-005 Polityka IncydentówRealizacja obszaru zarządzania incydentami
DOC-008 Kontrola dostępuRealizacja zasady 3.1 (minimalne uprawnienia)

9. Zatwierdzenie

📝
Poniższe podpisy potwierdzają zapoznanie się i zatwierdzenie niniejszej Polityki. Zgodnie z art. 21 ust. 1 NIS2 organ zarządzający ponosi odpowiedzialność za zatwierdzenie środków zarządzania ryzykiem.
RolaImię i NazwiskoDataPodpis
Właściciel dokumentu (CISO) ▸ [Imię Nazwisko] ▸ DD.MM.RRRR ____________________
Zatwierdzający (Zarząd/CEO) ▸ [Imię Nazwisko] ▸ DD.MM.RRRR ____________________
DOC-001 Polityka Bezpieczeństwa Informacji | v1.0 | NIS2/KSC