POLITYKA BEZPIECZEŃSTWA INFORMACJI

Podobne dokumenty
Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

Polityka bezpieczeństwa przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

ZARZĄDZENIE NR 22/2006 Wójta Gminy Gostycyn z dnia r.

POLITYKA BEZPIECZENSTWA

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNEJ BIBLIOTECE PUBLICZNEJ W BUKOWCU

Polityka Bezpieczeństwa przetwarzania danych osobowych. w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W STANIEWICACH

Załącznik nr 1 do zarządzenia nr 10 dyrektora ZSO w Sokółce z dnia 30 grudnia 2010 r.

OSOBOWYCH. ROZDZIAŁ I Postanowienia ogólne... str ROZDZIAŁ II Wykaz zbiorów danych osobowych... str

3 Zarządzenie niniejsze obowiązuje od r. ... (podpis dyrektora)

Polityka Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Wilkowie

Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Starostwie Powiatowym w Gostyniu

Polityka bezpieczeństwa informacji w serwisie techrobot.pl

Zarządzenie Nr 35/VI/2012 Wójta Gminy Braniewo z dnia 25 maja 2012 r.

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. służącym do przetwarzania danych osobowych

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Zarządzenie Nr 5/2012 Dyrektora Zespołu Obsługi Szkół i Przedszkoli w Muszynie z dnia 14 maja 2012r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH FILHARMONII DOLNOŚLĄSKIEJ W JELENIEJ GÓRZE

Polityka bezpieczeństwa. systemów informatycznych służących do przetwarzania danych osobowych. w Starostwie Powiatowym w Gryfinie

Polityka bezpieczeństwa przetwarzania danych osobowych w Szkole Podstawowej nr 23 im. Olimpijczyków Polskich w Lublinie

Zarządzenie wewnętrzne Nr Wójta Gminy Dubicze Cerkiewne z dnia 10 września 2012r.

SPIS TREŚCI SPIS ZAŁĄCZNIKÓW

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA BEZPIECZE ŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄ PRZETWARZANIADANYCH OSOBOWYCH W VILARTE POLSKA SP. Z O.O. ROZDZIAŁ 1 PODSTAWAPRAWNA

Instrukcja. zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. w Ośrodku Pomocy Społecznej. w Dębnicy Kaszubskiej

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH. w Centrum Stomatologii MATHIAS-DENT Grażyna Mathias

Polityka bezpieczeństwa danych osobowych

a) po 11 dodaje się 11a 11g w brzmieniu:

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Polityka bezpieczeństwa systemów informatycznych Służących do przetwarzania danych osobowych w Urzędzie Gminy Krzemieniewo

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zarządzenie wchodzi w życie z dniem 5 lipca 2013 roku.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W URZĘDZIE GMINY ŁYSE. Rozdział I Wprowadzenie

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY BORZECHÓW

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Rozdział I Zagadnienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU POMOCY SPOŁECZNEJ W ŁAZACH

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Procedura zarządzania incydentami. informacji

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

POLITYKA BEZPIECZEŃSTWA I INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY BOLESZKOWICE

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

Amatorski Klub Sportowy Wybiegani Polkowice

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W GIMNAZJUM NR 2 W STARGARDZIE SZCZECIŃSKIM

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik do zarządzenia nr 13/2010/2011 Polityka bezpieczeostwa danych osobowych POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

osobowych i ich zbiorów stanowiącą załącznik nr 1 do niniejszego zarządzenia.

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

POLITYKA BEZPIECZEŃSTWA

Polityka Bezpieczeństwa Ochrony Danych Osobowych

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Rozdział I Postanowienia ogólne

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Zarządzenie Nr 148/2007 Burmistrza Miasta i Gminy Mirsk z dnia r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SPOSÓB TRADYCYJNY ORAZ PRZY UŻYCIU SYSTEMU INFORMATYCZNEGO w Zespole Szkół Otocznej

ZARZĄDZENIE Nr 7/2010. Dyrektora Szkoły Podstawowej nr 10 im. Marii Skłodowskiej Curie w Zduńskiej Woli z dnia 20 grudnia 2010 r.

Transkrypt:

Załącznik nr 1 do Zarządzenia Dyrektora Zespołu Szkół Mechanicznych POLITYKA BEZPIECZEŃSTWA INFORMACJI ZESPOŁU SZKÓŁ MECHANICZNYCH w RZESZOWIE 1

PODSTAWA PRAWNA Ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2004 r. Nr 256 ze zm.), Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 ze zm.), Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych (Dz. U. NR 11, poz. 95 ze zm.), Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 171poz. 1433 ze zm.). I. POSTANOWIENIA OGÓLNE Dane osobowe w Zespole Szkół Mechanicznych w Rzeszowie przetwarzane są w celu realizacji statutowych celów i zadań szkoły. W celu zapewnienia prawidłowej, zgodnej z prawem i celami placówki, polityki personalnej oraz bieżącej obsługi stosunku pracy, także innych stosunków zatrudnienia nawiązywanych przez szkołę działająca jak pracodawca w rozumieniu kodeksu pracy lub strona innych stosunków zatrudnienia. Dla realizacji innych usprawiedliwionych celów i zadań Zespół Szkół Mechanicznych w Rzeszowie stosuje odpowiednie środki informatyczne, techniczne i organizacyjne w celu zabezpieczenia danych osobowych przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. Administratorem Danych Osobowych jest Dyrektor Zespołu Szkół Mechanicznych w Rzeszowie. Dyrektor wyznacza Administratora Bezpieczeństwa Informacji przetwarzanych w systemie informatycznym w szkole, zwanego dalej Administratorem Bezpieczeństwa. Administrator Bezpieczeństwa realizuje zadania w zakresie ochrony danych osobowych, a w szczególności: 1) prowadzi rejestr osób upoważnionych do przetwarzania danych osobowych stanowiący załącznik nr 1, 2) nadzoruje funkcjonowanie mechanizmu uwierzytelniania użytkowników w Systemie Informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do danych osobowych, 3) nadzoruje wykonywanie kopii awaryjnych, ich przechowywanie oraz okresowe sprawdzanie pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu, 4) nadzoruje przeglądy, konserwacje oraz uaktualnienia Systemu Informatycznego służącego do przetwarzania danych osobowych,, 5) podejmuje stosowne działania zgodnie z niniejszą Polityką Bezpieczeństwa w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych, 2

6) przegląda niniejszą Politykę Bezpieczeństwa pod kątem aktualności i stosowalności nie rzadziej niż raz w roku. Niniejszy dokument opisuje reguły dotyczące zapewnienia bezpieczeństwa systemu informatycznego służącego do przetwarzania danych osobowych. Obowiązkiem osób zatrudnionych przy przetwarzaniu danych osobowych jest przestrzeganie postanowień niniejszej polityki. II. EWIDENCJA ZASOBÓW 1. Wyjaśnienie używanych pojęć: dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, baza danych osobowych każdy posiadający strukturę zbiór danych o charakterze osobowym, dostępnych według określonych kryteriów, przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, usuwanie danych zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, system zarządzania bazą danych system oprogramowania zawierający mechanizmy zapewniające spójność i bezpieczeństwo danych, sprawny dostęp do danych, środki programistyczne służące do przetwarzania danych, jednoczesny dostęp do danych dla wielu użytkowników, środki pozwalające na regulację dostępu do danych, środki pozwalające na odtworzenie zawartości bazy danych po awarii, System Informatyczny zbiór powiązanych ze sobą elementów: serwer z systemami operacyjnymi, systemu zarządzania bazą danych, baz danych, oprogramowania (programów użytkowych), urządzeń końcowych (komputerów, terminali, drukarek) oraz urządzeń służących do komunikacji między sprzętowymi elementami systemu, administratorzy sieci informatycy nadzorujący pracę sieci komputerowej, do ich zadań należy: konfiguracja urządzeń sieciowych, podłączanie urządzeń końcowych do sieci i nadawanie im numeru IP, monitorowanie pracy sieci i zapewnienie jej bezpieczeństwa, administrator serwera informatyk nadzorujący pracę serwera, do jego zadań należy: dodawanie i kasowanie kont użytkowników, monitorowanie i konserwacja sytemu operacyjnego, dbanie o bezpieczeństwo Systemu Informatycznego, wykonywanie kopii zapasowych, administrator systemu (oprogramowania) osoba nadająca uprawnienia użytkownikom do poszczególnych funkcji programu, uwierzytelnienie weryfikacja tożsamości użytkownika rejestrującego się w danym systemie; w Systemie Informatycznym, weryfikacja odbywa się w oparciu o identyfikator i hasło użytkownika, autoryzacja sprawdzenie uprawnień użytkownika w stosunku do określonych zasobów Systemu Informatycznego oraz operacji jakich może wykonywać. 2. Dane osobowe w Zespole Szkół Mechanicznych w Rzeszowie przetwarzane są w Systemie Informatycznym funkcjonującym w budynku Zespołu Szkół Mechanicznych w Rzeszowie przy ul. Hetmańskiej 45A. 3

3. Wykaz pomieszczeń, baz danych osobowych i programów zastosowanych do przetwarzania tych danych w Zespole Szkół Mechanicznych w Rzeszowie w załączniku nr 2. 4. Dane osobowe przetwarzane są za pomocą programów zainstalowanych na poszczególnych komputerach oraz online: Płace Optivum, Finanse Optivum, Kadry Optivum, Arkusz Optivum, Świadectwa Optivum; Matury Optivum, UONET+ (e-dziennik+ sekretariat), Płatnik, Pekao BIZNES24, SIO, Sigma Optivum, OKE. 5. W celu usprawnienia działania i podniesienia bezpieczeństwa przetwarzania danych, bazy danych podzielone są na: bazy archiwalne przeznaczone tylko do odczytu, bazy aktualne modyfikowane na bieżąco przez użytkowników. III. OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH 1. Podział zagrożeń: zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu); ich wystąpienie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu; ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych, zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatora, administratora, awarie sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych, zagrożenia zamierzone (świadome i celowe naruszenia poufności danych); zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy, zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu. 2. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to przede wszystkim: sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu (np. wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej), 4

niewłaściwe parametry środowiska (np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych), awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisanta bez nadzoru, pojawienie się odpowiedniego komunikatu alarmowego od części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu, jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie, naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie, modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia, niedopuszczalna manipulacja danymi osobowymi w systemie, ujawnienie osobom nieuprawnionym danych osobowych lub objętych tajemnicą procedur ochrony przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń, praca w Systemie Informatycznym, wykazująca nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych (np. praca przy komputerze osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu), ujawnienie istnienia nieautoryzowanych kont dostępu do danych lub tzw. "bocznej furtki", itp., podmienienie albo zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub skasowanie bądź skopiowanie w sposób niedozwolony danych osobowych, rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce lub na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych, itp.). 3. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych, znajdujących się na dyskach, dyskietkach, pendrive ach, płytach CD, DVD, taśmach magnetycznych, kartach pamięci oraz wydrukach komputerowych, w formie niezabezpieczonej (otwarte szafy, biurka, regały, urządzenia archiwalne i inne). 4. W przypadku stwierdzenia naruszenia ochrony danych osobowych, stosuje się instrukcję postępowania, stanowiącą załącznik nr 3 do niniejszej Polityki Bezpieczeństwa. IV. ZESTAWIENIE ŚRODKÓW ORGANIZACYJNYCH I TECHNICZNYCH ZAPEWNIAJĄCYCH OCHRONĘ DANYCH OSOBOWYCH 1. Zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe: wszystkie pomieszczenia, w których przetwarza się dane osobowe, są zamykane na klucz w przypadku opuszczenia pomieszczenia przez ostatniego pracownika upoważnionego do przetwarzania danych osobowych także w godzinach pracy, dane osobowe przechowywane w wersji tradycyjnej (papierowej) lub elektronicznej (pendirve, płyta CD/DVD, dyskietka) po zakończeniu pracy są przechowywane 5

w zamykanych na klucz meblach biurowych, a tam, gdzie jest to możliwe w szafach metalowych. Klucze od szafek należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych, nieaktualne lub błędne wydruki zawierające dane osobowe niszczone są w niszczarkach, budynek Zespołu Szkół Mechanicznych w Rzeszowie, w którym zlokalizowane są zbiory danych osobowych, jest przez całą dobę monitorowany wizyjnie z dwutygodniowa rejestracją. 2. Przechowywanie kopii zapasowych zgodnie z instrukcją, którą stanowi Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Zespole Szkół Mechanicznych w Rzeszowie, 3. Stosowanie programu antywirusowego z zaporą antywłamaniową na komputerach ze środowiskiem operacyjnym MS Windows, 4. Zabezpieczenie hasłami kont na komputerach, używanie kont z ograniczonymi uprawnieniami do ciągłej pracy, 5. Zabezpieczenia przed utratą danych osobowych w wyniku awarii: odrębne zasilanie sprzętu komputerowego, ochrona przed utratą zgromadzonych danych poprzez cykliczne wykonywanie kopii zapasowych, z których w przypadku awarii odtwarzane są dane i system operacyjny, ochrona przed awarią podsystemu dyskowego poprzez używanie macierzy dyskowych. V. POSTANOWIENIA KOŃCOWE 1. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu, w szczególności przez osobę, która wobec naruszenia ochrony danych osobowych lub uzasadnionego domniemania takiego naruszenia, nie podjęła działań określonych w niniejszym dokumencie, mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych. 2. Wobec osoby uchylającej się od powiadomienia Administratora Bezpieczeństwa o wystąpieniu naruszenia lub zagrożenia bezpieczeństwa systemu informatycznego stosuje się karę dyscyplinarną. 3. Zastosowanie kary dyscyplinarnej, nie wyklucza odpowiedzialności karnej ani cywilnej. 6

Załącznik nr 1 do Polityki Bezpieczeństwa Informacji Rejestr osób upoważnionych do przetwarzania danych osobowych w Zespole Szkół Mechanicznych w Rzeszowie Lp. Nazwisko i Imię Stanowisko Zakres uprawnień nadania uprawnienia Data ustania uprawnienia 7

Załącznik nr 2 do Polityki Bezpieczeństwa Informacji Wykaz pomieszczeń, baz danych osobowych i programów zastosowanych do przetwarzania tych danych w Zespole Szkół Mechanicznych w Rzeszowie ul. Hetmańska 45A. Jednostka organizacyjna księgowość płace kadry sekretariat Aktualna baza danych i obecnych pracowników, dokumenty finansowe i obecnych pracowników, dokumenty finansowe i obecnych pracowników dokumentacja uczniów i nauczania System/Program - PekaoBIZNES24 - Płace Optivum, - Finanse Optivum, - Płace Optivum - SIO - PekaoBIZNES24 - Kadry Optivum, - SIO - Matury Optivum, - OKE - SIO Zabezpieczenie dyrektor (pokój dyrektora) wicedyrektorzy (pokój wicedyrektorów) nauczyciele (sale lekcyjne, pokój nauczycielski) i obecnych uczniów - PekaoBIZNES24 - SIO - Arkusz Optivum, - Matury Optivum, - OKE - SIO - Arkusz Optivum, - Matury Optivum, - OKE (dziennik) kluczami dysponuje dyrektor, klucze dostępne na kluczami dysponują wicedyrektorzy, klucze dostępne na klucze do sal lekcyjnych dostępne w pokoju nauczycielskim i na, wejście do pokoju nauczycielskiego kodowane 8

pedagodzy kierownik kształcenia praktycznego kierownik gospodarczy archiwum i obecnych uczniów, dokumentacja uczniów i nauczania i obecnych pracowników, dokumentacja uczniów i nauczania, dokumenty finansowe (dziennik) (dziennik) - PekaoBIZNES24 dostęp do archiwum po uzyskaniu pisemnej zgody dyrektora, klucze u sekretarza szkoły 9

Załącznik nr 3 do Polityki Bezpieczeństwa Informacji... (pieczęć Szkoły ) Rzeszów, dnia... r. RAPORT Z NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Zespole Szkół Mechanicznych w Rzeszowie 1. Data:... Godzina:... 2. Osoba powiadamiająca o zaistniałym zdarzeniu: (imię, nazwisko, stanowisko służbowe, nazwa użytkownika - jeśli występuje) 3. Lokalizacja zdarzenia: (np. nr pokoju, nazwa pomieszczenia) 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: 5. Przyczyny wystąpienia zdarzenia: 10

6. Podjęte działania: 7. Postępowanie wyjaśniające:... (podpis Administratora Bezpieczeństwa Informacji 11

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres