Instrukcja Zarządzania Systemem Informatycznym - e

Instrukcja
Zarządzania Systemem Informatycznym, w którym przechowywane są
dane osobowe ( materiały niejawne) w Szkole Podstawowej nr 8
im. Jana Brzechwy w Bełchatowie
Podstawa prawna: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia
29.04.2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych ( Dz.U. Nr 100 poz. 1024).
Rozdział I
Postanowienia ogólne
Niniejsza instrukcja określa wewnętrzną organizację zarządzania systemem informatycznym
w Szkole Podstawowej nr 8 im. Jana Brzechwy w Bełchatowie, służącym do gromadzenia
i przetwarzania danych osobowych.
Rozdział II
Obowiązki dyrektora szkoły w zakresie zarządzania systemem informatycznym,
służącym do gromadzenia i przetwarzania danych w SP nr 8
1. Ilekroć w instrukcji jest mowa o:
a) systemie informatycznym (SI) należy przez to rozumieć system przetwarzania
danych osobowych, który gromadzi i przetwarza informacje,
b) danych – należy przez to rozumieć zasoby informatyczne przetwarzane przez
komputer i podlegające ochronie,
c) szkole – należy przez to rozumieć Szkołę Podstawową nr 8 im. Jana Brzechwy
w Bełchatowie
d) dyrektor - należy przez to rozumieć dyrektora Szkoły Podstawowej nr 8
e) kadry i sekretariat - należy przez to rozumieć specjalistę ds. ekonomiczno
-kadrowych, sekretarza w Szkole Podstawowej nr 8
f) płace - należy przez to rozumieć specjalistę ds. ekonomicznych w Szkole
Podstawowej nr 8
g) księgowa - należy przez to rozumieć główną księgową w Szkole Podstawowej nr 8
2. Pomieszczenia, w których znajdują się komputery, powinny być zamykane na czas
nieobecności w nich osób zatrudnionych, w sposób uniemożliwiający dostęp do nich
osób nieupoważnionych.
3. Dyrektor zobowiązany jest do pisemnego upoważnienia każdego pracownika
zatrudnionego przy gromadzeniu i przetwarzaniu danych osobowych tj. specjalisty
ds. ekonomiczno-kadrowych, sekretarza szkoły, specjalisty ds. ekonomicznych
i głównego księgowego do dostępu do danych w zakresie niezbędnym do realizacji
obowiązków służbowych ( załącznik nr 2 do niniejszej instrukcji).
4. Dyrektor zobowiązany jest do zapoznania każdego pracownika zatrudnionego przy
gromadzeniu i przetwarzaniu danych osobowych tj. specjalisty ds. kadr, sekretarza
szkoły, specjalisty ds. ekonomicznych i głównego księgowego z przepisami
niniejszej instrukcji. Znajomość instrukcji pracownik potwierdza własnoręcznym
podpisem na oświadczeniu stanowiącym (załącznik nr 1 do niniejszej instrukcji).
5. Dyrektor zobowiązany jest do pisemnego upoważnienia pracownika do wykonywania
zadań administratora bezpieczeństwa informacji zgodnie z przepisami Ustawy z
29.08.1997r. o ochronie danych osobowych (Dz. U. Nr 101, poz. 926, z 2002r.) oraz
aktami wykonawczymi wydanymi na jej podstawie oraz do dostępu do zasobów
danych i ich przetwarzania, a także do kontrolowania pracowników zatrudnionych
przy ich przetwarzaniu, w zakresie niezbędnym do realizacji przydzielonych
obowiązków służbowych.
6. Dyrektor szkoły zobowiązany jest do określenia w zakresie obowiązków pracownika
zatrudnionego przy gromadzeniu i przetwarzaniu danych osobowych,
odpowiedzialności tego pracownika za ochronę komputera i danych jakie przetwarza
przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub zniszczeniem,
nielegalnym ujawnieniem lub pozyskaniem – w stopniu odpowiednim do realizacji
zadań służbowych.
Rozdział III
Stosowane metody i środki uwierzytelniania oraz procedury na stanowisku pracy
związane z ich zarządzaniem i użytkowaniem
1. Bazy danych, w których gromadzone są i przetwarzane dane powinny być
zabezpieczone hasłem.
2. Pracownicy sami generują hasła, którymi się posługują i odpowiadają za zachowanie
ich w tajemnicy. (Nie należy stosować tego samego hasła do ochrony różnych
zasobów , hasło powinno zawierać nie mniej niż 6 znaków w tym 2 cyfry , hasło nie
może być takie samo jak identyfikator, hasło nie powinno zawierać żadnych
informacji, które można kojarzyć z użytkownikiem ( np. imię, nazwisko, inicjały,
marka lub nr samochodu, data urodzenia, itp.) hasło nie może być ciągiem znaków
łatwych do wprowadzenia z klawiatury ( np.1234, aaa, qaz, itp.), nie należy
wykorzystywać klawiszy funkcyjnych komputera jako elementów hasła, podczas
wpisywania hasło nie powinno pojawiać się na ekranie monitora, nie można
zapisywać hasła na papierze, nie wolno przechowywać hasła w miejscu dostępnym
dla osób nieuprawnionych, pracownik powinien znać możliwość zmiany hasła.)
3. Jeżeli na jednym stanowisku pracy pracuje dwóch administratorów baz danych, każdy
posługuje się tylko sobie znanym hasłem zabezpieczającym bazę danych, w której
gromadzi, przetwarza i przechowuje dane, zgodnie z upoważnieniem dyrektora.
4. Hasła dostępu do baz danych przechowywane są w zalakowanej kopercie, w szafie
metalowej w gabinecie dyrektora. Hasła mogą zostać udostępnione innym
pracownikom tylko po pisemnym upoważnieniu ich przez dyrektora.
5. W przypadku czasowego opuszczenia stanowiska pracy, pracownik powinien
wylogować się z systemu .
6. W przypadku, gdy pracownik przetwarzający dane stwierdzi:
a) naruszenie zabezpieczenia SI lub urządzeń z nim związanych,
b) wykryje istnienie wirusów nie dających się usunąć dostępnym programem
antywirusowym,
c) stwierdzi zagrożenie utraty danych jest zobowiązany natychmiast powiadomić
o zaistniałym fakcie dyrektora szkoły.
7. Rozpoczęcie pracy na jednostce komputerowej i aplikacji następuje po poprawnym
uwierzytelnieniu użytkownika czyli po podaniu identyfikatora i właściwego hasła.
2
8. Pracownik przetwarzający dane zobowiązany jest do:
a) przed przystąpieniem do pracy sprawdzenia:
 obecności wirusów w użytkowanej części SI i używanych nośnikach
informacji programem antywirusowym, a w przypadku gdyby stwierdził
obecność wirusów powiadomić bezzwłocznie dyrektora szkoły. Bez usunięcia
wirusów nie wolno pracować na komputerze ani używać zawirusowanych
nośników informacji.
 stanu zabezpieczenia SI i współpracujących urządzeń.
 stanu zbioru danych
b) podczas pracy pracownik przetwarzający dane zobowiązany jest do:
 wykorzystywania przenośnych nośników informacji będących własnością
szkoły, nie wykazujących żadnych uszkodzeń logicznych i fizycznych,
 dokonywania częstego zapisu przetwarzanych danych,
 zabezpieczenia systemu podczas przerw w pracy w taki sposób aby
uniemożliwić dostęp do danych osobom niepowołanym.
 ustawiać monitory stanowisk tak aby uniemożliwić dostęp do danych osobom
nieupoważnionym,
 kontrolować poprawność wprowadzanych danych,
9. Po zakończeniu pracy pracownik przetwarzający dane zobowiązany jest do:
a) dokonywania archiwizacji niezbędnych danych,
b) dokonywania zabezpieczenia SI zamykając uruchomione aplikacje,
c) wyłączać urządzenia zasilające
10. Urządzenia, dyski lub inne informatyczne nośniki informacji zawierające dane,
przeznaczone do likwidacji, pozbawia się wcześniej zapisu tych danych, a w
przypadku jeżeli jest to niemożliwe, uszkadza się w sposób uniemożliwiający
odczytanie.
Rozdział IV
Zabezpieczenie systemu informatycznego i procedury udostępniania danych
1. Dane gromadzone, przetwarzane i przechowywane za pomocą programów i aplikacji
udostępnionych pracownikom szkoły zgodnie z niniejszym Regulaminem, mogą być
udostępniane osobom upoważnionym np. organom kontrolującym, zarówno w formie
papierowej lub elektronicznej, jedynie na pisemne polecenie dyrektora , zgodnie
z uprawnieniem podmiotu.
2. Pracownik udostępniający dane każdorazowo odnotowuje:
a) datę udostępnienia,
b) nazwę podmiotu, któremu dane zostały udostępnione,
c) znak sprawy,
d) zakres danych,
e) stanowisko, imię i nazwisko osoby udostępniającej dane.
3. Urządzenia, dyski lub inne informatyczne nośniki informacji zawierające dane,
przeznaczone do przekazania innemu podmiotowi, pozbawia się wcześniej zapisu
tych danych, do których ten podmiot nie ma uprawnienia.
3
4. Na pracę pracownika poza godzinami funkcjonowania szkoły musi wyrazić zgodę
dyrektor w formie upoważnienia stałego lub jednorazowego.
Rozdział V
Ochrona antywirusowa
1. Za ochronę antywirusową komputera odpowiedzialny jest użytkownik pracujący na
nim.
2. Do ochrony antywirusowej należy stosować aktualnie najnowsze programy
antywirusowe w wersji sieciowej lub jednostanowiskowej z automatyczną aktualizacją
bazy wirusowej.
3. Dyskietki, płyty CD, CD-RW i inne wymienne nośniki informacji dostarczane z
zewnątrz przed ich wykorzystaniem powinny być sprawdzone programem
antywirusowym.
4. Po każdej naprawie lub konserwacji komputera, należy stosować aktualnie najnowsze
programy antywirusowe.
5. Sprawdzanie dostępnymi programami antywirusowymi należy stosować przynajmniej
raz w miesiącu.
6. Zalecane jest wykorzystywanie programów antywirusowych pracujących w tle.
7. Każdą przesyłkę otrzymaną za pomocą transmisji danych ( e-maila, itp) należy
sprawdzić programem antywirusowym.
Rozdział VI
Przechowywanie i archiwizowanie
1. Kierownik gospodarczy szkoły zobowiązany jest do ewidencjonowania, przechowywania
w chronionym i odpowiednio zabezpieczonym miejscu nośników informatycznych
zakupionego oprogramowania operacyjnego, narzędziowego, aplikacyjnego i urządzeń
współpracujących.
2. Pracownik zatrudniony przy gromadzeniu i przetwarzaniu danych zobowiązany jest do
archiwizowania danych w cyklu miesięcznym danych przechowywanych w pamięci
komputera ( kadry, sekretariat uczniowski, płace, księgowość). W przypadku gromadzenia
i przetwarzania danych w programach „Arkusz Organizacyjny Optivum, , „Świadectwa
Optivum”, „Hermes”, „Płace Optivum” , „PABS”, i „PEFRON” pracownicy zatrudnieni
przy gromadzeniu i przetwarzaniu danych, zobowiązani są do archiwizowania danych w
cyklu rocznym, na nośnikach informatycznych przechowywanych w innym
pomieszczeniu.
3. Na etykietach archiwalnych nośników informacji pracownik zatrudniony przy
gromadzeniu i przetwarzaniu danych umieszcza następujące dane:
a) nazwa szkoły,
b) rodzaj danych,
c) nazwa pliku ( programu użytego do jego utworzenia),
d) numer ewidencyjny nośnika,
e) nazwisko osoby wykonującej kopię.
4. Nośniki zawierające informacje poufne lub tajne pracownik zatrudniony przy
gromadzeniu i przetwarzaniu danych przechowuje w szafie metalowej w sekretariacie
szkoły.
4
Rozdział VII
Przeglądy i konserwacja
1. W celu zapewnienia ciągłości funkcjonowania SI, poprawności pracy aplikacji dyrektor
szkoły upoważnia pisemnie pracownika do:
a) prowadzenia konserwacji sprzętu wg dokumentacji technicznej,
b) nadzorowania pracy SI,
c) konserwacji oprogramowania poprzez wgrywanie uzupełnień i ich nowych wersji
(przed ich wgraniem wyznaczona przez dyrektora osoba zapewnia możliwość
przywrócenia poprzedniej wersji poprzez wykonanie pełnej kopii zapasowej).
2. Do wydzielonej sieci energetycznej zasilającej stanowiska komputerowe nie wolno
podłączać żadnych innych urządzeń ( czajników, odkurzaczy, radioodbiorników), wyjątek
stanowi system alarmowy i centrala telefoniczna.
Rozdział VIII
Postanowienia końcowe
1. Szkoła udostępnia upoważnionym pracownikom zakupione dla komputerów
stacjonarnych oprogramowanie aplikacyjne:
a) sekretariat – edytor tekstu Microsoft Word, arkusz kalkulacyjny Exel, bazy danych:
Hermes, Arkusz Organizacyjny Optivum, , Świadectwa szkolne Optivum oprogramowanie
antywirusowe AntiVir Guard.
b) Płace - edytor tekstu Microsoft Word, arkusz kalkulacyjny Exel, bazy danych: SIO ,
Płace Optivum, oprogramowanie antywirusowe Norton Antywirus.
c) Księgowość - edytor tekstu Microsoft Word, arkusz kalkulacyjny Exel, „PABS”,
„PEFRON” i oprogramowanie antywirusowe Norton Antywirus.
2. Zobowiązuje się wszystkich pracowników zatrudnionych przy gromadzeniu
i
przetwarzaniu danych do bezwzględnego przestrzegania postanowień niniejszej
instrukcji.
3. Instrukcja wchodzi w życie z dniem podpisania.
5