Polityka Bezpieczeństwa Teleinformatycznego

Podobne dokumenty
Polityka Systemu Zarządzania Bezpieczeństwem Informacji

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Bezpieczeństwo teleinformatyczne danych osobowych

POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Polityka Bezpieczeństwa Informacji Ochrony Danych Osobowych Urzędu Gminy Kęty

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zasady Bezpieczeństwa Informacji w USK Wrocław.

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

Szkolenie. Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Zarządzenie nr 101/2011

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

Rozdział I Zagadnienia ogólne

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 109/2016/K BURMISTRZA GMINY KĘTY. z dnia 1 czerwca 2016 r.

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W W FIRMIE MIROSŁAWA BANDYK PROWADZĄCEGO DZIAŁALNOŚĆ GOSPODARCZĄ POD NAZWĄ BUD MI-K F.R.B.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI I PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W PŁUŻNICY

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

ZARZĄDZANIE INCYDENTAMI DZIAŁANIA KORYGUJĄCE

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

II Lubelski Konwent Informatyków i Administracji r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

POLITYKA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZĘDZIE GMINY PIERZCHNICA

Ochrona Danych Osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Polityka bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

Amatorski Klub Sportowy Wybiegani Polkowice

Przetwarzanie danych osobowych w przedsiębiorstwie

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ W TUCHLINIE

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FIRMIE ULTIMASPORT.PL

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona danych osobowych w systemie rachunkowości. Wpisany przez Rafał Rydzak

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Ochrona wrażliwych danych osobowych

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

Tajemnica bankowa i ochrona danych osobowych w czynnościach outsourcingowych

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

ZATWIERDZAM. Administrator Bezpieczeństwa Informacji. Łódź, 2009

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Transkrypt:

ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Nr dokumentu: P04 Data wydania: 01.06.2016 rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym PN/ISO 27001:2014 Kontroli Zarządczej Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526). 5.2; A 5.1.1; A5.1.2 A4,C12,C13,C15 P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 1 z 8

P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 2 z 8

Spis treści 1. Cele i zakres Polityki Bezpieczeństwa Teleinformatycznego... 4 2. Podstawowe definicje... 4 3. Obowiązki wynikające z zajmowanych stanowisk... 6 4. Ogólne reguły bezpieczeństwa informacji w systemach teleinformatycznych... 7 5. Przetwarzanie i gromadzenie danych jest dopuszczalne pod warunkiem:... 8 6. Ochrona danych osobowych... 8 7. Postępowanie w przypadku naruszenia bezpieczeństwa informacji... 8 8. Konsekwencje naruszenia zasad Polityki Bezpieczeństwa Teleinformatycznego... 8 9. Historia dokumentu... 8 P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 3 z 8

1. Cele i zakres Polityki Bezpieczeństwa Teleinformatycznego Celem Polityki Bezpieczeństwa Teleinformatycznego jest zapewnienie przetwarzania informacji w systemach informatycznych zgodnie z wymogami prawnymi i organizacyjnymi. Zapewnienie, że dostęp do informacji w systemach teleinformatycznych będzie realizowany w sposób adekwatny do realizowanych zadań przez poszczególnych pracowników. Zabezpieczenie systemów informatycznych przed nieuprawnionym dostępem czy modyfikacją informacji przetwarzanych przez używane systemy. Zapewnienie, że systemy teleinformatyczne będą zapewniały następujące atrybuty bezpieczeństwa: A. poufność danych rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom, B. integralność danych rozumianą jako właściwość polegająca na zapewnieniu dokładności i kompletności aktywów oraz metod jej przetwarzania (między innymi zapewnienie, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany), C. rozliczalność danych rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie, D. dostępność danych - rozumianą jako właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu oraz zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią z aktywów wtedy, gdy jest to potrzebne. Aktualizacja formularzy powiązanych z niniejszym dokumentem nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. 2. Podstawowe definicje Ilekroć w instrukcji jest mowa o: Ustawie rozumie się ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm); Administratorze Danych Osobowych (ADO) oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych - Burmistrz Gminy Kęty; Pełnomocniku ds. Systemu Zarządzania Bezpieczeństwem Informacji (PSZBI)- rozumie się przez to osobę która w imieniu Burmistrza sprawuje nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji; Asystent Administratora Danych Osobowych (AsADO) rozumie się przez to osobę, którą Administrator Danych Osobowych powołał do wsparcia w wypełnianiu ustawowych obowiązków; Administratorze Systemów Informatycznych (ASI) rozumie się przez to osobę, której Administrator Danych Osobowych powierzył pełnienie obowiązków Administratora Systemów Informatycznych w odniesieniu do systemu nadzoru nad informacją (aktywami) funkcjonującą w systemach informatycznych; System Zarządzania Bezpieczeństwem Informacji (SZBI) system zarządzający bezpieczeństwem informacji w oparciu o wymogi normy PN-ISO/IEC 27001; Urzędzie rozumie się Urząd Gminy Kęty; danych każdą informację (tekst, cyfry, wykres, rysunek, dźwięk, animację, zapis audio i video), która może być przetworzona; danych osobowych w rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 4 z 8

szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; danych wrażliwych rozumie się przez to dane określone w artykule 27 ustawy, a więc dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym; zgodzie osoby, której dane dotyczą rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; dokumentacji bezpieczeństwa informacji rozumie się przez to dokument Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych, Instrukcję Zarządzania Systemem Informatycznym oraz pozostałe polityki, regulaminy, procedury, instrukcje, formularze przyjęte do stosowania w Urzędzie, mające na celu wskazanie reguł i zasad postępowania w związku z przetwarzaniem informacji; haśle rozumie się przez to co najmniej 8-znakowy ciąg znaków literowych, cyfrowych, zawierający duże i małe litery oraz znaki specjalne, znany jedynie osobie uprawnionej do pracy w systemie informatycznym; identyfikatorze użytkownika rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujących osobę upoważnioną do przetwarzania danych osobowych w wyznaczonych przez Administratora Danych Osobowych obszarach systemu informatycznego; incydencie bezpieczeństwa rozumie się przez to czynności, zdarzenia, zjawiska naruszające przepisy niniejszej polityki bezpieczeństwa oraz pozostałych dokumentów bezpieczeństwa informacji, mogące zagrozić utracie aktywów informacyjnych Urzędu, ich integralności lub dostępności, a także dopuścić do nieuprawnionego dostępu do danych, mogące stanowić sytuację kryzysową; procedurach ochrony danych osobowych rozumie się przez to sposób przetwarzania danych osobowych oraz warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych w taki sposób, by zachować ich tajemnicę, zapewnić ochronę przed zniszczeniem i kradzieżą, określone wymogami ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm.) oraz wymogami niniejszej Polityki; przetwarzaniu danych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, wprowadzanie do systemu, przechowywanie, opracowywanie, zmienianie, usuwanie i udostępnianie; rozliczalności rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; służbach informatycznych rozumie się przez to informatyków zatrudnionych w Urzędzie; serwisancie rozumie się przez to firmę lub pracownika firmy zajmującej się dostawą, instalacją, naprawą i konserwacją sprzętu komputerowego; systemie informatycznym rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów procedur przetwarzania informacji i narzędzi programowych, w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć teleinformatyczną; systemy przetwarzania informacji tzn. informacje mogą być przetwarzane wyłącznie w systemach, które spełniają warunki opisane w PBI oraz spełniające wymogi prawa; sytuacją kryzysową jest to wystąpienie, zagrożenie lub domniemanie kradzieży, nieautoryzowanego dostępu, modyfikacji, zatajenia lub utraty (zniszczenia) przetwarzanej w systemie informacji zastrzeżonej. Każdy system informatyczny (SI) powinien przechodzić okresowe audyty bezpieczeństwa; P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 5 z 8

użytkowniku rozumie się przez to pracownika Urzędu, zatrudnionego na podstawie, umowy o pracę, umowy zlecenia lub innej umowy przewidzianej przepisami prawa oraz osobę odbywającą staż, praktykę studencką, wolontariat, który przetwarza dane osobowe znajdujące się w zbiorach danych; zbiorze danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych osobowych, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. 3. Obowiązki wynikające z zajmowanych stanowisk 3.1 Burmistrz - Administrator Danych Osobowych (ADO) Burmistrz (ADO) jest odpowiedzialny za zapewnienie odpowiednich środków technicznych i organizacyjnych umożliwiających ochronę informacji przetwarzanych przez systemy teleinformatyczne w sposób adekwatny do wymogów prawa, wymogów organizacyjnych i zagrożeń wewnętrznych i zewnętrznych. 3.2 Asystent Administratora Danych Osobowych (AsADO) Asystent Administratora Danych Osobowych z upoważnienia Burmistrza (ADO): a) określa cele stosowania zabezpieczeń i zabezpieczenia (informatyczne), które funkcjonują w Urzędzie Gminy Kęty; b) sprawuje nadzór nad przestrzeganiem obowiązujących zasad wynikających z funkcjonowania SZBI; c) opiniuje procesy związane z zarządzaniem systemem informatycznym przetwarzającym informacje (w tym dane osobowe) w aspekcie ich bezpieczeństwa; d) nadzoruje proces doboru zabezpieczeń (informatycznych) dla wszystkich aktywów informacyjnych Urzędu; e) na żądanie przekazuje informacje do Burmistrza (ADO) oraz Pełnomocnika ds. ZSBI o stanie bezpieczeństwa informacji w zakresie stosowanych zabezpieczeń (informatycznych) i ocenie ich skuteczności; f) nadzoruje proces pozbawiania zapisu danych osobowych z nośników, które przeznaczane są do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania tych danych; g) nadzoruje proces pozbawiania zapisu danych osobowych lub uszkadzanie w sposób uniemożliwiający odczytanie nośników, które przeznaczone są do likwidacji. 3.3 Administrator Systemów Informatycznych Administrator Systemów Informatycznych z upoważnienia Burmistrza (ADO): a) zarządza systemami informatycznymi w sposób gwarantujący utrzymanie poufności, dostępności i integralności gromadzonych w nich danych na poziomie pozwalającym zachować zgodność z wymogami prawnymi i organizacyjnymi; b) sprawuje nadzór nad wdrożeniem stosownych środków administracyjnych, technicznych i fizycznych w celu zapewnienia bezpieczeństwa danych; c) sprawuje nadzór nad funkcjonowaniem zabezpieczeń systemów informatycznych; d) podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa powierzonego mu systemu informatycznego, zgodnie z procedurami nadzoru nad incydentami bezpieczeństwa oraz utrzymania ciągłością działania ; e) określa zakres uprawnień do systemów informatycznych; P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 6 z 8

f) przydziela każdemu użytkownikowi danych indywidualne konta w systemie informatycznym Urzędu, stosowne do wyznaczonego zakresu obowiązków, wprowadza modyfikacje uprawnień użytkowników a także ich wyrejestrowuje na polecenie Administratora Bezpieczeństwa Informacji, blokując jednocześnie dostęp do konta i zasobów informatycznych; g) wprowadza zmiany uprawnień w systemach informacyjnych na czas nieobecności pracownika zgodnie z wytycznymi AsADO oraz planem zastępstw; h) sprawuje nadzór nad częścią fizyczną i logiczną systemu teleinformatycznego. 3.4 Dyrektorzy oraz kierownicy jednostek organizacyjnych Urzędu, Sekretarz względem pracowników na samodzielnych stanowiskach pracy w Urzędzie, Dyrektor lub kierownik jednostki organizacyjnej, Sekretarz względem pracowników na samodzielnych stanowiskach pracy w Urzędzie: a) występuje do ADO za pośrednictwem AsADO/ASI z wnioskiem o nadanie oraz unieważnienie upoważnienia podległych pracowników do przetwarzania danych osobowych, dostępu do systemów, aplikacji, zasobów sieciowych czy usług sieciowych; b) zgłaszanie Administratorowi Systemu Informatycznego potrzeby w zakresie zabezpieczenia podległych im systemów informatycznych, Wszelkie zgłoszenia do AsADO/ASI muszą być realizowane w formie pisemnej, zgodnie z obowiązującymi w Urzędzie procedurami. 4. Ogólne reguły bezpieczeństwa informacji w systemach teleinformatycznych W zakresie ochrony informacji stosowane w systemach teleinformatycznych w Urzędzie Gminy Kęty obowiązują następujące zasady, na podstawie których kształtuje się odpowiednie mechanizmy techniczne i organizacyjne bezpieczeństwa informacji: a) Zasada uprawnionego dostępu każdy pracownik przeszedł szkolenie z zasad ochrony informacji w systemach informatycznych co potwierdzone jest zapisem w protokołach ze szkoleń (lista obecności). b) Zasada przywilejów i usług koniecznych każdy pracownik posiada prawa dostępu do zasobów sieciowych, systemów i aplikacji ograniczone wyłącznie w takim zakresie jaki jest niezbędny do realizacji jego zadań służbowych w oparciu o wniosek kierownika jednostki organizacyjnej. c) Zasada wiedzy koniecznej każdy pracownik posiada wiedzę o systemie, do którego ma dostęp, ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych mu zadań. d) Zasada indywidualnej odpowiedzialności za bezpieczeństwo poszczególnych elementów systemów informatycznych w przekazanym zakresie odpowiadają konkretne osoby. e) Zasada stałej gotowości system jest przygotowany na wszelkie zidentyfikowane zagrożenia informatyczne. Niedopuszczalne jest tymczasowe, samodzielne wyłączanie mechanizmów zabezpieczających. f) Zasada ewolucji system teleinformatyczny musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych zarówno w sferze sprzętowej jak i programowej. g) Zasada odpowiedniości używane środki techniczne i organizacyjne muszą być adekwatne do sytuacji. h) Zasada świadomej konwersacji nie zawsze i wszędzie trzeba mówić, co się wie, ale zawsze i wszędzie trzeba wiedzieć co, gdzie i do kogo się mówi. P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 7 z 8

i) Zasada segregacji zadań zadania i uprawnienia powinny być tak podzielone, aby jedna osoba nie mogła zdobyć pełni władzy nad całym systemem. j) Zasada czystego ekranu w przypadku opuszczania stanowiska pracy, należy zablokować stację roboczą. Monitor stacji powinien być ustawiony w taki sposób, by osoby postronne nie miały możliwości wglądu do przetwarzanych aktualnie informacji; wygaszacze ekranu w stacjach roboczych zostały ustawione na nie więcej niż 20 minut. k) Zasada odbioru wydruków z drukarki wszelkie wydruki zawierające dane chronione zabierane są przez uprawnioną osobę natychmiast z drukarki po zakończeniu drukowania. 5. Przetwarzanie i gromadzenie danych jest dopuszczalne pod warunkiem: a) spełnienia wymogów prawnych i/lub organizacyjnych upoważniających do takich działań, b) spełnienia szczegółowych zaleceń dotyczących systemów informatycznych opisanych w niniejszej polityce, jak również w dokumentach z nią związanych, c) posiadania przez systemy informatyczne mechanizmów pozwalających na realizację procesów zabezpieczenia danych oraz danych osobowych opisanych w niniejszej polityce, jak również w dokumentach z nią związanych, 6. Ochrona danych osobowych Zasady postępowania z danymi osobowymi w systemach teleinformatycznych opisuje dokumentacja będąca integralną częścią SZBI. 7. Postępowanie w przypadku naruszenia bezpieczeństwa informacji Wszyscy pracownicy mają obowiązek natychmiastowego zgłaszania zauważonych incydentów oraz zdarzeń potencjalnie niebezpiecznych w systemach teleinformatycznych bezpośredniemu przełożonemu lub Administratorowi Systemów Informatycznych lub Asystentowi Administratora Danych Osobowych. Zasady postępowania zostały opisane w części dokumentacji SZBI Zarzadzanie incydentami, niezgodnościami działania korygujące. Należy powstrzymać się od wszelkich działań, mogących utrudnić ustalenie okoliczności wystąpienia danego incydentu. 8. Konsekwencje naruszenia zasad Polityki Bezpieczeństwa Teleinformatycznego Nieprzestrzeganie postanowień niniejszej dokumentacji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności dyscyplinarnej określonej przepisami Kodeksu Pracy. Jeżeli skutkiem działania pracownika jest ujawnienie informacji osobie nieuprawnionej, może być on pociągnięty do odpowiedzialności karnej określonej przepisami Kodeksu Karnego. Jeżeli skutkiem działania pracownika jest szkoda, ponosi on odpowiedzialność materialną na warunkach określonych w przepisach Kodeksu Pracy oraz Kodeksu Cywilnego. 9. Historia dokumentu Data / wydanie Opis zmiany 01.06.2016 / wyd. 1 Utworzenie dokumentu. P04-Polityka Bezpieczeństwa Teleinformatycznego, wyd. 1 8 z 8

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres