Zarządzenie NR 42/2015

Zarzqdzenie Nr 4212015
Starosty Powiatu Ropczycko - S~dziszowskiego
z dnia 26 czerwca 2015r.
w sprawie powolania Administratora Bezpieczeiistwa Informacji oraz wyznaczenia
Administratora Systemu Informatycznego i Lokalnych Administratorow Bezpieczeiistwa
Informacji w Starostwie Powiatowym w Ropczycach
Na podstawie art. 34 ust. 1 i art. 35 ust. 2 ustawy z dnia 5 czerwca 1 9 9 8 ~o samorzqdzie
powiatowym ( tj. Dz. U. z 2013r, poz. 595 z p6in. zm.) oraz art. 36 a ust. 1 ustawy z dnia
29 sierpnia 1 9 9 7 ~o ochronie danych osobowych (0. Dz. U. z 2 0 1 4 ~poz.
, 1182 zp6in. zm.)
@ 1. 1. Powolujq Paniq Dorotq Siorek - Glbwnego specjalistq w Wydziale AdministracyjnoOrganizacyjnym i Kadr na Administratora Bezpieczeiistwa Informacji (ABI) w Starostwie
Powiatowym w Ropczycach.
2. Zakres powierzonych do wykonywania obowiqzk6w ABI okreila zalqcznik nr 1 do niniejszego
zarzqdzenia.
3.W zakresie powierzonych obowiqzkbw ABI podlega bezpoirednio Staroicie.
@ 2. 1,Wyznacza siq Pana Adama Kuliga - Podinspektora w Wydziale AdministracyjnoOrganizacyjnym i Kadr na Administratora Systemu Informatycznego (ASI) w Starostwie
Powiatowym w Ropczycach
2. Zalrres powierzonych do wykonywania obowiqzk6w AS1 okreSla zalqcznik nr 2 do niniejszegc,
zarzqdzenia.
@ 3. 1.Wyznacza siq Pana Jana Czarnika - Kierownika Referatu Powiatowego OSrodka
Dokumentacji Geodezyjnej i Kartograficznej i ZUD na Lokalnego Administratora
Bezpieczenstwa Informacji (LABI) w Wydziale Geodezji i Gospodarki Gruntami oraz Paniq
Boienq Daniel - Kierownika Referatu Komunikacji w Sqdziszowie Mlp. na Lokalnego
Administratora Bezpieczenstwa Informacji (LABI) w Referacie Komunikacji i Biurze
Geodezji i Gospodarki Gruntami w Sqdziszowie Mlp.
2.Zakres powierzonych do wykonywania obowiqzkbw LABI okreSla zalqcznik nr 3 do niniejszego
zarzqdzenia.
@ 4. Traci moc Zarzqdzenie nr 3/20 12 z dnia 3 1 stycznia 20 12 r. oraz Zarzqdzenie Nr 18/2012 z dnia
30 marca 2012 r. Starosty Powiatu Ropczycko - Sqdziszowskiego.
5 5. Zarzqdzenie wchodzi w zycie z dniem podpisania.
Zalqcznik nr 1 do Zarzqdzenie Nr 4212015
Starosty Powiatu Ropczycko - S~dziszowskiego
z dnia 26 czerwca 2015r.
Zakres dzialania Administratora Bezpieczenstwa Informacji (ABI)
Stosowanie Srodkdw technicznych i organizacyjnych zapewniajqcych ochronq przetwarzania
danych odpowiedniq do zagrozen oraz kategorii danych objqtych ochronq, a w szczegolnoSci
zabezpieczenie danych przed ich udostqpnieniem osobom nieupowaznionym, zabraniem przez
osobe
nieupowainionq,
przetwarzaniem
z
naruszeniem
ustawy,
utratq,
uszkodzeniem
lub zniszczeniem.
1. Zapewnianie przestrzegania przepis6w o ochronie danych osobowych, w szczegolnoici przez:
a) sprawdzanie zgodnogci przetwarzania danych osobowych z przepisami o ochronie danych
osobowych oraz opracowanie w tyrn zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokurnentacji, o ktdrej mowa w art. 36 ust. 2,
oraz przestrzegania zasad w niej okreSlonych,
c) zapewnianie zapoznania os6b upowainionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych;
2. Prowadzenie rejestru zbiorow danych przetwarzanych przez administratora danych,
z wyjqtkiem zbior6w, o ktorych mowa w art. 43 ust. 1, zawierajqcego nazwq zbioru oraz informacje,
o kt6rych mowa w art. 4.1 ust. 1 pkt 2-4a i 7.
3. Prowadzenie ewidencji os6b upowainionych do przetwarzania danych osobowych.
Zaiqcznik nr 2 do Zarzqdzenie Nr 4212015
Starosty Powiatu Ropczycko - Sqdziszowskiego
z dnia 26 czenvca 2015r.
Zakres dzialania Administratora Systemu Informatycznego (ASI)
Administrator Systemu Informatycznego, w zakresie zadan wykonywanych dla zapewnienia
systemom bezpieczenstwa, zgodnego z celami i metodologiq wdrozonej polityki bezpieczenstwa
informacji, wspdlpracuje bezpoirednio z Administratorem Bezpieczenstwa Informacji (ABT).
Do zadan Administratora Systemu Informatycznego naleiy:
1. Formulowanie, w uzgodnieniu z administratorem danych illub osobami, kt6rym administrator
delegowal uprawnienia oraz ABI, sposobu okreilania uprawnien w systemach informatycznych.
2.Realizacja decyzji Administratora Danych Osobowych (Iinnych) odnoSnie nadania osobom
uprawnien dostqpu do danych i wybranych hnkcji narzqdzi sluzqcych do ich przetwarzania,
w Brodowisku IT Starostwa tj.:
1) tworzenie kont uzytkownikbw w systemach informatycznych,
2) przypisywanie, do kont, startowych hasel uwierzytelniajqcych uzytkownikow tych kont,
3) przypisywanie do zalozonych kont polityk odnoinie jakoSci hasel i czqstotliwoSci ich zmiany,
4) resetowanie utraconych hasef,
5) usuwanie kont i uprawnien dla kont osdb, ktdre zakonczyfy pracq w Starostwie,
6) dostarczanie ABI informacji potrzebnych do oceny prawidlowoSci funkcjonowania sprzqtowoprogramowych.
3.Planowanie inwestycji oraz dostaw i uslug niezbqdnych dla utrzymania i rozwoju Srodowiska IT
w Starostwie;
4. Planowanie i wykonywanie zadah zwiqzanych z tworzeniem kopii bezpieczenstwa system6w
i danych;
5.Zapewnienie awaryjnego zasilania komputerdw oraz innych urzqdzen majqcych wpfyw
na bezpieczenstwo przetwarzania danych osobowych;
6.Automatyzacja zadah konsenvacyjnych w systemie - w tym wykonywania kopii
zapasowych oprogramowania i danych;
7. Nadzor nad naprawami, konsenvacjq oraz likwidacjq urzqdzen komputerowych na kt6rych
zapisywane sq dane osobowe;
8. Monitorowanie stanu Srodowiska IT, stanu sprzqtu IT i wykorzystywanego oprogramowania oraz
aktywnoici sieciowej uiytkownikdw;
9. Monitorowanie 1egalnoSci oprogramowania wykorzystywanego na stacjach roboczych;
10.Zapewnienie senverom i stacjom roboczym niezbqdnych licencji programowych;
11. Systematyczne aktualizowanie oprogramowania systemowego, aplikacyjnego i ochronnego;
12.Zapewnienie eksploatowanym systemom opieki serwisowej producenta - zawieranie urndw
regulujqcych formy tej opieki;
13.Rozwiqzywanie, samodzielnie i we wspdlpracy z pozostalym personelem IT, problemow
towarzyszqcych eksploatacji systemdw informatycznych;
14.Monitorowanie zabezpieczen wdrozonych w celu ochrony danych osobowych;
15. Podejmowanie odpowiednich dzialan w przypadku wykrycia naruszen lub podejrzenia
naruszenia zabezpieczen;
16.PrzygotowywanieY we wspdlpracy z ABI instrukcji dla uiytkownikdw system6w
informatycznych zgodnych z celami i metodologiq wdrozonej polityki bezpieczenstwa informacji.
17.Prowadzenie szkolen na temat bezpiecznych zachowah uzytkownikdw w Srodowisku systemdw
IT;
18.Nadzdr nad systemem komunikacji w sieci komputerowej;
(j?lJ$
Zatqcznik nr 3 do Zarzqdzenie Nr 4212015
Starosty Powiatu Ropczycko - Sedziszowskiego
z dnia 26 czerwca 2015r.
Zakres dzialania Lokalnych Administratordw Bezpieczenstwa Informacji (LABI)
Lokalni Administratorzy Bezpieczenstwa Informacji, w zakresie zadah wykonywanych
d.la zapewnienia systemom bezpieczenstwa, zgodnego z celami i metodologiq wdrozonej polityki
bezpieczenstwa informacji, wsp6lpracuje bezpodrednio z Administratorem Bezpieczenstwa
Informacji
Do zadan Lokalnych Administratordw Bezpieczenstwa Informacji naleiy :
1. Nadzorowanie przestrzegania zasad okredlonych w polityce bezpieczenstwa oraz instrukcjach
zarzqdzania systemem informatycznym sluiqcym do przetwarzania danych osobowych oraz
wspblpraca z ABI w tym zakresie;
2.Nadzorowanie procesu udostqpniania dokumentbw zawierajqcych dane osobowe;
3.0piniowanie wzor6w dokument6w, w tyrn w szczeg6lnodci odpowiednich klauzul
w dokumentach dotyczqcych ochrony danych osobowych, przygotowywanych przez Wydzial
Geodezji i Gospodarki Gruntami, Referat Komunikacji i Biuro Geodezji;
4. Wspolpraca z AS1 w zakresie tych obszar6w IT, kt6re Scidle wiqzq siq z ochronq danych
osobowych;
5.Nadzorowanie biezqcych procesow przetwarzania danych osobowych przetwarzanych
w Wydziale Geodezji i Gospodarki Gruntami, Referacie Komunikacji i Biurze Geodezji
w Sqdziszowie Mlp.;
6.NadzQ nad fizycznym za'bezpieczeniem pomieszczen, w kt6rych pszetwarzane sq dane osobowe
oraz kontrola przebywajqcych w nich osob;
7.Przeciwdzialanie dostqpowi os6b niepowolanych do przetwarzania danych osobowych;
8.Kontrola nad danymi osobowymi wprowadzonymi do zbior6w (przez kogo zostaly wprowadzone,
komu sq przekazywane);
9.Podejmowanie odpowiednich dziatah w przypadku wykrycia naruszen lub podejrzenia naruszenia
zabezpieczen;
1O.Nadz6r nad obiegiem oraz przechowywaniem dokument6w zawierajqcych dane osobowe;
11.Wspblpraca z ABI i AS1 w zakresie nadawania, zmieniania i odbierania uprawnien
do przetwarzania danych osobowych w systemie informatycznym;
12.Nadzor nad prawidtowoSciq archiwizacji oraz usuwania danych osobowych;
13.Nadzbr nad zarzqdzaniem haslarni uzytkownik6w i przestrzeganiem procedur okredlajqcych
czqstotliwodC ich zmiany;
14.Nadz6r nad systemem komunikacji w sieci komputerowej;
15.Monitorowanie zabezpieczen wdrozonych w celu ochrony danych osobowych;
16.RaportowanieAdministratorowi Danych lub ABI o kaidym stwierdzonym incydencie naruszenia
zasad ochrony bezpieczenstwa informacji, wraz z przedstawieniem propozycji naprawczych;
17.Wnioskowanie do ABI oraz realizacja w uzgodnieniu z ABI drodk6w technicznych
i organizacyjnych zapewniajqcych ochronq przetwarzanych danych osobowych odpowiednich
do zagroieh oraz kategorii danych objqtych ochronq;
18.Wykonywanie zalecen ABI;
19. Realizowanie w uzgodnieniu z ABI innych prawnie okredlonych zasad postqpowania przy
przetwarzaniu danych osobowych oraz zasad ochrony danych osobowych, obowiqzujqcych
w Starostwie .