Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email

Instrukcja zarządzania systemem informatycznym

Instrukcja zarządzania systemem informatycznym

Instrukcja zarządzania systemem informatycznym to dokument który, obok polityki bezpieczeństwa,  powinien znaleźć się w dokumentacji opisującej sposób przetwarzania danych osobowych. Obowiązek prowadzenia tej dokumentacji nakłada na administratorów danych osobowych ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Poniżej omawiamy szczegółowo co taki dokument powinien zawierać.

> Szczegółowe omówienie co powinien zawierać prawidłowy wzór polityki bezpieczeństwa znajdziecie w naszym artykule –  polityka bezpieczeństwa (kliknij)

Co powinna zawierać instrukcja zarządzania systemem informatycznym

Instrukcja zarządzania systemem informatycznym powinna zawierać:

1) wskazanie systemów informatycznych w których przetwarzane będą dane osobowe, ich lokalizacji, metod dostępu do systemu (np. bezpośrednio poprzez komputer, lokalna sieć komputerowa, Internet itp. )

2) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; punkt ten powinien uwzględniać między innymi:

  • warunki przyznania użytkownikowi identyfikatora oraz nadawania lub modyfikacji uprawnień użytkownika, np. utworzenie konta, udzielenie uprawnień, usunięcie konta,
  • zasady postępowania z hasłami użytkowników uprzywilejowanych (np. posiadających uprawnienia administratorów),
  • zasady administrowania systemem informatycznym w przypadku awarii,
  • osoby odpowiedzialne za realizację procedur oraz rejestrowanie i wyrejestrowywanie użytkowników w systemie informatycznym;

3) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; punkt ten powinien uwzględniać między innymi:

  • tryb przydzielania haseł oraz wskazanie zaleceń co do złożoności haseł  – przypominamy hasło powinno zawierać: minimum 8 znaków jeżeli w systemie są przetwarzane dane:

a) ujawniające pochodzenie rasowe lub etniczne,
b) ujawniające poglądy polityczne,
c) ujawniające przekonania religijne lub filozoficzne,
d) ujawniające przynależność wyznaniową, partyjną lub związkową
e) o stanie zdrowia,
f) 0 kodzie genetycznym,
g) 0 nałogach
h) 0 życiu seksualnym,
i) 0 dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych,
j) o dane dotyczące orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Natomiast jeżeli powyższe dane nie są przetwarzane powinno ono zawierać minimum 6 znaków.

  • wskazanie wymaganej częstotliwości i metody zmiany hasła – hasła powinny być zmieniane nie rzadziej niż co 30 dni.
  • wskazanie sposobu przechowywania haseł użytkowników posiadających uprawnienia administratorów systemów informatycznych oraz sposób odnotowywania ich awaryjnego użycia,
  • jeżeli zastosowano inne metody weryfikacji użytkowników np. poprzez karty z mikroprocesorem, należy wskazać wytyczne w zakresie stosowania tych metod,

4) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; punkt ten powinien uwzględniać między innymi:

  • kolejne czynności wymagane w celu uruchomienia systemu informatycznego, w szczególności uwzględniające zasady postępowania użytkowników podczas przeprowadzenia procesu uwierzytelniania,
  • metody postępowania w przypadku tymczasowego zaprzestania pracy, co może powodować dostęp do danych przez osoby nieuprawnione, np. konieczność wyrejestrowania z systemu,
  • procedurę postępowania w przypadku podejrzenia naruszenia bezpieczeństwa systemu np. problemów z zalogowaniem do systemu,

5) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; punkt ten powinien uwzględniać między innymi::

  • metody oraz częstotliwość tworzenia kopii zapasowych,
  • typ nośników na których tworzone będą kopie zapasowe,
  • urządzenia które mają być wykorzystywane do tworzenia kopii zapasowych,
  • okresy rotacji oraz całkowity czas użytkowania poszczególnych nośników danych,
  • procedury likwidacji nośników na których zapisane są kopie zapasowe po ich wycofaniu

6) sposób, miejsce i okres przechowywania:

  • elektronicznych nośników informacji zawierających dane osobowe,
  • kopii zapasowych

7) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;w punkcie tym należy uwzględnić między innymi:

  • obszary systemów informatycznych narażone na ingerencję wirusów komputerowych oraz innego rodzaju szkodliwe oprogramowanie, oraz wymienić źródła tych czynników,
  • działania, które należy podjąć ażeby zminimalizować możliwość zainstalowania takiego oprogramowania,
  • narzędzia programowe, które mają przeciwdziałać skutkom szkodliwego oprogramowania (np. wskazanie programów antywirusowych) oraz określić metody i częstotliwość aktualizacji definicji wirusów,
  • osoby odpowiedzialne za zarządzanie tym oprogramowaniem,
  • procedury postępowania użytkowników w przypadku podejrzenia zaistnienia zagrożenia istnienia szkodliwego oprogramowania,

8) sposób realizacji obowiązku odnotowania dla każdej osoby, której dane osobowe są przetwarzane następujących informacji:

  • data pierwszego wprowadzenia danych do systemu;
  • identyfikator użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
  • źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
  • informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
  • sprzeciwie osoby której dane osobowe są przetwarzane,

Podkreślenia wymaga, że dane te muszą być zawarte w systemie informatycznym, dlatego dla wypełnienia tego obowiązku nie będzie wystarczające odnotowane tych informacji wyłącznie w formie papierowej.

9) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych, w punkcie tym należy uwzględnić między innymi:

  • cel, zakres, częstotliwość oraz procedury wykonywania przeglądów i konserwacji systemu informatycznego,
  • podmioty i osoby uprawnione do dokonywania przeglądów i konserwacji,
  • procedury wykonywania tych czynności,
  • wymóg, by pozbawić zapisu danych przeznaczone do naprawy nośniki w sposób pozwalający na ich odzyskanie lub wprowadzenie wymogu naprawy nośników pod nadzorem osoby upoważnionej przez administratora danych.

Nadto, należy podkreślić, że jeżeli w danej jednostce będącej administratorem danych osobowych wykorzystywanych jest więcej niż jeden systemów informatycznych, wówczas w instrukcji zarządzania systemem informatycznym należy uwzględnić ewentualne różnice w zakresie powyżej wskazanych danych dla każdego z systemów. Możliwe jest również opracowanie oddzielne instrukcji zarządzania dla każdego z systemów informatycznych.

Jak należy wdrożyć instrukcję zarządzania systemem informatycznym

W pierwszej kolejności Instrukcja zarządzania systemem informatycznym powinna zostać zaakceptowana przez administratora danych osobowych. Następnie powinna zostać ona przyjęta jako powszechnie obowiązujący dokument w danej jednostce. Na koniec odpowiednie wytyczne zawarte w instrukcji zarządzania należy przekazać osobom odpowiedzialnym za ich realizację.

Przedsiębiorco!
Szukasz pomocy przy danych osobowych?

Prześlij swoje pytanie do doświadczonych ekspertów i otrzymaj bezpłatną wycenę (tylko dla przedsiębiorców).

padlock

Chronimy Twoją prywatność. Twój adres email posłuży tylko do kontaktu w sprawie wyceny.

0 Comments

Trackbacks/Pingbacks

  1. Polityka bezpieczeństwa - Dane osobowe | Dane osobowe - [...] Instrukcja zarządzania systemem informatycznym [...]

Submit a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *


POBIERZ DARMOWY PORADNIK!

Dowiedz się jak spełnić swoje obowiązki wobec GIODO

i jak dokonać rejestracji zbiorów danych osobowych!

Kliknij i pobierz poradnik