Polityka bezpieczeństwa informacji - Biuletyn Informacji Publicznej

Transkrypt

Załącznik nr 1 do zarządzenia
Prezydenta Miasta Jastrzębie-Zdrój
nr Or.IV.0050.612.2015
z dnia 18 listopada 2015 roku
Urząd Miasta Jastrzębie-Zdrój
Polityka
bezpieczeństwa
informacji w
tym danych
osobowych
Polityka bezpieczeństwa informacji w tym danych osobowych
1
13 listopad 2015
Historia dokumentu
Lp
Data
Wersja
Osoba
Opis wykonanych prac
1
26 maja 2008
2.0
Mirosław Klimala
Opracowanie nowej wersji
dokumentu
2
24 czerwca 2008
2.1
Mirosław Klimala
Aktualizacja dokumentu
3
28 listopada 2014 2.2
Grzegorz Dulemba
4
13 listopad 2015
Grzegorz Dulemba
2.3
strona 2/14
2
13 listopad 2015
Spis treści
1
HISTORIA DOKUMENTU .......................................................................................................................... 2
2
SPIS TREŚCI ............................................................................................................................................. 3
3
PODSTAWA PRAWNA ............................................................................................................................. 5
4
DEFINICJE ................................................................................................................................................ 5
5
ZAANGAŻOWANIE KIEROWNICTWA URZĘDU ........................................................................................ 6
6
CELE POLITYKI BEZPIECZEŃSTWA INFORMACJI ...................................................................................... 6
7
ZAKRES POLITYKI BEZPIECZEŃSTWA INFORMACJI.................................................................................. 6
8
ODPOWIEDZIALNOŚĆ ............................................................................................................................. 7
8.1
ODPOWIEDZIALNOŚĆ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI....................................................... 7
8.2
ODPOWIEDZIALNOŚĆ ADMINISTRATORA SYSTEMU INFORMATYCZNEGO ....................................................... 7
8.3
ODPOWIEDZIALNOŚĆ PRACOWNIKÓW ................................................................................................... 8
9
WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR
PRZETWARZANIA INFORMACJI ............................................................................................................... 8
10
WYKAZ ZBIORÓW INFORMACJI W TYM DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM
PROGRAMÓW ZASTOSOWANYCH DO ICH PRZETWARZANIA ................................................................ 8
11
OPIS STRUKTURY ZBIORÓW INFORMACJI W TYM DANYCH OSOBOWYCH ............................................ 8
12
EWIDENCJA SPRZĘTU KOMPUTEROWEGO STOSOWANEGO DO PRZETWARZANIA INFORMACJI .......... 9
13
OPIS PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI................................................ 9
14
OKREŚLENIE FIZYCZNYCH, TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓW OCHRONY
INFORMACJI ............................................................................................................................................ 9
14.1 ŚRODKI OCHRONY FIZYCZNEJ................................................................................................................ 9
14.2 ŚRODKI ORGANIZACYJNE ..................................................................................................................... 9
14.2.1
Dostęp do pomieszczeń ....................................................................................................... 9
14.2.2
Gospodarka kluczami do pomieszczeń .............................................................................. 10
14.2.3
Organizacja stanowisk pracy............................................................................................. 10
14.2.4
Upoważnienia do przetwarzania informacji w tym danych osobowych ........................... 10
14.2.5
Gospodarka dokumentami papierowymi .......................................................................... 11
14.2.6
Przetwarzanie informacji w tym danych osobowych w systemie informatycznym ........... 12
14.2.7
Naruszenie ochrony informacji .......................................................................................... 12
14.3 ŚRODKI TECHNICZNE ........................................................................................................................ 12
15
14.3.1
Zasilanie ............................................................................................................................ 12
14.3.2
Sieć publiczna Internet ...................................................................................................... 12
14.3.3
Autoryzacja w systemach informatycznych ...................................................................... 12
14.3.4
Oprogramowanie zabezpieczające.................................................................................... 13
14.3.5
Kopie.................................................................................................................................. 13
ZNAJOMOŚĆ POLITYKI BEZPIECZEŃSTWA ............................................................................................ 13
strona 3/14
13 listopad 2015
16
PRZEGLĄD BEZPIECZEŃSTWA, MONITORING ....................................................................................... 13
17
ZASADY WSPÓŁPRACY Z PODMIOTAMI ZEWNĘTRZNYMI .................................................................... 13
17.1 PRZESZKOLENIE I UPOWAŻNIENIA ....................................................................................................... 13
17.2 UMOWY........................................................................................................................................ 14
17.3 BEZPIECZEŃSTWO INFORMACJI W ZARZĄDZANIU PROJEKTAMI ................................................................... 14
18
SPIS ZAŁĄCZNIKÓW .............................................................................................................................. 14
strona 4/14
3
13 listopad 2015
Podstawa prawna
Niniejszy dokument jest zgodny następującymi przepisami prawa:
4
•
Ustawa o ochronie danych osobowych z dnia 1997-08-29 (Dz. U. 1997 Nr 133, poz.
883) tekst jednolity Dz. U. 2014r. poz. 1182
•
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych z dnia 2004-04-29 (Dz. U. 2004 Nr 100, poz. 1024)
•
Przepisy odrębne, na podstawie których Prezydent Miasta jest Administratorem
Danych Osobowych.
Definicje
Ilekroć w dokumencie jest mowa o:
•
Urzędzie – należy przez to rozumieć Urząd Miasta Jastrzębie-Zdrój
•
Administratorze Danych Osobowych (ADO) – należy przez to rozumieć Prezydenta
Miasta Jastrzębie-Zdrój
•
Administratorze Bezpieczeństwa Informacji (ABI) – należy przez to rozumieć osobę
wyznaczoną przez Administratora Danych Osobowych, odpowiedzialną za
nadzorowanie przestrzegania zasad ochrony
•
Administratorze Systemu Informatycznego (ASI) – należy przez to rozumieć osobę
wyznaczoną przez Administratora Danych Osobowych odpowiedzialną za
funkcjonowanie systemu informatycznego Urzędu Miasta
•
Właściciel Zbioru Danych (WZD) – należy przez to rozumieć Naczelnika Wydziału lub
Biura odpowiedzialnego za bieżącą aktualizację zbioru informacji, danych osobowych.
(w przypadku jego nieobecności osoba pełniąca za niego zastępstwo)
•
Użytkowniku – należy przez to rozumieć osobę upoważnioną przez Administratora
Danych Osobowych lub Administratora Bezpieczeństwa Informacji do przetwarzania
informacji. Użytkownikiem może być pracownik Urzędu, osoba wykonująca pracę
na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca
staż lub praktyki
•
Poufności danych – należy rozumieć właściwość zapewniającą, że dane są
przetwarzane tylko i wyłącznie przez uprawnione do tego podmioty lub procesy
•
Integralności danych – należy rozumieć właściwość danych polegającą zapewnieniu
stanu niezmienności, poprawności i wewnętrznej spójności
•
Dostępności danych – należy rozumieć właściwość polegającą na zapewnieniu
możliwości niezakłóconego przetwarzania danych w wybranym przez podmiot
momencie czasu
•
Rozliczalności danych – należy przez to rozumieć właściwość danych zapewniającą
możliwość jednoznacznego przypisania podmiotowi lub procesowi działań na danych
strona 5/14
•
5
13 listopad 2015
Bezpieczeństwo danych – zapewnienie przetwarzanym danym takich cech jak:
poufność, integralność, dostępność oraz rozliczalność
Zaangażowanie Kierownictwa Urzędu
Najwyższe Kierownictwo Urzędu deklaruje swoje zaangażowanie i odpowiedzialność
za wdrożenie, sprawne działanie oraz doskonalenie systemu ochrony informacji
przetwarzanych w Urzędzie. W tym celu:
•
•
•
•
6
ustanawia i poleca pracownikom do stosowania „Politykę bezpieczeństwa informacji
w tym danych osobowych”,
wyznacza Administratora Bezpieczeństwa Informacji (ABI) i Administratora Systemu
Informatycznego (ASI),
zapewnia dostępność zasobów koniecznych do realizacji zadań związanych z ochroną
informacji,
systematycznie przeprowadza przegląd bezpieczeństwa.
Cele Polityki bezpieczeństwa informacji
Informacje, a w tym dane osobowe przetwarzane są w Urzędzie Miasta w Jastrzębiu Zdroju
z poszanowaniem przepisów prawa w celu:
•
•
•
realizacji zadań własnych miasta,
realizacji zadań zleconych,
zapewnienia prawidłowej, zgodnej z prawem polityki personalnej oraz bieżącej obsługi
stosunków pracy, a także innych stosunków zatrudnienia.
Celem opracowania i stosowania Polityki bezpieczeństwa informacji jest zapewnienie
bezpieczeństwa przetwarzanych w Urzędzie informacji.
7
Zakres Polityki bezpieczeństwa informacji
Polityka bezpieczeństwa informacji opisuje zagadnienia związane z bezpieczeństwem
informacji przetwarzanych w Urzędzie zarówno w zbiorach:
•
•
tradycyjnych – w postaci papierowej,
elektronicznych – przetwarzanych w systemach informatycznych.
Do stosowania Polityki bezpieczeństwa informacji zobowiązani są wszyscy pracownicy
mający jakikolwiek dostęp do informacji, w tym praktykanci, stażyści, osoby zatrudnione na
podstawie umów cywilno-prawnych oraz pracownicy firm zewnętrznych wykonujących prace
zlecone.
Zasady ochrony danych opisane w niniejszym dokumencie mogą być stosowane przy
przetwarzaniu informacji nie zawierających danych osobowych, ale istotnych dla
prawidłowego funkcjonowania Urzędu.
strona 6/14
8
13 listopad 2015
Odpowiedzialność
8.1
Odpowiedzialność Administratora Bezpieczeństwa Informacji
W imieniu Administratora Danych Osobowych nadzór nad przestrzeganiem zasad ochrony
sprawuje Administrator Bezpieczeństwa Informacji. Odpowiada on za:
•
•
•
•
•
•
•
•
•
•
•
•
•
8.2
zapewnienie, aby do informacji miały dostęp wyłącznie osoby upoważnione w zakresie
wykonywanych zadań,
zarządzanie uprawnieniami do przetwarzania informacji w imieniu Administratora
Danych Osobowych,
prowadzenie rejestru wydanych upoważnień do przetwarzania informacji, w tym
danych osobowych
zlecanie modyfikacji uprawnień w systemach informatycznych w przypadku odebrania
lub zmiany upoważnienia do przetwarzania informacji,
nadzór fizycznych i technicznych zabezpieczeń pomieszczeń stanowiących obszar
przetwarzania informacji oraz kontrolę przebywających w nich osób,
prowadzenie rejestru wydanych upoważnień do odbioru kluczy i kart dostępowych,
nadzór nad realizacją zasad ochrony danych określonych w dokumentacji
bezpieczeństwa,
nadzór na obiegiem oraz przechowywaniem dokumentów zawierających dane
osobowe,
szkolenie osób dopuszczonych do przetwarzania informacji z zakresu przepisów prawa
oraz uregulowań wewnętrznych w zakresie bezpieczeństwa informacji,
nadzór nad zgłoszeniami zbiorów danych osobowych do Generalnego Inspektora
Ochrony Informacji,
aktualizacja dokumentacji bezpieczeństwa, w tym przygotowywanie instrukcji
i procedur,
w przypadku zgłoszenia naruszenia bezpieczeństwa informacji: doraźne zabezpieczenie
danych, zabezpieczenie dowodów, analizę sytuacji, okoliczności i przyczyn, które
doprowadziły do naruszenia bezpieczeństwa danych oraz przygotowanie dla
Administratora Danych Osobowych stosownego raportu,
okresowe przeprowadzanie przeglądu bezpieczeństwa.
Odpowiedzialność Administratora Systemu Informatycznego
Administrator Systemu Informatycznego odpowiada za poprawne funkcjonowanie systemu
informatycznego Urzędu oraz stosowanie technicznych środków ochrony informacji.
W szczególności odpowiada za:
•
•
•
•
•
nadzór nad wykonywaniem kopii zapasowych, sposobem ich przechowywana,
weryfikacją,
nadzór nad wykonywaniem przeglądów, konserwacji oraz uaktualnień systemów
informatycznych służących do przetwarzania informacji oraz wszystkich innych
czynności na bazach informacji,
zapewnienie
poprawnego
działania
systemów
zabezpieczeń
systemów
informatycznych, sieci komputerowej, systemów zapasowego zasilania itp.,
nadzór nad prawidłowością funkcjonowania systemów autoryzacji użytkowników
w systemie informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do
informacji,
podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego
w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu
strona 7/14
•
8.3
13 listopad 2015
informatycznego lub informacji o zmianach w sposobie działania programu lub
urządzeń wskazujących na naruszenie bezpieczeństwa informacji.
aktualizacja instrukcji zarządzania systemem informatycznym
Odpowiedzialność pracowników
Każdy pracownik przetwarzający informacje jest zobowiązany do:
•
•
•
9
posiadania upoważnienia do przetwarzania informacji, w tym danych osobowych w
związku z wykonywaniem swojego zakresu czynności,
zapoznania się i stosowania obowiązujących przepisów dotyczących ochrony informacji
(w tym dokumentacji bezpieczeństwa)
niezwłocznego informowania przełożonych lub ABI o stwierdzeniu lub o powzięciu
podejrzenia o naruszeniu bezpieczeństwa informacji.
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących
obszar przetwarzania informacji
Obszar przetwarzania informacji stanowią budynki Urzędu Miasta Jastrzębie-Zdrój:
•
•
•
•
Siedziba główna Urzędu Miasta - al. Piłsudskiego 60
Siedziba Urzędu Stanu Cywilnego – ul. Zielona 20B
Siedziba Wydziału Spraw Rodzinnych i Alimentacyjnych - ul. Zielona 20A
Siedziba Jastrzębskiego Centrum Organizacji Pozarządowych – ul. Wrzosowa 12 A
Szczegółowy wykaz pomieszczeń, w których przetwarza się informacje zawiera
załącznik nr 1 do niniejszego dokumentu.
Naczelnicy Wydziałów i Biur informują niezwłocznie Administratora Bezpieczeństwa
Informacji o zmianach powodujących konieczność aktualizacji powyższego wykazu.
10 Wykaz zbiorów informacji w tym danych osobowych wraz ze
wskazaniem programów zastosowanych do ich przetwarzania
Wykaz zbiorów informacji w tym danych osobowych wraz ze wskazaniem programów do
ich przetwarzania zawiera załącznik nr 2 do niniejszego dokumentu.
11 Opis struktury zbiorów informacji w tym danych osobowych
Opisu struktury zbiorów informacji w tym danych osobowych wskazujący zawartość
poszczególnych pól informacyjnych oraz powiązania między nimi zawiera załącznik nr 3 do
niniejszego dokumentu.
strona 8/14
13 listopad 2015
12 Ewidencja sprzętu komputerowego stosowanego do przetwarzania
informacji
W Urzędzie prowadzi się w postaci elektronicznej ewidencję sprzętu komputerowego oraz
oprogramowania stosowanego w Urzędzie do przetwarzania informacji. Za prowadzenie
powyższej ewidencji odpowiada Administrator Systemu Informatycznego.
13 Opis przepływu danych pomiędzy poszczególnymi systemami
Opis przepływu danych pomiędzy
w załączniku nr 4 do niniejszego dokumentu.
poszczególnymi
systemami
znajduje
się
14 Określenie fizycznych, technicznych i organizacyjnych środków ochrony
informacji
W Urzędzie stosuje się środki bezpieczeństwa adekwatne dla wysokiego poziomu
bezpieczeństwa przetwarzania informacji w tym danych osobowych w systemie
informatycznym określonego w załączniku nr 1 do Rozporządzenia Ministra Spraw
Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych z dnia 2004-04-29 (Dz. U. 2004 Nr
100, poz. 1024)
14.1 Środki ochrony fizycznej
Budynki Urzędu, w których znajdują się pomieszczenia stanowiące obszar przetwarzania
informacji są pod całodobowym nadzorem Straży Miejskiej wyposażonej w system
monitoringu wizyjnego. Wszystkie pomieszczenia oraz budynki są zamykane po zakończeniu
pracy.
Urządzenia służące do przetwarzania informacji znajdują się w pomieszczeniach
zabezpieczonych zamkami patentowymi. Pomieszczenie, w którym znajdują się jednostki
centralne (serwery) wyposażone są dodatkowo w zamki elektroniczne oraz drzwi wzmacniane
i systemy alarmowe.
Rezerwowe kopie danych przechowywane są w pomieszczeniu
zabezpieczonym dwoma zamkami patentowymi, w zamykanej szafie.
zamkniętym,
Dokumenty papierowe zawierające informacje w tym dane osobowe przechowywane są
w meblach biurowych (szafach, szufladach biurek), a tam gdzie to możliwe, w szafach
metalowych lub pancernych, które po zakończeniu pracy są zamykane, a klucze do nich
odpowiednio zabezpieczone przed nieupoważnionym dostępem.
14.2 Środki organizacyjne
14.2.1 Dostęp do pomieszczeń
Pomieszczenia tworzące obszar przetwarzania informacji, na czas nieobecności w nich
osób zatrudnionych przy przetwarzaniu danych powinny być zamykane w sposób
uniemożliwiający dostęp osób postronnych. Zakazuje się pozostawiania otwartych
pomieszczeń podczas nieobecności pracowników.
strona 9/14
13 listopad 2015
Przebywanie osób nieuprawnionych w pomieszczeniach tworzących obszar przetwarzania
informacji dopuszczalne jest tylko w obecności osoby zatrudnionej przy przetwarzaniu danych,
Administratora Bezpieczeństwa Informacji lub osoby przez niego wyznaczonej.
Do przebywania w pomieszczeniu serwerowni, w którym znajdują się jednostki centralne
systemów informatycznych uprawnieni są: Administrator Danych Osobowych, Administrator
Bezpieczeństwa Informacji, Administrator Systemu Informatycznego, pracownicy Wydziału
Informatyki. Przebywanie osób nieuprawnionych (np. konserwator, sprzątaczka)
w pomieszczeniu serwerowni dopuszczalne jest tylko w obecności osób uprawnionych,
o których mowa powyżej lub w obecności osoby upoważnionej pisemnie przez Administratora
Danych Osobowych lub Administratora Bezpieczeństwa Informacji.
Po zakończeniu wyznaczonych godzin pracy Urzędu zabrania się przebywania na jego
terenie osób nie będących jego pracownikami, za wyjątkiem osób wykonujących prace zlecone
umowami i posiadających pisemną zgodę Sekretarza Miasta, wydawaną na wniosek osoby
zlecającej pracę. Zaakceptowany wniosek należy dostarczyć portierowi oraz dyżurnemu
Miejskiego Ośrodka Dyżurnego.
14.2.2 Gospodarka kluczami do pomieszczeń
Klucze oraz klucze zapasowe do pomieszczeń przechowywane są w portierni budynku
Urzędu w przeznaczonych do tego celu zamykanych kasetach. Klucze muszą być jednoznacznie
i trwale oznaczone numerem pomieszczenia. Po zakończeniu pracy Użytkownicy zdają klucze
do portierni lub do specjalnej skrytki na klucze.
Klucze wydawane są tylko pracownikom posiadającym stosowne upoważnienia wydane
przez ABI na wniosek Naczelników Wydziałów i Biur. Rejestr upoważnień do odbioru kluczy
prowadzi ABI. Aktualna kopia rejestru do wglądu portiera znajduje się na portierni.
Klucze dla personelu sprzątającego wydawane są zgodnie z harmonogramem pracy
ustalonym przez Naczelnika Wydziału Organizacyjnego.
Zabrania się wykonywania nieautoryzowanych kopii kluczy umożliwiających dostęp
do pomieszczeń Urzędu. Szczegółowe uregulowania dotyczące zarządzania kluczami zawiera
Procedura nadzoru i gospodarki kluczami wydana odrębnym zarządzeniem Prezydenta Miasta.
Wzory wniosków o nadanie i odwołanie upoważnienia do obioru kluczy do pomieszczeń
zawiera załącznik nr 5 do niniejszej Polityki.
14.2.3 Organizacja stanowisk pracy
Stanowiska pracy w powinny być zorganizowane w taki sposób, aby podczas przebywania
w pomieszczeniach osób nieuprawnionych uniemożliwić im nieautoryzowany dostęp
do informacji zawartych w dokumentach papierowych, wykonywanych wydrukach
komputerowych czy prezentowanych na monitorach komputerowych.
Obowiązuje zasada tzw. „czystego biurka”. Po zakończeniu pracy wszystkie dokumenty
zawierające informacje w tym dane osobowe i informacje wrażliwe należy umieścić
w przeznaczonych do tego zamykanych na klucz szafach, szufladach, kasetach. Klucze należy
zabezpieczyć przed dostępem osób niepowołanych.
14.2.4 Upoważnienia do przetwarzania informacji w tym danych osobowych
Informacje, w tym dane osobowe mogą być przetwarzane jedynie przez użytkowników
posiadające stosowne upoważnienia.
strona 10/14
13 listopad 2015
Upoważnienie do przetwarzania informacji w tym danych osobowych nadawane jest
użytkownikom przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa
Informacji na wniosek Naczelnika Wydziału.
Wnioski o nadanie upoważnienia do przetwarzania danych osobowych w zbiorach winny
zawierać zgodę Właścicieli tych zbiorów (wnioski o nadanie upoważnienia do przetwarzania
informacji, w tym danych osobowych w aplikacjach winny zawierać zgodę Właścicieli tych
aplikacji).
Odwołanie upoważnienia dla użytkowników dokonywane jest na wniosek Naczelnika
Wydziału przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa
Informacji.
Upoważnienia dla Zastępców Prezydenta, Sekretarza Miasta, Skarbnika oraz Doradców
i Asystentów Prezydenta są nadawane i odwoływane przez Administratora Danych Osobowych
na ich wniosek.
Upoważnienia dla Naczelników wydziałów i biur są nadawane i odwoływane (na ich
wniosek) przez Administratora Danych Osobowych lub Administratora Bezpieczeństwa
Informacji.
Warunkiem upoważnienia użytkownika do przetwarzania informacji w tym danych
osobowych jest odbycie przez niego przeszkolenia z zakresu ochrony danych, zapoznanie się
z dokumentacją bezpieczeństwa oraz podpisanie oświadczenia o poufności.
Upoważnienie do przetwarzania informacji w tym danych osobowych ma formę pisemną
i w szczególności zawiera: podstawę prawną, nazwisko i imię użytkownika, określenie zbiorów
danych osobowych, aplikacji, poziom uprawnień (administracja, edycja, wgląd), datę nadania,
termin ważności, podpis upoważniającego. Upoważnienie może zawierać również
zobowiązanie użytkownika do przetwarzania danych osobowych w sposób zapewniający
bezpieczeństwo informacji. Użytkownik potwierdza przyjęcie upoważnienia.
Upoważnienie traci ważność po upływie terminu na jaki zostało nadane, w momencie
ustania zatrudnienia, zmiany stanowiska pracy, wygaśnięcia (lub skrócenia okresu trwania)
umowy cywilnoprawnej. W przypadku porzucenia pracy Naczelnik Wydziału ma obowiązek
niezwłocznego poinformowania o tym fakcie Wydział Informatyki i Biuro ds. Zarządzania
Jakością w celu odwołania nadanych użytkownikowi upoważnień.
Administrator Bezpieczeństwa Informacji prowadzi elektroniczny „Rejestr osób
upoważnionych do przetwarzania informacji w tym danych osobowych”, w którym
odnotowuje każdorazowo fakty nadania i odwołania upoważnień użytkownikom.
Fakt nadania odnotowuje się w ww. rejestrze po nadaniu upoważnienia, natomiast
odwołanie upoważnienia odnotowuje się po jego faktycznym odwołaniu, lub w przypadku
wygaśnięcia upoważnienia w związku z ustaniem zatrudnienia, zmianą stanowiska pracy lub
wygaśnięciem (lub skróceniem okresu trwania) umowy cywilnoprawnej użytkownika na
podstawie karty obiegowej.
Wzory wniosku o nadanie i odwołanie upoważnienia zawiera załącznik nr 5 do niniejszego
dokumentu.
14.2.5 Gospodarka dokumentami papierowymi
Zbędne, przeznaczone do wyrzucenia dokumenty papierowe, wydruki i ich kopie należy
niezwłocznie niszczyć w odpowiednich niszczarkach lub zlecać zniszczenie wyspecjalizowanej
strona 11/14
13 listopad 2015
firmie. W szczególności zabrania się usuwania takich dokumentów przez wyrzucenie ich do
kosza na odpadki.
14.2.6 Przetwarzanie informacji w tym danych osobowych w systemie
informatycznym
Stosowane środki ochrony przy przetwarzaniu informacji w tym danych osobowych
w systemie informatycznych opisuje „Instrukcja zarządzania systemem informatycznym”
wprowadzona odrębnym zarządzeniem Prezydenta Miasta.
14.2.7 Naruszenie ochrony informacji
W przypadku stwierdzenia naruszenia zasad ochrony informacji stosuje się „Procedurę
postępowania w przypadku naruszenia zasad bezpieczeństwa informacji” wprowadzona
odrębnym zarządzeniem Prezydenta Miasta.
14.3 Środki techniczne
14.3.1 Zasilanie
Urządzenia techniczne wchodzące w skład lokalnej sieci komputerowej podłączone są do
gniazd wydzielonej sieci zasilania. Zabrania się podłączania nieautoryzowanych urządzeń (np.
czajników bezprzewodowych, radioodbiorników itp.) do gniazd zasilających urządzenia
komputerowe.
Jednostki centralne (serwery), urządzenia aktywne lokalnej sieci komputerowej
obowiązkowo zabezpieczone są na wypadek zaniku napięcia zasilającego za pomocą wysokiej
klasy zasilaczy awaryjnych UPS.
Stacje robocze zabezpiecza się za pomocą zasilaczy awaryjnych w tych systemach, gdzie
zanik napięcia zasilającego mógłby potencjalnie spowodować powstanie zagrożenia dla
przetwarzanych informacji.
14.3.2 Sieć publiczna Internet
Pracownicy Urzędu mają zapewniony dostęp do sieci publicznej Internet w celu realizacji
obowiązków służbowych. Dostęp do usług sieci publicznej Internet podlega reglamentacji
i kontroli za pomocą specjalistycznych urządzeń technicznych.
Szczegółowe zasady przydziału uprawnień oraz zasad realizacji połączeń z siecią publiczną
Internet zawiera „Instrukcja Zarządzania Systemem Informatycznym.”
14.3.3 Autoryzacja w systemach informatycznych
Wszystkie serwery oraz stacje robocze wyposażone są w oprogramowanie systemowe
posiadające mechanizmy identyfikacji i autoryzacji operatora oraz związane z nimi
mechanizmy przydziału odpowiednich uprawnień do pracy w systemie informatycznym. W
Urzędzie użytkownikami uprzywilejowanymi w zakresie dostępu do systemów i usług są
pracownicy Wydziału Informatyki.
Szczegółowe zasady autoryzacji w systemach informatycznych opisano w „Instrukcji
Zarządzania Systemem Informatycznym”.
strona 12/14
13 listopad 2015
14.3.4 Oprogramowanie zabezpieczające
Serwery oraz stacje robocze chronione są przez zainstalowane na nich programy
antywirusowe, które podlega regularnej aktualizacji. Serwer poczty elektronicznej wyposażony
jest dodatkowo w filtry antyspamowe. Obowiązkowo serwery oraz stacje robocze posiadają
włączone zapory sieciowe.
14.3.5 Kopie
Regularnie wykonuje się kopie bezpieczeństwa systemów informatycznych, w których
przetwarza się informacje w tym dane osobowe. Sposób wykonywania i przechowywania kopii
bezpieczeństwa opisano w „Instrukcji Zarządzania Systemem Informatycznym”.
15 Znajomość polityki bezpieczeństwa
Do zapoznania się z niniejszym dokumentem oraz stosowania zawartych w nim zasad
zobowiązani są wszyscy pracownicy Urzędu.
Okresowo, jednak nie rzadziej niż raz na trzy lata, organizuje się dla pracowników szkolenia
z zakresu bezpieczeństwa informacji w tym danych osobowych.
Każdy nowo przyjęty pracownik przed przystąpieniem do pracy musi odbyć obowiązkowe
szkolenie z zakresu ochrony informacji w tym danych osobowych.
Za organizację szkoleń z zakresu ochrony informacji w tym danych osobowych odpowiada
ABI.
16 Przegląd bezpieczeństwa, monitoring
Co najmniej raz w roku wykonywany jest w Urzędzie przegląd bezpieczeństwa.
Za wykonanie przeglądu odpowiedzialny jest Administrator Bezpieczeństwa Informacji.
Podczas przeglądu wykonywana jest:
•
•
•
•
analiza raportów z incydentów bezpieczeństwa,
kontrola stosowania procedur bezpieczeństwa,
analiza dokumentacji bezpieczeństwa pod kątem zachowania aktualności,
ewentualna aktualizacja procedur bezpieczeństwa.
Z przeprowadzonego przeglądu bezpieczeństwa Administrator Bezpieczeństwa Informacji
opracowuje raport dla Administratora Danych Osobowych.
17 Zasady współpracy z podmiotami zewnętrznymi
17.1 Przeszkolenie i upoważnienia
Dostęp pracowników podmiotów zewnętrznych do pomieszczeń stanowiących obszar
przetwarzania informacji możliwy jest jedynie po przeszkoleniu z zakresu obowiązujących
rozwiązań z zakresu bezpieczeństwa danych oraz po uzyskaniu odpowiedniego upoważnienia.
Za zapewnienie przeszkolenia odpowiedzialny jest Administrator Bezpieczeństwa
Informacji, który w tym celu udostępnia stronom dokumentację bezpieczeństwa lub jej
odpowiednie fragmenty.
strona 13/14
13 listopad 2015
Po odbytym przeszkoleniu pracownicy firm zewnętrznych podpisują oświadczenia
o zapoznaniu się z obowiązującymi w Urzędzie zasadami ochrony informacji oraz klauzule
o zachowaniu poufności.
17.2 Umowy
Umowy z podmiotami zewnętrznymi powinny zawierać zobowiązania do przestrzegania
wymogów ochrony informacji w tym danych osobowych oraz klauzule o zachowaniu tajemnicy,
o ile w trakcie realizacji tychże umów konieczny będzie dostęp pracowników podmiotów
zewnętrznych do zbiorów danych, ich kopii, systemów informatycznych służących do
przetwarzania informacji, systemów zabezpieczeń.
17.3 Bezpieczeństwo informacji w zarządzaniu projektami
Projekty realizowane w Urzędzie dzielą się na projekty inwestycyjne i projekty Unijne.
Zasady bezpieczeństwa informacji w projektach unijnych uregulowane są w instrukcjach,
umowach i wytycznych do tych projektów. W przypadku projektów inwestycyjnych oraz braku
uregulowań w projektach unijnych, zasady bezpieczeństwa informacji są identyczne jak
w przypadku przetwarzania pozostałej dokumentacji urzędowej.
18 Spis załączników
•
•
•
•
•
Załącznik nr 1 – Obszar przetwarzania danych osobowych
Załącznik nr 2 – Wykaz zbiorów danych osobowych
Załącznik nr 3 – Opis struktury zbiorów danych
Załącznik nr 4 – Opis przepływu danych pomiędzy systemami
Załącznik nr 5 – Wzory wniosków , oświadczeń
Załączniki do polityki zawierają informacje techniczne o charakterze organizacyjnym
i porządkowym, nie mające bezpośredniego wpływu na realizacje zadań publicznych,
podejmowanych rozstrzygnięć czy decyzji administracyjnych. Nie są „informacjami
publicznymi”, w rozumieniu Ustawy o dostępie do informacji publicznej.
strona 14/14

Polityka bezpieczeństwa informacji - Biuletyn Informacji Publicznej

Transkrypt

Podobne dokumenty

Administrator sieci

UPOWAŻNIENIE DO OBRONY

Testowy tekst

Ochrona danych osobowych i etykieta w praktyce powiatowych

Specjalistyczny Szpital im. prof. Alfreda

ZARZĄDZENIE NR 17 / 2015 DYREKTORA MIEJSKIEGO

Informacja o szkoleniu oferta

Zbiór danych osobowych świadczenie wychowawcze Rodzina 500+