Treść pytania
Wnoszę o udzielenie informacji publicznej w następującym zakresie:
- Czy Urząd (Gmina) ustanowiła i eksploatuje – System Zarządzania Bezpieczeństwem Informacji – scilicet – w rozumieniu dyspozycji § 20 ust. 1 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012. 526)?
- Ilu pracowników działu informatyki zatrudnia Jednostka (Adresat) na dzień złożenia przedmiotowego wniosku? W przypadku Gmin wiejskich zatrudniających personel informatyczny jedynie na podstawie umów cywilno – prawnych (bez umowy o pracę) wnosimy o wyszczególnienie tego faktu.
- Kiedy ostatni raz wykonano w Jednostce Samorządu Terytorialnego – okresowy audyt wewnętrzny w zakresie bezpieczeństwa informacji, w rozumieniu § 20 ust. 2 pkt. 14 ww. Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności (…)? Jakie obszary Adresat chciałby objąć dodatkowym audytem, ad exemplum: infrastrukturę, serwery, aplikację, stacje robocze, etc?
- Jaki czas szacunkowo – osoba odpowiedzialna za bezpieczeństwo informacji w Urzędzie poświęca na analizę zagadnień związanych z systemem zarządzania bezpieczeństwem informacji?
- Czy Urząd na dzień złożenia niniejszego wniosku – posiada jakikolwiek system do analizy zdarzeń związanych z bezpieczeństwem tworzonych, przechowywanych i przesyłanych informacji – jeśli tak to prosimy o podanie jego nazwy?
- Czy Urząd (Gmina) opracował wzmiankowany System Zarządzania Bezpieczeństwem Informacji na podstawie Polskiej Normy PN-ISO/IEC 27001 – stosownie do wymogów § 20 ust.3 cytowanego powyżej Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności,(…)?
Data udzielenia odpowiedzi
Treść odpowiedzi
Ad 1.
Odpowiadając informuję, iż w Urzędzie Miasta Lublin funkcjonuje System Zarządzania Bezpieczeństwa Informacji (SZBI), który został wdrożony zarządzeniem Prezydenta Miasta Lublin nr 1/3/2017 z dnia 1 marca 2017 r. w sprawie Polityki Bezpieczeństwa Informacji. Zarządzenie dostępne jest w Biuletynie Informacji Publicznej Urzędu Miasta Lublin w zakładce: Prawo>Zarządzenia Prezydenta>2017 pod linkiem: Zarządzenie nr 1/3/2017 Prezydenta Miasta Lublin z dnia 1 marca 2017 r. w sprawie Polityki Bezpieczeństwa Informacji Urzędu Miasta Lublin.
Ad 2.
Informuję, iż w Wydziale Informatyki i Telekomunikacji Urzędu Miasta Lublin na dzień złożenia przedmiotowego wniosku tj.: 18 czerwca 2020 r. było zatrudnionych 51 pracowników (umowa o pracę).
Ad 3.
Wyjaśniam, iż okresowy audyt wewnętrzny w zakresie bezpieczeństwa informacji przeprowadzany jest w jednostkach organizacyjnych miasta Lublin corocznie w formie ankiety. W oparciu o wyniki ankiety prowadzone są zadania audytowe w wytypowanych jednostkach organizacyjnych miasta Lublin.
Należy zauważyć, iż informacja dotycząca obszarów, które organ chciałby objąć dodatkowym audytem nie stanowi informacji publicznej ponieważ ma charakter ocenny. Informacja publiczna wiąże się ściśle z posiadaniem informacji, a więc ze sferą faktów zaistniałych po stronie organu, stanem zjawisk zaistniałych na dzień odpowiedzi. Wniosek zatem nie może być postulatem dokonania oceny. Zgodnie z jednolitą linią orzeczniczą wnioski, które zawierają pytania tego typu nie stanowią informacji publicznej a tym samym nie podlegają udostępnieniu w trybie dostępu do informacji publicznej.
Ad 4.
Odpowiadając na powyższe pytanie wyjaśniam, że informacja o którą wnosi Wnioskodawca nie istnieje (nie jest utrwalona). Należałoby ją zatem dopiero wytworzyć tak aby zadośćuczynić żądaniu sformułowanemu we wniosku, tj.: oszacować czas przeprowadzenia analizy zagadnień związanych z systemem zarządzania bezpieczeństwem informacji. Natomiast informacją publiczną jest tylko informacja istniejąca w zmaterializowanej postaci, tj.: zapisana na nośniku informacji. Nie wszystkie bowiem informacje będą w ogóle mogły podlegać ocenie - z punktu widzenia ich treści - czy wypełniają przesłanki do zakwalifikowania ich jako "informacja publiczna". Do tego typu informacji będą należały wszelkie informacje, które nie mają formy zmaterializowanej, tj.: nie dają się w żaden sposób odczytać czy zweryfikować.
W tym miejscu należy pamiętać, że prawo dostępu do informacji publicznej obejmuje prawo żądania udzielenia informacji o określonych faktach i stanach istniejących w chwili udzielania informacji. Informacja publiczna dotyczy sfery faktów, a prawo dostępu do informacji publicznej oznacza dostęp do informacji już będącej w posiadaniu podmiotu zobowiązanego i nie może być utożsamiane z prawem do inicjowania działań mających na celu wytworzenie informacji jakościowo nowej. Powyższe uprawnia do przyjęcia, że wiosek zainteresowanego rodzi po stronie organu administracji obowiązek udostępnienia informacji publicznej tylko wtedy, gdy ta informacja publiczna znajduje się w jego posiadaniu.
W sytuacji, gdy wnioskodawca żąda udzielenia informacji, które nie są informacjami publicznymi, organ nie ma obowiązku wydawania decyzji o odmowie udzielenia informacji, lecz zawiadamia jedynie wnoszącego, iż żądane dane nie mieszczą się w pojęciu objętym przedmiotową ustawą.
Ad 5.
Do analizy zdarzeń związanych z bezpieczeństwem tworzonych, przechowywanych i przesyłanych informacji w Urzędzie Miasta Lublin wykorzystywany jest system SPLUNK.
Ad 6.
Odpowiadając na powyższe pytanie informuję, iż System Zarządzania Bezpieczeństwem Informacji, funkcjonujący w Urzędzie Miasta Lublin jest zgodny z normą PN-ISO/IEC 27001 - stosownie do wymogów § 20 ust.3 cytowanego powyżej rozporządzenia.
Data | Użytkownik | Zmiany | Zapisane wersje |
---|---|---|---|
25-05-2021 10:48 | Kamila Karamon | poprawa formatowania publikacji | Wersja aktualnie wyświetlana |
21-01-2021 12:37 | Kamila Karamon | aktualizacja sposobu wyświetlania linku we wniosku | Zobacz |
02-09-2020 14:02 | Katarzyna Baranowska-Mysiak | korekta omyłki pisarskiej | Zobacz |
02-09-2020 10:21 | Katarzyna Baranowska-Mysiak | utworzenie dokumentu na podstawie sprawy: KP-PP-I.1431.247.2020 | Zobacz |