Instrukcja Zarządzania Systemem Informatycznym

Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych

1. Niniejsza instrukcja określa ogólne zasady zarządzania systemem informatycznym służącym do przetwarzania danych osobowych na www.sklepprins.pl.
2. Administrator Danych Osobowych pełniący jednocześnie funkcję Administratora Bezpieczeństwa Informacji:

• Określa strategię zabezpieczania systemów informatycznych;
• Identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych;
• Określa potrzeby w zakresie zabezpieczenia systemów informatycznych w których przetwarzane są dane osobowe 
• Monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych oraz ich przetwarzania

1. Administrator Danych Osobowych stwarza właściwe warunki organizacyjno-techniczne gwarantujące bezpieczeństwo systemów informatycznych a w szczególności:

• Właściwego prowadzenia i zabezpieczenia okablowania sieci komputerowej służącej do przetwarzania danych osobowych w systemach informatycznych w celu wyeliminowania niebezpieczeństwa podsłuchu lub zniszczenia infrastruktury sieciowej;
• Dokonuje wyboru lub migracji do technologii minimalizującej zagrożenie uzyskania dostępu do sieci osobom nieupoważnionym;
• Określa zasady i ewidencję wykonywania czynności serwisowych w systemach informatycznych w podległych jednostkach w celu wyeliminowania:

a)możliwości wykonania kopii danych osobowych przez osoby nieupoważnione, b) przemieszczania urządzeń komputerowych i ich części służących do przetwarzania danych osobowych poza obszar objęty ochroną

c) podmiany elementów sprzętu komputerowego lub oprogramowania na inny, który zawiera cechy ukryte

• Monitoruje zdarzenia wpływające na bezpieczeństwo systemu informatycznego, w tym m.in.

-           wykrytych wirusów, koni trojańskich itp.

-           oprogramowania nielegalnego lub zainstalowanego bez upoważnienia

-           awarii systemu informatycznego lub jego nieprawidłowego działania

-           stwierdzenia faktu korzystania z systemu informatycznego przez osobę niepowołaną

-           awarii zasilania

4. Administrator Danych Osobowych jako Administrator Bezpieczeństwa Informacji określa:

• sposób przydziału haseł dla użytkowników systemu informatycznego i częstotliwość ich zmiany oraz wskazanie osoby odpowiedzialnej za te czynności
• sposób rejestrowania i wyrejestrowywania użytkowników oraz wskazanie osoby odpowiedzialnej za te czynności
• Procedury rozpoczęcia i zakończenia pracy
• metody i częstotliwość wykonywania kopii awaryjnych
• metody i częstotliwość sprawdzania systemów informatycznych na obecność wirusów komputerowych oraz metodę ich usuwania
• sposób i czas przechowywania nośników informacji, w tym kopii informatycznych i wydruków

5. Administrator Danych Osobowych nadzoruje system informatyczny służący do przetwarzania danych osobowych i odpowiada za jego bieżącą eksploatację, a w szczególności za:

a) wszystkie czynności związane z jego funkcjonowaniem i modernizacją

b) rejestrowanie i wyrejestrowywanie z systemu użytkowników oraz projektantów i programistów w czasie instalowania systemu oraz jego modyfikacji

c) przydzielanie uprawnień do poszczególnych funkcji systemu oraz określenie trybu i częstotliwości zmiany haseł

d) procedury wykonywania kopii awaryjnych, określenie ich częstotliwości, zmianę nośników oraz ich właściwe przechowywanie, sprawdzanie poprawności zapisu i likwidację

e) lokalizację sprzętu komputerowego, ustawienie monitorów i drukarek uniemożliwiające wgląd w dane osobom nieupoważnionym lub kradzież wymiennych nośników danych

f) postępowania zgodnie z instrukcją w sytuacji naruszenia ochrony danych osobowych