Polityka bezpieczeństwa informacji



Podobne dokumenty
Polityka Bezpieczeństwa. w Axami s.c. Anna Gołębiowska, Edyta Skutnicka. Białystok, maj 2012 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

OCHRONA DANYCH OSOBOWYCH

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

Polityka bezpieczeństwa przetwarzania danych osobowych w Gminnym Ośrodku Pomocy Społecznej w Radomsku

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH Stowarzyszenia Radomszczański Uniwersytet Trzeciego Wieku WIEM WIĘCEJ z dnia 30 lipca 2015 r.

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Handrog Spółce z o.o. (dalej zwanym Podmiotem)

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Polityka bezpieczeństwa przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH Regionalnego Stowarzyszenia Pamięci Historycznej ŚLAD

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

1 Zakres Regulaminu. integralności, rozliczalności przetwarzania danych osobowych. 2 Pojęcia używane w Regulaminie

POLITYKA BEZPIECZEŃSTWA

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Amatorski Klub Sportowy Wybiegani Polkowice

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

REKTORA UNIWERSYTETU RZESZOWSKIEGO z dnia r.

1. Polityka Bezpieczeństwa

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH FILHARMONII DOLNOŚLĄSKIEJ W JELENIEJ GÓRZE

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Ochrona danych osobowych w biurach rachunkowych

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

Polityka bezpieczeństwa w zakresie danych osobowych w Powiślańskiej Szkole Wyższej

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

W dokumencie tym przedstawione zostaną:

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

POLITYKA OCHRONY DANYCH OSOBOWYCH. Administrator danych osobowych: REGON:

Polityka bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

Polityka Bezpieczeństwa Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Transkrypt:

Polityka bezpieczeństwa informacji CMS Spółka z o.o. ul. Przestrzenna 11 70-800 Szczecin NIP 955-213-25-72 Regon 320038259 KRS 240154 Spis treści Polityka bezpieczeństwa informacji...1 Polityka bezpieczeństwa informacji...2 Cel polityki bezpieczeństwa...2 Oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji...2 Zakres polityki bezpieczeństwa...3 Prawa, obowiązki oraz odpowiedzialność osób przetwarzających dane osobowe...3 Prawa i obowiązki użytkowników...3 Obowiązki Administratora Danych Osobowych (CMS Sp. z o.o.)...3 Prawa i obowiązki Administratora Bezpieczeństwa Informacji (ABI)...4 Obowiązki Administratora Systemu Informatycznego (ASI)...4 Podejmowanie działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia np. pojawienie się wirusa w systemie....5 Zasady przetwarzania danych osobowych przez Administratora Danych Osobowych...5 Wykaz budynków, pomieszczeń tworzących obszar gdzie przetwarzane są dane osobowe..5 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania....6 Opis struktury zbioru danych...6 Przepływ danych pomiędzy poszczególnymi systemami...6 Określenie środków technicznych i organizacyjnych zapewniających poufność, integralność i rozliczalność przetwarzania danych osobowych...7 Analiza potencjalnych zagrożeń dla bezpieczeństwa przetwarzanych danych osobowych...7 Do przypadków naruszenia bezpieczeństwa systemu informatycznego można m.in. zaliczyć:...8 Zastosowane środki techniczne...8 Zastosowane środki organizacyjne...9 Postanowienia końcowe...9 Załączniki...10 1

Polityka bezpieczeństwa informacji. Polityka bezpieczeństwa informacji jest zbiorem spójnych, precyzyjnych reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Cel polityki bezpieczeństwa. Niniejsza Polityka została opracowana dla stworzenia i utrzymania wysokiego poziomu bezpieczeństwa zbioru danych osobowych zgodnie z wymogami rozporządzenia, rozumianego jako zapewnienie poufności, integralności i dostępności zasobów oraz zapewnienia rozliczalności podejmowanych działań. Celem opracowania i wdrożenia niniejszej Polityki jest: maksymalne ograniczenie ryzyka związanego z nieuprawnionym przetwarzaniem lub utratą danych osobowych, zagwarantowanie pełnej ochrony danych osobowych posiadanych przez CMS Sp. z o.o. zbiorów bez względu na formę w jakiej zbiór jest przetwarzany, opracowanie zasad postępowania w sytuacjach kryzysowych, wdrożenie reguł, praw i procedur zapewniających odpowiedni poziom bezpieczeństwa zarządzania danymi osobowymi będącymi w posiadaniu CMS Sp z o.o. Cele wyznaczone w Polityce Bezpieczeństwa, realizowane są poprzez: stałe doskonalenie oraz rozwijanie organizacyjnych i technicznych środków ochrony danych osobowych przetwarzanych zarówno w formie tradycyjnej jak i elektronicznej, podejmowanie wszelkich działań niezbędnych dla ochrony praw jednostki związanych z bezpieczeństwem danych osobowych, staranny dobór, ocenę i kwalifikację dostawców usług, stosowanie odpowiednich urządzeń i oprogramowania wykorzystywanych do przetwarzania i zabezpieczania danych osobowych. Oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji. CMS Sp. z o.o. realizując niniejszą Politykę Bezpieczeństwa, dokłada najwyższej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane nie dłużej niż jest to niezbędne do realizacji celów, w których zostały zebrane. 2

Zakres polityki bezpieczeństwa Polityka Bezpieczeństwa odnosi się do wszystkich danych osobowych przetwarzanych: w sposób tradycyjny, w szczególności w kartotekach, rejestrach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, w systemach informatycznych. Ochronie podlegają wszystkie dane osobowe przetwarzane przez CMS Sp. z o.o. również te, które powierza do przetwarzania innym podmiotom. W celu zapewnienia maksymalnej ochrony danych osobowych, wyznaczono obszary mające istotny wpływ na bezpieczeństwo zasobów CMS Sp. z o.o. są to: bezpieczeństwo systemów i sieci informatycznych, bezpieczeństwo danych osobowych gromadzonych w wersji papierowej, bezpieczeństwo zarządzania dostępem do informacji, bezpieczeństwo fizyczne pomieszczeń, gdzie przetwarzane są dane osobowe. Prawa, obowiązki oraz odpowiedzialność osób przetwarzających dane osobowe Prawa i obowiązki użytkowników 1. Każdy użytkownik zobowiązany jest do utrzymania właściwego poziomu bezpieczeństwa w zakresie swoich obowiązków i uprawnień. 2. Każdy użytkownik składa oświadczenie, w którym potwierdza zapoznanie się z ustawą, Polityką Bezpieczeństwa oraz Instrukcją zarządzania systemem informatycznym. Ponadto użytkownik zobowiązuje się do zapewnienia ochrony przetwarzanych przez niego danych osobowych. Oświadczenie to przechowywane jest przez CMS Sp. z o.o. w segregatorze przez okres 5 lat licząc od daty zakończenia współpracy z użytkownikiem (np. od daty rozwiązania umowy o pracę). 3. Każdy użytkownik, w trakcie jak i po ustaniu zatrudnienia w CMS Sp. z o.o. ma obowiązek ochrony wszelkich informacji dotyczących funkcjonowania systemów lub urządzeń służących do przetwarzania danych osobowych oraz sposobów zabezpieczania danych. 4. Niedozwolone jest przetwarzanie danych osobowych w sposób inny niż opisany w niniejszej Polityce Bezpieczeństwa lub Instrukcji. 5. Pracownicy uprawnieni są do występowania z wnioskiem do bezpośredniego przełożonego o nadanie lub zmianę zakresu uprawnień do przetwarzania danych osobowych. 6. Użytkownicy zobowiązani są wskazywać konieczność wprowadzenia zmian w funkcjonalności systemu informatycznego służącego do przetwarzania danych osobowych w celu poprawy bezpieczeństwa przetwarzanych danych osobowych. 7. Wobec osób, które nie stosują się do zapisów niniejszej Polityki Bezpieczeństwa, Instrukcji oraz ustawy o ochronie danych osobowych, CMS Sp. z o.o. może wyciągnąć konsekwencje przewidziane w Kodeksie Pracy i innych aktach prawnych w zależności od rodzaju skutków naruszeń. Obowiązki Administratora Danych Osobowych (CMS Sp. z o.o.) Do obowiązków CMS Sp. z o.o. m.in. należy: 1. Zapewnienie środków organizacyjnych i technicznych zapewniających zabezpieczenie danych przed dostępem osób nieupoważnionych. 2. Nadawanie/zmiana/odbieranie zakresu uprawnień użytkowników do przetwarzania danych 3

osobowych. 3. Wystawianie upoważnień do przetwarzania danych osobowych. 4. Weryfikacja zakresu przetwarzanych danych pod kątem adekwatności (dotyczy wszystkich zbiorów). 5. Wyznaczenie Administratora Bezpieczeństwa Informacji, który nadzoruje przestrzeganie zasad ochrony danych osobowych (zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych). Prawa i obowiązki Administratora Bezpieczeństwa Informacji (ABI) 1. Przechowywanie imiennych upoważnień do przetwarzania danych osobowych. 2. Prowadzenie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych. 3. Prowadzenie i aktualizacja dokumentacji opisującej sposób przetwarzania danych. 4. Nadzorowanie treści podpisanych umów powierzenia (w zakresie dotyczącym ochrony danych osobowych), w przypadku przekazywania danych osobowych podmiotom realizującym zlecenia Administratora Danych Osobowych (CMS Sp z o.o.). 5. Nadzór nad przestrzeganiem przez użytkowników zapisów Instrukcji Zarządzania Systemem Informatycznym i niniejszej Polityki. 6. Nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe. 7. Nadzór nad prawidłowością archiwizacji dokumentów zawierających dane osobowe oraz zapewnienie nadzoru nad właściwym usuwaniem bądź niszczeniem dokumentów z danymi osobowymi. 8. Poinformowanie organów uprawnionych do ścigania przestępstw w przypadku celowego naruszenia bezpieczeństwa przetwarzanych danych osobowych. 9. Polecenia ABI w zakresie ochrony informacji i bezpieczeństwa systemu informatycznego muszą być bezwzględnie wykonywane przez wszystkich pracowników i Użytkowników systemu. Obowiązki Administratora Systemu Informatycznego (ASI) 1. Nadanie, zmiana i blokowanie uprawnień danemu Użytkownikowi do zasobów informatycznych zgodnie z wnioskiem ABI. 2. Właściwa konfiguracja systemu informatycznego zapewniająca jego bezpieczeństwo i ograniczenie dostępu do danych osobowych przez osoby nieupoważnione. 3. Monitorowanie funkcjonowania zabezpieczeń wdrożonych w celu ochrony danych osobowych. 4. Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, które zawierają dane osobowe. 5. Okresowe wykonywanie kopii bezpieczeństwa danych oraz nadzór nad ich zabezpieczeniem zgodnie z procedurami ustalonymi w Instrukcji. 6. Okresowa analiza przyczyn i skutków sytuacji, które naruszyły bezpieczeństwo danych oraz informowanie ABI o wynikach tej analizy. 7. Zabezpieczenie komputerów przenośnych poprzez: 4

Podejmowanie działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia np. pojawienie się wirusa w systemie. Poniższe działania wykonuje Administrator Systemu Informatycznego Fizyczne odłączenie urządzeń, które umożliwiają nieautoryzowany dostęp do zbioru danych osobowych. Wylogowanie użytkownika, który zgłosił podejrzenie lub naruszenie integralności zbioru danych osobowych. Podjęcie działań uniemożliwiających dalsze nielegalne przetwarzanie danych osobowych (np. zastosowanie dodatkowych zabezpieczeń, całkowite odłączenie stacji roboczej od zbioru danych osobowych). Usunięcie skutków incydentu. Przywrócenie normalnego działania systemu (np. odtworzenie bazy danych z ostatniej kopii). Zrestartowania hasła użytkownika, który zgłosił naruszenie systemu informatycznego. Poinformowania o incydencie ABI, w tym sporządzenia notatki dotyczącej opisu, przyczyn i znanych skutków incydentu. Wyjaśnienia przyczyn wystąpienia incydentu i podjęcia działań zmierzających do ograniczenia ryzyka wystąpienia ponownego incydentu w przyszłości (np. szkolenie pracowników, analiza wdrożonych środków bezpieczeństwa pod kątem ich skuteczności, ustalenie źródła wirusa i zwiększenie zabezpieczeń). Wydania decyzji na ponowne rozpoczęcie przetwarzania danych osobowych. Przedstawienia ABI propozycji poprawy bezpieczeństwa. W przypadku, gdy incydent wywołany był świadomie przez pracownika zebrania dowodów. Zasady przetwarzania danych osobowych przez Administratora Danych Osobowych. Wykaz budynków, pomieszczeń tworzących obszar gdzie przetwarzane są dane osobowe. Dane osobowe przetwarzane są w lokalizacjach wymienionych w załączniku nr 1 do niniejszej Polityki. Jeżeli dane osobowe przetwarzane są w pomieszczeniach ogólnodostępnych należy wydzielić część pomieszczenia, w której przetwarzane są dane osobowe (np. montaż barierek, lad, odpowiednie ustawienie mebli biurowych uniemożliwiające dostęp do danych przez osoby postronne). Ze względu na charakter usług prowadzonych przez CMS Sp. z o.o. tj. sklep internetowy, osoby upoważnione do przetwarzania danych osobowych mają dostęp do panelu administracyjnego konkretnego sklepu z każdego urządzenia podłączonego do sieci Internet po wpisaniu odpowiedniego adresu strony internetowej i podaniu loginu i hasła. Szczegółowe procedury zarządzania takimi uprawnieniami zostały ujęte w Instrukcji. 5

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do ich przetwarzania. Aktualny wykaz został zawarty w załączniku nr 2 do niniejszej Polityki. Obsługa sklepu internetowego została upoważnionym do tego celu pracownikom firmy, którzy zaznajomili się z Politykę Bezpieczeństwa. Dane osobowe zlokalizowane są na zewnętrznym zabezpieczonym przez firmę hostingową home.pl serwerze. Opis struktury zbioru danych. W zbiorze przetwarzane są informacje o klientach w następującym zakresie: <Zakres 1>: [imię, nazwisko, adres (kod pocztowy, miejscowość, ulica, nr domu/mieszkania), adres e-mail, telefon, nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia, data odbioru], oraz informacje o towarach w zakresie: <Zakres 2>: [identyfikator towaru, nazwa towaru, nazwa producenta] Tablica 1. Struktura zbioru zawierającego informacje o klientach, zamówieniach i produktach. Dane adresowe Klienta [id klienta, imię, nazwisko, adres (kod pocztowy, miejscowość, ulica, nr domu/mieszkania), adres email, telefon] Zamówienia Klienta Sprzedawane towary [id zamówienia, id klienta, nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia] [id towaru, nazwa towaru, nazwa producenta, data produkcji] Przepływ danych pomiędzy poszczególnymi systemami. Diagram przepływu danych znajduje się w załączniku nr 3. Klient sklepu internetowego www.farbyjachtowe.pl dokonuje rejestracji w sklepie podając swoje imię i nazwisko, adres dostarczenia przesyłki, adres e-mail i opcjonalnie numer telefonu. Jego konto chronione jest wybranym przez niego, indywidualnym hasłem. Po złożeniu zamówienia administrator panelu sklepu internetowego wprowadza ręcznie dane klienta i szczegóły jego zamówienia do systemu Subiekt GT (system klasy ERP stosowany we wspomaganiu zarządzania przedsiębiorstwem). Po wyrażeniu przez klienta zgody, jego adres mailowy zostaje dodany do listy subskrybentów newslettera w panelu www.farbyjachtowe.pl. i www.sare.pl. Dane osobowe dotyczące pracowników przetwarzane są przez firmę zewnętrzną prowadzącą księgowość Spółki na zlecenie CMS Sp. z o.o. stosowna umowa powierzenia została zawarta. 6

Określenie środków technicznych i organizacyjnych zapewniających poufność, integralność i rozliczalność przetwarzania danych osobowych. Analiza potencjalnych zagrożeń dla bezpieczeństwa przetwarzanych danych osobowych Połączenie systemu informatycznego, w którym przetwarzane są dane osobowe z ogólnodostępną siecią Internet oprogramowanie szpiegujące czy monitorujące pracę komputera (wirusy komputerowe, konie trojańskie, rootkity, keylogger, Phishing itp.). Zamierzone działania ludzkie mające na celu nieautoryzowane przetwarzanie danych osobowych: ujawnienie hasła i loginu, podszycie się pod użytkownika, użycie złośliwego oprogramowania, włamanie do systemu, kradzież danych, uszkodzenie zabezpieczeń fizycznych np. włamanie. Działania użytkownika, które w sposób przypadkowy mogą doprowadzić do nieautoryzowanego przetwarzania danych osobowych (m.in. błędy ludzkie): udostępnianie stanowisk pracy osobom nieuprawnionym, niewłaściwa konstrukcja haseł, nieautoryzowane kopiowanie danych osobowych, utrata nośnika zawierającego dane osobowe, nieodpowiednie niszczenie nośników informacji (np. kartka papieru, dysk), pozostawienie nośników zewnętrznych w komputerze np. pendrive, używanie nośników danych udostępnionych przez osoby postronne, samowolne instalowanie przez użytkowników oprogramowania nieznanego pochodzenia, niewłaściwe ustawienie monitora komputerowego, umożliwiające osobom nieupoważnionym wgląd w przetwarzane dane osobowe, pozostawienie dokumentów w ogólnodostępnych miejscach np. w drukarce, w kserokopiarce, pozostawienie kluczy w drzwiach do pomieszczeń stanowiących obszar przetwarzania danych osobowych lub w szafkach, gdzie znajdują się dane osobowe. Zdarzenia losowe m.in: pożar, włamanie, powódź, zalanie, kradzież, awaria oprogramowania. 7

Do przypadków naruszenia bezpieczeństwa systemu informatycznego można m.in. zaliczyć: brak możliwości uruchomienia przez Użytkownika aplikacji pozwalającej na dostęp do danych osobowych, ograniczone, w stosunku do normalnej sytuacji, uprawnienia Użytkownika w aplikacji (na przykład brak możliwości wykonania pewnych operacji normalnie dostępnych Użytkownikowi) lub uprawnienia poszerzone w stosunku do normalnej sytuacji, znaczne spowolnienie działania systemu informatycznego, brak możliwości fizycznego dostępu do danych (np. kradzież sprzętu komputerowego, zagubienie klucza do pomieszczeń), zidentyfikowanie w systemie wirusa lub innego programu, mogącego uszkodzić, skasować bądź skopiować dane osobowe, stwierdzenie próby bądź podejrzenie nieautoryzowanego przetwarzania danych osobowych (np. zmieniona zawartość zbioru, zmiana kolejności ułożenia dokumentów, otwarte drzwi, nieautoryzowane zniszczenie zawartości zbioru ), naruszenie technicznego stanu urządzeń, naruszenie zawartości zbioru danych osobowych. Zastosowane środki techniczne 1. Dostęp do danych osobowych ograniczony jest autoryzacją użytkownika poprzez wpisanie loginu i hasła. 2. Każdemu użytkownikowi uprawnionemu do przetwarzania danych osobowych, przydzielono indywidualny login i hasło. Hasło jest znane tylko przez użytkownika co pozwala na zachowanie zasady niezaprzeczalności zdarzeń. Wymogi dotyczące haseł zostały zawarte Instrukcji Zarządzania Systemem Informatycznym. 3. Od chwili otrzymania loginu użytkownik odpowiedzialny jest za wszystkie czynności, które zostały wykonane przy jego użyciu. 4. Pracownicy, bez zezwolenia CMS Sp. z o. o. nie mogą wynosić poza pomieszczenia stanowiące obszar przetwarzania danych osobowych dokumentów lub elektronicznych nośników informacji zawierających dane osobowe lub kopii tych danych (nie dotyczy przetwarzania danych osobowych na komputerach przenośnych), 5. W przypadku wynoszenia kopii danych poza obszar, w którym przetwarzane są dane osobowe, Administrator Systemu Informatycznego zobowiązany jest do ich zabezpieczenia poprzez zaszyfrowanie. 6. Na serwerze zainstalowano oprogramowanie antywirusowe z automatyczną aktualizacją. 7. W celu ochrony zbioru danych osobowych przed utratą lub celowym zniszczeniem, wszystkie bazy zawierające dane osobowe są kopiowane zgodnie z procedurami opisanymi w Instrukcji. 8. Stacje robocze użytkowników zostały wyposażone w system operacyjny oraz pakiet biurowy z automatyczną aktualizacją. Stosuje się aktywną ochronę antywirusową w czasie rzeczywistym na każdym komputerze podłączonym do sieci. Oprogramowanie zostało tak skonfigurowane, że aktualizacje baz wirusów pobierane są automatycznie, a żaden z użytkowników nie ma możliwości wyłączenia programu antywirusowego. 9. Aktualizacji oprogramowania specjalistycznego dokonuje na bieżąco Administrator Systemu Informatycznego lub inna osoba wyznaczona przez niego. 10. Dokładne testowanie modyfikacji oprogramowania przed wdrożeniem go do użytku zarówno pod kątem poprawności działania jak i podatności na ataki z zewnątrz. 8

Zastosowane środki organizacyjne Do przetwarzania danych osobowych może zostać dopuszczona osoba, która otrzymała od Administratora Danych Osobowych (CMS Sp. z o.o.) Upoważnienie do Przetwarzania Danych Osobowych. Warunkiem udzielenia upoważnienia do przetwarzania danych osobowych jest zaznajomienie użytkownika przetwarzającego dane osobowe z: wymaganiami ustawy z dnia 29 sierpnia 1997r. o Ochronie Danych Osobowych, niniejszą Polityką Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym w CMS Sp. z o.o. 1. CMS Sp. z o.o. prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, zgodnie z załącznikiem nr 4 do niniejszej Polityki. 2. Wszystkie zainstalowane programy na stacjach roboczych pochodzą z legalnego źródła, Administrator Systemu Informatycznego posiada wszystkie dokumenty potwierdzające legalność używanego oprogramowania. 3. CMS Sp. z o.o. wdrożył niniejszą Politykę Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych. 4. Usystematyzowano sposób zarządzania uprawnieniami użytkowników w systemie informatycznym dla wszystkich użytkowników, określono zakresy dostępu do systemu informatycznego. 5. Monitory użytkowników zostały ustawione w taki sposób, że osoby postronne nie mają możliwości wglądu w treść wyświetlaną na ekranie. 6. Na komputerach, na których przetwarzane są dane osobowe zainstalowano automatyczne wygaszacze ekranu blokujące po 10 minutach bezczynności dostęp do stacji roboczej. 7. Każdy użytkownik w sytuacji opuszczenia stanowiska pracy zobligowany jest do zablokowania stacji roboczej przed osobami postronnymi. 8. Osoby nieupoważnione, znajdujące się w pomieszczeniach, gdzie przetwarza się dane osobowe, mogą przebywać tylko w obecności osoby posiadającej upoważnienie do przetwarzania danych osobowych. 9. Pracownicy, którzy przetwarzają dane osobowe w formie papierowej zobowiązani są do zabezpieczenia ich przed osobami niemającymi upoważnienia do przetwarzania danych poprzez odpowiednie ich przechowywanie i/lub niszczenie. 10. Dane archiwalne przechowywane są w zamkniętych szafach w siedzibie CMS Sp. z o.o. Postanowienia końcowe W sprawach nieuregulowanych niniejsza Polityką mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r., Nr 100, poz. 1024). 9

Załączniki Załącznik nr 1 wykaz budynków i spis pomieszczeń. Załącznik nr 2 wykaz zbioru danych osobowych. Załącznik nr 3 diagram przepływu danych. Załącznik nr 4 ewidencja osób upoważnionych do przetwarzania danych. 10

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres