Zasady Bezpieczeństwa Informacji w USK Wrocław.

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka Bezpieczeństwa Informacji PIN BG AGH. (w wyborze)

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

ZARZĄDZENIE NR OL-12/ /Z/13 NACZELNIKA URZĘDU SKARBOWEGO W JAWORZNIE Z DNIA R.

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Polityka Bezpieczeństwa Teleinformatycznego

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Instrukcja Zarządzania Systemem Informatycznym

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Polityka Bezpieczeństwa Firmy

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Szkolenie. Ochrona danych osobowych

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Polityka bezpieczeństwa danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Ochrona danych osobowych przy obrocie wierzytelnościami

Ustawa o ochronie danych osobowych po zmianach

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Bezpieczeństwo danych osobowych listopada 2011 r.

Ochrona danych osobowych

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Polityka bezpieczeństwa

Dane osobowe: Co identyfikuje? Zgoda

Zał. nr 2 do Zarządzenia nr 48/2010 r.

a) po 11 dodaje się 11a 11g w brzmieniu:

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

OCHRONA DANYCH OSOBOWYCH

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

INSTRUKCJA PRZETWARZANIA DANYCH OSOBOWYCH W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Żyrzyn

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Umowa nr ADO/.../2016 powierzenia przetwarzania danych osobowych

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Rozdział I Zagadnienia ogólne

REGULAMIN OCHRONY DANYCH OSOBOWYCH PUBLICZNEGO GIMNAZJUM W KARCZEWIE

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

INSTRUKCJA ZABEZPIECZENIA POMIESZCZEŃ SZKOŁY Z PROCEDURĄ POSTĘPOWANIA Z KLUCZAMI W SZKOLE PODSTAWOWEJ IM. PROF. JANA CZEKANOWSKIEGO W CMOLASIE

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

NIP:, Regon: wpisaną do Krajowego Rejestru Sądowego nr..., reprezentowaną przez:

wraz z wzorami wymaganej prawem dokumentacją

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

I n s t r u k c j a. Zarządzania Systemem Informatycznym do Przetwarzania Danych Osobowych w Publicznym Gimnazjum nr 1 im. Jana Pawła II w Ząbkach

Ochrona danych osobowych w biurach rachunkowych

Polityka Systemu Zarządzania Bezpieczeństwem Informacji

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA OSOBOWYCH

Uchwała wchodzi w życie z dniem uchwalenia.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Zmiany w ustawie o ochronie danych osobowych

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

REGULAMIN SIECI KOMPUTEROWEJ BIBLIOTEKI GŁÓWNEJ. Zachodniopomorskiego Uniwersytetu Technologicznego w Szczecinie

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM PRZETWARZANIA DANYCH OSOBOWYCH PRZY UŻYCIU SYSTEMU INFORMATYCZNEGO

1. Podstawowe zasady przetwarzania danych w Spółce

REJESTR CZYNNOŚCI PRZETWARZANIA

Polityka bezpieczeństwa w zakresie ochrony danych osobowych

Transkrypt:

Zasady Bezpieczeństwa Informacji w USK Wrocław. 1. Odpowiedzialność za bezpieczeństwo informacji w Szpitalu Odpowiedzialność za bezpieczeństwo informacji w szpitalu ponoszą wszyscy pracownicy zgodnie z posiadanymi zakresami obowiązków. Każdy pracownik Szpitala, jak również stażyści, rezydenci, praktykanci, wolontariusze, studenci oraz inni współpracujący ze szpitalem, mają obowiązek zapoznać się z dokumentem Polityki Bezpieczeństwa Informacji. Kierownicy komórek organizacyjnych Szpitala są odpowiedzialni za bezpieczeństwo informacji w swojej komórce organizacyjnej, a w szczególności za przestrzeganie zasad bezpieczeństwa przez podległy im personel oraz podejmowanie stosownych działań w razie wystąpienia incydentu zagrożenia bezpieczeństwa informacji. Jednocześnie o potrzebie ochrony informacji i obowiązkach pracownika z tego wynikających mówi art. 100 Kodeksu Pracy, a w szczególności 2 pkt. 4 i 5: 4) dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę; 5) przestrzegać tajemnicy określonej w odrębnych przepisach. 2. Podstawowe zasady bezpieczeństwa informacji (zawarte w ww. Polityce) Poniższe uniwersalne zasady są podstawą dla stworzenia i utrzymania skutecznego Systemu Zarządzania Bezpieczeństwem Informacji: 1) Zasada uprawnionego dostępu każdy pracownik przeszedł szkolenie z zasad ochrony informacji oraz spełnia kryteria dopuszczenia do informacji. 2) Zasada przywilejów koniecznych każdy pracownik posiada prawa dostępu do informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań. 3) Zasada wiedzy koniecznej każdy pracownik posiada wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu obowiązków. 4) Zasada usług koniecznych udostępniane powinny być takie usługi, jakie są konieczne do realizacji zadań statutowych. 5) Zasada asekuracji każdy mechanizm zabezpieczający musi być ubezpieczony drugim, innym (podobnym). W przypadkach szczególnych może być stosowane

dodatkowe trzecie niezależne zabezpieczenie. 6) Zasada świadomości zbiorowej wszyscy pracownicy są świadomi konieczności ochrony zasobów informacyjnych i aktywnie uczestniczą w tym procesie. 7) Zasada indywidualnej odpowiedzialności za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby. 8) Zasada obecności koniecznej prawo przebywania w określonych miejscach mają tylko osoby upoważnione. 9) Zasada stałej gotowości system jest przygotowany na wszelkie zagrożenia. Niedopuszczalne jest tymczasowe wyłączanie mechanizmów zabezpieczających. 10) Zasada najsłabszego ogniwa poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element. 11) Zasada kompletności skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje się podejście kompleksowe, uwzględniając wszystkie stopnie i ogniwa ogólnie pojętego procesu przetwarzania informacji. 12) Zasada ewolucji każdy system musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych. 13) Zasada odpowiedniości używane środki techniczne i organizacyjne muszą być adekwatne do sytuacji. 14) Zasada świadomej konwersacji nie zawsze i wszędzie trzeba mówić co się wie, ale zawsze i wszędzie trzeba wiedzieć co, gdzie i do kogo się mówi. 15) Zasada segregacji zadań zadania i uprawnienia powinny być tak podzielone, aby jedna osoba nie mogła zdobyć pełni władzy nad całym systemem. oraz 16) Zasada prywatności kont w systemach każdy pracownik i współpracownik Szpitala zobowiązany jest do pracy w systemach teleinformatycznych na przypisanych mu kontach jednoznacznie go identyfikujących i wyróżniających. 17) Zasada poufności haseł i kodów dostępu każdy pracownik i współpracownik Szpitala zobowiązany jest do zachowania poufności i nie przekazywania innym osobom udostępnionych mu haseł i kodów dostępu, w szczególności dotyczy to jego osobistych haseł dostępu do systemów teleinformatycznych i kodów dostępu do pomieszczeń. Indywidualnego hasła nie należy przekazywać ani przełożonemu, ani administratorom, a jeśli do tego doszło to należy je natychmiast zmienić. 18) Zasada zamkniętego pomieszczenia niedopuszczalne jest pozostawienie 2

niezabezpieczonego pomieszczenia służbowego, zarówno w godzinach pracy, jak i po jej zakończeniu, jeśli nie pozostaje w nim osoba upoważniona. Zasada nie dotyczy pomieszczeń ogólnie dostępnych. Na zakończenie dnia pracy, ostatnia wychodząca z pomieszczenia osoba, jest zobowiązana zamknąć wszystkie okna i drzwi oraz zabezpieczyć klucze do pomieszczenia zgodnie z obowiązującymi zasadami nadzorowania kluczy. 19) Zasada czystego biurka należy unikać pozostawiania bez nadzoru dokumentów na biurku. Po godzinach pracy wszystkie dokumenty, ważne ze względu na interes Szpitala, muszą być przechowywane w zamkniętych szafach, szufladach itp. 20) Zasada czystej tablicy po zakończonym spotkaniu należy uprzątnąć wszystkie materiały oraz wyczyścić tablice (flipchart, wyłączyć prezentacje multimedialne itp.). 21) Zasada czystego ekranu każdy komputer musi mieć ustawiony, włączający się automatycznie wygaszacz ekranu. Dodatkowo przed pozostawieniem włączonego komputera bez opieki użytkownicy powinni zablokować go (włączając wygaszacz ekranu) lub w przypadku dłuższej nieobecności wylogować się z systemu. 22) Zasada czystych drukarek informacje drukowane powinny być zabierane z drukarek (szczególnie sieciowych) natychmiast po wydrukowaniu. W przypadku nieudanej próby wydrukowania użytkownik powinien skontaktować się z osobą odpowiedzialną za eksploatację urządzenia, jeżeli zachodzi podejrzenie, iż wydruk zostanie wydrukowany bez nadzoru. 23) Zasada czystego kosza dokumenty papierowe i miękkie nośniki danych z wyjątkiem materiałów jawnych, promocyjnych, marketingowych i informacyjnych powinny być niszczone w sposób uniemożliwiający ich odczytanie (w niszczarce, umieszczane w specjalnie przeznaczonych do tego celu pojemnikach, itp.). 24) Zasada odpowiedzialności za zasoby - każdy użytkownik odpowiada za udostępnione mu zasoby (komputery, oprogramowanie, systemy, konta, itp.). 3. Ochrona danych osobowych. Szczególnym rodzajem Informacji przetwarzanej w szpitalu są dane osobowe (pacjentów, pracowników szpitala oraz innych osób fizycznych współpracujących ze szpitalem). W polskim ustawodawstwie, podstawowym aktem prawnym dotyczącym ochrony danych osobowych jest ustawa o ochronie danych osobowych z dnia 29 3

sierpnia 1997 roku (Dz.U. 2016 r., poz. 922 z późn. zm.). Ustawa ma na celu przede wszystkim chronić osoby fizyczne, których dane osobowe są lub mogą być przetwarzane przez różne podmioty, instytucje, organizacje. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Ustawa szczegółowo określa zasady postępowania z tymi danymi, które posiada organizacja. Wskazuje warunki przetwarzania danych, czyli co musi zrobić organizacja, aby można było powiedzieć, że legalnie, zgodnie z prawem, przetwarza te dane, a także określa prawa osób, których dane posiada. Ustawa ma zapobiegać sytuacjom nadużywania danych osób fizycznych, szczególnie wbrew ich woli i zmuszać tych, którym te dane zostały powierzone, do dbania o ich bezpieczeństwo. Ponadto w ustawie zostały określone kompetencje organu do spraw ochrony danych osobowych, czyli Generalnego Inspektora Ochrony Danych (tzw. GIODO). Posiadanie danych osobowych nakłada na organizacje (tak jak i na inne podmioty) szereg różnych obowiązków. Są to min.: obowiązek ochrony tych danych (zabezpieczenia ich przed dostępem do nich osób trzecich), obowiązek informacyjny wobec osób, których dane posiadamy (informowania, że mamy te dane i do jakich celów je wykorzystujemy, komu i w jakim celu je przekazujemy itp.), obowiązek rejestracyjny (czyli zgłoszenia informacji o danych do rejestru prowadzonego przez GIODO). Posiadając dane osobowe różnych osób musimy je przede wszystkim chronić (dbać o ich bezpieczeństwo, aby nie dostały się w posiadanie innych osób i podmiotów, a także spełnić szereg innych obowiązków, które nakłada ustawa. Zgodnie z przedmiotową ustawą, do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych. W szpitalu, Administratorem Danych, który decyduje o celach i sposobach przetwarzania danych jest Dyrektor Szpitala. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub 4

pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 5

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres