Bezpečnostní politika informací v ČSSZ

Transkript

1 Č. j.: /1641 Praze dne SMĚRNICE ŘEDITELE ODBORU BEZPEČNOSTNÍ POLITIKY č. 11/2006 Bezpečnostní politika informací v ČSSZ O B S A H : Čl. 1 Úvodní ustanovení Čl. 2 Cíle a zásady bezpečnosti informací Čl. 3 Organizace bezpečnosti Čl. 4 Klasifikace a řízení informačních aktiv Čl. 5 Personální bezpečnost Čl. 6 Fyzická bezpečnost a bezpečnost prostředí Čl. 7 Řízení bezpečnosti komunikací a provozu Čl. 8 Řízení přístupu Čl. 9 Vývoj a údržba systémů Čl. 10 Řízení kontinuity činností Čl. 11 Soulad s požadavky Čl. 12 Regulatorní, legislativní a smluvní požadavky na bezpečnost informací Čl. 13 Kritéria hodnocení rizik Čl. 14 Stanovení obecných a specifických odpovědností pro bezpečnost informací Čl. 15 Závěrečná ustanovení Přílohy: Příloha č. 1 Regulatorní, legislativní a smluvní požadavky na bezpečnost informací Příloha č. 2 Specifické povinnosti pro oblast bezpečnosti informací v ČSSZ 1

2 Čl. 1 Úvodní ustanovení 1) Vedení ČSSZ podporuje cíle a zásady bezpečnosti informací. Tato směrnice ředitele odboru bezpečnostní politiky (dále jen ředitele odboru 11 )je závazná pro všechny zaměstnance ČSSZ a spolupracující organizace. 2) K zajištění bezpečnosti informací a podpory bezpečnosti informací v ústředí ČSSZ a v KSSZ, PSSZ, MSSZ Brno a OSSZ (dále jen územní organizační jednotky ČSSZ ) se touto směrnicí ředitele odboru 11: a) popisuje a vysvětluje bezpečnost informací; b) stanovují bezpečnostní cíle; c) stanovuje rozsah a důležitost bezpečnosti informací; d) uvádí stručný výklad základních bezpečnostních zásad; e) stanovují kritéria, kterými bude hodnoceno riziko, a definuje struktura hodnocení rizik. 3) Bezpečnost informací je charakterizována jako zachování důvěrnosti, integrity a dostupnosti informací. a) důvěrnost je zajištění toho, že informace je přístupná jen těm, kteří jsou oprávněni k ní mít přístup; b) integrita je zabezpečení přesnosti a kompletnosti informací a metod jejich zpracování; c) dostupnost je zajištění toho, že jsou informace a s nimi spojená aktiva uživatelům přístupná v době, kdy je potřebují. 4) Bezpečnostním cílem spojeným s bezpečností informací v ČSSZ je zajištění dostupnosti informačních aktiv jen oprávněným osobám, správnosti a kompletnosti informací, důvěrnosti a bezpečnosti jejich zpracování a ochrany informací proti náhodnému nebo neoprávněnému zničení nebo náhodné ztrátě, proti neoprávněnému přístupu, změnám nebo šíření, a to v souladu se směrnicemi Evropského Parlamentu a Rady ES, zákony a jinými právními předpisy ČR. 5) Bezpečnost informací pokrývá celou strukturu ČSSZ ve všech lokalitách a spolupracující organizace. Bezpečnost informací pokrývá všechna důležitá informační aktiva ČSSZ, zejména údaje o jednotlivých osobách, organizacích a malých organizacích, které ČSSZ zpracovává při plnění úkolů orgánu sociálního zabezpečení na základě zvláštního zákona. 6) Tato směrnice ředitele odboru 11 informací dvakrát ročně podléhá revizi. 7) Za revizi dokumentu bezpečnostní politiky informací odpovídá ředitel odboru 11. 8) Záměrem vedení ČSSZ je udržovat přiměřenou ochranu informačních aktiv v souladu se směrnicemi EU, zákony a jinými právními předpisy ČR, a to i v případech, kdy byla odpovědnost za zpracování informací přenesena na spolupracující organizace. Čl. 2 Cíle a zásady bezpečnosti informací 1) Zaměstnanci ČSSZ v rámci dodržování bezpečnosti informací zajišťují: a) ochranu práv a svobod jednotlivců, zejména právo na soukromí uznané v článku 7 Úmluvy o ochraně lidských práv a základních svobod, usnesení předsednictva ČNR č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky; 2

3 b) ochranu údajů týkajících se jednotlivých občanů, organizací nebo malých organizací, spojenou s povinností mlčenlivosti podle zvláštního zákona; c) ochranu osobních údajů a citlivých údajů podle zvláštního zákona; d) ochranu bezpečnostních opatření, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů v informačních systémech ČSSZ a v územních organizačních jednotkách ČSSZ podle zvláštního zákona; e) ochranu skutečností, jejichž zneužití by mohlo vést k ohrožení života, zdraví, majetku, životního prostředí nebo podnikatelského zájmu právnické osoby nebo fyzické osoby vykonávající podnikatelskou činnost podle zvláštních právních předpisů; f) ochranu osobnosti podle zvláštního zákona; g) ochranu záležitostí, které jsou předmětem bankovního tajemství podle zvláštního zákona; h) ochranu prostředků a dat pro vytváření zaručeného elektronického podpisu podle zvláštního zákona; i) ochranu obchodního tajemství podle zvláštního právního předpisu a obsahu smluv obchodně závazkových vztahů, pokud se k tomu ČSSZ v uzavřené smlouvě zavázala; j) zachování základních funkcí ČSSZ v zákonem stanovených oblastech sociálního zabezpečení (důchodového pojištění a nemocenského pojištění) a nemocenského zabezpečení za krizových stavů státu, v době platnosti krizových (mimořádných) opatření, nařízených vládou (předsedou vlády) podle zvláštního zákona, ve vazbě na zařazení ČSSZ do seznamu subjektů kritické infrastruktury ČR celostátního významu; k) ochranu zdravotnické dokumentace; l) ochranu listovního tajemství atd. 2) Vedení ČSSZ podporuje stanovené cíle bezpečnosti informací. Vedení ČSSZ vyjadřuje touto bezpečnostní politikou informací svoji strategii trvalého zajišťování bezpečnosti informací jako nedílné součásti řídících procesů ČSSZ. Čl. 3 Organizace bezpečnosti 1) Záměrem vedení ČSSZ je řídit bezpečnost informací v ČSSZ a koordinovat implementaci bezpečnostních opatření v ČSSZ dle stanovené působnosti a odpovědnosti vedoucích zaměstnanců a zlepšit řízení a koordinaci bezpečnosti informací v ČSSZ dle ČSN ISO/IEC ) Funkci výboru pro řízení a koordinaci bezpečnosti informací vykonává štáb obrany ČSSZ, jehož předsedou je ústřední ředitel ČSSZ. 3) Povinnosti spojené s řízením bezpečnosti informací v ČSSZ vykonává štáb obrany, který přezkoumává a zdokonaluje bezpečnostní politiku informací, přezkoumává a sleduje bezpečnostní incidenty, sleduje významné změny zranitelnosti informačních aktiv ČSSZ a schvaluje hlavní kroky vedoucí ke zvýšení bezpečnosti informací. 4) Provádění bezpečnostní politiky zajišťují všichni vedoucí zaměstnanci ČSSZ dle stanovené působnosti a odpovědnosti. Čl. 4 Klasifikace a řízení informačních aktiv 1) Účelem klasifikace a řízení informačních aktiv je udržovat přiměřenou ochranu informačních aktiv. 3

4 2) V rámci ČSSZ je zavedena a udržována evidence důležitých informačních aktiv, u nichž je určen vlastník a jednoznačně stanovena odpovědnost za dodržování povinností při jejich zpracování, shromažďování a uchovávání v souladu s platnými předpisy. 3) Informační aktiva ČSSZ musí být klasifikována tak, aby byla naznačena jejich potřebnost, důležitost a stupeň ochrany při manipulaci s nimi. 4) Klasifikaci stanoví vlastníci informačních aktiv nebo vlastníci procesů, kteří odpovídají za periodické přezkoumávání této klasifikace a její aktualizaci. 5) Klasifikace určuje způsob zacházení s informacemi s ohledem na jejich ochranu. Čl. 5 Personální bezpečnost 1) Účelem personální bezpečnosti je snížení rizika lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. 2) Bezpečnostním cílem je zajištění vhodných postupů v rámci přijímacího řízení; dále je cílem zajistit povědomí zaměstnanců o bezpečnosti informací. 3) Posuzování uchazečů o zaměstnání z hlediska personální bezpečnosti je součástí výkonu personálních činností dle Pracovního řádu a v souladu s obsahem pracovněprávních dokumentů v personálních šablonách. 4) Zaměstnanci podepisují prohlášení o mlčenlivosti formou závazku zaměstnance ve smyslu zákonem uložené povinnosti. 5) Zaměstnanci ČSSZ jsou povinni zachovávat mlčenlivost o skutečnostech, se kterými se seznámili při plnění úkolů ČSSZ nebo v přímé souvislosti s nimi a tato povinnost trvá i po skončení pracovního vztahu, pokud zvláštní právní předpis nestanoví jinak. 6) Seznámení zaměstnanců s bezpečnostní politikou je součástí vstupního školení a dalších periodických školení. 7) Zaměstnanci musí znát postupy hlášení bezpečnostních incidentů. 8) Nedodržení bezpečnostních zásad může být kvalifikováno jako porušení povinností zaměstnance příp. porušení pracovní kázně s příslušnými důsledky pro zaměstnance, ve smyslu zákona č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, pokud se nejedná o přestupek podle 44 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů nebo trestný čin podle 178 zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů. 9) Šetření závažných bezpečnostních incidentů zajišťuje ředitel odboru bezpečnostní politiky včetně zpracování protokolů o bezpečnostních incidentech, jejich evidence a předložení návrhů ústřednímu řediteli ČSSZ k zajištění bezpečnosti; protokoly o bezpečnostních incidentech jsou projednávány štábem obrany ČSSZ. Čl. 6 Fyzická bezpečnost a bezpečnost prostředí 1) Účelem fyzické bezpečnosti a bezpečnosti prostředí je předcházet neoprávněnému a neautorizovanému přístupu k informacím, poškození a narušení informací. 2) Bezpečnostním cílem je zajištění fyzické ochrany informací a prostředí, ve kterém se informace nacházejí: 4

5 a) vymezením a využíváním zabezpečených oblastí, zahrnujících kontrolu vstupu a upřesněním způsobu práce osob v těchto oblastech, zabezpečením kanceláří, místností a zařízení, ochranou proti hrozbám působícím z vnějšího prostředí, zejména tam, kde se informace nacházejí, zpracovávají a uchovávají; b) zabezpečením zařízení proti odcizení a zničení, poškození, zahrnujícím bezpečné umístění zařízení, zajištěním podpůrných služeb pro provoz zařízení (dodávky energie, klimatizace atd.), zabezpečením kabeláže a zajištěním pravidelné a bezpečné údržby zařízení; c) zajištěním bezpečnosti informací mimo objekty ČSSZ. 3) Stanovení režimu vstupu a výstupu osob a zajištění zabezpečených oblastí včetně definování fyzického bezpečnostního perimetru zajišťuje v ústředí ČSSZ ředitel odboru bezpečnostní politiky a v KSSZ, PSSZ, MSSZ Brno a OSSZ příslušný ředitel ve své stanovené kompetenci. 4) Zajištění požární bezpečnosti podle zákonů a jiných právních předpisů v ČSSZ je upraveno zvláštní vnitřní organizační směrnicí. 5) Ředitelé územních organizačních jednotek ČSSZ umožní vstup do budov ČSSZ oprávněným orgánům ke zdolání požáru nebo k provedení jiných záchranných prací dle rozhodnutí velitele zásahu. 6) Uplatnění zásad čistého stolu a čisté obrazovky spadá do kompetence vedoucích zaměstnanců ČSSZ. Čl. 7 Řízení bezpečnosti komunikací a provozu 1) Účelem řízení bezpečnosti komunikací a provozu je zajistit správný a bezpečný provoz prostředků pro zpracování informací, minimalizovat riziko selhání systému, chránit integritu a dostupnost programů, dat a informačních systémů, chránit důvěrnost informací a zajistit ochranu počítačových sítí. 2) Bezpečnostním cílem je zajištění ochrany informací prostřednictvím: a) ochrany proti škodlivým a automaticky spouštěným programům; b) zálohování, aby tak byla zajištěna obnova dat a systémů ve vazbě na zachování základních funkcí ČSSZ; c) zpracování postupů obnovy po selhání nebo výpadku systému pro zpracování a uchování informací; d) správy bezpečnosti počítačových sítí; e) zajištění dostupnosti informací a služeb; f) zajištění důvěrnosti informací při jejich přenosu pomocí kryptografické ochrany; g) ochrany před neautorizovanými zásahy dodržováním principu oddělení povinnosti a odpovědnosti při přidělování uživatelských práv; h) monitorování provozu a zaznamenávání událostí; i) opatření pro zajištění bezpečnosti elektronické pošty; j) dodržování bezpečnosti při zacházení s paměťovými médii. Čl. 8 Řízení přístupu 5

6 1) Účelem řízení přístupu k informacím a prostředkům informačních systémů ČSSZ je zajistit, aby k nim měli přístup pouze oprávnění uživatelé. Pro přístup k těmto prostředkům jsou stanovena pravidla, která určují postupy pro autorizaci, zřizování, změny a odebírání přístupových práv. 2) Bezpečnostním cílem je zajištění řízení přístupu realizací opatření v následujících oblastech: a) správa přístupu uživatelů a odpovědnost uživatelů systém správy přístupu zajistí definovaný postup přidělování, změny a odebírání přístupu, správu hesel a kontrolu přístupových práv. Řízení přístupu k síti, operačním systémům, aplikacím a informacím systém správy přístupu zajistí definované postupy řízení přístupu uživatelům ke zmíněným prostředkům informačního systému; b) mobilní výpočetní prostředky a práce na dálku zvláštní pozornost musí být věnována mobilním výpočetním prostředkům a prostředkům umožňujícím práci na dálku, aby bylo zabráněno jejich zneužití. Čl. 9 Vývoj a údržba systémů 1) Účelem je prosadit bezpečnost informací do celého životního cyklu provozovaných informačních systémů od fáze návrhu, vývoje, testování až po vlastní provoz a údržbu. Implementace a změny informačních systémů ČSSZ jsou spojeny se stanovením vhodných bezpečnostních požadavků. 2) Bezpečnostním cílem je zajištění ochrany prostřednictvím opatření v následujících oblastech: a) analýza a specifikace bezpečnostních požadavků určení bezpečnostních požadavků v klíčových fázích životního cyklu informačního systému zajistí, aby bezpečnost byla nedílnou součástí informačních systémů; b) zajištění přesnosti a spolehlivosti zpracování dat v aplikacích a kryptografická opatření validace a kontrola dat má spolu s kryptografickými opatřeními za cíl předcházet ztrátě, neoprávněné modifikaci nebo zneužití dat v aplikacích; c) bezpečnost systémových souborů a procesu vývoje a podpory je nutné zabezpečit systémové soubory a zdrojový kód a kontrolovat postupy vývoje a podpory, včetně formalizovaného postupu řízení změn; d) správa zranitelností je nutné vhodnými opatřeními omezit rizika vyplývající ze zneužití publikovaných zranitelností. 3) Vývoj a údržba informačních systémů v rozsahu infrastruktury ČSSZ a uživatelsky vyvinutých aplikací je podle stanovené působnosti zajišťována úsekem IKT včetně zajišťování implementace bezpečnostní politiky v oblasti procesů IKT. Čl. 10 Řízení kontinuity činností 1) Záměrem vedení ČSSZ je zajistit připravenost územních organizačních jednotek ČSSZ k řešení krizových situací a zachování základních funkcí v rozsahu fungování kritické infrastruktury celostátního významu. 2) Bezpečnostním cílem je zajištění přípravy, proškolení a připravenosti určených zaměstnanců územních organizačních jednotek ČSSZ po odborné stránce k výkonu činností spojených s řešením krizových situací, ochranou zdraví a života zaměstnanců a ochranou majetku. 3) Přechod na krizové řízení spadá do kompetence ústředního ředitele ČSSZ a ředitelů územních organizačních jednotek ČSSZ v jejich působnosti. 6

7 4) Přijetí preventivních opatření k zachování základních funkcí spadá do kompetence ústředního ředitele ČSSZ a příslušných orgánů krizového řízení územních organizačních jednotek ČSSZ. Čl. 11 Soulad s požadavky 1) Pro zabezpečení informací ČSSZ jsou jednoznačně definovány a zdokumentovány všechny relevantní zákonné a smluvní požadavky. V rámci ČSSZ musí být veden přehled platných právních norem a předpisů vztahujících se k problematice bezpečnosti informací. 2) ČSSZ dodržuje ustanovení o autorském právu a podmínky licenčních ujednání dodavatelů programového vybavení. 3) K posouzení shody bezpečnostní politiky informací v ČSSZ a navazujících předpisů se skutečným stavem bezpečnosti informací a k zajištění souladu informačního systému ČSSZ s příslušnými technickými normami je prováděno posouzení shody. Ředitelé územních organizačních jednotek ČSSZ přijímají a provádějí opatření k zajištění bezpečnosti informací dle místních podmínek. 4) ČSSZ přijímá a provádí opatření k zajištění ochrany osobních údajů a citlivých údajů v souladu se zákony a jinými právními předpisy. 5) Volný pohyb osobních údajů podle čl. 1 odst. 2 směrnice Evropského parlamentu a Rady 95/46/ES o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů mezi členskými státy EU je ze strany ČSSZ zajištěn, pokud tak stanoví zákon a v rozsahu a za podmínek stanovených zákonem. Čl. 12 Regulatorní, legislativní a smluvní požadavky na bezpečnost informací 1) Zajištění bezpečnosti informací ČSSZ se realizuje v souladu s následujícími regulatorními, legislativními a smluvními požadavky: a) dokumentů EU s ohledem na povinnosti ochrany osob; b) zákonů a jiných právních předpisů s důrazem na povinnosti při ochraně informací; c) mezinárodních smluv, jimiž je ČR vázána s ohledem na povinnosti při ochraně informací. Seznam dokumentů je uveden v příloze č. 1. 2) Vyjádřené specifické bezpečnostní požadavky ČSSZ zpřesňují výběr opatření ke snížení rizika na přijatelnou úroveň dle normy ČSN ISO/IEC s ohledem na jejich implementaci v ČSSZ. Čl. 13 Kritéria hodnocení rizik 1) Bezpečnostní opatření jsou vybrána na základě prováděného hodnocení rizik a požadavků zákonných norem. 2) Hodnocení rizik je prováděno na základě následujících kritérií: a) stanovení hodnot informačních aktiv ČSSZ z hlediska požadavků na jejich dostupnost, důvěrnost a integritu, b) určení požadavků relevantní legislativy a požadavků vyplývajících z uzavřených smluvních vztahů, 7

8 c) určení možných dopadů identifikovaných hrozeb, reálné pravděpodobnosti jejich uskutečnění a určení úrovně rizik pro aktiva, d) určení akceptovatelné úrovně rizika pro informační aktiva ČSSZ. Čl. 14 Stanovení obecných a specifických odpovědností pro bezpečnost informací 1) Obecné odpovědnosti pro oblast bezpečnosti informací vyplývají pro zaměstnance ČSSZ ze směrnic EU, zákonů a jiných právních předpisů ČR. 2) Specifické odpovědnosti pro oblast bezpečnosti informací v ČSSZ vyplývají pro zaměstnance ČSSZ zejména z vnitřních organizačních směrnic, povinností uložených nadřízenými vedoucími zaměstnanci a dle pracovního zařazení zejména v oblastech uvedených v příloze č. 2. 3) Bezpečnostní politiku informací jsou povinni dodržovat všichni zaměstnanci ČSSZ; její plnění kontrolují vedoucí zaměstnanci ČSSZ v rozsahu stanovené působnosti a odpovědnosti za metodického řízení odboru bezpečnostní politiky. 4) Kontrolní činnost v oblasti bezpečnosti informací metodicky usměrňuje ředitel odboru bezpečnostní politiky. 5) Rozsah, průběh a adekvátnost kontrol v oblasti bezpečnosti informací posuzuje odbor interního auditu, kontroly a stížností. Čl. 15 Závěrečná ustanovení 1) Rozhodnutím ústředního ředitele ČSSZ č. 113/2006 protokolovaným v zápisu z porady vedení ČSSZ č. 116/2006 bylo zrušeno Rozhodnutí ústředního ředitele ČSSZ č. 10/ Bezpečnostní politika informací v ČSSZ. 2) Tato směrnice ředitele odboru 11 nabývá účinnosti dnem 1. července Ing. Jiří Demeš ředitel odboru bezpečnostní politiky 8

9 Příloha č. 1 ke směrnici ředitele odboru 11 č. 11/2006 Regulatorní, legislativní a smluvní požadavky na bezpečnost informací 1. Přehled dokumentů EU s ohledem na povinnosti ochrany osob: a) směrnice Evropského parlamentu a Rady 95/46/ES o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů; b) směrnice Evropského parlamentu a Rady 99/93/ES o zásadách Společenství pro elektronické podpisy; c) sdělení Ministerstva zahraničních věcí č. 115/2001 Sb. m. s., o přijetí Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat. 2. Přehled zákonů a jiných právních předpisů s důrazem na povinnosti při ochraně informací: a) zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti; b) zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, úplné znění zákon č. 525/2004 Sb.; c) zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů; d) zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů; e) zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů; f) zákon č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů; g) zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů; h) zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů; i) zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů; j) zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti); k) zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů; l) zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), ve znění pozdějších předpisů; m) nařízení vlády č. 462/2000 Sb., k provedení 27 odst. 8 a 28 odst. 5 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů; n) nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů; o) vyhláška Ministerstva informatiky č. 496/2004 Sb., o elektronických podatelnách. 3. Přehled mezinárodních smluv, jimiž s ohledem na povinnosti při ochraně informací je ČR vázána: a) sdělení Ministerstva zahraničních věcí č. 94/2002 Sb. m. s., o sjednání Smlouvy mezi Českou republikou a Spolkovou republikou Německo o sociálním zabezpečení; b) ostatní smlouvy zveřejněné ve Sbírce mezinárodních smluv. 9

10 Příloha č. 2 ke směrnici ředitele odboru 11 č. 11 /2006 Specifické povinnosti pro oblast bezpečnosti informací v ČSSZ Specifické povinnosti pro oblast bezpečnosti informací jsou stanoveny zejména v následujících oblastech: a) delegování odpovědnosti za údaje centrální údajové základny sociálního pojištění; b) delegování odpovědnosti za údaje informačního systému ekonomických agend ČSSZ; c) řízení přístupu k informaci centrálně uchovávané v ČSSZ na základě autorizace, d) administrace autentizační a autorizační informace; e) ochrana soukromého klíče držitelů kvalifikovaných (zaměstnaneckých) certifikátů; f) ochrana hesla pro zneplatnění kvalifikovaných (zaměstnaneckých) certifikátů; g) řízení vztahů bezpečnosti s externími zpracovateli podle zvláštního právního předpisu; h) řízení vztahů bezpečnosti s externími poskytovateli služeb podle zvláštního právního předpisu; i) poskytování informací Národnímu bezpečnostnímu úřadu podle zvláštního právního předpisu; j) poskytování informací Policii České republiky podle zvláštního právního předpisu; k) poskytování informací zpravodajským službám podle zvláštního právního předpisu; l) předávání osobních údajů do členských států EU (států EHP) podle zvláštního právního předpisu, konkrétně na základě příslušné smlouvy; m) předávání osobních údajů do třetích zemí podle zvláštního právního předpisu; n) poskytování informací získaných při výběru pojistného na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti jinému orgánu sociálního zabezpečení nebo soudu, podle zvláštního právního předpisu, konkrétně na základě příslušné smlouvy; o) poskytování informací správcům daně podle zvláštního právního předpisu; p) poskytování informací zdravotním pojišťovnám podle zvláštního právního předpisu; q) poskytování informací úřadům práce podle zvláštního právního předpisu; r) poskytování informací jiným orgánům sociálního zabezpečení v případech vyřizování stížností podle zvláštního právního předpisu; s) poskytování informací orgánům oprávněným podle zvláštního zákona ke kontrole činnosti orgánů sociálního zabezpečení podle zvláštního právního předpisu; t) poskytování informací Českému statistickému úřadu podle zvláštního právního předpisu; u) poskytování informací příslušné organizační složce Ministerstva financí podle zvláštního právního předpisu; v) poskytování informací fyzické osobě, v případě prokázání, že má vůči jiné fyzické osobě podle pravomocného a vykonatelného rozhodnutí splatnou pohledávku podle zvláštního právního předpisu; w) poskytování informací úřadům provádějícím státní sociální podporu, krajským úřadům a Ministerstvu práce a sociálních věcí podle zvláštního právního předpisu; 10

11 x) poskytování informací obecním úřadům poskytujícím dávky a služby sociální péče a krajským úřadům podle zvláštního právního předpisu; y) poskytování informací NÁZEV PRACOVIŠTĚ soudům podle zvláštního právního předpisu; Adresa pracoviště z) ochrana informací, které jsou předmětem bankovního tajemství podle zvláštního právního předpisu; aa) zajištění bezpečné elektronické komunikace při přenosu dat podniku Česká pošta, státní podnik, podle uzavřených smluv; ab) zajištění bezpečné elektronické komunikace při přenosu dat pobočkám České národní banky, podle uzavřených smluv; ac) bezpečného převzetí informací z vnějšku od doručení do e-podatelny prostřednictví portálu veřejné správy ve smyslu příslušných předpisů; ad) zajištění komunikace s veřejností z hlediska ochrany informací včetně pravidel písemné, elektronické i ústní komunikace. 11