Polityka bezpieczeństwa informacji w tym danych osobowych



Podobne dokumenty
ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

a) po 11 dodaje się 11a 11g w brzmieniu:

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

POLITYKA BEZPIECZEŃSTWA

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA

1. Polityka Bezpieczeństwa

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Rozdział I Zagadnienia ogólne

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH Stowarzyszenia Radomszczański Uniwersytet Trzeciego Wieku WIEM WIĘCEJ z dnia 30 lipca 2015 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

REGULAMIN. organizacji i przetwarzania danych osobowych.

Instrukcja Zarządzania Systemem Informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Różanie,

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Zał. nr 2 do Zarządzenia nr 48/2010 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Rozdział I Postanowienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

ZARZĄDZENIE NR 5/2016 WÓJTA GMINY MAŁKINIA GÓRNA. z dnia 2 lutego 2016 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY PIERZCHNICA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH Regionalnego Stowarzyszenia Pamięci Historycznej ŚLAD

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

WZÓR UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH REALIZACJI UMOWY Nr.. Z DNIA roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

POLITYKA BEZPIECZEŃSTWA INFORMACJI Urzędu Miasta Kościerzyna

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka bezpieczeństwa danych osobowych Urzędu Gminy Krzęcin

ZARZĄDZENIE NR 120/38/15 PREZYDENTA MIASTA TYCHY. z dnia 30 kwietnia 2015 r.

Polityka bezpieczeństwa przetwarzania. danych osobowych. 4-Wheels Mateusz Ziomek, z siedzibą ul. Dobra 8/10/42, Warszawa

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w W&H Sp. z. o.o. ul. Kościuszki 49, Turza Śląska, NIP:

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

POLITYKA OCHRONY DANYCH OSOBOWYCH

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

POLITYKA BEZPIECZEŃSTWA

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

Transkrypt:

Załącznik nr 1 do zarządzenia Prezydenta Miasta Jastrzębie-Zdrój nr Or.IV.0050.612.2015 z dnia 18 listopada 2015 roku Urząd Miasta Jastrzębie-Zdrój Polityka bezpieczeństwa informacji w tym danych osobowych

1 Historia dokumentu Lp Data Wersja Osoba Opis wykonanych prac 1 26 maja 2008 2.0 Mirosław Klimala Opracowanie nowej wersji dokumentu 2 24 czerwca 2008 2.1 Mirosław Klimala Aktualizacja dokumentu 3 28 listopada 2014 2.2 Grzegorz Dulemba Aktualizacja dokumentu 4 13 listopad 2015 2.3 Grzegorz Dulemba Aktualizacja dokumentu Urząd Miasta Jastrzębie-Zdrój strona 2/14

2 Spis treści 1 HISTORIA DOKUMENTU... 2 2 SPIS TREŚCI... 3 3 PODSTAWA PRAWNA... 5 4 DEFINICJE... 5 5 ZAANGAŻOWANIE KIEROWNICTWA URZĘDU... 6 6 CELE POLITYKI BEZPIECZEŃSTWA INFORMACJI... 6 7 ZAKRES POLITYKI BEZPIECZEŃSTWA INFORMACJI... 6 8 ODPOWIEDZIALNOŚĆ... 7 8.1 ODPOWIEDZIALNOŚĆ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI... 7 8.2 ODPOWIEDZIALNOŚĆ ADMINISTRATORA SYSTEMU INFORMATYCZNEGO... 7 8.3 ODPOWIEDZIALNOŚĆ PRACOWNIKÓW... 8 9 WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR PRZETWARZANIA INFORMACJI... 8 10 WYKAZ ZBIORÓW INFORMACJI W TYM DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO ICH PRZETWARZANIA... 8 11 OPIS STRUKTURY ZBIORÓW INFORMACJI W TYM DANYCH OSOBOWYCH... 8 12 EWIDENCJA SPRZĘTU KOMPUTEROWEGO STOSOWANEGO DO PRZETWARZANIA INFORMACJI... 9 13 OPIS PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI... 9 14 OKREŚLENIE FIZYCZNYCH, TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓW OCHRONY INFORMACJI... 9 14.1 ŚRODKI OCHRONY FIZYCZNEJ... 9 14.2 ŚRODKI ORGANIZACYJNE... 9 14.2.1 Dostęp do pomieszczeń... 9 14.2.2 Gospodarka kluczami do pomieszczeń... 10 14.2.3 Organizacja stanowisk pracy... 10 14.2.4 Upoważnienia do przetwarzania informacji w tym danych osobowych... 10 14.2.5 Gospodarka dokumentami papierowymi... 11 14.2.6 Przetwarzanie informacji w tym danych osobowych w systemie informatycznym... 12 14.2.7 Naruszenie ochrony informacji... 12 14.3 ŚRODKI TECHNICZNE... 12 14.3.1 Zasilanie... 12 14.3.2 Sieć publiczna Internet... 12 14.3.3 Autoryzacja w systemach informatycznych... 12 14.3.4 Oprogramowanie zabezpieczające... 13 14.3.5 Kopie... 13 15 ZNAJOMOŚĆ POLITYKI BEZPIECZEŃSTWA... 13 Urząd Miasta Jastrzębie-Zdrój strona 3/14

16 PRZEGLĄD BEZPIECZEŃSTWA, MONITORING... 13 17 ZASADY WSPÓŁPRACY Z PODMIOTAMI ZEWNĘTRZNYMI... 13 17.1 PRZESZKOLENIE I UPOWAŻNIENIA... 13 17.2 UMOWY... 14 17.3 BEZPIECZEŃSTWO INFORMACJI W ZARZĄDZANIU PROJEKTAMI... 14 18 SPIS ZAŁĄCZNIKÓW... 14 Urząd Miasta Jastrzębie-Zdrój strona 4/14

3 Podstawa prawna Niniejszy dokument jest zgodny następującymi przepisami prawa: Ustawa o ochronie danych osobowych z dnia 1997-08-29 (Dz. U. 1997 Nr 133, poz. 883) tekst jednolity Dz. U. 2014r. poz. 1182 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 2004-04-29 (Dz. U. 2004 Nr 100, poz. 1024) Przepisy odrębne, na podstawie których Prezydent Miasta jest Administratorem Danych Osobowych. 4 Definicje Ilekroć w dokumencie jest mowa o: Urzędzie należy przez to rozumieć Urząd Miasta Jastrzębie-Zdrój Administratorze Danych Osobowych (ADO) należy przez to rozumieć Prezydenta Miasta Jastrzębie-Zdrój Administratorze Bezpieczeństwa Informacji (ABI) należy przez to rozumieć osobę wyznaczoną przez Administratora Danych Osobowych, odpowiedzialną za nadzorowanie przestrzegania zasad ochrony Administratorze Systemu Informatycznego (ASI) należy przez to rozumieć osobę wyznaczoną przez Administratora Danych Osobowych odpowiedzialną za funkcjonowanie systemu informatycznego Urzędu Miasta Właściciel Zbioru Danych (WZD) należy przez to rozumieć Naczelnika Wydziału lub Biura odpowiedzialnego za bieżącą aktualizację zbioru informacji, danych osobowych. (w przypadku jego nieobecności osoba pełniąca za niego zastępstwo) Użytkowniku należy przez to rozumieć osobę upoważnioną przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji do przetwarzania informacji. Użytkownikiem może być pracownik Urzędu, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż lub praktyki Poufności danych należy rozumieć właściwość zapewniającą, że dane są przetwarzane tylko i wyłącznie przez uprawnione do tego podmioty lub procesy Integralności danych należy rozumieć właściwość danych polegającą zapewnieniu stanu niezmienności, poprawności i wewnętrznej spójności Dostępności danych należy rozumieć właściwość polegającą na zapewnieniu możliwości niezakłóconego przetwarzania danych w wybranym przez podmiot momencie czasu Rozliczalności danych należy przez to rozumieć właściwość danych zapewniającą możliwość jednoznacznego przypisania podmiotowi lub procesowi działań na danych Urząd Miasta Jastrzębie-Zdrój strona 5/14

Bezpieczeństwo danych zapewnienie przetwarzanym danym takich cech jak: poufność, integralność, dostępność oraz rozliczalność 5 Zaangażowanie Kierownictwa Urzędu Najwyższe Kierownictwo Urzędu deklaruje swoje zaangażowanie i odpowiedzialność za wdrożenie, sprawne działanie oraz doskonalenie systemu ochrony informacji przetwarzanych w Urzędzie. W tym celu: ustanawia i poleca pracownikom do stosowania Politykę bezpieczeństwa informacji w tym danych osobowych, wyznacza Administratora Bezpieczeństwa Informacji (ABI) i Administratora Systemu Informatycznego (ASI), zapewnia dostępność zasobów koniecznych do realizacji zadań związanych z ochroną informacji, systematycznie przeprowadza przegląd bezpieczeństwa. 6 Cele Polityki bezpieczeństwa informacji Informacje, a w tym dane osobowe przetwarzane są w Urzędzie Miasta w Jastrzębiu Zdroju z poszanowaniem przepisów prawa w celu: realizacji zadań własnych miasta, realizacji zadań zleconych, zapewnienia prawidłowej, zgodnej z prawem polityki personalnej oraz bieżącej obsługi stosunków pracy, a także innych stosunków zatrudnienia. Celem opracowania i stosowania Polityki bezpieczeństwa informacji jest zapewnienie bezpieczeństwa przetwarzanych w Urzędzie informacji. 7 Zakres Polityki bezpieczeństwa informacji Polityka bezpieczeństwa informacji opisuje zagadnienia związane z bezpieczeństwem informacji przetwarzanych w Urzędzie zarówno w zbiorach: tradycyjnych w postaci papierowej, elektronicznych przetwarzanych w systemach informatycznych. Do stosowania Polityki bezpieczeństwa informacji zobowiązani są wszyscy pracownicy mający jakikolwiek dostęp do informacji, w tym praktykanci, stażyści, osoby zatrudnione na podstawie umów cywilno-prawnych oraz pracownicy firm zewnętrznych wykonujących prace zlecone. Zasady ochrony danych opisane w niniejszym dokumencie mogą być stosowane przy przetwarzaniu informacji nie zawierających danych osobowych, ale istotnych dla prawidłowego funkcjonowania Urzędu. Urząd Miasta Jastrzębie-Zdrój strona 6/14

8 Odpowiedzialność 8.1 Odpowiedzialność Administratora Bezpieczeństwa Informacji W imieniu Administratora Danych Osobowych nadzór nad przestrzeganiem zasad ochrony sprawuje Administrator Bezpieczeństwa Informacji. Odpowiada on za: zapewnienie, aby do informacji miały dostęp wyłącznie osoby upoważnione w zakresie wykonywanych zadań, zarządzanie uprawnieniami do przetwarzania informacji w imieniu Administratora Danych Osobowych, prowadzenie rejestru wydanych upoważnień do przetwarzania informacji, w tym danych osobowych zlecanie modyfikacji uprawnień w systemach informatycznych w przypadku odebrania lub zmiany upoważnienia do przetwarzania informacji, nadzór fizycznych i technicznych zabezpieczeń pomieszczeń stanowiących obszar przetwarzania informacji oraz kontrolę przebywających w nich osób, prowadzenie rejestru wydanych upoważnień do odbioru kluczy i kart dostępowych, nadzór nad realizacją zasad ochrony danych określonych w dokumentacji bezpieczeństwa, nadzór na obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe, szkolenie osób dopuszczonych do przetwarzania informacji z zakresu przepisów prawa oraz uregulowań wewnętrznych w zakresie bezpieczeństwa informacji, nadzór nad zgłoszeniami zbiorów danych osobowych do Generalnego Inspektora Ochrony Informacji, aktualizacja dokumentacji bezpieczeństwa, w tym przygotowywanie instrukcji i procedur, w przypadku zgłoszenia naruszenia bezpieczeństwa informacji: doraźne zabezpieczenie danych, zabezpieczenie dowodów, analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych oraz przygotowanie dla Administratora Danych Osobowych stosownego raportu, okresowe przeprowadzanie przeglądu bezpieczeństwa. 8.2 Odpowiedzialność Administratora Systemu Informatycznego Administrator Systemu Informatycznego odpowiada za poprawne funkcjonowanie systemu informatycznego Urzędu oraz stosowanie technicznych środków ochrony informacji. W szczególności odpowiada za: nadzór nad wykonywaniem kopii zapasowych, sposobem ich przechowywana, weryfikacją, nadzór nad wykonywaniem przeglądów, konserwacji oraz uaktualnień systemów informatycznych służących do przetwarzania informacji oraz wszystkich innych czynności na bazach informacji, zapewnienie poprawnego działania systemów zabezpieczeń systemów informatycznych, sieci komputerowej, systemów zapasowego zasilania itp., nadzór nad prawidłowością funkcjonowania systemów autoryzacji użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do informacji, podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu Urząd Miasta Jastrzębie-Zdrój strona 7/14

informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa informacji. aktualizacja instrukcji zarządzania systemem informatycznym 8.3 Odpowiedzialność pracowników Każdy pracownik przetwarzający informacje jest zobowiązany do: posiadania upoważnienia do przetwarzania informacji, w tym danych osobowych w związku z wykonywaniem swojego zakresu czynności, zapoznania się i stosowania obowiązujących przepisów dotyczących ochrony informacji (w tym dokumentacji bezpieczeństwa) niezwłocznego informowania przełożonych lub ABI o stwierdzeniu lub o powzięciu podejrzenia o naruszeniu bezpieczeństwa informacji. 9 Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar przetwarzania informacji Obszar przetwarzania informacji stanowią budynki Urzędu Miasta Jastrzębie-Zdrój: Siedziba główna Urzędu Miasta - al. Piłsudskiego 60 Siedziba Urzędu Stanu Cywilnego ul. Zielona 20B Siedziba Wydziału Spraw Rodzinnych i Alimentacyjnych - ul. Zielona 20A Siedziba Jastrzębskiego Centrum Organizacji Pozarządowych ul. Wrzosowa 12 A Szczegółowy wykaz pomieszczeń, w których przetwarza się informacje zawiera załącznik nr 1 do niniejszego dokumentu. Naczelnicy Wydziałów i Biur informują niezwłocznie Administratora Bezpieczeństwa Informacji o zmianach powodujących konieczność aktualizacji powyższego wykazu. 10 Wykaz zbiorów informacji w tym danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania Wykaz zbiorów informacji w tym danych osobowych wraz ze wskazaniem programów do ich przetwarzania zawiera załącznik nr 2 do niniejszego dokumentu. Naczelnicy Wydziałów i Biur informują niezwłocznie Administratora Bezpieczeństwa Informacji o zmianach powodujących konieczność aktualizacji powyższego wykazu. 11 Opis struktury zbiorów informacji w tym danych osobowych Opisu struktury zbiorów informacji w tym danych osobowych wskazujący zawartość poszczególnych pól informacyjnych oraz powiązania między nimi zawiera załącznik nr 3 do niniejszego dokumentu. Naczelnicy Wydziałów i Biur informują niezwłocznie Administratora Bezpieczeństwa Informacji o zmianach powodujących konieczność aktualizacji powyższego wykazu. Urząd Miasta Jastrzębie-Zdrój strona 8/14

12 Ewidencja sprzętu komputerowego stosowanego do przetwarzania informacji W Urzędzie prowadzi się w postaci elektronicznej ewidencję sprzętu komputerowego oraz oprogramowania stosowanego w Urzędzie do przetwarzania informacji. Za prowadzenie powyższej ewidencji odpowiada Administrator Systemu Informatycznego. 13 Opis przepływu danych pomiędzy poszczególnymi systemami Opis przepływu danych pomiędzy poszczególnymi systemami znajduje się w załączniku nr 4 do niniejszego dokumentu. Naczelnicy Wydziałów i Biur informują niezwłocznie Administratora Bezpieczeństwa Informacji o zmianach powodujących konieczność aktualizacji powyższego wykazu. 14 Określenie fizycznych, technicznych i organizacyjnych środków ochrony informacji W Urzędzie stosuje się środki bezpieczeństwa adekwatne dla wysokiego poziomu bezpieczeństwa przetwarzania informacji w tym danych osobowych w systemie informatycznym określonego w załączniku nr 1 do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 2004-04-29 (Dz. U. 2004 Nr 100, poz. 1024) 14.1 Środki ochrony fizycznej Budynki Urzędu, w których znajdują się pomieszczenia stanowiące obszar przetwarzania informacji są pod całodobowym nadzorem Straży Miejskiej wyposażonej w system monitoringu wizyjnego. Wszystkie pomieszczenia oraz budynki są zamykane po zakończeniu pracy. Urządzenia służące do przetwarzania informacji znajdują się w pomieszczeniach zabezpieczonych zamkami patentowymi. Pomieszczenie, w którym znajdują się jednostki centralne (serwery) wyposażone są dodatkowo w zamki elektroniczne oraz drzwi wzmacniane i systemy alarmowe. Rezerwowe kopie danych przechowywane są w pomieszczeniu zamkniętym, zabezpieczonym dwoma zamkami patentowymi, w zamykanej szafie. Dokumenty papierowe zawierające informacje w tym dane osobowe przechowywane są w meblach biurowych (szafach, szufladach biurek), a tam gdzie to możliwe, w szafach metalowych lub pancernych, które po zakończeniu pracy są zamykane, a klucze do nich odpowiednio zabezpieczone przed nieupoważnionym dostępem. 14.2 Środki organizacyjne 14.2.1 Dostęp do pomieszczeń Pomieszczenia tworzące obszar przetwarzania informacji, na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych powinny być zamykane w sposób uniemożliwiający dostęp osób postronnych. Zakazuje się pozostawiania otwartych pomieszczeń podczas nieobecności pracowników. Urząd Miasta Jastrzębie-Zdrój strona 9/14

Przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania informacji dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych, Administratora Bezpieczeństwa Informacji lub osoby przez niego wyznaczonej. Do przebywania w pomieszczeniu serwerowni, w którym znajdują się jednostki centralne systemów informatycznych uprawnieni są: Administrator Danych Osobowych, Administrator Bezpieczeństwa Informacji, Administrator Systemu Informatycznego, pracownicy Wydziału Informatyki. Przebywanie osób nieuprawnionych (np. konserwator, sprzątaczka) w pomieszczeniu serwerowni dopuszczalne jest tylko w obecności osób uprawnionych, o których mowa powyżej lub w obecności osoby upoważnionej pisemnie przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji. Po zakończeniu wyznaczonych godzin pracy Urzędu zabrania się przebywania na jego terenie osób nie będących jego pracownikami, za wyjątkiem osób wykonujących prace zlecone umowami i posiadających pisemną zgodę Sekretarza Miasta, wydawaną na wniosek osoby zlecającej pracę. Zaakceptowany wniosek należy dostarczyć portierowi oraz dyżurnemu Miejskiego Ośrodka Dyżurnego. 14.2.2 Gospodarka kluczami do pomieszczeń Klucze oraz klucze zapasowe do pomieszczeń przechowywane są w portierni budynku Urzędu w przeznaczonych do tego celu zamykanych kasetach. Klucze muszą być jednoznacznie i trwale oznaczone numerem pomieszczenia. Po zakończeniu pracy Użytkownicy zdają klucze do portierni lub do specjalnej skrytki na klucze. Klucze wydawane są tylko pracownikom posiadającym stosowne upoważnienia wydane przez ABI na wniosek Naczelników Wydziałów i Biur. Rejestr upoważnień do odbioru kluczy prowadzi ABI. Aktualna kopia rejestru do wglądu portiera znajduje się na portierni. Klucze dla personelu sprzątającego wydawane są zgodnie z harmonogramem pracy ustalonym przez Naczelnika Wydziału Organizacyjnego. Zabrania się wykonywania nieautoryzowanych kopii kluczy umożliwiających dostęp do pomieszczeń Urzędu. Szczegółowe uregulowania dotyczące zarządzania kluczami zawiera Procedura nadzoru i gospodarki kluczami wydana odrębnym zarządzeniem Prezydenta Miasta. Wzory wniosków o nadanie i odwołanie upoważnienia do obioru kluczy do pomieszczeń zawiera załącznik nr 5 do niniejszej Polityki. 14.2.3 Organizacja stanowisk pracy Stanowiska pracy w powinny być zorganizowane w taki sposób, aby podczas przebywania w pomieszczeniach osób nieuprawnionych uniemożliwić im nieautoryzowany dostęp do informacji zawartych w dokumentach papierowych, wykonywanych wydrukach komputerowych czy prezentowanych na monitorach komputerowych. Obowiązuje zasada tzw. czystego biurka. Po zakończeniu pracy wszystkie dokumenty zawierające informacje w tym dane osobowe i informacje wrażliwe należy umieścić w przeznaczonych do tego zamykanych na klucz szafach, szufladach, kasetach. Klucze należy zabezpieczyć przed dostępem osób niepowołanych. 14.2.4 Upoważnienia do przetwarzania informacji w tym danych osobowych Informacje, w tym dane osobowe mogą być przetwarzane jedynie przez użytkowników posiadające stosowne upoważnienia. Urząd Miasta Jastrzębie-Zdrój strona 10/14

Upoważnienie do przetwarzania informacji w tym danych osobowych nadawane jest użytkownikom przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji na wniosek Naczelnika Wydziału. Wnioski o nadanie upoważnienia do przetwarzania danych osobowych w zbiorach winny zawierać zgodę Właścicieli tych zbiorów (wnioski o nadanie upoważnienia do przetwarzania informacji, w tym danych osobowych w aplikacjach winny zawierać zgodę Właścicieli tych aplikacji). Odwołanie upoważnienia dla użytkowników dokonywane jest na wniosek Naczelnika Wydziału przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji. Upoważnienia dla Zastępców Prezydenta, Sekretarza Miasta, Skarbnika oraz Doradców i Asystentów Prezydenta są nadawane i odwoływane przez Administratora Danych Osobowych na ich wniosek. Upoważnienia dla Naczelników wydziałów i biur są nadawane i odwoływane (na ich wniosek) przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji. Warunkiem upoważnienia użytkownika do przetwarzania informacji w tym danych osobowych jest odbycie przez niego przeszkolenia z zakresu ochrony danych, zapoznanie się z dokumentacją bezpieczeństwa oraz podpisanie oświadczenia o poufności. Upoważnienie do przetwarzania informacji w tym danych osobowych ma formę pisemną i w szczególności zawiera: podstawę prawną, nazwisko i imię użytkownika, określenie zbiorów danych osobowych, aplikacji, poziom uprawnień (administracja, edycja, wgląd), datę nadania, termin ważności, podpis upoważniającego. Upoważnienie może zawierać również zobowiązanie użytkownika do przetwarzania danych osobowych w sposób zapewniający bezpieczeństwo informacji. Użytkownik potwierdza przyjęcie upoważnienia. Upoważnienie traci ważność po upływie terminu na jaki zostało nadane, w momencie ustania zatrudnienia, zmiany stanowiska pracy, wygaśnięcia (lub skrócenia okresu trwania) umowy cywilnoprawnej. W przypadku porzucenia pracy Naczelnik Wydziału ma obowiązek niezwłocznego poinformowania o tym fakcie Wydział Informatyki i Biuro ds. Zarządzania Jakością w celu odwołania nadanych użytkownikowi upoważnień. Administrator Bezpieczeństwa Informacji prowadzi elektroniczny Rejestr osób upoważnionych do przetwarzania informacji w tym danych osobowych, w którym odnotowuje każdorazowo fakty nadania i odwołania upoważnień użytkownikom. Fakt nadania odnotowuje się w ww. rejestrze po nadaniu upoważnienia, natomiast odwołanie upoważnienia odnotowuje się po jego faktycznym odwołaniu, lub w przypadku wygaśnięcia upoważnienia w związku z ustaniem zatrudnienia, zmianą stanowiska pracy lub wygaśnięciem (lub skróceniem okresu trwania) umowy cywilnoprawnej użytkownika na podstawie karty obiegowej. Wzory wniosku o nadanie i odwołanie upoważnienia zawiera załącznik nr 5 do niniejszego dokumentu. 14.2.5 Gospodarka dokumentami papierowymi Zbędne, przeznaczone do wyrzucenia dokumenty papierowe, wydruki i ich kopie należy niezwłocznie niszczyć w odpowiednich niszczarkach lub zlecać zniszczenie wyspecjalizowanej Urząd Miasta Jastrzębie-Zdrój strona 11/14

firmie. W szczególności zabrania się usuwania takich dokumentów przez wyrzucenie ich do kosza na odpadki. 14.2.6 Przetwarzanie informacji w tym danych osobowych w systemie informatycznym Stosowane środki ochrony przy przetwarzaniu informacji w tym danych osobowych w systemie informatycznych opisuje Instrukcja zarządzania systemem informatycznym wprowadzona odrębnym zarządzeniem Prezydenta Miasta. 14.2.7 Naruszenie ochrony informacji W przypadku stwierdzenia naruszenia zasad ochrony informacji stosuje się Procedurę postępowania w przypadku naruszenia zasad bezpieczeństwa informacji wprowadzona odrębnym zarządzeniem Prezydenta Miasta. 14.3 Środki techniczne 14.3.1 Zasilanie Urządzenia techniczne wchodzące w skład lokalnej sieci komputerowej podłączone są do gniazd wydzielonej sieci zasilania. Zabrania się podłączania nieautoryzowanych urządzeń (np. czajników bezprzewodowych, radioodbiorników itp.) do gniazd zasilających urządzenia komputerowe. Jednostki centralne (serwery), urządzenia aktywne lokalnej sieci komputerowej obowiązkowo zabezpieczone są na wypadek zaniku napięcia zasilającego za pomocą wysokiej klasy zasilaczy awaryjnych UPS. Stacje robocze zabezpiecza się za pomocą zasilaczy awaryjnych w tych systemach, gdzie zanik napięcia zasilającego mógłby potencjalnie spowodować powstanie zagrożenia dla przetwarzanych informacji. 14.3.2 Sieć publiczna Internet Pracownicy Urzędu mają zapewniony dostęp do sieci publicznej Internet w celu realizacji obowiązków służbowych. Dostęp do usług sieci publicznej Internet podlega reglamentacji i kontroli za pomocą specjalistycznych urządzeń technicznych. Szczegółowe zasady przydziału uprawnień oraz zasad realizacji połączeń z siecią publiczną Internet zawiera Instrukcja Zarządzania Systemem Informatycznym. 14.3.3 Autoryzacja w systemach informatycznych Wszystkie serwery oraz stacje robocze wyposażone są w oprogramowanie systemowe posiadające mechanizmy identyfikacji i autoryzacji operatora oraz związane z nimi mechanizmy przydziału odpowiednich uprawnień do pracy w systemie informatycznym. W Urzędzie użytkownikami uprzywilejowanymi w zakresie dostępu do systemów i usług są pracownicy Wydziału Informatyki. Szczegółowe zasady autoryzacji w systemach informatycznych opisano w Instrukcji Zarządzania Systemem Informatycznym. Urząd Miasta Jastrzębie-Zdrój strona 12/14

14.3.4 Oprogramowanie zabezpieczające Serwery oraz stacje robocze chronione są przez zainstalowane na nich programy antywirusowe, które podlega regularnej aktualizacji. Serwer poczty elektronicznej wyposażony jest dodatkowo w filtry antyspamowe. Obowiązkowo serwery oraz stacje robocze posiadają włączone zapory sieciowe. 14.3.5 Kopie Regularnie wykonuje się kopie bezpieczeństwa systemów informatycznych, w których przetwarza się informacje w tym dane osobowe. Sposób wykonywania i przechowywania kopii bezpieczeństwa opisano w Instrukcji Zarządzania Systemem Informatycznym. 15 Znajomość polityki bezpieczeństwa Do zapoznania się z niniejszym dokumentem oraz stosowania zawartych w nim zasad zobowiązani są wszyscy pracownicy Urzędu. Okresowo, jednak nie rzadziej niż raz na trzy lata, organizuje się dla pracowników szkolenia z zakresu bezpieczeństwa informacji w tym danych osobowych. Każdy nowo przyjęty pracownik przed przystąpieniem do pracy musi odbyć obowiązkowe szkolenie z zakresu ochrony informacji w tym danych osobowych. Za organizację szkoleń z zakresu ochrony informacji w tym danych osobowych odpowiada ABI. 16 Przegląd bezpieczeństwa, monitoring Co najmniej raz w roku wykonywany jest w Urzędzie przegląd bezpieczeństwa. Za wykonanie przeglądu odpowiedzialny jest Administrator Bezpieczeństwa Informacji. Podczas przeglądu wykonywana jest: analiza raportów z incydentów bezpieczeństwa, kontrola stosowania procedur bezpieczeństwa, analiza dokumentacji bezpieczeństwa pod kątem zachowania aktualności, ewentualna aktualizacja procedur bezpieczeństwa. Z przeprowadzonego przeglądu bezpieczeństwa Administrator Bezpieczeństwa Informacji opracowuje raport dla Administratora Danych Osobowych. 17 Zasady współpracy z podmiotami zewnętrznymi 17.1 Przeszkolenie i upoważnienia Dostęp pracowników podmiotów zewnętrznych do pomieszczeń stanowiących obszar przetwarzania informacji możliwy jest jedynie po przeszkoleniu z zakresu obowiązujących rozwiązań z zakresu bezpieczeństwa danych oraz po uzyskaniu odpowiedniego upoważnienia. Za zapewnienie przeszkolenia odpowiedzialny jest Administrator Bezpieczeństwa Informacji, który w tym celu udostępnia stronom dokumentację bezpieczeństwa lub jej odpowiednie fragmenty. Urząd Miasta Jastrzębie-Zdrój strona 13/14

Po odbytym przeszkoleniu pracownicy firm zewnętrznych podpisują oświadczenia o zapoznaniu się z obowiązującymi w Urzędzie zasadami ochrony informacji oraz klauzule o zachowaniu poufności. 17.2 Umowy Umowy z podmiotami zewnętrznymi powinny zawierać zobowiązania do przestrzegania wymogów ochrony informacji w tym danych osobowych oraz klauzule o zachowaniu tajemnicy, o ile w trakcie realizacji tychże umów konieczny będzie dostęp pracowników podmiotów zewnętrznych do zbiorów danych, ich kopii, systemów informatycznych służących do przetwarzania informacji, systemów zabezpieczeń. 17.3 Bezpieczeństwo informacji w zarządzaniu projektami Projekty realizowane w Urzędzie dzielą się na projekty inwestycyjne i projekty Unijne. Zasady bezpieczeństwa informacji w projektach unijnych uregulowane są w instrukcjach, umowach i wytycznych do tych projektów. W przypadku projektów inwestycyjnych oraz braku uregulowań w projektach unijnych, zasady bezpieczeństwa informacji są identyczne jak w przypadku przetwarzania pozostałej dokumentacji urzędowej. 18 Spis załączników Załącznik nr 1 Obszar przetwarzania danych osobowych Załącznik nr 2 Wykaz zbiorów danych osobowych Załącznik nr 3 Opis struktury zbiorów danych Załącznik nr 4 Opis przepływu danych pomiędzy systemami Załącznik nr 5 Wzory wniosków, oświadczeń Załączniki do polityki zawierają informacje techniczne o charakterze organizacyjnym i porządkowym, nie mające bezpośredniego wpływu na realizacje zadań publicznych, podejmowanych rozstrzygnięć czy decyzji administracyjnych. Nie są informacjami publicznymi, w rozumieniu Ustawy o dostępie do informacji publicznej. Urząd Miasta Jastrzębie-Zdrój strona 14/14

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres