Samodzielny Publiczny Szpital Kliniczny Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach 41-800 Zabrze, ul. 3-go Maja 13-15 http://www.szpital.zabrze.pl ; mail: sekretariat@szpital.zabrze.pl REGON: 271566088 NIP: 648-23-01-274 wpisany do KRS: Sąd Rejonowy w Gliwicach X Wydział Gospodarczy pod nr 000002 Załącznik Nr 1do Zarządzenia Nr... z dnia...2009 r. Polityka Bezpieczeństwa Danych Osobowych w systemach informatycznych w Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach Zabrze, lipiec 2009 r. Strona 1 z 8
SPIS TREŚCI 1. Postanowienia ogólne 3 2. Definicja bezpieczeństwa informacji...3 3. Zakres....4 4. Struktura dokumentów Polityki Bezpieczeństwa informacji.5 5. Dostęp do informacji....... 5 6. Zarządzanie danymi osobowymi......5 7. Zakresy odpowiedzialności...... 6 8. Przetwarzanie danych osobowych.....8 9. Archiwizowanie Informacji zawierających dane osobowe..8 Strona 2 z 8
1. Postanowienia ogólne 1. Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych w zakresie ochrony danych osobowych, sposobu przetwarzania w Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach grupy informacji zawierającej dane osobowe. 2. Określenia użyte w Polityce Bezpieczeństwa oznaczają: Szpital Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach Komórka organizacyjna odpowiednio komórki organizacyjne, o których mowa w schemacie organizacyjnym Szpitala. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przetwarzanie danych osobowych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Użytkownik osoba upoważniona do przetwarzania danych osobowych. Administrator systemu osoba upoważniona do zarządzania systemem informatycznym. System informatyczny rozumie sie przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Zabezpieczenie danych w systemie informatycznym rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. 2. Definicja bezpieczeństwa informacji. 3. Utrzymanie bezpieczeństwa przetwarzanych przez Szpital informacji rozumiane jest jako zapewnienie ich poufności, integralności i dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z zasobem stanowiącym przedmiot niniejszej Polityki. Poniżej opisane jest rozumienie wyżej wymienionych pojęć w odniesieniu do informacji i aplikacji. Poufność informacji rozumiana jako zapewnienie, że tylko uprawnieni pracownicy mają dostęp do informacji. Integralność informacji rozumiana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania. Dostępność informacji rozumiane jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne. Zarządzanie ryzykiem rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informatycznych. Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem: Strona 3 z 8
Niezaprzeczalności odbioru rozumianej jako zdolność systemu do udowodnienia, że adresat informacji otrzymał ją w określonym miejscu i czasie. Niezaprzeczalności nadania rozumianej jako zdolność systemu do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie. Rozliczalności działań rozumianej, jako zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał. 3. Zakres. 4. W systemie informacyjnym Szpitala przetwarzane są informacje służące do wykonywania zadań z zakresu administracji publicznej oraz instytucji pożytku publicznego. Informacje te są przetwarzane i składowane zarówno w postaci dokumentacji papierowej jak i elektronicznej. 5. Politykę Bezpieczeństwa stosuje się do: - danych osobowych przetwarzanych w systemie informatycznym Szpitala, - danych osobowych pacjentów leczących się w Szpitalu, - dane osobowe gromadzone w systemie Zamówień Publicznych, - wszystkich informacji dotyczących danych pracowników Szpitala, w tym treści zawieranych umów o pracę, wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji, - informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych, rejestru osób dopuszczonych do przetwarzania danych osobowych, innych dokumentów zawierających dane osobowe. 6. Zakresy określone przez dokumenty Polityki Bezpieczeństwa Informacji mają zastosowanie do bezpieczeństwa danych osobowych Szpitala w szczególności do: - wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są informacje podlegające ochronie, - informacji będących własnością Szpitala lub pacjentów Szpitala, o ile zostały przekazane na podstawie umów, - wszystkich lokalizacji budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie, - wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz wszystkie pozostałe osoby mające dostęp do informacji podlegających ochronie. Informacje niejawne nie są objęte zakresem niniejszej Polityki. 7. Strona 4 z 8
4. Struktura dokumentów Polityki Bezpieczeństwa informacji. 8. Dokumenty Polityki Bezpieczeństwa Informacji ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji. Zestaw dokumentów Polityki Bezpieczeństwa Informacji składa się z: - niniejszego dokumentu Polityki Bezpieczeństwa Informacji, - Instrukcji zarządzania systemami informatycznymi w zakresie wymogów bezpieczeństwa przetwarzania danych osobowych, opisującej sposób zarządzania systemami przetwarzania danych osobowych w Szpitalu, - Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, opisującej tryb postępowania w sytuacjach naruszenia zabezpieczenia zasobów danych osobowych, zaobserwowanych prób naruszenia tego zabezpieczenia, a także uzasadnionego podejrzenia o przygotowywanej próbie naruszenia. 5. Dostęp do informacji. 9. Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Szpitalu zasad ochrony danych osobowych. 10. Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych. 11. Udostępnianie danych osobowych podmiotom upoważnionym do ich otrzymania, na podstawie przepisów prawa, powinno odbywać się wg określonych odrębnymi przepisami procedur postępowania. 6. Zarządzanie danymi osobowymi 12. Administratorem danych osobowych Szpitala jest Dyrektor Samodzielnego Publicznego Szpitala Klinicznego Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach. 13. 1.Za bezpieczeństwo danych osobowych szpitala, odpowiadają: - Dyrektor Naczelny Samodzielnego Publicznego Szpitala Klinicznego Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach. Strona 5 z 8
- Administrator Bezpieczeństwa Informacji Samodzielnego Publicznego Szpitala Klinicznego Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach. Administrator Bezpieczeństwa Informacji Szpitala realizując politykę bezpieczeństwa informacji ma prawo wydawać instrukcje regulujące kwestie związane z ochroną danych osobowych w strukturach Szpitala. W umowach zawieranych przez Szpital winny znajdować się postanowienia zobowiązujące podmioty zewnętrzne do ochrony danych udostępnionych przez Szpital. 14. 1. Obowiązki wynikające z ustawy o ochronie danych osobowych szpitala powierza kierownikom jednostek określonych w strukturze organizacyjnej Szpitala - w zakresie podległych im pracowników. 2. Kierownicy komórek organizacyjnych szpitala odpowiadają za realizację wymagań obowiązujących przepisów prawa, dotyczących ochrony danych osobowych, z obowiązkiem współdziałania z Administratorem Bezpieczeństwa Informacji w zakresie swoich właściwości. 3. Kierownicy komórek organizacyjnych Szpitala zobowiązani są do zapoznania podległych pracowników z treścią ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U.z 2002 r. Nr 101, poz. 926, z późn. zm.), Polityką Bezpieczeństwa Informacji w zakresie przetwarzania danych osobowych, Instrukcją zarządzania systemami informatycznymi w zakresie wymogów bezpieczeństwa przetwarzania danych osobowych oraz Instrukcją postępowania w sytuacji naruszenia ochrony danych osobowych. 15. Ochrona zasobów danych osobowych Szpitala jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników Szpitala. 7. Zakresy odpowiedzialności 16. Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik Szpitala. 17. Administrator Bezpieczeństwa Informacji w Szpitalu: 1. odpowiada za realizację ustawy o ochronie danych osobowych w zakresie dotyczącym Administratora Bezpieczeństwa Informacji, 2. określa strategię zabezpieczania systemów informatycznych Szpitala, 3. sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe, 4. identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych Szpitala, 5. określa potrzeby w zakresie zabezpieczenia systemów informatycznych, w których przetwarzane są dane osobowe, Strona 6 z 8
6. sprawuje nadzór nad bezpieczeństwem danych zawartych w komputerach przenośnych, dyskach wymiennych, palmtopach, w których przetwarzane są dane osobowe, 7. sprawuje nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe, 8. monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych, 9. sprawuje nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych, 10. zatwierdza wniosek kierownika jednostki o przyznaniu danemu użytkownikowi identyfikatora oraz praw dostępu do informacji chronionych w danym systemie przetwarzania, 11. powiadamia administratora systemu informatycznego o konieczności utworzenia identyfikatora użytkownika w systemie oraz zmianie/nadaniu uprawnień dostępu użytkownika do systemu, 12. prowadzi ewidencję baz danych w systemach informatycznych, w których przetwarzane są dane osobowe, 13. prowadzi ewidencję miejsc przetwarzania danych osobowych w systemach informatycznych, 14. prowadzi rejestr zbiorów danych osobowych Szpitala (przetwarzanych metodą tradycyjną lub w systemach informatycznych). 18. Administrator Systemu Informatycznego odpowiedzialny jest za: 1. bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych, 2. optymalizację wydajności systemu informatycznego, baz danych, 3. instalacje i konfiguracje sprzętu sieciowego i serwerowego, 4. instalacje i konfiguracje oprogramowania systemowego, sieciowego, oprogramowania bazodanowego, 5. konfigurację i administrację oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem, 6. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych, 7. zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego, 8. zarządzanie kopiami awaryjnymi danych w tym danych osobowych oraz zasobów umożliwiających ich przetwarzanie, 9. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji, 10. przyznawanie na wniosek kierownika jednostki organizacyjnej, za zgodą Administratora Bezpieczeństwa Informacji ściśle określonych praw dostępu do informacji w danym systemie, 11. wnioskowanie do Administratora Bezpieczeństwa Informacji w sprawie procedur bezpieczeństwa i standardów zabezpieczeń, 12. zarządzanie licencjami, procedurami ich dotyczącymi, 13. prowadzenie profilaktyki antywirusowej, 14. Monitorowanie oraz archiwizowanie ruchu internetowego generowanego przez stacje robocze zlokalizowane w szpitalnej sieci teleinformatycznej: a) zapis wszystkich nowych połączeń sieciowych, b) monitoring oraz archiwizację odwiedzanych adresów internetowych, c) archiwizację wiadomości e-mail przetwarzanych przez systemy szpitalne. Strona 7 z 8
Praca Administratora Systemu Informatycznego jest nadzorowana pod względem bezpieczeństwa przez Administratora Bezpieczeństwa Informacji. 8. Przetwarzanie danych osobowych 19. Systemy informatyczne, służące do przetwarzania danych osobowych, muszą spełniać wymogi obowiązujących aktów prawnych regulujących zasady gromadzenia i przetwarzania danych osobowych. 20. Do tworzenia kopii bezpieczeństwa danych osobowych w postaci elektronicznej służą indywidualne systemy archiwizowania dla poszczególnych systemów przetwarzania. 21. Kopie bezpieczeństwa oraz dokumenty papierowe zawierające dane osobowe przechowuje się w warunkach uniemożliwiających dostęp do nich osobom nieuprawnionym. 9.Archiwizowanie Informacji zawierających dane osobowe 22. Zasady archiwizacji i brakowania dokumentów reguluje Rozporządzenie Ministra Kultury z dnia 16 września 2002 r. w sprawie postępowania z dokumentacją, zasad jej klasyfikacji i kwalifikowania oraz zasad i trybu przekazywania materiałów archiwalnych do archiwów państwowych (Dz. U. Nr 167, poz. 1375). Opracował: Administrator Bezpieczeństwa Informacji mgr inż. Jarosław Radziszewski Zatwierdził: Strona 8 z 8