O certyfikacie

Bezpieczny Urząd to gwarancja rzetelności i bezpieczeństwa, właściwej organizacji i stosowania praktyk w obszarze zarządzania.
Bezpieczny Urząd to certyfikat przyznawany przez fundację Veracity jednostkom administracji publicznej, które:

  • działają zgodnie z dobrymi praktykami w zakresie zarządzania,
  • podejmują działania optymalizacyjne,
  • cechują się przejrzystością działania,
  • unikają konfliktu interesu,
  • zapewniają właściwy poziom bezpieczeństwa swoim Klientom i pracownikom oraz ich danym,
  • chcą we właściwy sposób komunikować się ze swoimi Klientami i otoczeniem,
  • rozwijają właściwa kulturę ładu wewnętrznego,
  • są wiarygodnym i zaufanym partnerem.


Fundacja Veracity przyznaje certyfikat w oparciu o przeprowadzoną obiektywną analizę zarządzania i bezpieczeństwa organizacji w zakresie stosowania dobrych praktyk oraz zgodności z wymaganiami prawnymi. Audytorzy fundacji przeprowadzają analizę na zgodność z wymaganiami:

  • Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
  • Ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej .
  • Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
  • Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej (BIP)
  • Systemu Przeciwdziałania Zagrożeniom Korupcyjnym,
  • Dobrych praktyk zarządczych (w tym: ISO 9001, CAF, EFQM, metodyk zarządzania projektami, kontroli zarządczej, ITIL)
  • Dobrych praktyk w zakresie bezpieczeństwa (w tym: ISO 27001, ISO 17999)
  • Dobrych praktyk w zakresie ciągłości działania (w tym: BS 25999)


Dzięki certyfikacji Urząd otrzymuje:

  • Weryfikację poziomu zarządzania i kultury organizacyjnej
  • Wskazanie koniecznych działań optymalizacyjnych
  • Wsparcie w zakresie wdrażania rozwiązań zarządczych w organizacji
  • Niezależne potwierdzenie zgodności z wymaganiami prawa w zakresie przetwarzania danych osobowych
  • Weryfikacje w ramach realizowanej kontroli zarządczej
  • Ocenę działań w zakresie unikania konfliktu interesów
  • Zapewnienie odpowiedniego poziomu bezpieczeństwa organizacji
  • Informację zwrotną o niezbędnych działaniach do podjęcia w celu podnoszenia poziomu efektywności organizacji i bezpieczeństwa
  • Informacje o nowych zagrożeniach i wymaganiach
  • Uwiarygodnienie podejmowanych działań w zakresie organizacji i bezpieczeństwa
  • Narzędzie komunikacji z Klientem
  • Stały monitoring poziomu bezpieczeństwa
  • Stałe wsparcie w zakresie budowy bezpieczeństwa i ładu wewnętrznego
  • Stałe wsparcie komunikacji z Klientem
  • Rzecznika Interesu


Certyfikacja Veracity dla Klienta to:

  • Gwarancja zadowolenia
  • Gwarancja bezpieczeństwa i poufności
  • Gwarancja właściwej komunikacji
  • Gwarancja przejrzystości i ładu
  • Gwarancja satysfakcji

Zakres audytu i certyfikacji

W ramach podstawowej certyfikacji audytorzy fundacji Veracity weryfikują poziom zarządzania i bezpieczeństwa na bazie audytu i checklist.  W wybranych przypadkach istnieje także możliwość weryfikacji dokumentacji, stopnia wdrożenia rekomendacji  oraz stopnia skuteczności funkcjonowania zasad i dobrych praktyk podczas audytu fizycznego w siedzibie klienta.

Przeprowadzana analiza obejmuje:

1.    Przejrzystość

1.1.    Weryfikacja przejrzystości i kompletności danych kontaktowych w dostępnych dla klientów miejscach.

1.2.    Weryfikacja właścicielstwa domeny strony urzędu..

1.3.    Funkcjonowanie informacji o sposobie uzyskania informacji publicznej

1.4.    Funkcjonowanie dokumentacji opisującej proces udostępniania informacji publicznej

1.5.    Weryfikacja przejrzystości Biuletynu Informacji Publicznej (BIP)

2.    Bezpieczeństwo

2.1.    Funkcjonowanie Polityki Ochrony Danych Osobowych

2.2.    Funkcjonowanie Instrukcji Systemu Przetwarzającego Dane Osobowe

2.3.    Weryfikacja czy zarejestrowano zbiory danych osobowych na które wskazuje działalność Urzędu.

2.4.    Funkcjonowanie Polityki Bezpieczeństwa Informacji dotyczącej systemów innych niż przetwarzające dane osobowe.

3.    Usługi teleinformatyczne

3.1.    Funkcjonowanie procedur opisujących usługi realizowane przez systemy teleinformatyczne.

4.    Interoperacyjność

4.1.    Informacje o sposobie załatwienia spraw w Urzędzie dla obywateli.

4.2.    Weryfikacja efektywności i dostępności procedur załatwiania spraw w Urzędzie dla obywateli

4.3.    Wykorzystanie systemów informatycznych wspomagających realizację spraw w Urzędzie dla obywateli.

4.4.    Wykorzystywanie norm i standardów w osiągnięciu właściwego poziomu interoperacyjności Urzędu.

5.    Bezpieczeństwo projektów

5.1.    Weryfikacja istnienia zasad zarządzania projektami

5.2.    Weryfikacja sposobu przydzielania odpowiedzialności za realizację projektów

5.3.    Weryfikacja sposobu dokumentowania projektów

 

Wzór dokumentacji spełniającej wymagania prawne

Każda jednostka realizująca zadania publiczne musi zgodnie z obowiązującym prawem zapewnić odpowiedni poziom bezpieczeństwa utrzymywanych przez nią systemów teleinformatycznych. Akty prawne które regulują kwestie bezpieczeństwa informacji zmieniły się znacząco wiosną 2012 roku.

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada jednostki realizujące zadania publiczne obowiązki w zakresie zapewnienia bezpieczeństwa systemów teleinformatycznych. Rozporządzenie powołuje się na krajowe normy i standardy opisujące sposób zarządzania bezpieczeństwem informacji. W rozdziale IV rozporządzenia w sposób jednoznaczny opisane są obowiązki podmiotu administrującego systemem:

  • Utrzymanie Polityki Bezpieczeństwa Informacji
  • Cyklicznej realizacji klasyfikacji zasobów i ceny ryzyka utraty bezpieczeństwa informacji
  • Utrzymywanie aktualności uprawnień
  • Zdefiniowanie zasad wykorzystania systemów (w tym urządzeń mobilnych) przez użytkowników.
  • Przeprowadzanie cyklicznych audytów wewnętrznych
  • Zarządzanie incydentami bezpieczeństwa
  • Prowadzenie dzienników administracyjnych

Eksperci fundacji z racji bogatego doświadczenia we wdrażaniu standardów PN-ISO/IEC 27001 przygotowali dla Państwa wzór dokumentacji spełniającej kryteria rozporządzenia.

Przy każdej certyfikacji „Bezpieczny Urząd” wraz z raportem z audytu otrzymają Państwo kompletny wzór dokumentacji wypełniającej wymagania rozdziału IV rozporządzenia. Zarządzanie Bezpieczeństwem Informacji w jednostkach realizujących zadania publiczne przy wykorzystaniu tych dokumentów będzie spełniało najwyższe standardy bezpieczeństwa.

Szczegółowe warunki certyfikacji

Certyfikacja podstawowa fundacji Veracity przebiega w dwóch etapach. Pierwszy etap jest całkowicie bezpłatny, natomiast drugi opcjonalny - płatny. 

 

W pierwszym etapie eksperci fundacji dokonują bezpłatnego audytu. Weryfikują kryteria opisane w zakładce "zakres audytu i certyfikacji", a następnie informują klienta o ocenie pokontrolnej. Na tej podstawie klient może podjąć decyzję o przejściu drugiego etapu certyfikacji (opcjonalnego) lub wycofania się z usługi bez żadnych opłat ani konsekwencji.

 

Drugi etap certyfikacji jest opcjonalny. Całkowity koszt drugiego etapu to 1590zł netto/rok.

W ramach etapu klient zostaje wpisany do rejestru certyfikatów, otrzymuje:

  • znak i certyfikat "bezpieczny urząd" fundacji Veracity
  • raport obejmujący rekomendacje pokontrolne
  • pakiet promocji biznesu

Więcej informacji w zakładce korzyści - zapraszamy!

 

Fundusze pozyskane przez fundację Veracity są przeznaczane na jej cele statutowe, w tym przedewszystkim na promowanie bezpiecznych firm i instytucji. Zapraszamy do zapoznania się z celami i działalnością fundacji.

Złoty Certyfikat Veracity

Wszystkie Urzędy, które uzyskały podstawowy certyfikat Veracity, mają możliwość przejścia drugiego etapu certyfikacji i uzyskania Złotego Certyfikatu Veracity. W ramach złotej certyfikacji audytorzy fundacji weryfikują szczegółowy poziom bezpieczeństwa i sposób świadczenia usług na miejscu w siedzibie badanego podmiotu. Przeprowadzają cykliczną kontrolę spełnienia wymagań. Definiują i nadzorują realizację rekomendacji pokontrolnych. Po przyznaniu złotego certyfikatu Veracity przejmuje na siebie obowiązki pośredniczenia w kontaktach między Klientami, a Urzędem w zakresie bezpieczeństwa i zapytań z nimi związanych, co ma odzwierciedlenie w polityce prywatności. Umieszczone w niej i na stronie www dane kontaktowe fundacji powodują przeniesienie ciężaru komunikacji w zakresie ochrony danych i bezpieczeństwa na Fundacje, która staje się rzecznikiem interesu.

W ramach złotej certyfikacji analizie poddane są:

1.    Zarządzanie ryzykiem

1.1.    Weryfikacja istnienia systematycznego procesu zarządzania ryzykiem

1.2.    Weryfikacja skuteczności procesu realizacji działań doskonalących wynikających z zarządzania ryzykiem.

1.3.    Wskazywanie podatności zidentyfikowanych podczas audytów

2.    Zarządzanie zmianą

2.1.    Funkcjonowanie dokumentów opisujących zarządzanie zmianą w środowisku informatycznym

2.2.    Weryfikacja spełnienia procedury zarządzania zmianą.

2.3.    Funkcjonowanie słabości dotyczących procesu zarządzania zmianą

3.    Zarządzanie treścią na stronie www

3.1.    Funkcjonowanie dokumentacji opisującej zarządzanie treścią na stronie www

3.2.    Weryfikacja spełnienia procedury zarządzania treścią.

4.    Zarządzanie reklamacjami

4.1.    Funkcjonowanie dokumentacji opisującej obieg reklamacji.

4.2.    Weryfikacja sposobu wyjaśniania reklamacji.

4.3.    Weryfikacja skuteczności i terminowości procesu reklamacyjnego

4.4.    Funkcjonowanie rejestru reklamacji.

5.    Usługi teleinformatyczne+

5.1.    Weryfikacja uzgadniania usług teleinformatycznych przez odbiorców usługi

5.2.    Zarządzanie parametrami usług teleinformatycznych

6.    Zarządzanie procedurami dostępnymi dla klientów

6.1.    Sposób zatwierdzania zmian w procedurach

6.2.    Sposób dokumentowania procedur dla klientów

6.3.    Sposób publikacji procedur dla klientów

6.4.    Sposób informowania klientów o stanie załatwianej sprawy.

7.    Interoperacyjność+

7.1.    Weryfikacja dostępności usług na platformie e-PUAP.

7.2.    Weryfikacja sposobów interakcji z klientem Urzędu drogą elektroniczną.

7.3.    Spełnienie wymagań Web Content Accessibility Guidelines (WCAG 2.0) w odniesieniu do systemów teleinformatycznych służących prezentacji zasobów informacji.

8.    Przejrzystość+

8.1.    Weryfikacja funkcjonowania procedur uzyskiwania dostępu do informacji publicznej

8.2.    Odpowiedzialność za decyzje w kwestii udostępnienia informacji publicznej

8.3.    Sposób dokumentowania udostępnienia informacji publicznej.

8.4.    Terminowość udostępnienia informacji publicznej

8.5.    Forma przekazania informacji publicznej

9.    Bezpieczeństwo+

9.1.    Funkcjonowanie procedury zarządzania uprawnieniami

9.2.    Weryfikacja sposobu nadawania uprawnień do zasobów i ich odbierania

9.3.    Funkcjonowanie dokumentacji opisującej podstawowe zasady bezpieczeństwa dla pracowników.

9.4.    Funkcjonowanie polityki bezpieczeństwa informacji dotyczącej całości systemów teleinformatycznych.

9.5.    Weryfikacja bezpieczeństwa (umów i sposobu świadczenia usług) usług informatycznych.

9.6.    Weryfikacja bezpieczeństwa aplikacji i baz danych.

9.7.    Funkcjonowanie zasad zgłaszania incydentów bezpieczeństwa

9.8.    Weryfikacja sposobu i skuteczności zgłaszania incydentów bezpieczeństwa

9.9.    Weryfikacja skuteczności i kompletności przeprowadzania audytów wewnętrznych nie rzadziej niż raz na rok.

9.10.    Aktualność inwentaryzacji  sprzętu, konfiguracji i oprogramowania urządzeń przetwarzających informacje.

9.11.    Weryfikacja monitorowania i przechowywania logów i zdarzeń z istotnych systemów teleinformatycznych

9.12.    Weryfikacja Standarów bezpieczeństwa urządzeń mobilnych

9.13.    Weryfikacja dbałości o aktualizację oprogramowania

9.14.    Weryfikacja sposobu monitorowania biuletynów technicznych pod kątem wykrytych podatności.

10.    Ochrona Danych Osobowych+

10.1.    Weryfikacja umów o powierzenie danych osobowych.

10.2.    Prawidłowość i aktualność prowadzonych rejestrów upoważnień, osób przetwarzających dane osobowe.

11.    Zarządzanie projektami+

11.1.    Weryfikacja sposobu realizacji projektów w firmie na przykładzie wybranego projektu

11.2.    Wykorzystanie narzędzi informatycznych do dokumentowania projektów i zarządzania zasobami

11.3.    Weryfikacja przydzielania zasobów i rozliczania realizowanych projektów.

12.    Szkolenia pracowników

12.1.    Weryfikacja realizacji szkoleń dla pracowników

12.2.    Weryfikacja zakresu i tematyki szkoleń dla pracowników

12.3.    Znajomość przez pracowników przepisów prawa dotyczących realizowanej działalności.

12.4.    Sposób przygotowywania nowych pracowników do pracy

Zgłoś Urząd teraz!

Przystąp do bezpłatnego audytu bezpieczeństwa.

Uzupełnij formularz zgłoszenia!

 

Zgłoszenie

« wstecz
Certyfikaty bezpieczeństwa przyznano