ZARZĄDZENIE Nr 33/2012/2013 z dnia 20.08.2013r.

ZARZĄDZENIE Nr 33/2012/2013
DYREKTORA ZESPOŁU SZKÓŁ ZAWODOWYCH I OGÓLNOKSZTAŁCĄCYCH
W KARTUZACH
z dnia 20.08.2013r.
w sprawie: dokumentacji przetwarzania danych osobowych
w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach
Na podstawie art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25,
poz. 219 i Nr 33, poz. 285) § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji
z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100,
poz. 1024)
zarządza się, co następuje:
§1
Wprowadza się do użytku służbowego:
1. Politykę bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach,
stanowiącą załącznik nr 1 do niniejszego zarządzenia.
2. Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych w ZSZiO w Kartuzach, stanowiącą załącznik nr 2 do niniejszego
zarządzenia.
§3
Zobowiązuje się wszystkich pracowników do zapoznania się z treścią zarządzenia.
§4
Tracą moc Załączniki nr 1 i 2 do Zarządzenia Nr 8a/2010/2011 Dyrektora Zespołu Szkół
Zawodowych i Ogólnokształcących w Kartuzach z dnia 01.12.2010 r.
§5
Zarządzenie wchodzi w życie z dniem podpisania.
......................................................
(podpis)
Do wiadomości i stosowania:
.........................................................
.........................................................
.........................................................
.........................................................
.........................................................
Załącznik nr 1
do zarządzenia nr 33/12/13
Dyrektora ZSZiO w Kartuzach
z dnia 20.08.2013r.
POLITYKA BEZPIECZEŃSTWA
przetwarzania danych osobowych
w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach
§1
Postanowienia ogólne
1. Polityka bezpieczeństwa przetwarzania danych osobowych w ZSZiO w Kartuzach
zwana dalej ,,Polityką bezpieczeństwa” określa tryb i zasady ochrony danych osobowych
przetwarzanych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach.
2. Ilekroć w Polityce bezpieczeństwa jest mowa o:
1) ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych,
1) rozporządzeniu – rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych,
2) danych osobowych - w rozumieniu ustawy za dane osobowe uważa się wszelkie
informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania
osoby fizycznej,
3) zbiorze danych osobowych – rozumie się przez to każdy posiadający strukturę zestaw
danych o charakterze osobowym, dostępnych według określonych kryteriów
niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
4) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane
na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te,
które wykonuje się w systemach informatycznych,
5) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą
urządzeń, programów, procedury przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych,
6) zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrażanie
i eksploatację stosowanych środków technicznych i organizacyjnych zapewniających
ochronę danych przed ich nieuprawnionym przetwarzaniem,
7) usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
8) ZSZiO – rozumie się przez to Zespół Szkół Zawodowych i Ogólnokształcących
w Kartuzach,
9) dyrektorze – rozumie się przez Dyrektora ZSZiO w Kartuzach,
10) administratorze danych osobowych – rozumie się przez to dyrektora szkoły,
11) administratorze bezpieczeństwa informacji – rozumie się przez to osobę wyznaczoną
przez administratora danych nadzorującą przestrzegania zasad ochrony,
12) administratorze systemu informatycznego – rozumie się przez to osobę wyznaczoną
przez administratora danych odpowiedzialnego za funkcjonowanie systemu
informatycznego,
13) użytkowniku – rozumie się przez to użytkownika systemu, pracownika ZSZiO
upoważnionego przez administratora danych do przetwarzania danych osobowych,
14) identyfikatorze użytkownika (login) - ciąg znaków literowych, cyfrowych lub innych,
jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych
osobowych w systemie informatycznym,
15) haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany
jedynie osobie uprawnionej do pracy w systemie informatycznym,
16) uwierzytelnieniu – rozumie się przez to działanie, którego celem jest weryfikacja
deklarowanej tożsamości podmiotu,
17) integralności danych – rozumie się przez to właściwość zapewniającą, że dane
osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
18) raporcie – rozumie się przez to przygotowane przez system informatyczny
zestawienia zakresu i treści przetwarzanych danych,
19) poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są
udostępnione nieupoważnionym podmiotom.
3. Polityka bezpieczeństwa zawiera:
1) zasady ochrony dostępu do danych osobowych,
2) kontrolę zabezpieczenia danych osobowych w systemie informatycznym,
3) tryb postępowania w sytuacji naruszenia ochrony danych osobowych,
4) wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe,
5) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych,
6) opis struktury zbiorów danych wskazujących zawartości poszczególnych pól
informatycznych i powiązania między nimi,
7) sposób przepływu danych pomiędzy poszczególnymi systemami,
8) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych.
4. Celem opracowania polityki bezpieczeństwa jest ochrona przed niepowołanym
dostępem do:
a) systemu informatycznego oraz informacji udostępnianych z jego wykorzystaniem;
b) informacji zgromadzonych, przetwarzanych w formie tradycyjnej.
5. Niniejsze opracowanie określa politykę bezpieczeństwa w zakresie przetwarzania danych
osobowych przez pracowników ZSZiO, a w szczególności Administratora Danych
Osobowych oraz Administratora Bezpieczeństwa Informacji i Administratora Systemu
Informatycznego.
6. Dane osobowe w ZSZiO są gromadzone, przechowywane, edytowane, archiwizowane
w kartotekach, skorowidzach, księgach, wykazach, zestawieniach oraz w innych
zestawach i zbiorach ewidencyjnych poszczególnych komórek organizacyjnych ZSZiO
na dokumentach papierowych, jak również w systemach informatycznych
na elektronicznych nośnikach informacji.
7. Polityka bezpieczeństwa wprowadza regulacje w zakresie zasad organizacji procesu
przetwarzania i odnosi się swoją treścią do informacji:
a) w formie papierowej - przetwarzanej w ramach SYSTEMU TRADYCYJNEGO;
b) w
formie
elektronicznej
INFORMATYCZNEGO;
-
przetwarzanej
w
ramach
SYSTEMU
8. Do informacji przechowywanych w systemach informatycznych jak i dokumentów
tradycyjnych mają dostęp jedynie upoważnieni pracownicy oraz osoby mające imienne
zarejestrowane upoważnienie. Wszyscy pracownicy zobowiązani są do zachowania
tych danych w tajemnicy.
9. Dane osobowe są chronione zgodnie z polskim prawem oraz procedurami
obowiązującymi w instytucjach samorządowych dotyczącymi bezpieczeństwa i poufności
przetwarzanych danych. Systemy informatyczne oraz tradycyjne, które przechowują dane
osobowe, są chronione odpowiednimi środkami technicznymi. Opracowane procedury
określają obowiązki użytkownika zbiorów tradycyjnych oraz zasady korzystania
z systemów informatycznych. Każdy użytkownik systemu informatycznego zobowiązany
jest zapamiętać swoją nazwę użytkownika oraz hasło i nie udostępniać go innym osobom.
Użytkownik systemu informatycznego powinien pamiętać o wylogowaniu się
po zakończeniu korzystania z usług systemów informatycznych.
10. Bezpośredni nadzór nad przetwarzaniem danych osobowych sprawuje Administrator
Danych Osobowych, tj. dyrektor.
11. Dyrektor ZSZiO w Kartuzach realizując Politykę bezpieczeństwa dokłada szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności
zapewnia, aby dane te były:
 przetwarzane zgodnie z prawem;
 zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane przetwarzaniu
niezgodnemu z tymi celami;
 merytorycznie poprawne i adekwatne w stosunku do celów, w jakich
są przetwarzane;
 przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą.
12. Procedury i zasady określone w niniejszym dokumencie obowiązują wszystkie osoby
upoważnione do przetwarzania danych osobowych.
§2
Administracja i organizacja bezpieczeństwa
A. Obowiązki Administratora Danych Osobowych
1. Za bezpieczeństwo danych osobowych przetwarzanych w systemach przetwarzania
danych osobowych odpowiada Administrator Danych Osobowych.
2. Administrator danych zobowiązany jest do zapewnienia, aby dane osobowe były:
a) przetwarzane zgodnie z prawem,
b) zbierane dla oznaczonych, zgodnych z prawem celów,
c) merytorycznie poprawne i adekwatne w stosunku do celów.
3. Administrator Danych Osobowych dąży do systematycznego unowocześniania
stosowanych na terenie szkoły informatycznych, technicznych i organizacyjnych
środków ochrony tych danych w celu zabezpieczenia danych osobowych
przed ich udostępnianiem osobom nieupoważnionym, przetwarzaniem z naruszeniem
przepisów o ochronie danych osobowych, nieautoryzowaną zmianą, uszkodzeniem
lub zniszczeniem.
4. Administrator Danych Osobowych opracowuje i prowadzi dokumentację opisującą
sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające
5.
6.
7.
8.
9.
ochronę przetwarzanych danych osobowych, m. in. opracowuje instrukcję określającą
sposób zarządzania systemem informatycznym, służącym do przetwarzania danych
osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji.
Wyznacza osobę, zwaną dalej Administratorem Bezpieczeństwa Informacji,
odpowiedzialnym za bezpieczeństwo danych osobowych w systemie informatycznym,
w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych
do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie
odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń.
Imienne upoważnienie udzielane jest w formie pisemnej i stanowi Załącznik nr 1
do „Polityki bezpieczeństwa”.
Dodatkowo, wyznacza Administratora Systemu Informatycznego odpowiedzialnego
do funkcjonowania systemu informatycznego, wydając upoważnienie stanowiące
Załącznik nr 2 do niniejszego dokumentu.
Każdej osobie zatrudnionej przy przetwarzaniu danych osobowych i obsługującej
zbiory informatyczne nadaje upoważnienie do przetwarzania danych osobowych,
stanowiące Załącznik nr 3 do „Polityki bezpieczeństwa”. Osoby, które zostały
upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy
te dane osobowe oraz sposoby ich zabezpieczenia.
Odpowiada za to by zakres czynności osoby zatrudnionej przy przetwarzaniu danych
osobowych, którego wzór stanowi Załącznik nr 3a do niniejszego dokumentu,
określał odpowiedzialność tej osoby za:
a) ochronę danych przed niepowołanym dostępem,
b) nieuzasadnioną modyfikację lub zniszczenie danych,
c) nielegalne ujawnienie danych,
w stopniu odpowiednim do zadań realizowanych w procesie przetwarzania danych
osobowych.
Określa budynki, pomieszczenia lub części pomieszczeń, tworzące obszar, w którym
przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego.
B. Obowiązki Administratora Bezpieczeństwa Informacji
1. Administrator Danych Osobowych wyznacza Administratora Bezpieczeństwa
Informacji, nadzorującego przestrzeganie zasad ochrony.
2. Do obowiązków Administratora Bezpieczeństwa Informacji należy:
 nadzór nad przestrzeganiem instrukcji określającej sposób zarządzania systemem
informatycznym;
 nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których
przetwarzane są dane osobowe;
 nadzór nad wykorzystywanym w szkole oprogramowaniem oraz jego legalnością;
 przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym
przetwarzane są dane osobowe;
 podejmowanie odpowiednich działań w celu właściwego zabezpieczenia danych;
 badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych;
 podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania
wykorzystywanego do przetwarzania danych osobowych;
 nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych
zawierających dane osobowe;
 definiowanie użytkowników i haseł dostępu;
 nadzór nad wykonywaniem kopii zapasowych, ich przechowywaniem
oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności;
 wdrożenie szkoleń z zakresu przepisów dotyczących ochrony danych osobowych
oraz środków technicznych i organizacyjnych przy przetwarzaniu danych
w systemach informatycznych;
 sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego.
3. Administrator Bezpieczeństwa Informacji prowadzi ewidencję osób upoważnionych
do przetwarzania danych osobowych, która powinna zawierać:
a) imię, nazwisko i stanowisko osoby upoważnionej,
b) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych
osobowych, a także nazwę programu (aplikacji) i identyfikator.
Ewidencję osób upoważnionych do przetwarzania danych osobowych stanowi
Załącznik nr 4 do niniejszej „Polityki bezpieczeństwa”.
C. Obowiązki Administratora Systemu Informatycznego
Obowiązkiem Administratora Systemu Informatycznego jest:
 naprawa, konserwacja oraz likwidacja urządzeń komputerowych zawierających dane
osobowe;
 aktualizowanie oprogramowania antywirusowego i innego, chyba że aktualizacje te
wykonywane są automatycznie;
 regularne
tworzenie
kopii
zapasowych
zasobów
danych
osobowych
oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie
poprawności wykonania kopii zapasowych;
 wykonywanie lub nadzór nad wykonywaniem okresowych przeglądów
i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów
informatycznych,
aplikacji
oraz
elektronicznych
nośników
informacji,
na których zapisane są dane osobowe;
 współdziałanie z ABI w ochronie szkolnych systemów informatycznych;
 konsultacje, udzielanie wsparcia ABI w podejmowaniu decyzji i instalacji aktualizacji,
instalacji wdrażania nowych programów, ustalania sposobów generowania haseł
zabezpieczających informację;
 odpowiedzialność za bezpieczne korzystanie ze sprzętu komputerowego,
jego sprawność techniczną i używanie zgodnie z przeznaczeniem.
D. Obowiązki użytkowników
Do obowiązków użytkowników w zakresie ochrony danych osobowych należy
w szczególności:
 przestrzeganie opracowanych zasad przetwarzania danych osobowych;
 przestrzeganie opracowanych procedur operacyjnych i bezpieczeństwa;
 udostępnianie danych osobowych wyłącznie osobom upoważnionym lub uprawnionym
do ich uzyskania;
 uniemożliwianie dostępu lub podglądu danych osobowych dla osób nieupoważnionych;
 informowanie Administratora Bezpieczeństwa Informacji o wszystkich naruszeniach,
podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony
danych osobowych;
 wykonywanie bez zbędnej zwłoki poleceń ABI w zakresie ochrony danych osobowych,
jeśli są one zgodne z przepisami prawa powszechnie obowiązującego.
§3
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych
1.
2.
3.
Dane osobowe są gromadzone, przechowywane i przetwarzane w kartotekach,
skorowidzach, księgach, wykazach oraz w innych zbiorach ewidencyjnych
poszczególnych komórek organizacyjnych ZSZiO w postaci dokumentów papierowych.
Do przetwarzania zbiorów danych osobowych w systemie informatycznym ZSZiO,
stosowane są pakiety biurowe lub specjalizowane aplikacje (programy).
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych
do przetwarzania tych danych stanowi Załącznik nr 6 do ,,Polityki bezpieczeństwa”.
§4
Opis struktury zbiorów wskazujący zawartości poszczególnych pól informatycznych
i powiązania między nimi stanowi Załącznik nr 7 do ,,Polityki bezpieczeństwa”.
§5
Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami
1.
2.
3.
Obieg dokumentów zawierających dane osobowe pomiędzy komórkami organizacyjnymi
ZSZiO winien odbywać się w sposób zapewniający pełną ochronę przed ujawnieniem
zawartych w tych dokumentach danych (informacji).
Przekazywanie informacji (danych) w systemie informatycznym poza sieć lokalną
ZSZiO, w miarę możliwości, powinno odbywać się w sposób szyfrowany.
Sposób przepływu danych osobowych pomiędzy poszczególnymi systemami stanowi
Załącznik nr 8 do ,, Polityki bezpieczeństwa”.
§6
Środki techniczne i organizacyjne niezbędne do zapewnienia poufności,
integralności i rozliczalności przetwarzanych danych
A. Środki ochrony fizycznej.
Budynek Zespołu Szkół
przy ul. Wzgórze Wolności 3
Zawodowych
i
Ogólnokształcących
w
Kartuzach
1. Dostęp do budynku, w którym zlokalizowany jest obszar przetwarzania danych
osobowych nadzorowany jest przez monitoring poza godzinami pracy szkoły.
2. Budynek, w którym znajduje się obszar przetwarzania danych osobowych, dodatkowo
zabezpieczony jest elektronicznym systemem antywłamaniowym oraz wydzielonym
systemem przeciwpożarowym.
3. Urządzenia służące do przetwarzania danych osobowych znajdują się
w pomieszczeniach zabezpieczonych zamkami patentowymi. Pracownicy
zobowiązania są zamykać pomieszczenia na czas ich nieobecności.
4. Zastosowano szafy pancerne i metalowe do przechowywania kopii zapasowych
i wymiennych nośników danych.
B. Środki sprzętowe, informatyczne i telekomunikacyjne.
Budynek Zespołu Szkół Zawodowych i Ogólnokształcących
przy ul. Wzgórze Wolności 3
1. Zastosowano niszczarki dokumentów.
2. Serwer
podłączony
jest
do
zasilacza
UPS,
na wypadek zaniku napięcia albo awarii w sieci zasilającej.
w
Kartuzach
zastosowanego
3. Zastosowano sieć lokalną Ethernet.
4. Dane są przetwarzane w sposób scentralizowany i zdecentralizowany.
5. Sieć lokalna podłączona jest do Internetu za pomocą sprzętowego urządzenia ( modem
ADSL, serwer z mechanizmem NAT).
6. Kopie awaryjne wykonywane są na zewnętrznych nośnikach danych całościowo.
C. Środki ochrony w ramach oprogramowania urządzeń teletransmisji.
1. Zastosowano sprzętowy oraz programowy firewall.
2. Wszystkie komputery chronione są programem antywirusowym działającym w tle.
Uaktualnienie baz wirusowych następuje automatycznie każdego dnia bezpośrednio
po uruchomieniu komputera.
3. Sprzętowy firewall chroniony jest hasłem dostępu.
D. Środki ochrony w ramach oprogramowania systemu.
1. Dostęp do plików baz danych osobowych zastrzeżony jest wyłącznie
dla Administratora Systemu Informatycznego.
2. System informatyczny pozwala zdefiniować odpowiednie prawa do zasobów
informatycznych systemu.
3. Na komputerach użytkowników zastosowano program antywirusowy.
E. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych.
1. Automatycznie rejestrowany jest identyfikator użytkownika wprowadzającego dane.
2. Dla każdego użytkownika systemu ustalony jest odrębny identyfikator.
F. Środki ochrony w ramach systemu użytkowego.
1. Zastosowano wygaszanie ekranu w przypadku dłuższej nieaktywności użytkownika.
2. Komputer, z którego możliwy jest dostęp do danych osobowych zabezpieczony jest
hasłem.
G. Środki organizacyjne.
1. Wyznaczono Administratora Bezpieczeństwa Informacji.
2. Tymczasowe wydruki z danymi osobowymi są niszczone po ustaniu ich przydatności.
3. Korespondencja z osobami współpracującymi z ZSZiO prowadzona jest pocztą
priorytetową i zapisywana w dzienniku podawczym.
4. Osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane są
do zachowania tajemnicy.
5. Osoby upoważnione do przetwarzania danych osobowych są przed dopuszczeniem ich
do tych danych szkolone w zakresie obowiązujących przepisów o ochronie danych
osobowych, procedur przetwarzania danych oraz informowanie o podstawowych
zagrożeniach związanych z przetwarzaniem danych w systemach informatycznych.
6. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych
osobowych.
7. Ustalono instrukcję zarządzania systemami informatycznymi.
8. Zdefiniowano procedury postępowania w sytuacji naruszenia ochrony danych
osobowych.
9. W przypadku, gdy zachodzi konieczność naprawy sprzętu poza szkołą, należy
wymontować z niego nośniki zawierające dane osobowe.
10. W przypadku, gdy uszkodzenie elementu sprzętu zawierającego nośnik informacji,
na którym zapisane są dane osobowe, np. dysk twardy, wymaga przekazania sprzętu
poza budynek, nośniki te wymontowuje się, a następnie niszczy.
§7
Zasady ochrony dostępu do danych osobowych
1. Przetwarzanie danych osobowych pracowników, uczniów i ich rodziców służy realizacji
zadań szkoły.
2. Przetwarzanie danych osobowych może odbywać się zarówno w systemie
informatycznym, jak i w kartotekach, skorowidzach, księgach, wykazach i innych
zbiorach ewidencyjnych.
3. Dane osobowe przetwarza się w pomieszczeniach tworzących obszar przetwarzania
danych osobowych określony w Załączniku nr 5 do niniejszego dokumentu.
4. Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają
zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika.
Opuszczenie pomieszczenia, w którym znajdują się zbiory danych musi być poprzedzone
przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Przy planowanej
dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz.
Zamknięcie na czas nieobecności uniemożliwia dostęp osób nieuprawnionych.
5. Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy
upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią
danych. Dostęp do pokoi jest kontrolowany za pomocą monitoringu wizyjnego.
6. Przebywanie wewnątrz obszaru, w którym są przetwarzane dane osobowe z użyciem
stacjonarnego sprzętu komputerowego osób nieupoważnionych jest możliwe tylko
w obecności użytkownika i za zgodą Administratora Bezpieczeństwa Informacji.
7. Zasady bezpiecznego użytkowania systemu informatycznego zawarte są
w ,,Instrukcji zarządzania systemem informatycznym w Zespole Szkół Zawodowych
i Ogólnokształcących w Kartuzach” stanowiącej Załącznik Nr 2 do zarządzenia.
8. W zakresie danych osobowych przetwarzanych w innych systemach niż informatyczne,
obowiązują przepisy o tajemnicy służbowej, obiegu i zabezpieczeniu dokumentów
służbowych.
9. Osoby zatrudnione przetwarzające dane osobowe każdego rodzaju, niezależnie
od systemu przetwarzania, są zobowiązane przestrzegać następujące zasady:
a) mogą przetwarzać dane osobowe wyłącznie w zakresie ustalonym indywidualnie
przez Administratora Danych Osobowych w upoważnieniu i tylko w celu
wykonywania nałożonych na nią obowiązków. Zakres dostępu do danych
przypisany jest do niepowtarzalnego identyfikatora użytkownika, niezbędnego
do rozpoczęcia pracy w systemie. Rozwiązanie stosunku pracy, odwołanie z pełnionej
funkcji powoduje wygaśnięcie upoważnienia do przetwarzania danych osobowych;
b) muszą zachować tajemnicę danych osobowych oraz przestrzegać procedur
ich bezpiecznego przetwarzania. Przestrzeganie tajemnicy danych osobowych
obowiązuje przez cały okres zatrudnienia, a także po ustaniu stosunku pracy
lub odwołaniu z pełnionej funkcji;
c) zapoznają się z przepisami prawa w zakresie ochrony danych osobowych
oraz postanowieniami niniejszej polityki i „Instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych”;
d) stosują określone procedury oraz wytyczne mające na celu zgodne z prawem
przetwarzanie danych;
e) korzystają z systemu informatycznego w sposób zgodny ze wskazówkami zawartymi
w instrukcjach obsługi urządzeń wchodzących w skład systemu informatycznego,
oprogramowania i nośników;
f) zabezpieczają dane przed ich udostępnieniem osobom nieupoważnionym.
§8
Kontrola przestrzegania zasad zabezpieczenia danych osobowych
1. Administrator Danych i Administrator Bezpieczeństwa Informacji sprawują nadzór
nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie
danych osobowych oraz zasad ustanowionych w niniejszym dokumencie.
2. Administrator Bezpieczeństwa sporządza roczny plan kontroli zatwierdzony
przez dyrektora i zgodnie z nimi przeprowadza kontrole oraz dokonuje półrocznych ocen
stanu bezpieczeństwa danych osobowych.
3. Na podstawie zgromadzonych materiałów, o których mowa w ust. 2, Administrator
Bezpieczeństwa sporządza roczne sprawozdanie i przedstawia Administratorowi Danych
(Dyrektorowi ZSZiO w Kartuzach).
§9
Kontrola zabezpieczenia danych osobowych w systemie informatycznym
1. Codzienną kontrolę zabezpieczenia danych w systemie informatycznym sprawuje
użytkownik.
2. Dyrektor prowadzi bieżący nadzór nad przestrzeganiem przez użytkowników
zasad ochrony danych osobowych oraz sprawuje kontrolę nad tym, jakie dane osobowe,
kiedy i przez kogo zostały do zbioru wprowadzone oraz komu przekazane.
§ 10
Tryb postępowania w sytuacji naruszenia ochrony danych osobowych
1. Za naruszenie ochrony danych osobowych uważa się w szczególności:
1) próbę lub fakt nieuprawnionego dostępu do zbioru danych osobowych lub obszaru,
w którym są one przetwarzane,
2) sytuację, w której skutkiem jest:
a) brak możliwości fizycznego dostępu do danych np. z powodu zgubienia klucza
do pomieszczenia lub mebli biurowych, w których przechowywane są dokumenty
zawierające przetwarzane dane osobowe, zniszczenia lub kradzieży urządzeń
służących do przechowywania danych osobowych, w tym elektronicznych
nośników informacji,
b) brak dostępu do zawartości zbioru danych, np. zbiór istnieje, lecz nie ma
możliwości przetwarzania danych osobowych,
c) zmieniono zawartość zbioru, np. niepoprawna treść, postać, data, różnica
w danych,
d) różnica funkcjonowania systemu, a w szczególności wyświetlania komunikatów
i informacji o błędach oraz nieprawidłowościach w wykonywaniu operacji.
3) zniszczenie lub próby zniszczenia w sposób nieautoryzowany danych ze zbioru
danych systemowych,
4) zmianę lub utratę danych zapisanych na kopiach awaryjnych lub zapisach
archiwalnych,
5) nieskuteczne zniszczenie nośników informacji zawierających dane osobowe
umożliwiające ponowny ich odczyt przez osoby nieuprawnione,
6) nieuprawnioną zmianę elementów systemu
informatycznego
służących
do przetwarzania danych w szczególności urządzeń, procedur i oprogramowania.
2. W przypadku stwierdzenia naruszenia zabezpieczenia danych osobowych, dyrektor
lub użytkownik zobowiązany jest do:
1) określenia, w miarę możliwości charakteru zaistniałej sytuacji (kradzież, wirus
komputerowy),
2) niezwłocznego zawiadomienia o zaistniałej sytuacji Administratora Bezpieczeństwa
lub Administratora Danych oraz Administratora Systemu,
3) zabezpieczenia, w zależności od sytuacji dostępu do pomieszczenia i urządzenia
służącego do przetwarzania danych osobowych a także dowodów zdarzenia
przed zniszczeniem,
4) powstrzymania się od pracy w systemie informatycznym oraz w przypadku
podejrzenia infekcji wirusowej natychmiastowego wyłączenia urządzenia
przetwarzającego dane,
5) podjęcie działań stosownie do zaistniałej sytuacji, które zapobiegną ewentualnej
utracie danych osobowych,
6) sporządzeniu notatki służbowej z dokonanych ustaleń oraz podjętych działań
i przekazania jej osobom wymienionym w pkt 2.
3. W sytuacji, o której mowa w ust. 2, Administrator Bezpieczeństwa zobowiązany jest do:
1) oceny sytuacji uwzględniając stan pomieszczenia, w którym przetwarzane są dane
osobowe, stan urządzenia oprogramowania i zbioru oraz identyfikacji zakresu
ewentualnych negatywnych następstw ochrony danych osobowych,
2) podjęcia działań mających na celu ustalenia sprawcy, miejsca, czasu i sposobu
dokonania naruszenia ochrony danych osobowych,
3) podjęcia decyzji w sprawie ewentualnego odizolowania odpowiednich części systemu,
dokonania przeglądu i kontroli zabezpieczeń wszystkich pozostałych elementów
sytemu,
4) podjęcia działań mających na celu przywrócenie prawidłowego stanu zbiorom danych
osobowych i elementów systemu informatycznego, w tym zabezpieczenia,
5) podjęcia decyzji co do dalszego postępowania, w tym dotyczącej przetwarzania
danych osobowych w systemie informatycznym,
6) sporządzenie notatki służbowej, tzw. raportu z dokonanych ustaleń oraz podjętych
działań. Raport, stanowiący Załącznik nr 9, powinien zawierać informacje
o przyczynach, skutkach, a także winnych naruszenia ochrony danych osobowych
i czy naruszenie ochrony danych osobowych było wynikiem przestępstwa
oraz wnioski określające zakres działań technicznych i organizacyjnych niezbędnych
do podjęcia w celu zapobieżenia w przyszłości naruszeniu ochrony danych
osobowych.
7) Raport, o którym mowa w ust. 6, Administrator Bezpieczeństwa niezwłocznie
przekazuje Administratorowi Danych.
8) Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu
Administrator Bezpieczeństwa zasięga niezbędnych opinii i proponuje postępowanie
naprawcze, a w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych
z zabezpieczeń oraz terminu wznowienia przetwarzania danych.
§ 11
Udostępnianie posiadanych w zbiorze danych osobowych
1. Do udostępniania posiadanych w zbiorze danych osobowych upoważniony jest
Administrator Danych Osobowych lub pracownik posiadający wymagane prawem
upoważnienie.
2. W przypadku udostępniania danych osobowych w celach innych niż włączenie
do zbioru, Administrator Danych Osobowych udostępnia posiadane w zbiorze dane
osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
§ 12
Szkolenia w zakresie ochrony danych osobowych
1. Przed rozpoczęciem przetwarzania danych osobowych pracownik powinien zostać
przeszkolony przez Administratora Bezpieczeństwa Informacji. Szkolenie powinno
obejmować następujące zagadnienia:
1) Przepisy o ochronie danych osobowych.
2) Zasady przetwarzania danych osobowych.
3) Procedury dotyczące bezpiecznego przetwarzania danych osobowych w systemach
informatycznych.
4) Zasady użytkowania urządzeń i systemów informatycznych służących do przetwarzania
danych osobowych.
5) Zagrożenia, na jakie może być narażone przetwarzanie danych osobowych,
a w szczególności te związane z przetwarzaniem danych osobowych w systemach
informatycznych.
6) Zasady dostępu do pomieszczeń, w których przetwarzane są dane osobowe.
7) Sposób postępowania w przypadku naruszenia ochrony danych osobowych lub systemu
informatycznego.
8) Odpowiedzialność z tytułu naruszenia ochrony danych osobowych.
2. Szkolenia powinny być powtarzane okresowo lub na żądanie, gdy zaistnieje
taka potrzeba.
§ 13
Przeglądy polityki bezpieczeństwa i audyty systemu
1. Polityka bezpieczeństwa powinna być poddawana przeglądowi przynajmniej
raz na rok. W razie istotnych zmian dotyczących przetwarzania danych
osobowych Administrator Bezpieczeństwa Informacji może zarządzić przegląd
Polityki bezpieczeństwa stosownie do potrzeb.
2. Administrator Bezpieczeństwa Informacji analizuje, czy Polityka bezpieczeństwa
i pozostała dokumentacja z zakresu ochrony danych osobowych jest adekwatna do:
a) zmian w budowie systemu informatycznego;
b) zmian organizacyjnych Administratora Danych, w tym również zmian statusu osób
upoważnionych do przetwarzania danych osobowych;
c) zmian w obowiązującym prawie.
3. Administrator Bezpieczeństwa Informacji może, stosownie do potrzeb, przeprowadzić
wewnętrzny audyt zgodności przetwarzania danych z przepisami o ochronie danych
osobowych. Przeprowadzenie audytu wymaga uzgodnienia jego zakresu
z Administratorem Systemu. Zakres, przebieg i rezultaty audytu dokumentowane są
na piśmie w protokole podpisywanym zarówno przez Administratora Bezpieczeństwa
Informacji, jak i Administratora Danych Osobowych.
Załącznik Nr 1
Nr ewidencyjny: ..............................................
do POLITYKI BEZPIECZEŃSTWA
UPOWAŻNIENIE
do przetwarzania danych osobowych
I.
Upoważniam Panią/Pana ..............................................................................................................
(imię i nazwisko)
zatrudnioną/zatrudnionego w .......................................................................................................
.......................................................................................................................................................
(nazwa komórki organizacyjnej)
do przetwarzania danych osobowych, w celach związanych z wykonywaniem obowiązków
na stanowisku: ..............................................................................................................................
(zajmowane stanowisko)
oraz do obsługi systemu informatycznego i urządzeń wchodzących w jego skład.
Niniejsze upoważnienie obejmuje przetwarzanie danych osobowych w formie tradycyjnej
(kartoteki, ewidencje, rejestry, spisy itp.*) i elektronicznej, tj.
.......................................................................................................................................................
......................................................................................................................................................,
(zakres danych osobowych)
zgodnie z wykazem zbiorów podanych w pkt. II.
II.
Upoważniam Panią/Pana do przetwarzania danych osobowych zawartych w następujących
zbiorach: (proszę wpisać zgodnie z wykazem obowiązujących nazw zbiorów danych osobowych przetwarzanych w ZSZiO Kartuzy
zgodnie z Załącznikiem Nr 2 do Polityki Bezpieczeństwa oraz podać zakres upoważnienia i identyfikator w zbiorze)
1..................................................................................................................................................................
2..................................................................................................................................................................
3..................................................................................................................................................................
Upoważnienie jest udzielane na czas trwania zatrudnienia.
III.
Równocześnie zobowiązuję Panią/Pana do zachowania w tajemnicy wszelkich informacji
dotyczących przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
Informuję, że udostępnianie danych osobowych lub umożliwianie dostępu do nich osobie
nieuprawnionej podlega karze grzywnie, karze ograniczenia wolności do lat dwóch.
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
(podpis Administratora Danych Osobowych)
OŚWIADCZENIE PRACOWNIKA
IV.
Ja niżej podpisana (ny) oświadczam, iż:
1. Zostałam (em) przeszkolona (ny) w zakresie ochrony danych osobowych i znana jest mi treść
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych t.j. Dz.U. z 2002 r. nr 101,
poz. 926 z późn. zm. oraz „Polityką bezpieczeństwa przetwarzania danych osobowych w ZSZiO
w Kartuzach” i wydanej na jej podstawie „Instrukcji zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych w ZSZiO w Kartuzach”.
2. Zobowiązuję się:
zachować w tajemnicy dane osobowe, z którymi zetknęłam się / zetknąłem się* w trakcie
wykonywania swoich obowiązków służbowych, zarówno w czasie trwania stosunku pracy,
jak i po jego ustaniu;
chronić dane osobowe przed dostępem do nich osób do tego nieupoważnionych, zabezpieczać je
przed zniszczeniem i nielegalnym ujawnieniem.
3. Znana jest mi odpowiedzialność karna za naruszenie ww. ustawy (art. 49-54).
.....................................................................
(data, podpis pracownika)
Załącznik Nr 2
do POLITYKI BEZPIECZEŃSTWA
...................................................
(pieczątka szkoły)
UPOWAŻNIENIE
Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia
29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (DZ. U. nr 100, poz. 1024)
upoważniam Pana / Panią ............................................................................................................
do wykonywania zadań Administratora Bezpieczeństwa Informacji w Zespole Szkół
Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy
z 29.08.1997 r. o ochronie danych osobowych (dz. U. nr 101, poz. 926, z 2002 r.)
oraz aktów wykonawczych wydanych na jej podstawie.
Obowiązkiem Pana / Pani jest:
 nadzór nad przestrzeganiem instrukcji określającej sposób zarządzania systemem
informatycznym;
 nadzór nad właściwym zabezpieczeniem sprzętu oraz pomieszczeń, w których
przetwarzane są dane osobowe;
 nadzór nad wykorzystywanym w szkole oprogramowaniem oraz jego legalnością;
 przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są
dane osobowe;
 podejmowanie odpowiednich działań w celu właściwego zabezpieczenia danych;
 badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych;
 podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania
wykorzystywanego do przetwarzania danych osobowych;
 nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych
zawierających dane osobowe;
 definiowanie użytkowników i haseł dostępu;
 nadzór
nad
wykonywaniem
kopii
zapasowych,
ich
przechowywaniem
oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności;
 wdrożenie szkoleń z zakresu przepisów dotyczących ochrony danych osobowych oraz
środków
technicznych
i
organizacyjnych
przy
przetwarzaniu
danych
w systemach informatycznych;
 sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego.
Jednocześnie upoważniam Pana / Panią do dostępu do zbiorów danych osobowych
prowadzonych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach,
ich przetwarzania i kontrolowania pracowników zatrudnionych przy jego przetwarzaniu,
a także do ich przetwarzania w zakresie niezbędnym do realizacji przydzielonych
obowiązków służbowych.
Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych
i Ogólnokształcących w Kartuzach.
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
(podpis Administratora Danych Osobowych)
Załącznik Nr 3
do POLITYKI BEZPIECZEŃSTWA
...................................................
(pieczątka szkoły)
UPOWAŻNIENIE
Na podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia
29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (DZ. U. nr 100, poz. 1024)
upoważniam Pana / Panią ............................................................................................................
do wykonywania zadań Administratora Systemu Informatycznego w Zespole Szkół
Zawodowych i Ogólnokształcących w Kartuzach wynikających z przepisów ustawy
z 29.08.1997 r. o ochronie danych osobowych (dz. U. nr 101, poz. 926, z 2002 r.)
oraz aktów wykonawczych wydanych na jej podstawie.
Obowiązkiem Pana / Pani jest:
 naprawa, konserwacja oraz likwidacja urządzeń komputerowych zawierających dane
osobowe;
 aktualizowanie oprogramowania antywirusowego i innego, chyba że aktualizacje te
wykonywane są automatycznie;
 regularne
tworzenie
kopii
zapasowych
zasobów
danych
osobowych
oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności
wykonania kopii zapasowych;
 wykonywanie
lub
nadzór
nad
wykonywaniem
okresowych
przeglądów
i konserwacji, zgodnie z odrębnymi procedurami, sprzętu IT, systemów informatycznych,
aplikacji
oraz
elektronicznych
nośników
informacji,
na których zapisane są dane osobowe;
 współdziałanie z ABI w ochronie szkolnych systemów informatycznych;
 konsultacje, udzielanie wsparcia ABI w podejmowaniu decyzji i instalacji aktualizacji,
instalacji wdrażania nowych programów, ustalania sposobów generowania haseł
zabezpieczających informację;
 odpowiedzialność za bezpieczne korzystanie ze sprzętu komputerowego,
jego sprawność techniczną i używanie zgodnie z przeznaczeniem.
Jednocześnie upoważniam Pana / Panią do dostępu do zbiorów danych osobowych
prowadzonych w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach,
a także do ich przetwarzania w zakresie niezbędnym do realizacji przydzielonych
obowiązków służbowych oraz do obsługi systemu informatycznego i urządzeń wchodzących
w jego skład.
Upoważnienie jest ważne przez czas zatrudnienia w Zespole Szkół Zawodowych
i Ogólnokształcących w Kartuzach.
Kartuzy, dn. ............................
(miejscowość)
(data)
........................................................
(podpis Administratora Danych Osobowych)
Załącznik Nr 3a
...................................................
do POLITYKI BEZPIECZEŃSTWA
/imię i nazwisko pracownika/
ZAKRES CZYNNOŚCI PRACOWNIKA
ZATRUDNIONEGO PRZY PRZETWARZANIU
DANYCH OSOBOWYCH
I. Obowiązki pracownika
Pracownik dopuszczony do przetwarzania danych osobowych zobowiązany jest do:
1. Zapoznania się i wypełniania obowiązków wynikających z:
 przepisów ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych
(Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.) oraz przepisów wykonawczych
wydanych na jej podstawie,
 przepisów Konwencji oraz Dyrektyw dotyczących ochrony danych osobowych,
w tym Dyrektywy 95/46/WE Parlamentu Europejskiego I Rady z dnia
24 października 1995r. w sprawie ochrony danych osób fizycznych w zakresie
przetwarzania danych osobowych i swobodnego przepływu tych danych.
2. Kontrolowania dostępu do danych osobowych.
3. Zachowania w tajemnicy danych oraz sposobu ich zabezpieczania do których uzyskał
dostęp w trakcie zatrudnienia, również po ustaniu zatrudnienia.
4. Zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez ich ochronę
przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem,
nielegalnym ujawnieniem lub pozyskaniem.
II. Odpowiedzialność pracownika
Za niedopełnienie obowiązków wynikających z niniejszego aneksu pracownik ponosi
odpowiedzialność na podstawie przepisów Regulaminu pracy, Kodeksu pracy
oraz ustawy o ochronie danych osobowych.
Oświadczam, że treść niniejszego zakresu
jest mi znana i zobowiązuję się
do jego przestrzegania.
………………………………
/podpis pracownika/
……………………………
/podpis pracodawcy/
Załącznik Nr 4
do POLITYKI BEZPIECZEŃSTWA
Ewidencja osób upoważnionych do przetwarzania danych osobowych,
zgodnie z art. 39, pkt. 1 ustawy z dnia 29 sierpnia 2002 roku o ochronie danych osobowych
Dz. U. Nr 101, poz. 926 z późn. zm.
Lp.
1.
2.
3.
4.
5.
6.
7.
Imię i nazwisko
osoby upoważnionej
Stanowisko
Data nadania
Data ustania
Zakres upoważnienia
do przetwarzania danych
osobowych
Nazwa programu
oraz
identyfikator
w systemie
informatycznym
Załącznik Nr 5
do POLITYKI BEZPIECZEŃSTWA
WYKAZ POMIESZCZEŃ,
w których przetwarzane są dane osobowe
Lp. Pomieszczenie, w którym
są przetwarzane dane osobowe
Nazwa zbioru przetwarzanych danych
1.
Sekretariat
Archiwum
Ewidencja uczniów
Wykaz uczniów do matury i egzaminów
potwierdzających kwalifikacje zawodowe
Ewidencja zasobów szkoły
2.
Księgowość i Kadry
Płace
Finansowo – Księgowy
Przelewy
Pracownicy
Kandydaci do pracy
Ewidencja zasobów szkoły
3.
Administracja
Ewidencja sprzętu komputerowego
i oprogramowania
Płatnik
Zamówienia publiczne
Badania BHP i PPOŻ
Ewidencja zasobów szkoły
4.
Gabinet Wicedyrektorów
Arkusz organizacyjny
Plan lekcji
Arkusze ocen
Ewidencja wyników maturalnych
i gimnazjalnych uczniów
5.
Gabinet Dyrektora
Rejestr upoważnień
6.
Doradca zawodowy
Losy absolwentów
7.
Kierownik szkolenia praktycznego
Ewidencja wyników egzaminów
zawodowych absolwentów
Pracodawcy
8.
Pedagog szkolny
Informacje o uczniach i ich sytuacji
rodzinnej, wychowawczej, profilaktycznej
i opiekuńczej
9.
Czytelnia i biblioteka
Ewidencja księgozbioru i uczniów
Załącznik Nr 6
do POLITYKI BEZPIECZEŃSTWA
WYKAZ ZBIORÓW DANYCH OSOBOWYCH
wraz ze wskazaniem programów
zastosowanych do przetwarzania danych
Sposób przetwarzania
Lp.
Nazwa zbioru danych osobowych
Tradycyjny
W systemie
informatycznym
(nazwa programu)
1.
Archiwum
X
2.
Ewidencja uczniów
X
Sekretariat Optivum,
3.
Wykaz uczniów do matury i egzaminów
potwierdzających kwalifikacje
zawodowe
X
Program Hermes
4.
Ewidencja zasobów szkoły
X
SIO
5.
Płace
6.
Finansowo – Księgowy
7.
Przelewy
8.
Pracownicy
X
9.
Kandydaci do pracy
X
10.
Ewidencja sprzętu komputerowego
i oprogramowania
X
11.
Płatnik
12.
Zamówienia Publiczne
X
13.
Badania BHP i PPOŻ
X
14.
Arkusz organizacyjny
15.
Plan lekcji
X
16.
Arkusze ocen
X
17.
Ewidencja
wyników
i gimnazjalnych uczniów
Płace Optivum
Faktury Optivum
Księgowość Optivum
Przelewy iPKO
Kadry Optivum,
Płatnik
Arkusz Optivum
maturalnych
X
LIBRUS
Analizator matur
PROGMAN
18.
Dziennik elektroniczny
LIBRUS (on-line)
19.
Rejestr upoważnień
X
20.
Losy absolwentów
X
21.
Ewidencja
wyników
egzaminów
zawodowych absolwentów
X
22.
Pracodawcy
X
23.
Informacje o uczniach i ich sytuacji
rodzinnej, wychowawczej,
profilaktycznej i opiekuńczej
X
24.
Ewidencja księgozbioru i uczniów
MOL Optivum
Załącznik Nr 7
do POLITYKI BEZPIECZEŃSTWA
OPIS STRUKTURY ZBIORÓW DANYCH
wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
Lp.
Nazwa zbioru danych
osobowych
Struktura zbioru
1.
Archiwum
Nazwisko i imię, imiona rodziców,
data urodzenia, miejsce
zamieszkania, data przyjęcia do
pracy, stanowisko, wykształcenie,
sposób nawiązania stosunku pracy,
sposób rozwiązania stosunku
pracy, data zwolnienia
2.
Ewidencja uczniów
Nazwisko i imię, imiona rodziców,
data i miejsce urodzenia, miejsce
zamieszkania, wykształcenie
3.
Wykaz uczniów
do matury i egzaminów
potwierdzających
kwalifikacje zawodowe
Imiona i nazwisko, PESEL
4.
Ewidencja zasobów
szkoły
Informacje o uczniach: imiona
i nazwisko, PESEL, data i miejsce
urodzenia, adres zamieszkania,
wykształcenie; informacje
o nauczycielach: imiona
i nazwisko, PESEL, data i miejsce
urodzenia, adres zamieszkania,
miejsce zatrudnienia,
wykształcenie, zawód,
wynagrodzenie
5.
Płace
Nazwiska i imiona, data i miejsce
urodzenia, adres zamieszkania,
PESEL, NIP, miejsce pracy,
zawód, kwota składników
wynagrodzenia i składek
6.
Finansowo – Księgowy
Nazwiska i imiona, adres
zamieszkania, NIP
7.
Przelewy
Nazwiska, imiona, adresy
Powiązania między
polami
informacyjnymi
zamieszkania, nazwa, nr konta
bankowego kontrahentów, NIP,
REGON, nr telefonu
8.
Pracownicy
Nazwisko i imię, imiona rodziców,
data urodzenia, miejsce
zamieszkania, numer i seria
dowodu osobistego, data
urodzenia dzieci pracownika, imię
i nazwisko, adres i telefon osoby,
którą należy powiadomić
o wypadku pracownika, data
przyjęcia do pracy, wykształcenie,
dotychczasowe zatrudnienie,
stanowisko, sposób nawiązania
stosunku pracy, sposób
rozwiązania stosunku pracy, data
zwolnienia
9.
Kandydaci do pracy
Imię i nazwisko, imiona rodziców,
data i miejsce urodzenia, adres
zamieszkania, miejsce pracy,
zawód, wykształcenie, znajomość
języków, posiadane prawo jazdy,
zainteresowania
10.
Ewidencja sprzętu
komputerowego
i oprogramowania
Imię i nazwisko, numery seryjne
i ewidencyjne urządzeń, nazwy
urządzeń i oprogramowania
11.
Płatnik
Nazwiska i imiona, data
urodzenia, adres zamieszkania,
PESEL, NIP, miejsce pracy,
kwota składników wynagrodzenia
i składek
12.
Zamówienia publiczne
Nazwisko i imię, nazwa firmy,
adres firmy, nr telefonu
13.
Badania BHP i POPŻ
Nazwisko i imię, nazwa firmy,
adres firmy, nr telefonu
14.
Arkusz organizacyjny
Imię i nazwisko, płeć, PESEL,
data rodzenia, dane płacowe,
stanowisko, wykształcenie, forma
zatrudnienia
Powiązanie danych
użytkownika
konkretnymi
urządzeniami oraz
oprogramowaniem
oraz ich numerami
seryjnymi
i ewidencyjnymi.
15.
Plan lekcji
Imię i nazwisko
16.
Arkusze ocen
Imiona i nazwisko, data i miejsce
urodzenia,
PESEL,
imiona
i nazwiska rodziców oraz ich
adresy
zamieszkania,
data
opuszczenia szkoły, przyczyna
opuszczenia, oceny, osiągnięcia.
frekwencja
17.
Ewidencja wyników
maturalnych
i gimnazjalnych
uczniów
Imiona i nazwisko, PESEL,
wyniki egzaminu maturalnego
i gimnazjalnego
18.
Dziennik elektroniczny
Imiona i nazwisko, imiona
i nazwiska rodziców / opiekunów,
data i miejsce urodzenia, miejsce
zamieszkania, PESEL, płeć,
tel. kontaktowy, osiągnięcia
edukacyjne, frekwencja
19.
Rejestr upoważnień
Imię i nazwisko, stanowisko
20.
Losy absolwentów
Imię i nazwisko absolwenta,
nazwa uczelni i kierunek studiów,
informacje o zatrudnieniu (zakład
pracy, branża, rodzaj stosunku
pracy)
21.
Ewidencja wyników
egzaminów
zawodowych
absolwentów
Imiona i nazwisko, PESEL, data
i miejsce urodzenia, wyniki
egzaminu zawodowego
22.
Pracodawcy
Nazwa, adres siedziby, NIP
23.
Informacje o uczniach
i ich sytuacji rodzinnej,
wychowawczej,
profilaktycznej
i opiekuńczej
Imiona i nazwisko, data i miejsce
urodzenia uczniów, adresy
zamieszkania, informacje
o dysfunkcjach uczniów
i ich niepełnosprawności, choroby,
struktura rodziny, dane nt.
zatrudnienia rodziców uczniów,
nazwy i adresy instytucji
24.
Ewidencja
księgozbioru
i uczniów
Imię i nazwisko
Załącznik Nr 8
do POLITYKI BEZPIECZEŃSTWA
SPOSÓB PRZEPŁYWU DANYCH OSOBOWYCH
pomiędzy poszczególnymi systemami
Lp.
Nazwa zbioru
Sposób przepływu danych pomiędzy
poszczególnymi systemami
1.
System Kadry – System Płace
Baza systemu Płace jest otwierana w trybie
tylko do odczytu w systemie Płace
2.
System Płace – Płatnik
Eksport danych z systemu Płace w postaci
pliku zapisanego w formie KDU
do programu Płatnik
3.
System Hermes – OKE
Program szyfruje i pakuje dane tworząc plik
z rozszerzeniem XML, CSV, po czym plik
przesyłany jest do OKE
4.
System SIO – Starostwo Powiatowe
System wykorzystuje wygenerowane dane
z dostępnych systemów, szyfruje i pakuje
dane tworząc plik z rozszerzeniem .exp –
plik przesyłany jest do Starostwa
Powiatowego w Kartuzach
Załącznik Nr 9
do POLITYKI BEZPIECZEŃSTWA
RAPORT
z naruszenia bezpieczeństwa systemu informatycznego
w Zespole Szkół Zawodowych i Ogólnokształcących
w Kartuzach
1. Data………………………………….
Godzina…………………………………
/dd.mm.rr./
2. Osoba powiadamiająca o zaistniałym zdarzeniu:
…………………………………………………………………………………………………...
/imię, nazwisko, stanowisko służbowe, nazwa użytkownika – jeśli występuje/
3. Lokalizacja zdarzenia:
…………………………………………………………………………………………………...
/np. nr pokoju, nazwa pomieszczenia/
4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:
…………………………………………………………………………………………………...
…………………………………………………………………………………………………...
5. Podjęte działania:
…………………………………………………………………………………………………...
…………………………………………………………………………………………………...
6. Przyczyny wystąpienia zdarzenia:
…………………………………………………………………………………………………...
…………………………………………………………………………………………………...
7. Postępowanie wyjaśniające:
…………………………………………………………………………………………………...
…………………………………………………………………………………………………...
……..……..………………………………………………
/data, podpis Administratora Bezpieczeństwa Informacji/
Załącznik nr 2
do zarządzenia nr 8a/10/11
Dyrektora ZSZiO w Kartuzach
z dnia 01.12.2010r.
INSTRUKCJA
ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
służącym do przetwarzania danych osobowych
w Zespole Szkół Zawodowych i Ogólnokształcących w Kartuzach
Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych
osobowych w ZSZiO w Kartuzach zwana dalej ,,Instrukcja zarządzania” określa i zawiera:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
2) metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem
i użytkowaniem,
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym,
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania,
5) sposób, miejsce oraz okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
7) zasady i sposób odnotowania w systemie informacji: komu, kiedy i w jakim zakresie dane
osobowe ze zbiorów zostały udostępnione,
8) procedury wykonania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych.
§1
Procedura nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym, wskazanie osoby odpowiedzialnej za te czynności.
A. Procedura nadawania uprawnień do przetwarzania danych
1. Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych,
może być dopuszczona wyłącznie osoba posiadająca upoważnienie do przetwarzania
danych osobowych, stanowiące Załącznik Nr 1 do ,, Instrukcji zarządzania systemem
informatycznym”.
2. Upoważnienia do przetwarzania danych osobowych wraz z oświadczeniem
przechowywane są w teczkach akt osobowych pracowników.
3. Upoważnienie powinno mieć charakter imienny i określać dozwolony okres
i zakres przetwarzania danych. Upoważnienia mogą być wydawane bezterminowo
lub na czas określony.
4. Upoważnienie do przetwarzania danych osobowych każdemu użytkownikowi
nadaje dyrektor.
5. Każdy użytkownik systemu informatycznego, który przetwarza dane osobowe,
posiada niepowtarzalny identyfikator. Identyfikator, a także hasło początkowe ustala
Administrator Bezpieczeństwa Informacji.
6. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu
użytkownika z systemu informatycznego, nie powinien być przydzielany innej osobie.
7. W przypadku utraty przez daną osobę uprawnień do dostępu do danych osobowych
w systemie informatycznym identyfikator takiej osoby należy niezwłocznie
wyrejestrować z systemu, unieważnić jej hasło oraz podjąć inne stosowne działania
w celu zapobieżenia dalszemu dostępowi tej osoby do danych. Za realizację procedury
rejestrowania i wyrejestrowywanie użytkowników w systemie informatycznym
odpowiedzialny jest Administrator Systemu Informatycznego.
8. Wydane upoważnienie dyrektor przekazuje Administratorowi Bezpieczeństwa
Informacji.
9. Administrator Bezpieczeństwa Informacji na podstawie otrzymanych upoważnień
prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.
Wzór ewidencji stanowi Załącznik Nr 2 do ,,Instrukcji zarządzania systemem
informatycznym”.
10. Administrator Bezpieczeństwa Informacji bada poprawność przekazanych
dokumentów oraz:
a) w przypadku braku uwag przekazuje je Administratorowi Systemu Informatycznego,
w celu nadania uprawnień użytkownikowi w systemie informatycznym,
b) w przypadku uwag przekazuje dokumenty z odpowiednią adnotacją dyrektorowi
od którego je otrzymał. Czynności te powtarza się do czasu uzyskania akceptacji.
B. Rejestrowanie uprawnień do przetwarzania danych
1. Administrator Systemu Informatycznego odpowiednio, zgodnie z przekazanymi
dokumentami rejestruje użytkownika w systemie i nadaje mu określone uprawnienia.
2. Administrator Bezpieczeństwa Informacji aktualizuje ewidencję osób upoważnionych
do przetwarzania danych osobowych i przekazuje informację o zarejestrowaniu
użytkownika w systemie informatycznym dyrektorowi.
3. Użytkownik systemu informatycznego w obecności Administratora Systemu
uwierzytelnia się w systemie informatycznym.
4. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może mieć
miejsce wyłącznie po:
a) podaniu właściwego hasła dostępu do stanowiska komputerowego,
b) podaniu identyfikatora użytkownika i właściwego hasła w aplikacji.
§2
Metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem
i użytkowaniem.
C. Metody i środki uwierzytelnienia
1. W systemie informatycznym stosuje się uwierzytelnienia dwustopniowe, na poziomie:
a) dostępu do stanowiska komputerowego,
b) dostępu do aplikacji,
2. Do uwierzytelnienia użytkownika w systemie informatycznym stosuje się hasła.
3. Wskazane jest, aby hasło dostępu składało się co najmniej z 8 znaków, zawierało małe
i duże litery oraz cyfry i znaki specjalne.
4. Hasła nie powinny być powszechnie używanymi słowami. W szczególności nie należy
jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych
samochodów, numerów telefonów.
5. Hasło nie może być ujawnione. Należy utrzymywać je w tajemnicy, również
po upływie jego ważności.
6. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona,
użytkownik zobowiązany jest do natychmiastowej zmiany hasła.
D. Procedury zarządzania środkami uwierzytelnienia
1. Administrator Systemu Informatycznego nadaje hasło dostępu do aplikacji dla nowego
użytkownika albo dla użytkownika, który zapomniał swojego hasła.
2. Administrator Systemu Informatycznego zapisuje swój identyfikator i hasło dostępu
do serwera i przekazuje je w kopercie Administratorowi Bezpieczeństwa Informacji.
Koperta zostaje zabezpieczona w sposób uniemożliwiający jej nieuważne otwarcie.
Administrator Bezpieczeństwa Informacji przechowuje kopertę w sejfie znajdującym
się w sekretariacie.
§3
Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym.
E. Procedura rozpoczęcia pracy
1. Uruchomić komputer wchodzący w skład systemu informatycznego i zalogować się
podając swój identyfikator i hasło dostępu.
2. Uruchomić aplikację, podając następnie swój identyfikator i hasło dostępu
do aplikacji.
3. Rozpocząć pracę.
F. Procedura zawieszenia pracy w systemie informatycznym
1. W trakcie pracy, przy każdorazowym opuszczeniu stanowiska komputerowego należy
dopilnować, aby na ekranie nie były wyświetlone dane osobowe.
2. Przy opuszczeniu pokoju należy włączyć wygaszacz ekranu lub zablokować
komputer.
G. Procedura zakończenia pracy w systemie informatycznym
1. Zamknąć aplikację.
2. Zamknąć system informatyczny.
3. Wyłączyć monitor i drukarkę.
§4
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania.
1. Kopie zapasowe zbiorów danych osobowych wykonywane są za pomocą
specjalistycznego programu archiwizującego.
2. Oprócz kopii bezpieczeństwa wykonuje się kopie zapasowe na nośnikach wymiennych.
3. Administrator Systemu Informatycznego sprawuje nadzór nad wykonaniem kopii
zapasowych oraz weryfikuje ich poprawność.
4. Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności
do odtworzenia w przypadku awarii systemu.
5. Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć
w sposób uniemożliwiający odczyt danych.
§5
Sposób, miejsce oraz okres przechowywania elektronicznych nośników informacji
zawierających dane osobowe i kopii zapasowych.
H. Elektroniczne nośniki informacji
1. Kopie zapasowe wykonywane są na płytach CD lub innych elektronicznych nośnikach
informacji. Nośniki informacji zawierające kopie przechowuje się w sposób
uniemożliwiający nieuprawnione przejęcie.
2. Dane osobowe w postaci elektronicznej nie mogą być wynoszone poza siedzibę
szkoły.
3. Po zakończeniu pracy przez użytkowników systemu informatycznego, wymienne
nośniki informacji są zamykane w szafach biurowych.
4. Dane osobowe w postaci elektronicznej należy usunąć z nośnika informacji w sposób
uniemożliwiający ich ponowne odtworzenie.
5. W przypadku uszkodzenia lub zużycia nośnika zawierającego dane osobowe należy
fizycznie zniszczyć nośnik przez spalenie lub rozdrobnienie.
6. Dyski twarde z danymi osobowymi należy niszczyć zgodnie z obowiązującymi
przepisami dotyczącymi gospodarki środkami trwałymi oraz wartościami
niematerialnymi.
I. Kopie zapasowe
1. Kopie zapasowe zbioru danych osobowych oraz oprogramowania i narzędzi
programowych zastosowanych do przetwarzania danych należy przechowywać
w szafie pancernej lub sejfie.
2. Dostęp do szafy pancernej i sejfu mają tylko upoważnieni pracownicy.
J. Wydruki
1. Wydruki zawierające dane osobowe należy przechowywać w pokojach stanowiących
obszar przetwarzania danych osobowych.
2. Wydruki, zawierające dane osobowe należy zniszczyć w niszczarce
po ich wykorzystaniu, chyba że z odrębnych przepisów wynika obowiązek
ich przechowywania.
K. Dane wyjściowe z systemu informatycznego
1. Dane osobowe zapisane w formie papierowej innej niż wydruki są przechowywane
na podobnych zasadach, co wydruki.
2. Formularze zgody z podpisami osób, których dotyczą dane przetwarzane w systemie
informatycznym przechowywane są w sposób uniemożliwiający ich utratę.
§6
Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.
L. Ochrona antywirusowa
1. W związku z istnieniem zagrożenia dla zbiorów danych osobowych, ze strony
wirusów komputerowych, których celem jest uzyskanie nieuprawnionego dostępu
do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk
komputerowych.
2. Wirusy komputerowe mogą pojawić się w systemach szkoły poprzez: Internet, nośniki
informacji, takie jak: płyty CD, pendrive’y, dyski przenośne, itp.
3. Przeciwdziałanie zagrożeniom ze strony wirusów komputerowych realizowane jest
poprzez zainstalowanie oprogramowania antywirusowego.
4. Za ochronę antywirusową odpowiada Administrator Systemu Informatycznego.
5. Czynności związane z ochroną antywirusową systemu wykonuje Administrator
Systemu, wykorzystując w trakcie pracy systemu moduł programu antywirusowego
w aktualnej wersji, sprawdzającego na bieżąco zasoby systemu informatycznego.
6. Użytkownik systemu informatycznego na stanowisku komputerowym importujący
dane osobowe do systemu jest odpowiedzialny za sprawdzenie tych danych pod kątem
możliwości występowania wirusów.
7. Zabrania się użytkownikom komputerów wyłączania, blokowania, odinstalowywania
programów zabezpieczających komputer przed oprogramowaniem złośliwym
oraz nieautoryzowanym dostępem.
M. Ochrona przed nieautoryzowanym dostępem do sieci lokalnej
1.
2.
Administrator Systemu Informatycznego jest odpowiedzialny za aktywowanie
i poprawne konfigurowanie specjalistycznego oprogramowania monitorującego
wymianę danych na styku:
a) sieci lokalnej i rozległej,
b) stanowiska
komputerowego
użytkownika
systemu
informatycznego
i pozostałych urządzeń wchodzących w skład sieci lokalnej.
Użytkownicy systemu obowiązani są do utrzymania stałej aktywności
zainstalowanego na ich stanowiskach komputerowych specjalistycznego
oprogramowania monitorującego wymianę danych na styku tego stanowiska i sieci
lokalnej.
§7
Udostępnianie danych osobowych oraz zasady i sposób odnotowywania informacji
o udostępnieniu danych.
1. Udostępnianie danych osobowych instytucjom i osobom spoza szkoły może odbywać się
wyłącznie za pośrednictwem Administratora Bezpieczeństwa Informacji i na pisemny
uzasadniony wniosek lub zgodnie z przepisami prawa (OKE, CKE, Urząd Gminy,
Powiat Kartuski, itp.).
2. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych
danych osobowych oraz wskazywać ich zakres i przeznaczenie.
3. Odbiorcą danych jest każdy, komu udostępnia się dane, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby użytkownika systemu lub innej osoby upoważnionej do przetwarzania danych
osobowych w szkole,
c) podmiotu, któremu powierzono przetwarzanie danych.
§8
Procedury wykonywania przeglądów i konserwacji systemów
oraz nośników informacji służących do przetwarzania danych.
informatycznych
N. Przeglądy i konserwacja urządzeń
1. O przeprowadzonych przeglądach i konserwacjach systemu w każdym przypadku
informowany jest Administrator Bezpieczeństwa Informacji.
2. Przeglądy i konserwacje urządzeń wchodzących w skład systemu informatycznego
powinny być wykonane w terminach określonych przez producenta sprzętu.
3. Nieprawidłowości ujawnione w trakcie tych działań powinny być niezwłocznie
usunięte, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowości
należy zawiadomić Administratora Bezpieczeństwa Informacji.
4. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy
przebieg odpowiada Administrator Systemu Informatycznego.
O. Przegląd programów i narzędzi programowych
1. Przegląd programów i narzędzi programowych przeprowadzany jest w następujących
przypadkach:
a) zmiany wersji oprogramowania serwera plików,
b) zmiany wersji oprogramowania stanowiska komputerowego użytkownika systemu
informatycznego,
c) zmiany systemu operacyjnego serwera plików,
d) zmiany systemu operacyjnego stanowiska komputerowego użytkownika systemu
informatycznego,
e) wykonania zmian w projekcie systemu informatycznego spowodowanych
koniecznością naprawy, konserwacji lub modyfikacji systemu informatycznego,
2. Przed dokonaniem zmian w systemie informatycznym należy dokonać przeglądu
działania systemu w zmienionej konfiguracji w warunkach testowych na testowej
bazie danych. Sprawdzenie powinno obejmować:
a) poprawność logowania się do systemu w zależności od posiadanych uprawnień,
b) poprawność działania wszystkich elementów aplikacji,
c) poprawność funkcjonalną systemu informatycznego symulując działania
wszystkich grup użytkowników wykonując następujące operacje:
 wprowadzenie danych osobowych,
 edytowanie danych osobowych,
 wyszukiwanie danych osobowych,
 wydruku danych osobowych.
3. Przegląd przeprowadza Administrator Systemu Informatycznego.
4. Za prawidłowość przeprowadzania przeglądów i konserwacji systemu
informatycznego odpowiada Administrator Systemu Informatycznego.
P. Konserwacja oprogramowania
1. Konserwację oprogramowania przeprowadza się po zgłoszeniu przez użytkownika
systemu informatycznego takiej potrzeby.
2. Konserwację oprogramowania przeprowadza się także po zgłoszeniu przez
użytkownika systemu informatycznego potrzeby wprowadzenia zmian pozwalających
utrzymać funkcjonalność systemu.
3. Konserwacje przeprowadza Administrator Systemu Informatycznego.