INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

Podobne dokumenty
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. w Zespole Szkół nr 1 im. Melchiora Wańkowicza w Błoniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

Rozdział I Zagadnienia ogólne

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE MKPUBLIKACJE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU POMOCY SPOŁECZNEJ W ŁAZACH

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

Rozdział I Postanowienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ IM. MARII KONOPNICKIEJ W HARKABUZIE

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

osobowych w Urzędzie Gminy Duszniki Postanowienia ogólne Podstawa prawna Definicje

Załącznik 3 do Zarządzenia nr 34/08 str. 1/10

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

INSTRUKCJA. zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Instrukcja Zarządzania Systemem Informatycznym

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

KAPITAŁ LUDZKI NARODOWA STRATEGIA SPÓJNOŚCI

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA

Instrukcja Zarządzania Systemem Informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych objętych zbiorem pod nazwą

Załącznik nr 3 do Polityki Ochrony Danych Osobowych Toruń, dnia 25 maja 2018 r.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

I Postanowienia ogólne. II Rejestrowanie w systemie informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W Szkole Podstawowej nr 4 im. Józefa Lompy w Rudzie Śląskiej

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZARZĄDZENIE NR 27/2011 STAROSTY RAWSKIEGO. z dnia 27 lipca 2011 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w.. 1

Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Żyrzyn

ZARZĄDZENIE NR 5/2016 WÓJTA GMINY MAŁKINIA GÓRNA. z dnia 2 lutego 2016 r.

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

INSTRUKCJA. Rozdział 5 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania.

REGULAMIN OCHRONY DANYCH OSOBOWYCH WYCIĄG Z POLITYKI BEZPIECZEŃSTWA

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH Urzędu Miasta Kościerzyna. Właściciel dokumentu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. ROZDZIAŁ 1 Postanowienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY PIERZCHNICA

a) po 11 dodaje się 11a 11g w brzmieniu:

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ NR 4 W BIAŁOGARDZIE

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Załącznik nr 1 do Polityki bezpieczeństwa informacji UKSW" INSTRUKCJA bezpieczeństwa systemów informatycznych UKSW

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH GIMNAZJUM nr 1 w ŻARACH

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Karkonoskiej Państwowej Szkole Wyższej w Jeleniej Górze

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Zarządzenie wchodzi w życie z dniem 5 lipca 2013 roku.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

INSTRUKCJA OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Transkrypt:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE KUTNO 2013r.

SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. PRZEZNACZENIE... 2 III. OKREŚLENIE POZIOMU BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMIE INFORMATYCZNYM... 3 IV. ZASADY REJESTROWANIA I WYREJESTROWANIA UŻYTKOWNIKÓW SYSTEMU INFORMATYCZNEGO, ZAKRES ODPOWIEDZIALNOŚCI ADMINISTRATORA SYSTEMU... 3 V. ZASADY DOPUSZCZANIA PRACOWNIKÓW DO EKSPLOATACJI SYSTEMÓW INFORMATYCZNYCH PRZETWARZAJĄCYCH ZBIORY DANYCH OSOBOWYCH... 3 VI. ZASADY TWORZENIA I POSŁUGIWANIA SIĘ HASŁAMI DOSTĘPU DO SYSTEMÓW INFORMATYCZNYCH. 4 VII. PROCEDURY ROZPOCZĘCIA, KONTYNUOWANIA I ZAKOŃCZENIA PRACY Z SYSTEMEM INFORMATYCZNYM... 4 VIII. PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMÓW I URZĄDZEŃ PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA... 4 IX. ZASADY NISZCZENIA I SPOSOBY DOKUMENTOWANIA PROCESU NISZCZENIA NOŚNIKÓW INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE... 5 X. OKREŚLENIE ZASAD ZABEZPIECZANIA ORAZ WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI SYSTEMÓW SŁUŻĄCYCH DO PRZETWARZANIA DANYCH... 5 XI. POSTĘPOWANIE W ZAKRESIE KOMUNIKACJI SIECIOWEJ... 6 1

I. POSTANOWIENIA OGÓLNE 1. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101, poz. 926, ze zm.) oraz rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) nakłada na administratora danych osobowych następujące obowiązki: zapewnienie bezpieczeństwa i poufności danych, w tym zabezpieczenie ich przed ujawnieniem, zabezpieczenie danych przed nieuprawnionym dostępem, zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym (nieuprawnionym pozyskaniem), zabezpieczenie przed utratą danych, zabezpieczenie przed uszkodzeniem lub zniszczeniem danych oraz przed ich nielegalną modyfikacją. 2. Ochronie podlegają dane osobowe niezależnie od formy przechowywania, sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których odbywa się proces przetwarzania. 3. Instrukcja określa ramowe zasady właściwego zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i system informatyczny, odpowiednie do zagrożeń i kategorii danych objętych ochroną. II. PRZEZNACZENIE 1. Instrukcja zarządzania systemie informatycznym, służącym do przetwarzania danych osobowych w Zespole Szkół nr 1 im. Stanisława Staszica w Kutnie, zwaną dalej instrukcją - określa sposób zarządzania oraz zasady administrowania systemem informatycznym służącym do przetwarzania danych osobowych. 2. Niniejsza Instrukcja zarządzania systemem informatycznym określa: a) poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym; b) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym; c) stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem; d) sposób przydziału haseł dla użytkowników i częstotliwość ich zmiany oraz osoby odpowiedzialne za te czynności; e) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; f) metody i częstotliwość tworzenia kopii awaryjnych. g) metody i częstotliwość sprawdzania obecności wirusów komputerowych oraz metody ich usuwania; h) sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe kopii zapasowych; i) sposób dokonywania przeglądów i konserwacji systemu i zbioru danych osobowych; j) sposób postępowania w zakresie komunikacji w sieci komputerowej; k) procedury wykonywania przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych. 2

III. OKREŚLENIE POZIOMU BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMIE INFORMATYCZNYM 1. Z analizy zagrożeń wynika, że w Szkole miejscami najbardziej zagrożonymi są pomieszczenia budynku, w których znajdują się zbiory danych osobowych gromadzone w kartotekach oraz urządzeniach służących do przetwarzania tych danych, do których mogą mieć nieuprawniony dostęp osoby nieupoważnione spoza Szkoły. 2. Do innych zagrożeń, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych należy zaliczyć: nie przydzielenie użytkownikom systemu informatycznego identyfikatorów; niewłaściwa administracja systemem; niewłaściwa konfiguracja systemu; zniszczenie (sfałszowanie) kont użytkowników; kradzież danych kont; pokonanie zabezpieczeń programowych; zaniedbania pracowników szkoły (niedyskrecja, udostępnienie danych osobie nieupoważnionej); niekontrolowana obecność nieuprawnionych osób w obszarze przetwarzania; zdarzenia losowe (powódź, pożar); niekontrolowane wytwarzanie i wypływ danych poza obszar przetwarzania z pomocą nośników informacji i komputerów przenośnych; naprawy i konserwacje systemu lub sieci teleinformatycznej wykonywane przez osoby nieuprawnione; przypadkowe bądź celowe uszkodzenie systemów i aplikacji informatycznych lub sieci; przypadkowe bądź celowe modyfikowanie systemów i aplikacji informatycznych lub sieci; przypadkowe bądź celowe wprowadzenie zmian do chronionych danych osobowych brak rejestrowania zdarzeń tworzenia lub modyfikowania danych; 3. W systemie informatycznym Szkoły przetwarzane są dane osobowe pracowników i uczniów Szkoły. IV. ZASADY REJESTROWANIA I WYREJESTROWANIA UŻYTKOWNIKÓW SYSTEMU INFORMATYCZNEGO, ZAKRES ODPOWIEDZIALNOŚCI ADMINISTRATORA SYSTEMU 1. Rejestracji i wyrejestrowania użytkownika systemu informatycznego dokonuje upoważniona przez Administratora Danych Osobowych osoba ujęta w ewidencji osób uprawnionych do przetwarzania danych osobowych zwana Administratorem Bezpieczeństwa Informacji. 2. Każdy użytkownik upoważniony do pracy w systemie informatycznym, w którym przetwarzane są dane osobowe, winien posiadać własny odrębny identyfikator i hasło dostępu. 3. Rozwiązanie stosunku pracy, bądź zmiana zakresu obowiązków powoduje utratę dostępu do przetwarzania danych i wyrejestrowanie użytkownika z systemu oraz wykreślenie z ewidencji. V. ZASADY DOPUSZCZANIA PRACOWNIKÓW DO EKSPLOATACJI SYSTEMÓW INFORMATYCZNYCH PRZETWARZAJĄCYCH ZBIORY DANYCH OSOBOWYCH 1. Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do zbierania lub przetwarzania danych osobowych, mogą być dopuszczeni wyłącznie pracownicy posiadający aktualne, ważne upoważnienia. 2. Administrator Bezpieczeństwa Informacji zapoznaje pracowników z przepisami o ochronie danych osobowych. 3

VI. ZASADY TWORZENIA I POSŁUGIWANIA SIĘ HASŁAMI DOSTĘPU DO SYSTEMÓW INFORMATYCZNYCH 1. Bezpośredni dostęp do danych osobowych przetwarzanych w systemie informatycznym użytkownik może mieć wyłącznie po podaniu nazwy użytkownika (loginu) oraz właściwego hasła. 2. Należy wybierać hasła, które: nie są hasłami słownikowymi składają się z co najmniej ośmiu znaków zawierają zarówno duże jak i małe litery oraz cyfry 3. Hasło nie może być zapisywane lub przechowywane w miejscu dostępnym dla osób nieuprawnionych. 4. Okres ważności hasła ustawiony jest na okres nie dłuższy niż 1 miesiąc. 5. W przypadku utraty hasła użytkownik ma obowiązek skontaktować się z ABI celem uzyskania nowego hasła. 6. Użytkownicy nie mogą korzystać z innych loginów (nazw użytkownika) niż te, do których są upoważnieni. VII. PROCEDURY ROZPOCZĘCIA, KONTYNUOWANIA I ZAKOŃCZENIA PRACY Z SYSTEMEM INFORMATYCZNYM 1. Użytkownik rozpoczynający pracę zobowiązany jest do sprawdzenia zabezpieczenia pomieszczenia, w którym przetwarzane są dane osobowe, swojego stanowiska pracy oraz stanu sprzętu komputerowego, na którym pracuje. 2. Przed rozpoczęciem pracy, w trakcie rozpoczynania pracy z systemem informatycznym oraz w trakcie pracy, każdy pracownik jest obowiązany do zwrócenia bacznej uwagi, czy nie wystąpiły objawy, mogące świadczyć o naruszeniu zasad ochrony danych osobowych. 3. Rozpoczęcie pracy użytkownika w systemie informatycznym obejmuje uruchomienie komputera, wprowadzenie identyfikatora i hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności działania systemu. 4. Krótkotrwałe przerwy w pracy (bez opuszczania stanowiska pracy) nie wymagają zamykania aplikacji. 5. Odchodząc od swojego komputera, każdy użytkownik powinien aktywować wygaszacz ekranu zabezpieczony hasłem dostępu lub zablokować dostęp do komputera naciskając klawisz z logo Windows i klawisz L. 6. Przed całkowitym opuszczeniem stanowiska pracy, użytkownik obowiązany jest zamknąć aplikację i wylogować się z pracy w sieci. 7. Zakończenie pracy polega na zamknięciu wszystkich programów i zapisaniu wszystkich otwartych plików oraz wybraniu odpowiedniego polecenia systemowego umożliwiającego zakończenie pracy. Użytkownik powinien zaczekać przy komputerze do chwili jego wyłączenia. 8. Pomieszczenia, w których przetwarzane są dane osobowe po zakończeniu pracy zamyka się na klucz. VIII. PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH OSOBOWYCH ORAZ PROGRAMÓW I URZĄDZEŃ PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA 1. Za tworzenie kopii zapasowych danych osobowych i programów służących do przetwarzania danych osobowych odpowiadają użytkownicy systemu informatycznego. 2. Pełna kopia zapasowa danych osobowych sporządzana jest raz na miesiąc, natomiast kopia przyrostowa lub różnicowa (odpowiednio do charakteru zmian danych) sporządzana jest (w zależności od potrzeb) codziennie lub cotygodniowo. 3. Kopie wykonywane są w jednym egzemplarzu na nośniku optycznym, magnetycznym lub pamięci typu flash w zależności od posiadanych urządzeń archiwizujących dane znajdujących się w Szkole. 4

4. Nośnik z nagranymi kopiami zapasowymi przechowywany jest w sposób uniemożliwiający dostęp osób nieuprawnionych. IX. ZASADY NISZCZENIA I SPOSOBY DOKUMENTOWANIA PROCESU NISZCZENIA NOŚNIKÓW INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE 1. Jeżeli usunięcie danych osobowych z nośników magnetycznych nie jest możliwe wówczas nośniki zostają uszkodzone w sposób uniemożliwiający ich odczytanie. 2. Nośniki papierowe (wydruki) nie przeznaczone do ponownego użytku oraz nie archiwizowane powinny być natychmiast niszczone. 3. W każdym miesiącu dokonywany jest przegląd przechowywanych nośników kopii zapasowych, w celu usunięcia zbędnych danych. Nieprzydatne już nośniki informacji pozbawia się w sposób trwały zapisanych danych osobowych. 4. Dla tworzonych pełnych kopii zapasowych prowadzony jest Dziennik ewidencji kopii bezpieczeństwa stanowiący załącznik nr 1 do niniejszej instrukcji. 5. W przypadku kopii bezpieczeństwa wykonywanych za pomocą programu do automatycznego tworzenia kopii, metodą przyrostową lub różnicową nie prowadzi się Dziennika ewidencji kopii bezpieczeństwa. 6. Czas przechowywania kopii zapasowych zbiorów lokalnych ustala się na: - kopia codzienna (jeżeli wymagana) - 1 tydzień - kopia tygodniowa (piątkowa jeżeli wymagana)) - 1 miesiąc - kopia miesięczna - 1 rok - kopia roczna (ostatni dzień okresu bilansowego) - 5 lat X. OKREŚLENIE ZASAD ZABEZPIECZANIA ORAZ WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI SYSTEMÓW SŁUŻĄCYCH DO PRZETWARZANIA DANYCH 1. We wszystkich komputerach zainstalowanych w Szkole mogą być instalowane wyłącznie legalne oprogramowanie posiadające licencję, certyfikat legalności itp. 2. Zabronione jest pobieranie oraz instalowanie bez nadzoru osoby upoważnionej przez Administratora Bezpieczeństwa Informacji, jakichkolwiek programów na komputerach służących do przetwarzania danych osobowych. 3. Każda osoba przetwarzająca dane osobowe przy użyciu komputera została pouczona, aby w wypadku jakichkolwiek podejrzeń dotyczących obniżenia bezpieczeństwa danych osobowych, poinformowała o tym fakcie osobę upoważnioną przez Administratora Danych Osobowych, samego Administratora Danych Osobowych lub Administratora Bezpieczeństwa Informacji 4. Za legalność użytkowanego oprogramowania specjalistycznego odpowiada użytkownik systemu. 5. Do usuwania wirusów należy używać programów antywirusowych, pozostających w dyspozycji Szkoły. 6. Przeglądu i konserwacji sprzętu w sieci informatycznej, systemów informatycznych i nośników informacji dokonuje stosownie do potrzeb Administrator Systemu Informatycznego w porozumieniu z Administratorem Bezpieczeństwa Informacji. 7. W przypadku przekazywania stacji roboczej z dyskiem albo innych nośników informacji do naprawy, dysk lub nośnik jest demontowany, pozbawiany wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie lub naprawa dokonywana jest w obecności osoby upoważnionej przez Administratora Danych Osobowych. 8. Bezwzględnie zabronione jest samodzielne dokonywanie przez użytkowników napraw sprzętu informatycznego, wymiana jego podzespołów oraz wykonywanie innych czynności nie związanych bezpośrednio z jego eksploatacją. 9. Użytkownik ma obowiązek niezwłocznie powiadomić Administratora Bezpieczeństwa Informacji o wszelkich nieprawidłowościach i awariach sprzętu informatycznego, mogących prowadzić do próby naruszenia lub naruszenia bezpieczeństwa danych osobowych. 5

10. W przypadku awarii systemu informatycznego i utraty informacji lub w przypadku zaistnienia możliwości uszkodzenia informacji Administrator Systemu Informatycznego w porozumieniu z Administratorem Bezpieczeństwa Informacji jest zobowiązany do: przetestowania sieci informatycznej, systemu informatycznego oraz aplikacji służącej do przetwarzania danych, ocenić zasadność odtworzeni a danych przy wykorzystaniu aktualnej kopii zapasowej w przypadku uzasadnionej konieczności odtworzyć dane przy wykorzystaniu aktualnej kopii zapasowej XI. POSTĘPOWANIE W ZAKRESIE KOMUNIKACJI SIECIOWEJ 1. Przeglądarka (jeżeli jest to możliwe) powinna mieć ustawione opcje tak, by nie zapamiętywała nazwy użytkownika oraz hasła. 2. Komunikacja w sieci komputerowej dozwolona jest tylko po odpowiednim zalogowaniu się i podaniu indywidualnego hasła użytkownika. 3. Dostęp do wszystkich folderów i plików z sieci zabezpieczony jest odpowiednimi uprawnieniami. 6