Zarządzanie systemem informatycznym
Transkrypt
Zarządzanie systemem informatycznym
WZORCOWE SJ.0142.27.2013.OR9 ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM Data: 19.07.2013 Strona 1 z 8 Przygotowane przez: Kamil Krzanowski Zatwierdzone przez: Starosta Wałbrzyski 1. Cel i zakres 1.1. Cel Celem procedury jest zapewnienie nadzoru nad systemem informatycznym oraz ustalenie związanych z tym odpowiedzialności i uprawnień. Procedura przeznaczona jest dla wszystkich użytkowników systemu informatycznego i określa zasady korzystania z zasobów sieci oraz aplikacji użytkowych. Wyznacza także sposoby i zasady zgłaszania problemów powstających w czasie pracy w systemie informatycznym. 1.2. Zakres Procedura obowiązuje wszystkie komórki organizacyjne ujęte w Regulaminie Organizacyjnym Starostwa Powiatowego w Wałbrzychu. Przedmiotem procedury jest określenie zasad nadzorowania systemu informatycznego Starostwie w zakresie: o zarządzania zmianami w systemie informatycznym o archiwizacji danych elektronicznych o zasad bezpieczeństwa systemu informatycznego o oznaczania i ewidencjonowania sprzętu komputerowego o zasady zakładania i wycofywania kont użytkowników o użytkowania stacji roboczych przez użytkowników o zgłaszania problemów i incydentów w systemie informatycznym o rozwoju i doskonalenia systemu informatycznego 2. Podstawa, powołania i definicje 2.1. Podstawa Księga Jakości 2.2. Powołania Norma PN-EN ISO 9001:2009 pkt.6. Ustawa ochronie danych osobowych 2.3. Definicje Właściciel aplikacji – Starosta /Naczelnik/ pracownik komórki organizacyjnej, która jest głównym źródłem danych dla aplikacji Użytkownik – każda osoba posiadająca uprawniony dostęp do zasobów sieciowych, aplikacji, oraz odpowiedzialna za przydzielony jej sprzęt komputerowy wraz z urządzeniami peryferyjnymi oraz oprogramowanie. Administrator sieci komputerowej – osoba zarządzająca siecią komputerową, zasobami sieciowymi, zasadami dostępu, aplikacjami, systemami operacyjnymi odpowiadająca za tworzenie kopii zapasowych, serwisowanie sprzętu rejestrowanie oraz usuwanie usterek. Problem istotny – problem znacząco naruszający stabilność pracy w systemach sieciowych, systemie operacyjnym lub działania urządzeń peryferyjnych. Problem krytyczny – problem, który całkowicie uniemożliwia pracę w systemach sieciowych lub w samym systemie operacyjnym. System informatyczny - stanowią środki przetwarzania informacji wraz ze związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi, czyli urządzeniami komputerowymi i nie komputerowymi do przetwarzania danych i Data aktualizacji: 2013-07-19 Aktualne dokumenty SZJ znajdują się pod adresem: http://www.bip.sp-walbrzych.dolnyslask.pl WZORCOWE SJ.0142.27.2013.OR9 ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM Data: 19.07.2013 Strona 2 z 8 Przygotowane przez: Kamil Krzanowski Zatwierdzone przez: Starosta Wałbrzyski informacji z nimi związanych. Przetwarzanie informacji, obejmuje operacje polegające na ich zbieraniu, utrwalaniu, zmianie, przechowywaniu, opracowywaniu, udostępnianiu i usuwaniu danych. Inne środki przetwarzania to: o Drukarki o Skanery o Modemy o Niszczarki dokumentów 3. Odpowiedzialność 3.1. Sekretarz Powiatu jest odpowiedzialny za kontrolę, zatwierdzenie i utrzymanie niniejszej procedury 3.2. Naczelnik Wydziału Organizacyjnego i Spraw Obywatelskich ponosi ogólną odpowiedzialność za spełnienie niniejszej procedury 3.3. Starosta jest administratorem danych osobowych i wyznacza administratora bezpieczeństwa informacji. 3.4. Starszy Informatyk odpowiedzialny jest za: o Nadzorowanie i aktualizację wykazu aplikacji i sprzętu komputerowego o Wspólnie z właścicielami aplikacji ustala dalsze kierunki modernizacji aplikacji o Akceptuje pod względem merytorycznym zakupy nowych aplikacji i sprzętu komputerowego o Śledzi rynek nowości informatycznych i w miarę potrzeb wprowadza ulepszenia o Nadzorowanie zapisywanie problemów do Rejestru zgłoszonych usterek i napraw. o Kreuje, modyfikuje i usuwa użytkowników na podstawie kart zgłoszeń (według załącznika nr 1) o Usuwa zgłaszane problemy przez użytkowników sieci komputerowej. o Podejmuje działania doskonalące związane z poprawą pracy sieci, sprzętu sieciowego (routery, serwery, itp.) jak i programów obsługujących sieci 3.5. Administrator bezpieczeństwa informacji jest odpowiedzialny za: o poprawność i aktualizację dokumentacji (polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych); o prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych; o szkolenie osób uczestniczących w procesie przetwarzania danych osobowych. 3.6 Naczelnik / pracownik komórki organizacyjnej jest odpowiedzialny za: o zgłaszanie nowych użytkowników komputerów, sieci komputerowej i Elektronicznej poczty urzędu do Wydziału Organizacyjnego i Spraw Obywatelskich na adres poczty elektronicznej:[email protected]. o Zgłaszanie zmiany miejsca użytkowania komputera na adres poczty Data aktualizacji: 2013-07-19 Aktualne dokumenty SZJ znajdują się pod adresem: http://www.bip.sp-walbrzych.dolnyslask.pl WZORCOWE SJ.0142.27.2013.OR9 ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM Data: 19.07.2013 Strona 3 z 8 Przygotowane przez: Kamil Krzanowski o o o o o Zatwierdzone przez: Starosta Wałbrzyski elektronicznej:[email protected]. Zgłaszanie nowych i zmiany identyfikatorów osobistych pracownika i identyfikatorów przy pomieszczeniach biurowych na adres poczty elektronicznej:[email protected]. We współpracy z administratorem bezpieczeństwa informacji opracowanie wniosku o rejestrację zbioru danych osobowych do GIODO – zbiór zgłasza administrator danych. Wnioskowanie do Administratora Bezpieczeństwa Informacji o przygotowanie stosownego upoważnienia do przetwarzania danych osobowych. Kontrolowanie w podległych komórkach organizacyjnych przetwarzania danych osobowych zgodnie z ustawą o ochronie danych osobowych Nadzór nad podległymi pracownikami w zakresie obowiązków wynikających z dokumentów dotyczących zarządzania systemem informatycznym oraz zasad ochrony danych osobowych – odpowiednio do zadań wykonywanych na zajmowanym stanowisku. 3.7. Pracownicy Starostwa odpowiedzialni są za: o o o o weryfikacja działania aplikacji pod względem merytorycznym. wnioskowanie do Wydziału Organizacyjnego i spraw Obywatelskich o uaktualnienia, modyfikacje aplikacji lub nawet jej wymianę na inną weryfikacja działania aplikacji pod względem merytorycznym archiwizację danych na stacjach roboczych 4. Realizacja 4.1. Dokumentacja Zasady zawarte w niniejszym dokumencie oraz określone w odrębnych dokumentach powinny być udostępniane pracownikom na poszczególnych stanowiskach tylko w niezbędnym zakresie. Obowiązki wynikające z dokumentów dotyczących zarządzania systemem informatycznym oraz zasady ochrony danych osobowych są określone w indywidualnych zakresach czynności pracowników – odpowiednio do zadań wykonywanych na zajmowanym stanowisku. 4.2 Zasady bezpieczeństwa systemu informatycznego urzędu o Przydział identyfikatorów dla użytkowników. Użytkownik otrzymuje nazwę użytkownika w systemie i hasło, który identyfikuje go w systemie informatycznym. Bez jego posiadania użytkownik nie może pracować w systemie. Administrator systemu przydziela identyfikatory dla użytkowników na podstawie pisemnego wniosku Kierownika komórki organizacyjnej w celu uaktualnienia ewidencji osób zatrudnionych przy komputerach. Administrator systemu informatycznego przechowuje dokument (wniosek) stanowiący podstawę przydziału (zablokowania) identyfikatora i dokonuje odpowiedniego wpisu do prowadzonego rejestru użytkowników systemu informatycznego Data aktualizacji: 2013-07-19 Aktualne dokumenty SZJ znajdują się pod adresem: http://www.bip.sp-walbrzych.dolnyslask.pl Naczelnik Wydziału /Kierownik komórki /Skarbnik Powiatu WZORCOWE SJ.0142.27.2013.OR9 ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM Data: 19.07.2013 Strona 4 z 8 Przygotowane przez: Kamil Krzanowski Zatwierdzone przez: Starosta Wałbrzyski o Przydział haseł dla użytkowników. Pierwsze hasło dla użytkownika jest zakładane przez administratora systemu podczas wprowadzania jego identyfikatora do systemu. Następnie użytkownik powinien zmienić hasło wg określonych zasad: • hasło jest obowiązkowe dla każdego użytkownika posiadającego identyfikator w systemie, • hasło jest zakładane jednocześnie z utworzeniem identyfikatora dla użytkownika, • po założeniu hasła przez administratora systemu, użytkownik ma obowiązek zarejestrować się do systemu i zmienić hasło, • hasło jest ciągiem znaków, które nie powinny być łatwe do zidentyfikowania (nie należy używać jako hasła np. imienia, daty urodzenia własnej, dzieci ani współmałżonka) • hasło objęte jest tajemnicą - użytkownik nie może go ujawnić, • przy wpisywaniu hasła nie jest ono wyświetlane na ekranie, • w przypadku ujawnienia hasła musi ono zostać niezwłocznie zmienione, • hasło musi być zmieniane zgodnie wymogami programu przynajmniej raz w miesiącu, • użytkownik odpowiada za systematyczną zmianę haseł, • hasła użytkowników muszą być zapisywane w systemie w postaci zaszyfrowanej. Kartoteki, decyzje, rejestry itp. tworzone za pomocą aplikacji biurowych (pakiet MS Office) są chronione przy użyciu haseł systemowych i haseł zakładanych przez użytkownika dla poszczególnych dokumentów wg instrukcji dostępnej w pakiecie MS Office. o Zarządzanie hasłami użytkowników. Hasła użytkowników należą do nich samych. Są one objęte tajemnicą i nikt poza właścicielami haseł nie może ich znać. Hasło musi być zmieniane przez użytkownika nie rzadziej niż raz w miesiącu. Odpowiedzialność za okresowe zmiany hasła ciąży na użytkowniku - właścicielu hasła. W przypadku potrzeby zabezpieczenia dostępu do systemu Kierownik komórki organizacyjnej decyduje o deponowaniu hasła. 4.4. Wydanie i kontrola / badanie Rozpoczęcie i zakończenie pracy. Rozpoczęcie pracy w systemie informatycznym wymaga wykonania następujących czynności: • włączenia komputera, • po załadowaniu systemu operacyjnego uruchomienia oprogramowania komunikacyjnego, • rejestracji w systemie informatycznym, • po pozytywnym przejściu procedury uwierzytelnienia - uzyskanie dostępu do systemu. Po zakończeniu pracy w systemie należy: • wyrejestrować się z systemu, Data aktualizacji: 2013-07-19 Aktualne dokumenty SZJ znajdują się pod adresem: http://www.bip.sp-walbrzych.dolnyslask.pl WZORCOWE SJ.0142.27.2013.OR9 ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM Data: 19.07.2013 Strona 5 z 8 Przygotowane przez: Kamil Krzanowski • • • Zatwierdzone przez: Starosta Wałbrzyski zakończyć działanie oprogramowania komunikacyjnego, zakończyć pracę systemu operacyjnego, wyłączyć komputer. Sposób i częstotliwość tworzenia awaryjnych kopii baz danych. Awaryjne kopie baz danych należy tworzyć w celu zabezpieczenia zbiorów danych osobowych przed niezamierzoną ich utratą oraz możliwością ich odtworzenia. Przechowywane awaryjne kopie baz danych muszą być ewidencjonowane i aktualizowane przez użytkowników. Sposób tworzenia kopii baz danych jest zróżnicowany w zależności od rodzaju aplikacji użytkowej. Wszystkie dane znajdujące się na serwerach archiwizowane są przez administratorów sieci codziennie. Za dane przechowywane na dyskach lokalnych odpowiada użytkownik komputera. Zasady korzystania z komputerów przenośnych. Za bezpieczeństwo komputera przenośnego odpowiedzialny jest jego użytkownik. Osoba użytkująca przenośny komputer, na którym przetwarzane są dane należące do systemu informatycznego zobowiązana jest zachować szczególną ostrożność podczas transportu i przechowywania go poza strefą przetwarzania danych i nie powinna zezwalać na korzystanie z niego osobom nieupoważnionym. Komputer taki powinien być zabezpieczony hasłem dostępu. Ustawienie monitorów w pomieszczeniach, w których przebywają osoby postronne. W pomieszczeniach, w których odbywa się przetwarzanie danych osobowych a jednocześnie mają do tych pomieszczeń dostęp osoby postronne, monitory urządzeń komputerowych muszą być ustawione w taki sposób, by informacje na nich wyświetlane nie były widoczne dla osób postronnych. Stosowanie automatycznego wygaszania ekranu. Dla urządzeń komputerowych mających odpowiednie możliwości techniczne, ekrany monitorów muszą być automatycznie wygaszane w przypadku dłuższej nieaktywności użytkownika. Instalacja nowego oprogramowania i jego aktualizacja na serwerze. Na wszystkich komputerach Starostwa dopuszcza się instalację tylko legalnego, licencjonowanego oprogramowania. Instalacji oprogramowania lub aktualizacji dokonuje administrator sieci lub osoba przez niego upoważniona. Rejestr pracy systemu prowadzony dla każdego z serwerów wchodzących w skład systemu informatycznego tworzony jest automatycznie przez system. Za jego prowadzenie odpowiedzialny jest administrator sieci lub osoba przez niego upoważniona. Do rejestru wpisywane są daty i godziny wykonania następujących czynności: o włączanie serwera, o wyłączanie serwera, o instalowanie oprogramowania, o instalowania programów aktualizujących (upgrade’ów) Data aktualizacji: 2013-07-19 Aktualne dokumenty SZJ znajdują się pod adresem: http://www.bip.sp-walbrzych.dolnyslask.pl WZORCOWE SJ.0142.27.2013.OR9 ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM Data: 19.07.2013 Strona 6 z 8 Przygotowane przez: Kamil Krzanowski o o o o o Zatwierdzone przez: Starosta Wałbrzyski przejście na zasilanie awaryjne, wykonanie pełnych kopii aplikacji, obsługa prewencyjna serwera, komunikaty błędów, wszystkie inne sytuacje awaryjne i odbiegające od normy. Dokonywanie napraw, przeglądów i konserwacji systemu przez pracowników serwisu. Działania pracowników serwisu muszą odbywać się w obecności administratora systemu lub osoby przez niego upoważnionej Postępowanie z zawierającymi dane. uszkodzonymi nośnikami magnetycznymi Uszkodzone nośniki magnetyczne lub inne zawierające dane nie mogą być użytkowane. Muszą być odpowiednio zabezpieczone przed nieuprawnionym udostępnieniem a następnie zniszczone lub naprawione pod nadzorem osoby upoważnionej przez administratora sieci. Profilaktyka antywirusowa. Każdy użytkownik komputera w Starostwie Powiatowym zobowiązany jest do używania w pracy dyskietek, CD, DVD oraz pamięci zewnętrznej zakupionych przez Starostwo (nie prywatnych) i przechowywania na nich tylko i wyłącznie danych związanych z zawodowym charakterem pracy. Na komputerach Starostwa zainstalowany jest program antywirusowy, który ustawiony jest na autoaktualizację. Aktualność baz programu antywirusowego monitoruje administrator sieci. Raz w miesiącu, aktualną wersją programu antywirusowego powinien być sprawdzony każdy komputer. Serwery są sprawdzane na obecność wirusów przez administratorów sieci. Dyskietki, płyty CD oraz DVD przekazywane Starostwu mogą być odczytywane na komputerach, TYLKO I WYŁĄCZNIE PO WCZEŚNIEJSZYM SPRAWDZENIU PROGRAMEM ANTYWIRUSOWYM. Zasady korzystania z internetu. Przy korzystaniu z internetu w Starostwie należy stosować następujące zasady: - należy wchodzić tylko na takie witryny, które są bezpośrednio związane z zadaniami wykonywanymi w ramach zakresu obowiązków służbowych - wiadomości poczty elektronicznej należy odczytywać tylko i wyłącznie ze znanych źródeł oraz tylko w ramach zakresu obowiązków służbowych - użytkownik korzystający z internetu powinien wcześniej być zaznajomiony z regulaminem pracy komputerów podłączonych do sieci internetowej. Urządzenia podtrzymujące zasilanie. Wszystkie serwery pracujące w Starostwie Powiatowym są wyposażone w zasilacze awaryjne. Zasilacze te są wyposażone w mechanizm umożliwiający bezpieczne wyłączenie serwera, poprzedzone prawidłowym zakończeniem rozpoczętych operacji i zamknięciem baz danych. Data aktualizacji: 2013-07-19 Aktualne dokumenty SZJ znajdują się pod adresem: http://www.bip.sp-walbrzych.dolnyslask.pl WZORCOWE SJ.0142.27.2013.OR9 ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM Data: 19.07.2013 Strona 7 z 8 Przygotowane przez: Kamil Krzanowski Zatwierdzone przez: Starosta Wałbrzyski Zabezpieczenie elementów lokalnej sieci komputerowej. Dostęp do infrastruktury technicznej związanej z siecią komputerową i jej zasilaniem nie jest możliwy dla osób postronnych. Rozdzielnie elektryczne i skrzynki z bezpiecznikami posiadają skuteczne zamknięcia uniemożliwiające otwarcie przez osoby postronne. Izolowanie lokalnej sieci komputerowej od sieci zewnętrznej. Połączenie lokalnej sieci komputerowej Starostwa z internetem jest chronione za pomocą urządzeń i oprogramowania typu „zapora ogniowa”. Instalowanie odpowiedniego oprogramowania musi być przeprowadzone przy udziale administratora sieci. Sieć komputerowa Infrastruktura sieciowa składa się z okablowania strukturalnego w budynku urzędu kat.5. Elementy aktywne sieci to Routery, koncentratory sieciowe oraz przełączniki 4.5. Zakończenie W przypadku wystąpienia problemów w czasie użytkowania systemu informatycznego należy skontaktować się telefonicznie lub mailowo z administratorem sieci opisując w sposób przybliżony rodzaj i miejsce problemu. 5. Archiwizowanie Kopia bezpieczeństwa serwera oraz baz danych systemu ESOD tworzona jest codziennie prócz soboty i niedzieli o godz. 20:00. Pliki zapisywane są początkowo na dysku serwera w lokalizacji F:/Backup/ a następnie na taśmie. Do całego procesu wykonywania kopii bezpieczeństwa wykorzystane jest 8 kaset. Za archiwizowanie danych na stacjach roboczych odpowiadają użytkownicy. 6. Miary i wskaźniki Miara efektywności procesu: Liczba incydentów Kryterium lub wskaźnik oceny/monitorowania: W1 liczba incydentów na rok Liczba zgłoszonych problemów W2 średni czas usunięcia problemu Czas usunięcia incydentów W3 średni czas usunięcia incydentów 7. Ocena efektywności procesu Wskaźnik oceny efektywności Liczba incydentów Kryterium Oceny (cel) Osiągnięty wynik po ½ roku* Osiągnięty wynik po roku Trend Wnioski wyników uwagi W1< 100 liczba incydentów na rok Data aktualizacji: 2013-07-19 Aktualne dokumenty SZJ znajdują się pod adresem: http://www.bip.sp-walbrzych.dolnyslask.pl WZORCOWE SJ.0142.27.2013.OR9 ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM Data: 19.07.2013 Strona 8 z 8 Przygotowane przez: Kamil Krzanowski zgłoszonych problemów Czas usunięcia incydentów Zatwierdzone przez: Starosta Wałbrzyski usunięcia problemu W3< 3 dni średni czas usunięcia incydentów Uwaga brak schematu blokowego. Data aktualizacji: 2013-07-19 Aktualne dokumenty SZJ znajdują się pod adresem: http://www.bip.sp-walbrzych.dolnyslask.pl