Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Transkrypt

1 Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i jest zgodny z następującymi aktami prawnymi: 1) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002r., Nr 101, poz. 926 wraz z późniejszymi zmianami), 2) rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), 2. Załączniki do Polityki Bezpieczeństwa Dokumenty załączniki do Polityki Bezpieczeństwa Urzędu Miejskiego w Zdzieszowicach. Polityka Bezpieczeństwa informacji chronionych przetwarzanych w Systemie Informatycznym Urzędu Miejskiego w Zdzieszowicach załącznik nr 1. Polityka Bezpieczeństwa informacji chronionych przetwarzanych poza Systemem Informatycznym Urzędu Miejskiego w Zdzieszowicach załącznik nr 2. Instrukcja Zarządzania Systemem Informatycznym Urzędu Miejskiego w Zdzieszowicach załącznik nr 3. Regulamin korzystania z Systemu Informatycznego Urzędu Miejskiego w Zdzieszowicach załącznik nr 4. Regulamin korzystania z urządzeń komputerowych Urzędu Miejskiego w Zdzieszowicach załącznik nr 5. Strona nr 1 z 6

2 Wzór Oświadczenia o Zachowaniu Poufności załącznik nr 6. Formularz zgłoszeniowy Wniosek o przyznanie dostępu do Systemu Informatycznego Urzędu Miejskiego w Zdzieszowicach załącznik nr 7. Formularz zgłoszeniowy Wniosek o przyznanie lub zmianę uprawnień do aplikacji Systemu Informatycznego Urzędu Miejskiego w Zdzieszowicach dla pracowników Urzędu Miejskiego w Zdzieszowicach załącznik nr 8. Formularz zgłoszeniowy Wniosek o przyznanie dostępu do Systemu Informatycznego w Zdzieszowicach załącznik nr 9. Zarządzenie Burmistrza Zdzieszowic Nr Os. S. 0152/45/08 w sprawie wyznaczenia Administratora Bezpieczeństwa Informacji z dnia 26 listopada 2008r. załącznik nr Słownik terminów użytych w Polityce Bezpieczeństwa Określenia użyte w Polityce Bezpieczeństwa oznaczają: a) Administrator Danych administrator danych w Urzędzie Miejskim w Zdzieszowicach, b) Administrator Bezpieczeństwa Informacji osoba wyznaczona przez Administratora Danych do realizowania zadań z zakresu ochrony danych osobowych, zwany dalej Administratorem Bezpieczeństwa, c) Dane osobowe Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, d) Przetwarzanie danych osobowych gromadzenie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych, e) Użytkownik osoba upoważniona do przetwarzania danych osobowych, f) Urząd Urząd Miejski w Zdzieszowicach, zwany dalej UMZ, g) System informacyjny struktura pozwalająca uczestnikowi (użytkownikowi) na przetwarzanie za pomocą modeli i procedur informacji wejściowych w wyjściowe, h) System informatyczny wydzielona, skomputeryzowana, część systemu informacyjnego, Strona nr 2 z 6

3 i) Zabezpieczenie systemu informatycznego należy przez to rozumieć wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych a także ich utratą, j) Poufność informacji rozumiana jako zapewnienie, że tylko uprawnieni pracownicy mają dostęp do informacji, k) Integralność informacji rozumiana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania, l) Dostępność informacji rozumiana jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne, m) Zarządzanie ryzykiem rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych. 4. Cele Polityki Bezpieczeństwa Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych w zakresie ochrony danych osobowych, sposobu przetwarzania w Urzędzie Miejskim w Zdzieszowicach grupy informacji zawierającej dane osobowe. Informacje zawierające dane osobowe są przetwarzane i składowane zarówno w postaci tradycyjnej (dokumentacja papierowa) jak i elektronicznej. Mając świadomość, że żadne zabezpieczenie techniczne nie gwarantuje 100%-towej szczelności systemu, konieczne jest aby każdy użytkownik systemu, pełen świadomej odpowiedzialności, postępował zgodnie z przyjętymi zasadami i minimalizował zagrożenia wynikające z błędów ludzkich. Utrzymanie bezpieczeństwa przetwarzanych przez Urząd informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki. Zakresy określone przez dokumenty Polityki Bezpieczeństwa mają zastosowanie do całego Strona nr 3 z 6

4 systemu informacyjnego Urzędu, w szczególności do: wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są informacje podlegające ochronie, informacji będących własnością Urzędu informacji będących własnością klientów Urzędu, uzyskanych na podstawie zawartych umów, wszystkich lokalizacji Urzędu, czyli budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie, wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie. Polityka bezpieczeństwa określa tryb postępowania w przypadku, gdy: stwierdzono naruszenie zabezpieczenia systemu informatycznego, stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci informatycznej mogą wskazywać na naruszenie zabezpieczeń tych danych. Przestrzeganie założeń Polityki Bezpieczeństwa ma zapewnić właściwą reakcję, ocenę i udokumentowanie przypadków naruszenia bezpieczeństwa systemów oraz zapewnić właściwy tryb działania w celu przywrócenia bezpieczeństwa danych przetwarzanych w systemach informacyjnych Urzędu. 5. Zarządzanie Polityką Bezpieczeństwa 1. Osobą odpowiedzialną za realizacje zasad bezpieczeństwa jest Administrator Bezpieczeństwa, który realizuje zadania w zakresie ochrony danych, a w szczególności: a) Ochrony i bezpieczeństwa danych osobowych zawartych w zbiorach systemów informatycznych Urzędu, b) Podejmowania stosownych działań zgodnie z niniejszą Polityką bezpieczeństwa w przypadku wykrycia nieuprawnionego dostępu do baz danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym, c) Niezwłocznego informowania Administratora Danych lub osoby przez niego upoważnionej o przypadkach naruszenia przepisów ustawy o ochronie danych Strona nr 4 z 6

5 osobowych, d) Nadzoru i kontroli systemów informatycznych służących do przetwarzania danych osobowych i osób przy nich zatrudnionych, e) Prowadzenia aktualnej dokumentacji zawierającej: Wykaz zbiorów osobowych oraz programów służących do ich przetwarzania. Wykaz budynków oraz pomieszczeń stanowiących obszar przetwarzania danych osobowych. Wykaz osób mających dostęp do zbiorów osobowych, a także mających dostęp do pomieszczeń, w których są one przetwarzane. 2. Zasady bezpieczeństwa dla dokumentów i informacji przetwarzanych elektronicznie zawarte są w Polityce Bezpieczeństwa informacji chronionych przetwarzanych w Systemie Informatycznym Urzędu Miejskiego w Zdzieszowicach stanowiącym załącznik nr 1 Polityki Bezpieczeństwa oraz w Polityce Bezpieczeństwa informacji chronionych przetwarzanych poza Systemem Informatycznym Urzędu Miejskiego w Zdzieszowicach stanowiącym załącznik nr 2 niniejszego dokumentu. 3. W przypadku nieobecności Administratora Bezpieczeństwa jego funkcję pełni osoba upoważniona do zastępowania Administratora Bezpieczeństwa, którą wyznacza Administrator Danych. Osoba zastępująca składa Administratorowi Bezpieczeństwa relację z działań, które podejmowała w czasie jego zastępstwa. 4. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz inne osoby mające dostęp do informacji podlegających ochronie, a także do pomieszczeń, w których są takie informacje przetwarzane. Nadzór nad przestrzeganiem przez pracowników zasad Polityki Bezpieczeństwa sprawuje Administrator Bezpieczeństwa Informacji UMZ. Strona nr 5 z 6

6 6 Wdrożenie Polityki Bezpieczeństwa Bezpieczeństwo informacji chronionej, która jest przetwarzana w UMZ zależy w głównej mierze od postawy osób mających do niej dostęp. Polityka bezpieczeństwa powinna być rozumiana, akceptowana i przestrzegana przez wszystkich pracowników UMZ. Ogłoszenie i wdrożenie polityki w odpowiedni sposób gwarantuje osiągnięcie wymienionych powyżej celów. Jednym z elementów składającym się na prawidłowe wdrożenie jest szkolenie pracowników w zakresie odpowiednich zasad bezpieczeństwa. Szkolenia są istotnym etapem wdrożenia, gdyż stanowią gwarancję zrozumienia przez uczestników systemu informacyjnego zagrożeń i potrzeby zabezpieczenia informacji. Następnym elementem zapewnienia bezpieczeństwa jest podpisywanie umów o poufności, czyli oświadczeń uczestników systemu informacyjnego o nieujawnianiu informacji chronionej oraz o przestrzeganiu polityki bezpieczeństwa. Takie zobowiązanie jest umieszczone w zakresie obowiązków każdego pracownika UMZ. Strona nr 6 z 6