Załącznik do zarządzenia nr 32/14



Pobieranie 37.95 Kb.
Data08.05.2016
Rozmiar37.95 Kb.
Załącznik

do zarządzenia nr 32/14

Rektora AWF w Poznaniu

z dnia 02 września 2014r.

Polityka Bezpieczeństwa

Ochrony Danych Osobowych

w Akademii Wychowania Fizycznego

im. Eugeniusza Piaseckiego

w Poznaniu



1.Wstęp.

Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przetwarzanych w Uczelni przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi jak i zewnętrznymi, świadomymi lub nieświadomymi.


Polityka została opracowana zgodnie z wymogami określonymi w § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
Jako uzupełnienie niniejszego dokumentu opracowano i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwaną dalej „Instrukcją zarządzania systemem informatycznym ODO”. Określa ona sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem zapewnienia ich bezpieczeństwa.

Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz przez użytkowników.


Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

1) poufność danych - rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom,



  1. integralność danych - rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

  2. rozliczalność danych - rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie,

  3. integralność systemu rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej.

Niniejszy dokument jest zgodny z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. Z 2002 roku nr 101 poz.926 z późn. zm.),oraz aktami wykonawczymi wydanymi na podstawie ww. ustawy.


2.Definicje.


Przez użyte w Polityce określenia należy rozumieć:
1) Polityka – rozumie się przez to politykę bezpieczeństwa ochrony danych osobowych w Uczelni.

  1. Administrator Danych Osobowych (ADO) – osoba decydująca o celach i środkach przetwarzania danych osobowych.

  2. Administrator Bezpieczeństwa Informacji (ABI) – osoba wyznaczona przez Władze Uczelni, odpowiedzialna za organizację ochrony danych osobowych.

  3. Ustawa – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. ochronie danych osobowych (Dz. U. Z 2002 roku nr 101 poz.926 z późn. zm.).

  4. Rozporządzenie – Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

  5. Dane osobowe (dane) - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

  6. Zbiór danych – zestaw danych osobowych posiadający określoną strukturę, prowadzony w/g określonych kryteriów oraz celów.

  7. Usuwanie danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację , która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

  8. Zgoda osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

  9. Baza danych osobowych - zbiór uporządkowanych powiązanych ze sobą tematycznie danych zapisanych np. w pamięci zewnętrznej komputera. Baza danych jest złożona z elementów o określonej strukturze - rekordów lub obiektów, w których są zapisane dane osobowe.

  10. Przetwarzanie danych - wykonywanie jakichkolwiek operacji na danych osobowych, np. zbieranie, utrwalanie, opracowywanie, udostępnianie, zmienianie, usuwanie.

  11. System informatyczny (system) – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

  12. Administrator systemu - osoba nadzorująca pracę systemu informatycznego oraz wykonująca w nim czynności wymagające specjalnych uprawnień;

  13. Użytkownik – pracownik Uczelni posiadający uprawnienia do pracy w systemie informatycznym zgodnie z zakresem obowiązków służbowych.

  14. Zabezpieczenie systemu informatycznego – należy przez to rozumieć wdrożenie stosownych środków administracyjnych, technicznych i fizycznych w celu zabezpieczenia zasobów technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą.

  15. Nośnik komputerowy (wymienny) – nośnik służący do zapisu i przechowywania informacji, np. płyty CD/DVD, dyski twarde.

3.Zadania ABI.


Do najważniejszych obowiązków Administratora Bezpieczeństwa Informacji należy:

1) organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami ustawy o ochronie danych osobowych,



  1. zapewnienie przetwarzania danych zgodnie z uregulowaniami polityki bezpieczeństwa informacji,

  2. wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,

  3. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,

  4. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych, prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,

  5. nadzór nad bezpieczeństwem danych osobowych,

  6. kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

  7. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.

Administrator Bezpieczeństwa Informacji ma prawo:



  1. wyznaczania, rekomendowania i egzekwowania wykonania zadań związanych z ochroną danych osobowych w całej Uczelni,

  2. wstępu do pomieszczeń w których zlokalizowane są zbiory danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,

  3. żądać złożenia pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego,

  4. żądać okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli,

  5. żądać udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.



4.Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.


Szczegółowe rozmieszczenie zbiorów dokumentacji papierowej i elektronicznej, zawierającej dane osobowe wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opisane jest w Załączniku 1 - „Wykaz zbiorów danych osobowych”.

5.Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Opis struktury zbiorów danych osobowych przedstawiono w Załączniku 2 - „Opis pól informacyjnych i powiązań”.



6.Sposób przepływu danych pomiędzy poszczególnymi systemami.


Sposób przepływu danych osobowych pomiędzy systemami, w których przetwarzane są dane osobowe przedstawiono w Załączniku 3 - „Sposób przepływu danych”.


7.Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.


1) Zabezpieczenia organizacyjne

a) Wyznaczono Administratora Bezpieczeństwa Informacji (ABI) oraz lokalnych administratorów bezpieczeństwa informacji (LABI) nadzorujących przestrzeganie zasad ochrony przetwarzanych danych osobowych oraz została opracowana i wdrożona polityka bezpieczeństwa;

b) została opracowana i wdrożona instrukcja zarządzania systemem informatycznym;

c) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez ABI (Załącznik 4);

d) prowadzona jest ewidencja osób upoważnionych do przetwarzania danych (Załącznik 5);

e) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;



  1. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;

  2. przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;

  3. przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;

  4. stosuje się pisemne umowy powierzenia przetwarzania danych dla współpracy z podwykonawcami przetwarzającymi dane osobowe.

2) Zabezpieczenia ochrony fizycznej danych osobowych.

Zabezpieczenia fizyczne opisane są w Załączniku 1 „Wykaz zbiorów danych osobowych”.
3) Zabezpieczenia sprzętowe infrastruktury informatycznej i telekomunikacyjnej.

Zabezpieczenia stosuje się dla fizycznych elementów systemu, ich połączeń oraz systemów operacyjnych. Szczegółowy opis zabezpieczeń zawarty jest w „Instrukcji zarządzania systemem informatycznym”.


4) Zabezpieczenia narzędzi programowych i baz danych

Zabezpieczenia (techniczne i programowe) stosuje się dla procedur, aplikacji, programów i innych narzędzi programowych przetwarzających dane osobowe. Szczegółowy opis zabezpieczeń zawarty jest w instrukcji zarządzania systemem informatycznym.


8.Instrukcja alarmowa.

Instrukcja definiuje katalog zagrożeń i incydentów zagrażających bezpieczeństwu danych osobowych oraz opisuje sposób reagowania na nie. Celem instrukcji jest minimalizacja skutków wystąpienia incydentów bezpieczeństwa, ograniczenie ryzyka powstania zagrożeń i występowania incydentów w przyszłości.


1) Każdy pracownik Uczelni w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest poinformować bezpośredniego przełożonego , Lokalnego Administratora Bezpieczeństwa Informacji (LABI) lub Administratora Bezpieczeństwa Informacji (ABI).

  1. Do typowych zagrożeń bezpieczeństwa danych osobowych należą:

    1. niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów;

    2. niewłaściwe zabezpieczenie sprzętu komputerowego, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych;

    3. nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka / ekranu, ochrony haseł, niezamykanie pomieszczeń, szaf, biurek).

  2. Do typowych incydentów bezpieczeństwa danych osobowych należą:

    1. zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);

    2. zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, utrata / zagubienie danych);

    3. umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).

  3. W przypadku stwierdzenia wystąpienia zagrożenia, Administrator Bezpieczeństwa Informacji (ABI) prowadzi postępowanie wyjaśniające w toku, którego:

    1. ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki;

    2. inicjuje ewentualne działania dyscyplinarne;

    3. rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości.




  1. W przypadku stwierdzenia incydentu (naruszenia), Administrator Bezpieczeństwa Informacji (ABI) prowadzi postępowanie wyjaśniające w toku, którego:

    1. ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały;

    2. zabezpiecza ewentualne dowody;

    3. ustala osoby odpowiedzialne za naruszenie;

    4. podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody);

    5. inicjuje działania dyscyplinarne;

    6. wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości;

    7. dokumentuje prowadzone postępowania.

9.Procedura działań korygujących i zapobiegawczych.

1) Celem procedury jest uporządkowanie i przedstawienie czynności związanych

z: inicjowaniem oraz realizacją działań korygujących i zapobiegawczych wynikających z zaistnienia incydentów bezpieczeństwa lub zagrożeń systemu ochrony danych osobowych.

2) Procedura działań korygujących i zapobiegawczych obejmuje wszystkie te procesy, w których incydenty bezpieczeństwa lub zagrożenia mogą wpłynąć na zgodność z wymaganiami stawy o Ochronie Danych Osobowych, jak również na poprawne funkcjonowanie systemu ochrony danych osobowych.

3) Osobą odpowiedzialną za nadzór nad procedurą jest Administrator

Bezpieczeństwa Informacji.


4) Definicje:

  1. Incydent - naruszenie bezpieczeństwa informacji ze względu na poufność, dostępność i integralność.

  2. Zagrożenie – potencjalna możliwość wystąpienia incydentu.

  3. Korekcja – działanie w celu wyeliminowania skutków incydentu.

  4. Działanie korygujące – jest to działanie przeprowadzane w celu wyeliminowania przyczyny incydentu lub innej niepożądanej sytuacji.

  5. Działanie zapobiegawcze – jest to działanie, które należy przedsięwziąć, aby wyeliminować przyczyny zagrożenia lub innej potencjalnej sytuacji niepożądanej.

  6. Kontrola – systematyczna, niezależna i udokumentowana ocena skuteczności systemu ochrony danych osobowych, na podstawie wymagań ustawowych, polityki i instrukcji.

5) Opis czynności:
a) ABI jest odpowiedzialny za analizę incydentów bezpieczeństwa lub zagrożeń ochrony danych osobowych. Typowymi źródłami informacji o incydentach, zagrożeniach lub słabościach są: zgłoszenia od pracowników, wiedza ABI.
b) W przypadku, gdy ABI stwierdzi konieczność podjęcia działań korygujących lub zapobiegawczych, określa: źródło powstania incydentu lub zagrożenia, zakres działań korygujących lub zapobiegawczych, termin realizacji, osobę odpowiedzialną.

c) ABI jest odpowiedzialny za nadzór nad poprawnością i terminowością wdrażanych działań korygujących lub zapobiegawczych.

d) Po przeprowadzeniu działań korygujących lub zapobiegawczych, ABI jest zobowiązany do oceny efektywności ich zastosowania.

e) Powyższe czynności ABI w rejestruje w dzienniku (Załącznik 6).



10.Szkolenia użytkowników.

1) Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być zapoznany z polityką/regulaminem ochrony danych osobowych.



2) Po zapoznaniu się z polityką/regulaminem ochrony danych osobowych, użytkownik zobowiązany jest do podpisania Oświadczenia o poufności (Załącznik 7).

  1. Dokument ten jest przechowywany w aktach osobowych użytkowników (kopia dokumentu przechowywana jest w dokumentacji ABI) i stanowi podstawę do podejmowania działań w celu nadania im uprawnień do korzystania z systemu informatycznego przetwarzającego dane osobowe.

11.Postanowienia końcowe.


  1. Kierownicy jednostek organizacyjnych są obowiązani zapoznać z treścią Polityki Bezpieczeństwa każdego pracownika.

  2. Wszystkie regulacje dotyczące systemów informatycznych, określone w Polityce Bezpieczeństwa dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie.

  3. Użytkownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszym dokumencie.

  4. Przypadki, nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych.

  5. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.

  6. W sprawach nieuregulowanych w niniejszej Polityce bezpieczeństwa mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych.





©absta.pl 2016
wyślij wiadomość

    Strona główna