RedIT - navodila za prevzem vzorčnih notranjih pravil

VZORČNA NOTRANJA PRAVILA
RAZLIČICA 1.0
NAVODILA ZA PREVZEM VZORČNIH
NOTRANJIH PRAVIL
Domžale, junij 2009
1/7
1 UVOD
Da bi bil prevzem vzorčnih notranjih pravil za podjetje, kot je vaše, čim bolj enostaven in da bi
vam resnično prihranil čas pri ureditvi notranjega poslovanja ob uvajanju hrambe gradiva v
digitalni obliki, smo pripravljavci RedIT pripravili navodila za prevzem vzorčnih notranjih pravil
sistema RedIT.
Najprej je potrebno ugotoviti trenutno stanje. Več o tem, na kaj vse morate biti pozorni, sledi v
poglavju Ugotovite trenutno stanje (poglavje 2).
Vzorčna notranja pravila lahko prevzamete tako, da z enostavnim internim aktom pristopite k
Enotnim pravilom za varstvo gradiva in Enotni informacijski varnostni politiki ter se zavežete k
njunemu doslednemu izvajanju. Ta način je zagotovo najenostavnejši in najhitrejši. Navodila za
takšen prevzem notranjih pravil najdete v poglavju Pristop k enotnim pravilom – Enostavno kot
1,2,3 (poglavje 3).
Prevzem notranjih pravil je seveda le prvi korak k zagotavljanju varne hrambe gradiva v
digitalni obliki. Bistveno zahtevnejše opravilo, ki ga je potrebno izvesti, je implementacija
pravil v notranje poslovanje organizacije. Nasvete, kako se lotiti implementacije, smo zbrali v
sklepnem poglavju Za konec (poglavje 4).
2 UGOTOVITE TRENUTNO STANJE
Podjetje, ki želi prevzeti vzorčna notranja pravila RedIT kot svoja notranja pravila, mora
najprej odgovoriti na nekaj osnovnih vprašanj:
1. Ali je sistem RedIT sploh primeren za naše podjetje?
RedIT za podjetja se v večini primerov ne bo izkazal primeren za:
● velike poslovne sisteme z razvejano organizacijo na več lokacijah, z zapletenimi poslovnimi
procesi, kompleksno organizacijsko strukturo in razvejanimi sistemi povezav med
različnimi procesi;
● podjetja iz nekaterih dejavnosti, ki so izrazito regulirana s predpisi (npr. farmacevtska
industrija, bančništvo, zavarovalništvo...);
● ustvarjalce zasebnega arhivskega gradiva.
Če ugotovite, da sistema RedIT zaradi kateregakoli razloga, navedenega zgoraj, ne morete
prevzeti kot vaša notranja pravila, pa lahko vzorčna notranja pravila RedIT še vedno uporabite
kot delovni pripomoček za pripravo vaših lastnih notranjih pravil. V tem primeru boste seveda
vaša notranja pravila morali potrditi pri Arhivu Republike Slovenije.
2. Kaj imamo z internimi pravnimi akti že urejeno?
Podjetje se mora vprašati:
2.1 Ali podjetje že posluje v skladu z informacijsko varnostno politiko, skladno z
zahtevami standarda družine ISO 27000 ali predhodnih standardov:
○
če da, mora podjetje ugotoviti, ali je obstoječ Sistem upravljanja varovanja informacij, ki
mora biti dokumentiran, skladen z zahtevami ZVDAGA, Uredbe in ETZ; to najlažje ugotovi
s pomočjo Kontrolnega seznama za preverjanje usklajenosti notranjih pravil z ZVDAGA in
potrjevanje
■
če podjetje ima informacijsko varnostno politiko, skladno z zahtevami ZVDAGA,
sistema RedIT ne bo prevzelo v celoti, temveč bo obstoječa informacijska
varnostna politika postala del notranjih pravil. V tem primeru bo podjetje moralo
svoja notranja pravila potrditi pri Arhivu Republike Slovenije. Posebej poudarjamo,
2/7
da v primeru, da podjetje že ima informacijsko varnostno politiko, ki bo postala del
notranjih pravil podjetja, ne šteje, da prevzema sistem RedIT, in bo potrebna
potrditev notranjih pravil pri Arhivu Republike Slovenije.
■
če podjetje ima informacijsko varnostno politiko, vendar ta ni skladna z zahtevami
ZVDAGA, Uredbe in ETZ, je najbolj smiselno, da obstoječo varnostno politiko
nadomesti z Enotno informacijsko varnostno politiko za podjetja sistema RedIT.
2.2 Ali podjetje že ima pridobljen certifikat po ISO 9001 ali posluje v skladu z njim:
○
posamezne določbe s področja zagotavljanja kakovosti, vključene v vzorčna notranja
pravila, v ničemer ne nasprotujejo omenjenemu standardu, temveč pomenijo
zagotavljanje še učinkovitejšega sistema kakovosti in uspešnosti poslovanja podjetja
2.3 Ali ima podjetje sprejet akt o notranjih organizaciji in sistemizaciji, ali obstajajo
opisi delovnih mest, ali so odgovornosti posameznih delavcev opredeljene zgolj s
pogodbami:
○
če ima podjetje sprejet akt o notranji organizaciji in sistemizaciji in/ali obstajajo opisi del
in nalog posameznih delovnih mest, mora podjetje preveriti, ali opisi delovnih mest še
ustrezajo novim zadolžitvam, ki jih bodo s prevzemom vzorčnih notranjih pravil začeli
izvajati delavci. Prav tako mora podjetje preveriti, ali novim zadolžitvam ustrezajo tudi
določila v obstoječih pogodbah o zaposlitvi oziroma v pogodbah z zunanjimi sodelavci in v
primeru, da določila niso več ustrezna, sprejeti ustrezne anekse k pogodbam ali skleniti
nove pogodbe.
○
če podjetje v skladu z določili veljavnega Zakona o delovnih razmerjih ni zavezano, da
pogoje za opravljanje dela na posameznem delovnem mestu določi s splošnim aktom
(manjši delodajalec - delodajalec, ki zaposluje deset ali manj delavcev), priporočamo, da v
ta namen podjetje izda sklep, s katerim določi nove zadolžitve delavcev, ki jih bodo ti
začeli izvajati s prevzemom vzročnih notranjih pravil. Prav tako mora podjetje preveriti, ali
novim zadolžitvam ustrezajo tudi določila v obstoječih pogodbah o zaposlitvi oziroma v
pogodbah z zunanjimi sodelavci in v primeru, da določila niso več ustrezna, sprejeti
ustrezne anekse k pogodbam ali skleniti nove pogodbe.
2.4 Ali ima podjetje sprejet interni akt s področja varovanja osebnih podatkov:
○
če ima podjetje interni pravni akt s področja varovanja osebnih podatkov, v katerih so
urejeni tudi nekateri vidiki informacijske varnosti, obstajata dve možnosti. Obstoječi
interni akt mora podjetje bodisi deloma bodisi v celoti nadomestiti z vzorčnimi notranjimi
pravili sistema RedIT in v sklepu o varstvu gradiva in zagotavljanju informacijske varnosti
opredeliti datum prenehanja veljavnosti tega internega pravnega akta oz. dela tega
internega pravnega akta (če so namreč v obstoječem internem aktu s področja varovanja
osebnih podatkov urejene specifike, ki jih sistem RedIT ne ureja, predlagamo, da podjetje
te določbe ohrani v veljavi) ali pa obstoječ pravni akt ohraniti v veljavi, kar pomeni, da
sistema RedIT podjetje ne bo prevzelo v celoti, temveč bo obstoječi pravni akt postal del
notranjih pravil. V tem primeru bo podjetje moralo svoja notranja pravila potrditi pri
Arhivu Republike Slovenije.
2.4 Ali ima podjetje sprejet interni akt s področja varovanja poslovnih skrivnosti:
○
če ima podjetje pravni akt s področja varovanja poslovnih skrivnosti, ki v večji meri kot iz
pravnih izvirajo iz poslovnih zahtev, pa podjetje lahko ohrani obstoječ akt v veljavi, saj
Enotna informacijska varnostna politika izrecno določa, da se v primeru, da ima podjetje
akt, s katerim opredeljuje poslovne skrivnosti, uporablja ta.
3/7
2.6 Ali ima podjetje način upravljanja z dokumentarnim gradivom že urejen z
internim aktom, ki vsebuje tudi klasifikacijski načrt, signirni načrt in podobno (velja
za podjetja):
○
če da, podjetje preveri, ali je obstoječi interni pravni akt skladen z zahtevami ZVDAGA,
Uredbe in ETZ; to najlažje ugotovi s pomočjo Kontrolnega seznama za preverjanje
usklajenosti notranjih pravil z ZVDAGA in potrjevanje
■
če podjetje ima interni pravni akt, skladen z zahtevami ZVDAGA, sistema RedIT ne
bo prevzelo v celoti, temveč bo obstoječi pravni akt postal del notranjih pravil. V
tem primeru bo podjetje moralo svoja notranja pravila potrditi pri Arhivu Republike
Slovenije. Posebej poudarjamo, da v primeru, da podjetje že ima interni pravni akt,
ki ureja upravljanje z gradivom, ki bo postal del njegovih notranjih pravil, ne šteje,
da prevzema sistem RedIT, četudi prevzame preostali del in da bo potrebna
potrditev notranjih pravil pri Arhivu Republike Slovenije;
■
če podjetje ima interni pravni akt, ki ureja upravljanje z dokumentarnim gradivom,
vendar ta ni skladen z zahtevami ZVDAGA, Uredbe in ETZ, je najbolj smiselno, da
obstoječi interni pravni akt nadomesti z Enotnimi pravili za varstvo gradiva.
3. Ali se podjetje opira na zunanje izvajalce in v kolikšni meri (ali podjetje izvajanje
nalog, povezanih z IT v celoti prepušča zunanjim izvajalcem, ali zunanji izvajalci upravljajo s
posameznimi komponentami informacijskega sistema, ali podjetje samo upravlja s svojim
lastnim informacijskim sistemom):
○
če se podjetje poslužuje zunanjega izvajanja IT (t.i. outsourcing IT) v celoti in samo ne
izvaja nikakršnih nalog, povezanih z IT, je najbolj smiselno, da podjetje kljub temu
prevzame celotno Enotno informacijsko varnostno politiko za podjetja, vendar pa je v
delu, ki se nanaša na naloge in odgovornosti zunanjega izvajalca, ne izvaja samo;
podobno velja v primeru, če se podjetje poslužuje zunanjega izvajanja v smislu
upravljanja določenih komponent informacijskega sistema – tudi v tem primeru je
smiselno, da prevzame celotno Enotno informacijsko varnostno politiko za podjetja
sistema RedIT, ki je v nekem delu sicer ne izvaja, saj za določene komponente
informacijskega sistema skrbi zunanji izvajalec na podlagi lastnih notranjih pravil.
Na tem mestu ponovno poudarjamo, da bodo notranja pravila, ki jih bo podjetje
prevzelo s sistemom RedIT štela za potrjena pri Arhivu Republike Slovenije le v
primeru, da jih prevzame v celoti in spreminja zgolj in samo v naprej predvidenem
obsegu.
Če podjetje ugotovi, da sistema RedIT ne more ali ne želi prevzeti v celoti (npr. ker že ima
lastno informacijsko varnostno politiko ali interne akte, ki so skladni z zahtevami ZVDAGA,
Uredbe in ETZ, ker ne želi ali ne more prilagoditi lastnega poslovanja predvidenim rešitvam ali
ker je njeno poslovanje v tolikšni meri specifično, da bo potrebno pripraviti lastna notranja
pravila), lahko sistem RedIT prevzame le deloma ali pa ga uporabi kot delovni pripomoček, na
osnovi katerega pripravi lastna notranja pravila. Posebej poudarjamo, da bo moralo
podjetje v tem primeru samo poskrbeti za potrditev notranjih pravil pri Arhivu
Republike Slovenije.
4/7
3 PRISTOP K ENOTNIM PRAVILOM – ENOSTAVNO
KOT 1,2,3
KORAK 1: SPOZNAJTE ENOTNA PRAVILA REDIT
Če bo podjetje izvajalo hrambo gradiva v digitalni obliki le v omejenem obsegu (npr. zgolj eračune), potem je najenostavneje, da vzorčna notranja pravila sistema RedIT prevzame tako,
da pristopi k enotnim pravilom.
Podjetje bo pristopilo k dvema dokumentoma: Enotnim pravilom za varstvo gradiva za podjetja
in Enotni informacijski varnostni politiki za podjetja.
V Enotnih pravilih za varstvo gradiva so navedena pravila upravljanja z gradivom v celotni
življenjski poti gradiva (od sprejema pošte v podjetju preko evidentiranja, klasificiranja,
signiranja, do odpreme pošte, in nenazadnje pravila kratkoročne in dolgoročne hrambe
gradiva).
Enotna informacijska varnostna politika pa vsebuje pravila, kako podjetje zagotavlja
informacijsko varnost (fizično varovanje, urejanje razmerij z zunanjimi izvajalci, pravila za
določanje dostopnih pravic, varovanje pred zlonamerno programsko opremo, obvladovanje
sprememb, nadzor informacijskega sistema ipd.). Zahteve ZVDAGA, Uredbe in ETZ temeljijo
na mednarodno priznanih standardih (v delu, ki se nanaša na informacijsko varnost predvsem
na standardu ISO 27001). To pomeni, da je tudi Enotna informacijska varnostna politika
skladna z zahtevami standarda ISO 27001. Seveda pa zgolj prevzem Enotne informacijske
varnostne politike še ne pomeni, da se lahko podjetje certificira po ISO 27001.
KORAK 2: PRIPRAVITE VSE POTREBNO ZA PRISTOP K
PRAVILOM
Pristop k enotnim pravilom bo za podjetje pomenil, da bodo delavci prevzeli odgovornosti za
izvajanje nekaterih novih nalog, oziroma, da bodo nekatere naloge, ki so opravljali že do sedaj,
po pristopu k enotnim pravilom opravljali na drugačen način, med njimi:
●
●
●
●
●
●
●
●
●
●
●
●
●
●
dodatne naloge s kadrovskega področja;
dodatne naloge s področja financ;
preverjanje splošnega elektronskega naslova in evidentiranje sporočil;
evidentiranje dokumentarnega gradiva;
izvajanje kontrole zajema in pretvorbe gradiva;
uničevanje nosilcev podatkov;
priprava, posodabljanje in posredovanje katalogov osebnih podatkov;
odbiranje, izločanje in uničevanje gradiva;
notranji nadzor izvajanja notranjih pravil:
vzdrževanje notranjih pravil;
usklajenost Enotne informacijske varnostne politike s predpisi;
dodatne naloge s področja informatike;
naloge sistemske administracije in administracije požarnega zidu;
ipd.
Zato je smiselno, da se v podjetju pred pristopom k enotnim pravilom dogovorite, kdo bo
odgovoren za posamezno področje oziroma za izvajanje posameznih nalog.
Nato mora podjetje ugotoviti, s katerim zunanjim izvajalcem ali več zunanjimi izvajalci želi
sodelovati pri zagotavljanju varne hrambe ter ugotoviti, katere tehnične priloge v sklopu RedIT
5/7
bodo veljale za podjetje. Tehnične priloge pripravi zunanji izvajalec in so sestavni del Enotnih
pravil za varstvo gradiva oziroma Enotne informacijske varnostne politike.
KORAK 3: PRISTOPITE K ENOTNIM PRAVILOM REDIT
Podjetje, ki bo želelo vzorčna notranja pravila prevzeti na način, da pristopi k enotnim
pravilom, se bo k izvajanju pravil, zapisanih v Enotnih pravilih za varstvo gradiva in v Enotni
informacijsko varnostni politiki zavezala z ustrezno izjavo, ki jo bo sprejela ob pristopu k
hrambi gradiva v digitalni obliki.
Podjetje takšno izjavo sprejme v obliki sklepa v smislu ZGD, v sklepu pa določi odgovornosti
svojih zaposlenih v zvezi z zagotavljanjem informacijske varnosti in varstva dokumentarnega
gradiva.
S sklepom pa podjetje določi tudi nekatere druge vidike hrambe gradiva v digitalni obliki
(katere vrste gradiva bo hranilo v digitalni obliki, kateri zunanji izvajalci bodo izvajali hrambo
gradiva v digitalni obliki, kakšen klasifikacijski načrt bo uporabljalo podjetje ipd.).
Dokumenti, ki sestavljajo vzorčna notranja pravila RedIT – enotna pravila za podjetja in jih
mora podjetje prevzeti v celoti so:
1. Ugotovitve faze priprave za podjetja, različica 1.0.
2. Obrazložitev vzorčnih notranjih pravil za podjetja, različica 1.0.
3. Enotna pravila za varstvo gradiva za podjetja, različica 1.0.
• priloga klasifikacijski načrt
4. Tehnična navodila, različica 1.0.
5. Enotna informacijska varnostna politika za podjetja, različica 1.0.
6. Pomembni podatki za neprekinjeno poslovanje
7. Pregled groženj in ocena tveganj
8. Vzorci :
• Primeri sklepov (2 sklepa o digitalizaciji obstoječega digitalnega gradiva – vzorec z
oznako S7310 – P1 in S7310 - P2, Sklep o zagotavljanju pravne veljavnosti že
digitaliziranega dokumentarnega gradiva – vzorec z oznako S7320 - P1 , Sklep o
varstvu gradiva in zagotavljanju informacijske varnosti, Sklep o imenovanju komisije
– vzorec z oznako S3315 - P1, Sklep o imenovanju Skupine za informacijsko varnost
– vzorec z oznako S6301 - P1, Sklep, s katerim se dodelijo posamezne naloge v
skladu z Enotno informacijsko varnostno politiko/Enotnimi pravili za varstvo gradiva
za podjetja – vzorec z oznako S3315-P2)
• Izjava o zaupnosti zunanji sodelavec (vzorec z oznako S3130 – P1)
• Vzorčne določbe v pogodbi o zaposlitvi ali pogodbi o delu (vzorec z oznako S3310P1)
• Vzorčne določbe v pogodbi z zunanjim izvajalcem (vzorec z oznako S3310 – P2)
• Izjava o zaupnosti zaposleni (vzorec z oznako S3310 – P3)
• Vzorčni obrazec za prijavo varnostnega dogodka (vzorec z oznako S3350 – P1)
• Pooblastilo za vstop v varovanje prostore (vzorec z oznako S3410 – P1)
• Dnevnik vstopov v varovane prostore (vzorec z oznako S3410 – P2)
• Zapisnik varnega uničenja podatkov na magnetnem mediju (vzorec z oznako S3560
– P1).
Podjetje mora v primeru, da želi spremeniti ali dopolniti klasifikacijski načrt, ki je del Enotnih
pravil za varstvo gradiva, spremembe določiti tako, da klasifikacijski načrt, ki je del enotnih
pravil uvrsti v prilogo sklepa, s katerim se zaveže k izvajanju enotnih pravil in klasifikacijski
načrt ustrezno dopolni. Pri tem seveda odsvetujemo, da se popravljajo zakonsko določeni roki
hrambe. Prav tako opozarjamo, da so roki v zvezi z osebnimi podatki določeni hkrati kot
minimalni in maksimalni roki, zato odsvetujemo kakršnokoli podaljševanje ali skrajševanje teh
rokov.
Tista podjetja, za katere je neprekinjeno poslovanje v smislu 24/7/365 poslovno smiselno, v
6/7
celoti izpolnijo tudi dokument „Pomembni podatki za neprekinjeno poslovanje“ s konkretnimi
podatki. Če za podjetje ni poslovno upravičeno zagotavljanje neprekinjenega poslovanja v
smislu 24/7/365, je kljub temu pomembno, da zagotovi izvajanje določb v zvezi z
neprekinjenim poslovanjem predvsem v delu, ki se nanaša na varnostne kopije gradiva.
V okviru sistema RedIT so na voljo tudi vzorčni sklepi za primere, ko se podjetje odloči za
masovni zajem gradiva za nazaj (masovni zajem izvede podjetje samo ali s pomočjo zunanjega
izvajalca) in za primere, ko je podjetje že izvajalo postopke zajema in hrambe gradiva pred
pristopom k enotnim pravilom, in želi zagotoviti pravno veljavnost tako zajetega in hranjenega
gradiva.
Tehnični vidiki zagotavljanja varne hrambe gradiva v digitalni obliki so v primeru podjetij, ki
pristopajo k enotnim pravilom, seveda v domeni zunanjega izvajalca. Prav tako bo lahko
nekatere naloge, zapisane v prevzetih dokumentih, za podjetje lahko izvajal eden ali več
zunanjih izvajalcev (npr. v primeru, da podjetje najame zunanjega izvajalca za masovni zajem
gradiva v digitalno obliko ipd.). Zato so del tako prevzetih notranjih pravil tudi tehnične priloge
k Enotnim pravilom za varstvo gradiva oziroma Enotni informacijski varnostni politiki, ki jih
pripravijo zunanji izvajalci.
V primeru, da bo podjetje za hrambo različnih vrst gradiva v digitalni obliki najela več zunanjih
izvajalcev, oziroma najame zunanje izvajalce tudi za zagotavljanje spremljevalnih storitev (npr.
digitalizacija gradiva, najem varnega prostora ipd.), podjetje ne bo ponovno prevzelo Enotnih
pravil za varstvo gradiva in Enotne informacijske varnostne politike, temveč bo ob vsakokratni
sklenitvi dogovora z zunanjim izvajalcem dopolnilo že omenjeni sklep o varstvu gradiva in
zagotavljanju informacijske varnosti in v svoja notranja pravila prevzelo Tehnično prilogo k
Enotnim pravilom za varstvo gradiva oziroma Enotni informacijski varnostni politiki
vsakokratnega zunanjega izvajalca.
4 ZA KONEC
Več informacij o prevzemu vzorčnih notranjih pravil RedIT je na voljo na spletni strani
http://www.redit.si. Na pripravljavca sistema RedIT se lahko obrnete po elektronski pošti na
naslov [email protected].
Bistveno je, da se zavedate, da se s prevzemom vzorčnih notranjih pravil pravo delo šele
začne. Zelo pomembno je, da izberete primerne izvajalce. Predlagamo vam, da izberete takšne
izvajalce, ki so oziroma bodo:
●
●
●
registrirani pri Arhivu Republike Slovenije;
lahko ponudili akreditirano opremo ali storitev, če ste ustvarjalec arhivskega gradiva;
vključeni v sistem RedIT, saj to pomeni, da se zavedajo pomembnosti zagotavljanja
skladnosti s predpisi in tehnološkimi zahtevami, velikokrat pa pri razvoju njihovih rešitev
sodeluje tudi naše podjetje.
Še bolj pomembno od izbire primernega izvajalca pa je, da vaša notranja pravila ustrezno
implementirate v vaše poslovanje. Hramba vašega gradiva bo zanesljiva in varna samo v
primeru, da boste resnično in na pravilen način predpisana pravila vgradili v vaše poslovanje.
Samo varna in zanesljiva hramba vašega gradiva vam bo v primeru morebitnih sodnih,
upravnih in podobnih postopkov pomagala ohraniti vaš ugled in pomagala dokazati vašo
strokovnost in zakonito ravnanje.
Implementacija pravil v poslovanje seveda še zdaleč ni enostavna. Ključnega pomena je, da
svoje delavce primerno usposobite in v njih vzbudite zavedanje o pomembnosti informacijske
varnosti ter varne hrambe gradiva. Pri tem vam lahko pomaga tudi naše podjetje s seminarji in
delavnicami, na katerih vam bomo ponudili praktične nasvete za učinkovito uvedbo pravil. Če
želite sodelovati z nami, nam na zgoraj omenjeni e-poštni naslov posredujte sporočilo in poslali
vam bomo predstavitveno brošuro o tem, kako vam lahko še pomagamo.
7/7