§ 19
Dz.U. 2024 poz. 773
Treść przepisu
§ 19.
1.
Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje,
monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem
informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem
takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
2.
Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie
przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie
następujących działań:
1)
zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego
się otoczenia;
2)
utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania
informacji obejmującej ich rodzaj i konfigurację;
3)
przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności
informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników
przeprowadzonej analizy;
4)
podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania
informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym
do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa
informacji;
5)
bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt
4;
6)
zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym
uwzględnieniem takich zagadnień, jak:
a)
zagrożenia bezpieczeństwa informacji,
b)
skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
c)
stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie
minimalizujące ryzyko błędów ludzkich;
7)
zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym
dostępem, uszkodzeniami lub zakłóceniami, przez:
a)
monitorowanie dostępu do informacji,
b)
czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem
informacji,
c)
zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów
operacyjnych, usług sieciowych i aplikacji;
8)
ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu
mobilnym i pracy na odległość;
9)
zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie,
modyfikacje, usunięcie lub zniszczenie;
10)
zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących
odpowiedni poziom bezpieczeństwa informacji;
11)
ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia
ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
12)
zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych,
polegającego w szczególności na:
a)
dbałości o aktualizację oprogramowania,
b)
minimalizowaniu ryzyka utraty informacji w wyniku awarii,
c)
ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
d)
stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów
przepisu prawa,
e)
zapewnieniu bezpieczeństwa plików systemowych,
f)
redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych
systemów teleinformatycznych,
g)
niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów
teleinformatycznych na możliwość naruszenia bezpieczeństwa,
h)
kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami
bezpieczeństwa;
13)
bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony
i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
14)
zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie
rzadziej niż raz na rok.
3.
Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania
bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC
27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się
na podstawie Polskich Norm związanych z tą normą, w tym:
1)
PN-ISO/IEC 27002 - w odniesieniu do ustanawiania zabezpieczeń;
2)
PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem.
4.
Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych
analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne
należy ustanowić dodatkowe zabezpieczenia.
Źródło: Internetowy System Aktów Prawnych — ISAP (isap.sejm.gov.pl), pozyskano 12.07.2026. · PDF źródłowy