61 847 55 18 kontakt@osobowedane.pl

Instrukcja zarządzania systemem informatycznym to dokument który, obok polityki bezpieczeństwa,  powinien znaleźć się w dokumentacji opisującej sposób przetwarzania danych osobowych. Obowiązek prowadzenia tej dokumentacji nakłada na administratorów danych osobowych ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Poniżej omawiamy szczegółowo co taki dokument powinien zawierać.

> Szczegółowe omówienie co powinien zawierać prawidłowy wzór polityki bezpieczeństwa znajdziecie w naszym artykule –  polityka bezpieczeństwa (kliknij)

Co powinna zawierać instrukcja zarządzania systemem informatycznym

Instrukcja zarządzania systemem informatycznym powinna zawierać:

1) wskazanie systemów informatycznych w których przetwarzane będą dane osobowe, ich lokalizacji, metod dostępu do systemu (np. bezpośrednio poprzez komputer, lokalna sieć komputerowa, Internet itp. )

2) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; punkt ten powinien uwzględniać między innymi:

  • warunki przyznania użytkownikowi identyfikatora oraz nadawania lub modyfikacji uprawnień użytkownika, np. utworzenie konta, udzielenie uprawnień, usunięcie konta,
  • zasady postępowania z hasłami użytkowników uprzywilejowanych (np. posiadających uprawnienia administratorów),
  • zasady administrowania systemem informatycznym w przypadku awarii,
  • osoby odpowiedzialne za realizację procedur oraz rejestrowanie i wyrejestrowywanie użytkowników w systemie informatycznym;

3) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; punkt ten powinien uwzględniać między innymi:

  • tryb przydzielania haseł oraz wskazanie zaleceń co do złożoności haseł  – przypominamy hasło powinno zawierać: minimum 8 znaków jeżeli w systemie są przetwarzane dane:

a) ujawniające pochodzenie rasowe lub etniczne,
b) ujawniające poglądy polityczne,
c) ujawniające przekonania religijne lub filozoficzne,
d) ujawniające przynależność wyznaniową, partyjną lub związkową
e) o stanie zdrowia,
f) 0 kodzie genetycznym,
g) 0 nałogach
h) 0 życiu seksualnym,
i) 0 dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych,
j) o dane dotyczące orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Natomiast jeżeli powyższe dane nie są przetwarzane powinno ono zawierać minimum 6 znaków.

  • wskazanie wymaganej częstotliwości i metody zmiany hasła – hasła powinny być zmieniane nie rzadziej niż co 30 dni.
  • wskazanie sposobu przechowywania haseł użytkowników posiadających uprawnienia administratorów systemów informatycznych oraz sposób odnotowywania ich awaryjnego użycia,
  • jeżeli zastosowano inne metody weryfikacji użytkowników np. poprzez karty z mikroprocesorem, należy wskazać wytyczne w zakresie stosowania tych metod,

4) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; punkt ten powinien uwzględniać między innymi:

  • kolejne czynności wymagane w celu uruchomienia systemu informatycznego, w szczególności uwzględniające zasady postępowania użytkowników podczas przeprowadzenia procesu uwierzytelniania,
  • metody postępowania w przypadku tymczasowego zaprzestania pracy, co może powodować dostęp do danych przez osoby nieuprawnione, np. konieczność wyrejestrowania z systemu,
  • procedurę postępowania w przypadku podejrzenia naruszenia bezpieczeństwa systemu np. problemów z zalogowaniem do systemu,

5) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; punkt ten powinien uwzględniać między innymi::

  • metody oraz częstotliwość tworzenia kopii zapasowych,
  • typ nośników na których tworzone będą kopie zapasowe,
  • urządzenia które mają być wykorzystywane do tworzenia kopii zapasowych,
  • okresy rotacji oraz całkowity czas użytkowania poszczególnych nośników danych,
  • procedury likwidacji nośników na których zapisane są kopie zapasowe po ich wycofaniu

6) sposób, miejsce i okres przechowywania:

  • elektronicznych nośników informacji zawierających dane osobowe,
  • kopii zapasowych

7) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;w punkcie tym należy uwzględnić między innymi:

  • obszary systemów informatycznych narażone na ingerencję wirusów komputerowych oraz innego rodzaju szkodliwe oprogramowanie, oraz wymienić źródła tych czynników,
  • działania, które należy podjąć ażeby zminimalizować możliwość zainstalowania takiego oprogramowania,
  • narzędzia programowe, które mają przeciwdziałać skutkom szkodliwego oprogramowania (np. wskazanie programów antywirusowych) oraz określić metody i częstotliwość aktualizacji definicji wirusów,
  • osoby odpowiedzialne za zarządzanie tym oprogramowaniem,
  • procedury postępowania użytkowników w przypadku podejrzenia zaistnienia zagrożenia istnienia szkodliwego oprogramowania,

8) sposób realizacji obowiązku odnotowania dla każdej osoby, której dane osobowe są przetwarzane następujących informacji:

  • data pierwszego wprowadzenia danych do systemu;
  • identyfikator użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
  • źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
  • informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
  • sprzeciwie osoby której dane osobowe są przetwarzane,

Podkreślenia wymaga, że dane te muszą być zawarte w systemie informatycznym, dlatego dla wypełnienia tego obowiązku nie będzie wystarczające odnotowane tych informacji wyłącznie w formie papierowej.

9) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych, w punkcie tym należy uwzględnić między innymi:

  • cel, zakres, częstotliwość oraz procedury wykonywania przeglądów i konserwacji systemu informatycznego,
  • podmioty i osoby uprawnione do dokonywania przeglądów i konserwacji,
  • procedury wykonywania tych czynności,
  • wymóg, by pozbawić zapisu danych przeznaczone do naprawy nośniki w sposób pozwalający na ich odzyskanie lub wprowadzenie wymogu naprawy nośników pod nadzorem osoby upoważnionej przez administratora danych.

Nadto, należy podkreślić, że jeżeli w danej jednostce będącej administratorem danych osobowych wykorzystywanych jest więcej niż jeden systemów informatycznych, wówczas w instrukcji zarządzania systemem informatycznym należy uwzględnić ewentualne różnice w zakresie powyżej wskazanych danych dla każdego z systemów. Możliwe jest również opracowanie oddzielne instrukcji zarządzania dla każdego z systemów informatycznych.

Jak należy wdrożyć instrukcję zarządzania systemem informatycznym

W pierwszej kolejności Instrukcja zarządzania systemem informatycznym powinna zostać zaakceptowana przez administratora danych osobowych. Następnie powinna zostać ona przyjęta jako powszechnie obowiązujący dokument w danej jednostce. Na koniec odpowiednie wytyczne zawarte w instrukcji zarządzania należy przekazać osobom odpowiedzialnym za ich realizację.

Pozostało do wprowadzenia RODO. Sprawdź więcej!