Instrukcja Zarządzania Systemem Informatycznym, w którym przechowywane są dane osobowe ( materiały niejawne) w Szkole Podstawowej nr 8 im. Jana Brzechwy w Bełchatowie Podstawa prawna: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ( Dz.U. Nr 100 poz. 1024). Rozdział I Postanowienia ogólne Niniejsza instrukcja określa wewnętrzną organizację zarządzania systemem informatycznym w Szkole Podstawowej nr 8 im. Jana Brzechwy w Bełchatowie, służącym do gromadzenia i przetwarzania danych osobowych. Rozdział II Obowiązki dyrektora szkoły w zakresie zarządzania systemem informatycznym, służącym do gromadzenia i przetwarzania danych w SP nr 8 1. Ilekroć w instrukcji jest mowa o: a) systemie informatycznym (SI) należy przez to rozumieć system przetwarzania danych osobowych, który gromadzi i przetwarza informacje, b) danych należy przez to rozumieć zasoby informatyczne przetwarzane przez komputer i podlegające ochronie, c) szkole należy przez to rozumieć Szkołę Podstawową nr 8 im. Jana Brzechwy w Bełchatowie d) dyrektor - należy przez to rozumieć dyrektora Szkoły Podstawowej nr 8 e) kadry i sekretariat - należy przez to rozumieć specjalistę ds. ekonomiczno -kadrowych, sekretarza w Szkole Podstawowej nr 8 f) płace - należy przez to rozumieć specjalistę ds. ekonomicznych w Szkole Podstawowej nr 8 g) księgowa - należy przez to rozumieć główną księgową w Szkole Podstawowej nr 8 2. Pomieszczenia, w których znajdują się komputery, powinny być zamykane na czas nieobecności w nich osób zatrudnionych, w sposób uniemożliwiający dostęp do nich osób nieupoważnionych. 3. Dyrektor zobowiązany jest do pisemnego upoważnienia każdego pracownika zatrudnionego przy gromadzeniu i przetwarzaniu danych osobowych tj. specjalisty ds. ekonomiczno-kadrowych, sekretarza szkoły, specjalisty ds. ekonomicznych i głównego księgowego do dostępu do danych w zakresie niezbędnym do realizacji obowiązków służbowych ( załącznik nr 2 do niniejszej instrukcji). 4. Dyrektor zobowiązany jest do zapoznania każdego pracownika zatrudnionego przy gromadzeniu i przetwarzaniu danych osobowych tj. specjalisty ds. kadr, sekretarza szkoły, specjalisty ds. ekonomicznych i głównego księgowego z przepisami niniejszej instrukcji. Znajomość instrukcji pracownik potwierdza własnoręcznym podpisem na oświadczeniu stanowiącym (załącznik nr 1 do niniejszej instrukcji).
5. Dyrektor zobowiązany jest do pisemnego upoważnienia pracownika do wykonywania zadań administratora bezpieczeństwa informacji zgodnie z przepisami Ustawy z 29.08.1997r. o ochronie danych osobowych (Dz. U. Nr 101, poz. 926, z 2002r.) oraz aktami wykonawczymi wydanymi na jej podstawie oraz do dostępu do zasobów danych i ich przetwarzania, a także do kontrolowania pracowników zatrudnionych przy ich przetwarzaniu, w zakresie niezbędnym do realizacji przydzielonych obowiązków służbowych. 6. Dyrektor szkoły zobowiązany jest do określenia w zakresie obowiązków pracownika zatrudnionego przy gromadzeniu i przetwarzaniu danych osobowych, odpowiedzialności tego pracownika za ochronę komputera i danych jakie przetwarza przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem w stopniu odpowiednim do realizacji zadań służbowych. Rozdział III Stosowane metody i środki uwierzytelniania oraz procedury na stanowisku pracy związane z ich zarządzaniem i użytkowaniem 1. Bazy danych, w których gromadzone są i przetwarzane dane powinny być zabezpieczone hasłem. 2. Pracownicy sami generują hasła, którymi się posługują i odpowiadają za zachowanie ich w tajemnicy. (Nie należy stosować tego samego hasła do ochrony różnych zasobów, hasło powinno zawierać nie mniej niż 6 znaków w tym 2 cyfry, hasło nie może być takie samo jak identyfikator, hasło nie powinno zawierać żadnych informacji, które można kojarzyć z użytkownikiem ( np. imię, nazwisko, inicjały, marka lub nr samochodu, data urodzenia, itp.) hasło nie może być ciągiem znaków łatwych do wprowadzenia z klawiatury ( np.1234, aaa, qaz, itp.), nie należy wykorzystywać klawiszy funkcyjnych komputera jako elementów hasła, podczas wpisywania hasło nie powinno pojawiać się na ekranie monitora, nie można zapisywać hasła na papierze, nie wolno przechowywać hasła w miejscu dostępnym dla osób nieuprawnionych, pracownik powinien znać możliwość zmiany hasła.) 3. Jeżeli na jednym stanowisku pracy pracuje dwóch administratorów baz danych, każdy posługuje się tylko sobie znanym hasłem zabezpieczającym bazę danych, w której gromadzi, przetwarza i przechowuje dane, zgodnie z upoważnieniem dyrektora. 4. Hasła dostępu do baz danych przechowywane są w zalakowanej kopercie, w szafie metalowej w gabinecie dyrektora. Hasła mogą zostać udostępnione innym pracownikom tylko po pisemnym upoważnieniu ich przez dyrektora. 5. W przypadku czasowego opuszczenia stanowiska pracy, pracownik powinien wylogować się z systemu. 6. W przypadku, gdy pracownik przetwarzający dane stwierdzi: a) naruszenie zabezpieczenia SI lub urządzeń z nim związanych, b) wykryje istnienie wirusów nie dających się usunąć dostępnym programem antywirusowym, c) stwierdzi zagrożenie utraty danych jest zobowiązany natychmiast powiadomić o zaistniałym fakcie dyrektora szkoły. 7. Rozpoczęcie pracy na jednostce komputerowej i aplikacji następuje po poprawnym uwierzytelnieniu użytkownika czyli po podaniu identyfikatora i właściwego hasła. 2
8. Pracownik przetwarzający dane zobowiązany jest do: a) przed przystąpieniem do pracy sprawdzenia: obecności wirusów w użytkowanej części SI i używanych nośnikach informacji programem antywirusowym, a w przypadku gdyby stwierdził obecność wirusów powiadomić bezzwłocznie dyrektora szkoły. Bez usunięcia wirusów nie wolno pracować na komputerze ani używać zawirusowanych nośników informacji. stanu zabezpieczenia SI i współpracujących urządzeń. stanu zbioru danych b) podczas pracy pracownik przetwarzający dane zobowiązany jest do: wykorzystywania przenośnych nośników informacji będących własnością szkoły, nie wykazujących żadnych uszkodzeń logicznych i fizycznych, dokonywania częstego zapisu przetwarzanych danych, zabezpieczenia systemu podczas przerw w pracy w taki sposób aby uniemożliwić dostęp do danych osobom niepowołanym. ustawiać monitory stanowisk tak aby uniemożliwić dostęp do danych osobom nieupoważnionym, kontrolować poprawność wprowadzanych danych, 9. Po zakończeniu pracy pracownik przetwarzający dane zobowiązany jest do: a) dokonywania archiwizacji niezbędnych danych, b) dokonywania zabezpieczenia SI zamykając uruchomione aplikacje, c) wyłączać urządzenia zasilające 10. Urządzenia, dyski lub inne informatyczne nośniki informacji zawierające dane, przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w przypadku jeżeli jest to niemożliwe, uszkadza się w sposób uniemożliwiający odczytanie. Rozdział IV Zabezpieczenie systemu informatycznego i procedury udostępniania danych 1. Dane gromadzone, przetwarzane i przechowywane za pomocą programów i aplikacji udostępnionych pracownikom szkoły zgodnie z niniejszym Regulaminem, mogą być udostępniane osobom upoważnionym np. organom kontrolującym, zarówno w formie papierowej lub elektronicznej, jedynie na pisemne polecenie dyrektora, zgodnie z uprawnieniem podmiotu. 2. Pracownik udostępniający dane każdorazowo odnotowuje: a) datę udostępnienia, b) nazwę podmiotu, któremu dane zostały udostępnione, c) znak sprawy, d) zakres danych, e) stanowisko, imię i nazwisko osoby udostępniającej dane. 3. Urządzenia, dyski lub inne informatyczne nośniki informacji zawierające dane, przeznaczone do przekazania innemu podmiotowi, pozbawia się wcześniej zapisu tych danych, do których ten podmiot nie ma uprawnienia. 3
4. Na pracę pracownika poza godzinami funkcjonowania szkoły musi wyrazić zgodę dyrektor w formie upoważnienia stałego lub jednorazowego. Rozdział V Ochrona antywirusowa 1. Za ochronę antywirusową komputera odpowiedzialny jest użytkownik pracujący na nim. 2. Do ochrony antywirusowej należy stosować aktualnie najnowsze programy antywirusowe w wersji sieciowej lub jednostanowiskowej z automatyczną aktualizacją bazy wirusowej. 3. Dyskietki, płyty CD, CD-RW i inne wymienne nośniki informacji dostarczane z zewnątrz przed ich wykorzystaniem powinny być sprawdzone programem antywirusowym. 4. Po każdej naprawie lub konserwacji komputera, należy stosować aktualnie najnowsze programy antywirusowe. 5. Sprawdzanie dostępnymi programami antywirusowymi należy stosować przynajmniej raz w miesiącu. 6. Zalecane jest wykorzystywanie programów antywirusowych pracujących w tle. 7. Każdą przesyłkę otrzymaną za pomocą transmisji danych ( e-maila, itp) należy sprawdzić programem antywirusowym. Rozdział VI Przechowywanie i archiwizowanie 1. Kierownik gospodarczy szkoły zobowiązany jest do ewidencjonowania, przechowywania w chronionym i odpowiednio zabezpieczonym miejscu nośników informatycznych zakupionego oprogramowania operacyjnego, narzędziowego, aplikacyjnego i urządzeń współpracujących. 2. Pracownik zatrudniony przy gromadzeniu i przetwarzaniu danych zobowiązany jest do archiwizowania danych w cyklu miesięcznym danych przechowywanych w pamięci komputera ( kadry, sekretariat uczniowski, płace, księgowość). W przypadku gromadzenia i przetwarzania danych w programach Arkusz Organizacyjny Optivum,, Świadectwa Optivum, Hermes, Płace Optivum, PABS, i PEFRON pracownicy zatrudnieni przy gromadzeniu i przetwarzaniu danych, zobowiązani są do archiwizowania danych w cyklu rocznym, na nośnikach informatycznych przechowywanych w innym pomieszczeniu. 3. Na etykietach archiwalnych nośników informacji pracownik zatrudniony przy gromadzeniu i przetwarzaniu danych umieszcza następujące dane: a) nazwa szkoły, b) rodzaj danych, c) nazwa pliku ( programu użytego do jego utworzenia), d) numer ewidencyjny nośnika, e) nazwisko osoby wykonującej kopię. 4. Nośniki zawierające informacje poufne lub tajne pracownik zatrudniony przy gromadzeniu i przetwarzaniu danych przechowuje w szafie metalowej w sekretariacie szkoły. 4
Rozdział VII Przeglądy i konserwacja 1. W celu zapewnienia ciągłości funkcjonowania SI, poprawności pracy aplikacji dyrektor szkoły upoważnia pisemnie pracownika do: a) prowadzenia konserwacji sprzętu wg dokumentacji technicznej, b) nadzorowania pracy SI, c) konserwacji oprogramowania poprzez wgrywanie uzupełnień i ich nowych wersji (przed ich wgraniem wyznaczona przez dyrektora osoba zapewnia możliwość przywrócenia poprzedniej wersji poprzez wykonanie pełnej kopii zapasowej). 2. Do wydzielonej sieci energetycznej zasilającej stanowiska komputerowe nie wolno podłączać żadnych innych urządzeń ( czajników, odkurzaczy, radioodbiorników), wyjątek stanowi system alarmowy i centrala telefoniczna. Rozdział VIII Postanowienia końcowe 1. Szkoła udostępnia upoważnionym pracownikom zakupione dla komputerów stacjonarnych oprogramowanie aplikacyjne: a) sekretariat edytor tekstu Microsoft Word, arkusz kalkulacyjny Exel, bazy danych: Hermes, Arkusz Organizacyjny Optivum,, Świadectwa szkolne Optivum oprogramowanie antywirusowe AntiVir Guard. b) Płace - edytor tekstu Microsoft Word, arkusz kalkulacyjny Exel, bazy danych: SIO, Płace Optivum, oprogramowanie antywirusowe Norton Antywirus. c) Księgowość - edytor tekstu Microsoft Word, arkusz kalkulacyjny Exel, PABS, PEFRON i oprogramowanie antywirusowe Norton Antywirus. 2. Zobowiązuje się wszystkich pracowników zatrudnionych przy gromadzeniu i przetwarzaniu danych do bezwzględnego przestrzegania postanowień niniejszej instrukcji. 3. Instrukcja wchodzi w życie z dniem podpisania. 5