Polityka Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Wilkowie



Podobne dokumenty
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Polityka bezpieczeństwa przetwarzania danych osobowych

Zarządzenie Nr 35/VI/2012 Wójta Gminy Braniewo z dnia 25 maja 2012 r.

Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Starostwie Powiatowym w Gostyniu

Polityka Bezpieczeństwa przetwarzania danych osobowych. w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach

ZARZĄDZENIE NR 22/2006 Wójta Gminy Gostycyn z dnia r.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNEJ BIBLIOTECE PUBLICZNEJ W BUKOWCU

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. służącym do przetwarzania danych osobowych

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Polityka bezpieczeństwa informacji w serwisie techrobot.pl

I. Wstęp. II. Definicje

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA

REGULAMIN przechowywania i ochrony danych osobowych w spółce Ex lege Sp. z o.o.

3 Zarządzenie niniejsze obowiązuje od r. ... (podpis dyrektora)

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka bezpieczeństwa. systemów informatycznych służących do przetwarzania danych osobowych. w Starostwie Powiatowym w Gryfinie

POLITYKA BEZPIECZENSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W URZĘDZIE GMINY ŁYSE. Rozdział I Wprowadzenie

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Załącznik nr 1 do zarządzenia nr 10 dyrektora ZSO w Sokółce z dnia 30 grudnia 2010 r.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Instrukcja Postępowania w Sytuacji Naruszeń. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Bezpieczeństwo teleinformatyczne danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH FILHARMONII DOLNOŚLĄSKIEJ W JELENIEJ GÓRZE

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY BORZECHÓW

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

ZASADY OCHRONY DANYCH OSOBOWYCH W STOWARZYSZENIU PO PIERWSZE RODZINA

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Instrukcja. zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. w Ośrodku Pomocy Społecznej. w Dębnicy Kaszubskiej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W GIMNAZJUM NR 2 W STARGARDZIE SZCZECIŃSKIM

Szkolenie. Ochrona danych osobowych

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

POLITYKA BEZPIECZE ŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄ PRZETWARZANIADANYCH OSOBOWYCH W VILARTE POLSKA SP. Z O.O. ROZDZIAŁ 1 PODSTAWAPRAWNA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa systemów informatycznych Służących do przetwarzania danych osobowych w Urzędzie Gminy Krzemieniewo

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

I Postanowienia ogólne. II Rejestrowanie w systemie informatycznym

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Polityka bezpieczeństwa danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Zarządzenie wchodzi w życie z dniem 5 lipca 2013 roku.

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH. w Centrum Stomatologii MATHIAS-DENT Grażyna Mathias

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Rozdział I Zagadnienia ogólne

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W STANIEWICACH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA OCHRONY DANYCH OSOBOWYCH

Przetwarzanie danych osobowych w przedsiębiorstwie

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

OSOBOWYCH. ROZDZIAŁ I Postanowienia ogólne... str ROZDZIAŁ II Wykaz zbiorów danych osobowych... str

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

Zarządzenie wewnętrzne Nr Wójta Gminy Dubicze Cerkiewne z dnia 10 września 2012r.

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

OCHRONA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Transkrypt:

Załącznik Nr 1 do zarządzenia Nr ORG.0050.195.2012 Wójta Gminy Wilków z dnia 27 kwietnia 2012 r. Polityka Bezpieczeństwa przetwarzania w Urzędzie Gminy w Wilkowie

1. Wprowadzenie. W systemie Urzędu Gminy w Wilkowie przetwarzane są informacje stanowiące dane osobowe w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z poźn.zm.). W związku z przetwarzaniem Administrator danych jest obowiązany zastosować środki technicznei organizacyjne zapewniające ochronę przetwarzanych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Osobą odpowiedzialną za właściwy i niezakłócony przebieg przetwarzania danych w tym systemie jest Administrator Bezpieczeństwa Informacji. 2. Definicje. W dokumencie przyjmuje się następującą terminologię: Generalny Inspektor Ochrony Danych Osobowych organ do spraw ochrony. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Dane wrażliwe dane o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanychw postępowaniu sądowym lub administracyjnym. Administrator danych organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania. Administratorem danych jest Wójt Gminy Wilków. Administratorze Bezpieczeństwa Informacji osoba wyznaczona przez administratora, odpowiedzialna za bezpieczeństwo danych osobowych i nadzorowanie przestrzegania zasad ochrony przetwarzania danych. Administratorze Bezpieczeństwa Systemów Informatycznych osoba wyznaczona przez administratora danych, odpowiedzialna za bezpieczeństwo przetwarzanych w systemach informatycznych. Zbiór danych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego,

czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 3. Obszar przetwarzania prowadzony jest według wzoru stanowiącego załącznik Nr 1 do polityki bezpieczeństwa. Dokument zawiera następujące informacje: liczbę porządkową, adres budynku, nr pokoju biurowego. 4. Wykaz zbiorów przetwarzanych w systemie informatycznym Urzędu prowadzony jest według wzoru stanowiącego załącznik Nr 2 do polityki bezpieczeństwa. Wykaz zawiera następujące informacje: liczbę porządkową, nazwę zbioru, podstawę prawną przetwarzania, strukturę zbioru, program, numer zbioru, zgłoszenie GIODO. 5. Środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności danych przetwarzanych w systemie. a) środki ochrony fizycznej: dostęp do pokoi biurowych jest kontrolowany poprzez wydawanie kluczy tylko osobom upoważnionym; szczególne zabezpieczenie centrum przetwarzania danych (komputer centralny, serwerownia) poprzez zastosowanie systemu kontroli dostępu; wyposażenie pomieszczeń w szafy dające gwarancję bezpieczeństwa dokumentacji; dostęp do pomieszczenia, w którym znajdują się urządzenia serwerowe mają tylko osoby uprawnione; b) środki sprzętowe, informatyczne i telekomunikacyjne: stosuje się niszczarki dokumentów; uszkodzone nośniki magnetyczne przed ich wycofaniem z użycia należy fizycznie zniszczyć poprzez przecięcie, przełamanie itp. urządzenia wchodzące w skład infrastruktury sieciowej, serwera oraz komputery, na których przetwarzane są dane osobowe podłączone są do lokalnych awaryjnych zasilaczy UPS, zabezpieczających przed skokami napięcia i zanikiem zasilania; sieć lokalna skonfigurowana jest w topologii gwiazdy; sieć lokalna podłączona jest do Internetu poprzez router spełniający jednocześnie funkcję sprzętowego, zewnętrznego firewalla filtrującego dane przechodzące pomiędzy siecią lokalną i siecią publiczną; wszystkie gniazdka lokalnej sieci komputerowej są galwanicznie oddzielone od szkieletu sieci komputerowej. Podłączenie danego użytkownika do sieci komputerowej dokonuje Administrator Bezpieczeństwa Systemów Informatycznych; kopie zapasowe wykonywane są raz w tygodniu;

c) środki ochrony w ramach oprogramowania urządzeń teletransmisji: na komputerach użytkowników systemu działa program antywirusowy; dostęp do serwera zawierającego dane osobowe zabezpieczony jest loginem i hasłem oraz zaporą sieciową na poziomie oprogramowania; d) środki ochrony w ramach oprogramowania systemu: dostęp do baz zastrzeżony jest wyłącznie dla uprawnionych pracowników; konfiguracja systemu umożliwia użytkownikom końcowym dostęp do danych osobowych przechowywanych w systemie informatycznym wyłącznie za pośrednictwem aplikacji stosowanych w urzędzie; e) środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych: zastosowano identyfikator i hasło dostępu do danych na poziomie aplikacji; dla każdego użytkownika systemu wyznaczony jest odrębny identyfikator; użytkownicy mają dostęp do aplikacji umożliwiający dostęp tylko do tych, do których mają uprawnienia; f) środki ochrony w ramach systemu użytkowego: komputer, z którego możliwy jest dostęp do zabezpieczony jest hasłem uruchomieniowym; zastosowano wygaszenie ekranu w przypadku dłuższej nieaktywności użytkownika; zastosowano blokadę hasłem podczas dłuższej nieaktywności użytkownika; g) środki organizacyjne: wyznaczono Administratora Bezpieczeństwa Informacji; tymczasowe wydruki z danymi osobowymi są po ustaniu ich przydatności niszczone; kopie awaryjne danych zapisywanych w programach wykonywane są codziennie; kopie awaryjne przechowywane są w wyznaczonym pomieszczeniu; płyty CD, DVD na których przechowuje się kopie awaryjne niszczy się w sposób mechaniczny, tak by nie można było użyć ich ponownie; do przetwarzania przy użyciu systemu informatycznego dopuszczane są osoby na podstawie indywidualnego upoważnienia do dostępudo przetwarzania wydawanego przez Administratora Danych Osobowych. Wzór upoważnienia załącznik Nr 3 do polityki bezpieczeństwa; osoby mające dostęp do danych powinny zostać przeszkolone z zakresu ustawy o ochronie. Po przeszkoleniu podpisywane jest oświadczenie według wzoru stanowiącego załącznik Nr 4 do polityki bezpieczeństwa; osoby zatrudnione przy przetwarzaniu zobowiązane są do zachowania ich w tajemnicy; osoby przetwarzające dane osobowe są przed dopuszczeniem ich do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych

osobowych, procedur przetwarzania danych oraz informowane o podstawowych zagrożeniach związanych z przetwarzaniem danych osobowych w systemie informatycznym; prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych, której wzór stanowi załącznik Nr 5 do polityki bezpieczeństwa; ustalono Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania ; zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych osobowych; rejestracji podlegają wszystkie przypadki awarii systemu, działania konserwacyjne w systemie oraz naprawy; w przypadku, gdy zachodzi konieczność naprawy sprzętu poza siedzibą urzędu, należy wymontować z niego nośniki informacji zawierające dane osobowe; w pomieszczeniach w których znajdują się serwery powinna być klimatyzacja, która zapewnia właściwą temperaturę i wilgotność powietrza dla sprzętu komputerowego; w pobliżu wejścia do pomieszczenia z serwerami i innymi urządzeniami znajduje się gaśnica, która okresowo jest napełniana i kontrolowana przez specjalistę. 6. Opis zdarzeń naruszających ochronę.0 Podział zagrożeń: zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), których występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, a ciągłość systemu zostaje zakłócona lecz nie dochodzi do naruszenia poufności danych. zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora systemu, awarie sprzętowe, błędy oprogramowania), przy których może dojść do zniszczenia danych, a ciągłość pracy systemu może zostać zakłócona oraz może nastąpić naruszenie poufności danych, zagrożenia zamierzone, świadome i celowe - najpoważniejsze zagrożenia, gdzie występuje naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy). Zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu. 7. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to głównie: a) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej itp.,

b) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych; c) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych, a także niewłaściwe działanie serwisu, a tym sam fakt pozostawienia serwisantów bez nadzoru; d) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub innego komunikatu o podobnym znaczeniu; e) jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie; f) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie; g) próba lub modyfikacja danych oraz zmiana w strukturze danych bez odpowiedniego upoważnienia (autoryzacji); h) niedopuszczalna manipulacja danymi osobowymi w systemie; i) ujawnienie osobom nieupoważnionym lub objętych tajemnicą procedur ochrony przetwarzania albo innych strzeżonych elementów systemu; j) praca w systemie lub jego sieci komputerowej wykazująca nieprzypadkowe odstępstwa od założonego rytmu pracy oraz wskazująca na przełamanie lub zaniechanie ochrony - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp. k) ujawnienie istnienia nieautoryzowanych kont dostępu do danych lub tzw. bocznej furtki itp.; l) zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub w sposób niedozwolony kasowanie lub kopiowanie danych; ł) rażące naruszenia dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na w celach prywatnych, itp.). 8. Procedura postępowania w przypadku naruszenia ochrony danych osobowych a) każdy pracownik urzędu, który stwierdzi fakt naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe, bądź posiada informację mogącą mieć wpływ na bezpieczeństwo jest zobowiązany niezwłocznie zgłosić to Administratorowi Bezpieczeństwa Informacji;

b) w razie braku możliwości zawiadomienia Administratora Bezpieczeństwa Informacji lub osoby przez niego upoważnionej, należy zawiadomić bezpośredniego przełożonego; c) do czasu przybycia na miejsce Administratora Bezpieczeństwa Systemów Informatycznych należy: niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony (o ile to możliwe); rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia; zaniechać o ile to możliwe dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie analizę; ustalić przyczynę i sprawcę naruszenia ochrony; d) po przybyciu na miejsce naruszenia bezpieczeństwa Administrator Bezpieczeństwa Informacji podejmuje następujące kroki: zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy urzędu, może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem, rozważa celowość i potrzebę powiadomienia o zaistniałym naruszeniu Administratora Danych Osobowych, e) Administrator Bezpieczeństwa Informacji dokumentuje zaistniały przypadek naruszenia bezpieczeństwa sporządzając raport wg wzoru stanowiącego załącznik Nr 6 do polityki bezpieczeństwa; f) raport z wystąpienia zdarzenia Administrator Bezpieczeństwa Informacji przekazuje Administratorowi Danych Osobowych; g) Administrator Bezpieczeństwa Systemów Informatycznych zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń, oraz terminu wznowienia przetwarzania ). 9. Postanowienia końcowe Administrator Bezpieczeństwa Informacji zobowiązany jest prowadzić ewidencję osób, które zostały zapoznane z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych według wzoru określonego w załączniku Nr 7 do niniejszej polityki bezpieczeństwa.

Załącznik Nr 1 do Polityki bezpieczeństwa WZÓR Obszar przetwarzania Lp. Adres budynku Nr pokoju biurowego

Załącznik Nr 2 do Polityki bezpieczeństwa WZÓR WYKAZ ZBIORÓW OSOBOWYCH Lp. Nazwa zbioru Podstawa prawna przetwarzania Struktura zbioru Program Numer zbioru Zgłoszenie GIODO

Załącznik Nr 3 do Polityki bezpieczeństwa WZÓR Nr... Wilków, dnia... UPOWAŻNIENIE do przetwarzania Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926 z późn.zm.) upoważniam Pana/ią... zatrudnionego na stanowisku... do przetwarzania wynikających z zakresu obowiązków pracowniczych. pracy. Upoważnienie ważne jest od dnia...r. do dnia ustania stosunku

Załącznik Nr 4 do Polityki bezpieczeństwa WZÓR Wilków, dnia...... (imię i nazwisko)... (stanowisko) OŚWIADCZENIE Oświadczam, że zostałam/em przeszkolona/y w zakresie ochrony danych osobowych i zapoznałam(em) się z przedmiotową ustawą oraz zobowiązuję się do przestrzegania wymogów ustawy w pełnym zakresie, a w szczególności: zachowania szczególnej staranności w trakcie wykonywania operacji przetwarzania danych w celu ochrony interesów osób, których dane dotyczą, zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym.... (podpis pracownika)

Załącznik Nr 5 do Polityki bezpieczeństwa WZÓR EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY W WILKOWIE Lp. Imię i nazwisko Stanowisko pracy Zakres upoważnienia Nr zbiorów Okres upoważnienia od do Nr upoważnienia Uwagi

Załącznik Nr 6 do Polityki bezpieczeństwa WZÓR Raport z naruszenia bezpieczeństwa 1. Data:... Godzina:... (dd.mm.rrrr) (gg:mm) 2. Osoba powiadamiająca o zaistniałym zdarzeniu: (imię, nazwisko, stanowisko służbowe, nazwa użytkownika - jeśli występuje) 3. Lokalizacja zdarzenia: (np. nr pokoju, nazwa pomieszczenia) 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: 5. Przyczyny wystąpienia zdarzenia: 6. Podjęte działania: 7. Postępowanie wyjaśniające:..... (data, podpis Administratora Bezpieczeństwa Informacji)

Załącznik Nr 7 do Polityki bezpieczeństwa WZÓR Wykaz osób, które zostały zapoznane z Polityką ochrony oraz Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Lp. Imię i nazwisko Stanowisko Data Podpis

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres