Polityka bezpieczeństwa ochrony danych osobowych

Transkrypt

1 Załącznik Nr 1 do Zarządzenie Dyrektora GCEZ z dnia 4 listopada 2009 r. Dokumentacja Systemu Zarządzania Bezpieczeństwem Baz Danych Polityka bezpieczeństwa ochrony danych osobowych Głogowskie Centrum Edukacji Zawodowej w Głogowie ul. Piaskowa 1

2 Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997, Nr 133, poz. 883 z późn. zm.). 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004, Nr 100,poz. 1024). 1 Tworzy się Politykę bezpieczeństwa ochrony danych osobowych celem zabezpieczania w sposób fizyczny dostępu do informacji będących w posiadaniu pracowników Głogowskiego Centrum Edukacji Zawodowej w Głogowie oraz polegających na zwiększeniu świadomości pracowników o wartości posiadanych i przetwarzanych danych osobowych. 2 Wykaz pomieszczeń w Głogowskim Centrum Edukacji Zawodowej w Głogowie, w których przetwarza się dane osobowe W budynku Głogowskiego Centrum Edukacji Zawodowej w Głogowie mieszczącego się przy ul. Piaskowa Głogów znajdują się następujące pomieszczenia w których przetwarza się dane osobowe pracowników oraz uczniów: 1. Pokój Księgowość znajdujący się na parterze budynku, 2. Pokój Płace znajdujący się na parterze budynku, 3. Pokój nauczycielski znajdujący się na parterze budynku, 4. Pokój Biblioteka znajdujący się na parterze budynku, 5. Pokój Wicedyrektor Barbara Dzieweczyńska i Wicedyrektor Adam Bogusz znajdujący się na pierwszym piętrze budynku, 6. Pokój Sekretariat uczniowski znajdujący się na pierwszym piętrze budynku, 7. Pokój Dział kadr znajdujący się na pierwszym piętrze budynku, 8. Pokój Wicedyrektor Marian Nowak znajdujący się na pierwszym piętrze, 9. Pokój Sekretariat znajdujący się na pierwszym piętrze budynku, 10. Pokój Dyrektor Wojciech Nowak znajdujący się na pierwszym piętrze.

3 3 Wykaz zbiorów danych osobowych oraz programów komputerowych stosowanych do przetwarzania tych danych w Głogowskim Centrum Edukacji Zawodowej w Głogowie oraz opis struktury zbioru i zawartości W Głogowskim Centrum Edukacji Zawodowej w Głogowie znajdują się następujące zbiory danych przetwarzane przez pracowników administracji oraz nauczycieli: Zbiór nr 1 Księga druków ścisłego zarachowania. Zbiór nr 2 Akta osobowe pracowników. Zbiór nr 3 Ewidencja zwolnień lekarskich pracowników. Zbiór nr 4 Księga zastępstw nauczycieli. Zbiór nr 5 - Protokoły Rady Pedagogicznej. Zbiór nr 6 Ewidencja urlopów pracowników niepedagogicznych. Zbiór nr 7 - Ewidencja osób korzystających z księgozbioru bibliotecznego. Zbiór nr 8 Ewidencja legitymacji pracowniczych. Zbiór nr 9 Ewidencja legitymacji ubezpieczeniowych Zbiór nr 10 Ewidencja wydawanej pracownikom odzieży ochronnej. Zbiór nr 11 - Rejestr delegacji służbowych. Zbiór nr 12 Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych. Zbiór nr 13 - Ewidencja osób korzystających ze świadczeń Funduszu Socjalnego. Zbiór nr 14 - Listy płac pracowników. Zbiór nr 15 - Księga ewidencji uczniów. Zbiór nr 16 - Dzienniki lekcyjne i pozalekcyjne. Zbiór nr 17 Rejestr pedagoga szkolnego. Zbiór nr 18 - Arkusze ocen wszystkich uczniów. Zbiór nr 19 - Protokoły egzaminów klasyfikacyjnych i poprawkowych. Zbiór nr 20 - Ewidencja wydanych legitymacji szkolnych. Zbiór nr 21 Ewidencja wydanych świadectw ukończenia szkoły. Zbiór nr 22 - Ewidencja duplikatów świadectw ukończenia szkoły. Zbiór nr 23 Ewidencja uczniów i nauczycieli zbiór elektroniczny. Zbiór nr 24 Rejestr wypadków uczniów. Zbiór nr 25 - Zbiór upoważnień. Zbiór nr 26 - Archiwum ( akta osobowe pracowników, listy płac, księgi arkuszy ocen, dzienniki lekcyjne). Zbiór nr 27 - Arkusz organizacji roku szkolnego. Zbiór nr 28 - Akta osobowe pracowników rejestr elektroniczny. Zbiór nr 29 - Ewidencja umów z kontrahentami. Poszczególne stanowiska pracowników administracyjnych są wyposażone w programy komputerowe służące do przetwarzania danych osobowych firmy ProgMan oraz Vulcan 1) Stanowisko Kadr Głogowskiego Centrum Edukacji Zawodowej w Głogowie przetwarza dane osobowe wykorzystując program ProgMan oraz Vulcan- Kadry. Programy te zawierają wszystkie dane osobowe pracowników Głogowskiego Centrum Edukacji Zawodowej w Głogowie. Stanowią one odzwierciedlenie pracowniczych akt osobowych prowadzone w formie elektronicznej. Zawierają one: - Wszystkie dane personalne pracowników - Wszelkie dane kadrowe wynikające ze stosunku pracy

4 2) Stanowisko Płac Głogowskiego Centrum Edukacji Zawodowej w Głogowie wyposażone jest w następujące programy: ProgMan oraz Vulcan-Płace, w których przetwarza się wszelkie dane dotyczące wynagrodzeń za płacę pracowników oraz wypłat z tytułu umów cywilnoprawnych, Płatnik, w którym dokonuje się przetwarzania danych dotyczących składek pracowniczych przekazywanych do ZUS, 3) Stanowisko Głównego Księgowego wyposażone jest w program: Vulcan-Finanse, który zawiera następujące bazy danych: Główną bazę danych, która zawiera definicje struktury kont, wykaz kont przeciwstawnych, wykaz placówek, parametry pracy programu, definicję kont sprzedaży i zakupów, definicję automatów księgowych. Baza danych kontrahentów Baza danych pracowników Baza rejestrów księgowych E-PFRON który zawiera informacje o osobach niepełnosprawnych pracujących w Głogowskim Centrum Edukacji Zawodowej w Głogowie. 4) Stanowisko pracownika ds. uczniowskich wyposażone jest w program: Vulcan- Uczniowie, który przetwarza wszelkie dane personalne dotyczące uczniów Centrum Kształcenia Ustawicznego w Głogowskim Centrum Edukacji Zawodowej w Głogowie, 5) Stanowiska pracowników w Księgowości wyposażone są w programy: Vulcan- Intendentura, który przetwarza wszelkie dane dotyczące magazynu placówki, Vulcan- Inwentarz, który przetwarza dane dotyczące majątku placówki, 6) Stanowisko wicedyrektora wyposażone jest w program Vulcan- Organizacja, który przetwarza wszystkie dane dotyczące organizacji pracy placówki, 7) Stanowisko pracownika biblioteki wyposażone jest w program Biblioteka stanowiący część programu Inwentarz, w którym umieszczane i przetwarzane są dane uczniów oraz pracowników szkoły niezbędne do udostępniania księgozbioru stanowiącego własność Głogowskiego Centrum Edukacji Zawodowej w Głogowie.

5 4 Sposób przepływu danych pomiędzy poszczególnymi systemami 1) W Głogowskim Centrum Edukacji Zawodowej w Głogowie we wszystkich programach komputerowych przepływ informacji pomiędzy zbiorem danych a systemem informatycznym jest dwukierunkowy (do odczytu i do zapisu). 2) Następuje przesyłanie danych za pomocą teletransmisji przy wykorzystaniu funkcji eksport/import danych w obrębie następujących programów: Vulcan Płatnik Głogowskie Centrum Edukacji Zawodowej w Głogowie posiada połączenie sieciowe pomiędzy komputerami znajdującymi się w Księgowości oraz w Kadrach. Wszelkie informacje, jakie są pozyskiwane bądź tworzone przez poszczególnych pracowników administracji są udostępniane w sposób pisemny bądź w sposób ustny na wyraźne dyrektora szkoły danych, bądź na prośbę osób zainteresowanych za wyraźną zgodą dyrektora szkoły zgodnie z zasadami uregulowanymi Ustawą o ochronie danych osobowych Dz. U. 1997, Nr 133 poz. 883 tekst jednolity). 5 Środki techniczne i organizacyjne niezbędnych dla zapewnienia poufności, bezpieczeństwa, integralności i rozliczalności przetwarzanych danych Wszystkie komputery zawierające zbiory danych w Głogowskim Centrum Edukacji Zawodowej w Głogowie zaopatrzone są w indywidualne licencjonowane programy do przetwarzania danych oraz programy antywirusowe, które gwarantują bezpieczeństwo danych znajdujące się na dyskach twardych komputerów przed dostępem do nich osób nieupoważnionych. Ponadto centralny komputer chroniony jest dodatkowo przed swobodnym przepływem informacji z zewnątrz (poprzez internet). Celem takiego działania jest zabezpieczenie baz danych przed zniszczeniem, skopiowaniem i przekazem ich do wiadomości osób nieupoważnionych. Bazy danych znajdujące się w pokoju Dział Kadr tj: dane personalne znajdujące się w teczkach osobowych pracowników umieszczone są w, który znajduje się w posiadaniu Specjalisty ds. kadr i administracji. Zapasowy klucz zdeponowany jest w Sekretariacie. Bazy dotyczące spraw księgowych i płacowych znajdują się w specjalnie opisanych segregatorach umieszczonych w szafach, które zdeponowane są w Dziale Księgowości.

6 Dostęp do danych na papierze ma dyrektor szkoły oraz pracownicy: Główny Księgowy Specjalista ds. płac Specjalista ds. kadr i administracji Specjalista ds. uczniowskich Wicedyrektor Nauczyciele. Pracownicy ci w sposób pisemny obowiązani są do zachowania tajemnicy i ochrony danych osobowych. W Głogowskim Centrum Edukacji Zawodowej w Głogowie jest opracowany wewnętrzny system kontroli danych. Każdorazowe przekazywanie danych personalnych i ich przetwarzanie podlega kontroli przez Głównego Księgowego głogowskiego Centrum Edukacji Zawodowej w Głogowie w ten sposób dane zastrzeżone czy dane poufne nie mogą trafić do odbiorcy nieupoważnionego. Polityka bezpieczeństwa wchodzi z dniem 04 listopada 2009 r.... podpis dyrektora szkoły

7 Załącznik Nr 2 do Zarządzenie Dyrektora GCEZ z dnia 4 listopada 2009 r. Dokumentacja Systemu Zarządzania Bezpieczeństwem Baz Danych Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Głogowskie Centrum Edukacji Zawodowej w Głogowie ul. Piaskowa 1, Głogów

8 Spis treści 1. Cel 2. Zasady ogólne 3. Procedury przyznawania użytkownikowi identyfikatora w systemie informatycznym lub przyznania uprawnień do przetwarzania informacji 4. Stosowane metody i środki uwierzytelnienia 5. Procedury tworzenia kopii zapasowych 6. Sposób i miejsce przechowywania nośników danych osobowych 7. Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania 8. Sposób realizacji wymogów odnośnie ewidencji wpisów i udostępnień danych 9. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych

9 1. Cel Celem instrukcji jest określenie sposobu zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. 2. Zasady ogólne 1. Zawarte w instrukcji procedury i wytyczne są przekazywane osobom odpowiedzialnym za ich realizację stosownie do przyznanych uprawnień i zakresu obowiązków. 3. Procedury przyznawania użytkownikowi identyfikatora w systemie informatycznym lub przyznania uprawnień do przetwarzania informacji 1. Dyrektor Głogowskiego Centrum Edukacji Zawodowej w Głogowie wskazuje pracownika oraz zakres upoważnienia do przetwarzania danych osobowych. Upoważnienie do przetwarzania danych osobowych oraz z określonym zakresem znajduje się w aktach pracowniczych. 2. Specjalista ds. kadr i administracji sprawdza przed wydaniem upoważnienia do przetwarzania danych osobowych czy pracownik spełnia warunki dopuszczenia do przetwarzania danej grupy informacji, a w szczególności: a) czy pracownik przeszedł szkolenie z zakresu bezpieczeństwa informacji Głogowskiego Centrum Edukacji Zawodowej w Głogowie, w tym ochrony danych osobowych, które dokonywane jest przez Administratora Bezpieczeństwa Informacji. b) czy użytkownik podpisał zakres czynności dotyczący ochrony danych osobowych. 3. Przed wydaniem upoważnienia Administrator Bezpieczeństwa Informacji sprawdza, czy stanowisko pracy pracownika, w tym systemy informatyczne, spełniają warunki dopuszczenia do przetwarzania danych osobowych. 4. Dyrektor Głogowskiego Centrum Edukacji Zawodowej w Głogowie poleca Administratorowi Bezpieczeństwa Informacji założenie konta w systemie informatycznym oraz przydziela uprawnienia do przetwarzania danych. 4. Stosowane metody i środki uwierzytelnienia 1. W systemach oraz programach komputerowych służących do przetwarzania danych osobowych stosowane jest uwierzytelnianie pracownika przy pomocy jego identyfikatora i hasła. 2. Każdy pracownik systemu przetwarzania lub programu komputerowego posiada swój unikalny identyfikator (login).

10 3. Pracownicy nie mogą używać tych samych identyfikatorów, ani wymieniać się identyfikatorami. 4. Identyfikator pracownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. 5. Przy tworzeniu identyfikatora pracownika Administrator Bezpieczeństwa Informacji ustawia wraz z pracownikiem hasło i przekazuje to hasło w formie pisemnej celem zdeponowania do Specjalisty ds. kadr i administracji. 6. Hasło danej składa się z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. 7. Pracownik jest zobowiązany zmienić hasło, o ile system na to pozwala, co najmniej raz na 30 dni, do każdego 10-ego dnia miesiąca. 8. Każdy pracownik zarządza swoimi hasłami. 9. Pracownicy są zobowiązani do przestrzegania reguł odnośnie okresu jego zmiany. 10. Hasło pracownika jest jego własnością i zna je wyłącznie dany pracownik oraz Specjalista ds. kadr i administracji. 11. Niedopuszczalne jest podglądanie haseł wprowadzanych do systemu przez innych pracowników. Jeżeli pracownik w pobliżu zaczyna wprowadzać hasło należy odwrócić wzrok. 12. Hasła wszystkich pracowników są składowane w zalakowanych kopertach w sejfie w Dziale Kadr. 13. W uzasadnionych przypadkach koperty z hasłami są komisyjnie otwierane, a na tę okoliczność należy spisać stosowny protokół 14. Hasło pracownika nie jest pokazywane na ekranie lub wydrukach w postaci otwartego tekstu. 15. Hasło pracownika nie może być przesyłane przez sieć otwartym tekstem. 5. Procedury tworzenia kopii zapasowych 1. Pracownicy Głogowskiego Centrum Edukacji Zawodowej w Głogowie przetwarzający dane personalne dokonują w określonym czasie kopie zapasowe danych przetwarzanych w systemach oraz w programach komputerowych. 2. Kopie wykonywane są przy pomocy wbudowanych w programy komputerowe funkcji. 3. Kopie wykonywane są na twardym dysku znajdującym się w komputerze i przenośnym oraz bezpośrednio na płytę CD lub DVD. 4. Nośniki z kopiami zapasowymi przechowywane są w sejfie u Głównego Księgowego w pojemnikach.

11 Zbiór danych w formie elektronicznej Częstość wykonywania kopii Sposób wykonania kopii Nośniki Miejsce przechowywania Okres przechowywania kopii Postępowanie z nośnikiem VULCAN KADRY VULCAN PŁACE VULCAN FINANSE VULCAN INTENDENTURA VULCAN UCZNIOWIE Po zakończeniu każdego miesiąca oraz przed każdym wgraniem kolejnej aktualizacji programu Po zakończeniu każdego miesiąca oraz przed każdym wgraniem kolejnej aktualizacji programu Po zakończeniu każdego miesiąca oraz przed każdym wgraniem kolejnej aktualizacji programu Po zakończeniu każdego miesiąca oraz przed każdym wgraniem kolejnej aktualizacji programu Po zakończeniu każdego miesiąca oraz przed każdym wgraniem kolejnej Kopia jest danych na płytę i dysk przenośny HDD Kopia jest danych na płytę i dysk przenośny HDD Kopia jest danych na płytę i dysk przenośny HDD Kopia jest danych na płytę i dysk przenośny HDD Kopia jest

12 VULCAN ORGANIZACJA VULCAN INWENTARZ aktualizacji programu Po zakończeniu każdego miesiąca oraz przed każdym wgraniem kolejnej aktualizacji programu Po zakończeniu każdego miesiąca oraz przed każdym wgraniem kolejnej aktualizacji programu danych na płytę i dysk przenośny HDD Kopia jest danych na płytę i dysk przenośny HDD Kopia jest danych na płytę i dysk przenośny HDD Płatnik Jeden raz na miesiąc Kopia jest danych na dyskietkę lub płytkę CD E-PFRON Jeden raz na miesiąc Kopia jest danych na dysku twardym DYSK TWARDY Kopia jest przechowywana na dysku twardym komputera użytkownika w specjalnie oznaczonym pliku

13 6. Sposób i miejsce przechowywania nośników danych osobowych Sposób przechowywania kopii zapasowych opisuje część 5 niniejszej instrukcji Procedury tworzenie kopii zapasowych. 7. Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania 1. Ruch w sieci komputerowej Głogowskiego Centrum Edukacji Zawodowej w Głogowie jest zabezpieczony za pomocą zapory sieciowej programu antywirusowego. 2. Poczta elektroniczna jest zabezpieczona przed przesyłaniem niezamówionej informacji handlowej (tzw. SPAM) oraz oprogramowania złośliwego za pomocą filtrów poczty. 3. Na wszystkich stacjach roboczych oraz serwerach zainstalowane jest oprogramowanie antywirusowe SYMANTEC. 4. Aktualizacje baz danych pobierane są ręcznie w momencie ukazania- Vulcan. 5. Użytkownicy zostali przeszkoleni przez ABI z zasad bezpieczeństwa danych, w ramach wewnętrznych szkoleń adaptacyjnych, w szczególności: a) z zasad bezpiecznej pracy pozwalających unikać szkodliwego oprogramowania, b) zasad postępowania w przypadku wykrycia, lub podejrzenia działania złośliwego oprogramowania. 8. Sposób realizacji wymogów odnośnie ewidencji wpisów i udostępnień danych Programy komputerowe w Głogowskim Centrum Edukacji Zawodowej w Głogowie są jednostanowiskowe lub wielostanowiskowe. Dostęp do danych jest chroniony hasłem, co uniemożliwia udostępnienie tych danych nieupoważnionym osobom. Udostępnianie danych następuje jedynie w sposób ustny bądź pisemny za zgodą Dyrektora szkoły lub osoby, której bezpośrednio dane dotyczą. Bazy danych są na bieżąco aktualizowane przez osoby upoważnione do przetwarzania danych w poszczególnych programach.

14 9. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych 1. Jeden raz w roku w miesiącu czerwcu przeglądowi podlegają wszystkie systemy informatyczne przetwarzające dane osobowe oraz zabezpieczenia fizyczne. Przeglądu dokonuje Administrator Bezpieczeństwa Informacji. 2. Przeglądowi podlega sprzęt komputerowy, systemy operacyjne oraz aplikacje, a także realizacja zabezpieczeń przez pracowników Głogowskiego Centrum Edukacji Zawodowej w Głogowie. 3. Po dokonanym przeglądzie Administrator Bezpieczeństwa Informacji przygotowuje raport, a na jego podstawie informuje Dyrektora Głogowskiego Centrum Edukacji Zawodowej w Głogowie o konieczności podjęcia właściwych działań korygujących i doskonalących. 4. Zakres przeglądu systemów informatycznych powinien obejmować, co najmniej: a) zgodność z wymaganiami prawnymi w zakresie przetwarzania danych osobowych, b) sprawność sprzętu komputerowego do realizacji wszystkich funkcji niezbędnych z punktu widzenia wykonywanych działań, c) poprawność funkcjonowania systemu operacyjnego oraz poprawność konfiguracji pod względem wydajnościowym, jak i zapewnienia bezpieczeństwa, d) poprawność funkcjonowania programów przetwarzających dane osobowe, e) zgodność liczby użytkowników i ich uprawnień ze stanem oczekiwanym, f) zabezpieczenia systemu informatycznego ze względu na mogące się pojawić zagrożenia (np. brak zasilania, atak wirusowy, itp.), g) poprawność funkcjonowania systemu kopii zapasowych. 5. Konserwacja sprzętu służącego do przetwarzania danych osobowych jest wykonywana przez firmy trzecie. 6. Sprzęt komputerowy naprawia się pod nadzorem osoby upoważnionej do przetwarzania danych w danym systemie. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych wchodzi z dniem 4 listopada 2009 r.... podpis dyrektora szkoły