Załącznik nr 2 do Zarządzenia Dyrektora

Załącznik nr 2 do zarządzenia nr 2/2014
Dyrektora III Liceum Ogólnokształcącego
im. Mikołaja Kopernika w Kaliszu
z dnia 02 stycznia 2014 r.
Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych
w III Liceum Ogólnokształcącym
im. Mikołaja Kopernika w Kaliszu
Podstawa prawna: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych
jakim powinny odpowiadać urządzenie i systemy informatyczne służące do przetwarzania danych osobowych
(Dz. U. z 2004 r. Nr 100, poz. 1024) oraz Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.
2002 r. Nr 101, poz. 926, ze zm.)
1
§ 1.
Postanowienia ogólne
1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2002 r. Nr 101,
poz. 926, ze zm.) oraz rozporządzenie ministra spraw wewnętrznych i administracji z dnia
29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r.
nr 100, poz. 1024) nakłada na Administratora Danych Osobowych następujące
obowiązki:
1) zapewnienie bezpieczeństwa i poufności danych, w tym zabezpieczenie ich przed
ujawnieniem,
2) zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym
3) zabezpieczenie przed utratą danych,
4) zabezpieczenie przed uszkodzeniem lub zniszczeniem danych oraz przed ich
nielegalną modyfikacją.
2. Ochronie podlegają dane osobowe niezależnie od formy przechowywania, sprzęt
komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których
odbywa się proces przetwarzania danych osobowych oraz pomieszczenia, w których
przechowywane są wydruki zawierające dane osobowe.
3. Instrukcja określa ramowe zasady właściwego zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych oraz podstawowe warunki techniczne
i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne
nadzorowane przez Administratora Bezpieczeństwa Informacji i Administratora
Systemów Informatycznych.
4. Zapoznanie się z poniższą Instrukcją jest potwierdzone przez pracowników szkoły
własnoręcznie podpisanym oświadczeniem, znajdującym się w aktach osobowych
(załącznik nr 1).
2
§ 2.
Obowiązki i uprawnienia Administratora Bezpieczeństwa Informacji
1. Osobę
odpowiedzialną
za
bezpieczeństwo
danych
osobowych
w
systemie
informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób
niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz
za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie
zabezpieczeń zwaną dalej Administratorem Bezpieczeństwa Informacji (ABI) wyznacza
Administrator Danych Osobowych.
2. ABI, realizując w porozumieniu z ADO politykę bezpieczeństwa w zakresie ochrony
danych osobowych, wykonuje następujące zadania:
1) współpracuje z Administratorem Systemów Informatycznych,
2) prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych
i upoważnionych do przebywania w pomieszczeniach, gdzie przetwarzane
oraz przechowywane są dane osobowe,
3) sprawuje nadzór nad hasłami użytkowników i nadzoruje przestrzeganie procedur
określających częstotliwość ich zmiany,
4) sprawuje nadzór nad likwidacją konta osób, które utraciły uprawnienia do
przetwarzania danych osobowych,
5) podejmuje natychmiastowe, wszelkie możliwe działania zabezpieczające stan
systemu informatycznego w przypadku otrzymania informacji o naruszeniu
zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie
działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa
danych,
6) w przypadku naruszenia bezpieczeństwa danych sporządza Raport z naruszenia
bezpieczeństwa przetwarzania danych osobowych, zgodnie ze wzorem zawartym
w Polityce Bezpieczeństwa III Liceum Ogólnokształcącego im. Mikołaja
Kopernika,
7) dba o powszechne stosowanie systemu środków fizycznie zabezpieczających
miejsca, w których przetwarzane i przechowywane są dane osobowe,
3
8) zgłasza wszelkie zauważone usterki czy uchybienia w procedurze ochrony danych
osobowych Administratorowi Danych Osobowych; proponuje kolejne rozwiązania
ulepszające istniejące formy fizycznych zabezpieczeń zarówno pomieszczeń, jak i
systemów informatycznych,
9) śledzi osiągnięcia w dziedzinie zabezpieczania systemów informatycznych
i proponuje Administratorowi Danych Osobowych oraz Dyrektorowi Szkoły, jeśli
nie jest on ADO, wdrażanie takich narzędzi, metod pracy oraz sposobów
zarządzania systemem informatycznym, które wzmocnią bezpieczeństwo zarówno
przetwarzania, jak i przechowywania danych osobowych.
§ 3.
Obowiązki i uprawnienia Administratora Systemów Informatycznych
Administrator Systemów Informatycznych to informatyk zajmujący się zarządzaniem
systemów informatycznych i odpowiadający za ich sprawne działanie.
1) prowadzi stronę internetową szkoły oraz sprawuje nadzór nad treściami
zamieszczanymi w Biuletynie Informacji Publicznej za zgodą i w porozumieniu
z Administratorem Danych Osobowych oraz Dyrektorem Szkoły, jeśli nie jest on
ADO,
2) sprawuje nadzór nad
naprawami,
konserwacją oraz
likwidacją
urządzeń
komputerowych, na których zapisane są dane osobowe,
3) zarządza hasłami użytkowników i nadzoruje przestrzeganie procedur określających
częstotliwość ich zmiany,
4) sprawuje nadzór nad dyskami zewnętrznymi i wszelkimi nośnikami danych
zawierającymi dane osobowe przeznaczone do likwidacji, dba o staranne
wyczyszczenie urządzeń z zapisu tych danych,
5) sprawuje nadzór nad czynnościami związanymi ze sprawdzaniem systemu pod
kątem obecności wirusów komputerowych, częstotliwości ich sprawdzania oraz
nadzoruje wykonywanie procedur uaktualniania systemów antywirusowych
i
ich
konfiguracji
(nabywanie
oprogramowań antywirusowych),
4
i
przedłużanie
licencji
certyfikowanych
6) sprawuje nadzór nad wykonywaniem kopii awaryjnych, ich przechowywaniem oraz
okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania
danych w przypadku awarii systemu,
7) sprawuje nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów
służących do przetwarzania danych osobowych oraz wszystkimi innymi
czynnościami wykonywanymi na bazach danych osobowych,
8) sprawuje nadzór nad likwidacją konta osób, które utraciły uprawnienia do
przetwarzania danych osobowych, unieważnia ich loginy i hasła,
9) podejmuje natychmiastowe, wszelkie możliwe działania zabezpieczające stan
systemu informatycznego w przypadku otrzymania informacji o naruszeniu
zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie
działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa
danych w porozumieniu z ABI,
10) zgłasza wszelkie zauważone usterki czy uchybienia w procedurze ochrony danych
osobowych Administratorowi Bezpieczeństwa Informacji; proponuje kolejne
rozwiązania ulepszające istniejące formy fizycznych zabezpieczeń zarówno
pomieszczeń, jak i systemów informatycznych.
§4.
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania
tych uprawnień w systemie informatycznym
1. Dane osobowe w systemach informatycznych może przetwarzać wyłącznie osoba
posiadająca pisemne upoważnienie do przetwarzania danych osobowych. Upoważnienie
to powinno zawierać:
1) imię i nazwisko pracownika, któremu upoważnienie zostanie nadane,
2) nazwę zbioru danych osobowych oraz nazwę systemu informatycznego,
do którego użytkownik będzie miał dostęp,
3) zakres upoważnienia do przetwarzania danych osobowych,
4) datę, z jaką upoważnienie ma być nadane
5) okres ważności upoważnienia.
5
2. Treść upoważnienia zostaje przekazana do wiadomości pracownika, który podpisem
potwierdza przyjęcie do wiadomości i stosowania treści upoważnienia, otrzymuje hasło do
systemu informatycznego przetwarzającego dane osobowe.
3. Otrzymane hasło i login nie mogą być nikomu udostępniane.
4. Hasło oprócz znaków małych i dużych liter winno zawierać ciąg znaków
alfanumerycznych i specjalnych.
5. Hasła wpisywane z klawiatury nie mogą pojawiać się na ekranie monitorów w formie
jawnej.
6. Hasło nie może zawierać żadnych informacji, które można kojarzyć z użytkownikiem
komputera np. osobiste dane użytkownika, tj. nazwisko, inicjały, imiona, marka lub nr
rejestracyjny samochodu itp.
7. Hasło nie może być zapisywane w miejscu dostępnym dla osób nieuprawnionych.
Użytkownik nie może udostępnić swojego identyfikatora oraz hasła jak również dostępu
do stanowiska roboczego po uwierzytelnieniu w systemie osobom nieuprawnionym ani
żadnej osobie postronnej.
8. Hasło użytkownika, umożliwiające dostęp do systemu informatycznego, należy
utrzymywać w tajemnicy, również po upływie jego ważności.
9. Raz użyty identyfikator nie może być przydzielony innemu użytkownikowi.
10. Hasła są zdeponowane w kasie pancernej w sekretariacie szkoły.
11. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona,
użytkownik zobowiązany jest do natychmiastowej zmiany hasła, lub w razie problemów
powiadomić o tym fakcie ABI lub ASI.
12. Każdorazowa zmiana hasła wiąże się z koniecznością zdeponowania go w kopercie w
sejfie szkoły i zniszczeniem starego. Niszczenia nieaktualnego hasła dokonuje
zainteresowany pracownik w obecności ASI.
13. W przypadku zaistnienia konieczności awaryjnego użycia loginu i hasła innej osoby
Administrator Danych Osobowych może - wyłącznie za wiedzą i zgodą dyrektora szkoły,
jeśli nie jest on ADO, pobrać kopertę z loginem i hasłem. Sytuacja taka może mieć
miejsce wyłącznie w wyjątkowych przypadkach, a po powrocie osoby nieobecnej hasło
musi zostać zmienione.
§5.
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone
dla użytkowników systemów przetwarzających dane osobowe
6
1. Przed rozpoczęciem pracy w trakcie rozpoczynania pracy z systemem informatycznym
oraz w trakcie pracy każdy pracownik zobowiązany jest do zwrócenia bacznej uwagi,
czy nie wystąpiły symptomy mogące świadczyć o naruszeniu ochrony danych osobowych.
Wszystkie komputery stanowiące wyposażenie szkoły zabezpieczone są w certyfikowane
oprogramowanie antywirusowe. Należy, z częstotliwością przynajmniej raz w tygodniu
ręcznie wymusić skanowanie komputera i sprawdzić dysk twardy pod katem błędów,
co może korzystnie wpłynąć na poprawę wydajności pracy komputera.
2. Zabrania się korzystania z przenośnych nośników danych innych niż służbowe.
Nośniki powinny być zabezpieczone hasłem dostępu.
3. Rozpoczęcie pracy użytkownika w systemie informatycznym następuje po poprawnym
uwierzytelnieniu (zalogowaniu się do systemu).
4. Maksymalna ilość prób wprowadzenia hasła przy logowaniu się do systemu wynosi trzy
razy. Po przekroczeniu tej liczby prób system blokuje dostęp do zbioru danych na
poziomie danego użytkownika.
Odblokowania konta może dokonać Administrator Systemów Informatycznych w
porozumieniu z Administratorem Bezpieczeństwa Informacji, o tym fakcie powiadomiony
zostaje również Administrator Danych Osobowych.
5. Rozpoczęcie pracy w aplikacji musi być przeprowadzone zgodnie z instrukcją zawartą w
dokumentacji aplikacji;
6. Zakończenie
pracy
użytkownika
następuje
po
poprawnym
wylogowaniu
się
z systemu oraz poprzez uruchomienie odpowiedniej dla danego systemu opcji jego
zamknięcia zgodnie z instrukcją zawartą w dokumentacji;
7. Niedopuszczalne
jest
zakończenie
pracy
w
systemie
bez
wykonania
pełnej
i poprawnej operacji wylogowania z aplikacji i poprawnego zamknięcia systemu;
8. Monitory stanowisk komputerowych znajdujące się w pomieszczeniach, gdzie przebywają
osoby, które nie posiadają upoważnień do przetwarzania danych osobowych, a na których
przetwarzane są dane osobowe należy ustawić w taki sposób, aby uniemożliwić osobom
postronnym wgląd w dane.
9. Użytkownik ma obowiązek wylogowania się w przypadku zakończenia pracy. Stanowisko
komputerowe nie może pozostać z uruchomionym i dostępnym systemem bez nadzoru
pracującego na nim pracownika.
10. Wydruki zawierające dane osobowe należy przechowywać w miejscu uniemożliwiającym
ich odczytanie przez osoby postronne. Wydruki nieprzydatne należy zniszczyć w stopniu
uniemożliwiającym ich odczytanie w niszczarce dokumentów.
7
11. Przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze, w
którym są przetwarzane dane osobowe jest dopuszczalne tylko w obecności osoby
upoważnionej do ich przetwarzania.
12. Pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać, na czas
nieobecności osób zatrudnionych, w sposób uniemożliwiający dostęp do nich osobom
trzecim.
13. Użytkownik w przypadku podejrzenia fizycznej ingerencji w przetwarzane dane osobowe,
użytkowane
narzędzia
Administratora
programowe
Bezpieczeństwa
lub
sprzętowe
Informacji
lub
niezwłocznie
powiadamia
Administratora
Systemów
Informatycznych. Wówczas, użytkownik jest zobowiązany do natychmiastowego
wyłączenia sprzętu.
14. W sytuacji chwilowej choćby nieobecności, pracownik upoważniony do przetwarzana
danych osobowych zobowiązany jest dokonać niezbędnych operacji w systemie
informatycznym
uniemożliwiającym
dostęp
do
danych
osobowych
osobom
niepowołanym.
15. W przypadku bezczynności użytkownika na stacji roboczej przez okres dłuższy niż 5
minut włączany jest automatycznie wygaszacz ekranu. Wygaszacze ekranu powinny być
zaopatrzone w hasła zbudowane analogicznie do haseł używanych przez użytkownika
przy logowaniu
16. Niedopuszczalne jest, aby dwóch lub większa ilość użytkowników wykorzystywała
wspólnie jedno konto użytkownika.
17. Całkowite zakończenie pracy w pomieszczeniu, gdzie przetwarzane i przechowywane są
dane osobowe wiąże się z dokładnym posprzątaniem stanowiska pracy, zamknięciem
papierowych form zapisu danych osobowych w przeznaczonych do tego celu szafach,
wyłączeniem
komputerów
i
umieszczeniem
zewnętrznych
nośników
danych
w zamkniętych szafach.
§6.
Procedury tworzenia kopii zapasowych, zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania
1. Dane osobowe przetwarzane w systemie informatycznym podlegają zabezpieczeniu
poprzez tworzenie kopii zapasowych.
8
2. Zbiory danych osobowych w systemie informatycznym są zabezpieczane przed utratą lub
uszkodzeniem za pomocą:
1) urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej,
2) sporządzanie kopii zapasowych (kopie pełne).
3. Pełne kopie zapasowe zbiorów danych tworzone są w razie potrzeby nie rzadziej niż 1 raz
w ciągu roku.
4. Kopie systemu kadrowo-płacowego, wyposażenia i systemu kasa wykonuje się nie
rzadziej niż co pół roku.
5. W szczególnych sytuacjach, np. przed aktualizacją lub zmianą oprogramowania lub
systemu należy wykonać bezwzględnie pełną kopię zapasową systemu.
6. Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności
do odtworzenia w przypadku awarii systemu. Za przeprowadzenie tych czynności
odpowiada użytkownik skopiowanego zbioru danych.
7. Za proces tworzenia kopii zapasowych odpowiada upoważniony użytkownik danego
systemu informatycznego
8. Kopie umieszczone są na nośniku wymiennym, który przechowywany jest w sejfie. Mogą
być również przechowywane na
płytach CD lub innych elektronicznych nośnikach
informacji w zamkniętych szafach w pomieszczeniach, gdzie są przetwarzane dane
osobowe np. księgowość, kadry.
9. Kopie zapasowe przechowuje się w sposób uniemożliwiający nieuprawnione przejęcie,
modyfikacje, uszkodzenie lub zniszczenie.
10. W przypadku przechowywania kopii zapasowych przez okres dłuższy niż pół roku,
wszystkie kopie zapasowe zbiorów danych osobowych, aplikacji przetwarzających dane
osobowe oraz danych konfiguracyjnych systemu informatycznego przetwarzającego dane
osobowe, których to dotyczy, muszą być okresowo (co najmniej raz na pół roku)
sprawdzane pod względem ich dalszej przydatności. Czynności te wykonuje osoba będąca
użytkownikiem
danego
systemu,
a
nadzór
sprawuje Administrator
Systemów
Informatycznych.
11. Nośniki kopii zapasowych, które zostały wycofane z użycia, jeżeli jest to możliwe, należy
pozbawić zapisanych danych za pomocą specjalnego oprogramowania do bezpiecznego
usuwania zapisanych danych. W przeciwnym wypadku podlegają fizycznemu zniszczeniu
z wykorzystaniem metod adekwatnych do typu nośnika, w sposób uniemożliwiający
9
odczytanie zapisanych na nich danych. Za wyczyszczenie urządzeń i ich zniszczenie
odpowiedzialny jest Administrator Systemów Informatycznych. Nadzór nad niszczeniem
tych urządzeń sprawuje Administrator Bezpieczeństwa Informacji.
§7.
Przechowywanie papierowych nośników danych
1. Dane osobowe mogą być zapisywane na nośnikach przenośnych w przypadku tworzenia
kopii zapasowych lub gdy istnieje konieczność przeniesienia tych danych w postaci
elektronicznej, a wykorzystanie do tego celu sieci informatycznej jest nieuzasadnione lub
niemożliwe.
2. Wydruki powinny być przechowywane w zamkniętych szafach wewnątrz obszaru
przeznaczonego do przetwarzania danych osobowych i nie powinny być bez uzasadnionej
przyczyny wynoszone poza ten obszar.
3. Obowiązuje absolutny zakaz wynoszenia nośników danych poza teren szkoły.
4. W przypadku, gdy nośnik danych osobowych jest uszkodzony, należy przeprowadzić
zniszczenie nośnika lub usunięcie danych z nośnika.
5. Jeżeli wydruk danych osobowych nie jest dłużej potrzebny, należy zniszczyć wydruki
przy użyciu niszczarki dokumentów.
6. Każde pomieszczenie, w którym przetwarzane i przechowywane są dane osobowe w
formie papierowej, w miarę możliwości powinno być wyposażone w niszczarkę.
§8.
Sposoby zabezpieczenia systemu informatycznego
1. W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony wirusów
komputerowych, których celem jest uzyskanie nieuprawnionego dostępu do systemu
informatycznego,
konieczna
jest
ochrona
sieci
komputerowej
i
stanowisk
komputerowych.
2. Wirusy komputerowe mogą pojawić się systemach szkoły poprzez: Internet, nośniki
informacji takie jak: dyskietki, płyty CD, dyski przenośne, itp.
3. Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych realizowane jest
następująco:
1) komputery z dostępem do Internetu są zabezpieczone za pomocą oprogramowania
antywirusowego,
2) zainstalowany program antywirusowy jest tak skonfigurowany, że co najmniej raz
dziennie dokonuje aktualizacji bazy wirusów oraz co najmniej raz w tygodniu
10
dokonywane jest automatycznie sprawdzenie komputera pod kątem obecności
wirusów komputerowych.
3) elektroniczne nośniki informacji takie jak dyskietki, dyski przenośne, należy
każdorazowo
sprawdzać
programem
antywirusowym
przed
użyciem,
po
zainstalowaniu ich w systemie. Czynność powyższą realizuje użytkownik systemu.
4) komputery i systemy z dostępem do Internetu, posiadają również oprogramowanie
i mechanizmy zabezpieczające przed nieautoryzowanym dostępem z sieci (firewall).
5) w przypadku, gdy użytkownik stanowiska komputerowego zauważy komunikat
oprogramowania zabezpieczającego system wskazujący na zaistnienie zagrożenia
lub rozpozna tego typu zagrożenie, zobowiązany jest zaprzestać jakichkolwiek
czynności w systemie i dokonać skanowania komputera oprogramowaniem
antywirusowym.
6) przy korzystaniu z poczty elektronicznej należy zwrócić szczególną uwagę na
otrzymywane załączniki dołączane do treści wiadomości. Zabrania się otwierania
załączników i wiadomości poczty elektronicznej od „niezaufanych” nadawców.
7) zabrania
się
użytkownikom
komputerów,
wyłączania,
blokowania,
odinstalowywania programów zabezpieczających komputer (skaner antywirusowy,
firewall) przed oprogramowaniem złośliwym oraz nieautoryzowanym dostępem.
8) zabrania się ściąganie plików internetowych dla celów prywatnych. Zakazuje się
logowania na portale społecznościowe.
4. W przypadku wystąpienia infekcji i braku możliwości automatycznego usunięcia wirusów
przez system antywirusowy Administrator Systemów Informatycznych lub inny wyznaczony
pracownik powinien podjąć działania zmierzające do usunięcia zagrożenia. W szczególności
działania te mogą obejmować:
1) usunięcie zainfekowanych plików, o ile jest to akceptowalne ze względu
na prawidłowe funkcjonowanie systemu informatycznego,
2) odtworzenie plików z kopii zapasowych po uprzednim sprawdzeniu, czy dane
zapisane na kopiach nie są zainfekowane
5. Pozostałe rodzaje zagrożeń systemu informatycznego:
1) nieuprawniony dostęp bezpośrednio do bazy danych,
2) uszkodzenie kodu aplikacji umożliwiającej dostęp do bazy danych w taki sposób,
że przetwarzane dane osobowe ulegną zafałszowaniu lub zniszczeniu,
11
3) przechwycenie
danych
podczas
transmisji
w
przypadku
rozproszonego
przetwarzania danych z wykorzystaniem ogólnodostępnej sieci Internet,
4) przechwycenie danych z aplikacji umożliwiającej dostęp do bazy danych na stacji
roboczej
wykorzystywanej
do
przetwarzania
danych
osobowych
przez
wyspecjalizowany program szpiegowski i nielegalne przesłanie tych danych poza
miejsce przetwarzania danych,
5) uszkodzenie lub zafałszowanie danych osobowych przez wirus komputerowy
zakłócający pracę aplikacji umożliwiającej dostęp do bazy danych na stacji
roboczej wykorzystywanej do przetwarzania danych osobowych.
6. Sposoby przeciwdziałania wymienionym zagrożeniom:
1) fizyczne odseparowanie serwera bazy danych od sieci zewnętrznej,
2) autoryzacja użytkowników przy zachowaniu odpowiedniego poziomu komplikacji
haseł dostępu,
3) stosowanie rygorystycznego systemu autoryzacji dostępu do wszystkich serwerów,
na których znajdują się elementy aplikacji umożliwiających przetwarzanie danych
osobowych,
4) stosowaniu aplikacji w postaci skompilowanej i nieumieszczenie kodu źródłowego
aplikacji na powszechnie dostępnych serwerach,
5) stosowanie szyfrowanej transmisji danych przy zastosowaniu odpowiedniej
długości klucza szyfrującego,
7. Użytkownicy systemu informatycznego zobowiązani są do następujących działań:
1) skanowania
zawartości
informatycznym
pod
dysków
względem
stacji
roboczej
potencjalnie
pracującej
niebezpiecznych
w
systemie
kodów
–
przynajmniej 1 raz w tygodniu,
2) stosowania wyłącznie służbowych nośników wymiennych i skanowania ich
zawartości przy każdym odczycie,
3) skanowanie informacji przesyłanych do systemu informatycznego pod kątem
pojawienia się niebezpiecznych kodów – na bieżąco.
12
Załącznik nr 1 do Instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych
osobowych w III Liceum Ogólnokształcącego
im. Mikołaja Kopernika w Kaliszu
……………………………….
/Imię i nazwisko/
OŚWIADCZENIE
Oświadczam, że zapoznałem/-am się z Instrukcją zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych w III Liceum Ogólnokształcącym
im. Mikołaja Kopernika w Kaliszu i zobowiązuję się do przestrzegania zasad z niej
wynikających.
………………………………
/Data i podpis/
13