Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Prawo

dane

Kategoria

instrukcja

Klucze

bezpieczeństwo informacji, dostęp do systemów, instrukcja, klasyfikacja systemów informatycznych, metody uwierzytelniania, ochrona danych, procedury bezpieczeństwa, przetwarzanie danych osobowych, systemy informatyczne, zarządzanie systemem informatycznym

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych ma na celu określenie procedur i zasad postępowania przy zarządzaniu systemem, uwzględniającym wymagania ochrony danych osobowych. Dokument określa obowiązki personelu odpowiedzialnego za zarządzanie systemem oraz procedury związane z gromadzeniem, przetwarzaniem i zabezpieczaniem danych osobowych. Zawiera również wytyczne dotyczące audytów, monitoringu oraz reagowania na incydenty bezpieczeństwa.

INSTRUKCJA

zarządzania systemem

informatycznym

służącym do przetwarzania danych

osobowych1

w

Cybernetyka Sp. z o.o.

Instrukcja została zatwierdzona przez administratora danych osobowych w dniu 24.05.2023r.

Instrukcja została wprowadzona w życie z dniem 25.05.2023r.

Jan Kowalski

(podpis administratora danych osobowych)

1 Instrukcja ma charakter przykładowy. Korzystając z jej zapisów należy uwzględnić ryzyka i zagrożenia dla bezpieczeństwa informacji u administratora danych.

Spis treści

WPROWADZENIE .................................................................................................................... 4

POSTANOWIENIA OGÓLNE .................................................................................................. 4

A. Słownik pojęć użytych w Instrukcji .............................................................................4

B. Zakres przedmiotowy Instrukcji ...................................................................................6

C. Zakres podmiotowy Instrukcji ......................................................................................6

D. System informatyczny ..................................................................................................7

E. Klasyfikacja systemów informatycznych .....................................................................7

ZARZĄDZANIE DOSTĘPEM I BEZPIECZEŃSTWEM SYSTEMÓW ................................ 7

A. Zarządzanie dostępem ..................................................................................................7

B. Analiza i zarządzanie ryzykiem ....................................................................................8

C. Cele i zasady bezpieczeństwa systemu .........................................................................8

D. Poziom bezpieczeństwa ................................................................................................9

E. Nadawanie uprawnień w systemach informatycznych .................................................9

F. Usunięcie konta ...........................................................................................................10

G. Wyrejestrowanie użytkownika ....................................................................................10

H. Użytkownik uprzywilejowany ....................................................................................10

I. Kontrola bezpieczeństwa..............................................................................................10

UTRZYMANIE, ROZWÓJ I WYCOFANIE SYSTEMÓW INFORMATYCZNYCH .......... 11

A. Rozwój systemów informatycznych ........................................................................... 11

B. Utrzymanie systemów informatycznych..................................................................... 11

C. Wycofanie systemów informatycznych ...................................................................... 11

METODY I ŚRODKI UWIERZYTELNIANIA ...................................................................... 12

A. Nazwa i hasło użytkownika ........................................................................................12

PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY W SYSTEMIE INFORMATYCZNYM........................................................................................ 12

A. Zasady korzystania ze stacji roboczej.........................................................................12

B. Zasady korzystania z komputerów przenośnych ........................................................13

SPOSOBY ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO.................................. 14

A. Ochrona antywirusowa ...............................................................................................14

B. Kontrola nad wprowadzaniem, dalszym przetwarzaniem i udostępnianiem danych osobowych .......................................................................................................................15

C. Bezpieczeństwo oprogramowania ..............................................................................15

WYKONYWANIE PRZEGLĄDÓW, KONSERWACJI ORAZ NAPRAW URZĄDZEŃ SYSTEMU ORAZ NOŚNIKÓW ............................................................................................. 16

A. Procedura wykonywania przeglądów i konserwacji urządzeń ...................................16

B. Naprawy urządzeń komputerowych z chronionymi danymi osobowymi...................16

C. Ewidencjonowanie informacji o odbiorcach danych ..................................................16

KOPIE ZAPASOWE ................................................................................................................ 17

A. Cel i zasady tworzenia kopii zapasowych ..................................................................17

B. Procedura tworzenia kopii zapasowych ......................................................................17

C. Nośniki danych wykorzystywane do sporządzenia kopii zapasowych .......................17

D. Przechowywanie kopii zapasowych ...........................................................................18

E. Przechowywanie elektronicznych nośników informacji zawierających dane osobowe18

F. Likwidacja nośników zawierających kopie .................................................................18

G. Bezpieczeństwo nośników informacji ........................................................................18

POSTĘPOWANIE W PRZYPADKU STWIERDZENIA NARUSZENIA BEZPIECZEŃSTWA ............................................................................................................... 19

A. Definicja naruszenia bezpieczeństwa systemu ...........................................................19

B. Tryb postępowania ......................................................................................................20

POSTANOWIENIA KOŃCOWE ............................................................................................ 20

A. Stosowanie Instrukcji..................................................................................................20

WPROWADZENIE

1. Niniejszy dokument stanowi Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Cybernetyka Sp. z o.o., zwany dalej Instrukcją i jest wypełnieniem obowiązku wynikającego z art. 24 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych lub RODO).

2. Instrukcja określa sposób zarządzania systemem informatycznym, wykorzystywanym do przetwarzania danych osobowych, w celu zabezpieczenia danych osobowych przed zagrożeniami, w tym zwłaszcza przed ich udostępnieniem osobom nieupoważnionym, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.

3. W Instrukcji zostały uregulowane zasady:

1) nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemach informatycznych oraz wskazanie osób odpowiedzialnych za te czynności;

2) rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

3) tworzenia kopii zapasowych danych przetwarzanych w systemach oraz określenie programów i narzędzi programowych służących do ich tworzenia oraz odzyskiwania wraz z określeniem sposobu, miejscem i czasem ich przechowywania;

4) wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych;

5) metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

6) sposoby zabezpieczenia systemu informatycznego przed działalnością oprogramowania szkodliwego oraz dostępem do nich osób nieupoważnionych.

POSTANOWIENIA OGÓLNE

A. Słownik pojęć użytych w Instrukcji

Użyte w Instrukcji określenia oznaczają:

1) administrator danych osobowych - Cybernetyka Sp. z o.o., decydujący o celach i środkach przetwarzania danych osobowych, odpowiedzialny za nadzór nad przestrzeganiem zasad ochrony danych osobowych w jednostce oraz wykonujący zadania w zakresie zarządzania i bieżącego nadzoru nad systemem informatycznym, zwany dalej także ADO;

2) bezpieczeństwo informacji - stan, w którym informacja jest chroniona przed wieloma różnymi zagrożeniami w taki sposób, aby zapewnić ciągłość prowadzenia działalności, zminimalizować straty i maksymalizować zwrot nakładów na inwestycje i działania o charakterze biznesowym; niezależnie od tego, jaką formę informacja przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, zawsze powinna być w odpowiedni sposób chroniona; bezpieczeństwo informacji oznacza w szczególności zachowanie: poufności, integralności, dostępności i rozliczalności;

3) dane osobowe (dane) - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer PESEL, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

4) hasło - ciąg 8 znaków;

5) identyfikator - ciąg alfanumeryczny;

6) integralność danych - właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

7) IZSI - niniejsza Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej Instrukcją;

8) kopia bezpieczeństwa - kopie plików systemowych tworzone na zewnętrznych nośnikach danych lub dysku twardym komputera w celu ich odtworzenia w przypadku utraty lub uszkodzenia danych;

9) odbiorca danych - każdy, komu udostępniane są dane osobowe, z wyłączeniem:

a) osoby, której dane dotyczą,

b) osoby upoważnionej do przetwarzania danych,

c) organów ścigania, którym dane są udostępniane w związku z prowadzonym postępowaniem przygotowawczym;

10) osoba upoważniona - osoba, która upoważniona została do przetwarzania danych osobowych przez ADO;

11) poufność danych - właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom;

12) proces zarządzania bezpieczeństwem systemów informatycznych - całość działań podejmowanych przez jednostkę mających na celu właściwą ochronę informacji oraz minimalizację skutków w przypadku incydentów bezpieczeństwa;

13) przetwarzanie danych - oznacza operacje wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

14) przetwarzający dane - podmiot, któremu zostało powierzone przetwarzanie danych osobowych na podstawie umowy powierzenia, zgodnie z art. 28 RODO;

15) raport - przygotowane przez system informatyczny zestawienia dotyczące zakresu przetwarzanych danych;

16) serwisant - firma "SerwisKomp" zajmującej się konserwacją sprzętu komputerowego;

17) system informatyczny (system) - sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych; w systemie tym pracuje co najmniej jeden komputer centralny i system ten tworzy sieć ADO;

18) system zarządzania bezpieczeństwem informacji - całościowy i uporządkowany układ, który tworzą następujące procedury i procesy:

a) ustanowienie polityki bezpieczeństwa informacji,

b) określenie zakresu zarządzania bezpieczeństwem informacji,

c) ocena zagrożeń bezpieczeństwa informacji i zarządzanie ryzykiem związanym z zagrożeniami,

d) wprowadzenie standardów bezpieczeństwa informacyjnego,

e) opracowanie planu ciągłości działania,

f) edukacja pracowników w zakresie bezpieczeństwa informacji;

19) trwałe usunięcie informacji - sposób postępowania z nośnikiem danych mający na celu usunięcie zapisanych na nim informacji tak, aby ich odtworzenie w całości lub w części było niemożliwe;

20) ustawa - rozumie się przez to ustawę z 10 maja 2018 r. o ochronie danych osobowych;

21) uwierzytelnianie - rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;

22) użytkownik - osoba upoważniona do przetwarzania danych osobowych, której nadano uprawnienia do przetwarzania danych w systemie informatycznym, a także indywidualny identyfikator i przyznano hasło;

23) zagrożenie - stan faktyczny, który może spowodować naruszenie bezpieczeństwa informacji;

24) zasada wiedzy koniecznej - oznacza, że dostęp osób zatrudnionych w jednostce do zasobów informacyjnych ograniczony jest wyłącznie do informacji, które są im niezbędne do wykonania powierzonych zadań.

B. Zakres przedmiotowy Instrukcji

1. Instrukcja ma zastosowanie do każdych danych osobowych:

1) przetwarzanych w systemach informatycznych w jednostce,

2) zapisanych w formie elektronicznej na przenośnych nośnikach danych.

2. Aktualny wykaz danych przetwarzanych w jednostce jest prowadzony w Rejestrze Czynności Przetwarzania.

C. Zakres podmiotowy Instrukcji

1. Do stosowania postanowień Instrukcji obowiązani są wszyscy użytkownicy, tzn. pracownicy Cybernetyka Sp. z o.o., które przetwarzają dane osobowe w systemach informatycznych jednostki.

2. Przed przystąpieniem do przetwarzania danych w systemach informatycznych lub danych przetwarzanych w formie plików elektronicznych, użytkownik jest zobowiązany do zapoznania się z postanowieniami Instrukcji.

3. Fakt zapoznania się z Instrukcją, potwierdzany jest przez użytkownika w momencie otrzymania upoważnienia do przetwarzania danych w systemie informatycznym.

D. System informatyczny

1. Na System informatyczny w jednostce składają się:

1) urządzenia: komputery stacjonarne, laptopy, serwery,

2) programy: System CRM, program kadrowo-płacowy, pakiet MS Office.

2. Elementy Systemu opisane w ust. 1 są wykorzystywane do przetwarzania danych w jednostce. Podlegają one regularnej kontroli w celu zapewnienia bezpieczeństwa przetwarzanych danych.

E. Klasyfikacja systemów informatycznych

1. Każdy system informatyczny eksploatowany w jednostce wymaga zaklasyfikowania do określonej kategorii ze względu na poziom poufności, integralności i dostępności przetwarzanych informacji oraz na rodzaj informacji i wagę systemu.

2. Poziom wymagań odnośnie bezpieczeństwa przetwarzanych informacji wyznaczają przepisy prawa oraz analiza ryzyka przeprowadzona przez ADO.

3. Systemy informatyczne eksploatowane w jednostce kategoryzuje i opisuje IZSI.

4. Za sklasyfikowanie systemów informatycznych eksploatowanych w jednostce odpowiada ADO, którego w tym procesie wspiera Administrator Systemu Informatycznego (ASI). Klasyfikacja systemów informatycznych podlega akceptacji ADO.

5. W jednostce przyznano następujące kategorie poziomów bezpieczeństwa dla poszczególnych systemów:

1) System CRM - kategoria systemu wysoka.

2) System kadrowo-płacowy - kategoria systemu wysoka.

3) System obiegu dokumentów - kategoria systemu średnia.

ZARZĄDZANIE DOSTĘPEM I BEZPIECZEŃSTWEM SYSTEMÓW

A. Zarządzanie dostępem

1. Dostęp do systemów informatycznych musi być zabezpieczony z wykorzystaniem obowiązujących w jednostce mechanizmów bezpieczeństwa w postaci haseł, kart dostępu, uwzględniających kategorię systemu oraz wrażliwość informacji.

2. Mechanizmy bezpieczeństwa muszą zapewniać rozliczalność w stopniu uwzględniającym kategorię systemu oraz wymagania wynikające z RODO i ustawy o ochronie danych osobowych. W szczególności każdemu użytkownikowi systemu informatycznego musi być przydzielony niepowtarzalny identyfikator.

3. Każdy użytkownik systemu informatycznego zobowiązany jest do eksploatowania systemów informatycznych zgodnie z procedurami opisanymi w IZSI.

4. Dostęp do zasobów informatycznych oraz działania wykonywane z kont użytkowników, muszą być monitorowane w stopniu uwzględniającym poziom uprawnień przypisany do tych kont oraz kategorię systemu.

5. Monitoringowi podlegają w szczególności logowania, modyfikacje danych, dostęp do plików.

6. Osoba pełniąca funkcję administratora systemu powinna posiadać dodatkowo odrębne konto służące tylko i wyłącznie do administracji, o ile dany system udostępnia taką funkcjonalność.

7. Dostęp do systemów informatycznych wygasa:

1) zgodnie z zasadą wiedzy koniecznej,

2) po upływie terminu umowy o pracę,

3) w przypadku naruszenia bezpieczeństwa.

8. Zasady dostępu do pomieszczeń, w których zlokalizowane są zasoby informatyczne, określa IZSI.

9. Zasady szczegółowe:

1) poszczególnym osobom upoważnionym do przetwarzania danych osobowych przydziela się indywidualne konta umożliwiające dostęp do danych, zgodnie z zakresem upoważnienia do ich przetwarzania;

2) ASI przydziela osobie upoważnionej do przetwarzania danych konto, dostępne po wprowadzeniu identyfikatora i hasła;

3) pierwsze hasło wymagane do uwierzytelnienia w systemie przydzielane jest przez ASI po odebraniu od osoby upoważnionej do przetwarzania danych oświadczenia o poufności oraz potwierdzenia zapoznania się z IZSI;

4) do zagwarantowania poufności i integralności danych osobowych konieczne jest przestrzeganie przez użytkowników swoich uprawnień w systemie, tj. korzystanie z systemu wyłącznie w celach służbowych oraz stosowania się do zaleceń ASI;

5) niedozwolone jest przydzielanie kilku użytkownikom tego samego identyfikatora;

6) w przypadku odebrania uprawnień użytkownikowi, jego login nie jest przydzielany innemu użytkownikowi.

B. Analiza i zarządzanie ryzykiem

1. Podstawowe zagrożenia dla poprawnego funkcjonowania systemów informatycznych mogą wynikać z awaryjności sprzętu, czynnika ludzkiego oraz zdarzeń losowych.

2. Skutkiem wystąpienia zagrożenia zasobów informatycznych może być:

1) zniszczenie danych,

2) utrata danych,

3) utrata poufności danych,

4) straty finansowe,

5) utrata wiarygodności.

3. Za proces analizy i zarządzania ryzykiem odpowiedzialny jest ADO.

4. Proces analizy ryzyka obejmuje analizę zagrożeń i jest realizowany w ramach procedury zarządzania ryzykiem.

5. Wyniki analizy ryzyka stanowią podstawę wyboru odpowiednich zabezpieczeń.

6. Wdrażane zabezpieczenia powinny zapewniać efektywność ekonomiczną oraz akceptowalne ryzyko.

7. Kryteria akceptowalności ryzyka powinny być udokumentowane.

C. Cele i zasady bezpieczeństwa systemu

1. Stosowanie zabezpieczeń ma na celu zapewnienie wysokiego poziomu bezpieczeństwa przetwarzanych w systemie danych, stosownie do ich rodzaju oraz potencjalnych zagrożeń.

2. Zapewnienie odpowiedniego poziomu bezpieczeństwa następuje poprzez stosowanie zasad, zgodnie z którymi:

1) osoby nieupoważnione nie mają dostępu do systemu;

2) użytkownicy mają ograniczony dostęp do danych, zgodnie z postanowieniami niniejszej Instrukcji;

3) użytkownicy korzystają z narzędzi systemowych zachowując wymagane środki ostrożności.

D. Poziom bezpieczeństwa

1. Uwzględniając kategorie danych oraz bezpieczeństwo przetwarzania, wprowadza się "wysoki" poziom bezpieczeństwa.

2. Zastosowanymi środkami bezpieczeństwa są:

1) hasła,

2) szyfrowanie dysków,

3) oprogramowanie antywirusowe.

E. Nadawanie uprawnień w systemach informatycznych

1. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych zarejestrowana jako użytkownik w tym systemie przez ASI.

2. W jednostce przetwarzać dane mogą jedynie osoby posiadające ww. upoważnienie, które podpisały oświadczenie o poufności oraz ukończyły szkolenie z zakresu ochrony danych osobowych.

3. ADO jest obowiązany upoważnić co najmniej jednego pracownika w czasie nieobecności ASI.

4. ADO lub upoważniony pracownik prowadzi wykaz osób upoważnionych.

5. Rejestr, o którym mowa w pkt 4 stanowi załącznik nr 1.

6. Rejestracja użytkownika polega na nadaniu danych dostępowych.

7. Konto użytkownika w systemie zakłada ASI, na podstawie upoważnienia ADO, nadając nazwę użytkownika i hasło.

8. Przydzielone użytkownikowi hasło, ulega zmianie przez użytkownika po pierwszym logowaniu.

9. Użytkownik zobowiązany jest do zachowania hasła w tajemnicy.

10. Upoważnienie do przetwarzania danych osobowych w systemach informatycznych nadawane jest na czas określony, który nie może przekroczyć okresu zatrudnienia.

11. W przypadku przedłużenia umowy o pracę, przedłużeniu ulega także upoważnienie.

F. Usunięcie konta

1. Usuwanie kont z systemu informatycznego dokonywane jest przez ASI.

2. Usunięcie konta następuje w przypadku:

1) rozwiązania stosunku pracy;

2) wygaśnięcia stosunku pracy;

3) ustania stosunku prawnego z jednostką;

4) zmiany stanowiska pracy;

5) cofnięcia upoważnienia do przetwarzania danych osobowych.

3. Usunięcie konta ma charakter definitywny.

4. Postanowień tego rozdziału nie stosuje się w sytuacji zmiany stanowiska pracy o ile nowe stanowisko wymaga dostępu do danych osobowych.

G. Zablokowanie konta użytkownika

1. Zablokowania użytkownika z systemu informatycznego dokonuje ASI.

2. Zablokowanie, o którym mowa w pkt 1, ma charakter czasowy.

3. Zablokowanie następuje poprzez dezaktywację konta użytkownika.

4. Czasowe zablokowanie użytkownika z systemu informatycznego musi nastąpić w razie:

1) nieobecności pracownika;

2) zawieszenia w czynnościach służbowych.

5. Przyczyną zablokowanie użytkownika jest w szczególności:

1) wypowiedzenie umowy o pracę;

2) postępowanie dyscyplinarne.

H. Użytkownik uprzywilejowany

1. ASI jest użytkownikiem uprzywilejowanym.

2. Konto użytkownika uprzywilejowanego jest używane w wyjątkowych sytuacjach, np. w celu odzyskania dostępu do danych.

3. Hasło ASI jest przechowywane w sejfie.

4. Hasło ASI może być wykorzystane wyłącznie za zgodą ADO. Każde korzystanie z hasła powinno być udokumentowane.

I. Kontrola bezpieczeństwa wykonywana przez użytkowników

1. Codzienna kontrola bezpieczeństwa jest wykonywana przez użytkowników i polega w szczególności na sprawdzeniu, czy nie doszło do:

1) próby dostępu osób nieupoważnionych;

2) próby zmiany danych przez osoby nieupoważnione;

3) próby modyfikacji oprogramowania;

4) ujawnienia hasła osobom trzecim;

5) uszkodzenia sprzętu.

2. W razie stwierdzenia nieprawidłowości użytkownik niezwłocznie powiadamia ASI.

3. Okresowa kontrola bezpieczeństwa jest wykonywana przez ASI.

4. ASI dokumentuje wyniki kontroli i przekazuje je do ADO.

UTRZYMANIE, ROZWÓJ I WYCOFANIE SYSTEMÓW INFORMATYCZNYCH

A. Rozwój systemów informatycznych

1. Rozwój systemów informatycznych dotyczy wdrożenia nowych systemów lub modyfikacji istniejących.

2. Rozwój systemów informatycznych obejmuje w szczególności następujące działania:

1) określenie kategorii systemu;

2) analiza funkcjonalna;

3) analiza ryzyka, projektowanie;

4) implementacja;

5) testowanie;

6) opracowanie dokumentacji;

7) szkolenie użytkowników.

3. Za rozwój systemów informatycznych w jednostce odpowiadają ADO i ASI.

4. Testowanie powinno odbywać się wyłącznie z wykorzystaniem danych testowych.

5. Rozpoczęcie eksploatacji wymaga decyzji ADO.

6. ASI sprawuje nadzór nad procesem rozwoju.

B. Utrzymanie systemów informatycznych

1. Utrzymanie systemów informatycznych obejmuje następujące działania:

1) okresowa analiza ryzyka;

2) działania konserwacyjne z uwzględnieniem aspektów bezpieczeństwa.

2. Eksploatacja systemów informatycznych obejmuje działania związane z użytkowaniem, testowaniem oraz dokumentowaniem.

3. Za utrzymanie systemów informatycznych odpowiada ASI.

4. ASI sprawuje nadzór nad procesem utrzymania.

C. Wycofanie systemów informatycznych

1. Systemy informatyczne, nośniki informacji lub inne zasoby informacyjne, które stały się przestarzałe, wycofuje się z eksploatacji w sposób opisany w IZSI.

2. Wycofanie systemu informatycznego z eksploatacji wymaga procedury obejmujących w szczególności zasady postępowania:

1) z informacjami i nośnikami informacji,

2) z dokumentacją.

METODY I ŚRODKI UWIERZYTELNIANIA

A. Nazwa i hasło użytkownika

1. Uwierzytelnienie użytkownika w systemie informatycznym następuje po podaniu nazwy użytkownika i hasła.

2. Nazwa użytkownika stanowi identyfikator, który w sposób jednoznaczny przypisuje użytkownika do konta. Niedozwolone jest wykorzystanie tej samej nazwy przez dwóch użytkowników.

3. Identyfikator składa się z ciągu przynajmniej 5 znaków.

4. Niedopuszczalne jest powtórzenie nazwy użytkownika. Raz przypisana nazwa nie podlega zmianie i nie może zostać wykorzystana w przyszłości przez innego użytkownika.

5. W przypadku zbieżności nazwisk ASI nadaje inny identyfikator, odstępując od zasady określonej w pkt 4.

6. Hasło powinno składać się z minimum 8 znaków, zawierać małe i duże litery, cyfry oraz znaki specjalne.

7. Hasło nie może być:

1) identyczne z nazwą użytkownika;

2) identyczne z imieniem i nazwiskiem;

3) odniesieniem do daty urodzenia;

4) powtórzeniem poprzedniego hasła, jeżeli od jego zmiany nie minęło 6 miesięcy.

8. Niedopuszczalne jest zapamiętywanie hasła w przeglądarce.

9. Pierwsze nadane hasło użytkownik ma obowiązek zmienić po pierwszym logowaniu.

10. W przypadku, gdy system limituje liczbę błędnie podanych haseł, należy ustawić limit na 3 próby. Po przekroczeniu limitu powinna nastąpić blokada konta.

11. Użytkownik ponosi odpowiedzialność za bezpieczeństwo swojego hasła.

12. Użytkownik ma obowiązek zmieniać hasło co 3 miesiące.

13. Zmiany hasła są wykonywane osobiście przez użytkownika.

PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY W SYSTEMIE INFORMATYCZNYM

A. Zasady korzystania ze stacji roboczej

1. Przed rozpoczęciem pracy użytkownik ma obowiązek sprawdzić stan techniczny stanowiska pracy.

2. W pomieszczeniu, w którym przetwarzane są dane osobowe, mogą znajdować się osoby postronne tylko za zgodą ADO i w towarzystwie osoby upoważnionej.

3. Przed wejściem osób postronnych należy włączyć wygaszacz ekranu oraz zabezpieczyć wydruki zawierające dane osobowe.

4. Rozpoczęcie pracy:

1) włączenie komputera,

2) włączenie monitora,

3) logowanie do systemu,

4) uwierzytelnienie za pomocą

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych prezentuje kompleksowe podejście do zapewnienia ochrony danych osobowych przetwarzanych w systemie. Zapewnienie zgodności z obowiązującymi przepisami prawnymi oraz normami branżowymi stanowi główny cel dokumentu. Wdrażając przedstawione wytyczne, organizacja może skutecznie zarządzać systemem informacyjnym, minimalizując ryzyko naruszeń związanych z ochroną danych osobowych.