Polityka bezpieczeństwa

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Bezpieczeństwo teleinformatyczne danych osobowych

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Ustawa o ochronie danych osobowych po zmianach

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Załącznik nr 7 do ogłoszenia

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Rozdział I Zagadnienia ogólne

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Polityka bezpieczeństwa informacji

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

OCHRONA DANYCH OSOBOWYCH

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

POLITYKA BEZPIECZEŃSTWA

Szczegółowe informacje o kursach

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

Amatorski Klub Sportowy Wybiegani Polkowice

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

REGULAMIN. organizacji i przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

a) po 11 dodaje się 11a 11g w brzmieniu:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

POLITYKA BEZPIECZEŃSTWA INFORMACJI W GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W KSIĄŻKACH

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

REJESTR ZBIORÓW. Administrator Danych Jan Drajewicz. Dnia r. w podmiocie o nazwie Zespół Szkół nr 2 w Dukli. z dnia 11 maja 2015 r.

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Transkrypt:

Polityka bezpieczeństwa w Zespole Szkół Specjalnych im. Janusza Korczaka W Gliwicach. Sporządziła Beata Lemczak Zatwierdził Tomasz Ocieczek Data wdrożenia 28.11.2016r. 1

I. Informacje podstawowe... 3 1. Cel utworzenia dokumentu... 3 2. Terminologia... 3 3. Poziom bezpieczeństwa... 4 4. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.... 5 5. Struktura zbiorów i zawartość pól informacyjnych.... 5 II. Administrator Danych... 5 6. Administrator danych:... 5 III. Pracownicy... 6 7. Pracownik:... 6 8. Administrator Bezpieczeństwa Informacji - ABI:... 7 9. Administrator Systemu Informatycznego:... 7 IV. Zbiory danych... 8 10. Rejestracja zbiorów... 8 V. Udostępnienie lub powierzenie danych osobowych... 9 11. Udostępnianie danych osobowych... 9 12. Obowiązek informacyjny....10 13. Podstawy odmowy udzielenia informacji....10 VI. Zabezpieczenie ciągłości działania....10 14. Zasilanie....10 15. Kopie bezpieczeństwa....10 16. Procedury na wypadek zagrożenia....11 VIII. Sprawdzenia zgodności przetwarzania danych osobowych z przepisami....11 17. Kontrole ABI...11 IX. Wymagania dla systemu informatycznego....11 18. Wymagania dla systemu informatycznego....11 19. Wymagania dla oprogramowania....11 X. Postępowanie w przypadku naruszenia bezpieczeństwa danych Zarządzanie incydentami....12 20. Stwierdzone naruszenia bezpieczeństwa....12 21. Zgłaszanie luk w bezpieczeństwie systemu....12 22. Przegląd dokumentacji...12 XI. Załączniki....12 2

Polityka Bezpieczeństwa Dokumentacja została opracowana na podstawie poniższych aktów prawnych. 1. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997. 2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 3. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r.w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. I. Informacje podstawowe 1. Cel utworzenia dokumentu Polityka bezpieczeństwa zostaje wprowadzona w celu ustalenia zasad służących zapewnieniu bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół Specjalnych w Gliwicach przez zapewnienie bezpieczeństwa przetwarzania danych osobowych rozumie się zapewnienie, że dane są: 1) przetwarzane w sposób uniemożliwiający pozyskanie ich w sposób niekontrolowany przez osoby nieuprawnione, 2) zabezpieczone przed utratą, nieautoryzowanym ujawnieniem lub niekontrolowaną zmianą, 3) dostępne w stopniu pozwalającym na ciągłość pracy. 2. Terminologia 1) ADO - Administrator Danych Dyrektor Zespołu Szkół Specjalnych w Gliwicach 2) ASI - administrator systemu informatycznego osoba odpowiedzialna za poprawne działanie oprogramowania wykorzystywanego w Zespole Szkół Specjalnych w Gliwicach w przypisanym jej zakresie, posiadająca możliwość nadawania uprawnień w systemie informatycznym, 3) autoryzowane oprogramowanie oprogramowanie dopuszczone do eksploatacji w Zespole Szkół Specjalnych w Gliwicach przez ASI. Przyjmuje się, że każda aplikacja zainstalowana przez ASI jest autoryzowana, 4) dane zbiory danych osobowych, 5) GIODO Generalny Inspektor Ochrony Danych Osobowych, 6) hasło ciąg znaków, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, służący, w połączeniu z identyfikatorem użytkownika, do uwierzytelnienia użytkownika w systemie informatycznym, 3

7) identyfikator użytkownika ciąg znaków literowych i cyfrowych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 8) integralność zapewnienie, że dane nie zostały poddane przetwarzaniu w sposób nieautoryzowany, 9) konto użytkownika przestrzeń w systemie informatycznym przypisana konkretnej osobie i opatrzona hasłem. Nazwa konta użytkownika stanowi identyfikator użytkownika, 10) polityka bezpieczeństwa niniejszy dokument Polityka bezpieczeństwa wraz z wszystkimi załącznikami, 11) poufność danych zapewnienie, że dane nie są udostępniane nieupoważnionym osobom, 12) przetwarzanie danych osobowych jakiekolwiek działania, operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, zmienianie, udostępnianie i usuwanie, 13) rozliczalność możliwość jednoznacznego przypisania działań związanych z przetwarzaniem danych osobie, która te działania wykonała, 14) system informatyczny zasoby informatyczne służące do przetwarzania danych, 15) użytkownik osoba, której przydzielono identyfikator użytkownika, hasło i uprawnienia do systemu informatycznego, 16) zbiór danych - każdy posiadający strukturę zestaw danych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, definicja dotyczy zbiorów zarówno w formie dokumentów elektronicznych jak i papierowych. 3. Poziom bezpieczeństwa W Zespole Szkół Specjalnych w Gliwicach obowiązuje WYSOKI poziom bezpieczeństwa w rozumieniu 6 ust. 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 4

4. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe. Na obszar przetwarzania danych w Zespole Szkół Specjalnych w Gliwicach składają się: Lp. Budynek Adres Nr pomieszczenia Wymagany poziom bezpieczeństwa 1. Budynek szkoły Gliwice, ul. Dolnej Wsi 74 Wszystkie pomieszczenia z wyjątkiem korytarzy Wysoki Wymienione lokalizacje podlegają ochronie. 5. Struktura zbiorów i zawartość pól informacyjnych. 1) Wykaz zbiorów danych osobowych wraz z opisem zawartości pól informacyjnych, zastosowanego oprogramowania i struktury zbiorów prowadzi ABI i stanowi on załącznik nr 1 do niniejszej dokumentacji. 2) Integralną częścią wykazu zbiorów jest dokumentacja papierowa każdego zbioru danych przechowywana przez ABI. 3) Dokumentacja określająca sposób przepływu danych pomiędzy systemami, jeśli ma zastosowanie znajduje się w papierowej dokumentacji zbiorów. II. Administrator Danych 6. Administrator danych: 1) wspiera działania zmierzające do jak najlepszego zabezpieczenia danych i odpowiada za zabezpieczenie obszaru przetwarzania danych 2) zapewnia środki techniczne, organizacyjne i lokalowe pozwalające na bezpieczne i świadome przetwarzanie danych, 3) reaguje na zgłoszone przez pracowników informacje o zagrożeniach bezpieczeństwa informacji, 4) zapewnia każdej osobie, przed rozpoczęciem pracy, przeszkolenie z zakresu zasad bezpieczeństwa informacji wynikających z przepisów ustawy oraz polityki bezpieczeństwa w zakresie dotyczącym zakresu obowiązków oraz stanowiska pracy, 5) zapewnia zapoznanie każdego pracownika z możliwymi konsekwencjami łamania przepisów ustawy oraz postanowień polityki bezpieczeństwa, 6) informuje ASI o remontach, zmianach lokalizacji sprzętu informatycznego używanego do przetwarzania danych oraz o wszelkich wierceniach w ścianach, 7) odpowiada za opracowanie, wdrożenie i realizację polityki bezpieczeństwa, 8) wyznacza Administratora Bezpieczeństwa Informacji ABI, 9) upoważnia wybranych pracowników do przetwarzania danych osobowych, 5

III. Pracownicy 10) Prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. 7. Pracownik (dotyczy nauczycieli, kierownika administracyjnego, głównego księgowego, sekretarza szkoły, specjalisty, pedagoga, psychologa, bibliotekarza): 1) zobowiązany jest do potwierdzenia faktu zapoznania z ustawą, oraz dokumentacją bezpieczeństwa w zakresie odpowiadającym zajmowanemu stanowisku, 2) posiada upoważnienie do przetwarzania danych i dba o jego aktualność, 3) jest zobowiązany do odbycia wstępnego szkolenia z zakresu ochrony danych osobowych, cyklicznych szkoleń z zakresu ochrony danych osobowych co najmniej raz na 5 lat oraz korzystania z systemu informatycznego, 4) odpowiada za zabezpieczenie dokumentów oraz systemu informatycznego w zakresie realizowanych zadań, 5) jest zobowiązany do zachowania w tajemnicy informacji pozyskanych w związku z wykonywaną pracą oraz przetwarzanymi danymi, 6) bez zgody swojego przełożonego nie może wynosić, przekazywać w jakiejkolwiek formie i w jakikolwiek sposób dokumentów i danych poza budynek Zespołu Szkół Specjalnych w Gliwicach, 7) zobowiązany jest do natychmiastowego zgłaszania przełożonemu stwierdzonego nieautoryzowanego dostępu do pomieszczeń, biurek lub szaf. 8) Pracownik będący użytkownikiem systemu informatycznego jest zobowiązany do: a) zabezpieczenia własnego konta użytkownika systemu informatycznego poprzez: zmianę hasła co najmniej raz na miesiąc oraz za każdym razem, kiedy zaistnieje podejrzenie zagrożenia poufności hasła, używania wygaszacza ekranu chronionego hasłem i aktywizującego się po 5 minutach bezczynności użytkownika, zabezpieczenie stanowiska komputerowego na czas nieobecności, wyłączenie stanowiska komputerowego po zakończeniu pracy, niedopuszczanie do pracy innych użytkowników na swoim koncie użytkownika, zabezpieczenie stanowiska komputerowego przed dostępem osób postronnych, b) nieinstalowania oprogramowania chyba, ze wynika to z jego zakresu obowiązków, c) nieużywania systemu informatycznego lub jego części i urządzeń do celów niezwiązanych z wykonywaną pracą, d) niepodłączania żadnych urządzeń do stanowiska komputerowego bez zgody ASI, e) zgłaszania naruszeń, włamań, podejrzeń o wykradaniu lub niekontrolowanym wypływie informacji z systemu informatycznego. 6

f) nadzorowania drukowanych i powielanych dokumentów zawierających dane osobowe 9) Pracownik korzystający z komputera przenośnego oraz innych przenośnych nośników w celu przetwarzania danych osobowych zobowiązany jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed ich zniszczeniem. 10) Pracownik po godzinach pracy może przebywać w Zespole Szkół Specjalnych tylko za zgodą dyrektora. 8. Administrator Bezpieczeństwa Informacji - ABI: 1) Odpowiada za przetwarzanie danych osobowych w Zespole Szkół Specjalnych w Gliwicach zgodnie z wymaganiami przepisów prawa, 2) Odpowiada za zaznajomienie pracowników Zespołu Szkół Specjalnych w Gliwicach. z przepisami dotyczącymi ochrony danych osobowych, 3) prowadzi nadzór nad aktualnością dokumentacji bezpieczeństwa, 4) prowadzi rejestr zbiorów danych osobowych przetwarzanych w Zespole Szkół Specjalnych w Gliwicach, 5) przechowuje zaświadczenia o zarejestrowaniu zbioru w ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych, 6) przeprowadza proces rejestracji zbiorów w ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych podlegających temu obowiązkowi, 7) przeprowadza proces wykreślenia zbiorów z ogólnokrajowego, jawnego rejestru zbiorów danych osobowych, 8) prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, 9) wykonuje raz w roku sprawdzenia planowe: a) opracowuje plan sprawdzenia i przedstawia go ADO, b) opracowuje sprawozdanie ze sprawdzenia i przedstawia go ADO w wymaganym przepisami terminie, c) przechowuje dokumentację sprawdzeń. 10) w razie potrzeby wykonuje sprawdzenia pozaplanowe oraz sporządza sprawozdania w tym zakresie, 11) prowadzi szkolenia nowych pracowników z zakresu podstawowych zasad bezpieczeństwa danych osobowych, oraz szkolenia cykliczne co najmniej raz na 5 lat 12) udziela konsultacji pracownikom z zakresu udostępniania i ochrony danych osobowych, 13) prowadzi korespondencję z GIODO w zakresie bezpieczeństwa danych osobowych. 9. Administrator Systemu Informatycznego: 1) odpowiada za instalację, konfigurację i zabezpieczenie systemu informatycznego przed działalnością szkodliwego oprogramowania oraz dostępem osób nieupoważnionych, 7

2) odpowiada za poprawność działania systemu informatycznego, 3) informuje ADO o zasobach niezbędnych do poprawnej pracy systemu informatycznego, koniecznych zakupach materiałów eksploatacyjnych, części zamiennych itp. 4) zapewnia nadzór nad przydzielaniem kont użytkowników, ich identyfikatorów, za prowadzenie ewidencji użytkowników systemów informatycznych oraz za odbieranie uprawnień, 5) prowadzi nadzór nad realizacją wymogu zmiany haseł przez użytkowników w systemach operacyjnych, 6) prowadzi nadzór nad autoryzowanym oprogramowaniem w zakresie licencji, 7) wyraża zgodę na instalację i prowadzi nadzór nad oprogramowaniem niestandardowym instalowanym na wniosek pracowników, 8) odpowiada za zabezpieczenie sieci informatycznej w pomieszczeniach remontowanych, 9) Informuje ABI o wszelkich zmianach w systemie informatycznym, 10) współpracuje z ABI w zakresie: a) informowania o wszelkich awariach systemu informatycznego mogących mieć wpływ na bezpieczeństwo danych, b) przygotowywania zmian w polityce bezpieczeństwa, c) corocznych kontroli realizacji założeń polityki bezpieczeństwa, d) rejestrowania zbiorów danych osobowych w ogólnokrajowym jawnym rejestrze zbiorów danych osobowych. e) zapewnienia przeszkolenia osób przetwarzających dane ze szczególnym uwzględnieniem takich zagadnień, jak: zagrożenia bezpieczeństwa informacji, skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, wykonywania przynajmniej raz w roku przeglądu bezpieczeństwa informacji. IV. Zbiory danych 10. Rejestracja zbiorów 1) ABI rejestruje zbiór w rejestrze zbiorów na wniosek ADO. W przypadku zbiorów podlegających obowiązkowi rejestracji w ogólnokrajowym jawnym rejestrze zbiorów danych osobowych, przygotowuje i wysyła wniosek o zarejestrowanie zbioru. 2) Dane w zbiorach można przetwarzać: a) w przypadku zbiorów nie podlegających obowiązkowi zgłoszenia do rejestracji w ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych po zarejestrowaniu zbioru w rejestrze zbiorów, 8

b) w przypadku zbiorów podlegających obowiązkowi zgłoszenia do rejestracji w ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych - po zarejestrowaniu zbioru. 3) Na wniosek ADO, ABI sporządza i wysyła do GIODO pisma z prośbą o wyrejestrowanie zbiorów z ogólnokrajowego, jawnego rejestru zbiorów danych osobowych. V. Udostępnienie lub powierzenie danych osobowych 11. Udostępnianie danych osobowych 1) Każdy podmiot zwracający się do Zespołu Szkół Specjalnych w Gliwicach.z wnioskiem o udostępnienie danych osobowych powinien przedstawić podstawę prawną upoważniającą go do uzyskania takich informacji. 2) Powierzenie może nastąpić tylko i wyłącznie poprzez podpisanie umowy powierzenia przetwarzania danych pomiędzy podmiotem wnioskującym a ADO. Umowa powinna zawierać co najmniej: a) nazwę podmiotu, któremu powierzane są dane oraz nazwisko, imię oraz stanowisko osoby reprezentującej podmiot, b) nazwę powierzonego zbioru, c) cel powierzenia danych, d) datę powierzenia danych, e) oświadczenie o stosowaniu przepisów ustawy o ochronie danych osobowych, f) zastrzeżenie konieczności współpracy ABI wykonawcy i ABI Zespołu Szkół Specjalnych w Gliwicach, g) datę wygaśnięcia umowy, h) opis postępowania z danymi po wygaśnięciu umowy, i) spis osób zatrudnionych przy przetwarzaniu zbioru w zakresie: nazwisko, imię, numer PESEL, stanowisko, 3) Dla każdego powierzanego do przetwarzania zbioru powinna zostać podpisana oddzielna umowa powierzenia. Każdą umowę powierzenia danych osobowych parafuje ABI, podpisuje ADO, a w przypadku powierzenia zbiorów w postaci elektronicznej, umowę parafuje ASI. Umowy wykonuje się w trzech kopiach, po jednej dla: a) ADO, b) podmiotu, któremu powierza się dane, c) ABI. 4) Podmiotom, które nie wdrożyły polityki bezpieczeństwa nie powierza się przetwarzania danych osobowych. 9

12. Obowiązek informacyjny. 1) Administrator Danych ma obowiązek udzielenia na wniosek osoby, której dane dotyczą wyczerpującej informacji na temat: a) adresu siedziby i pełnej nazwy administratora danych, b) źródeł oraz sposobu pozyskania danych, c) celu i zakresu przetwarzania danych, d) informacji od kiedy dane są przetwarzane, e) zakresu udostępnienia danych innym podmiotom. 2) Wniosek o udzielenie takiej informacji kierowany jest do ABI, który po zebraniu informacji, przygotowuje odpowiedź i przesyła wnioskującemu. 13. Podstawy odmowy udzielenia informacji. Administrator Danych może odmówić udostępnienia danych w przypadku gdy: 1) wnioskodawca nie przedstawił podstawy prawnej upoważniającej go do uzyskania informacji, 2) mogłoby to spowodować ujawnienie wiadomości zawierających informacje niejawne, 3) mogłoby to spowodować zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, 4) mogłoby to spowodować zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, 5) mogłoby to spowodować istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób, 6) przepisy szczególne przewidują taką odmowę. VI. Zabezpieczenie ciągłości działania. 14. Zasilanie. Zabezpieczenie ciągłości zasilania systemów informatycznych realizowane jest poprzez zastosowanie niezależnych źródeł zasilania (UPS). Niezależne źródło zasilania zapewnia działanie serwerów systemów informatycznych przez co najmniej 20 minut. 15. Kopie bezpieczeństwa. 1) Wykonanie kopii bezpieczeństwa zbiorów danych przetwarzanych w systemie informatycznym leży w zakresie odpowiedzialności ASI. 2) Sposób wykonywania, zakres, czas i miejsce przechowywania i sposób weryfikacji kopii zapasowych określono w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, 3) Tryb postępowania podczas wykonywania kopii bezpieczeństwa oraz zasady przechowywania kopii zapasowych opisano w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, 10

16. Procedury na wypadek zagrożenia. W przypadku wystąpienia zagrożeń zastosowanie mają procedury wdrożone w Zespole Szkół Specjalnych w Gliwicach VIII. Sprawdzenia zgodności przetwarzania danych osobowych z przepisami. 17. Kontrole ABI 1) ABI wykonuje raz w roku planowe sprawdzenie zgodności przetwarzania danych osobowych z przepisami. Zakres sprawdzenia opracowuje ABI i przedstawia ADO do 31 marca każdego roku. Po wykonaniu sprawdzenia ABI przedstawia sprawozdanie w terminie do 30 dni od zakończenia sprawdzenia nie później jednak niż do dnia 31 grudnia każdego roku. 2) Raz na 5 lat ABI wykonuje sprawdzenie w odniesieniu do systemu informatycznego Zespołu Szkół Specjalnych w Gliwicach 3) Sprawdzeniu podlegają wszystkie obszary związane z bezpieczeństwem danych osobowych ze szczególnym uwzględnieniem: a) upoważnień do przetwarzania danych osobowych, b) ewidencji osób upoważnionych do przetwarzania danych osobowych, c) aktualności rejestru zbiorów danych osobowych, d) zabezpieczenia zbiorów danych tradycyjnych i elektronicznych, e) stanowisk pracy osób przetwarzających dane osobowe. IX. Wymagania dla systemu informatycznego. 18. Wymagania dla systemu informatycznego. System informatyczny zastosowany w Zespole Szkół Specjalnych w Gliwicach 1) zapewnia dostęp do danych tylko zarejestrowanym użytkownikom, 2) wymusza zmianę hasła dostępu co najmniej raz na miesiąc oraz nadzoruje zasady tworzenia haseł określone w przepisach, 3) zapewnia stosowanie wygaszaczy ekranów z czasem aktywacji 5 minut, 4) automatycznie dokonuje aktualizacji czasu na stanowiskach komputerowych, 5) ogranicza możliwość instalowania oprogramowania i urządzeń przez nieuprawnione osoby. 19. Wymagania dla oprogramowania. Zastosowane oprogramowanie zapewnia: 1) identyfikowalność użytkownika systemu informatycznego, 2) rozliczalność poprzez odnotowywanie zmian we wprowadzonych danych do systemu 11

X. Postępowanie w przypadku naruszenia bezpieczeństwa danych Zarządzanie incydentami. 20. Stwierdzone naruszenia bezpieczeństwa. 1) W przypadku stwierdzenia naruszenia bezpieczeństwa danych pracownik zobowiązany jest do zabezpieczenia miejsca, w którym doszło do naruszenia danych oraz poinformowania przełożonego lub bezpośrednio ABI. 2) ABI przygotowuje notatkę ze zdarzenia i przekazuje ją ADO, wraz z propozycją rozwiązania problemu. ADO podejmuje decyzję o dalszym przebiegu postępowania. 3) Użytkownik systemu informatycznego jest zobowiązany do poinformowania pracownika ASI lub ABI o każdym przypadku niewłaściwego funkcjonowania systemu informatycznego. W przypadku wadliwego działania systemu informatycznego użytkowników obowiązuje całkowity zakaz wykonywania jakichkolwiek napraw. Do diagnozowania usterki lub wadliwego działania systemu informatycznego upoważniony jest tylko ASI. 4) ASI może na polecenie ADO lub ABI, zabezpieczyć komputer pracownika Zespołu Szkół Specjalnych w Gliwicach w celu dokonania szczegółowego badania. 21. Zgłaszanie luk w bezpieczeństwie systemu. Każdy pracownik jest zobowiązany do natychmiastowego zgłaszania swoim przełożonym lub bezpośrednio do ABI wszelkich zauważonych słabych stron systemu zabezpieczeń, potencjalnych zagrożeń dla przetwarzanych informacji. 22. Przegląd dokumentacji 1) Polityka bezpieczeństwa podlega przeglądowi ABI co najmniej raz w roku. 2) Analizę ryzyka przeprowadza ABI/ASI/Dyrektor co najmniej raz w roku oraz po każdej zmianie warunków bezpieczeństwa informacji. 3) Dziennik pracy systemów podlega przeglądowi ABI co najmniej raz na 5 lat. XI. Załączniki. 1) Wykaz zbiorów 2) Analiza ryzyka 3) Wzór wniosku rejestracyjnego 4) Wzór ewidencji osób upoważnionych 5) Wzór raportu z wystąpienia incydentu. 12

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres