Co zawiera Qasystent ?

Program Qasystent zbudowany jest z szeregu tematycznie pogrupowanych w bloki modułów. Poniżej mogą się Państwo zapoznać z krótkim opisem tych modułów.
wskaż blok programu, z którego modułami chcesz się zapoznać

Kontekst organizacji

Celem modułu jest dokumentowanie okresowych analiz czynników mających wpływ na zdolność organizacji do osiągania zamierzonych celów, opisanie zakresu i wyłączeń systemu oraz potrzeb i oczekiwań stron zainteresowanych.

Polityka i cele BI

Podobnie jak w systemach zarządzania jakością również podstawą systemowego zarządzania bezpieczeństwem informacji jest ustanowienie jasnej deklaracji polityki w tym zakresie przez kierownictwo organizacji. Za pośrednictwem systemu Qasystent pracownicy mają szybki dostęp do przedmiotowej Polityki BI jak i spójnych z nią celów powiązanych jednocześnie z procesami oraz wskaźnikami ich pomiarów.

Wymagania BI

Celem tego modułu jest zapewnienie szybkiego i przejrzystego dostępu do wszystkich dokumentów określających wymagania bezpieczeństwa informacji (norm, zarządzeń, decyzji, instrukcji, procedur) na poszczególnych stanowiskach pracy w urzędzie, a także nadzór nad tworzeniem tej dokumentacji i jej dystrybucją. Moduł umożliwia ewidencjonowanie, identyfikację i nadzorowanie dokumentacji systemu zarządzania jakością w urzędzie w oparciu o przyjęty jednolity rzeczowy wykaz akt, oraz zarządzanie wszelkimi zmianami tych dokumentów. 
 

Sprzęt komputerowy

Celem modułu jest usprawnienie zarządzenia infrastrukturą informatyczną w urzędzie. Za pomocą modułu można ewidencjonować wszystkie urządzenia informatyczne oraz zainstalowane na nich oprogramowanie. Prowadzenie historii użytkownania sprzętu komputerowego oraz dziennika pracy systemu informatycznego. Założenie i aktualizowanie ewidencji jest ułatwione poprzez automatyczne pobieranie danych o parametrach komputera i zainstalowanym na nim oprogramowaniu bez konieczności fizycznego dostępu do włączonego i podłączonego do sieci komputera z zainstalowanym systemem Windows 2000 lub nowszym. 

Licencje na oprogramowanie

Celem modułu jest usprawnienie zarządzenia licencjami w urzędzie. Moduł umożliwia nadzór nad zakupionymi licencjami na oprogramowanie poprzez ich automatyczne zliczanie zarówno po stronie zakupów jak i instalacji.

Przetwarzanie danych osobowych

Celem modułu jest wspomaganie administratora, inspektora ochrony danych i/lub podmiot przetwarzający w prowadzeniu rejestru czynności przetwarzania i/ub rejestru kategorii czynności przetwarzania zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Za pomocą modułu rejestruje się czynności przetwarzania danych osobowych oraz kategorie czynności przetwarzania z możliwością oznaczenia obszaru przetwarzania tych danych. W zaewidencjonowanych pozycjach rejestru można też w dowolnym czasie dokonywać zmian z zachowaniem pełnej historii aktualizacji rejestrów. Poza tym nadzorujący ma bieżący wgląd w rejestr osób upoważnionych do danej czynności przetwarzania danych osobowych (z bezpośrednim dostępem do upoważnień tych osób), aplikacji wspomagających dany proces przetwarzania danych osobowych, czy naruszeń ochrony danych osobowych dotyczących danej czynności przetwarzania.

Upoważnienia do przetwarzania

Celem modułu jest wspomaganie organizacji w przygotowywaniu, ewidencjonowaniu oraz nadzorowaniu upoważnień do przetwarzania danych osobowych. Moduł umożliwia przygotowanie upoważnień do zarejestrowanych czynności przetwarzania danych osobowych oraz zarejestrowanych przed 25 maja br. zbiorów danych osobowych.

Uprawnienia w aplikacjach

Celem modułu jest wspomaganie urzędu w nadzorze nad funkcjonującymi w organizacji aplikacjami oraz nadawaniem użytkownikom uprawnień do nich. System prowadzi rejestr użytkowanych w organizacji aplikacji komputerowych, ich użytkowników oraz historii aktualizacji. Za pomocą modułu przełożony może elektronicznie zawnioskować o nadanie/odebranie uprawnień i w dalszej kolejności wszystkie zaangażowane w proces osoby mogą potwierdzać kolejne etapy realizacji nadawania uprawnień. Oprócz tego system ewidencjonuje pełną historię zmian uprawnień pracownika, pozwalając w szybki sposób uzyskać informacje o uprawnieniach pracownika na dany dzień.

Certyfikaty bezpieczeństwa

Celem modułu jest wspomaganie organizacji w prowadzeniu rejestru certyfikatów bezpieczeństwa i nadzorze nad terminami ich ważności.

 

Moduł umożliwia ewidencjonowanie dowolnych certyfikatów bezpieczeństwa poprzez określenie rodzaju certyfikatu, numeru, dostawcy, właściciela (podmiotu certyfikatu: pracownika lub innego podmiotu) oraz jego ważności. Po zaewidencjonowaniu certyfikatu wymusza też na jego właścicielu potwierdzenie jego posiadania. Moduł informuje też osoby odpowiedzialne o zbliżających się terminach wygaśnięcia certyfikatów oraz umożliwia w związku z tym sporządzanie stosownych zestawień.

 

Aktywa informacyjne

Celem modułu jest wspomaganie zarządzania informacją wykorzystywaną w organizacji. W systemach bezpieczeństwa informacji m.in. zgodnych z normą ISO 27001, kluczowym aktywem podlegającym ochronie jest informacja, która musi zostać zidentyfikowana, opisana oraz sklasyfikowana. Moduł umożliwia prowadzenie rejestru zidentyfikowanych informacji zgodnie z powyższymi zaleceniami. Opisując informacje, jej właściciel ma możliwość wskazania procesów ją przetwarzających oraz istotności informacji dla realizacji danego procesu, wskazuje również zasoby wykorzystywane przy przetwarzaniu informacji oraz określa poziom istotności zasobu dla informacji. W ostatnim etapie właściciel aktywu informacyjnego dokonuje jego zwartościowania ustalając poziom podstawowych oraz dodatkowych atrybutów informacji i adekwatnie do tego klasyfikuje informacje.

Prawa podmiotów danych

Celem modułu jest wspomaganie organizacji w rozpatrywaniu oraz nadzorowaniu terminowości realizacji żądań podmiotów, których dane osobowe są przetwarzane. Moduł pozwala ewidencjonować i prowadzić obsługę wniosków:

 

  • o dostęp do danych osobowych (art. 15 RODO),
  • o sprostowanie danych osobowych (art. 16 RODO),
  • o usunięcie danych osobowych (art. 17 RODO),
  • o ograniczenie przetwarzania danych osobowych (art. 18 RODO),
  • o przeniesienie danych osobowych (art. 20 RODO),
  • sprzeciwu wobec przetwarzania danych osobowych (art. 21 RODO).

Zarządzanie ryzykiem

Celem modułu jest wspomaganie organizacji w efektywnym zarządzaniu ryzykiem bezpieczeństwa informacji. Zarządzanie ryzykiem w urzędach administracji publicznej jest procesem wymaganym przez przepisy prawa powszechnego m.in. w zakresie kontroli zarządczej, ale także bezpieczeństwa informacji. Qasystent proponuje spójny i efektywny system zarządzania ryzykiem. Zarządzanie ryzykiem w Qasystencie w przypadku obszaru zarządzania ryzykiem jakim jest bezpieczeństwo informacji dotyczy zdarzeń na aktywach skutkujących naruszeniami bezpieczeństwa informacji. Proces zarządzania ryzykiem jest podzielony na etapy: identyfikacji ryzyk / zagrożeń, identyfikacji czynników ryzyka (źródeł zagrożeń) oraz podatności na zagrożenia, opisania skutków ryzyka, estymację i ocenę ryzyka, ustalenia reakcji na ryzyko oraz monitorowania i raportowania ryzyka. 

Incydenty i słabości systemu

Celem modułu jest obsługa zgłoszeń pracowników o zdarzeniach związanych z bezpieczeństwem informacji w tym incydentach naruszeń ochrony danych osobowych oraz słabościach systemu. Moduł dostarcza pracownikom elektroniczny kanał komunikacji do zgłaszania przedmiotowych zdarzeń i słabości systemu oraz nadzór nad szybką i skuteczną reakcją na incydenty bezpieczeństwa informacji. Moduł umożliwia również obsługę naruszeń ochrony danych osobowych w tym nadzór nad terminowym zgłaszaniem ich do Prezesa Urzędu Ochrony Danych Osobowych, administratora czy powiadamianiem podmiotów danych, dla których istnieje ryzyko naruszenia ich ochrony (art. 33 i art. 34 RODO).

Wewnętrzne audity

 

Jednym z podstawowych narzędzi i procesów normy ISO 9001, ISO 27001 czy PN-N-18001 jest audit. Przez wewnętrzny audit rozumie się systematyczny, niezależny i udokumentowany proces badania zgodności i efektywności systemu zarządzania w zakresie spełnienia wymagań. W wewnętrznym audicie istotne jest, żeby wyniki auditów były poddawane analizie i podejmowane były działania doskonalące.
Celem modułu jest usprawnienie procesu auditów wewnętrznych przeprowadzanych w urzędzie, weryfikujących m.in. czy funkcjonujący system zarządzania jakością, zarządzania bezpieczeństwem informacji oraz zarządzania BHP jest zgodny z zaplanowanymi założeniami. Moduł umożliwia ewidencjonowanie spraw wszystkich przeprowadzonych w instytucji auditów wewnętrznych, tworzenie programów auditów wewnętrznych, planowanie auditu oraz dokumentowanie jego realizacji. Aplikacja prowadzi użytkownika przez proces auditu wewnętrznego, wszystkie niezbędne akceptacje, zatwierdzania są dokonywane w systemie przez uprawnione osoby. Moduł pobiera również dane z innych modułów systemu tj. procesów, komórek organizacyjnych, pracowników, dokumentacji przez co proces ten jest szybki do udokumentowania i mocno zintegrowany z innymi procesami. Po przeprowadzonym audicie, auditorzy mogą zarejestrować niezgodności / potencjalne niezgodności, które automatycznie są odnotowywane na rejestrze niezgodności, lub potencjalnych niezgodności. 

Działania doskonalące

 

Punktem wejścia w proces działań korygujących jest stwierdzenie wystąpienia niezgodności. Oprócz naturalnych stosowanych w każdej organizacji działań związanych z niezwłocznym usunięciem niezgodności lub minimalizacją jej skutków dla organizacji i klienta, wiele standardów zarządzania nakazuje podjęcie działań korygujących polegających na wprowadzeniu w procesie zmian, które pozwolą uniemożliwić powtórne wystąpienie niezgodności. Prawidłowe doskonalenie procesu w tym przypadku musi być poprzedzone dokładną analizą niezgodności ze szczególnym zwróceniem uwagi na jej przyczyny. 
Celem modułu jest usprawnienie procesów doskonalących przez wskazanie osobom odpowiedzialnym niezgodności w obszarach, które nadzorują, ukierunkowanie ich działań na analizę tego stanu, w tym wskazanie przyczyn, a w dalszej kolejności usuwanie tych przyczyn. Moduł umożliwia obsługę zgłoszeń i ewidencję niezgodności oraz nadzorowanie realizacji procesu działań korekcyjnych i korygujących od momentu zadeklarowania tych działań przez kierownika komórki organizacyjnej, poprzez akceptację pełnomocnika ds. systemu zarządzania, zatwierdzenie przez naczelnika/dyrektora urzędu po realizację i weryfikację ich skuteczności.

Przegląd zarządzania

Istotnym procesem normy ISO 9001, ISO 27001 czy PN-N-18001 jest przegląd zarządzania. Celem modułu jest dokumentowanie oraz pomoc w przygotowaniu raportu do przeglądu zarządzania poprzez automatyczne sczytanie danych z modułów programu oraz ich graficzną prezentacje.