Załącznik nr 2 do Zarządzenia Dyrektora
Transkrypt
Załącznik nr 2 do Zarządzenia Dyrektora
Załącznik nr 2 do zarządzenia nr 2/2014 Dyrektora III Liceum Ogólnokształcącego im. Mikołaja Kopernika w Kaliszu z dnia 02 stycznia 2014 r. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w III Liceum Ogólnokształcącym im. Mikołaja Kopernika w Kaliszu Podstawa prawna: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenie i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) oraz Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2002 r. Nr 101, poz. 926, ze zm.) 1 § 1. Postanowienia ogólne 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2002 r. Nr 101, poz. 926, ze zm.) oraz rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024) nakłada na Administratora Danych Osobowych następujące obowiązki: 1) zapewnienie bezpieczeństwa i poufności danych, w tym zabezpieczenie ich przed ujawnieniem, 2) zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym 3) zabezpieczenie przed utratą danych, 4) zabezpieczenie przed uszkodzeniem lub zniszczeniem danych oraz przed ich nielegalną modyfikacją. 2. Ochronie podlegają dane osobowe niezależnie od formy przechowywania, sprzęt komputerowy, systemy operacyjne i informatyczne oraz pomieszczenia, w których odbywa się proces przetwarzania danych osobowych oraz pomieszczenia, w których przechowywane są wydruki zawierające dane osobowe. 3. Instrukcja określa ramowe zasady właściwego zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne nadzorowane przez Administratora Bezpieczeństwa Informacji i Administratora Systemów Informatycznych. 4. Zapoznanie się z poniższą Instrukcją jest potwierdzone przez pracowników szkoły własnoręcznie podpisanym oświadczeniem, znajdującym się w aktach osobowych (załącznik nr 1). 2 § 2. Obowiązki i uprawnienia Administratora Bezpieczeństwa Informacji 1. Osobę odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń zwaną dalej Administratorem Bezpieczeństwa Informacji (ABI) wyznacza Administrator Danych Osobowych. 2. ABI, realizując w porozumieniu z ADO politykę bezpieczeństwa w zakresie ochrony danych osobowych, wykonuje następujące zadania: 1) współpracuje z Administratorem Systemów Informatycznych, 2) prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych i upoważnionych do przebywania w pomieszczeniach, gdzie przetwarzane oraz przechowywane są dane osobowe, 3) sprawuje nadzór nad hasłami użytkowników i nadzoruje przestrzeganie procedur określających częstotliwość ich zmiany, 4) sprawuje nadzór nad likwidacją konta osób, które utraciły uprawnienia do przetwarzania danych osobowych, 5) podejmuje natychmiastowe, wszelkie możliwe działania zabezpieczające stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych, 6) w przypadku naruszenia bezpieczeństwa danych sporządza Raport z naruszenia bezpieczeństwa przetwarzania danych osobowych, zgodnie ze wzorem zawartym w Polityce Bezpieczeństwa III Liceum Ogólnokształcącego im. Mikołaja Kopernika, 7) dba o powszechne stosowanie systemu środków fizycznie zabezpieczających miejsca, w których przetwarzane i przechowywane są dane osobowe, 3 8) zgłasza wszelkie zauważone usterki czy uchybienia w procedurze ochrony danych osobowych Administratorowi Danych Osobowych; proponuje kolejne rozwiązania ulepszające istniejące formy fizycznych zabezpieczeń zarówno pomieszczeń, jak i systemów informatycznych, 9) śledzi osiągnięcia w dziedzinie zabezpieczania systemów informatycznych i proponuje Administratorowi Danych Osobowych oraz Dyrektorowi Szkoły, jeśli nie jest on ADO, wdrażanie takich narzędzi, metod pracy oraz sposobów zarządzania systemem informatycznym, które wzmocnią bezpieczeństwo zarówno przetwarzania, jak i przechowywania danych osobowych. § 3. Obowiązki i uprawnienia Administratora Systemów Informatycznych Administrator Systemów Informatycznych to informatyk zajmujący się zarządzaniem systemów informatycznych i odpowiadający za ich sprawne działanie. 1) prowadzi stronę internetową szkoły oraz sprawuje nadzór nad treściami zamieszczanymi w Biuletynie Informacji Publicznej za zgodą i w porozumieniu z Administratorem Danych Osobowych oraz Dyrektorem Szkoły, jeśli nie jest on ADO, 2) sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe, 3) zarządza hasłami użytkowników i nadzoruje przestrzeganie procedur określających częstotliwość ich zmiany, 4) sprawuje nadzór nad dyskami zewnętrznymi i wszelkimi nośnikami danych zawierającymi dane osobowe przeznaczone do likwidacji, dba o staranne wyczyszczenie urządzeń z zapisu tych danych, 5) sprawuje nadzór nad czynnościami związanymi ze sprawdzaniem systemu pod kątem obecności wirusów komputerowych, częstotliwości ich sprawdzania oraz nadzoruje wykonywanie procedur uaktualniania systemów antywirusowych i ich konfiguracji (nabywanie oprogramowań antywirusowych), 4 i przedłużanie licencji certyfikowanych 6) sprawuje nadzór nad wykonywaniem kopii awaryjnych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu, 7) sprawuje nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych, 8) sprawuje nadzór nad likwidacją konta osób, które utraciły uprawnienia do przetwarzania danych osobowych, unieważnia ich loginy i hasła, 9) podejmuje natychmiastowe, wszelkie możliwe działania zabezpieczające stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych w porozumieniu z ABI, 10) zgłasza wszelkie zauważone usterki czy uchybienia w procedurze ochrony danych osobowych Administratorowi Bezpieczeństwa Informacji; proponuje kolejne rozwiązania ulepszające istniejące formy fizycznych zabezpieczeń zarówno pomieszczeń, jak i systemów informatycznych. §4. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym 1. Dane osobowe w systemach informatycznych może przetwarzać wyłącznie osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych. Upoważnienie to powinno zawierać: 1) imię i nazwisko pracownika, któremu upoważnienie zostanie nadane, 2) nazwę zbioru danych osobowych oraz nazwę systemu informatycznego, do którego użytkownik będzie miał dostęp, 3) zakres upoważnienia do przetwarzania danych osobowych, 4) datę, z jaką upoważnienie ma być nadane 5) okres ważności upoważnienia. 5 2. Treść upoważnienia zostaje przekazana do wiadomości pracownika, który podpisem potwierdza przyjęcie do wiadomości i stosowania treści upoważnienia, otrzymuje hasło do systemu informatycznego przetwarzającego dane osobowe. 3. Otrzymane hasło i login nie mogą być nikomu udostępniane. 4. Hasło oprócz znaków małych i dużych liter winno zawierać ciąg znaków alfanumerycznych i specjalnych. 5. Hasła wpisywane z klawiatury nie mogą pojawiać się na ekranie monitorów w formie jawnej. 6. Hasło nie może zawierać żadnych informacji, które można kojarzyć z użytkownikiem komputera np. osobiste dane użytkownika, tj. nazwisko, inicjały, imiona, marka lub nr rejestracyjny samochodu itp. 7. Hasło nie może być zapisywane w miejscu dostępnym dla osób nieuprawnionych. Użytkownik nie może udostępnić swojego identyfikatora oraz hasła jak również dostępu do stanowiska roboczego po uwierzytelnieniu w systemie osobom nieuprawnionym ani żadnej osobie postronnej. 8. Hasło użytkownika, umożliwiające dostęp do systemu informatycznego, należy utrzymywać w tajemnicy, również po upływie jego ważności. 9. Raz użyty identyfikator nie może być przydzielony innemu użytkownikowi. 10. Hasła są zdeponowane w kasie pancernej w sekretariacie szkoły. 11. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest do natychmiastowej zmiany hasła, lub w razie problemów powiadomić o tym fakcie ABI lub ASI. 12. Każdorazowa zmiana hasła wiąże się z koniecznością zdeponowania go w kopercie w sejfie szkoły i zniszczeniem starego. Niszczenia nieaktualnego hasła dokonuje zainteresowany pracownik w obecności ASI. 13. W przypadku zaistnienia konieczności awaryjnego użycia loginu i hasła innej osoby Administrator Danych Osobowych może - wyłącznie za wiedzą i zgodą dyrektora szkoły, jeśli nie jest on ADO, pobrać kopertę z loginem i hasłem. Sytuacja taka może mieć miejsce wyłącznie w wyjątkowych przypadkach, a po powrocie osoby nieobecnej hasło musi zostać zmienione. §5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemów przetwarzających dane osobowe 6 1. Przed rozpoczęciem pracy w trakcie rozpoczynania pracy z systemem informatycznym oraz w trakcie pracy każdy pracownik zobowiązany jest do zwrócenia bacznej uwagi, czy nie wystąpiły symptomy mogące świadczyć o naruszeniu ochrony danych osobowych. Wszystkie komputery stanowiące wyposażenie szkoły zabezpieczone są w certyfikowane oprogramowanie antywirusowe. Należy, z częstotliwością przynajmniej raz w tygodniu ręcznie wymusić skanowanie komputera i sprawdzić dysk twardy pod katem błędów, co może korzystnie wpłynąć na poprawę wydajności pracy komputera. 2. Zabrania się korzystania z przenośnych nośników danych innych niż służbowe. Nośniki powinny być zabezpieczone hasłem dostępu. 3. Rozpoczęcie pracy użytkownika w systemie informatycznym następuje po poprawnym uwierzytelnieniu (zalogowaniu się do systemu). 4. Maksymalna ilość prób wprowadzenia hasła przy logowaniu się do systemu wynosi trzy razy. Po przekroczeniu tej liczby prób system blokuje dostęp do zbioru danych na poziomie danego użytkownika. Odblokowania konta może dokonać Administrator Systemów Informatycznych w porozumieniu z Administratorem Bezpieczeństwa Informacji, o tym fakcie powiadomiony zostaje również Administrator Danych Osobowych. 5. Rozpoczęcie pracy w aplikacji musi być przeprowadzone zgodnie z instrukcją zawartą w dokumentacji aplikacji; 6. Zakończenie pracy użytkownika następuje po poprawnym wylogowaniu się z systemu oraz poprzez uruchomienie odpowiedniej dla danego systemu opcji jego zamknięcia zgodnie z instrukcją zawartą w dokumentacji; 7. Niedopuszczalne jest zakończenie pracy w systemie bez wykonania pełnej i poprawnej operacji wylogowania z aplikacji i poprawnego zamknięcia systemu; 8. Monitory stanowisk komputerowych znajdujące się w pomieszczeniach, gdzie przebywają osoby, które nie posiadają upoważnień do przetwarzania danych osobowych, a na których przetwarzane są dane osobowe należy ustawić w taki sposób, aby uniemożliwić osobom postronnym wgląd w dane. 9. Użytkownik ma obowiązek wylogowania się w przypadku zakończenia pracy. Stanowisko komputerowe nie może pozostać z uruchomionym i dostępnym systemem bez nadzoru pracującego na nim pracownika. 10. Wydruki zawierające dane osobowe należy przechowywać w miejscu uniemożliwiającym ich odczytanie przez osoby postronne. Wydruki nieprzydatne należy zniszczyć w stopniu uniemożliwiającym ich odczytanie w niszczarce dokumentów. 7 11. Przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze, w którym są przetwarzane dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do ich przetwarzania. 12. Pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać, na czas nieobecności osób zatrudnionych, w sposób uniemożliwiający dostęp do nich osobom trzecim. 13. Użytkownik w przypadku podejrzenia fizycznej ingerencji w przetwarzane dane osobowe, użytkowane narzędzia Administratora programowe Bezpieczeństwa lub sprzętowe Informacji lub niezwłocznie powiadamia Administratora Systemów Informatycznych. Wówczas, użytkownik jest zobowiązany do natychmiastowego wyłączenia sprzętu. 14. W sytuacji chwilowej choćby nieobecności, pracownik upoważniony do przetwarzana danych osobowych zobowiązany jest dokonać niezbędnych operacji w systemie informatycznym uniemożliwiającym dostęp do danych osobowych osobom niepowołanym. 15. W przypadku bezczynności użytkownika na stacji roboczej przez okres dłuższy niż 5 minut włączany jest automatycznie wygaszacz ekranu. Wygaszacze ekranu powinny być zaopatrzone w hasła zbudowane analogicznie do haseł używanych przez użytkownika przy logowaniu 16. Niedopuszczalne jest, aby dwóch lub większa ilość użytkowników wykorzystywała wspólnie jedno konto użytkownika. 17. Całkowite zakończenie pracy w pomieszczeniu, gdzie przetwarzane i przechowywane są dane osobowe wiąże się z dokładnym posprzątaniem stanowiska pracy, zamknięciem papierowych form zapisu danych osobowych w przeznaczonych do tego celu szafach, wyłączeniem komputerów i umieszczeniem zewnętrznych nośników danych w zamkniętych szafach. §6. Procedury tworzenia kopii zapasowych, zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania 1. Dane osobowe przetwarzane w systemie informatycznym podlegają zabezpieczeniu poprzez tworzenie kopii zapasowych. 8 2. Zbiory danych osobowych w systemie informatycznym są zabezpieczane przed utratą lub uszkodzeniem za pomocą: 1) urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej, 2) sporządzanie kopii zapasowych (kopie pełne). 3. Pełne kopie zapasowe zbiorów danych tworzone są w razie potrzeby nie rzadziej niż 1 raz w ciągu roku. 4. Kopie systemu kadrowo-płacowego, wyposażenia i systemu kasa wykonuje się nie rzadziej niż co pół roku. 5. W szczególnych sytuacjach, np. przed aktualizacją lub zmianą oprogramowania lub systemu należy wykonać bezwzględnie pełną kopię zapasową systemu. 6. Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia w przypadku awarii systemu. Za przeprowadzenie tych czynności odpowiada użytkownik skopiowanego zbioru danych. 7. Za proces tworzenia kopii zapasowych odpowiada upoważniony użytkownik danego systemu informatycznego 8. Kopie umieszczone są na nośniku wymiennym, który przechowywany jest w sejfie. Mogą być również przechowywane na płytach CD lub innych elektronicznych nośnikach informacji w zamkniętych szafach w pomieszczeniach, gdzie są przetwarzane dane osobowe np. księgowość, kadry. 9. Kopie zapasowe przechowuje się w sposób uniemożliwiający nieuprawnione przejęcie, modyfikacje, uszkodzenie lub zniszczenie. 10. W przypadku przechowywania kopii zapasowych przez okres dłuższy niż pół roku, wszystkie kopie zapasowe zbiorów danych osobowych, aplikacji przetwarzających dane osobowe oraz danych konfiguracyjnych systemu informatycznego przetwarzającego dane osobowe, których to dotyczy, muszą być okresowo (co najmniej raz na pół roku) sprawdzane pod względem ich dalszej przydatności. Czynności te wykonuje osoba będąca użytkownikiem danego systemu, a nadzór sprawuje Administrator Systemów Informatycznych. 11. Nośniki kopii zapasowych, które zostały wycofane z użycia, jeżeli jest to możliwe, należy pozbawić zapisanych danych za pomocą specjalnego oprogramowania do bezpiecznego usuwania zapisanych danych. W przeciwnym wypadku podlegają fizycznemu zniszczeniu z wykorzystaniem metod adekwatnych do typu nośnika, w sposób uniemożliwiający 9 odczytanie zapisanych na nich danych. Za wyczyszczenie urządzeń i ich zniszczenie odpowiedzialny jest Administrator Systemów Informatycznych. Nadzór nad niszczeniem tych urządzeń sprawuje Administrator Bezpieczeństwa Informacji. §7. Przechowywanie papierowych nośników danych 1. Dane osobowe mogą być zapisywane na nośnikach przenośnych w przypadku tworzenia kopii zapasowych lub gdy istnieje konieczność przeniesienia tych danych w postaci elektronicznej, a wykorzystanie do tego celu sieci informatycznej jest nieuzasadnione lub niemożliwe. 2. Wydruki powinny być przechowywane w zamkniętych szafach wewnątrz obszaru przeznaczonego do przetwarzania danych osobowych i nie powinny być bez uzasadnionej przyczyny wynoszone poza ten obszar. 3. Obowiązuje absolutny zakaz wynoszenia nośników danych poza teren szkoły. 4. W przypadku, gdy nośnik danych osobowych jest uszkodzony, należy przeprowadzić zniszczenie nośnika lub usunięcie danych z nośnika. 5. Jeżeli wydruk danych osobowych nie jest dłużej potrzebny, należy zniszczyć wydruki przy użyciu niszczarki dokumentów. 6. Każde pomieszczenie, w którym przetwarzane i przechowywane są dane osobowe w formie papierowej, w miarę możliwości powinno być wyposażone w niszczarkę. §8. Sposoby zabezpieczenia systemu informatycznego 1. W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony wirusów komputerowych, których celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk komputerowych. 2. Wirusy komputerowe mogą pojawić się systemach szkoły poprzez: Internet, nośniki informacji takie jak: dyskietki, płyty CD, dyski przenośne, itp. 3. Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych realizowane jest następująco: 1) komputery z dostępem do Internetu są zabezpieczone za pomocą oprogramowania antywirusowego, 2) zainstalowany program antywirusowy jest tak skonfigurowany, że co najmniej raz dziennie dokonuje aktualizacji bazy wirusów oraz co najmniej raz w tygodniu 10 dokonywane jest automatycznie sprawdzenie komputera pod kątem obecności wirusów komputerowych. 3) elektroniczne nośniki informacji takie jak dyskietki, dyski przenośne, należy każdorazowo sprawdzać programem antywirusowym przed użyciem, po zainstalowaniu ich w systemie. Czynność powyższą realizuje użytkownik systemu. 4) komputery i systemy z dostępem do Internetu, posiadają również oprogramowanie i mechanizmy zabezpieczające przed nieautoryzowanym dostępem z sieci (firewall). 5) w przypadku, gdy użytkownik stanowiska komputerowego zauważy komunikat oprogramowania zabezpieczającego system wskazujący na zaistnienie zagrożenia lub rozpozna tego typu zagrożenie, zobowiązany jest zaprzestać jakichkolwiek czynności w systemie i dokonać skanowania komputera oprogramowaniem antywirusowym. 6) przy korzystaniu z poczty elektronicznej należy zwrócić szczególną uwagę na otrzymywane załączniki dołączane do treści wiadomości. Zabrania się otwierania załączników i wiadomości poczty elektronicznej od „niezaufanych” nadawców. 7) zabrania się użytkownikom komputerów, wyłączania, blokowania, odinstalowywania programów zabezpieczających komputer (skaner antywirusowy, firewall) przed oprogramowaniem złośliwym oraz nieautoryzowanym dostępem. 8) zabrania się ściąganie plików internetowych dla celów prywatnych. Zakazuje się logowania na portale społecznościowe. 4. W przypadku wystąpienia infekcji i braku możliwości automatycznego usunięcia wirusów przez system antywirusowy Administrator Systemów Informatycznych lub inny wyznaczony pracownik powinien podjąć działania zmierzające do usunięcia zagrożenia. W szczególności działania te mogą obejmować: 1) usunięcie zainfekowanych plików, o ile jest to akceptowalne ze względu na prawidłowe funkcjonowanie systemu informatycznego, 2) odtworzenie plików z kopii zapasowych po uprzednim sprawdzeniu, czy dane zapisane na kopiach nie są zainfekowane 5. Pozostałe rodzaje zagrożeń systemu informatycznego: 1) nieuprawniony dostęp bezpośrednio do bazy danych, 2) uszkodzenie kodu aplikacji umożliwiającej dostęp do bazy danych w taki sposób, że przetwarzane dane osobowe ulegną zafałszowaniu lub zniszczeniu, 11 3) przechwycenie danych podczas transmisji w przypadku rozproszonego przetwarzania danych z wykorzystaniem ogólnodostępnej sieci Internet, 4) przechwycenie danych z aplikacji umożliwiającej dostęp do bazy danych na stacji roboczej wykorzystywanej do przetwarzania danych osobowych przez wyspecjalizowany program szpiegowski i nielegalne przesłanie tych danych poza miejsce przetwarzania danych, 5) uszkodzenie lub zafałszowanie danych osobowych przez wirus komputerowy zakłócający pracę aplikacji umożliwiającej dostęp do bazy danych na stacji roboczej wykorzystywanej do przetwarzania danych osobowych. 6. Sposoby przeciwdziałania wymienionym zagrożeniom: 1) fizyczne odseparowanie serwera bazy danych od sieci zewnętrznej, 2) autoryzacja użytkowników przy zachowaniu odpowiedniego poziomu komplikacji haseł dostępu, 3) stosowanie rygorystycznego systemu autoryzacji dostępu do wszystkich serwerów, na których znajdują się elementy aplikacji umożliwiających przetwarzanie danych osobowych, 4) stosowaniu aplikacji w postaci skompilowanej i nieumieszczenie kodu źródłowego aplikacji na powszechnie dostępnych serwerach, 5) stosowanie szyfrowanej transmisji danych przy zastosowaniu odpowiedniej długości klucza szyfrującego, 7. Użytkownicy systemu informatycznego zobowiązani są do następujących działań: 1) skanowania zawartości informatycznym pod dysków względem stacji roboczej potencjalnie pracującej niebezpiecznych w systemie kodów – przynajmniej 1 raz w tygodniu, 2) stosowania wyłącznie służbowych nośników wymiennych i skanowania ich zawartości przy każdym odczycie, 3) skanowanie informacji przesyłanych do systemu informatycznego pod kątem pojawienia się niebezpiecznych kodów – na bieżąco. 12 Załącznik nr 1 do Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w III Liceum Ogólnokształcącego im. Mikołaja Kopernika w Kaliszu ………………………………. /Imię i nazwisko/ OŚWIADCZENIE Oświadczam, że zapoznałem/-am się z Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w III Liceum Ogólnokształcącym im. Mikołaja Kopernika w Kaliszu i zobowiązuję się do przestrzegania zasad z niej wynikających. ……………………………… /Data i podpis/ 13