INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PUBLICZNE GIMNAZJUM NR 38 IM. KARDYNAŁA STEFANA WYSZYŃSKIEGO ŁÓDŹ, UL. St. Dubois 7/9 Data i miejsce sporządzenia dokumentu: Łódź, dn. 23.02.2009r. Data i miejsce aktualizacji dokumentu: Łódź, dn. 12.12.2013r. Liczba stron: 27 Organ zatwierdzający: Dyrektor Publicznego Gimnazjum nr 38 w Łodzi

SPIS TREŚCI SPIS TREŚCI... 2 1. Wstęp... 4 1.1. Informacje ogólne... 4 1.2. Cel przygotowania Instrukcji Zarządzania... 5 1.3. Zakres informacji objętych Instrukcją Zarządzania... 6 1.4. Sposób aktualizacji oraz przeglądania Instrukcji Zarządzania... 7 1.5. Sposób przechowywania dokumentu Instrukcji Zarządzania... 8 1.6. Wyjaśnienie terminów używanych w dokumencie Instrukcji Zarządzania... 9 2. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemach informatycznych oraz wskazania osoby odpowiedzialnej za te czynności... 12 2.1. Procedury Nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemach informatycznych... 12 2.2. Osoby odpowiedzialne za nadawanie uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemach informatycznych... 14 3. Opis stosowanych metod i środków uwierzytelnienia oraz procedur związanych z zarządzaniem i użytkowaniem stosowanych metod i środków uwierzytelnienia... 15 4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu... 16 4.1. Procedura rozpoczęcia pracy przeznaczona dla użytkownika systemu... 16 4.2. Procedura zawieszenia pracy przeznaczona dla użytkownika systemu... 17 4.3. Procedura zakończenia pracy dla użytkownika systemu... 18 5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania... 19 6. Opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych, o których mowa w pkt. 5 instrukcji... 20 7. Opis sposobu zabezpieczenia systemów informatycznych przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia... 21... Strona 2 z 27.....

8. Opis sposobu realizacji wymogów stawianych systemom informatycznym przez rozporządzenie wykonawcze do ustawy o ochronie danych osobowych... 22 9. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych... 23 10. Poziom bezpieczeństwa... 24 10.1. Określenie stosowanego poziomu bezpieczeństwa... 24 10.2. Stosowane zabezpieczenia... 25 10.2.1. Poziom podstawowy... 25 10.2.2. Poziom podwyższony... 26 10.2.3. Poziom wysoki... 26... Strona 3 z 27.....

1. WSTĘP 1.1. INFORMACJE OGÓLNE Niniejszy dokument w postaci Instrukcji zarządzania systemem informatycznym został opracowany przez Danutę Krysiak Administratora Danych Publicznego Gimnazjum nr 38 w Łodzi w celu zapewnienia zgodności przetwarzania danych osobowych z polskim ustawodawstwem. Instrukcja zarządzania systemem informatycznym wraz z Polityką Bezpieczeństwa stanowi dokumentację przetwarzania danych osobowych w rozumieniu 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024 z późn. zm.). Instrukcja zarządzania systemem informatycznym została wdrożona dyrektora Publicznego Gimnazjum nr 38 w Łodzi i obowiązuje od dnia 1.03.2009r. Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów niniejszego dokumentu Instrukcji zarządzania systemem informatycznym, powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz realizacji praw osób, których dane dotyczą. Każda osoba mającą dostęp do danych osobowych na podstawie upoważnienia Administratora Danych, została zapoznana z Instrukcją zarządzania systemem informatycznym i zobowiązana do jej przestrzegania w zakresie wynikającym z przydzielonych zadań. Dotyczy to w szczególności pracowników zatrudnionych przez Administratora Danych. Wyżej wymienione osoby złożyły na piśmie oświadczenie o zapoznaniu się z treścią Instrukcji zarządzania systemem informatycznym oraz zobowiązały się do stosowania zawartych w niej postanowień.... Strona 4 z 27.....

1.2. CEL PRZYGOTOWANIA INSTRUKCJI ZARZĄDZANIA Podstawowym celem przyświecającym przygotowaniu i wdrożeniu dokumentu Instrukcji zarządzania systemem informatycznym było zapewnienie zgodności działania Publicznego Gimnazjum nr 38 w Łodzi z ustawą o ochronie danych osobowych oraz jej rozporządzeniami wykonawczymi. Opracowany dokument Instrukcji zarządzania systemem informatycznym został opracowany w oparciu o wytyczne zawarte w następujących aktach prawnych: 1) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024 z późn. zm.), 2) ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), 3) ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U. 2004 r. Nr 256 poz. 2572 z późn. zm.), 4) rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. 2002 r. Nr 23 poz. 225 z późn. zm.), 5) ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (tj. Dz.U. z 2001 r. nr 128, poz. 1402 z późn. zm.). Należy przez powyższe rozumieć w szczególności realizację w niniejszym dokumencie wymogu opisania sposobu przetwarzania danych osobowych oraz środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Zadaniem Instrukcji zarządzania systemem informatycznym jest także określenie podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz wymagań w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.... Strona 5 z 27.....

1.3. ZAKRES INFORMACJI OBJĘTYCH INSTRUKCJĄ ZARZĄDZANIA Dokument Instrukcji zarządzania systemem informatycznym opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem. Obejmuje on ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, zastosowane rozwiązania techniczne, jak również procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Na Instrukcję zarządzania składają się w szczególności następujące informacje: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5) sposób, miejsce oraz okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 rozporządzenia; 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Instrukcję zarządzania systemem informatycznym stosuje się do wszelkich czynności, stanowiących w myśl ustawy o ochronie danych osobowych przetwarzanie danych osobowych. Bez względu na źródło pochodzenia danych osobowych, ich zakres, cel zebrania, sposób przetwarzania lub czas przetwarzania, stosuje się zasady przetwarzania danych osobowych ujęte w niniejszym dokumencie Instrukcji zarządzania systemem informatycznym. Rygorowi Instrukcji zarządzania systemem informatycznym podlegają także dane powierzone Publicznemu Gimnazjum nr 38 w Łodzi do przetwarzania na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych oraz dane osobowe, których Publiczne Gimnazjum nr 38 w Łodzi jest odbiorcą w rozumieniu ustawy o ochronie danych osobowych.... Strona 6 z 27.....

1.4. SPOSÓB AKTUALIZACJI ORAZ PRZEGLĄDANIA INSTRUKCJI ZARZĄDZANIA Procedura sprawdzania aktualności Instrukcji zarządzania W związku z dynamiką zmian w zakresie bezpieczeństwa informacji oraz mając na uwadze częste zmiany w konstrukcji systemów informatycznych, Administrator Danych zobowiązuje się dokonywać cyklicznie do końca stycznia każdego roku kalendarzowego przeglądów i aktualizacji Instrukcji zarządzania systemem informatycznym oraz weryfikacji zapisów w celu wyeliminowana niezgodności stanu opisanego ze stanem faktycznym. Procedura aktualizacji Instrukcji zarządzania Instrukcja zarządzania podlega aktualizacji każdorazowo w przypadku likwidacji, utworzenia lub zmiany zawartości zbioru danych, a także w przypadku zmiany przepisów dotyczących ochrony danych osobowych, wymagającej aktualizacji Instrukcji zarządzania. Aktualizacja Instrukcji zarządzania jest przeprowadzana przez Administratora Danych. Nowa wersja Instrukcji zarządzania zastępuje poprzednio obowiązującą. Administrator Danych wprowadza w życie nową wersję Instrukcji zarządzania w formie decyzji, określając w jej treści od kiedy nowy dokument obowiązuje.... Strona 7 z 27.....

1.1. SPOSÓB PRZECHOWYWANIA DOKUMENTU INSTRUKCJI ZARZĄDZANIA Procedura sposobu zabezpieczenia oraz przechowywania Instrukcji zarządzania Dokument Instrukcji zarządzania jest przechowywany w wersji elektronicznej, na komputerze zabezpieczonym przed dostępem osób nieupoważnionych. Zapewniona jest możliwość wydrukowania aktualnej wersji dokumentu Instrukcji zarządzania w terminie 12 godzin od pojawienia się takiej potrzeby. Raz do roku dokument Instrukcji zarządzania jest drukowany do wersji papierowej. Jest on przechowywany wraz z innymi dokumentami, do których dostęp posiada tylko Administrator Danych oraz upoważnione przez niego osoby. Wydrukowany dokument Instrukcji zarządzania zastępuje poprzedni, który ulga zniszczeniu.... Strona 8 z 27.....

1.2. WYJAŚNIENIE TERMINÓW UŻYWANYCH W DOKUMENCIE INSTRUKCJI ZARZĄDZANIA 1) ustawa rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 r. Nr 133 poz. 883 z późn. zm.), zwaną dalej ustawą", 2) rozporządzenie rozumie się przez to rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.), zwane dalej rozporządzeniem, 3) dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 4) instrukcja zarządzania systemem informatycznym dokument instrukcji zarządzania systemem informatycznym w rozumieniu 1 pkt 1 rozporządzenia, zwaną dalej instrukcją, 5) polityka bezpieczeństwa dokument polityki bezpieczeństwa w rozumieniu 1 pkt 1 rozporządzenia, zwaną dalej polityką, 6) zbiór danych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 7) przetwarzanie danych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 8) system informatyczny rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 9) zabezpieczenie danych w systemie informatycznym rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 10) usuwanie danych rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 11) administrator danych rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy o ochronie danych osobowych, decydujące o celach i środkach przetwarzania danych osobowych,... Strona 9 z 27.....

12) zgoda osoby, której dane dotyczą rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, 13) odbiorca danych rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: a. osoby, której dane dotyczą, b. osoby upoważnionej do przetwarzania danych, c. przedstawiciela, o którym mowa w art. 31a ustawy o ochronie danych osobowych, d. podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych, e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 14) państwo trzecie rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego, 15) identyfikator użytkownika rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 16) hasło rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym, 17) sieć telekomunikacyjna rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.), 18) sieć publiczna rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 22 ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne, 19) teletransmisja rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej, 20) rozliczalność rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 21) integralność danych rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 22) raport rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych, 23) poufność danych rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom,... Strona 10 z 27.....

24) uwierzytelnianie rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.... Strona 11 z 27.....

2. PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMACH INFORMATYCZNYCH ORAZ WSKAZANIA OSOBY ODPOWIEDZIALNEJ ZA TE CZYNNOŚCI 2.1. PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMACH INFORMATYCZNYCH Procedura nadawania uprawnień do przetwarzania danych osobowych Uprawnienia do przetwarzania danych osobowych są wydawane przez Administratora Danych. Uprawnienie jest nadawane tylko i wyłącznie w zakresie wykonywanych przez pracownika zadań. Nadanie uprawnień polega na utworzeniu konta w systemie informatycznym. Dokonuje tego osoba upoważniona przez Administratora Danych. Procedura cofania uprawnień do przetwarzania danych osobowych Uprawnienia do przetwarzania danych osobowych są anulowane decyzją Administratora Danych, a także w wypadku rozwiązania umowy będącej podstawą świadczenia pracy lub usług przez pracownika na rzecz Administratora Danych. Procedura modyfikowania uprawnień do przetwarzania danych osobowych Jeżeli zachodzi konieczność modyfikacji uprawnienia do przetwarzania danych osobowych w systemie informatycznym, osoba upoważniona przez Administratora Danych do ich nadawania, zmienia konfigurację systemu informatycznego w odpowiedni sposób. Cofnięcie uprawnień polega na usunięciu konta w systemie informatycznym. Dokonuje tego osoba upoważniona przez Administratora Danych. Procedura rejestrowania uprawnień do przetwarzania danych osobowych Uprawnienia do przetwarzania danych w systemie informatycznym są rejestrowane poprzez dokonanie wpisu identyfikatora w ewidencji osób upoważnionych do przetwarzania danych osobowych oraz utworzeniu konta w odpowiednim systemie informatycznym.... Strona 12 z 27.....

Lista osób uprawnionych do przetwarzania danych jest przechowywana w szafie zamykanej na klucz w sekretariacie (pokój nr 8). Istnieje także możliwość wydrukowania na żądanie listy osób uprawnionych do przetwarzania danych osobowych. Nadzór i kontrolę nad procesem rejestracji uprawnień do przetwarzania danych osobowych w systemie ip. informatycznym sprawuje osoba upoważniona przez Administratora Danych. Hasła administratorów systemów informatycznych przechowywane są w sejfie w pokoju dyrektora. Dostęp do nich ma tylko i wyłącznie Administrator Danych oraz osoba przez niego upoważniona. W sytuacjach awaryjnych w przypadku nieobecności administratora danych osobą uprawnioną do podejmowania decyzji mających na celu zapewnienie bezpieczeństwa przetwarzanych danych osobowych jest: p. Jadwiga Jama... Strona 13 z 27.....

2.2. OSOBY ODPOWIEDZIALNE ZA NADAWANIE UPRAWNIEŃ DO PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMACH INFORMATYCZNYCH Zakres odpowiedzialności Imię i nazwisko osoby odpowiedzialnej Pełniona funkcja / uwagi Przegląd przestrzegania Instrukcji Danuta Krysiak dyrektor Przegląd aktualności Instrukcji Anna Kotowska referent Aktualizację instrukcji Danuta Krysiak dyrektor Nadawanie uprawnień do przetwarzania danych w Danuta Krysiak dyrektor systemach informatycznych Rejestrowanie uprawnień do przetwarzania danych w Anna Kotowska referent systemach informatycznych Wyrejestrowanie uprawnień do przetwarzania danych w systemach informatycznych Anna Kotowska referent... Strona 14 z 27.....

3. OPIS STOSOWANYCH METOD I ŚRODKÓW UWIERZYTELNIENIA ORAZ PROCEDUR ZWIĄZANYCH Z ZARZĄDZANIEM I UŻYTKOWANIEM STOSOWANYCH METOD I ŚRODKÓW UWIERZYTELNIENIA 1. Zastosowane środki i metody uwierzytelnienia związane z ruchem osobowym: W drzwiach wejściowych zainstalowano zamek z elektromagnesem. Na parterze zlokalizowany jest pokój dla obsługi nadzorującej wejścia i wyjścia osób. Przebywanie na terenie szkoły osób nieupoważnionych do przetwarzania danych osobowych jest dozwolone tylko i wyłącznie pod nadzorem. 2. Zastosowane środki i metody uwierzytelnienia obowiązujące systemy informatyczne: a) Autoryzacja w systemie operacyjnym za pomocą loginu i hasła (hasło min. 8 znaków długości, używane małe i wielkie litery, cyfry oraz znaki specjalne), b) Autoryzacja w programach przetwarzających dane osobowe za pomocą loginu i hasła (hasło min. 8 znaków długości, używane małe i wielkie litery, cyfry oraz znaki specjalne) c) Pierwsze hasło użytkownika jest zawsze przekazywane ustnie i ustalane przez osobę nadającą uprawnienie dostępu w systemie informatycznym, d) Dostęp do każdego z komputerów, na których przetwarzane są dane osobowe, ograniczony jest wyłącznie do jednego pracownika. Zabronione jest stosowanie rozwiązań programowych pozwalających na zapamiętywanie identyfikatorów i haseł.... Strona 15 z 27.....

4. PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UŻYTKOWNIKÓW SYSTEMU 4.1. PROCEDURA ROZPOCZĘCIA PRACY PRZEZNACZONA DLA UŻYTKOWNIKA SYSTEMU Przed rozpoczęciem pracy, w trakcie rozpoczynania pracy z systemem informatycznym oraz w trakcie pracy, każdy pracownik jest obowiązany do zwrócenia bacznej uwagi, czy nie wystąpiły objawy, mogące świadczyć o naruszeniu zasad ochrony danych osobowych. Rozpoczęcie pracy użytkownika w systemie informatycznym obejmuje uruchomienie komputera, wprowadzenie identyfikatora i hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólne stwierdzenie poprawności działania systemu. Użytkownikowi nie wolno w czasie uruchamiania systemu operacyjnego odchodzić od stanowiska. Jest to dozwolone tylko i wyłącznie zgodnie z procedurą opisującą tryb zawieszenia pracy z systemem, w którym przetwarzane są dane osobowe. Użytkownik informuje osobę upoważnioną przez Administratora Danych do opieki nad sprzętem komputerowym o zablokowaniu dostępu do zbioru danych oraz o wszelkich nieprawidłowościach w dostępie do danych osobowych.... Strona 16 z 27.....

4.2. PROCEDURA ZAWIESZENIA PRACY PRZEZNACZONA DLA UŻYTKOWNIKA SYSTEMU Nie wolno opuszczać stanowiska komputerowego nie zamykając wcześniej programów służących do przetwarzania danych osobowych, oraz nie zapisując otwartych dokumentów. Odchodząc od swojego komputera, każdy użytkownik powinien aktywować wygaszacz ekranu zabezpieczony hasłem dostępu. Użytkownik informuje osobę upoważnioną przez Administratora Danych do opieki nad sprzętem komputerowym o zablokowaniu dostępu do zbioru danych oraz o wszelkich nieprawidłowościach w dostępie do danych osobowych. Stanowiska komputerowe usytuowane są w sposób uniemożliwiający odczytanie informacji z ekranu komputera osobom postronnym.... Strona 17 z 27.....

4.3. PROCEDURA ZAKOŃCZENIA PRACY DLA UŻYTKOWNIKA SYSTEMU Zakończenie pracy polega na zamknięciu wszystkich programów i zapisaniu wszystkich otwartych plików oraz wybraniu odpowiedniego polecenia systemowego umożliwiającego zakończenie pracy. Użytkownik powinien zaczekać przy komputerze do chwili jego wyłączenia. Użytkownik informuje osobę upoważnioną przez Administratora Danych do opieki nad sprzętem komputerowym, o zablokowaniu dostępu do zbioru danych oraz o wszelkich nieprawidłowościach w dostępie do danych osobowych.... Strona 18 z 27.....

5. PROCEDURY TWORZENIA KOPII ZAPASOWYCH ZBIORÓW DANYCH ORAZ PROGRAMÓW I NARZĘDZI PROGRAMOWYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA Raz na pół roku tworzy się kopie zapasowe wszystkich zbiorów danych, które zawierają dane osobowe. Procedura tworzenia kopii zapasowych obejmuje wszystkie komputery, na których przetwarzane są dane osobowe. Tworzenie kopii zapasowych polega na nagraniu na elektroniczny nośnik informacji danych podlegających procedurze tworzeniu kopii zapasowych. Kopie zapasowe wykonywane są poprzez utworzenie archiwum na zabezpieczonej pamięci zewnętrznej (typu pendrive) zabezpieczonej hasłem. Nośnik z nagranymi kopiami zapasowymi jest umieszczany w szafie zamykanej na klucz. Na nośniku kopii zapasowej znajduje się plik tekstowy z informacją dotycząca osoby wykonującej kopię oraz datą jej utworzenia. Raz w roku usuwa się trwale nieaktualne dane.... Strona 19 z 27.....

6. OPIS SPOSOBU, MIEJSCA I OKRESU PRZECHOWYWANIA ELEKTRONICZNYCH NOŚNIKÓW INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE ORAZ KOPII ZAPASOWYCH, O KTÓRYCH MOWA W PKT. 5 INSTRUKCJI Nośniki informatyczne zawierające dane osobowe oraz kopie zapasowe zbiorów danych osobowych, programów i narzędzi programowych służących do przetwarzania danych osobowych, przechowywane są w szafie zamykanej na klucz. Dostęp do nośników o których mowa ograniczony jest do Administratora Danych oraz upoważnionego przez niego pracownika. Co roku dokonuje się przeglądu nośników, a po ustaniu ich użyteczności usuwa zapisane dane.... Strona 20 z 27.....

7. OPIS SPOSOBU ZABEZPIECZENIA SYSTEMÓW INFORMATYCZNYCH PRZED DZIAŁALNOŚCIĄ OPROGRAMOWANIA, O KTÓRYM MOWA W PKT III PPKT 1 ZAŁĄCZNIKA DO ROZPORZĄDZENIA Z uwagi na fakt, iż niektóre wykorzystywane komputery przetwarzające dane osobowe posiadają dostęp do sieci publicznej, Administrator Danych wdrożył procedury oraz oprogramowanie, które chroni dane osobowe przed nieuprawnionym dostępem, zmianom, usunięciem lub uszkodzeniem. Zagrożenia te to programy zawierające złośliwy kod (wirusy), tzw. konie trojańskie oraz ataki hakerów. Zabronione jest pobieranie oraz instalowanie bez nadzoru osoby upoważnionej przez Administratora Danych, jakichkolwiek programów na komputerach służących do przetwarzania danych osobowych. Zabronione jest również używanie nośników informacji niepochodzących z zasobów Administratora Danych. Każda osoba przetwarzająca dane osobowe przy użyciu komputera została pouczona, aby w wypadku jakichkolwiek podejrzeń dotyczących obniżenia bezpieczeństwa danych osobowych, poinformowała o tym fakcie osobę upoważnioną przez Administratora Danych lub Administratora Danych. Typ zabezpieczenia Nazwa programu Częstotliwość i sposób aktualizacji oprogramowania Uwagi Program typu FIREWALL F-Secure Bieżąca automatyczna aktualizacja. Termin wygaśnięcia licencji 2.02.2010r. Program ANTYWIRUSOWY F-Secure Bieżąca automatyczna aktualizacja. Termin wygaśnięcia licencji 2.02.2010r.... Strona 21 z 27.....

Data pierwsze pierwszego wprowadzenia danych do systemu Identyfikator użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba Źródło danych, w przypadku zbierania danych, nie od osoby, której one dotyczą Informacje o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych Sprzeciw o którym mowa w art. 32 ust. 1 pkt. 8 UODO 8. OPIS SPOSOBU REALIZACJI WYMOGÓW STAWIANYCH SYSTEMOM INFORMATYCZNYM PRZEZ ROZPORZĄDZENIE WYKONAWCZE DO USTAWY O OCHRONIE DANYCH OSOBOWYCH Nazwa systemu informatycznego Microsoft Excel nie nie Nie dotyczy Nie dotyczy Nie dotyczy SIO System Informacji Oświatowej nie nie Nie dotyczy Nie dotyczy Nie dotyczy Program Nabór nie nie Nie dotyczy Nie dotyczy Nie dotyczy Sekretariat DDJ nie nie Nie dotyczy Nie dotyczy Nie dotyczy Księgowość Optivum nie nie Nie dotyczy Nie dotyczy Nie dotyczy... Strona 22 z 27.....

9. PROCEDURY WYKONYWANIA PRZEGLĄDÓW I KONSERWACJI SYSTEMÓW ORAZ NOŚNIKÓW INFORMACJI SŁUŻĄCYCH DO PRZETWARZANIA DANYCH W wypadku wystąpienia takiej potrzeby, lecz nie rzadziej niż raz na rok, dokonuje przeglądu i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych. Wykryte podczas przeglądu i konserwacji nieprawidłowości w działaniu sprzętu lub programów służących do przetwarzania danych osobowych, usuwa się niezwłocznie. Osoba dokonująca wyeliminowania opisanych nieprawidłowości, zawiadamia o podjętych czynnościach Administratora Danych. Przegląd i konserwacja mogą być zlecone pracownikowi lub podmiotowi zewnętrznemu specjalizującemu się w tego typu działaniach. W wypadku przekazania sprzętu lub nośników informacji służących do przetwarzania danych osobowych podmiotowi trzeciemu, pozbawia się je zapisanych danych osobowych w sposób, który uniemożliwi ich odtworzenie. W obydwu przypadkach, zostaną zachowane szczególne warunki ostrożności, w celu zabezpieczenia danych osobowych przed dostępem osób nieuprawnionych.... Strona 23 z 27.....

10. POZIOM BEZPIECZEŃSTWA Administrator Danych zastosował środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności, aby zabezpieczyć dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 10.1. OKREŚLENIE STOSOWANEGO POZIOMU BEZPIECZEŃSTWA W zależności od właściwości zbioru danych Administrator Danych stosuje następujące poziomy bezpieczeństwa: podstawowy, podwyższony lub wysoki. Poziom co najmniej podstawowy stosuje się, gdy w systemie informatycznym nie są przetwarzane dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom co najmniej podwyższony stosuje się, gdy w systemie informatycznym przetwarzane są dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Jeżeli Administrator Danych stosuje wysoki poziom bezpieczeństwa (pkt 10.2.1 instrukcji), to oznacza to że realizuje on wymogi określone także przez podstawowy (pkt 10.2.2 instrukcji) i podwyższony (pkt 10.2.3 instrukcji) poziom bezpieczeństwa. Analogicznie, jeśli Administrator Danych stosuje podwyższony poziom bezpieczeństwa, to oznacza to że realizuje on wymogi określone także przez podstawowy poziom bezpieczeństwa. Nr Nazwa zbioru Systemy informatyczne przetwarzające dane osobowe w zbiorze Zastosowany poziom bezpieczeństwa 1 1 2 uczeń, kandydat na ucznia i rodzic pracownik i kandydat do pracy Nabór, Sekretariat DDJ, Microsoft Excel, OKE, Dziennik Librus SIO, Kadry, Księgowość, Płatnik, Microsoft Excel, Sigma Vulcan wysoki wysoki 1 Podstawowy, podwyższony lub wysoki... Strona 24 z 27.....

3 finansowy Księgowość, Płatnik, Microsoft Excel wysoki 10.2. STOSOWANE ZABEZPIECZENIA 10.2.1. POZIOM PODSTAWOWY Nazwa zabezpieczenia Zabezpieczenie obszaru, w którym przetwarzane są dane osobowe, przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób nieuprawnionych, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. Stosowane są mechanizmy kontroli dostępu do danych. Jeżeli dostęp do danych posiadają co najmniej 2 osoby to w systemie rejestrowany jest dla każdego użytkownika odrębny identyfikator oraz dostęp do danych jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. System jest zabezpieczony przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. System jest zabezpieczony przed utratą danych spowodowaną utratą zasilania lub zakłóceniami w sieci zasilającej. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie jest przydzielany innej osobie. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych osobowych. Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwa się niezwłocznie po ustaniu ich użyteczności. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarzane są dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego. NIE Stosowanie zabezpieczenia / NIE/ ND (nie dotyczy)... Strona 25 z 27.....

Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: 1. likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie. 2. przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie. 3. naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. 10.2.2. POZIOM PODWYŻSZONY Nazwa zabezpieczenia W przypadku gdy do uwierzytelnienia użytkowników używa się haseł, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry i znaki specjalne. Urządzenia i nośniki zawierające dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych Stosowanie zabezpieczenia / NIE/ ND (nie dotyczy) 10.2.3. POZIOM WYSOKI Nazwa zabezpieczenia Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. Stosowanie zabezpieczenia / NIE/ ND (nie dotyczy) ND... Strona 26 z 27.....

Dokument sporządzono: Pełen podpis Administratora Danych: Pieczęć Data: 12.12.2013r. Miejsce: Łódź... Strona 27 z 27.....