Instrukcji Zarządzania Systemem Informatycznym służącym



Pobieranie 34,34 Kb.
Data02.12.2017
Rozmiar34,34 Kb.

Instrukcji Zarządzania Systemem Informatycznym służącym

do przetwarzania danych osobowych w Zespole Szkół w Łopienniku Nadrzecznym

I. Nadawanie i rejestrowanie uprawnień do przetwarzania danych w systemie informatycznym

Przetwarzać dane osobowe w systemach informatycznych może wyłącznie osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych w Zespole Szkół w Łopienniku Nadrzecznym.

Za tworzenie, modyfikację i nadawanie uprawnień kontom użytkowników odpowiada ASI, posiadający pisemne upoważnienie od ABI (załącznik nr 1). Odwołanie upoważnienia wymaga formy pisemnej (załącznik nr 2).

ASI nadaje uprawnienia w systemie informatycznym na podstawie upoważnienia nadanego pracownikowi przez ABI.

Usuwanie kont stosowane jest wyłącznie w uzasadnionych przypadkach, standardowo, przy ustaniu potrzeby utrzymywania konta danego użytkownika ulega ono dezaktywacji w celu zachowania historii jego aktywności.

Osoby dopuszczone do przetwarzania danych osobowych zobowiązane są do zachowania tajemnicy w zakresie tych danych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje również po ustaniu stosunku pracy, co jest równoznaczne z cofnięciem uprawnień do przetwarzania danych osobowych.



II. Zabezpieczenie danych w systemie informatycznym

Ochronę przed awariami zasilania oraz zakłóceniami w sieci energetycznej serwera i stacji roboczych, na których przetwarzane są dane osobowe zapewniają zasilacze UPS. ASI dokonuje oceny sytuacji i podejmuje wszelkie niezbędne kroki w celu zachowania integralności danych oraz przywrócenia normalnego funkcjonowania systemu.

Oprogramowanie wykorzystywane do przetwarzania danych posiada własny system kont (zabezpieczonych hasłami) i uprawnień. Zmiana hasła jest wymuszona automatycznie przez system.

Hasła do systemu stacji roboczych mają długość przynajmniej 6 znaków (duże i małe litery oraz cyfry lub znaki specjalne) i okres ważności nie dłużej niż 1 miesiąc. Hasło nie może być zapisywane lub przechowywane w miejscu dostępnym dla osób nieuprawnionych.

W przypadku utracenia hasła użytkownik ma obowiązek skontaktować się z ASI celem uzyskania nowego hasła.

Hasła użytkowników uprzywilejowanych posiadających uprawnienia na poziomie administratorów systemów informatycznych objęte są takimi samymi restrykcjami dotyczącymi ich poufności jak pozostałe hasła.

System informatyczny, a w szczególności aplikacje służące do przetwarzania danych osobowych muszą posiadać mechanizmy pozwalające na odnotowanie faktu wykonania operacji na danych.

W szczególności zapis ten powinien obejmować:

a) rozpoczęcie i zakończenie pracy przez użytkownika systemu,

b) operacje wykonywane na przetwarzanych danych,

c) przesyłanie za pośrednictwem systemu danych osobowych przetwarzanych w systemie informatycznym innym podmiotom nie będącym właścicielem ani współwłaścicielem systemu,

d) nieudane próby dostępu do systemu informatycznego przetwarzającego dane osobowe oraz nieudane próby wykonania operacji na danych osobowych,

e) błędy w działaniu systemu informatycznego podczas pracy danego użytkownika.

System informatyczny powinien zapewnić zapis faktu przekazania danych osobowych z uwzględnieniem:

a) identyfikatora osoby, której dane dotyczą,

b) osoby przesyłającej dane,

c) odbiorcy danych,

d) zakresu przekazanych danych osobowych,

e) daty operacji,

f) sposobu przekazania danych.

Stosuje się aktywną ochronę antywirusową na każdym komputerze, na którym przetwarzane są dane osobowe.

Za dokonywanie skanowania systemu w poszukiwaniu złośliwego oprogramowania (w przypadku braku ochrony rezydentnej) i aktualizację bazy wirusów odpowiada użytkownik stacji roboczej.

Osobom korzystającym z systemu informatycznego, w którym przetwarzane są dane osobowe w szkole zabrania się:

a) ujawniania loginu i hasła współpracownikom i osobom z zewnątrz,

b) pozostawiania haseł w miejscach widocznych dla innych osób,

c) udostępniania stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym,

d) udostępniania osobom nieuprawnionym programów komputerowych zainstalowanych w systemie,

e) używania oprogramowania w innym zakresie niż pozwala na to umowa licencyjna,

f) przenoszenia programów komputerowych, dysków twardych z jednego stanowiska na inne,

g) kopiowania danych na nośniki informacji, kopiowania na inne systemy celem wynoszenia ich poza szkołę,

h) samowolnego instalowania i używania jakichkolwiek programów komputerowych w tym również programów do użytku prywatnego; programy komputerowe instalowane są przez ABI,

i) używania nośników danych udostępnionych przez osoby postronne,

j) przesyłania dokumentów i danych z wykorzystaniem konta pocztowego prywatnego (nie służbowego),

k) otwierania załączników i wiadomości poczty elektronicznej od nieznanych i „niezaufanych” nadawców,

l) używania nośników danych niesprawdzonych, niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą;

III. Zasady bezpieczeństwa podczas pracy w systemie informatycznym

W celu rozpoczęcia pracy w systemie informatycznym użytkownik:

a) loguje się do systemu operacyjnego przy pomocy identyfikatora i hasła (autoryzacja użytkownika w bazie usług katalogowych),

b) loguje się do programów i systemów wymagających dodatkowego wprowadzenia unikalnego identyfikatora i hasła.

W sytuacji tymczasowego zaprzestania pracy na skutek nieobecności przy stanowisku komputerowym należy uniemożliwić osobom postronnym korzystanie z systemu informatycznego poprzez wylogowanie się z sytemu lub uruchomienie wygaszacza ekranu chroniony hasłem.

W sytuacji gdy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba należy tymczasowo zmienić widok wyświetlany na monitorze lub obrócić monitor (przymknąć ekran laptopa) w sposób uniemożliwiający wgląd w wyświetlaną treść.

Użytkownik wyrejestrowuje się z systemu informatycznego przed wyłączeniem stacji komputerowej poprzez zamknięcie programu przetwarzającego dane oraz wylogowanie się z systemu operacyjnego.

Zawieszenie korzystania z systemu informatycznego może nastąpić losowo wskutek awarii lub planowo (np. w celu konserwacji sprzętu). Planowe zawieszenie prac jest poprzedzone poinformowaniem pracowników Szkoły przez ASI na co najmniej 30 minut przed planowanym zawieszeniem.

Pracownik korzystający z systemu informatycznego zobowiązany jest do powiadomienia ASI w razie:

a) podejrzenia naruszenia bezpieczeństwa systemu;

b) braku możliwości zalogowania się użytkownika na jego konto;

c) stwierdzenia fizycznej ingerencji w przetwarzana dane;

d) stwierdzenia użytkowania narzędzia programowego lub sprzętowego.

Na fakt naruszenia zabezpieczeń systemu mogą wskazywać:

a) nietypowy stan stacji roboczej (np. brak zasilania, problemy z uruchomieniem);

b) wszelkiego rodzaju różnice w funkcjonowaniu systemu (np. komunikaty informujące o błędach, brak dostępu do funkcji systemu, nieprawidłowości w wykonywanych operacjach);

c) różnice w zawartości zbioru danych osobowych (np. brak lub nadmiar danych);

d) inne nadzwyczajne sytuacje.



IV. Tworzenie kopii zapasowych

Dane systemów kopiowane są w trybie miesięcznym (kopie baz danych, kopia awaryjna systemu serwera). Kopie awaryjne danych zapisywanych w programach wykonywane są co tydzień (w ostatni dzień roboczy tygodnia po zakończeniu pracy).

Odpowiedzialnym za wykonanie kopii danych i kopii awaryjnych jest pracownik obsługujący dany program przetwarzający dane. Kopie zbiorów umieszczonych na serwerze wykonywane są automatycznie oprogramowaniem wytworzonym we własnym zakresie.

Kopie danych przechowywane są w szafie metalowej w sekretariacie szkoły i zabezpieczane przez ABI.

Okresową weryfikację kopii bezpieczeństwa pod kątem ich przydatności do odtworzenia danych przeprowadza ASI.

Usuwanie kopii danych następuje poprzez bezpieczne kasowanie dwa razy w roku: styczeń, lipiec. Nośniki danych, na których zapisywane są kopie bezpieczeństwa niszczy się trwale w sposób mechaniczny.



V. Udostępnienie danych

Dane osobowe przetwarzane w systemach informatycznych mogą być udostępnione osobom i podmiotom z mocy przepisów prawa.



VI. Przeglądy i konserwacje systemów

Wszelkie prace związane z naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe mogą być wykonywane wyłącznie przez pracowników Szkoły lub przez upoważnionych przedstawicieli wykonawców.

Prace konserwacyjne powinny uwzględniać wymagany poziom zabezpieczenia tych danych przed dostępem do nich osób nieupoważnionych.

VII. Niszczenie wydruków

Wszelkie wydruki z systemów informatycznych zawierające dane osobowe przechowywane są w miejscu uniemożliwiającym ich odczyt przez osoby nieuprawnione, w zamkniętych szafach lub pomieszczeniach i po upływie ich przydatności są niszczone przy użyciu niszczarek.

Załącznik nr 1

do „Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania

danych osobowych w Zespole Szkół

w Łopienniku Nadrzecznym


UPOWAŻNIENIE NR …………..
DO PRZETWARZANIA DANYCH OSOBOWYCH


DLA ADMINISTRATORA SYSTEMU INFORMATYCZNEGO

Z dniem .........................., na podstawie art. 37 ustawy z dnia


29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), upoważniam Panią/Pana* ........................................., będącą/będącego* Administratorem Systemu Informatycznego, do przetwarzania danych osobowych dotyczących1:

  • ........................................

  • ........................................

  • ........................................

  • ........................................

  • ........................................

  • ........................................

  • ........................................

  • ........................................

  • ........................................

  • ........................................

  • ........................................

  • ........................................

Upoważnienie obowiązuje do dnia odwołania.

________________________________________



Podpisy osób upoważnionych do reprezentowania Administratora Danych

* Niepotrzebne skreślić.


Załącznik nr 2

do „Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania

danych osobowych w Zespole Szkół

w Łopienniku Nadrzecznym


ODWOŁANIE UPOWAŻNIENIE NR …………..
DO PRZETWARZANIA DANYCH OSOBOWYCH


DLA ADMINISTRATORA SYSTEMU INFORMATYCZNEGO

Z dniem …………………………………… r., na podstawie art. 37 w związku z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926,


z późn. zm.), odwołuję upoważnienie …………………………………………………………………. do przetwarzania danych osobowych Administratora Systemu Informatycznego.

________________________________________
Podpisy osób upoważnionych do reprezentowania Administratora Danych



1 Wymienić nazwy przetwarzanych zbiorów danych osobowych – np. członków stowarzyszenia; darczyńców; kandydatów do pracy; pracowników; współpracowników; wolontariuszy, praktykantów i stażystów; kandydatów do udziału w projekcie; uczestników projektu etc.





©operacji.org 2019
wyślij wiadomość

    Strona główna