Podział kompetencyjny zadań w zakresie ochrony informacji niejawnych pomiędzy pionem ochrony a pionem teleinformatyki.
Pion ochrony
Pion ochrony to wyodrębniona komórka organizacyjna podległa pełnomocnikowi do spraw ochrony informacji niejawnych. Pion ochrony odpowiedzialny jest za organizację w jednostce spraw związanych z ochroną informacji niejawnych. Pion ochrony może być stworzony, ale nie ma takiego obowiązku. W administracji państwowej regułą jest istnienie pionu ochrony, w firmach prywatnych różnie bywa. Wynika to po prostu z oszczędności, gdyż nie zawsze pion ochrony jest potrzebny, wystarczy pełnomocnik ochrony. Na przykład firma prywatna posiada świadectwo bezpieczeństwa przemysłowego 3 stopnia, co oznacza że nie przetwarza żadnych dokumentów i nie posiada systemu teleinformatycznego. Nie ma potrzeby zatrudniania dodatkowych osób, ani tworzenia dodatkowych komórek organizacyjnych, pełnomocnik samodzielnie może wykonywać wszystkie wymagane czynności.
Pełnomocnik Ochrony
Pełnomocnik do spraw ochrony informacji niejawnych musi być powołany w jednostce gdy chcemy przetwarzać informacje niejawne. Pełnomocnik podlega bezpośrednio kierownikowi jednostki organizacyjnej. Na przykład w ministerstwie podlega ministrowi, w firmie prywatnej może podlegać jednemu z członków zarządu, który pełni funkcję kierownika jednostki organizacyjnej w rozumieniu przepisów o ochronie informacji niejawnych.
Administrator Systemu i Inspektor Bezpieczeństwa Teleinformatycznego
Kiedy jednostka organizacyjna posiada system teleinformatyczny z informacjami niejawnymi, to dodatkowo należy wyznaczyć „administratora systemu” i „inspektora bezpieczeństwa teleinformatycznego”. Ustawa o ochronie informacji niejawnych wskazuje jedynie na umiejscowienie inspektora w strukturze organizacyjnej jednostki, który ma być pracownikiem pionu ochrony. Jeżeli chodzi natomiast o administrator to już nie ma wskazania w którym dziale ma pracować, czy w pionie ochrony, czy na przykład w dziale informatyki. Ustawa mówi jedynie o tym, że administrator nie może być jednocześnie inspektorem, co jest logiczne, bo przecież nie można kontrolować samego siebie. Podsumowując administrator systemu może pracować w pionie ochrony, żaden przepis tego nie zabrania. Powszechnie stosowaną praktyką jest jednak zatrudnianie administrator w dziale informatyki, tak aby administrator i inspektor nie posiadali tego samego przełożonego.
Struktura i zadania pionu ochrony
Pionem ochrony w dużej jednostce organizacyjnej może być cały departament lub biuro np. „departament ochrony”, „biuro ochrony” itp. Zazwyczaj pion ochrony odpowiada także za bezpieczeństwo fizyczne w jednostce organizacyjnej, czyli np. za strażników, ochronę, systemy wizyjne, alarmowe, elektroniczne systemy kontroli dostępu.
Główne zadania pionu ochrony w zakresie ochrony teleinformatycznej to:
- kontrola stanu bezpieczeństwa teleinformatycznego
- zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka
- koordynacja działań w zakresie ochrony, zwłaszcza pomiędzy różnymi komórkami
- eksploatacja i konserwacja systemów ochrony
- nadzór nad ochroną kryptograficzną
- nadzór nad ochroną elektromagnetyczną
W przypadku gdy jednostka posiada komórki terenowe w których znajdują się np. stacje klienckie z informacjami niejawnymi, to w jednostkach terenowych powołuje się lokalnych administratorów systemu i lokalnych inspektorów bezpieczeństwa teleinformatycznego. Jeżeli takie osoby nie byłyby powołane wtedy w ograniczony sposób wypełniane byłyby przepisy ustawy w zakresie administracji systemem i bieżącej kontroli. Jeden inspektor powołany wyłącznie w centrali, który miałby jeździć do jednostek terenowych nie byłby w stanie prowadzić bieżącej kontroli systemu, kontrola byłaby iluzoryczna.
Poniżej przedstawiono przykładowy pion ochrony i pion teleinformatyki uwzględniający wyłącznie kwestię ochrony informacji niejawnych w jednostce organizacyjnej.