Na podstawie § 5 ust. 2 pkt 1 załącznika do zarządzenia Nr 27 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 5 grudnia 2022 r. w sprawie ustalenia regulaminu organizacyjnego Generalnej Dyrekcji Dróg Krajowych i Autostrad (Dz. Urz. GDDKiA poz. 27 oraz z 2023 r. poz. 8 i 11), zarządza się, co następuje:

Załączniki do zarządzenia Nr 33
Generalnego Dyrektora Dróg Krajowych i Autostrad
z dnia 4 września 2023 r.

Załącznik nr 1

POLITYKA BEZPIECZEŃSTWA INFORMACJI W GENERALNEJ DYREKCJI DRÓG KRAJOWYCH I AUTOSTRAD

Treść załącznika w wersji PDF do pobrania tutaj

Załącznik nr 2

Załącznik nr 3

OPIS SPOSOBU WPROWADZANIA DOKUMENTACJI SZBI

§ 1. 1. Propozycje wprowadzenia nowej polityki, regulaminu, zasad, wytycznych, instrukcji, procedur, deklaracji, planów, zaleceń lub wyjaśnień, a także propozycje ich zmian podlegają zgłoszeniu, za pośrednictwem kanałów komunikacji elektronicznej, pełnomocnikowi ds. bezpieczeństwa informacji.

2. Propozycje, o których mowa w ust. 1, zawierają cel i zakres proponowanych rozwiązań oraz, o ile to możliwe, treść projektowanych postanowień.

3. Propozycje, o których mowa w ust. 1, podlegają:

1) opiniowaniu pod kątem merytorycznym oraz w zakresie spójności SZBI;

2) weryfikacji pod kątem poprawności prawnej i legislacyjnej.

4. Czynności, o których mowa w ust. 3 pkt 1, dokonuje pełnomocnik ds. bezpieczeństwa informacji. W przypadku gdy zakres propozycji dotyczy obszaru bezpieczeństwa fizycznego, bezpieczeństwa teleinformatycznego lub ochrony danych osobowych, pełnomocnik ds. bezpieczeństwa informacji zasięga opinii odpowiednio kierownika komórki ds. ochrony fizycznej Centrali Generalnej Dyrekcji Dróg Krajowych i Autostrad, dalej: „GDDKiA", kierownika komórki ds. informatycznych Centrali GDDKiA, pełnomocnika ds. cyberbezpieczeństwa lub Inspektora Ochrony Danych.

5. Weryfikacji, o której mowa w ust. 3 pkt 2, dokonuje kierownik komórki ds. prawnych Centrali GDDKiA.

6. Pozytywna opinia, o której mowa w ust. 3 pkt 1, stanowi podstawę do:

1) podjęcia działań mających na celu opracowanie nowej polityki, regulaminu, zasad, wytycznych, instrukcji, procedur, deklaracji lub planów;

2) wprowadzenia zmiany w istniejącej polityce, regulaminie, zasadach, wytycznych, instrukcjach, procedurach, deklaracjach lub planach.

§ 2. Propozycje wprowadzenia lub zmiany polityki, stanowiącej dokument wprowadzany mocą zarządzenia, proceduje się zgodnie z zarządzeniem zarządzeniem nr 38 Generalnego Dyrektora Dróg Krajowych i Autostrad z dnia 31 grudnia 2021 r. w sprawie prowadzenia prac legislacyjnych w Generalnej Dyrekcji Dróg Krajowych i Autostrad.

§ 3. 1. Nowy regulamin, zasady, wytyczne, instrukcje, procedury, deklaracje lub plany oraz ich zmiany podlegają zatwierdzeniu przez Dyrektora Generalnego GDDKiA.

2. Dokument, o którym mowa w ust. 1, lub jego zaktualizowana wersja, jest publikowany w Intranecie, na stronie przeznaczonej do zamieszczania danych o zarządzaniu bezpieczeństwem informacji w GDDKiA.

3. Z dniem następującym po dniu publikacji dokument, o którym mowa w ust. 1, lub wprowadzona zmiana stają się obowiązujące dla wszystkich pracowników GDDKiA i wchodzą w skład dokumentacji SZBI.

§ 4. 1. Projekt wprowadzenia zasad, wytycznych, instrukcji, procedur, deklaracje lub planów lub ich zmian mających obowiązywać w jednym z Oddziałów GDDKiA, w szczególności projekt deklaracji stosowania zabezpieczeń w Oddziale GDDKiA i projekt części pierwszej planu ciągłości działania w Oddziale GDDKiA, są opracowywane przez komórki wewnętrzne Oddziału GDDKiA z uwzględnieniem obowiązujących wytycznych lub wzorów, a następnie przedkładane pełnomocnikowi ds. bezpieczeństwa informacji do akceptacji.

2. Przed dokonaniem akceptacji projektu, o którym mowa w ust. 1, pełnomocnik ds. bezpieczeństwa informacji może zasięgnąć opinii innych komórek organizacyjnych Centrali GDDKiA, pełnomocnika ds. cyberbezpieczeństwa lub Inspektora Ochrony Danych.

3. W przypadku zaakceptowania projektu, o którym mowa w ust. 1, pełnomocnik ds. bezpieczeństwa informacji przekazuje go do zatwierdzenia właściwemu Dyrektorowi Oddziału GDDKiA.

4. Zatwierdzony dokument, o którego projekcie jest mowa w ust. 1, lub jego zaktualizowana wersja, jest publikowany w Intranecie, na stronie przeznaczonej do zamieszczania danych o zarządzaniu bezpieczeństwem informacji w GDDKiA.

5. Z dniem następującym po dniu publikacji w Intranecie dokument, o którego projekcie jest mowa w ust. 1, lub wprowadzona zmiana, stają się obowiązujące dla wszystkich pracowników Oddziału GDDKiA i wchodzą w skład dokumentacji SZBI.

§ 5. 1. Propozycja wprowadzenia nowych zaleceń lub wyjaśnień lub propozycja zmian istniejących zaleceń lub wyjaśnień, zgłoszona zgodnie z § 1 ust. 1, podlega ocenie i akceptacji, zgodnie z właściwością wynikającą z treści wyjaśnień, odpowiednio przez:

1) pełnomocnika ds. bezpieczeństwa informacji - w zakresie spójności z SZBI;

2) kierownika komórki ds. ochrony fizycznej Centrali GDDKiA - w zakresie bezpieczeństwa fizycznego;

3) kierownika komórki ds. informatycznych Centrali GDDKiA - w zakresie bezpieczeństwa teleinformatycznego po uzyskaniu opinii pełnomocnika ds. cyberbezpieczeństwa;

4) pełnomocnika ds. bezpieczeństwa informacji - w zakresie ochrony danych osobowych po uzyskaniu opinii Inspektora Ochrony Danych.

2. Inspektor Ochrony Danych może opracowywać, zgodnie ze swoją właściwością, zalecenia lub wyjaśnienia lub zmiany istniejących zaleceń lub wyjaśnień, po uzyskaniu opinii pełnomocnika ds. bezpieczeństwa informacji.

§ 6. 1. Zalecenia, wyjaśnienia lub ich zmiany, po ich zatwierdzeniu, zgodnie z właściwością, przez pełnomocnika ds. bezpieczeństwa informacji, kierownika komórki ds. ochrony fizycznej Centrali GDDKIA, kierownika komórki ds. informatycznych Centrali GDDKIA, pełnomocnika ds. cyberbezpieczeństwa lub Inspektora Ochrony Danych, są publikowane w Intranecie, na stronie przeznaczonej do zamieszczania danych o zarządzaniu bezpieczeństwem informacji w GDDKIA.

2. Z dniem następującym po dniu publikacji w Intranecie zalecenia, wyjaśnienia lub ich zmiany wchodzą w skład dokumentacji SZBI.

§ 7. 1. W uzasadnionych przypadkach można odstąpić od stosowania regulaminu, zasad, wytycznych, instrukcji, procedur, deklaracji, planów, zaleceń lub wyjaśnień określonych w dokumentacji obligatoryjnej SZBI.

2. Odstępstwo, o którym mowa w ust. 1, następuje wyłącznie na wniosek Dyrektora Oddziału GDDKiA lub kierownika komórki organizacyjnej Centrali GDDKiA.

3. Wniosek, o którym mowa w ust. 2, wraz z uzasadnieniem, dyrektor Oddziału GDDKIA lub kierownik komórki organizacyjnej Centrali GDDKIA, kieruje do Dyrektora Generalnego GDDKIA za pośrednictwem pełnomocnika ds. bezpieczeństwa informacji.

4. Pełnomocnik ds. bezpieczeństwa informacji dokonuje weryfikacji i analizy możliwości zastosowania zaproponowanych odstępstw mając na względzie konieczność zapewnienia poufności, integralności i dostępności informacji przetwarzanych w GDDKiA.

5. W przypadku gdy wniosek, o którym mowa w ust. 2, dotyczy obszaru bezpieczeństwa fizycznego, bezpieczeństwa teleinformatycznego lub ochrony danych osobowych, pełnomocnik ds. bezpieczeństwa informacji zasięga opinii odpowiednio kierownika komórki ds. ochrony fizycznej Centrali GDDKiA, kierownika komórki ds. informatycznych Centrali GDDKiA, pełnomocnika ds. cyberbezpieczeństwa lub Inspektora Ochrony Danych.

6. Po dokonaniu weryfikacji i analizy wniosku oraz zasięgnięciu opinii, o których mowa w ust. 5, pełnomocnik ds. bezpieczeństwa informacji przekazuje wniosek wraz z rekomendacją Dyrektorowi Generalnemu GDDKiA.

7. Zgodę na odstępstwo, o którym mowa w ust. 1, wydaje Dyrektor Generalny GDDKiA.

8. Zgoda na odstępstwo ma charakter konkretny, dotyczący danej sprawy, tymczasowy i obowiązuje w okresie w niej oznaczonym.

§ 8. Publikowanie dokumentacji i informowanie o tej publikacji w Intranecie pracowników GDDKiA jest obowiązkiem pełnomocnika ds. bezpieczeństwa informacji.