Załącznik nr 2 do zarządzenia nr 58/11



Pobieranie 42.56 Kb.
Data29.04.2016
Rozmiar42.56 Kb.
Załącznik nr 2

do zarządzenia nr 58/11

Rektora AWF w Poznaniu

z dnia 24.11.2011r.

Instrukcja Zarządzania Systemami Informatycznymi



służącymi do przetwarzania danych osobowych

§ 1

Postanowienia ogólne





  1. Instrukcja reguluje zasady zarządzania systemem informatycznym „nazwa systemu” służącym do przetwarzania danych osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego.

  2. Definicje i skróty.

    1. Definicje:

      1. przetwarzanie danych, system informatyczny, administrator danych użyto w rozumieniu nadanym art. 7 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych,

      2. zalogowanie się - oznacza - uwierzytelnienie - w rozumieniu § 2 pkt 11 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,

      3. sieć publiczna – rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt. 22 Ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne.

    2. Skróty:

      1. ABI - administrator bezpieczeństwa informacji (osoba nadzorująca przestrzeganie zasad ochrony danych osobowych).

      2. ASI - administrator sieci informatycznej (osoba pełniąca obowiązki w zakresie konfiguracji stacji roboczych w danym systemie).


§ 2
Procedury nadawania i zmiany uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności


  1. Nadanie uprawnień dostępu do systemu informatycznego przetwarzającego dane osobowe.

    1. Przełożony pracownika przekazuje wniosek o nadanie uprawnień dostępu do systemu informatycznego do ABI według wzoru zamieszczonego w załączniku nr 5/1 do PBDO.

    2. ABI rozpatruje wniosek w ciągu 7 dni roboczych od dnia otrzymania wniosku. W szczególnych przypadkach termin ten może ulec przedłużeniu. Jeśli pracownik nie posiada upoważnienia do przetwarzania danych osobowych, ABI szkoli pracownika z zakresu ochrony danych osobowych i na tej podstawie wydaje pisemne upoważnienie do przetwarzania danych osobowych. W przypadku nie wyrażenia zgody na nadanie uprawnień ABI przekazuje decyzję do przełożonego pracownika wraz z jej uzasadnieniem. Przełożony pracownika może odwołać się od decyzji ABI do J. M. Rektora. Decyzja J. M. Rektora jest ostateczna.

    3. ABI wpisuje pracownika do ewidencji osób dopuszczonych do przetwarzania danych osobowych i przekazuje decyzję przełożonemu pracownika.




  1. Odebranie uprawnień dostępu do systemu informatycznego przetwarzającego dane osobowe. Odebranie uprawnień może nastąpić na wniosek przełożonego pracownika, kierownika kadr lub ABI.

    1. Przełożony pracownika lub kierownik działu spraw pracowniczych przekazuje wniosek o odebranie uprawnień dostępu do systemu informatycznego do ABI według wzoru zamieszczonego w załączniku nr 5/1 do PBDO.

    2. ABI odnotowuje datę odebrania uprawnień dostępu do systemu informatycznego w ewidencji osób dopuszczonych do przetwarzania danych osobowych.

    3. ASI w ciągu 2 godzin likwiduje konto dostępu do systemu informatycznego i stacji roboczej.


§ 3
Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem


  1. W systemie informatycznym w celu utrzymywania kontroli dostępu do danych stosuje się identyfikatory użytkowników i hasła na poziomie dostępu do stacji roboczej i aplikacji.

  1. ASI jest odpowiedzialny za zarejestrowanie identyfikatora i wygenerowanie hasła tymczasowego do stacji roboczej. Identyfikator i hasło przekazuje pracownikowi osobiście, w sposób uniemożliwiający zapoznanie się z nim przez inne osoby.

  1. Hasło służące do uwierzytelniania użytkowników składa się z co najmniej 8 znaków, zawiera małe i wielkie litery oraz cyfry i znaki specjalne.

  2. Hasła nie mogą być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów.

  3. Użytkownik ma obowiązek zmiany hasła nie rzadziej niż raz na 30 dni.

  4. W przeciągu 6 miesięcy użytkownik nie może ponownie logować się do stacji roboczej, czy aplikacji za pomocą tego samego hasła.

  5. Hasła nie mogą być zapisane i pozostawiane w miejscach gdzie osoby nieuprawnione mogą je odczytać.

  6. Hasło nie może być ujawnione nawet po utracie przez nie ważności.

  7. Wszystkie hasła muszą być natychmiast zmienione, jeśli istnieje podejrzenie, że zostały odkryte lub wiadomo, że znajdują się w posiadaniu osoby innej niż autoryzowani użytkownicy.

  8. ASI zapisuje hasło dostępu do aplikacji i przekazuje je w kopercie do ABI. Koperta zostaje zabezpieczona w sposób uniemożliwiający jej nieuważne otwarcie. ABI przechowuje kopertę w bezpiecznym miejscu.


§ 4
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu


  1. Rozpoczynając pracę w systemie informatycznym użytkownik wprowadza identyfikator użytkownika i hasło (zalogowanie się) do stacji roboczej, a następnie do aplikacji. Czynności te dokonuje w warunkach, które uniemożliwiają osobom trzecim zapoznanie się z hasłem.

  2. Po zalogowaniu się do aplikacji użytkownik sprawdza ogólną poprawność działania systemu, zwracając w szczególności uwagę na:

    1. wygląd aplikacji;

    2. dostępność opcji, do korzystania z których użytkownik został upoważniony;

    3. sposób działania aplikacji;

    4. zakres danych i sposób ich przedstawienia.

  3. Użytkownik powiadamia ASI o:

    1. niemożliwości zalogowania się do aplikacji;

    2. zmianie wyglądu aplikacji odmiennym od normalnego;

    3. niedostępności opcji, do korzystania z których użytkownik został upoważniony;

    4. dostępności opcji, do korzystania z których użytkownik nie został upoważniony;

    5. zmianach sposobu działania aplikacji;

    6. zmianach zakresu danych lub sposobu ich przedstawienia odbiegających od stanu normalnego;

    7. innych zmianach działania aplikacji uzasadniających podejrzenie naruszenia danych osobowych.

  4. Użytkownik powiadamia ASI o niemożliwości zalogowania się do stacji roboczej.

  5. Oprogramowanie służące do przetwarzania danych osobowych użytkownik wykorzystuje zgodnie z jego przeznaczeniem oraz zachowuje szczególną ostrożność przy wprowadzaniu danych, aby były one poprawne i kompletne.

  6. Przy każdorazowym opuszczeniu stanowiska komputerowego użytkownik dopilnowuje, aby na ekranie nie były wyświetlane dane osobowe.

  7. Przed opuszczaniem miejsca pracy na dłuższy czas użytkownik włącza wygaszacz ekranu na hasło, albo blokuje system.

  8. Kończąc pracę w systemie informatycznym użytkownik każdorazowo dokonuje wylogowaniania z aplikacji i stacji roboczej.


§ 5
Procedury tworzenia kopii zapasowych


        1. Za tworzenie kopii zapasowych danych osobowych i programów służących do przetwarzania danych osobowych odpowiadają osoby wyznaczone przez kierownika jednostki organizacyjnej w której to przetwarzanie występuje.

        2. Pełna kopia zapasowa danych osobowych sporządzana jest raz na miesiąc, natomiast kopia przyrostowa lub różnicowa (odpowiednio do charakteru zmian danych) sporządzana jest codziennie. Kopie wykonywane są w jednym egzemplarzu na nośniku optycznym, magnetycznym lub pamięci typu Flash w zależności od urządzeń archiwizujących dane znajdujących się w jednostce organizacyjnej.

        3. Kopia programów służących do przetwarzania danych osobowych sporządzana jest po dokonaniu jakichkolwiek zmian w programie. Kopia wykonywana jest w jednym egzemplarzu na nośniku optycznym, magnetycznym lub pamięci typu Flash w zależności od urządzeń archiwizujących dane znajdujących się w jednostce organizacyjnej.



§ 6
Sposób, miejsce i okres przechowywania elektronicznych nośników informacji oraz wydruków zawierających dane osobowe


  1. Dane osobowe zapisane na urządzeniach, dyskach lub innych nośnikach elektronicznych nie mogą być wynoszone poza teren Uczelni.

  2. Po zakończeniu pracy przenośne nośniki elektroniczne oraz wydruki z danymi osobowymi przechowywane są w zamykanych na klucz szafach biurowych lub sejfach.

  3. Kopie różnicowe lub przyrostowe przechowywane są do czasu sporządzenia pełnej kopii zapasowej.

  4. Pełna kopia zapasowa przechowywana jest przez okres 3 miesięcy.

  5. Kopia programu służącego do przetwarzania danych przechowywana jest do czasu sporządzenia drugiej w kolejności pełnej kopii.

  6. Kopie zapasowe przechowywane są w szafkach biurowych lub sejfach.

  7. Niezwłocznie po ustaniu użyteczności wycofane z użycia nośniki elektroniczne zawierające zapis danych osobowych oraz wydruki z danymi osobowymi uszkadza się w sposób uniemożliwiający ich odczytanie poprzez spalenie, rozdrobnienie lub pocięcie.

  8. W pomieszczeniach przeznaczonych do przechowywania kopii zapasowych może przebywać wyłącznie administrator bezpieczeństwa informacji oraz osoby przez niego upoważnione.


§ 7
Sposób zabezpieczenia systemu informatycznego przed wirusami komputerowymi oraz działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego


  1. Za zainstalowanie oprogramowania antywirusowego, jego aktualizację oraz uaktualnianie bazy definicji wirusów odpowiedzialny jest ASI lub osoba wyznaczona przez ABI.

  2. Podczas uruchamiania komputera oprogramowanie antywirusowe skanuje sektor rozruchowy komputera i pamięć operacyjną. W trybie ciągłym monitoruje działania podczas otwierania oraz modyfikowania plików, skanuje pliki przychodzące z sieci zewnętrznej oraz pliki załączane do wiadomości e-mail.

  3. Program antywirusowy chroni komputery przed wirusami i zagrożeniami bezpieczeństwa bez względu na ich źródło pochodzenia. Ochrona dotyczy wirusów i zagrożeń bezpieczeństwa rozprzestrzeniających się z dysków twardych, nośników zewnętrznych oraz sieci.

  4. Użytkownik systemu natychmiast po umieszczeniu nośnika elektronicznego w systemie informatycznym odpowiedzialny jest za jego sprawdzenie pod kątem możliwości występowania wirusów.

  5. Gdy podczas skanowania zostanie wykryty wirus, oprogramowanie antywirusowe domyślnie usiłuje usunąć go z zainfekowanego pliku i naprawić skutki działania wirusa. Pomyślne oczyszczenie pliku oznacza, że wirus został całkowicie usunięty. Jeśli z jakichś powodów oprogramowanie antywirusowe nie może oczyścić pliku, wówczas przenosi zainfekowany plik do obszaru kwarantanny. Zapobiega to rozprzestrzenianiu się wirusa. Po zaktualizowaniu bazy definicji wirusów oprogramowanie antywirusowe automatycznie sprawdza, czy w obszarze kwarantanny znajdują się jakieś pliki, a następnie skanuje je przy użyciu nowych danych systemu ochrony.

  6. W przypadku wystąpienia infekcji i braku możliwości usunięcia wirusów przez system antywirusowy użytkownicy zobowiązani są do natychmiastowego powiadomienia o tym ASI i ABI.

    1. ABI wraz z ASI sprawdzają, czy nie zostały naruszone dane osobowe w systemie informatycznym.

    2. W przypadku naruszenia danych ABI sprządza z zaistniałych okoliczności raport na podstawie którego wraz z ASI zabezpiecza system przed wystąpieniem ponownego zagrożenia.

    3. ASI przywraca system informatyczny do poprawnej pracy.

    4. Jeśli ABI wraz z ASI stwierdzą, że użytkownik przyczynił się do zawirusowania systemu informatycznego z powodu nie zastosowania się do określonych procedur i regulaminów obowiązujących w Uczelni i doprowadził tym działaniem do naruszenia danych osobowych, wówczas powiadomiony o tym zostaje J. M. Rektor.

    5. J. M. Rektor podejmuje decyzję o koniecznych działaniach organizacyjnych i techni­cznych oraz wydaje pozwolenie użytkownikowi na ponowne kontynuowanie pracy.

  7. System informatyczny służący do przetwarzania danych osobowych chroniony jest przed zagrożeniami pochodzącymi z sieci publicznej przez zaporę sieciową – firewall. Firewall chroni sieć administratora danych przed nieuprawnionym dostępem z sieci zewnętrznej oraz kontroluje przepływ informacji pomiędzy tymi sieciami.

  8. W sytuacji wykrycia włamania do systemu informatycznego użytkownicy zobowiązani są do natychmiastowego powiadomienia o tym ASI i ABI.

    1. ABI wraz z ASI sprawdzają, czy nie zostały naruszone dane osobowe w systemie.

    2. W przypadku naruszenia danych ABI sprządza z zaistniałych okoliczności raport na podstawie którego wraz z ASI zabezpiecza system przed wystąpieniem ponownego zagrożenia.

    3. ASI przywraca system informatyczny do poprawnej pracy.

    4. Jeśli ABI wraz z ASI stwierdzą, że użytkownik przyczynił się do włamania do systemu informatycznego z powodu nie zastosowania się do określonych procedur i regulaminów obowiązujących w Uczelni i doprowadził tym działaniem do naruszenia danych osobowych, wówczas powiadomiony o tym zostaje J. M. Rektor.

    5. J. M. Rektor podejmuje decyzję o koniecznych działaniach organizacyjnych i techni­cznych oraz wydaje pozwolenie użytkownikowi na ponowne kontynuowanie pracy.

  9. Zabrania się korzystania z jakichkolwiek modemów podłączanych do komputerów działających w systemie informatycznym bez zgody ABI.

  10. W systemie informatycznym w Uczelni może być używane wyłącznie oprogramowanie licencjonowane przez posiadacza praw autorskich oraz może być używane tylko zgodnie z prawami licencji.



§ 8
Zasady i sposób odnotowywania w systemie informacji o udostępnieniu danych osobowych.



  1. Dla każdej osoby, której dane przetwarzane są w systemie – z wyjątkiem elementów systemu służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie oraz elementów systemu używanych do przetwarzania danych zawartych w zbiorach jawnych – system ten zapewnia odnotowywanie informacji o:

    1. odbiorcach danych, którym dane zostały udostępnione;

    2. dacie udostępnienia;

    3. zakresie udostępnienia.

  1. Odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyłączeniem:

    1. osoby, której dane dotyczą;

    2. osoby użytkownika systemu lub innej osoby upoważnionej do przetwarzania danych osobowych w Uczelni;

    3. przedstawiciela, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;

    4. podmiotu, któremu powierzono przetwarzanie danych;

    5. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

  2. Obowiązek odnotowania w/w informacji spoczywa na użytkowniku systemu, w tym celu wypełnia on odpowiednie pole w bazie danych.

  3. Udostępnienie danych osobowych w jakiejkolwiek formie może nastąpić wyłącznie na pisemną prośbę odbiorcy danych.

  4. Odnotowanie informacji powinno nastąpić niezwłocznie po udostępnieniu danych.


§ 9
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych


  1. Przeglądy i konserwacja urządzeń wchodzących w skład systemu informatycznego wykonywane są w terminach określonych przez producenta sprzętu, a jeśli nie są one podane, to w terminach ustalonych przez ASI.

  2. Nieprawidłowości ujawnione w trakcie tych działań niezwłocznie są usuwane, a ich przyczyny przeanalizowane przez ASI i przekazane ABI.

  3. Za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada ASI.

  4. W przypadku naprawy lub konserwacji urządzeń zawierających nośniki z danymi osobowymi, wszelkie prace prowadzone są w warunkach zapewniających ochronę przed udostępnieniem danych osobom niedopuszczonym do ich przetwarzania.

  5. Naprawa lub konserwacja urządzeń zawierających nośniki z danymi osobowymi przez osoby niedopuszczone do przetwarzania tych danych odbywa się po usunięciu danych w sposób uniemożliwiający ich odczytanie. W przypadku, gdy usunięcie danych jest niemożliwe, przed dokonaniem naprawy albo, gdy usunięcie danych spowodowałoby utratę danych nie skopiowanych, naprawa odbywa się pod nadzorem ASI lub ABI.







©absta.pl 2019
wyślij wiadomość

    Strona główna