Zarządzanie systemem informatycznym

Transkrypt

WZORCOWE
SJ.0142.27.2013.OR9
ZARZĄDZANIE SYSTEMEM INFORMATYCZNYM
Data: 19.07.2013
Strona 1 z 8
Przygotowane przez: Kamil Krzanowski
Zatwierdzone przez: Starosta Wałbrzyski
1. Cel i zakres
1.1. Cel
Celem procedury jest zapewnienie nadzoru nad systemem
informatycznym oraz ustalenie związanych z tym odpowiedzialności i uprawnień.
Procedura przeznaczona jest dla wszystkich użytkowników systemu
informatycznego i określa zasady korzystania z zasobów sieci oraz aplikacji
użytkowych. Wyznacza także sposoby i zasady zgłaszania problemów
powstających w czasie pracy w systemie informatycznym.
1.2. Zakres
Procedura obowiązuje wszystkie komórki organizacyjne ujęte w
Regulaminie Organizacyjnym Starostwa Powiatowego w Wałbrzychu.
Przedmiotem procedury jest określenie zasad nadzorowania systemu
informatycznego Starostwie w zakresie:
o zarządzania zmianami w systemie informatycznym
o archiwizacji danych elektronicznych
o zasad bezpieczeństwa systemu informatycznego
o oznaczania i ewidencjonowania sprzętu komputerowego
o zasady zakładania i wycofywania kont użytkowników
o użytkowania stacji roboczych przez użytkowników
o zgłaszania problemów i incydentów w systemie informatycznym
o rozwoju i doskonalenia systemu informatycznego
2. Podstawa, powołania i definicje
2.1. Podstawa
Księga Jakości
2.2. Powołania
Norma PN-EN ISO 9001:2009 pkt.6.
Ustawa ochronie danych osobowych
2.3. Definicje
Właściciel aplikacji – Starosta /Naczelnik/ pracownik komórki organizacyjnej,
która jest głównym źródłem danych dla aplikacji
Użytkownik – każda osoba posiadająca uprawniony dostęp do zasobów
sieciowych, aplikacji, oraz odpowiedzialna za przydzielony jej sprzęt
komputerowy wraz z urządzeniami peryferyjnymi oraz oprogramowanie.
Administrator sieci komputerowej
– osoba zarządzająca siecią
komputerową, zasobami sieciowymi, zasadami dostępu, aplikacjami, systemami
operacyjnymi odpowiadająca za tworzenie kopii zapasowych, serwisowanie
sprzętu rejestrowanie oraz usuwanie usterek.
Problem istotny – problem znacząco naruszający stabilność pracy w
systemach sieciowych, systemie operacyjnym lub działania urządzeń
peryferyjnych.
Problem krytyczny – problem, który całkowicie uniemożliwia pracę w
systemach sieciowych lub w samym systemie operacyjnym.
System informatyczny - stanowią środki przetwarzania informacji wraz ze
związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi, czyli
urządzeniami komputerowymi i nie komputerowymi do przetwarzania danych i
Data aktualizacji: 2013-07-19
Aktualne dokumenty SZJ znajdują się pod adresem: http://www.bip.sp-walbrzych.dolnyslask.pl
WZORCOWE
SJ.0142.27.2013.OR9
Data: 19.07.2013
Strona 2 z 8
informacji z nimi związanych.
Przetwarzanie informacji, obejmuje operacje polegające na ich zbieraniu,
utrwalaniu, zmianie, przechowywaniu, opracowywaniu, udostępnianiu i
usuwaniu danych.
Inne środki przetwarzania to:
o Drukarki
o Skanery
o Modemy
o Niszczarki dokumentów
3. Odpowiedzialność
3.1.
Sekretarz Powiatu jest odpowiedzialny za kontrolę, zatwierdzenie i
utrzymanie niniejszej procedury
3.2.
Naczelnik Wydziału Organizacyjnego i Spraw Obywatelskich ponosi
ogólną odpowiedzialność za spełnienie niniejszej procedury
3.3.
Starosta jest administratorem danych osobowych i wyznacza
administratora bezpieczeństwa informacji.
3.4.
Starszy Informatyk odpowiedzialny jest za:
o Nadzorowanie i aktualizację wykazu aplikacji i sprzętu
komputerowego
o Wspólnie z właścicielami aplikacji ustala dalsze kierunki modernizacji
aplikacji
o Akceptuje pod względem merytorycznym zakupy nowych aplikacji i
sprzętu komputerowego
o Śledzi rynek nowości informatycznych i w miarę potrzeb wprowadza
ulepszenia
o Nadzorowanie zapisywanie problemów do Rejestru zgłoszonych
usterek i napraw.
o Kreuje, modyfikuje i usuwa użytkowników na podstawie kart
zgłoszeń (według załącznika nr 1)
o Usuwa zgłaszane problemy przez użytkowników sieci komputerowej.
o Podejmuje działania doskonalące związane z poprawą pracy sieci,
sprzętu sieciowego (routery, serwery, itp.) jak i programów
obsługujących sieci
3.5. Administrator bezpieczeństwa informacji jest odpowiedzialny za:
o poprawność i aktualizację dokumentacji (polityki bezpieczeństwa i
instrukcji zarządzania systemami informatycznymi służącymi do
przetwarzania danych osobowych);
o prowadzenie ewidencji osób upoważnionych do przetwarzania
danych osobowych;
o szkolenie osób uczestniczących w procesie przetwarzania danych
osobowych.
3.6 Naczelnik / pracownik komórki organizacyjnej jest odpowiedzialny za:
o zgłaszanie nowych użytkowników komputerów, sieci komputerowej i
Elektronicznej poczty urzędu do Wydziału Organizacyjnego i Spraw
Obywatelskich na adres poczty
elektronicznej:[email protected].
o Zgłaszanie zmiany miejsca użytkowania komputera na adres poczty
WZORCOWE
SJ.0142.27.2013.OR9
Data: 19.07.2013
Strona 3 z 8
o
o
o
o
o
Zgłaszanie nowych i zmiany identyfikatorów osobistych pracownika i
identyfikatorów przy pomieszczeniach biurowych na adres poczty
We współpracy z administratorem bezpieczeństwa informacji
opracowanie wniosku o rejestrację zbioru danych osobowych do
GIODO – zbiór zgłasza administrator danych.
Wnioskowanie do Administratora Bezpieczeństwa Informacji o
przygotowanie stosownego upoważnienia do przetwarzania danych
osobowych.
Kontrolowanie
w
podległych
komórkach
organizacyjnych
przetwarzania danych osobowych zgodnie z ustawą o ochronie
danych osobowych
Nadzór nad podległymi pracownikami w zakresie obowiązków
wynikających z dokumentów dotyczących zarządzania systemem
informatycznym oraz zasad ochrony danych osobowych –
odpowiednio do zadań wykonywanych na zajmowanym stanowisku.
3.7. Pracownicy Starostwa odpowiedzialni są za:
o
o
o
o
weryfikacja działania aplikacji pod względem merytorycznym.
wnioskowanie do Wydziału Organizacyjnego i spraw Obywatelskich
o uaktualnienia, modyfikacje aplikacji lub nawet jej wymianę na
inną
weryfikacja działania aplikacji pod względem merytorycznym
archiwizację danych na stacjach roboczych
4. Realizacja
4.1. Dokumentacja
Zasady zawarte w niniejszym dokumencie oraz określone w odrębnych
dokumentach powinny być udostępniane pracownikom na poszczególnych
stanowiskach tylko w niezbędnym zakresie.
Obowiązki wynikające z dokumentów dotyczących zarządzania systemem
informatycznym oraz zasady ochrony danych osobowych są określone w
indywidualnych zakresach czynności pracowników – odpowiednio do zadań
wykonywanych na zajmowanym stanowisku.
4.2 Zasady bezpieczeństwa systemu informatycznego urzędu
o
Przydział identyfikatorów dla użytkowników.
Użytkownik otrzymuje nazwę użytkownika w systemie i hasło, który identyfikuje
go w systemie informatycznym. Bez jego posiadania użytkownik nie może
pracować w systemie. Administrator systemu przydziela identyfikatory dla
użytkowników na podstawie pisemnego wniosku Kierownika komórki
organizacyjnej w celu uaktualnienia ewidencji osób zatrudnionych przy
komputerach.
Administrator systemu informatycznego przechowuje dokument (wniosek)
stanowiący podstawę przydziału (zablokowania) identyfikatora i dokonuje
odpowiedniego wpisu do prowadzonego rejestru użytkowników systemu
informatycznego
Naczelnik
Wydziału
/Kierownik
komórki /Skarbnik
Powiatu
WZORCOWE
SJ.0142.27.2013.OR9
Data: 19.07.2013
Strona 4 z 8
o Przydział haseł dla użytkowników.
Pierwsze hasło dla użytkownika jest zakładane przez administratora systemu
podczas wprowadzania jego identyfikatora do systemu. Następnie użytkownik
powinien zmienić hasło wg określonych zasad:
• hasło jest obowiązkowe dla każdego użytkownika posiadającego identyfikator
w systemie,
• hasło jest zakładane jednocześnie z utworzeniem identyfikatora dla
użytkownika,
• po założeniu hasła przez administratora systemu, użytkownik ma obowiązek
zarejestrować się do systemu i zmienić hasło,
• hasło jest ciągiem znaków, które nie powinny być łatwe do zidentyfikowania
(nie należy używać jako hasła np. imienia, daty urodzenia własnej, dzieci ani
współmałżonka)
• hasło objęte jest tajemnicą - użytkownik nie może go ujawnić,
• przy wpisywaniu hasła nie jest ono wyświetlane na ekranie,
• w przypadku ujawnienia hasła musi ono zostać niezwłocznie zmienione,
• hasło musi być zmieniane zgodnie wymogami programu przynajmniej raz w
miesiącu,
• użytkownik odpowiada za systematyczną zmianę haseł,
• hasła użytkowników muszą być zapisywane w systemie w postaci
zaszyfrowanej.
Kartoteki, decyzje, rejestry itp. tworzone za pomocą aplikacji biurowych (pakiet
MS Office) są chronione przy użyciu haseł systemowych i haseł zakładanych
przez użytkownika dla poszczególnych dokumentów wg instrukcji dostępnej w
pakiecie MS Office.
o
Zarządzanie hasłami użytkowników.
Hasła użytkowników należą do nich samych. Są one objęte tajemnicą i nikt poza
właścicielami haseł nie może ich znać. Hasło musi być zmieniane przez
użytkownika nie rzadziej niż raz w miesiącu. Odpowiedzialność za okresowe
zmiany hasła ciąży na użytkowniku - właścicielu hasła. W przypadku potrzeby
zabezpieczenia dostępu do systemu Kierownik komórki organizacyjnej decyduje
o deponowaniu hasła.
4.4. Wydanie i kontrola / badanie
Rozpoczęcie i zakończenie pracy.
Rozpoczęcie pracy w systemie informatycznym wymaga wykonania
następujących czynności:
• włączenia komputera,
• po załadowaniu systemu operacyjnego uruchomienia oprogramowania
komunikacyjnego,
• rejestracji w systemie informatycznym,
• po pozytywnym przejściu procedury uwierzytelnienia - uzyskanie dostępu do
systemu.
Po zakończeniu pracy w systemie należy:
• wyrejestrować się z systemu,
WZORCOWE
SJ.0142.27.2013.OR9
Data: 19.07.2013
Strona 5 z 8
•
•
•
zakończyć działanie oprogramowania komunikacyjnego,
zakończyć pracę systemu operacyjnego,
wyłączyć komputer.
Sposób i częstotliwość tworzenia awaryjnych kopii baz danych.
Awaryjne kopie baz danych należy tworzyć w celu zabezpieczenia zbiorów
danych osobowych przed niezamierzoną ich utratą oraz możliwością ich
odtworzenia. Przechowywane awaryjne kopie baz danych muszą być
ewidencjonowane i aktualizowane przez użytkowników.
Sposób tworzenia kopii baz danych jest zróżnicowany w zależności od rodzaju
aplikacji użytkowej. Wszystkie dane znajdujące się na serwerach archiwizowane
są przez administratorów sieci codziennie. Za dane przechowywane na dyskach
lokalnych odpowiada użytkownik komputera.
Zasady korzystania z komputerów przenośnych.
Za bezpieczeństwo komputera przenośnego odpowiedzialny jest jego
użytkownik.
Osoba użytkująca przenośny komputer, na którym przetwarzane są dane
należące do systemu informatycznego zobowiązana jest zachować szczególną
ostrożność podczas transportu i przechowywania go poza strefą przetwarzania
danych i nie powinna zezwalać na korzystanie z niego osobom
nieupoważnionym. Komputer taki powinien być zabezpieczony hasłem dostępu.
Ustawienie monitorów w pomieszczeniach, w których przebywają
osoby postronne.
W pomieszczeniach, w których odbywa się przetwarzanie danych osobowych
a jednocześnie mają do tych pomieszczeń dostęp osoby postronne, monitory
urządzeń komputerowych muszą być ustawione w taki sposób, by informacje na
nich wyświetlane nie były widoczne dla osób postronnych.
Stosowanie automatycznego wygaszania ekranu.
Dla urządzeń komputerowych mających odpowiednie możliwości techniczne,
ekrany monitorów muszą być automatycznie wygaszane w przypadku dłuższej
nieaktywności użytkownika.
Instalacja nowego oprogramowania i jego aktualizacja na serwerze.
Na wszystkich komputerach Starostwa dopuszcza się instalację tylko legalnego,
licencjonowanego oprogramowania. Instalacji oprogramowania lub aktualizacji
dokonuje administrator sieci lub osoba przez niego upoważniona.
Rejestr pracy systemu prowadzony dla każdego z serwerów wchodzących w
skład systemu informatycznego tworzony jest automatycznie przez system. Za
jego prowadzenie odpowiedzialny jest administrator sieci lub osoba przez niego
upoważniona.
Do rejestru wpisywane są daty i godziny wykonania następujących czynności:
o włączanie serwera,
o wyłączanie serwera,
o instalowanie oprogramowania,
o instalowania programów aktualizujących (upgrade’ów)
WZORCOWE
SJ.0142.27.2013.OR9
Data: 19.07.2013
Strona 6 z 8
o
o
o
o
o
przejście na zasilanie awaryjne,
wykonanie pełnych kopii aplikacji,
obsługa prewencyjna serwera,
komunikaty błędów,
wszystkie inne sytuacje awaryjne i odbiegające od normy.
Dokonywanie napraw, przeglądów i konserwacji systemu przez
pracowników serwisu.
Działania pracowników serwisu muszą odbywać się w obecności administratora
systemu lub osoby przez niego upoważnionej
Postępowanie
z
zawierającymi dane.
uszkodzonymi
nośnikami
magnetycznymi
Uszkodzone nośniki magnetyczne lub inne zawierające dane nie mogą być
użytkowane. Muszą być odpowiednio zabezpieczone przed nieuprawnionym
udostępnieniem a następnie zniszczone lub naprawione pod nadzorem osoby
upoważnionej przez administratora sieci.
Profilaktyka antywirusowa.
Każdy użytkownik komputera w Starostwie Powiatowym zobowiązany
jest do używania w pracy dyskietek, CD, DVD oraz pamięci zewnętrznej
zakupionych przez Starostwo (nie prywatnych) i przechowywania na nich tylko i
wyłącznie danych związanych z zawodowym charakterem pracy.
Na komputerach Starostwa zainstalowany jest program antywirusowy,
który ustawiony jest na autoaktualizację. Aktualność baz programu
antywirusowego monitoruje administrator sieci. Raz w miesiącu, aktualną
wersją programu antywirusowego powinien być sprawdzony każdy komputer.
Serwery są sprawdzane na obecność wirusów przez administratorów
sieci.
Dyskietki, płyty CD oraz DVD przekazywane Starostwu mogą być
odczytywane na komputerach, TYLKO I WYŁĄCZNIE PO WCZEŚNIEJSZYM
SPRAWDZENIU PROGRAMEM ANTYWIRUSOWYM.
Zasady korzystania z internetu.
Przy korzystaniu z internetu w Starostwie należy stosować następujące
zasady:
- należy wchodzić tylko na takie witryny, które są bezpośrednio związane z
zadaniami wykonywanymi w ramach zakresu obowiązków służbowych
- wiadomości poczty elektronicznej należy odczytywać tylko i wyłącznie ze
znanych źródeł oraz tylko w ramach zakresu obowiązków służbowych
- użytkownik korzystający z internetu powinien wcześniej być zaznajomiony z
regulaminem pracy komputerów podłączonych do sieci internetowej.
Urządzenia podtrzymujące zasilanie.
Wszystkie serwery pracujące w Starostwie Powiatowym są wyposażone
w zasilacze awaryjne. Zasilacze te są wyposażone w mechanizm umożliwiający
bezpieczne wyłączenie serwera, poprzedzone prawidłowym zakończeniem
rozpoczętych operacji i zamknięciem baz danych.
WZORCOWE
SJ.0142.27.2013.OR9
Data: 19.07.2013
Strona 7 z 8
Zabezpieczenie elementów lokalnej sieci komputerowej.
Dostęp do infrastruktury technicznej związanej z siecią komputerową i
jej zasilaniem nie jest możliwy dla osób postronnych. Rozdzielnie elektryczne i
skrzynki z bezpiecznikami posiadają skuteczne zamknięcia uniemożliwiające
otwarcie przez osoby postronne.
Izolowanie lokalnej sieci komputerowej od sieci zewnętrznej.
Połączenie lokalnej sieci komputerowej Starostwa z internetem jest
chronione za pomocą urządzeń i oprogramowania typu „zapora ogniowa”.
Instalowanie odpowiedniego oprogramowania musi być przeprowadzone przy
udziale administratora sieci.
Sieć komputerowa
Infrastruktura sieciowa składa się z okablowania strukturalnego w budynku
urzędu kat.5. Elementy aktywne sieci to Routery, koncentratory sieciowe oraz
przełączniki
4.5. Zakończenie
W przypadku wystąpienia problemów w czasie użytkowania systemu
informatycznego należy skontaktować się telefonicznie lub mailowo z
administratorem sieci opisując w sposób przybliżony rodzaj i miejsce
problemu.
5. Archiwizowanie
Kopia bezpieczeństwa serwera oraz baz danych systemu ESOD tworzona jest
codziennie prócz soboty i niedzieli o godz. 20:00. Pliki zapisywane są
początkowo na dysku serwera w lokalizacji F:/Backup/ a następnie na taśmie.
Do całego procesu wykonywania kopii bezpieczeństwa wykorzystane jest 8
kaset. Za archiwizowanie danych na stacjach roboczych odpowiadają
użytkownicy.
6. Miary i wskaźniki
Miara efektywności procesu:
Liczba incydentów
Kryterium lub wskaźnik
oceny/monitorowania:
W1 liczba incydentów na rok
Liczba zgłoszonych problemów W2 średni czas usunięcia
problemu
Czas usunięcia incydentów
W3 średni czas usunięcia
incydentów
7. Ocena efektywności procesu
Wskaźnik
oceny
efektywności
Liczba
incydentów
Kryterium
Oceny (cel)
Osiągnięty
wynik po ½
roku*
Osiągnięty
wynik po
roku
Trend
Wnioski
wyników uwagi
W1< 100 liczba
incydentów na rok
WZORCOWE
SJ.0142.27.2013.OR9
Data: 19.07.2013
Strona 8 z 8
zgłoszonych
problemów
Czas usunięcia
incydentów
usunięcia problemu
W3< 3 dni średni czas
usunięcia incydentów
Uwaga brak schematu blokowego.

Zarządzanie systemem informatycznym

Transkrypt

Podobne dokumenty

PRZEGLĄD ZARZĄDZANIA, PLANOWANIE ORAZ REALIZACJA

Zarządzanie drogami powiatowymi na terenie powiatu wałbrzyskiego

spotkanie informacyjne dla osób planujących założyć

PIFE - Spotkanie informacyjne

Informujemy, że lokalny Punkt Informacyjny Funduszy Europejskich

Rozporządzenie Ministra Spraw Wewnętrznych i

Weterynaria – przedmioty do wyboru

Oferta do pobrania - Wałbrzyski Ośrodek Kultury