Załącznik Nr 1 do Zarządzenia Nr 15/2013 Starosty Bocheńskiego z
Transkrypt
Załącznik Nr 1 do Zarządzenia Nr 15/2013 Starosty Bocheńskiego z
Załącznik Nr 1 do Zarządzenia Nr 15/2013 Starosty Bocheńskiego z dnia 4 marca 2013 r. ZATWIERDZAM ………………………… Polityka Bezpieczeństwa przetwarzania danych osobowych w Starostwie Powiatowym w Bochni Administrator Bezpieczeństwa Informacji …………………………………………………….… Starostwo Powiatowe w Bochni str. 1 Spis treści Rozdział 1 ......................................................................................................................................... 3 Postanowienia ogólne ...................................................................................................................... 3 Rozdział 2 ......................................................................................................................................... 5 Cele .................................................................................................................................................. 5 Rozdział 3 ......................................................................................................................................... 6 Zarządzanie ochroną danych osobowych........................................................................................ 6 Rozdział 4 ......................................................................................................................................... 9 Polityka dostępu do danych osobowych .......................................................................................... 9 Rozdział 5 ....................................................................................................................................... 10 Przetwarzanie danych osobowych. Wymagania bezpieczeństwa................................................. 10 Rozdział 6 ....................................................................................................................................... 13 Wykaz budynków, pomieszczeń tworzących obszar w którym przetwarzane są dane osobowe . 13 Rozdział 7 ....................................................................................................................................... 13 Opis przetwarzanych zbiorów danych osobowych ........................................................................ 13 Rozdział 8 ....................................................................................................................................... 14 Opis struktury zbiorów danych ....................................................................................................... 14 Rozdział 9 ....................................................................................................................................... 15 Przepływ danych ............................................................................................................................ 15 Rozdział 10 ..................................................................................................................................... 15 Opis zdarzeń naruszających ochronę danych osobowych ............................................................ 15 Rozdział 11 ..................................................................................................................................... 16 Postępowanie w przypadku naruszenia systemu ochrony danych osobowych. Monitorowanie zabezpieczeń.................................................................................................................................. 16 Rozdział 12 ..................................................................................................................................... 17 Przepisy karne ................................................................................................................................ 17 str. 2 Rozdział 1 Postanowienia ogólne §1 „Polityka bezpieczeństwa przetwarzania danych osobowych w Starostwie Powiatowym w Bochni" została opracowana przez Administratora Bezpieczeństwa Informacji, zgodnie z zapisem § 3 i § 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). Dokument ten określa podstawowe zasady ochrony danych osobowych przetwarzanych w Starostwie Powiatowym w Bochni, niezależnie od sposobów oraz systemów informatycznych służących do ich przetwarzania. Wskazuje działania, jakie należy podjąć, ustanawia minimalne standardy ochrony oraz procedury postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w § 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). Bezpieczeństwo danych osobowych przetwarzanych w Starostwie Powiatowym w Bochni jest przedmiotem szczególnej troski kierownictwa Starostwa i wszelkie naruszenia ustanowionych zasad bezpieczeństwa będą spotykać się ze zdecydowaną reakcją przewidzianą w procedurach prawnych. Niniejszy dokument został zatwierdzony przez Starostę Bocheńskiego, który jest Administratorem danych, w rozumieniu art. 7 pkt. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanych przez Starostwo Powiatowe w Bochni w związku z realizacją zadań wynikających z ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (t.j. Dz. U. z 2001 r. Nr 142, poz. 1592) i innych aktów prawnych. Żadne odstępstwa od zasad bezpieczeństwa przedstawionych w przedmiotowym dokumencie nie są dopuszczalne bez uzyskania zgody administratora danych. §2 1. Ilekroć w niniejszym dokumencie jest mowa o: Staroście – należy przez to rozumieć Starostę Bocheńskiego, Starostwie – należy przez to rozumieć Starostwo Powiatowe w Bochni, Powiecie – należy przez to rozumieć powiat bocheński, Bezpośrednim przełożonym – należy przez to rozumieć: 1) dyrektora wydziału, kierownika biura, kierownika referatu w stosunku do pracowników poszczególnych wydziałów, biur, referatów; 2) Starostę i Wicestarostę, Sekretarza, Skarbnika – w stosunku do Dyrektorów Wydziałów, Kierowników Biur pracowników na samodzielnych stanowiskach pracy w zależności od podległości służbowej; 5) Osobie upoważnionej – należy przez to rozumieć Starostę lub osobę przez niego upoważnioną 6) Dyrektorze – należy przez to rozumieć dyrektora wydziału, kierownika biura lub osobę pracującą na samodzielnym stanowisku pracy, 7) Komórce organizacyjnej - należy przez to rozumieć wydział, biuro, referat, zespół lub samodzielne stanowisko pracy Starostwa, 8) Pracowniku – należy przez to rozmieć pracownika samorządowego zatrudnionego na podstawie umowy o pracę, zgodnie z ustawą z dnia 21 listopada 2008 r. o pracownikach samorządowych (Dz. U. z 2008 r. Nr 223, poz.1458 z późn. zm.), osoby świadczącej usługi na podstawie umowy cywilno-prawnej (Dz. U. z 1964 Nr 16, poz. 93 z późn. zm.) oraz osoby odbywające staż, 9) Polityce bezpieczeństwa – należy przez to rozumieć Polityka bezpieczeństwa przetwarzania danych osobowych w Starostwie Powiatowym w Bochni zatwierdzoną przez Kierownika jednostki, 10) Ustawie – należy przez to rozumieć ustawę z dnia 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz. U. 2002 r. Nr 101, poz. 926 z późn. zm.), 1) 2) 3) 4) str. 3 11) Rozporządzeniu – należy przez to rozumieć Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 z późn. zm.), 12) Przetwarzaniu danych – należy przez to rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 13) Systemie informatycznym – należy przez to rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 14) Instrukcji – należy przez to rozumieć „Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”, 15) Danych osobowych – należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 16) Zbiorze danych – należy przez to rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 17) Zabezpieczeniu danych w systemie informatycznym – należy przez to rozumieć wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 18) Usuwaniu danych - należy przez to rozumieć zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, 19) Generalnym Inspektorze – należy przez to rozumieć Generalnego Inspektora Ochrony Danych Osobowych powołanego przez Sejm Rzeczpospolitej, 20) Administratorze danych – należy przez to rozumieć Starostę, 21) Administratorze bezpieczeństwa informacji – należy przez to rozumieć osobę wyznaczoną przez Administratora danych, nadzorującą przestrzeganie zasad ochrony przetwarzania danych osobowych a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, 22) Administratorze systemu informatycznego – należy przez to rozumieć osobę wyznaczoną przez Starostę, upoważnioną do realizacji zadań związanych z zarządzaniem systemem informatycznym, w tym w szczególności odpowiedzialnego za przydzielanie dostępu do systemu informatycznego i modyfikowanie uprawnień użytkowników systemu informatycznego w porozumieniu z opiekunem systemu, bieżący kontakt z serwisem systemu informatycznego w zakresie zgłaszania zmian i usterek systemu informatycznego, podejmowania stosownych działań w przypadku naruszenia w systemie zabezpieczeń itp., 23) Opiekunie systemu – należy przez to rozumieć pracownika Starostwa wyznaczonego przez Starostę do merytorycznego sprawowania nadzoru nad systemem informatycznym, w tym w szczególności odpowiedzialnego za nadzór nad przydzielaniem dostępu do systemu informatycznego i modyfikowaniem uprawnień użytkowników systemu informatycznego, zgłaszania zmian w zakresie funkcjonowania systemu oraz przeprowadzania szkoleń w zakresie obsługi systemu informatycznego, 24) Użytkowniku systemu – należy przez to rozumieć pracownika Komórki organizacyjnej pracującego w danym systemie informatycznym, który: a) Odbył stosowne szkolenie w zakresie ochrony danych osobowych i posiada upoważnienie do przetwarzania tych danych; b) Odbył szkolenie w zakresie obsługi systemu informatycznego; c) Posiada przydzielony dostęp do systemu informatycznego. 25) Wykazie systemów – należy przez to rozumieć wykaz o którym mowa w Zarządzeniu Starosty Bocheńskiego w sprawie wprowadzenia w Starostwie Powiatowym w Bochni wykazu systemów informatycznych wspomagających funkcjonowanie i zarządzanie Starostwem. 2. Określa się następujące atrybuty bezpieczeństwa danych osobowych przetwarzanych, przesyłanych i przechowywanych w systemach informatycznych: str. 4 1) poufność - właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom; 2) integralność - właściwość zapewniająca, że informacje nie zostały zmienione lub zniekształcone w sposób nieautoryzowany; 3) dostępność - właściwość systemu bycia dostępnym i możliwym do wykorzystania przez autoryzowany podmiot przy zachowanych rygorach czasowych; 4) rozliczalność - właściwość systemu umożliwiająca określenie i weryfikowanie odpowiedzialności za działania, usługi i funkcje; 5) niezaprzeczalność – brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie; 6) niezawodność – zapewnienie spójności oraz zamierzonych zachowań. Rozdział 2 Cele §3 1. Polityka bezpieczeństwa ma zastosowanie do wszystkich zbiorów zawierających dane osobowe w rozumieniu Ustawy w postaci dokumentów papierowych, elektronicznych i innych, w szczególności gromadzonych i przetwarzanych w systemach informatycznych Starostwa, w związku z realizacją ustawowych zadań realizowanych przez Powiat. 2. Ochronie podlegają wszystkie dane osobowe zgromadzone w zbiorach papierowych oraz informatycznych bez względu na sposób ich pozyskania (w tym powierzone do przetwarzania). 3. Dostęp do przetwarzanych danych osobowych zgromadzonych w zbiorach mogą mieć tylko upoważnieni pracownicy Starostwa, w zakresie niezbędnym do realizacji określonego zadania, którzy zobowiązani są do ochrony danych osobowych oraz zachowania tych danych w tajemnicy. 4. 5. Przetwarzanie danych osobowych dopuszczalne jest jedynie w ramach zbiorów, znajdujących się w Wykazie systemów prowadzonym przez Administratora Bezpieczeństwa Informacji po spełnieniu wymagań zawartych w Polityce bezpieczeństwa oraz (w stosunku do zbiorów przetwarzanych w systemie informatycznym) wymagań zawartych w Instrukcji do przetwarzania danych osobowych. Wszystkie zbiory i materiały zawierające dane osobowe podlegają: 1) identyfikacji - określeniu, gdzie znajduje się informacja zawierająca dane osobowe, jaki jest jej zakres, jaką ma postać, kto z niej korzysta, w jakim trybie i na jakich zasadach, 2) klasyfikacji - określeniu wartości informacji z punktu widzenia prawa oraz jej znaczenia dla funkcjonowania Starostwa, 3) opracowaniu projektu dokumentu sankcjonującego zasadność przetwarzania danych osobowych wraz z projektem sposobu przetwarzania tych danych lub sposobu usunięcia danych i zamknięcia zbioru, 4) zgłoszeniu zbioru do Wykazu prowadzonego przez Administratora bezpieczeństwa informacji. 6. Za wykonanie czynności, o których mowa w ust. 5, odpowiedzialni są Dyrektorzy komórek organizacyjnych, w których przetwarzane są dane osobowe, 7. Dyrektor komórki organizacyjnej, w której ma zostać utworzony zbiór danych osobowych, przygotowuje wniosek, który powinien w szczególności zawierać: 1) datę utworzenia zbioru, 2) podstawę prawną prowadzenia zbioru, 3) cel prowadzenia zbioru, 4) zakres danych przetwarzanych w zbiorze, str. 5 5) osoby odpowiedzialne za prowadzenie zbioru, 6) kategorie uprawnień do korzystania ze zbioru, 7) tryb uzyskiwania uprawnień, 8) źródło danych osobowych przetwarzanych w zbiorze. Następnie wniosek ten przesyła do Administratora bezpieczeństwa informacji, który na jego podstawie przygotowuje projekt Zarządzenia w sprawie utworzenia zbioru danych osobowych. Podpisanie Zarządzenia przez Starostę stanowi podstawę utworzenia nowego Zbioru danych osobowych. 8. 9. Dyrektor wnioskujący o utworzenie zbioru może wnioskować o jego likwidację. Likwidację zbioru przeprowadza komisja powołana przez Starostę. Z likwidacji zbioru komisja sporządza protokół, który powinien zawierać: 1) skład osobowy komisji; 2) datę likwidacji; 3) sposób usunięcia zgromadzonych danych. 10. Jeżeli dane osobowe przetwarzane są w ramach systemu niejawnego w rozumieniu ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. 2010, Nr 182 poz. 1228 z późn. zm.), to stosuje się do nich zasady ochrony zawarte w dokumentach bezpieczeństwa, opracowanych dla tych systemów (szczególnych wymaganiach bezpieczeństwa i procedurach bezpiecznej eksploatacji). 11. Polityka bezpieczeństwa obowiązuje wszystkich pracowników Starostwa. Rozdział 3 Zarządzanie ochroną danych osobowych §4 1. Ze względu na funkcjonowanie wielu zbiorów danych osobowych przetwarzanych w Starostwie, ustalono następującą strukturę zarządzania bezpieczeństwem przetwarzania danych osobowych: 1) Administrator danych, 2) Administrator bezpieczeństwa informacji, 3) Administrator systemu teleinformatycznego, 4) Opiekun systemu, 5) Użytkownik systemu. 2. Za bezpieczeństwo danych osobowych przetwarzanych w Starostwie odpowiada Administrator danych. 3. Dyrektorzy, Administrator systemu informatycznego, Opiekun Systemu oraz Użytkownik systemu obowiązani są zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinni zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. §5 1. Administratorem danych w Starostwie jest Starosta. 2. Administrator danych może upoważnić do przetwarzania danych osobowych inne osoby, w myśl obowiązujących przepisów. str. 6 §6 1. 2. Funkcję Administratora bezpieczeństwa informacji pełni pracownik Starostwa wyznaczony przez Starostę. Do zadań Administratora bezpieczeństwa informacji, w szczególności należy: 1) na poziomie polityki bezpieczeństwa: a) analiza zagrożeń dla bezpieczeństwa danych osobowych oraz wdrażanie zmian w dokumentacji przetwarzania w celu zapewnienia właściwego poziomu ochrony przetwarzania; b) prowadzenie Wykazu systemów; c) prowadzenie kontroli w zakresie bezpieczeństwa danych osobowych; d) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych w Starostwie; e) realizowanie procedur związanych ze zgłaszaniem Generalnemu Inspektorowi zbiorów danych osobowych przetwarzanych w Starostwie, podlegających rejestracji; f) realizowanie procedur związanych z uprawnieniami osób, których dane osobowe dotyczą w szczególności prawa do uzyskania informacji, o którym mowa w Ustawie; g) organizowanie systemu szkoleń z zakresu ochrony danych osobowych dla osób upoważnionych do ich przetwarzania, osób nowo zatrudnionych oraz podejmowanie działań mających na celu popularyzację wiedzy w tym zakresie w Starostwie; h) wydawanie zaleceń z zakresu ochrony danych osobowych. 2) na poziomie systemu przetwarzania: a) nadzór nad przestrzeganiem zasad ochrony przetwarzania danych osobowych zawartych w Instrukcji, we wszystkich systemach informatycznych Starostwa, w których przetwarzane są dane osobowe; b) kontrolowanie osobowych; zakresu przedmiotowego i podmiotowego przetwarzania danych c) analiza incydentów dotyczących naruszenia bezpieczeństwa przetwarzania danych osobowych i podejmowanie odpowiednich działań, przy współpracy z Administratorem systemu informatycznego, w celu zapobieżenia ich powstawania w przyszłości. §7 1. Funkcję Administratora systemu informatycznego pełni pracownik Starostwa wyznaczony przez Starostę. 2. Administrator systemu informatycznego odpowiedzialny jest za realizację zadań związanych z zarządzaniem systemem informatycznym, w którym przetwarzane są dane osobowe. 3. Do jego zadań w szczególności należy: 1) opracowanie Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, 2) właściwe skonfigurowanie systemu informatycznego według wymagań wynikających z Instrukcji, 3) zakładanie kont użytkownikom systemu zgodnie z uprawnieniami z pisemnego upoważnienia podpisanego przez administratora danych, wynikającymi 4) zablokowywanie bądź zamykanie kont użytkowników systemu: a) na polecenie Administratora danych osobowych; b) w wypadku utraty ważności upoważnienia; str. 7 c) rozwiązania stosunku pracy z użytkownikiem systemu. 5) przyjmowanie od użytkowników systemów uwag dotyczących nieprawidłowości w działaniu systemu oraz podejmowanie działań zmierzających do zapewnienia sprawności systemu informatycznego, 6) przyjmowanie informacji o wypadkach naruszenia bezpieczeństwa przetwarzania danych osobowych oraz niezwłoczne podejmowanie działań zmierzających do zapobieżenia powstania szkód, w tym w szczególności utraty poufności, integralności i dostępności danych osobowych oraz wyjaśnianie przyczyn ich powstania, 7) zapoznawanie użytkowników systemu z Instrukcją oraz przechowywanie potwierdzeń faktu zapoznania się i zrozumienia przez użytkowników systemu zasad bezpiecznego przetwarzania danych osobowych w niej zawartych, 8) zainstalowanie programu antywirusowego i systematyczne uaktualnianie bazy wirusów przez niego wykrywanych, 9) bieżąca naprawa, konserwacja i rozbudowa systemu informatycznego w zakresie umożliwiającym utrzymywanie go w stałej sprawności technicznej oraz funkcjonalnej, 10) wykonywanie i przechowywanie kopii bezpieczeństwa według zasad wynikających z Instrukcji, 11) niszczenie uszkodzonych nośników informacji zgodnie z procedurami określonymi w Instrukcji, 12) uczestniczenie w szkoleniach z zakresu administrowania systemami informatycznymi, 13) wykonywanie zaleceń Administratora bezpieczeństwa informacji w zakresie ochrony danych osobowych, 14) kontrola nad dostępem użytkowników do systemów informatycznych, 15) podejmowanie stosownych działań w przypadku naruszenia w systemie informatycznym zabezpieczeń, 16) opracowanie Instrukcji, §8 1. 2. 3. Funkcję Opiekuna systemu wykonuje pracownik Starostwa wyznaczony przez Starostę. Opiekun systemu odpowiedzialny jest za realizację zadań związanych z nadzorem nad systemem informatycznym, w którym przetwarzane są dane osobowe. Do jego zadań w szczególności należy: 1) nadzór nad przydzielaniem dostępu do systemu informatycznego i modyfikowanie uprawnień użytkowników systemu informatycznego, 2) zgłaszanie zmian w zakresie funkcjonowania systemu informatycznego, 3) prowadzenie szkoleń w zakresie obsługi systemu informatycznego. §9 Użytkownik systemu wykonuje wszystkie prace niezbędne do efektywnej oraz bezpiecznej pracy na stanowisku pracy – również z wykorzystaniem powierzonego sprzętu informatycznego. Jest odpowiedzialny przed Administratorem bezpieczeństwa informacji za stosowanie określonych w Polityce bezpieczeństwa warunków bezpieczeństwa, w szczególności do przestrzegania procedur dostępu do systemu i ochrony danych osobowych oraz ponosi odpowiedzialność przed Administratorem systemu informatycznego za przestrzeganie zapisów Instrukcji. str. 8 Rozdział 4 Polityka dostępu do danych osobowych § 10 1. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby zatrudnione na podstawie umowy o pracę, umowy cywilno-prawnej oraz osoby odbywające staż w Starostwie, posiadające upoważnienie wydane przez Administratora danych. 2. Z wnioskiem o wydanie upoważnienia (którego wzór stanowi zał. Nr 1 do niniejszego dokumentu), występuje do Administratora danych Dyrektor. 3. Wniosek, o którym mowa w ust. 2, musi zawierać wskazanie zakresu przetwarzanych danych osobowych. 4. Wszystkie osoby mające dostęp do danych osobowych muszą odbyć szkolenie obejmujące znajomość obowiązujących przepisów prawa w zakresie ochrony danych osobowych. Przedmiotowe szkolenie prowadzi Administrator bezpieczeństwa informacji. 5. Dodatkowo wszystkie osoby mające dostęp do danych osobowych przetwarzanych w systemie informatycznym, muszą zapoznać się z Instrukcją oraz podpisem potwierdzić fakt zrozumienia zasad w niej zawartych. 6. Indywidualny zakres obowiązków osoby upoważnionej do przetwarzania danych musi zawierać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby przy przetwarzaniu danych osobowych. 7. Zezwala się na udostępnienie danych osobowych innemu podmiotowi na podstawie umowy. Podmiot, któremu powierzono udostępniono dane osobowe może przetwarzać dane wyłącznie w zakresie i celu wskazanym w umowie. 8. W przypadku udostępnienia danych osobowych innemu podmiotowi, należy każdorazowo poinformować osobę lub podmiot, których dane zostały udostępnione, o odbiorcach przekazanych danych. § 11 1. 2. Uzyskanie lub cofniecie dostępu do systemu informatycznego przetwarzającego dane osobowe, dla poszczególnych użytkowników, wymaga złożenia przez Dyrektora wniosku do Administratora systemu informatycznego (wzór wniosku stanowi zał. Nr 2 do niniejszego dokumentu). Wniosek, o którym mowa w ust. 1, wymaga: 1) pełną nazwę systemu informatycznego z podaniem konkretnej aplikacji, 2) pozytywnej opinii Administratora bezpieczeństwa informacji, 3) adnotacji Opiekuna systemu informatycznego, 4) wniosek ewidencjonuje Administrator systemu informatycznego dokonując stosownej adnotacji w wykazie użytkowników systemów informatycznych (którego wzór stanowi zał. Nr 3 do niniejszego dokumentu). 3. 4. Wniosek, o którym mowa w ust. 1, stanowi podstawę do przydzielenia lub cofnięcia uprawnień poszczególnym użytkownikom. Administrator systemu informatycznego: a) przyznaje uprawnienia poszczególnym użytkownikom nie później niż w terminie 3 (trzech) dni roboczych liczonych od daty złożenia wniosku; b) cofa uprawnienia niezwłocznie po otrzymaniu wniosku. str. 9 Rozdział 5 Przetwarzanie danych osobowych. Wymagania bezpieczeństwa § 12 1. Przed przystąpieniem do przetwarzania danych osobowych pracownik w zakresie ochrony fizycznej powinien zapewnić w szczególności następujące środki bezpieczeństwa: 1) wszystkie operacje na danych osobowych a w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie może się odbywać w pomieszczeniach zabezpieczonych przed dostępem osób nieupoważnionych. Kategorycznie zabrania się pozostawiania w pomieszczeniu bez nadzoru klientów oraz pracowników Starostwa, którzy nie są upoważnieni do przetwarzania danych osobowych danego systemu bądź określonej kategorii danych, 2) pomieszczenia, w których realizowane są operacje na danych osobowych należy zamykać w momencie zakończenia pracy oraz każdorazowo w przypadku opuszczenia stanowiska pracy, 3) klucze do pomieszczeń pracy przechowywane są w zamykanej szafce w pokoju nr 1, Budynku Starostwa przy ul. Kazimierza Wielkiego 31 w Bochni, 4) osoby nie posiadające upoważnienia do przetwarzania danych osobowych mogą przebywać w pomieszczeniach, w których te dane są przetwarzane, tylko w obecności użytkownika systemu, 5) dane osobowe w postaci papierowej powinny być przechowywane w szafach metalowych, szafach drewnianych lub biurkach wyposażonych w odpowiednie zamki mechaniczne charakteryzujące się umiarkowaną odpornością na nieuprawnione próby otwarcia, 6) nie należy pozostawiać dokumentów papierowych i nośników elektronicznych w miejscach umożliwiających ich wykorzystanie przez osoby nieuprawnione, 7) pomieszczenia, w których gromadzone są dane osobowe powinny być: a) w przypadku pomieszczeń zlokalizowanych na parterze - okna w tych pomieszczeniach powinny być zabezpieczone kratami, drzwi powinny być wyposażone w zamki mechaniczne charakteryzujące się odpornością na sprawne działania osoby nieuprawnionej, posługującej się zwykłymi, powszechnie dostępnymi środkami; b) w przypadku pomieszczeń zlokalizowanych na piętrze - drzwi do tych pomieszczeń powinny być wyposażyć w zamki mechaniczne charakteryzujące się odpornością na sprawne działania osoby nieuprawnionej, posługującej się zwykłymi, powszechnie dostępnymi środkami. 8) klucze do szaf lub biurek powinny być przechowywane w miejscu wskazanym przez Dyrektora, 9) na serwerownie wyznacza się pomieszczenie, które spełnia wymagania pod względem bezpieczeństwa fizycznego tj. zlokalizowane jest na pierwszym piętrze budynku Starostwa, posiada kraty w oknach, drzwi wyposażone są w zamek mechaniczny charakteryzujący się odpornością na sprawne działanie osoby nieuprawnionej posługującej się zwykłymi, powszechnie dostępnymi środkami oraz jest wyposażone w system alarmowy. Ponadto wejście do serwerowni chronione jest systemem monitoringu wizyjnego. 2. W zakresie bezpieczeństwa teleinformatycznego: 1) dane osobowe mogą być przetwarzane jedynie w systemach informatycznych, w których możliwe jest zachowanie wszystkich podstawowych atrybutów bezpieczeństwa zbioru tj. poufności, integralności, dostępności, rozliczalności i niezaprzeczalności, 2) dopuszcza się przechowywanie danych osobowych wyłącznie na serwerach gdzie powinny podlegać ochronie zapewnianej między innymi przez mechanizmy bezpieczeństwa systemu operacyjnego (np. uwierzytelnienie), 3) przetwarzanie danych osobowych w systemie informatycznym może się odbywać jedynie przy spełnieniu następujących wymagań: str. 10 a) system spełnia wymagania funkcjonalne zawarte w § 7 Rozporządzenia; b) zaimplementowane zostały mechanizmy kontroli dostępu (logiczne lub sprzętowe), umożliwiające uwierzytelnianie każdego użytkownika indywidualnie; c) system został zabezpieczony przed działaniem oprogramowania złośliwego w tym w szczególności umożliwiającego uzyskanie nieuprawnionego dostępu do systemu; d) wdrożono postanowienia wynikające z Instrukcji; e) zapewniono środki ochrony kryptograficznej nośników zawierających dane osobowe na czas transportu, przechowywania i użytkowania poza obszarem przetwarzania; f) monitory komputerów na których dokonuje się przetwarzanie danych, powinny być ustawione w sposób uniemożliwiający ich podgląd osobom nieuprawnionym. 4) dane osobowe przetwarzane w systemach należy zabezpieczyć poprzez wykonanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych w odstępach nie większych niż 7 dni. Kopie powinien wykonywać Administrator systemu informatycznego. 5) kopie zapasowe, o których mowa w § 12 ust. 2 pkt 4, powinny być przechowywane: a) w pomieszczeniach innych niż pomieszczenie serwerowni; b) w urządzeniach spełniających wymagania ochrony zgromadzonych zbiorów w sposób uniemożliwiający osobom nieuprawnionym dostęp do przechowywanych danych; c) przez Administrator systemu informatycznego. 6) serwer Starostwa powinien posiadać odpowiednie oprogramowanie zabezpieczające przed programami szkodliwymi (spamem, wirusem, itp.) oraz oprogramowanie umożliwiające transmisję danych z użyciem technik kryptograficznych, spełniających co najmniej minimalne wymagania określone w ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2005 r. Nr 64, poz. 565 z późn. zm.) oraz Rozporządzeniu. Dostęp do serwerowni maja wyłącznie Administrator systemu informatycznego. Przebywanie innych osób w pomieszczeniu serwerowni dopuszczone jest wyłącznie w obecności Administrator systemu informatycznego. 3. Procedura przechowywania/pobierania kluczy do pomieszczeń: 1) klucze do pomieszczeń pracy przechowywane są zgodnie z § 12 ust. 1 pkt 3, 2) pracownik, który jako ostatni opuszcza stanowisko pracy, sprawdza stan zabezpieczenia pomieszczenia oraz dokumentów (zamkniecie okien, szaf itp.), 3) następnie zamyka pomieszczenie a klucze zamyka w szafce w pokoju, o którym mowa w § 12 ust. 1 pkt 3, 4) w momencie przyjścia do pracy pracownik pobiera klucze do pomieszczenia, sprawdza wizualnie czy nie było próby nieuprawnionego otwarcia pomieszczenia i otwiera pomieszczenie, 5) po wejściu do pomieszczenia, dokonuje sprawdzenia wizualnego pomieszczenia i w przypadku braku symptomów świadczących o nieuprawnionym wejściu do pomieszczenia, przystępuje do pracy. 4. Wprowadza się uwierzytelnienia: w systemach informatycznych Starostwa następujące sposoby 1) hasło, które powinno składać się co najmniej z 8 znaków, w tym zawierające małe i wielkie litery oraz cyfry i znaki specjalne. W ustawieniach programowych systemu należy ustawić zmianę hasła w okresach nie dłuższych niż 30-to dniowych, 2) karta kryptograficzna zabezpieczona kodem PIN. Kod PIN pracownik nadaje sobie samodzielnie. Ustawienie zabezpieczenia kodu PIN powinno powodować zablokowanie karty w momencie trzykrotnego błędnie wprowadzonego kodu PIN. str. 11 § 13 1. Dostęp do danych osobowych wprowadzanych do systemów informatycznych mogą mieć wyłącznie użytkownicy danych systemów informatycznych, Opiekunowie systemów oraz Administratorzy systemów informatycznych, którzy zapewniają jego prawidłową eksploatację. 2. Wszyscy pracownicy będący użytkownikami systemów, Opiekunowie systemów oraz Administratorzy systemów informatycznych zobowiązani są dołożyć wszelkich starań w celu ochrony przetwarzanych danych. 3. Dokumenty i nośniki informacji zawierające dane osobowe powinny być zabezpieczone przed dostępem osób nieupoważnionych. Jeśli nie są aktualnie używane powinny być przechowywane w szafach lub innych przeznaczonych do tego celu urządzeniach biurowych, posiadających stosowne zabezpieczenia. 4. Użytkownicy systemu powinni mieć przed przystąpieniem do pracy w systemie informatycznym, zablokowany dostęp do sieci publicznej tj. witryn internetowych. Z wnioskiem o przyznanie dostępu do sieci publicznej (którego wzór stanowi zał. Nr 4 do niniejszego dokumentu), występuje, do Administratora systemu informatycznego, pracownik danej komórki organizacyjnej. Wniosek powinien być zaopiniowany przez właściwego Dyrektora. 5. Osoby przetwarzające dane osobowe powinny dokonywać niszczenia zbędnie wytworzonych lub już niepotrzebnych wydruków, wykazów, zestawień lub innych dokumentów zawierających dane osobowe za pomocą niszczarki. 6. Użytkownicy komputerów przenośnych, na których są przetwarzane dane osobowe zobowiązani są do zabezpieczenia ich hasłem przed nieautoryzowanym uruchomieniem. Dane osobowe mogą być przetwarzane, w komputerach przenośnych wyłącznie w urządzeniach z wymiennymi nośnikami pamięciami z programem szyfrowania danych zapisywanych na nośniku pamięci. 7. Zabrania się udostępniania komputerów przenośnych osobom nieupoważnionym. 8. Wynoszenie komputerów poza budynek Starostwa wymaga uzyskania zgody Starosty lub osoby przez niego upoważnionej. Z wnioskiem (którego wzór stanowi zał. Nr 5 do niniejszego dokumentu) występuje pracownik Starostwa. Wniosek przed przekazaniem Staroście lub osobie upoważnionej powinien być zaopiniowany przez bezpośredniego przełożonego oraz Dyrektora Wydziału Organizacyjnego. 9. Użytkownicy systemów informatycznych przed opuszczeniem stanowiska pracy powinni zakończyć pracę z aplikacją i wylogować się z systemu, w przypadku chwilowego opuszczenia stanowiska pracy należy w celu ochrony przetwarzanych danych uaktywnić wygaszacz ekranu zabezpieczony hasłem. § 14 1. Wprowadza się następujące zasady korzystania z oprogramowania: 1) oryginalne dokumenty licencyjne oraz nośniki każdego oprogramowania przechowywane są w Wydziale Organizacyjnym. Nośniki oraz kody aktywacyjne produktów oprogramowania nie mogą być kopiowane, wypożyczane lub w żaden sposób przekazywane osobom trzecim. 2) wszyscy pracownicy zobowiązani są do pracy na legalnym oprogramowaniu, 3) zabrania się instalacji i użytkowania oprogramowania pochodzącego ze źródeł innych niż Starostwo, 2. Za sprawne funkcjonowanie systemów sygnalizacji alarmowej, monitoringu wizyjnego, środków ochrony ppoż. oraz innych środków technicznych wspomagających ochronę przetwarzanych danych (w tym kraty, zamki do drzwi, szafek itp.) odpowiedzialny jest Dyrektor Wydziału Organizacyjnego. str. 12 Rozdział 6 Wykaz budynków, pomieszczeń tworzących obszar w którym przetwarzane są dane osobowe § 15 1. Budynek Starostwa znajdujący się na ul. Kazimierza Wielkiego Nr 31 w Bochni będącego siedzibą Starostwa jest obszarem, w którym zezwala się na przetwarzanie danych osobowych. 2. Dane osobowe w postaci elektronicznej mogą być: 1) gromadzone w pomieszczeniu serwerowni, 2) modyfikacje, wpisywanie, kopiowanie, uzupełniane itd. na stacjach komputerowych w pozostałych pomieszczeniach biurowych Starostwa. 3. Przetwarzanie danych osobowych poza budynkiem Starostwa o którym mowa w ust.1 jest kategorycznie zabronione. Rozdział 7 Opis przetwarzanych zbiorów danych osobowych § 16 1. Dane osobowe w postaci elektronicznej, mogą być przetwarzane wyłącznie w systemach informatycznych funkcjonujących w Starostwie. Wykaz systemów informatycznych wspomagających funkcjonowanie i zarządzanie Starostwem stanowi zał. Nr 6 do niniejszego dokumentu. 2. Przetwarzane w Starostwie dane osobowe zgromadzone w zbiorach zawierają w szczególności: 1) imię i nazwisko, 2) imiona i nazwiska rodowe rodziców, 3) nazwisko rodowe, 4) data urodzenia, 5) miejsce urodzenia, 6) nr PESEL, 7) płeć, 8) adres zamieszkania, 9) kod pocztowy, 10) dokument tożsamości (seria, nr, nazwa i siedziba wystawcy), 11) wartość zamówienia, 12) data zamówienia. 3. Wykaz systemów informatycznych wspomagających funkcjonowanie i zarządzanie Starostwem (którego wzór stanowi zał. Nr 7 do niniejszego dokumentu), podlega aktualizacji każdorazowo w przypadku: 1) likwidacji, wprowadzenia lub zmiany systemu informatycznego; 2) zmiany Administratora systemu informatycznego lub opiekuna systemu informatycznego. 4. Aktualizacji wykazu systemów informatycznych, o których mowa w ust. 1 oraz 3, dokonuje Administrator bezpieczeństwa informacji na podstawie Zarządzenia Starosty. str. 13 § 17 1. W uzasadnionych przypadkach zezwala się na przetwarzanie danych osobowych w doraźnym zbiorze pod warunkiem, że zapisane dane są należycie chronione: 1) uniemożliwi się dostęp do danych osobom nieuprawnionym, 2) uniemożliwi się zmiany danych, a tym samym zafałszowanie informacji pochodzących z systemu, 3) zabezpieczy się bezpośredni dostęp do danych hasłem. 2. Doraźny zbiór danych osobowych należy usunąć z nośnika danych, na którym został utworzony lub zniszczyć nośnik. Rozdział 8 Opis struktury zbiorów danych § 18 1. W Starostwie przetwarzane są następujące informacje: 1) dane osobowe pracowników zatrudnionych w Starostwie Powiatowym w Bochni oraz kierowników jednostek organizacyjnych powiatu, 2) dane kontrahentów, przedsiębiorców, 3) informacje związane z realizacją zamówień publicznych, 4) informacje związane z działalnością komórek organizacyjnych Starostwa. 2. Zbiory danych osobowych w Starostwie podzielone są funkcjonalnie. Zbiera się je, przechowuje i przetwarza tradycyjnie na nośnikach papierowych, jak również w systemie informatycznym w zakresie: 1) dokumentacji kadrowej: b) dokumentów kandydatów ubiegających się o przyjęcie do pracy; c) pracowników aktualnie zatrudnionych; d) pracowników, z którymi rozwiązano umowę o pracę; e) osób odbywających staż. 2) dokumentacji przetargowej: a) kontrahentów; b) przedsiębiorców; 3) danych osobowych mieszkańców Powiatu: a) obywateli Polski; b) obywateli innych państw. 3. Z uwagi na rodzaj i charakter danych osobowych zawartych w zbiorach w Starostwie wyróżnia się dwie kategorie danych: 1) dane osobowe zwykłe – dane osobowe niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie; 2) dane osobowe szczególne – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, których przetwarzanie jest dopuszczalne w związku z art. 27 ustawy. str. 14 4. Dane osobowe mogą być przetwarzane wyłącznie w systemach informatycznych, które zostały wprowadzone do użytku zgodnie z Zarządzeniem Starosty w sprawie wprowadzenia w Starostwie Powiatowym w Bochni wykazu systemów informatycznych wspomagających funkcjonowanie i zarządzanie Starostwem. Rozdział 9 Przepływ danych § 19 1. Komunikacja wewnętrzna – obieg dokumentów zawierających dane osobowe, pomiędzy komórkami organizacyjnymi powinien odbywać się: 1) w formie papierowej w sposób zapewniający pełną ochronę przed ujawnieniem lub zagubieniem zawartych w tych dokumentach danych osobowych; 2) w formie elektronicznej przy wykorzystaniu funkcjonujących w Starostwie systemów informatycznych; 2. Komunikacja zewnętrzna – dokumenty (materiały) zawierające dane osobowe powinny być przesyłane (przekazywane) za pośrednictwem jednej z poniżej podanych form doręczenia: 1) goniec ZPO, 2) przesyłka polecona ZPO, 3) przesyłka polecona priorytetowa ZPO, 4) paczka ZPO, 5) paczka priorytetowa ZPO, 6) przesyłka zagraniczna priorytetowa ZPO. Dokumenty (materiały) zawierające dane osobowe powinny być opakowane w nieprzezroczystą kopertę. Przy przekazywaniu dokumentów należy zapewnić pełną ochronę przekazywanych danych osobowych. 3. Komunikacja w sieci komputerowej – zezwala się na przekazywanie danych (informacji) w systemie informatycznym. Komunikacja może odbywać się wyłącznie za pośrednictwem serwera Starostwa poprzez łącza publiczne po wcześniejszym zaszyfrowaniu przesyłanych danych. Rozdział 10 Opis zdarzeń naruszających ochronę danych osobowych § 20 1. Dopuszcza się następujący podział zagrożeń mogących wystąpić w Starostwie: 1) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu itp.), 2) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki użytkowników systemu, awarie sprzętu, błędy oprogramowania itp.), 3) zagrożenia zamierzone – spowodowane celową działalnością człowieka zmierzające do utraty poufności danych. 2. Sytuacje zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia ochrony danych osobowych to między innymi: 1) awaria sprzętu lub oprogramowania, które wskazują na umyślne działanie w kierunku naruszenia ochrony danych osobowych, 2) stwierdzenie próby modyfikacji, modyfikacja danych lub zmiana w strukturze danych bez autoryzacji (upoważnienia), str. 15 3) ujawnienie osobom nieupoważnionym danych osobowych, rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w miejscu ogólnie dostępnym, urządzeniu wielofunkcyjnym, niezamknięcie pomieszczenia, w których przetwarzane są dane osobowe, niewykonanie w określonym czasie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych, itp.), 4) nieuzasadnione kopiowanie przez użytkowników systemów, plików z serwerów na stacje robocze użytkowników, dyskietki i inne nośniki jest zabronione, 5) za naruszenie ochrony uważa się również nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka lub pozostawienie do nich kluczy w miejscach widocznych, itp.). Rozdział 11 Postępowanie w przypadku naruszenia systemu ochrony danych osobowych. Monitorowanie zabezpieczeń § 21 1. Każdy pracownik Starostwa, który stwierdzi naruszenie zabezpieczenia ochrony danych osobowych gromadzonych w formie papierowej powinien niezwłocznie poinformować o tym fakcie Bezpośredniego przełożonego oraz Administratora bezpieczeństwa informacji. 2. W przypadku gdy naruszenie dotyczyło systemów informatycznych pracownik ma obowiązek poinformować bezpośredniego przełożonego, Administratora systemu informatycznego oraz Administratora bezpieczeństwa informacji. 3. Po otrzymaniu informacji o naruszeniu zabezpieczeń: 1) w przypadku danych gromadzonych w formie papierowej - Administrator bezpieczeństwa informacji, 2) w przypadku systemów informatycznych - Administrator systemu informatycznego, zobowiązani są do podjęcia działań mających na celu ochronę danych osobowych przetwarzanych w Starostwie. 4. Administrator bezpieczeństwa informacji, a w przypadku systemów informatycznych Administrator systemu informatycznego, sporządza raport z naruszenia bezpieczeństwa i niezwłocznie przekazuje go Staroście. 5. W przypadku gdy naruszenie bezpieczeństwa danych przetwarzanych w systemach informatycznych dotyczyło systemów i danych udostępnionych Starostwu (np. CEPiK, Ewid 2007 itp.) czynności, o których mowa powyżej, należy wykonać przy współpracy z administratorami tych systemów. 6. W przypadku gdy naruszenie bezpieczeństwa danych przetwarzanych w systemach informatycznych dotyczyło systemów i danych udostępnionych innym jednostkom (np. ewidencja gruntów i budynków) Kierownik danej jednostki, której udostępniono dane ma obowiązek poinformować Starostę na piśmie o zaistniałym incydencie oraz podjąć niezbędne kroki w celu wyjaśnienia zdarzenia i wdrożenia procedur eliminujących w przyszłości podobne sytuacje. § 22 1. Do monitorowania systemu zabezpieczeń zobowiązani są: 1) Administrator danych, 2) Administrator bezpieczeństwa informacji. 2. W ramach kontroli należy zwracać szczególna uwagę na: 1) zabezpieczenie dokumentów, 2) zabezpieczenie pomieszczeń, str. 16 3) okresowe sprawdzanie kopii bezpieczeństwa pod względem przydatności do możliwości odtwarzania danych, 4) kontrolę ewidencji nośników kopii bezpieczeństwa. Rozdział 12 Przepisy karne § 23 Pracownik nie przestrzegający zasad określonych w niniejszej Polityce ponosi odpowiedzialność za ochronę przetwarzanych danych zgodnie z zapisami art. 49, art. 51-53 ustawy o ochronie danych osobowych (t.j. Dz. U. 2002 r. Nr 101, poz. 926 z późn. zm.). str. 17 Zał. Nr 1 do Polityki bezpieczeństwa przetwarzanych danych osobowych w Starostwie Powiatowym w Bochni Wniosek o wydanie upoważnienia do przetwarzania danych osobowych Na podstawie art. 37 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,poz. 926 z późn. zm.) proszę o wydanie upoważnienia dla: Pani (a) ……………………………….. (imię i nazwisko) Pracownika …………………………………………………………………………………………………. (nazwa komórki organizacyjnej) Do wykonywania czynności związanych z przetwarzaniem danych osobowych w zakresie: ………………………………………………………………………………………………………………… (wpisujemy zakres przetwarzanych danych np. komputerowym systemie KSAT 2000 aplikacja Organizacja Pracy Urzędu , systemie elektronicznego naboru dla szkół VULCAN itp.) na okres od ……………………………….do ………………………….. ………………………………………… (imię i nazwisko dyrektora - podpis) str. 18 Zał. Nr 2 do Polityki bezpieczeństwa przetwarzanych danych osobowych w Starostwie Powiatowym w Bochni WNIOSEK O PRZYDZIELENIE / COFNIECIE1 UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM WSPOMAGAJĄCYM FUNKCJONOWANIE URZĘDU Wnioskuję o przyznanie/odebranie1 uprawnień w systemie informatycznym dla : 1. Imię: …………………………………………………………………. 2. Nazwisko: …………………………………………………………… 3. Stanowisko: …………………………………………………………. 4. Nazwa Komórki organizacyjnej: …………………………………... 5. Data wypełnienia: …………………………………………………… Nazwa systemu informatycznego Pełna nazwa systemu, aplikacji: Administrator bezpieczeństwa informacji Adnotacja dot. przetwarzania danych osobowych: Opiekun systemu informatycznego Adnotacja dot. szkolenia: Administrator systemu informatycznego Adnotacja dot. szkolenia, przydzielenia konta uzytkownikowi: …………………………………………………………… (Podpis dyrektora) 1 niepotrzebne skreślić, str. 19 Zał. Nr 3 do Polityki bezpieczeństwa przetwarzanych danych osobowych w Starostwie Powiatowym w Bochni Wykaz użytkowników systemu informatycznego ……………………………………………………….. Lp. Imię i nazwisko Komórka organizacyjna Przydzielony login (identyfikator) Data przyznania dostępu do systemu informatycznego Data cofnięcia dostępu do systemu informatycznego Uprawnienia Uwagi 1 2 3 4 5 6 7 8 str. 20 Zał. Nr 4 do Polityki bezpieczeństwa przetwarzanych danych osobowych w Starostwie Powiatowym w Bochni Wniosek o przyznanie ostępu do sieci publicznej Proszę o przyznanie dostępu do sieci publicznej dla: Pani (a) ……………………………….. (imię i nazwisko) Pracownika …………………………………………………………………………………………………. (nazwa komórki organizacyjnej) Wniosek podyktowany jest: ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… (podajemy krótki opis powodu dla którego staramy się o dostęp do sieci publicznej) na okres od ……………………………….do ………………………….. ………………………………………… (imię i nazwisko wnioskującego - podpis) Z wnioskiem zapoznałem się i przesyłam do dalszego postępowania: z poparciem/ bez poparcia*. ………………………………..………… (imię i nazwisko dyrektora - podpis) *niewłaściwe skreślić str. 21 Zał. Nr 5 do Polityki bezpieczeństwa przetwarzanych danych osobowych w Starostwie Powiatowym w Bochni Wniosek o wyrażenie zgody na korzystanie z sprzętu informatycznego poza budynkiem Starostwa Powiatowego w Bochni Zwracam się z wnioskiem o wrażenie zgody na korzystanie z powierzonego sprzętu informatycznego tj. ………………………………………………………………………………………………………………… (nazwa sprzętu informatycznego, nr inwentarzowy) poza budynkiem Starostwa Powiatowego w Bochni. Wniosek podyktowany jest: ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… (uzasadnienie wniosku) na okres od ……………………………….do ………………………….. ……………………….………………………..………… (imię i nazwisko wnioskującego – podpis) Z wnioskiem zapoznałem się i przesyłam do dalszego postępowania: z poparciem/ bez poparcia*. ……………………….………………………..………… (imię i nazwisko bezpośredniego przełożonego - podpis) Z wnioskiem zapoznałem się i przesyłam do dalszego postępowania: z poparciem/ bez poparcia*. ……………………….………………………..…..……… (imię i nazwisko Dyrektora Wydziału Organizacyjnego - podpis) Wyrażam zgodę/ nie wyrażam zgody ……………………….………………………..………… (podpis Starosty lub osoby upoważnionej) *niewłaściwe skreślić str. 22 Zał. Nr 6 do Polityki bezpieczeństwa przetwarzanych danych osobowych w Starostwie Powiatowym w Bochni Wykaz systemów informatycznych wspomagających funkcjonowanie i zarządzanie Starostwem Lp. Nazwa systemu informatycznego 1 2 Przeznaczenie systemu informatycznego Miejsce zainstalowania systemu informatycznego Uwagi 3 5 8 Zintegrowany system zapewniający w formie elektronicznej obsługę następujących funkcji: Planowanie Budżetu, Centralny Rejestr Umów, Należności i Zobowiązania, Ewidencja Kadrowa, Księga Główna, Płace, Centralna Kartoteka Kontrahentów, Repozytorium Systemu. Zarządzanie sprawami, prowadzenie metryk spraw, pilnowanie terminów spraw, nadawanie znaków zgodnie z instrukcją kancelaryjną, integracja z platformą ePUAP, obsługa korespondencji przychodzącej i wychodzącej. Wspomaganie obsługi dokumentów występujących wyłącznie w formie elektronicznej, wspomaganie użytkowników w przygotowaniu spraw do archiwizacji dokumentów elektronicznych. 1 Komputerowy system dla administracji terenowej KSAT2000 2 System elektronicznego zarządzania dokumentów SIDAS 3 System elektronicznej rejestracji czasu pracy UNIRCP 4 System centralnego wydruku 5 Platforma Stanowienia Prawa Lokalnego EDICTA LEGIS 6 Platforma Konsultacji Społecznych 7 Active Directory 8 System poczty elektronicznej System bezpiecznej poczty elektronicznej. Serwerownia 9 System CMS Serwis internetowy Starostwa Powiatowego w Bochni Serwer zewnętrzny EURA7 - dostęp do edycji strony przez Internet 10 System informacji prawnej LEX 11 System dystrybucji materiałów elektronicznych dla Radnych 12 System dystrybucji materiałów elektronicznych Rejestracja i rozliczanie czasu pracy Zintegrowany z Active Directory system podążającego wydruku, skanowania, rozpoznawania pisma oraz kontroli dostępu do kserokopiarek. System redagowania aktów prawnych Starosty, Zarządu Powiatu oraz Rady Powiatu w wersji elektronicznej, w formacie zgodnym z obowiązującymi przepisami prawa System konsultowania za pomocą internetu aktów prawnych Starosty, Zarządu Powiatu oraz Rady Powiatu. Centralny system zarządzania użytkownikami systemów informatycznych, ich zasobami oraz prawami dostępu. Dostęp do aktualnych aktów prawnych, w tym orzeczeń, komentarzy, monografii, piśmiennictwa, serwisów samorządowych, prawa europejskiego oraz serwisu zamówień publicznych System zapewnia całodobowy dostęp do materiałów dla Radnych Rady Powiatu w Bochni w formie elektronicznej, po podaniu loginu i hasła. System zapewnia całodobowy dostęp do materiałów dla Członków Zarządu w Serwerownia Serwerownia Serwerownia Serwerownia Serwerownia Serwerownia Serwerownia Serwerownia Serwerownia Serwerownia str. 23 Lp. Nazwa systemu informatycznego Przeznaczenie systemu informatycznego dla Członków Zarządu Bochni w formie elektronicznej, po podaniu loginu i hasła. System umożliwiający wykonywanie zadań w zakresie sprawozdawczości budżetowej drogą elektroniczną. System umożliwiający wykonywanie zadań w zakresie sprawozdawczości drogą elektroniczną. Zapewnienie publicznie dostępnego wykazu danych zawierających informacje o środowisku i jego ochronie. Zgodnie z ustawą z dnia 3 października 2008 r. o udostępnianiu informacji o środowisku i jego ochronie, udziale społeczeństwa w ochronie środowiska oraz o ocenach oddziaływania na środowisko (Dz.U. Nr 199 z 2008 r. poz. 1227 z późn. zm.) Internetowy dostęp do informacji o stanie sprawy załatwianej w Starostwie Powiatowym w Bochni. 13 System sprawozdawczości budżetowej JST BESTIA 14 System elektronicznej sprawozdawczości GUS 15 System Informacji o Środowisku 16 System informacji o stanie sprawy 17 Biuletyn Informacji Publicznej Publikacja urzędowych informacji zgodnie z obowiązującymi przepisami prawa. 18 Biuletyn zamówień publicznych System centralnej publikacji ogłoszeń o zamówieniach publicznych. 19 Centralna Ewidencja Pojazdów i Kierowców System do kompleksowej obsługi zadań Wydziału Komunikacji i Transportu w zakresie Ewidencji Pojazdów i Kierowców. 21 Ewid 2007 22 System monitoringu przeciwpowodziowego 23 Arkus2005 System do kompleksowej obsługi zadań Wydziału Geodezji, Kartografii, Katastru i Gospodarki Nieruchomościami w zakresie Ewidencji Gruntów i Budynków. W Powiecie Bocheńskim działa już wczesne ostrzeganie przeciwpowodziowe. Urządzenia pomiarowe zamontowane zostały na rzece Rabie w Chełmie, Stradomce w Łapanowie oraz Uszwicy w Lipnicy Murowanej. Na system monitoringu składają się trzy lokalne stacje pomiarowe oraz centralna stacja pomiarowa. Stacje te mierzą i przechowują dane dot. poziomu wody w rzekach, monitorują gwałtowne wzrosty i przekroczenia poziomu ostrzegawczego i alarmowego. Informacje te przekazywane są do stacji centralnej i rozsyłane za pomocą komunikatu sms na wybrane numery telefonów. Dane te przekazywane są za pomocą standardowej linii telefonicznej. Wszelkie informacje pojawiają się także na specjalnej stronie internetowej: http://monitoring.waterpoint.pl Aplikacja umożliwiającą zbieranie, przechowywanie, analizę informacji dotyczących zasobów gmin województwa w zakresie spraw związanych z bezpieczeństwem w sytuacjach kryzysowych, przedstawianie ich w formie graficznej na mapie gminy (powiatu, województwa), generowanie raportów o stanie sił i środków gminy, powiatu, zliczanie zasobów w układzie gminnym, Miejsce zainstalowania systemu informatycznego Uwagi Serwerownia Serwer zewnętrzny dostęp do aplikacji przez Internet Serwer zewnętrzny dostęp do aplikacji przez Internet Serwerownia Serwer zewnętrzny dostęp do aplikacji przez Internet Serwer zewnętrzny dostęp do aplikacji przez Internet Serwer zewnętrzny w pok. 15a zainstalowany jest serwer pośredniczący dla CEPiK. Serwerownia Serwer zewnętrzny firmy Waterpoint Aplikacja używana lokalnie w Wydziale Bezpieczeństwa i Spraw Społecznych. str. 24 Lp. 24 Nazwa systemu informatycznego EMID Przeznaczenie systemu informatycznego powiatowym, wojewódzkim lub wybranych jednostek administracji samorządowej. Moduł mapowy umożliwia: prognozowanie skażeń i zagrożeń oraz zobrazowanie ich na mapie, automatyczne wyszukiwanie miejscowości i ich umiejscawianie na mapie a ponadto ma rozbudowany moduł graficzny umożliwiający wykonywanie planów, lub zobrazowanie sytuacji kryzysowej na mapie. Przy pomocy „ARCUS 2005” rozwiązany jest problem kompleksowego gromadzenia danych od szczebla gminy do szczebla województwa i transferu danych z gminy do powiatu i województwa. Jest to narzędzie funkcjonujące w jednostkach samorządowych szczebla gminy i powiatu oraz na szczeblu wojewódzkim. System wspomagający ewidencję oraz znakowanie i inwentaryzację środków trwałych urzędu. Miejsce zainstalowania systemu informatycznego Uwagi Serwerownia 25 SIO System Informacji Oświatowej Aplikacja używana lokalnie w Wydziale Edukacji, Kultury, Sportu i Turystyki 26 Communication Assistant Pro System obsługi Call Center Serwerownia 27 VULCAN System elektronicznego naboru do szkół 28 PABS Elektroniczne arkusze organizacyjne szkół i placówek 29 30 Cogisoft Korelacja System finansowo-księgowy System Finansowo-Księgowo-Płacowy Serwer zewnętrzny dostęp do aplikacji przez Internet Serwer zewnętrzny dostęp do aplikacji przez Internet Serwerownia Serwerownia 31 Generator wniosków Generator Wniosku o dofinansowanie realizacji projektów Aplikacja używana lokalnie 32 System centralnego faksu sieciowego System umożliwia wysyłanie faksów z lokalnych stanowisk i centralny odbiór faksów w wersji elektronicznej Serwerownia str. 25 Zał. Nr 7 do Polityki bezpieczeństwa przetwarzanych danych osobowych w Starostwie Powiatowym w Bochni Wykaz systemów informatycznych wspomagających funkcjonowanie i zarządzanie Starostwem Lp. Nazwa systemu informatycznego Przeznaczenie systemu informatycznego Firma wdrażająca system informatyczny Miejsce zainstalowania systemu informatycznego Opiekun systemu Administrator systemu informatycznego Uwagi 1 2 3 4 5 6 7 8 str. 26