Strona 1 z 15 Załącznik nr 7 do Instrukcji Zarządzania Systemem

Transkrypt

Załącznik Nr 2 do Zarządzenia Nr 191/05/2015
Prezydenta Miasta Starogard Gdański
Załącznik nr 7
do Instrukcji Zarządzania Systemem Informatycznym
INSTRUKCJA POSTĘPOWANIA
W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH
Niniejsza instrukcja reguluje postępowanie pracowników Urzędu Miasta zatrudnionych przy
przetwarzaniu danych osobowych, definiuje katalog zagrożeń i incydentów zagrażających
bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie.
§1
Celem niniejszej instrukcji jest określenie zadań pracowników w zakresie:
1) ochrony danych osobowych przed modyfikacją, zniszczeniem, nieuprawnionym
dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą
oraz ochroną zasobów technicznych;
2) prawidłowego reagowania pracowników zatrudnionych przy przetwarzaniu danych
osobowych w przypadku stwierdzenia naruszenia ochrony danych osobowych lub
zabezpieczeń systemu informatycznego;
3) ograniczenia ryzyka powstania zagrożeń oraz minimalizacja skutków wystąpienia
zagrożeń.
§2
Naruszenie systemu ochrony danych osobowych może zostać stwierdzone na podstawie oceny:
1) stanu urządzeń technicznych;
2) zawartości zbiorów danych osobowych;
3) sposobu działania programu lub jakości komunikacji w sieci teleinformatycznej;
4) metod pracy (w tym obiegu dokumentów).
§3
1. Każdy pracownik Urzędu Miasta w przypadku stwierdzenia zagrożenia lub naruszenia
ochrony danych osobowych, zobowiązany jest bezzwłocznie powiadomić ABI lub bezpośredniego przełożonego.
2. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
1) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;
2) niewłaściwe zabezpieczenie sprzętu IT, oprogramowania przed wyciekiem, kradzieżą i
utratą danych osobowych;
3) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł, niezamykanie pomieszczeń,
szaf, biurek).
3. Do typowych incydentów zagrażających bezpieczeństwu danych osobowych należą:
1) zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
Strona 1 z 15
2) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników utrata/zagubienie danych);
3) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież
danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym,
świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego
oprogramowania).
4. W przypadku stwierdzenia wystąpienia zagrożenia bezpieczeństwa danych, ABI prowadzi
postępowanie wyjaśniające, w toku którego:
1) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki;
2) inicjuje ewentualne działania dyscyplinarne;
3) rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości;
4) dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie
pisemnego raportu z zagrożenia bezpieczeństwa danych osobowych (zał.nr 3), podejmuje działania zapobiegawcze.
5. W przypadku stwierdzenia naruszenia bezpieczeństwa danych, ABI prowadzi postępowanie wyjaśniające, w toku którego dokumentuje czynności podjęte w prowadzonym postępowaniu poprzez sporządzenie pisemnego raportu (zał. nr 2 lub 3) o naruszeniu ochrony
danych osobowych wg załączonego wzoru który zawiera co najmniej:
1) kod formy naruszenia danych osobowych wg załączonego katalogu zagrożeń i incydentów bezpieczeństwa danych osobowych (zał. nr 1);
2) ustala datę, czas, miejsce wystąpienia naruszenia, jego zakres, przyczyny ujawnienia,
skutki, oraz wielkość szkód które zaistniały;
3) zabezpiecza ewentualne dowody winy;
4) ustala osoby odpowiedzialne za naruszenia;
5) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody);
6) inicjuje działania dyscyplinarne;
7) rekomenduje działania prewencyjne (korekcyjne, korygujące, zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości.
6. ABI sporządzony raport i ewidencjonuje w „Rejestrze incydentów i zagrożeń” (zał. nr 4).
§4
Procedura działań korygujących i zapobiegawczych
1. Celem procedury jest uporządkowanie i przedstawienie czynności związanych z inicjowaniem oraz realizacją działań korygujących i zapobiegawczych, wynikających z zaistnienia
naruszeń lub zagrożeń bezpieczeństwa danych, oraz zagrożeń systemu ochrony danych
osobowych.
2. Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy, w
których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność z wymaganiami ustawy o ochronie danych osobowych, jak również na poprawne funkcjonowanie
systemu ochrony danych osobowych.
3. Osobą odpowiedzialną za nadzór nad procedurą jest ABI.
4. Definicje:
1) incydent – naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność
i integralność;
2) zagrożenie – potencjalna możliwość wystąpienia incydentu;
3) korekcja – działanie w celu wyeliminowania skutków incydentu;
Strona 2 z 15
4) działanie korygujące – jest to działanie przeprowadzone w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji;
5) działania zapobiegawcze – jest to działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądane;
6) kontrola – systematyczna, niezależna i udokumentowana ocena skuteczności systemu
ochrony danych osobowych, na podstawie wymagań ustawowych, polityki bezpieczeństwa i instrukcji zarzadzania systemem informatycznym.
§5
Opis czynności
1.ABI jest odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych. Typowymi źródłami informacji o incydentach, zagrożeniach lub słabościach są:
1) zgłoszenia od kierowników komórek organizacyjnych lub pracowników;
2) wyniki kontroli w tym ustalone przyczyny i okoliczności naruszenia bezpieczeństwa
danych osobowych.
2.W przypadku, gdy ABI stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa:
1) źródło powstania incydentu lub zagrożenia;
2) zakres działań korygujących lub zapobiegawczych;
3) termin realizacji, osobę odpowiedzialną.
§6
1. Bezpośredni przełożony pracownika po stwierdzeniu naruszenia bezpieczeństwa danych
osobowych, jest zobowiązany niezwłocznie powiadomić ABI, chyba, że zrobił to pracownik, który stwierdził naruszenie.
2. Na stanowisku, na którym stwierdzono naruszenie zabezpieczenia danych ABI lub osoba
przełożona pracownika przejmują nadzór nad pracą w systemie odsuwając jednocześnie od
stanowiska pracownika, który dotychczas na nim pracował, aż do czasu wydania odmiennej decyzji.
§7
1. ABI zobowiązany jest do powiadomienia o zaistniałej sytuacji ADO, który podejmuje decyzje o wykonaniu czynności zmierzających do przywrócenia poprawnej pracy systemu
oraz o ponownym przystąpieniu do pracy w systemie.
2. ABI zobowiązany jest do sporządzenia „Raportu z przeglądu incydentów i zdarzeń”,
przedstawiając go do zatwierdzenia ADO (zał.nr 5).
§8
1. Za naruszanie ochrony danych osobowych obowiązują kary przewidziane przepisami
prawa.
2. Za naruszenie ochrony danych osobowych ADO może stosować kary porządkowe, niezależnie od zastosowania kar, o których mowa wyżej.
Strona 3 z 15
Zał. nr 1
Katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych
Sposób postępowania
Nr (kod)
naruszeń
Formy naruszeń
Kierownika komórki
organizacyjnej
Administratora
Bezpieczeństwa
Informacji
A
Formy naruszenia danych osobowych przez pracownika zatrudnionego przy przetwarzaniu danych
A.1
A.1.1
A.1.2
A.1.3
A.2
A.2.1
A.2.2
W zakresie wiedzy
Natychmiast przerwać rozmowę lub inną czynność
prowadzącą do ujawnienia
informacji.
Powiadomić
ABI.
Ujawnienie informacji o Natychmiast przerwać
sprzęcie i pozostałej infra- rozmowę lub inną czynność
strukturze informatycznej. prowadzącą do ujawnienia
informacji. Powiadomić
ABI.
Dopuszczenie i stwarzanie Natychmiast przerwać
warunków, aby ktokolczynność prowadzącą do
wiek mógł pozyskać inujawnienia informacji. Poformację o sprzęcie i powiadomić ABI.
zostałej infrastrukturze
informatycznej np. z obserwacji lub dokumentacji.
Ujawnienie sposobu działania aplikacji i systemu
jej zabezpieczeń osobom
niepowołanym.
Sporządza raport z
opisem, jaka informacja została ujawniona.
Sporządza raport z
Sporządza raport z
W zakresie sprzętu i oprogramowania
Opuszczenie stanowiska
pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy
danych osobowych.
Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy
danych osobowych przez
jakiekolwiek inne osoby
niż osoba, której
identyfikator został przydzielony.
Niezwłocznie
zakończyć
działanie aplikacji. Pouczyć
osobę, która dopuściła do
takiej sytuacji. Przekazać
informacje do ABI.
Wezwać osobę bezprawnie
korzystającą z aplikacji do
opuszczenia stanowiska przy
komputerze. Pouczyć osobę,
która dopuściła się do takiej
sytuacji. Sporządzić raport.
Przyjmuje informacje od kierownika
komórki organizacyjnej i sporządza
raport.
Przyjmuje raport od
kierownika komórki
organizacyjnej.
Strona 4 z 15
A.2.3
A.2.4
A.2.5
A.2.6
A.2.7
A.2.8
A.2.9
A.3
Pozostawienie w jakimkolwiek niezabezpieczonym a w szczególności w
miejscu widocznym, zapisanego hasła dostępu do
bazy danych osobowych i
sieci.
Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania
umożliwiającego dostęp
do bazy danych osobowych przez osoby nie będące pracownikami.
Samodzielne instalowanie
i wykorzystanie nielegalnego oprogramowania
oraz narzędzi służących
do obchodzenia zabezpieczeń w systemach informatycznych.
Zmiana
konfiguracji
sprzętowej oraz programowej systemów oraz
stacji roboczych przez
niepowołane osoby.
Natychmiast zabezpieczyć
notatkę z hasłami w sposób
uniemożliwiający odczyta- Sporządza raport.
nie. Niezwłocznie powiadomić ABI.
Wezwać osobę popełniającą
wymienioną czynność, aby
jej zaniechała. Niezwłocznie
powiadomić ABI.
Wzywa administratora systemu informatyczne w celu
przywrócenia stanu
pierwotnego. Sporządza raport.
Odczytywanie nośników
przed sprawdzeniem ich
programem antywirusowym.
Pouczyć osobę popełniającą
zaczęła stosować się do
wymogów bezpieczeństwa
pracy.
Wzywa administratora systemu informatycznego w celu
wykonania kontroli
antywirusowej. Sporządza raport.
Wykorzystanie ogólnodostępnych serwisów pocztowych (np. Wirtualna
Polska, Onet.pl, o2.pl)w
celach służbowych.
Wykorzystanie służbowej
poczty elektronicznej do
celów prywatnych.
jej zaniechała. Niezwłocznie Sporządza raport.
powiadomić ABI.
Wezwać osobę nieuprawnioną do opuszczenia stanowiska pracy. Ustalić jakie
czynności zostały wykonane
przez osobę nieuprawnioną
Niezwłocznie powiadomić
ABI.
powiadomić ABI.
Sporządza raport.
Wzywa administratora systemu informatycznego w celu
odinstalowania programów.
Sporządza raport.
wymienioną czynność, aby Sporządza raport.
powiadomić ABI.
W zakresie dokumentów i obrazów zawierające dane osobowe
Strona 5 z 15
Pozostawienie dokumen- Zabezpieczyć dokumenty.
tów w otwartych pomiesz- Przekazać informację do
czeniach bez nadzoru.
ABI.
Przyjmuje informację od kierownika
komórki organizacyjnej
Spowodować poprawienie
zabezpieczeń. Przekazać
informacje do ABI.
Przyjmuje raport od
kierownika komórki
organizacyjnej.
A.3.1
A.3.2
.
A.3.3
A.3.4
A.3.5
A.3.6
A.3.7
A.4
A.4.1
Przechowywanie dokumentów zabezpieczonych
w niedostatecznym stopniu przed dostępem osób
niepowołanych.
Wyrzucanie dokumentów
w stopniu zniszczenia
umożliwiającym ich odczytanie.
Dopuszczenie do kopiowania dokumentów i utraty kontroli nad kopią.
Dopuszczenie aby inne
osoby odczytywały zawartość ekranu monitora, na
którym wyświetlane są
dane osobowe.
Sporządzanie kopii danych na nośnikach danych
w sytuacji nie przewidzianych procedurą.
Utrata kontroli nad kopią
danych osobowych.
Zabezpieczyć niewłaściwie Przyjmuje raport od
zniszczone dokumenty. Spo- kierownika komórki
rządzić raport.
organizacyjnej.
Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. powiadomić
ABI. Sporządzić raport.
Wezwać
nieuprawniona
osobę odczytującą dane do
zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane –
sporządzić raport.
Spowodować zaprzestanie
kopiowania. Odzyskać i
zabezpieczyć wykonaną
kopię. Powiadomić ABI.
Podjąć próbę odzyskania
kopii. Powiadomić ABI.
Przyjmuje raport od
kierownika komórki
organizacyjnej.
Przyjmuje raport od
kierownika komórki
organizacyjnej.
jednostki organizacyjnej.
Przyjmuje informacje raport od kierownika komórki
organizacyjnej.
W zakresie pomieszczeń i infrastruktury służących do przetwarzania danych osobowych
Opuszczenie i pozosta- Zabezpieczyć (zamknąć)
wienie bez dozoru nieza- pomieszczenie. Sporządzić
mkniętego pomieszczenia, raport.
w którym zlokalizowany
jest sprzęt komputerowy
używany do przetwarzania
danych osobowych, co
stwarza ryzyko dokonania
na sprzęcie lub oprogramowaniu
modyfikacji
zagrażających bezpieczeństwu danych osobowych.
Przyjmuje raport od
kierownika komórki
organizacyjnej.
Strona 6 z 15
A.4.2
A.4.3
A.4.4
Wpuszczenie do pomieszczenia osób nieznanych i
dopuszczenie ich do kontaktu ze sprzętem komputerowym.
Wezwać osoby bezprawnie Przyjmuje raport od
przebywające w pomiesz- kierownika komórki
czeniach do ich opuszczenia, organizacyjnej.
próbować ustalić ich tożsamość. ABI. Sporządzić raport.
Dopuszczenie, aby osoby
spoza służb informatycznych i telekomunikacyjnych podłączały jakiejkolwiek urządzenia do
sieci komputerowej, demontowały elementy obudów do gniazd i torów
kablowych lub dokonywały jakichkolwiek manipulacji.
Wezwać osoby dokonujące Przyjmuje raport od
zakazanych czynności do kierownika komórki
ich zaprzestania. Postarać organizacyjnej.
się ustalić ich tożsamość.
Powiadomić służby informatyczne i ABI. Sporządzić
raport.
Pozostawienie otwartych Zabezpieczyć (zamknąć)
okien, drzwi po zakończe- pomieszczenie. Sporządzić
niu pracy.
raport.
Pożar, zalanie.
A.4.5
A.4.6
A.4.7
A.4.8
A.4.9
A.4.10
Nieprzestrzeganie polityki
czystego biurka oraz czystego ekranu
Pozostawienie dokumentów w koszu na śmieci.
Pozostawienie wydruków
na ogólnodostępne drukarce.
Nieautoryzowane wykonanie kopii klucza do pomieszczeń biurowych.
Wyniesienie kluczy od
pomieszczeń biurowych
po zakończonej pracy.
Przyjmuje raport od
kierownika komórki
organizacyjnej.
Podjąć próbę odzyskania Przyjmuje informadokumentacji i sprzętu. Po- cje od kierownika
wiadomić ABI.
jednostki organizacyjnej.
Wezwać osobę popełniającą Sporządza raport.
powiadomić ABI.
Zabezpieczyć dokumenty.
Przyjmuje informaPrzekazać informację do
cję od kierownika
ABI.
komórki organizacyjnej.
Zabezpieczyć dokumenty.
Przyjmuje informaPrzekazać informację do
cję od kierownika
ABI.
powiadomić ABI
powiadomić ABI
Strona 7 z 15
A.5
A.5.1
A.5.2
W zakresie pomieszczeń w których znajdują się komputery centralne
i urządzenia sieci
Dopuszczenie lub ignorowanie faktu, że osoby
spoza służb informatycznych i telekomunikacyjnych dokonują jakiejkolwiek manipulacji przy
urządzeniach lub okablowaniach sieci komputerowej w miejscach publicznych (hole, korytarze, itp)
Dopuszczenie do znalezienia się w
pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej
osób spoza służb informatycznych i telekomunikacyjnych lub ignorowania
takiego faktu .
Wezwać osoby dokonujące
zakazanych czynności do
ich zaprzestania i ew.
opuszczenia pomieszczeń.
Postarać się ustalić ich tożsamość. Powiadomić służby
informatyczne i ABI.
zakazanych czynności do
ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich
tożsamość.
Powiadomić
służby informatyczne i ABI.
Przyjmuje informacje od
kierownika komórki
organizacyjnej.
B
Zjawiska świadczące o możliwości naruszenia ochrony danych osobowych
B.1
B.2
B.3
B.4
Ślady manipulacji przy Powiadomić
niezwłocznie
układach sieci kompute- ABI oraz służby informatyczrowej lub komputerach.
ne. Nie używać sprzętu ani
oprogramowania do czasu
wyjaśnienia sytuacji.
Przyjmuje
informacje od kierownika komórki organizacyjnej. Sporządza raport.
Obecność nowych kabli o Powiadomić
niezwłocznie
nieznanym przeznaczeniu ABI oraz służby informatyczlub pochodzeniu.
Niezapowiedziane zmiany Powiadomić
niezwłocznie
w wyglądzie lub zacho- ABI oraz służby informatyczwaniu aplikacji służącej ne. Nie używać sprzętu ani
do przetwarzania danych oprogramowania do czasu
osobowych.
Przyjmuje
Przyjmuje
Nieoczekiwane, nie dające Powiadomić
niezwłocznie
się wyjaśnić, zmiany za- służby informatyczne. Nie
wartości bazy danych.
używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji.
Przyjmuje
informacje od kierownika komórki organizacyjnej.
Strona 8 z 15
B.5
B.6
.
Obecność nowych programów w komputerze lub
inne zmiany w konfiguracji oprogramowania
Powiadomić
niezwłocznie
ABI oraz służby informatyczne. Nie używać sprzętu ani
Przyjmuje informacje od kierownika komórki organizacyjnej. Sporządza raport.
Ślady włamania do po- Postępować zgodnie z włamieszczeń, w których ściwymi przepisami. Powiaprzetwarzane są dane oso- domić niezwłocznie ABI.
bowe
B.7
Zidentyfikowano środek
przetwarzający informacje
nieznanego pochodzenia
(sprzęt, nośnik.)
Powiadomić
niezwłocznie
B.8
Wykorzystano niezinwentaryzowany środek przetwarzania informacji (nie
będący własnością pracodawcy).
Przechowywanie haseł w
niewłaściwy sposób.
Powiadomić
niezwłocznie
wymienioną czynność, aby jej
zaniechała.
Niezwłocznie
powiadomić ABI.
B.9
B.10
Przekazywanie haseł in- Wezwać osobę popełniającą
nym osobom.
wymienioną czynność, aby jej
zaniechała.
Niezwłocznie
powiadomić ABI.
B.11
Pojawienie się nieautory- Powiadomić
niezwłocznie
zowanej informacji na służby informatyczne. Nie
stronie internetowej.
Niewłaściwe niszczenie Wezwać osobę popełniającą
nośników z danymi po- wymienioną czynność, aby jej
zwalającymi na ich od- zaniechała.
Niezwłocznie
czyt.
powiadomić ABI
B.12
B.13
Wykorzystanie
służbowych środków przetwarzania informacji do celów
prywatnych.
Powiadomić niezwłocznie
wyjaśnienia sytuacji
Przyjmuje
przywrócenia stanu
pierwotnego. Sporządza raport
przywrócenia stanu
Przyjmuje
przywrócenia stanu
Sporządza raport.
Strona 9 z 15
Nadmierne uprawnienia w Powiadomić
niezwłocznie
systemach w stosunku do ABI oraz służby informatyczwykonywanej pracy.
Nieuprawniona
zmiana Wezwać osobę popełniającą
danych lub ich uszkodze- wymienioną czynność, aby jej
nie.
zaniechała.
Niezwłocznie
powiadomić ABI.
Fizyczne zniszczenie lub
Powiadomić niezwłocznie
uszkodzenie sprzętu oraz
ABI oraz służby informatycznośników przetwarzająne. Nie używać sprzętu ani
cych informacje
Przyjmuje
Sporządza raport.
Sporządza raport.
B.17
Kradzież sprzętu przetwarzającego informacje.
Niezwłocznie powiadomić
ABI oraz służby informatyczne.
Przyjmuje
B.18
Błędy w obsłudze i konserwacji sprzętu komputerowego służącego do przetwarzania informacji.
Powiadomić
niezwłocznie
Przyjmuje
B.19
W wyniku rozwiązania
umowy z pracownikiem
nie podjęto działań związanych z odebraniem
uprawnień
Powiadomić
niezwłocznie
służby informatyczne. Nie
Przyjmuje
B.20
Nieuprawniony dostęp do
strefy administracyjnej.
zakazanych czynności do ich
zaprzestania. Postarać się
ustalić ich tożsamość. Powiadomić służby informatyczne i
ABI. Sporządzić raport.
Przyjmuje raport
od kierownika komórki organizacyjnej.
B.14
B.15
B.16
Przyjmuje
C
Formy naruszenia ochrony danych osobowych przez obsługę informatyczną w kontaktach z użytkownikiem
C.1
Próba uzyskania hasła Powiadomić ABI.
uprawniającego
do
dostępu do danych
osobowych w ramach
pomocy technicznej.
Przyjmuje informacje od kierownika komórki organizacyjnej.
Strona 10 z 15
C.2
C.3
C.4
Próba nieuzasadnionego
przeglądania
(modyfikowania) w
ramach pomocy technicznej danych osobowych za pomocą
aplikacji w bazie danych identyfikatorem
i hasłem użytkownika.
Nie wykonanie kopii
zapasowych
Powiadomić ABI. Sporządzić Przyjmuje raport
raport.
Powiadomić ABI. Sporządzić Przyjmuje raport
raport.
Nie zweryfikowanie Powiadomić ABI. Sporządzić Przyjmuje raport
możliwości odtwo- raport.
od kierownika korzenia danych z kopii
mórki organizacyjzapasowych.
nej.
Strona 11 z 15
Zał. nr 2
Raport z incydentu
naruszającego bezpieczeństwo danych osobowych ze względu na poufność,
dostępność i integralność
Sporządzający raport
Imię i nazwisko
stanowisko (funkcja)
Dział, pokój nr
Kod formy naruszenia ochrony danych .............. (wg tabeli)
1) Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.):
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do naruszenia
ochrony danych osobowych):
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
3) Osoby , które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych:
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
4) Informacje o danych, które zostały lub mogły zostać ujawnione:
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem:
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
6) Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania korekcyjne, korygujące, zapobiegawcze):
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
Data:.............................
Podpis:
Strona 12 z 15
Zał. nr 3
Raport z zagrożenia
bezpieczeństwo danych osobowych
Sporządzający raport
Imię i nazwisko
stanowisko (funkcja)
Dział, pokój nr
Kod formy zagrożenia ochrony danych .............. (wg tabeli)
1) Miejsce, dokładny czas i data stwierdzenia zagrożenia ochrony danych osobowych (piętro, nr pokoju, godzina, itp.):
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
2) Osoby powodujące naruszenie (które swoim działaniem lub zaniechaniem przyczyniły się do zagrożenia
ochrony danych osobowych):
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
3) Osoby , które uczestniczyły w zdarzeniu związanym z zagrożeniem ochrony danych osobowych:
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
4) Informacje o danych, które mogły zostać ujawnione:
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
5) Zabezpieczone materiały lub inne dowody związane z wydarzeniem:
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
6) Krótki opis wydarzenia związanego z zagrożeniem ochrony danych osobowych (przebieg zdarzenia, opis
zachowania uczestników, podjęte działania zapobiegawcze):
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
Data:.............................
Podpis:
Strona 13 z 15
Zał. nr 4
Rejestr incydentów i zagrożeń
Nr raportu
Zagrożenia/incyde
ntu
Kod formy
naruszenia
Osoba
zgłaszająca
Powodująca
naruszenie
Podjęte działania
zapobiegawcze
korygujące
Wyniki podjętych
działań
korekcyjne
Data zamknięcia
zagrożenia/
incydentu
Uwagi
Strona 14 z 15
Zał. nr 5
Raport
z przeglądu zagrożeń/incydentów bezpieczeństwa danych osobowych
Nr przeglądu
RAPORT Z PRZEGLĄDU ZAGROŻEŃ/INCYDENTÓW
Data sporządzenia raportu
Data przeprowadzenia przeglądu
Podsumowanie wyników przeglądu:
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
Spostrzeżenia służące doskonaleniu:
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………….
Załączniki do raportu:
……………………………………..
Sporządził
……………………………………….
Zatwierdził
Strona 15 z 15

Strona 1 z 15 Załącznik nr 7 do Instrukcji Zarządzania Systemem

Transkrypt

Podobne dokumenty

procedury postępowania – uczeń pod wpływem narkotyków /alkoholu

Specyfikacje - ABi MEDIA HOLDINGS

Agenda ()

KT 01_19 ODO OM

Załącznik Nr 2 do Zarządzenia Nr 694/15

Audyt bezpieczeństwa informacji w pracy placówki edukacyjnej

Program szkolenia

pobierz teraz

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI (ABI) Partner

Warszawa, dnia……………….. WNIOSEK W SPRAWIE