Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Bezpieczeństwo teleinformatyczne danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

Szkolenie. Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

Polityka Bezpieczeństwa Teleinformatycznego

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Polityka bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W W FIRMIE MIROSŁAWA BANDYK PROWADZĄCEGO DZIAŁALNOŚĆ GOSPODARCZĄ POD NAZWĄ BUD MI-K F.R.B.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

Krzysztof Świtała WPiA UKSW

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA

Ochrona wrażliwych danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

Amatorski Klub Sportowy Wybiegani Polkowice

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

Szkolenie otwarte 2016 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

II Lubelski Konwent Informatyków i Administracji r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Polityka bezpieczeństwa przetwarzania danych osobowych w SCANIX Sp. z o.o. w restrukturyzacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Przetwarzanie danych osobowych w przedsiębiorstwie

POLITYKA BEZPIECZEŃSTWA INFORMACJI I PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W PŁUŻNICY

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Ustawa o ochronie danych osobowych po zmianach

POLITYKA PRYWATNOŚCI I BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRZYCHODNI REHABILITACYJNEJ FIT-MED SP. Z O.O.

REJESTR ZBIORÓW. Administrator Danych Jan Drajewicz. Dnia r. w podmiocie o nazwie Zespół Szkół nr 2 w Dukli. z dnia 11 maja 2015 r.

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Tajemnica bankowa i ochrona danych osobowych w czynnościach outsourcingowych

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

Zmiany w ustawie o ochronie danych osobowych

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu. w Warszawie pomiędzy:

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Przetwarzania danych osobowych

Szkoła Podstawowa nr 2

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Transkrypt:

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile Sporządziła: Beata Lewandowska Zatwierdziła: Lidia Wójciak 1

Spis treści I. Preambuła.... 3 II. Deklaracja.... 3 III. Podstawowe pojęcia i skróty.... 4 IV. Zakres Systemu Bezpieczeństwa Informacji.... 6 V. Organizacja bezpieczeństwa informacji.... 7 VI. Kontrola dostępu do informacji.... 8 VII. Zarzadzanie aktywami i ryzykiem.... 8 VIII. Deklaracja ochrony własności intelektualnej.... 9 IX. Bezpieczeństwo zasobów ludzkich.... 9 X. Bezpieczeństwo fizyczne i środowiskowe.... 9 XI. Utrzymanie ciągłości działania.... 10 XII. Naruszenie bezpieczeństwa informacji.... 10 XIII. Zakres stosowania i rozpowszechniania Polityki Bezpieczeństwa Informacji.... 10 XIV. Podstawy prawne.... 11 XV. Postanowienia końcowe.... 12 XVI. Dokumenty powiązane.... 12 XVII Załączniki.... 12 2

I. Preambuła. Informacja będąca w posiadaniu instytucji ma realną wartość i może przybierać różne formy. Może być wydrukowana lub zapisana odręcznie na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w czasie rozmowy. Niezależnie od tego, jaką formę przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, powinna być zawsze w odpowiedni sposób chroniona. Celem niniejszego dokumentu jest opisanie zasad ochrony informacji oraz dostarczenie podstawowej wiedzy z zakresu ochrony danych osobowych. W celu zwiększenia świadomości obowiązków i odpowiedzialności pracowników, a tym samym skuteczności ochrony przetwarzanych zasobów, opisano podstawy prawne przetwarzania danych osobowych oraz scharakteryzowano zagrożenia bezpieczeństwa, podając schematy postępowań na wypadek wystąpienia naruszenia bezpieczeństwa. Dokument opisuje podstawowe zasady organizacji pracy przy przetwarzaniu informacji metodami tradycyjnymi oraz w systemie informatycznym wyrażone w poszczególnych Politykach Bezpieczeństwa oraz w Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. II. Deklaracja. Informacja jest jednym z najważniejszych zasobów w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile, dlatego jest chroniona na każdym szczeblu organizacyjnym. Dyrekcja oraz Kierownictwo placówki zobowiązują się do podejmowania niezbędnych działań mających na celu spełnienie wymaganego poziomu bezpieczeństwa informacji zgodnie z zasadami normy PN ISO/IEC 27001:2014 3

III. Podstawowe pojęcia i skróty. Administrator danych (ADO) organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Akceptowanie ryzyka - decyzja, aby zaakceptować ryzyko Aktywa - wszystko, co ma wartość dla organizacji Analiza ryzyka - systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka Bezpieczeństwo informacji - zachowanie poufności, integralności i dostępności informacji; dodatkowo, mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Dane wrażliwe - dane o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Dostępność - właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu Generalny Inspektor Ochrony Danych Osobowych (GIODO) organ do spraw ochrony danych osobowych. Hasło ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. 4

Identyfikator użytkownika ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. Incydent związany z bezpieczeństwem informacji - jest to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji Integralność danych właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. IZSI Instrukcja Zarządzania Systemem Informatycznym. Ocena ryzyka - proces porównywania oszacowanego ryzyka z określonymi kryteriami w celu określenia znaczenia ryzyka PBI. PODO Polityka Ochrony Danych Osobowych. Postępowanie z ryzykiem - proces wyboru i wdrażania środków modyfikujących ryzyko Poufność danych właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Rozliczalność - właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. Ryzyko szczątkowe - ryzyko pozostające po procesie postępowania z ryzykiem System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Szacowanie ryzyka - całościowy proces analizy i oceny ryzyka 5

Uwierzytelnianie działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. Zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. Zarządzanie ryzykiem - skoordynowane działania kierowania i zarządzania organizacją z uwzględnieniem ryzyka Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zdarzenie związane z bezpieczeństwem informacji - jest określonym stanem systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji Zgoda osoby, której dane dotyczą oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. IV. Zakres Systemu Bezpieczeństwa Informacji. System Zarządzania Bezpieczeństwem Informacji (SZBI) w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile, odnosi się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania, i doskonalenia bezpieczeństwa informacji. System został opracowany w oparciu o normę PN-ISO/IEC 27001:2014. Struktura klasyfikacji informacji w Przedszkolu opiera się na założeniu istnienia trzech poziomów informacji: 1) Informacje jawne informacje publicznie dostępne 2) Informacje wewnętrzne informacje, których przetwarzanie i udostępnienie podlega ograniczeniom. a) Informacje wewnętrznie dostępne informacje dostępne dla wszystkich pracowników b) Informacje wewnętrzne wrażliwe informacje dostępne dla grupy pracowników upoważnionych z uwagi na realizowanie zadań statutowych 6

c) Informacje stanowiące tajemnicę Przedszkola informacje, których przetwarzanie i udostępnianie może narazić Przedszkole na szkodę lub utratę wizerunku. Przez bezpieczeństwo informacji rozumie się zapewnienie dostępności, zabezpieczenie przed nieuprawnionym dostępem, naruszeniem legalności bądź zniszczeniem aktywów związanych z przetwarzaniem i przechowywaniem informacji. Główne cele SZBI: 1) Zapewnienie spełnienia wymagań prawnych. 2) Ochrona systemów przetwarzania informacji przed nieuprawnionym dostępem bądź zniszczeniem. 3) Podnoszenie świadomości pracowników. 4) Zmniejszenie ryzyka utraty informacji. 5) Zaangażowanie wszystkich pracowników w ochronę informacji. Bezpieczeństwo informacji zapewniamy poprzez: 1) Zarzadzanie ryzykiem, na które składa się: a) Klasyfikacja zasobów i ich zawartości. b) Identyfikacja stopnia zagrożeń i ich następstw. c) Określenie i wdrożenie działań zabezpieczających zasoby. 2) Zarządzanie zmianami na które składa się: a) Analiza wpływu zmian na poziom bezpieczeństwa. b) Zapewnienie pełnej koordynacji podczas wprowadzania zmian. 3) Zarządzanie ciągłością działania organizacji poprzez wdrożenie instrukcji awaryjnych. V. Organizacja bezpieczeństwa informacji. Odpowiedzialność za bezpieczeństwo informacji ponoszą wszyscy pracownicy Przedszkola zgodnie z posiadanymi zakresami obowiązków. Najwyższe Kierownictwo odpowiedzialne jest za zapewnienie zasobów niezbędnych dla funkcjonowania, utrzymania i doskonalenia SZBI. Zakres uprawnień i odpowiedzialności związany z ochroną danych osobowych określają odrębne Polityki Bezpieczeństwa Informacji 7

VI. Kontrola dostępu do informacji. Dostęp do informacji podlega ciągłej kontroli, która polega na: 1) Wydzielaniu obszarów przeznaczonych do przechowywania oraz przetwarzania zbiorów danych. 2) Zarządzaniu uprawnieniami poszczególnych użytkowników. 3) Nadzorowaniu działalności stron trzecich, mogących wpłynąć na bezpieczeństwo informacji 4) Bieżącym informowaniu pracowników o wszelkich zmianach w zakresie regulacji dotyczących przechowywania, przetwarzania i udostępniania informacji. Wszystkie osoby posiadające dostęp do informacji podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa. VII. Zarzadzanie aktywami i ryzykiem. Ważnym elementem zarządzania aktywami i bezpieczeństwem informacji jest przeprowadzanie okresowego szacowania ryzyka i opracowanie planów postępowania z ryzykiem. Analiza uzyskanych wyników stanowi podstawę do podejmowania działań w zakresie doskonalenia ochrony aktywów. Identyfikowanie ryzyk polega na możliwym rozpoznaniu zagrożeń, które mogą wpływać na bezpieczeństwo informacji. Na szacowanie ryzyka składają się : 1) Analiza ryzyka (identyfikowanie, estymacja) 2) Ocena ryzyka. W szacowaniu ryzyka określa się wartość aktywów informacyjnych, identyfikuje się mające zastosowanie zagrożenia oraz istniejące (lub mogące zaistnieć) podatności, identyfikuje się istniejące zabezpieczenia i ich wpływ na zidentyfikowane ryzyko, określa się możliwe następstwa oraz na końcu wskazuje się priorytety uzyskanych ryzyk i ustala ich kolejność zgodnie z kryteriami oceny ryzyka wyznaczonymi podczas ustanawiania kontekstu. Metodyka szacowania ryzyka w Przedszkolu stanowi załącznik Nr 1 do niniejszej PBI. 8

VIII. Deklaracja ochrony własności intelektualnej. W Przedszkolu zostały wdrożone mechanizmy zapobiegające naruszeniom prawa powszechnego związanego z ochroną własności intelektualnej. Stacje robocze zostały zabezpieczone przed możliwością instalowania oprogramowania z naruszeniem licencji. Prowadzona jest bieżąca ewidencja sprzętu komputerowego i licencji oprogramowania. Nadzorowana jest także własność intelektualna powierzona lub przekazana przez osoby trzecie. IX. Bezpieczeństwo zasobów ludzkich. Przedszkole zatrudnia kompetentną kadrę pracowniczą do realizacji wyznaczonych zadań. Celem takiego postępowania jest ograniczenie ryzyka błędu ludzkiego, kradzieży, nadużycia lub niewłaściwego użytkowania zasobów. Realizacja postawionego celu możliwa jest dzięki wdrożonym zasadom rekrutacji pracowników. Prowadzone są szkolenia dla pracowników oraz kontrahentów z zakresu wdrożonych zasad i procedur bezpieczeństwa informacji, które zakończone jest złożeniem oświadczenia o zachowaniu poufności podczas współpracy oraz po jej zakończeniu. Wzór oświadczenia o poufności stanowi załącznik Nr 2 do niniejszej PBI. Do przetwarzania informacji dopuszczone są tylko osoby posiadające stosowne upoważnienie, którego wzór stanowi załącznik Nr 3 do niniejszej PBI. X. Bezpieczeństwo fizyczne i środowiskowe. Celem bezpieczeństwa fizycznego jest zapewnienie ochrony przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami w siedzibie organizacji poprzez wprowadzenie zasad zarzadzania kluczami do pomieszczeń, regulaminu obiegu dokumentów, instrukcji BHP i ppoż, wprowadzenie monitoringu w placówce oraz systemu alarmowego. Środki ochrony technicznej systemu informatycznego, jak również wszystkie niezbędne informacje dotyczące jego pracy oraz zasad użytkowania, określono w Instrukcji Zarządzania 9

Systemem Informatycznym służącym do przetwarzania danych osobowych będącej częścią niniejszej dokumentacji. XI. Utrzymanie ciągłości działania. Zastosowanie odpowiednich środków organizacyjnych i technicznych umożliwi utrzymanie ciągłości działania, odtworzenie procesów oraz wznowienie działania systemów w sytuacji kryzysowej. Na utrzymanie ciągłości działania składają się następujące zasady: 1) Zastosowanie działań naprawczych. 2) Ustalenie reguł współpracy z innymi podmiotami. 3) Opracowanie planu awaryjnego. 4) Ciągłe doskonalenie opracowanych procedur, planów oraz środków organizacyjnych i technicznych. XII. Naruszenie bezpieczeństwa informacji. W celu utrzymania wysokiego poziomu bezpieczeństwa informacji podejmuje się odpowiednie działania wobec sytuacji, które są związane z jego naruszeniem. Każdy przypadek naruszenia dostępności, poufności i integralności informacji jest rejestrowany i poddawany odpowiedniej procedurze postępowania. W systemie zarządzania bezpieczeństwem informacji konieczne jest zaangażowanie wszystkich pracowników, w tym niezwłoczna interwencja na różne niepokojące sygnały i zdarzenia. XIII. Zakres stosowania i rozpowszechniania Polityki Bezpieczeństwa Informacji. Prawo dostępu do Polityki Bezpieczeństwa Informacji posiadają pracownicy Przedszkola oraz osoby i instytucje mające dostęp do informacji podlegającej ochronie. Niniejszy dokument może być udostępniony uprawnionym podmiotom zewnętrznym w celu zapoznania się i postępowania w zgodzie z postanowieniami PBI. Zapisy zawarte w PBI dotyczą wszystkich osób korzystających z zasobów informacyjnych pracowników Przedszkola oraz osób współpracujących. 10

XIV. Podstawy prawne. 1) Konwencja Nr 108 Rady Europy z dnia 28.01.1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Dz. U. z 2003 r. Nr 3 poz. 25 ze zm.) 2) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz.U.UE.L. z 1995 r. Nr 281 poz. 31; Dz.U.UE-sp. 13-15-355 ze zm.) 3) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12.07.2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U.UE.L. z 2002 r. Nr 201 poz. 37; Dz.U.UE-sp. 13-29-514 ze zm.) 4) Konstytucja Rzeczypospolitej Polskiej z dnia 02.04.1997 r. (Dz. U. z 1997 r., Nr 78 poz.483 ze zm.) 5) Ustawa z dnia 26.04.1974 r. Kodeks pracy (Dz.U. 2014 poz. 1502 ) 6) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 poz. 1182 ze zm.); 7) Ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz.U. 2004 Nr 256 poz. 2572); 8) Ustawa z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej (Dz.U. 2015 poz. 45); 9) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024); 10) Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2012 poz. 526); 11) Norma PN ISO/IEC 27001:2014 12) Norma PN ISO/IEC 27002:2014 13) Norma PN ISO/IEC 27005:2014 11

XV. Postanowienia końcowe. W sprawach nieuregulowanych niniejszą PBI odpowiednie zastosowanie mają reguły i procedury zawarte w dokumentach powiązanych. wchodzi w życie z dniem podpisania. XVI. Dokumenty powiązane. 1) Instrukcja Zarzadzania Systemem Informatycznym. 2) Instrukcja Postępowania w Sytuacji Naruszeń. 3) Polityka Ochrony Danych Osobowych w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile. 4) Polityka Ochrony Dzieci w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile. XVII. Załączniki. 1) Metodyka szacowania ryzyka. 2) Oświadczenie o poufności. 3) Upoważnienie do przetwarzania informacji. 4) Unieważnienie upoważnienia do przetwarzania informacji. 5) Ewidencja osób upoważnionych do przetwarzania informacji. 6) Umowa powierzenia przetwarzania informacji. 7) Zgoda na przebywanie w obszarze przetwarzania informacji. 8) Odwołanie zgody na przebywanie w obszarze przetwarzania informacji..... (podpis Administratora Danych) 12

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres