Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
1. Niniejsza instrukcja określa ogólne zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych na www.pok.pl.
2. Administrator Bezpieczeństwa Informacji:
- Określa strategię zabezpieczania systemów informatycznych;
- Identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych;
- Określa potrzeby w zakresie zabezpieczenia systemów informatycznych w których przetwarzane są dane osobowe
- Monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych oraz ich przetwarzania
3. Administrator Bezpieczeństwa Informacji stwarza właściwe warunki organizacyjno-techniczne gwarantujące bezpieczeństwo systemów informatycznych a w szczególności:
- Właściwego prowadzenia i zabezpieczenia okablowania sieci komputerowej służącej do przetwarzania danych osobowych w systemach informatycznych w celu wyeliminowania niebezpieczeństwa podsłuchu lub zniszczenia infrastruktury sieciowej;
- Dokonuje wyboru lub migracji do technologii minimalizującej zagrożenie uzyskania dostępu do sieci osobom nieupoważnionym;
- Określa zasady i ewidencję wykonywania czynności serwisowych w systemach informatycznych w podległych jednostkach w celu wyeliminowania:
a)możliwości wykonania kopii danych osobowych przez osoby nieupoważnione, b) przemieszczania urządzeń komputerowych i ich części służących do przetwarzania danych osobowych poza obszar objęty ochroną
c)podmiany elementów sprzętu komputerowego lub oprogramowania na inny, który zawiera cechy ukryte
- Monitoruje zdarzenia wpływające na bezpieczeństwo systemu informatycznego, w tym m.in.
- wykrytych wirusów, koni trojańskich itp.
- oprogramowania nielegalnego lub zainstalowanego bez upoważnienia
- awarii systemu informatycznego lub jego nieprawidłowego działania
- stwierdzenia faktu korzystania z systemu informatycznego przez osobę niepowołaną
- awarii zasilania
4. Administrator Bezpieczeństwa Informacji określa:
- sposób przydziału haseł dla użytkowników systemu informatycznego i częstotliwość ich zmiany oraz wskazanie osoby odpowiedzialnej za te czynności
- sposób rejestrowania i wyrejestrowywania użytkowników oraz wskazanie osoby odpowiedzialnej za te czynności
- Procedury rozpoczęcia i zakończenia pracy
- metody i częstotliwość wykonywania kopii awaryjnych
- metody i częstotliwość sprawdzania systemów informatycznych na obecność wirusów komputerowych oraz metodę ich usuwania
- sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków
5. Administrator Bezpieczeństwa Informacji nadzoruje system informatyczny służący do przetwarzania danych osobowych i odpowiada za jego bieżącą eksploatację, a w szczególności za:
a) wszystkie czynności związane z jego funkcjonowaniem i modernizacją
b) rejestrowanie i wyrejestrowywanie z systemu użytkowników oraz projektantów i programistów w czasie instalowania systemu oraz jego modyfikacji
c) przydzielanie uprawnień do poszczególnych funkcji systemu oraz określenie trybu i częstotliwości zmiany haseł
d) procedury wykonywania kopii awaryjnych, określenie ich częstotliwości, zmianę nośników oraz ich właściwe przechowywanie, sprawdzanie poprawności zapisu i likwidację
e) lokalizację sprzętu komputerowego, ustawienie monitorów i drukarek uniemożliwiające wgląd w dane osobom nieupoważnionym lub kradzież wymiennych nośników danych
f) postępowania zgodnie z instrukcją w sytuacji naruszenia ochrony danych osobowych