Polityka bezpieczeństwa

Podobne dokumenty
Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W KURATORIUM OŚWIATY W WARSZAWIE

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

ZARZĄDZENIE WEWNĘTRZNE NR 05/10

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Załącznik nr 1 Do Zarządzenia z dnia r. Polityka Bezpieczeństwa Informacji w Sanus Sp. z o.o.

Zarządzenie Nr 44/15 Wójta Gminy Pszczółki z dnia 18 września 2015 roku

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W KURATORIUM OŚWIATY W WARSZAWIE

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Zał. nr 2 do Zarządzenia nr 48/2010 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

Zarządzenie Nr 5/2016 Kierownika Ośrodka Profilaktyki i Wspierania Rodziny w Zdzieszowicach z dnia 23 czerwca 2016 r.

Zarządzenie Nr 133 Burmistrza Miasta i Gminy Ryn z dnia 31 grudnia 2014r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

a) po 11 dodaje się 11a 11g w brzmieniu:

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH FILHARMONII DOLNOŚLĄSKIEJ W JELENIEJ GÓRZE

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Rozdział I Zagadnienia ogólne

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

Rozdział I Postanowienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Polityka Bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Bezpieczeństwo teleinformatyczne danych osobowych

Dane osobowe: Co identyfikuje? Zgoda

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE MKPUBLIKACJE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

POLITYKA E-BEZPIECZEŃSTWA

Transkrypt:

Załącznik nr 1 do Zarządzenia nr 6 / 2012 Polityka bezpieczeństwa Wojewódzkie Pogotowie Ratunkowe Samodzielny Publiczny Zakład Opieki Zdrowotnej w Lublinie

Spis treści: 1. Definicje...3 2. Zasady ogólne...4 3. Zabezpieczenie dostępu do danych osobowych...4 4. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych...5 5. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi...5 6. Sposób przepływu danych pomiędzy poszczególnymi systemami...5 7. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych...5 8. Zasady korzystania z komputerów przenośnych, na których są przetwarzane dane osobowe...9

1. Definicje - Zbiór danych osobowych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. - Administrator danych osobowych (ADO) - zadania administratora danych osobowych wykonuje Dyrektor Wojewódzkiego Pogotowie Ratunkowego SP ZOZ w Lublinie (WPR). - Administrator bezpieczeństwa informacji (ABI) - osoba wyznaczona przez administratora danych osobowych, odpowiedzialna za bezpieczeństwo danych osobowych przetwarzanych we wskazanych systemach informatycznych. - Administrator systemu informatycznego (ASI) - osoba odpowiedzialna za sprawność, konserwację oraz wdrażanie technicznych zabezpieczeń systemu informatycznego do przetwarzania danych osobowych w WPR (może to być administrator sieci lokalnej, systemu operacyjnego, bazy danych itp.). - System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. - Stacja robocza stacjonarny lub przenośny komputer wchodzący w skład systemu informatycznego umożliwiający użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie. - Bezpieczeństwo systemu informatycznego - wdrożenie przez administratora danych osobowych lub osobę przez niego uprawnioną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych przed dostępem, modyfikacją, ujawnieniem, pozyskaniem lub zniszczeniem. - Przetwarzanie danych osobowych - wykonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie. - Pracownik osoba posiadająca dostęp do informacji przetwarzanych w WPR SP ZOZ w Lublinie, bez względu na zajmowane stanowisko, miejsce świadczenia jak również formę zatrudnienia (umowa o pracę, umowa cywilno- prawna) oraz inne osoby świadczące usługi na rzecz WPR SP ZOZ w Lublinie (wolontariat, staż). - Osoba upoważniona - osoba posiadająca upoważnienie do przetwarzania danych osobowych wydane przez administratora danych osobowych (lub osobę uprawnioną przez niego) w zakresie wskazanym w upoważnieniu (listę osób upoważnionych do przetwarzania danych osobowych posiada administrator bezpieczeństwa informacji). - Użytkownik systemu - osoba posiadająca uprawnienia do przetwarzania danych w systemie informatycznym. - Osoba uprawniona - osoba posiadająca upoważnienie wydane przez administratora danych osobowych do wykonywania w jego imieniu określonych czynności. - Ustawa - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 poz. 926 z późn. zmianami) - Rozporządzenie - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych

oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 2. Zasady ogólne - Ochrona danych osobowych przetwarzanych w WPR obowiązuje wszystkie osoby, które mają dostęp do informacji zbieranych, przetwarzanych oraz przechowywanych w WPR SP ZOZ w Lublinie, bez względu na zajmowane stanowisko oraz miejsce świadczenia jak również formę zatrudnienia. - Osoby mające dostęp do danych osobowych są zobligowane do stosowania niezbędnych środków zapobiegających ujawnieniu tych danych osobom nieupoważnionym. - Zachowanie tajemnicy obowiązuje zarówno podczas trwania stosunku pracy jak i po jego ustaniu. - Administrator Danych Osobowych (ADO) jest odpowiedzialny za tworzenie, wdrażanie, administrację i interpretację polityki bezpieczeństwa informacji, standardów, zaleceń oraz procedur w całym systemie WPR SP ZOZ w Lublinie. - Polecenia osób uprawnionych przez Administratora Danych Osobowych do działań związanych z ochroną w zakresie ochrony informacji i bezpieczeństwa systemu informatycznego muszą być bezwzględnie wykonywane przez wszystkich pracowników oraz użytkowników systemu. 3. Zabezpieczenie dostępu do danych osobowych Przetwarzanie danych osobowych może odbywać się wyłącznie w obszarach do tego celu przeznaczonych. Wykaz pomieszczeń, w których dopuszczalne jest przetwarzanie danych osobowych stanowi załącznik nr 1 do niniejszej instrukcji. W szczególnych przypadkach możliwe jest przetwarzanie danych osobowych poza wyznaczonym obszarem (np. na komputerach przenośnych) jednak wymaga to zgody indywidualnej ABI. Szczegółowe zasady przetwarzania danych osobowych na komputerach przenośnych opisano w punkcie 9 niniejszej instrukcji. Dostęp do pomieszczeń, w których przetwarzane są dane osobowe oraz do pomieszczeń, w których znajdują się serwery baz danych lub przechowywane są kopie zapasowe mogą mieć wyłącznie osoby upoważnione. Kontrolą dostępu do pomieszczeń przeznaczonych do przetwarzania danych osobowych zajmują się kierownicy komórek organizacyjnych. Przetwarzać dane osobowe może wyłącznie osoba upoważniona. Wydanie upoważnienia następuje na wniosek przełożonego pracownika, który otrzymuje upoważnienie. Wniosek o wydanie upoważnienia składany jest w formie pisemnej do ABI. Szczegółowe zasady sposobu składania wniosku zawiera Instrukcja Zarządzania Systemami Informatycznymi w WPR SP ZOZ w Lublinie.

4. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych Aktualny wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych znajduje się w Załączniku 2 do niniejszego dokumentu. Załącznik ten powinien być aktualizowany po wprowadzeniu do przetwarzania nowych zbiorów danych osobowych lub nowych programów, które je obsługują. 5. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi Aktualny opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi znajduje się w Załączniku 3 do niniejszego dokumentu. W przypadku założenia nowego zbioru danych dla każdego zbioru powinien zostać sporządzony odrębny załącznik do niniejszego dokumentu opatrzony odpowiednio numerem 3a, 3b itd. Każdy załącznik powinien być aktualizowany po wprowadzeniu istotnych zmian w strukturze bazy danych, którą opisuje. W przypadku systemów, które są rozbudowywane wprowadzone zmiany rejestruje się (aktualizując odpowiedni załącznik) nie rzadziej niż co 2 miesiące. 6. Sposób przepływu danych pomiędzy poszczególnymi systemami Aktualny opis sposobu przepływu danych pomiędzy poszczególnymi systemami znajduje się w Załączniku 4a, 4b, 4c oraz 4d do niniejszego dokumentu. W przypadku istnienia wymiany danych pomiędzy więcej niż dwoma zbiorami danych dla każdej pary zbiorów wymieniających dane powinien zostać sporządzony odrębny załącznik do niniejszego dokumentu opatrzony odpowiednio numerem 4a, 4b itd. Każdy załącznik powinien być aktualizowany po wprowadzeniu istotnych zmian w sposobie lub zakresie wymiany danych, którą opisuje. W przypadku systemów, które są rozbudowywane wprowadzone zmiany rejestruje się (aktualizując odpowiedni załącznik) nie rzadziej niż co 2 miesiące. 7. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych a) Zasady ogólne: - Przetwarzać dane osobowe w systemach informatycznych może wyłącznie osoba upoważniona do przetwarzania danych osobowych. - Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła.

- Identyfikator jest w sposób jednoznaczny przypisany użytkownikowi systemu. Użytkownik systemu odpowiedzialny jest za wszystkie czynności wykonane przy użyciu identyfikatora, którym się posługuje lub posługiwał. - Rozpoczęcie pracy użytkownika systemu obejmuje wprowadzenie identyfikatora i hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności działania systemu. b) Środki organizacyjne - Wprowadzenie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemami Informatycznymi. - Powołanie ABI i ASI odpowiedzialnych za działania organizacyjne i środki techniczne zapewniające odpowiedni poziom bezpieczeństwa danych osobowych. - Prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych. - Kontrola dostępu do pomieszczeń, w których przetwarzane są dane osobowe oraz ścisła kontrola dostępu do pomieszczeń, w których znajdują się serwery. - Zgodne z Instrukcją zarządzania systemem tworzenie kopii archiwalnych baz danych zawierających dane osobowe. c) Sposób postępowania w zakresie komunikacji w sieci komputerowej Dane osobowe są przesyłane w sieci informatycznej dedykowanej do obsługi systemu informatycznego przetwarzającego te dane (intranet). Ruch dla usług publicznych (strefa DMZ) jest chroniony przy pomocy routerów, udostępniając tylko wybrane porty na serwerach znajdujących się w sieci. Ponadto, cały ruch do sieci dedykowanej może przechodzić przez serwer pełniący rolę zapory ogniowej (firewall), gdzie jest filtrowany i translowany na lokalną klasę adresów. Dodatkowo serwery sieci lokalnej chronione przez własne zapory ogniowe (firewall) uniemożliwiające nieautoryzowany dostęp do danych znajdujących się na tych serwerach. Stacje robocze w dedykowanej sieci do obsługi danych osobowych znajdują się wewnątrz sieci intranetowej niedostępnej z internetu. Przy przesyłaniu danych osobowych poza siecią dedykowaną do transferu danych osobowych wymagane jest zastosowanie szczególnych wymagań w zakresie bezpieczeństwa. Obejmują one: - zastosowanie mechanizmów szyfrowania danych osobowych, W przypadku stosowania mechanizmów kryptograficznych ABI określa wymagania w zakresie materiału kryptograficznego stosowanego do ochrony danych osobowych. Jeżeli nie określi on innych wymagań stosuje się: - przy szyfrowaniu symetrycznym algorytm AES z kluczem 256 bitów, - przy szyfrowaniu asymetrycznym algorytm RSA z kluczem 1024 bity, - funkcję skrótu SHA-1. W wypadku, gdy podmiot zewnętrzny, z którym wymieniane są dane osobowe, korzysta z innych mechanizmów kryptograficznych niż stosowane w WPR, możliwe jest zastosowanie tych mechanizmów lub mechanizmów z nimi zgodnych pod warunkiem zapewnienia zbliżonej do obowiązującej ochrony przesyłanych danych osobowych. W tym celu ASI lub osoba specjalnie do tego celu wyznaczona, może przeprowadzić analizę poziomu bezpieczeństwa mechanizmu kryptograficznego oraz zgodności tego mechanizmu z komponentami systemu informatycznego.

W przypadku wystąpienia uzasadnionego podejrzenia przechwycenia kluczy kryptograficznych lub dostania się ich w niepowołane ręce pracownik zobowiązany jest niezwłocznie poinformować o tym fakcie ABI lub ASI zgodnie z wytycznymi opisanymi w rozdziale Zasady postępowania w przypadku naruszenia ochrony danych osobowych. d) Zasady postępowania w przypadku naruszenia ochrony danych osobowych Każdy pracownik biorący udział w przetwarzaniu danych osobowych w systemie informatycznym jest odpowiedzialny za bezpieczeństwo tych danych. W szczególności osoba, która zauważyła zdarzenie mogące być przyczyną naruszenia ochrony danych osobowych lub mogące spowodować naruszenie bezpieczeństwa danych, zobowiązana jest do natychmiastowego poinformowania ABI lub ASI. O naruszeniu ochrony danych osobowych mogą świadczyć następujące symptomy: - brak możliwości uruchomienia przez użytkownika systemu aplikacji pozwalającej na dostęp do danych osobowych, - brak możliwości zalogowania się do tej aplikacji, - ograniczone, w stosunku do normalnej sytuacji, uprawnienia użytkownika systemu w aplikacji (np. brak możliwości wykonania pewnych operacji normalnie dostępnych użytkownikowi systemu) lub uprawnienia poszerzone w stosunku do normalnej sytuacji, - wygląd aplikacji inny niż normalnie, - inny zakres danych niż normalnie dostępny dla użytkownika systemu dużo więcej lub dużo mniej danych, - znaczne spowolnienie działania systemu informatycznego, - pojawienie się niestandardowych komunikatów generowanych przez system informatyczny, - ślady włamania lub prób włamania do obszaru, w którym przetwarzane są dane osobowe, - ślady włamania lub prób włamania do pomieszczeń, w których odbywa się przetwarzanie danych osobowych, w szczególności do serwerowni oraz do pomieszczeń, w których przechowywane są nośniki kopii zapasowych, - włamanie lub próby włamania do szafek, w których przechowywane są w postaci elektronicznej lub papierowej nośniki danych osobowych, - zagubienie bądź kradzież nośnika danych osobowych, - zagubienie bądź kradzież nośnika materiału kryptograficznego (karty mikroprocesorowej, dyskietki itp.), - kradzież sprzętu informatycznego, w którym przechowywane są dane osobowe, - informacja z systemu antywirusowego o zainfekowaniu systemu informatycznego wirusami, - fizyczne zniszczenie lub podejrzenie zniszczenia elementów systemu informatycznego przetwarzającego dane osobowe na skutek przypadkowych lub celowych działań albo zaistnienia działania siły wyższej, - podejrzenie nieautoryzowanej modyfikacji danych osobowych przetwarzanych w systemie informatycznym. W wypadku wystąpienia powyższych symptomów, jak również innych objawów, które zdaniem pracownika mogą wskazywać na zagrożenie bezpieczeństwa danych

osobowych, należy natychmiast powiadomić ABI lub ASI. Informacja o pojawieniu się zagrożenia jest przekazywana przez pracownika osobiście, telefonicznie lub pocztą elektroniczną. Taka informacja powinna zawierać imię i nazwisko osoby zgłaszającej oraz zauważone symptomy zagrożenia. W przypadku, gdy zgłoszenie o podejrzeniu incydentu otrzyma osoba inna niż ABI, jest ona zobowiązana poinformować o tym fakcie ABI. Po otrzymaniu zgłoszenia o wystąpieniu symptomów wskazujących na możliwość zaistnienia w WPR naruszenia bezpieczeństwa danych osobowych ABI, we współpracy z ASI, jest zobowiązany do podjęcia kroków w celu: - wyjaśnienia zdarzenia, a w szczególności czy miało miejsce naruszenie ochrony danych osobowych, - wyjaśnienia przyczyn naruszenia bezpieczeństwa danych osobowych i zebranie ewentualnych dowodów, a w szczególności, gdy zdarzenie było związane z celowym działaniem pracownika bądź osób trzecich, - zabezpieczenia systemu informatycznego przed dalszym rozprzestrzenianiem się zagrożenia, - usunięcia skutków incydentu i przywróceniu pierwotnego stanu systemu informatycznego (to jest stanu sprzed incydentu). ABI we współpracy z ASI podejmuje działania zmierzające do wyjaśnienia zgłoszonego zdarzenia: - przeprowadzenia analizy poprawności funkcjonowania systemu informatycznego, - przeprowadzenie analizy danych osobowych przetwarzanych w systemie informatycznym, - zabezpieczenie danych przetwarzanych w systemie informatycznym, w szczególności danych konfiguracyjnych tego systemu. ABI określa na podstawie zebranych informacji przyczyny zaistnienia incydentu. Jeżeli incydent był spowodowany celowym działaniem, jest on zobowiązany do pisemnego powiadomienia ADO, który może poinformować organy uprawnione do ścigania przestępstw o fakcie celowego naruszenia bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym. System informatyczny, którego prawidłowe działanie zostało odtworzone powinien zostać poddany szczegółowej obserwacji w celu stwierdzenia całkowitego usunięcia symptomów incydentu. ABI prowadzi ewidencję interwencji związanej z zaistniałymi incydentami w zakresie bezpieczeństwa danych osobowych. Ewidencja taka obejmuje następujące informacje: - imię i nazwisko osoby zgłaszającej incydent, - imię i nazwisko osoby przyjmującej zgłoszenie incydentu, - datę zgłoszenia incydentu, - przeprowadzone działania wyjaśniające przyczyny zaistnienia incydentu, - wyniki przeprowadzonych działań, - podjęte akcje naprawcze i ich skuteczność. ABI odpowiedzialny jest za przeprowadzenie przynajmniej raz w roku analizy zaistniałych incydentów w celu:

- określenia skuteczności podejmowanych działań wyjaśniających i naprawczych, - określenie wymaganych działań zwiększających bezpieczeństwo systemu informatycznego i minimalizujących ryzyko zaistnienia incydentów, - określenie potrzeb w zakresie szkoleń ASI i użytkowników systemu informatycznego przetwarzającego dane osobowe. 8. Zasady korzystania z komputerów przenośnych, na których są przetwarzane dane osobowe Przetwarzanie danych osobowych na komputerach przenośnych powinno być ograniczone do niezbędnych przypadków. Przetwarzanie danych osobowych przy użyciu komputerów przenośnych może odbywać się wyłącznie za zgodą ADO lub ABI. Zakres danych przetwarzanych na komputerze przenośnym oraz zakres uprawnień do przetwarzanych danych ustala przełożony pracownika za wiedzą ABI. Osoba korzystająca z komputera przenośnego zobowiązana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem. Użytkownik komputera przenośnego zobowiązany jest do: - transportu komputera w sposób minimalizujący ryzyko kradzieży lub zniszczenia, a w szczególności : - transportowania komputera w bagażu podręcznym, - nie pozostawiania komputera w samochodzie, przechowalni bagażu, itp, - korzystania z komputera w sposób minimalizujący ryzyko podejrzenia przetwarzanych danych przez osoby nieupoważnione, w szczególności zabrania się korzystania z komputera w miejscach publicznych i w środkach transportu publicznego, - nie zezwalania osobom nieupoważnionym do korzystania z komputera przenośnego, - zabezpieczania komputera przenośnego hasłem, - blokowania dostępu do komputera przenośnego w przypadku, gdy nie jest on wykorzystywany przez pracownika, - kopiowania danych osobowych przetwarzanych na komputerze przenośnym do systemu informatycznego w celu umożliwienia wykonania kopii awaryjnej tych danych, - umożliwienia, poprzez podłączenie komputera do sieci informatycznej WPR aktualizacji wzorców wirusów w programie antywirusowym, - utrzymania konfiguracji oprogramowania systemowego w sposób wymuszający korzystanie z haseł, - wykorzystywania haseł odpowiedniej jakości zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym przetwarzającym dane osobowe, - zmiany haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe.

ABI zobowiązany jest do podjęcia działań mających na celu zabezpieczenie komputerów przenośnych, w szczególności, aby: - dokonano konfiguracji oprogramowania na komputerach przenośnych w sposób wymuszający korzystanie z haseł, wykorzystywanie haseł odpowiedniej jakości zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym przetwarzającym dane osobowe oraz wymuszającym okresową zmianę haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe, - zabezpieczono dane osobowe przetwarzane na komputerach przenośnych poprzez zastosowanie oprogramowania szyfrującego te dane. Dostęp do danych jest możliwy wyłącznie po podaniu tego hasła, - dokonano instalacji i konfiguracji oprogramowania antywirusowego na komputerze przenośnym, - przeprowadzono aktualizację wzorców wirusów zgodnie z zasadami zarządzania programem antywirusowym. ABI jest odpowiedzialny za prowadzenie ewidencji komputerów przenośnych wykorzystywanych do przetwarzania danych osobowych, w szczególności ewidencja obejmuje: - typ i numer seryjny komputera przenośnego, - imię i nazwisko osoby będącej użytkownikiem komputera, - oprogramowanie zainstalowane na komputerze, - rodzaj i zakres danych osobowych przetwarzanych na komputerze przenośnym. W razie zgubienia lub kradzieży pracownik zobowiązany jest do natychmiastowego powiadomienia ABI lub osoby uprawnionej zgodnie z zasadami informowania o naruszeniu ochrony danych osobowych.

Załącznik Nr 1 do Polityki bezpieczeństwa Wykaz budynków, pomieszczeń lub części pomieszczeń, w których dopuszczalne jest przetwarzanie danych osobowych: 1. budynek Lublin, ul. Spadochroniarzy 8 a) piwnica b) parter c) piętro pierwsze d) piętro drugie 2. budynek Lublin, ul. Kompozytorów Polskich 8 dawna dyspozytornia 3. budynek Lublin, ul. Tetmajera 21 4. budynek Lublin, ul. Bursaki 17 Biuro Obsługi Klienta, Stacja Obsługi Samochodów, Stacja Paliw, Ośrodek Szkoleniowy, Magazyn, Dział Administracyjno-Gospodarczy, Dział Eksploatacji i Rozliczeń 5. budynek Świdnik, ul. Niepodległości 2 - świetlica 6. budynek Piaski, ul. Braci Spozów 19 7. budynek Łęczna, ul. Krasnystawska 52 - archiwum 8. budynek Kraśnik, ul. Obwodowa 1 biuro wezwań 9. budynek Kraśnik, ul. Fabryczna 6 pokój ratowników medycznych

Załącznik Nr 2 do Polityki bezpieczeństwa Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. L.p. Nazwa zbioru Forma zbioru ( papierowy / elektroniczny) Nazwa systemu informatycznego 1 Korespondencja papierowy ------------------------ 2 Pracownicy papierowy / elektroniczny CDN XL Optima Płatnik ZUS Softrans 3 CV i podania o pracę papierowy ------------------------ 4 Pacjenci papierowy / elektroniczny SWD ST 5 Kontrahenci papierowy / elektroniczny CDN XL 6 Skargi i wnioski papierowy ------------------------ 7 Kursanci Ośrodka Edukacyjnego papierowy ------------------------ 8 Kontrole papierowy ------------------------ 9 Zakładowy Fundusz Świadczeń Socjalnych papierowy ------------------------ 10 Drobne sprawy bieżące papierowy ------------------------

Załącznik Nr 3 do Polityki bezpieczeństwa Aktualny opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi znajduje się na płycie CD stanowiącej załącznik do Polityki Bezpieczeństwa

Załącznik Nr 4a do Polityki bezpieczeństwa Opis sposobu przepływu danych pomiędzy poszczególnymi systemami. program Optima - program Płatnik ZUS Z programu Optima do programu Płatnik wysyłane są dane w postaci gotowych dokumentów rozliczeniowych ZUS. Dane po ich sprawdzeniu w programie Płatnik są przesyłane droga elektroniczną z podpisem elektronicznym do właściwej jednostki ZUS.

Załącznik Nr 4b do Polityki bezpieczeństwa Opis sposobu przepływu danych pomiędzy poszczególnymi systemami. program Optima - program CDN_XL Z programu Optima do programu CDN_XL do modułów Sprzedaż i Księgowość pobierane są dane osobowe pracowników.

Załącznik Nr 4c do Polityki bezpieczeństwa Opis sposobu przepływu danych pomiędzy poszczególnymi systemami. Program SWD_ST arkusz kalkulacyjny EXCEL / Open Office Calc. Z programu SWD_ST eksportowane są do arkusza EXCEL / Open Office Calc, dane o udzielonych świadczeniach medycznych zawierające dane osobowe pacjentów, którym zostały takie świadczenia udzielone. Arkusz EXCEL / Open Office Calc służy do przetwarzania danych i jest ograniczony wyłącznie do edycji tekstu w celu udostępnienia go na piśmie. UWAGA - Kolorem niebieskim zaznaczono zmiany wprowadzone Zarządzeniem Dyrektora Wojewódzkiego Pogotowia Ratunkowego SP ZOZ w Lublinie nr 67 / 2012 z dnia 21 sierpnia 2012 r.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres