Zarządzenie Nr 21/2004



Podobne dokumenty
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

ZARZĄDZENIE NR 27/2011 STAROSTY RAWSKIEGO. z dnia 27 lipca 2011 r.

KAPITAŁ LUDZKI NARODOWA STRATEGIA SPÓJNOŚCI

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

ZASADY OCHRONY DANYCH OSOBOWYCH W STOWARZYSZENIU PO PIERWSZE RODZINA

Instrukcja. określająca sposób zarządzania systemem informatycznym służącym do. przetwarzania danych osobowych. w Starostwie Powiatowym w Gryfinie

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Polityka bezpieczeństwa przetwarzania danych osobowych w Gminnym Ośrodku Pomocy Społecznej w Radomsku

INSTRUKCJA zarządzania systemami informatycznymi, słuŝącymi do przetwarzania danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Polityki bezpieczeństwa danych osobowych w UMCS

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU POMOCY SPOŁECZNEJ W ŁAZACH

Zarządzenie nr 25 / 99 Starosty Powiatu Malborskiego. z dnia r.

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

Rozdział I Postanowienia ogólne

Instrukcja zarządzania. systemem informatycznym

Załącznik nr 2 do Zarządzenia 129/W/09 Wójta Gminy Zabierzów z dnia r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Rozdział I Zagadnienia ogólne

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

Postanowienia ogólne...2. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym...

Zał. nr 2 do Zarządzenia nr 48/2010 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE MKPUBLIKACJE

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

IDENTYFIKATOR. NUMER REGON lub KSIĘGA REJESTROWA. 1.Rodzaj szpitala : szpital kliniczny szpital resortowy wojewódzki szpital specjalistyczny

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

REGULAMIN OCHRONY DANYCH OSOBOWYCH

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

osobowych w Urzędzie Gminy Duszniki Postanowienia ogólne Podstawa prawna Definicje

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku

osobowych i ich zbiorów stanowiącą załącznik nr 1 do niniejszego zarządzenia.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

a) po 11 dodaje się 11a 11g w brzmieniu:

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH I INFORMACJI STANOWIĄCYCH TAJEMNICE PRAWNIE CHRONIONE W SPÓŁDZIELNI MIESZKANIOWEJ DĘBINA W POZNANIU

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

INSTRUKCJA URZĄD MIASTA TYCHY. ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI, SŁUśĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ IM. MARII KONOPNICKIEJ W HARKABUZIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM STAROSTWA POWIATOWEGO W OSTROWCU ŚWIĘTOKRZYSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZARZĄDZENIE NR 838/2009 PREZYDENTA MIASTA KRAKOWA Z DNIA 21 kwietnia 2009 r.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

ZARZĄDZENIE nr 35 / 2004 BURMISTRZA MIASTA PASYM z dnia roku

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ W TCZEWIE

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. w Zespole Szkół nr 1 im. Melchiora Wańkowicza w Błoniu

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ SKARPA MARYMONCKA I. POSTANOWIENIA OGÓLNE

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Zarządzenie nr 108/07 Burmistrza Czerska z dnia 26 kwietnia 2007 r.

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY PIERZCHNICA

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Karkonoskiej Państwowej Szkole Wyższej w Jeleniej Górze

Spółdzielnia Mieszkaniowa w Tomaszowie Lubelskim

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W URZĘDZIE GMINY ŁYSE. Rozdział I Wprowadzenie

Załącznik Nr 1 do Zarządzenia Nr 7 /2009 Wójta Gminy Parchowo z dnia r. INSTRUKCJA Ochrony Danych Osobowych

Transkrypt:

Zarządzenie Nr 21/2004 zarządzenie w sprawie powołania Administratora Bezpieczeństwa Informacji Danych Osobowych ZARZĄDZENIE NR 21/2004 STAROSTY OTWOCKIEGO z dnia 26 sierpnia 2004 roku. w sprawie powołania Administratora Bezpieczeństwa Informacji Danych Osobowych Na podstawie art. 36 w związku z art. 7 pkt. 4 ustawy z dnia 17 czerwca 2004 roku -tekst jednolity o ochronie danych osobowych" (Dz.U. nr 101, poz. 926 - tekst jednolity) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych" (DZ.U. z 2004 r. nr 100, poz. 1024) zarządza się, co następuje: 1 1. Wyznaczam pana Grzegorza Hermanowicza jako osobę odpowiedzialną za bezpieczeństwo Danych Osobowych w systemie informatycznym, zwanym dalej Administratorem Bezpieczeństwa Informacji Danych Osobowych. 2. Administrator Bezpieczeństwa Informacji Danych Osobowych jest odpowiedzialny za przeciwdziałanie dostępowi osób niepowołanych do systemu informatycznego, w którym przetwarzane są Dane Osobowe oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń ochrony Danych Osobowych. 2 Wykonanie zarządzenia powierzam Sekretarzowi Powiatu. 3 Zarządzenie wchodzi w Ŝycie z dniem podpisania. Załącznik nr 2 INSTRUKCJA Określająca sposób zarządzania systemem informatycznym zbioru danych osobowych Starostwa Powiatowego w Otwocku Spis treści Rozdział I - Postanowienia ogólne Rozdział II - Przydział haseł i identyfikatorów Rozdział III - Rejestrowanie i wyrejestrowanie uŝytkowników Rozdział IV - Rozpoczęcie i zakończenie pracy w systemie Rozdział V - Tworzenie oraz przechowywanie kopii awaryjnych Rozdział VI - Ochrona systemu informatycznego przed wirusami komputerowymi Rozdział VII - Przechowywanie nośników informacji, w tym kopii informatycznych i wydruków komputerowych Rozdział VIII - Przegląd i konserwacja systemu oraz zbioru danych osobowych Rozdział IX - Postępowanie w zakresie komunikacji w sieci komputerowej Rozdział X - Wymagania sprzętowo-organizacyjne w zakresie ochrony przetwarzanych danych osobowych Rozdział XI - Postanowienia końcowe Rozdział I Postanowienia ogólne 1 Niniejsza Instrukcja /zwana dalej: instrukcją/, jest wewnętrznym dokumentem Starostwa powiatowego w Otwocku, /zwanego dalej: Administratorem/ i ma zastosowanie do wszelkich danych osobowych znajdujących się, bądź mogących znajdować się w systemie informatycznym Administratora. 2 1. Instrukcja określa i tryb postępowania Administratora Danych i osób przez niego upowaŝnionych przy korzystaniu z danych osobowych. 2. Instrukcja została opracowana zgodnie z wymogami 3 ust. 1 rozporządzenia ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. 2004 Nr 100, poz. 1024.). 3 Następujące słowa, uŝyte w Instrukcji, oznaczają: administrator danych - Starostwo Powiatowe w Otwocku, zwany dalej Administratorem; administrator Bezpieczeństwa Informacji (ABI) - osoba wyznaczona przez administratora danych, odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń; osoba upowaŝniona lub uŝytkownik - osoba posiadająca upowaŝnienie wydane przez Administratora i dopuszczona w zakresie w nim wskazanym, jako uŝytkownik do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, słuŝących do przetwarzania danych; osoba trzecia - to kaŝda osoba nieupowaŝniona i przez to nieupowaŝniona do dostępu do danych osobowych lub zbiorów tych danych, będących w posiadaniu Administratora. Osobą trzecią jest równieŝ osoba posiadająca upowaŝnienie wydane przez Administratora podejmująca czynności w zakresie przekraczającym ramy udzielonego jej upowaŝnienia; system informatyczny - system przetwarzania informacji wraz ze związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi, który dostarcza i rozprowadza informacje; zabezpieczenie systemu informatycznego - wdroŝenie przez Administratora stosownych środków organizacyjnych i technicznych w celu zabezpieczenia zasobów technicznych oraz ochrony danych przed dostępem, modyfikacją, ujawnieniem, pozyskaniem lub zniszczeniem przez osobę trzecią.

4 1. Administrator Bezpieczeństwa Informacji moŝe zlecić innej osobie, zatrudnionej u Administratora, dokonywanie czynności leŝących w zakresie obowiązków ABI. 2. Kontrola prawidłowości wykonania ww. czynności naleŝy do ABI. 3. Osoba o której mowa w ust. 1 niezwłocznie informuje ABI o podjętych czynnościach. Rozdział II Przydział haseł i identyfikatorów 5 Mając na względzie, iŝ system informatyczny przetwarzający dane osobowe powinien być wyposaŝony w mechanizm uwierzytelnienia uŝytkownika oraz kontroli dostępu do tych danych, dla kaŝdej osoby upowaŝnionej ustalany jest odrębny identyfikator i hasło, tak aby bezpośredni dostęp do tych danych przetwarzanych w systemie informatycznym mógł mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła. Hasła dostępu i identyfikatory przyznawane są indywidualnie dla kaŝdego z uŝytkowników. Hasło znane jest tylko właścicielowi. 6 Identyfikator uŝytkownika 1) jest niepowtarzalny a po wyrejestrowaniu uŝytkownika z systemu informatycznego nie jest przydzielony innej osobie; 2) jest wpisywany do ewidencji osób zatrudnionych przy przetwarzaniu danych wraz z imieniem i nazwiskiem uŝytkownika przez jest rejestrowany w systemie informatycznym. 7 Hasło uŝytkownika: 1) jest przydzielane indywidualnie dla kaŝdego z uŝytkowników i znane tyko uŝytkownikowi, który się nim posługuje; 2) nie jest zapisywane w systemie w postaci jawnej; 3) jest zmieniane co najmniej raz na 3 miesiące; 4) jest utrzymywane w tajemnicy, równieŝ po upływie jego waŝności. 8 Osobą odpowiedzialną za sposób przydziału haseł dla uŝytkowników, częstotliwość ich zmiany oraz rejestrację jest Administrator Bezpieczeństwa Informacji. 9 3) hasła uŝytkowników nie mogą się powtarzać. Hasła nie mogą składać się z kombinacji znaków mogących ułatwić odszyfrowanie ich przez osoby nieupowaŝnione np. imię, nazwisko itp.; 4) hasło winno być zmienione przez uŝytkownika niezwłocznie w przypadku powzięcia podejrzenia lub stwierdzenia, Ŝe z hasłem mogły zapoznać się osoby trzecie. 10 1. UŜytkownik odpowiedzialny jest za wszystkie czynności wykonane przy uŝyciu identyfikatora, którym się posługuje lub posługiwał. 2. UŜytkownik obowiązany jest utrzymywać hasła którymi się posługuje lub posługiwał w ścisłej tajemnicy, co obejmuje, w szczególności dołoŝenie przez niego wszelkich starań w celu uniemoŝliwienia zapoznania się przez osoby trzecie z hasłem nawet po ustaniu jego waŝności, czy teŝ uŝycia hasła przez te osoby. 3. Naruszenie przez uŝytkownika postanowień ust. 1 lub 2 moŝe stanowić podstawę dla pociągnięcia uŝytkownika do odpowiedzialności dyscyplinarnej, odszkodowawczej lub karnej w trybie i na zasadach przewidzianych przepisami prawa. Rozdział III 11 1. Rejestrowanie i wyrejestrowania uŝytkowników dokonuje Administrator Bezpieczeństwa Informacji który prowadzi ewidencję. 2. Ewidencja zawiera: imię i nazwisko uŝytkownika, wskazanie komórki organizacyjnej, w której jest zatrudniony, identyfikator, datę zarejestrowania, datę wyrejestrowania, 3. Jakakolwiek zmiana w zakresie informacji zawartych w ewidencji podlega natychmiastowemu odnotowaniu. 12 Aby dana osoba była zarejestrowana w systemie informatycznym, jako uŝytkownik muszą być spełnione następujące warunki: 1) Administrator musi wydać upowaŝnienie dopuszczające daną osobę w zakresie w nim wskazanym, jako uŝytkownika, do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, słuŝących do przetwarzania danych, 2) Administrator Bezpieczeństwa Informacji musi uzyskać informacje konieczne do zdefiniowania dla danej osoby jej profilu jako uŝytkownika oraz jej uprawnień. Informacji takich udziela osoba odpowiedzialna pod względem merytorycznym co do charakteru pracy danej osoby, mającej być uŝytkownikiem, mając na względzie treść wydanego tej osobie przez Administratora upowaŝnienia. 13 Z chwilą zarejestrowania w systemie informatycznym, dana osoba jest informowana przez Administratora bezpieczeństwa Informacji o ustalonym dla niej identyfikatorze i konieczności posługiwania się hasłami. 14

UŜytkownik jest wyrejestrowany z systemu informatycznego w kaŝdym przepadku utraty przez niego uprawnień do dostępu do danych osobowych, co ma miejsce w przypadku: ustania zatrudnienia tego uŝytkownika u Administratora - o czym informację Administrator Bezpieczeństwa Informacji uzyskuje od upowaŝnionego pracownika Działu Kadr, bądź od przełoŝonego uŝytkownika, zmiany zakresu obowiązków tego uŝytkownika - o czym informację Administrator Bezpieczeństwa Informacji uzyskuje od przełoŝonego uŝytkownika. 15 Zmiany dotyczące uŝytkownika, takie jak: 1) rozwiązanie umowy o pracę, 2) utrata upowaŝnienia, powodują wyrejestrowanie uŝytkownika, w trybie natychmiastowym, z ewidencji, o której mowa w 3 ust. 1, jako identyfikatora z systemu informatycznego oraz uniewaŝnienie hasła tego uŝytkownika. 16 1. identyfikator, który utracił waŝność nie moŝe być ponownie przydzielony innemu uŝytkownikowi. 2. ABI obowiązany jest gromadzić odrębnie identyfikatory, które utraciły waŝność. Rozdział IV Rozpoczęcie i zakończenie pracy w systemie 17 KaŜdy uŝytkownik rozpoczynając pracę obowiązany jest załogować się" do systemu komputerowego Administratora posługując się swoim identyfikatorem i hasłem. 18 1. Maksymalna ilość prób wprowadzania hasła przy logowaniu się systemu wynosi... 2. Po przekroczeniu liczby prób logowania system blokuje dostęp do zbioru danych na poziomie danego uŝytkownika. 3. UŜytkownik informuje ABI o zablokowaniu dostępu do zbioru danych, który ustala przyczyny zablokowania systemu oraz podejmuje odpowiednie działania. 19 1. W przypadku bezczynności uŝytkownika na komputerze stacjonarnym przez dłuŝszy niŝ...minut automatycznie włączony jest wygaszacz ekranu. 2. Wygaszacze ekranu powinny być zaopatrzone w hasła. Regulacje odnoszące się do haseł uŝywanych przez uŝytkownika przy logowaniu, stosuje się odpowiednio do haseł wygaszacza. 3. Przed opuszczeniem miejsca pracy, uŝytkownik obowiązany jest poczekać, aŝ zaktywizuje się wygaszacz. 4. W przypadku, gdy przerwa w pracy trwa dłuŝej niŝ... minut, oraz kończąc pracę uŝytkownik obowiązany jest wylogować się" z aplikacji i systemu komputerowego oraz sprawdzić czy nie zostały pozostawione bez zamknięcia nośniki informacji. Opuszczając stanowisko uŝytkownik zamyka uŝywane przez niego szafy i pomieszczenia, w których przechowuje się dokumentacje i nośniki informacji. 20 1. W przypadku zauwaŝenia przez uŝytkownika naruszenia zabezpieczenia systemu informatycznego lud zauwaŝenia, Ŝe stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń danych osobowych, uŝytkownik ten obowiązany jest postępować zgodnie z Instrukcją postępowania w sytuacji naruszenia danych osobowych". 2. UŜytkownik winien zwrócić na te okoliczności szczególną uwagę podczas rozpoczynania pracy. Rozdział V Tworzenie oraz przechowywanie kopii awaryjnych 21 Za tworzenie i przechowywanie kopii awaryjnych w sposób zgodny z przepisami ustawy oraz poniŝszymi procedurami odpowiedzialny jest ABI. 22 Kopie awaryjne są: 1) tworzone co...dni oraz raz na...sprawdzane pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu informatycznego; 2) przechowywane w innych pomieszczeniach niŝ zbiory danych osobowych eksploatowane na bieŝąco. 23 1. Kopiowanie danych osobowych na nośniki informacji i robienie wydruków tych danych jest zabronione, chyba Ŝe konieczność ich sporządzania wynika z nałoŝonego na uŝytkownika zakresu obowiązków i jest uzasadniona potrzebą ich wykonywania oraz dozwolona przepisami prawa. 2. Wykorzystywanie nośników informacji lub wydruków i innym celu niŝ wskazany w ust. 1 jest zakazane. 24 1. Kopie zapasowe po ustaniu ich uŝyteczności są bezzwłocznie wsuwane. 2. Kopie zapasowe, które uległy uszkodzeniu podlegają natychmiastowemu zniszczeniu. 3. Z nośników podlegających zniszczeniu nie wolno sporządzać wydruków. Rozdział VI Ochrona systemu informatycznego przed wirusami komputerowymi 25

1. Na bieŝące i bezpośrednie sprawdzanie obecności wirusów komputerowych pozwala oprogramowanie automatycznie monitorujące występowanie wirusów w trakcie załączania lub wczytywania danych z zewnętrznych nośników informacji. 2. Kontrola antywirusowa jest przeprowadzana na wszystkich nośnikach magnetycznych w systemie, jak i do celów instalacyjnych. 26 Nadzór nad instalowaniem nowego oprogramowania antywirusowego oraz nad bieŝącą jego aktualizacją sprawuje Administrator Bezpieczeństwa Informacji. 27 O kaŝdokrotnym wykryciu wirusa przez oprogramowanie monitorujące uŝytkownik obowiązany jest niezwłocznie poinformować Administratora Bezpieczeństwa Informacji. 28 1. Po usunięciu wirusa ABI sprawdza system informatyczny oraz przywraca go do pełnej funkcjonalności i sprawności. 2. Administrator Bezpieczeństwa Informacji prowadzi rejestr przypadków zainfekowania komputerów i nośników wykorzystywanych do przetwarzania danych osobowych w systemie. Rozdział VII Przechowywanie nośników informacji w tym kopii informatycznych i wydruków komputerowych 29 Nośniki informacji w tym kopie informatyczne i wydruki komputerowe przechowuje się wyłącznie wówczas, gdy jest to konieczne i dozwolone przepisami prawa. 30 Nośniki informacji przechowuje się w specjalnie w tym celu przygotowanych pomieszczeniach w: 1) szafach lub 2) innych meblach biurowych posiadających zamknięcia uniemoŝliwiające dostęp do osób trzecich 31 1. Pomieszczenia słuŝące do przechowywania nośników informacji wyznaczone są przez ABI. 2. Pomieszczenia te powinny posiadać: 1) wewnętrzne ściany, gwarantujące trwałe oddzielenie ich od innych pomieszczeń; 2) pełne drzwi wejściowe zaopatrzone w co najmniej jeden zamek o skomplikowanym mechanizmie otwierania, tj. w szczególności zamek patentowy lub szyfrowy; 3) odpowiednie zabezpieczenie okien przed dostępem z zewnątrz i obserwacją; 4) oznakowanie i odpowiednie wywieszki zabraniające osobom trzecim wstępu i przebywania w tych pomieszczeniach. 3. W razie uzasadnionej potrzeby stosuje się dalej idące środki bezpieczeństwa. 32 Szafy lub inne meble biurowe słuŝące do przechowywania nośników informacji winny być: 1) zaopatrzone w co najmniej jeden zamek o skomplikowanym mechanizmie otwierania tj. w szczególności zamek patentowy lub szyfrowy; 2) po zakończeniu pracy zamknięte i w miarę moŝliwości opieczętowane. Rozdział VIII Przeglądy i konserwacja systemu oraz zbioru danych osobowych 33 Przeglądy i konserwacje sprzętu komputerowego wynikające z obciąŝenia sprzętu komputerowego, warunków zewnętrznych w których eksploatowane są dane urządzenia oraz waŝności sprzętu dla funkcjonowania całości systemu informatycznego dokonywane są przez ABI. 34 1. Urządzenia, dyski lub inne informatyczne nośniki informacji, przeznaczone do naprawy, gdzie wymagane jest zaangaŝowanie autoryzowanych firm zewnętrznych, pozbawia się przed naprawą zapisu tych danych albo naprawia się je pod nadzorem osoby upowaŝnionej przez administratora. 2. Wydruki komputerowe są bezzwłocznie usuwane po ustaniu uŝyteczności, czego dokonać moŝna w szczególności poprzez zniszczenia ich w sposób trwały, tj. za pomocą niszczarki. 3. Urządzenia, dyski lub inne informatyczne nośniki informacji, zawierające dane osobowe, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to moŝliwe, uszkadza się w sposób uniemoŝliwiający ich odczytanie, czego dokonać moŝna w szczególności poprzez zniszczenie ich w sposób trwały, tj. w sposób mechaniczny. 4. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia się wcześniej zapisu tych danych, postępując zgodnie z ust. 3. 5. Trwałego zniszczenia zbędnych nośników i wydruków komputerowych dokonuje się na bieŝąco w czasie pracy, nie później jednak niŝ przed opuszczeniem stanowiska pracy. Rozdział IX Postępowanie w zakresie komunikacji w sieci komputerowej 35 1. Komunikacja w sieci komputerowej jest dozwolona jedynie po właściwym załogowaniu się i podaniu własnego hasła uŝytkownika. 2. Wprowadzenie do systemu informatycznego informacji z zewnątrz, w tym danych osobowych, jest dopuszczalne tylko przy stwierdzeniu legalności i wiarygodności źródeł informacji i tylko przez uŝytkownika zgodnie z zakresem jego obowiązków i wynikających z nich uprawnień.

36 1. Konfiguracja systemu informatycznego jest dokonywana wyłącznie przez Administratora Bezpieczeństwa Informacji lub upowaŝnione przez niego osoby. 2. Jakiekolwiek zmiany konfiguracji systemu informatycznego są protokołowane. 3. W celu uniemoŝliwienia niekontrolowanej wymiany informacji, w tym danych osobowych, lub modyfikacji systemu informatycznego zapewniona jest maksymalna konfiguracja komputerowych stanowisk pracy. Rozdział X Wymagania sprzętowo - organizacyjne w zakresie ochrony przetwarzania danych osobowych 37 sprzęt odsługujący zbiór danych Starostwa składa się z najwyŝszej klasy komputerów stacjonarnych klasy PC, zlokalizowanych w wydzielonych pomieszczeniach siedziby Administratora. 38 1. Baza danych osobowych Starostwa przetwarzana jest na serwerze. 2. Serwer zamontowany jest w zamkniętej szafie i posiada własne zabezpieczenia. gdy nie jest to moŝliwe, uszkadza się w sposób uniemoŝliwiający ich odczytanie, czego dokonać moŝna w szczególności poprzez zniszczenie ich w sposób trwały, tj. w sposób mechaniczny. 4. Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych, pozbawia się wcześniej zapisu tych danych, postępując zgodnie z ust. 3. 5. Trwałego zniszczenia zbędnych nośników i wydruków komputerowych dokonuje się na bieŝąco w czasie pracy, nie później jednak niŝ przed opuszczeniem stanowiska pracy. Rozdział IX Postępowanie w zakresie komunikacji w sieci komputerowej 39 1. Ekrany monitorów ustawione są do wewnątrz sali wydzielonej do przetwarzania danych osobowych, w taki sposób, by uniemoŝliwić wgląd lub spisanie zawartości aktualnie wyświetlonej na ekranie monitora. 2. Osoby nieuprawnione do dostępu do danych osobowych mogą przebywać w pomieszczeniach w których przetwarzane są dane osobowe wyłącznie w obecności co najmniej jednego uŝytkownika, po uzyskaniu zgody Administratora. 40 Decyzję o instalacji oprogramowania systemowego oraz oprogramowania uŝytkowego obsługującego przetwarzanie danych osobowych, podejmuje ABI. 41 Administrator Bezpieczeństwa Informacji dokonuje doraźnych kontroli sprawności funkcjonowania zabezpieczeń nie rzadziej niŝ raz na 3 miesiące. Rozdział XI Postanowienia końcowe 42 1. KaŜdy pracownik zatrudniony przy przetwarzaniu danych osobowych obowiązany jest zapoznać się z Instrukcją ABI moŝe nadzorować dział szkoleń lub prowadzić szkolenie. 2. W sprawach nie uregulowanych niniejszą Instrukcją zastosowanie znajdują przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. Nr 133, poz. 883 z późn. zm.) i rozporządzenia Ministra Spraw wewnętrznych i Administracji z dnia 3 czerwca 1998 roku w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 z późn. zm.). 43 Instrukcja wchodzi w Ŝycie z dniem podpisania.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres