Add to collection(s) Add to saved
  1. Nauki społeczne
  2. Prawo
  3. Umowa

PROCEDURA

advertisement 
Załącznik numer 17
INSTRUKCJA
dotycząca zasad bezpieczeństwa informacji przy
korzystaniu z usług podmiotów zewnętrznych
§1
Cel instrukcji
Celem niniejszego dokumentu jest określenie zasad postępowania w przypadku korzystania z usług
podmiotów zewnętrznych, zwanych dalej kontrahentami, łączących się z dostępem do zasobów
informacyjnych, aby zapewnić ochronę aktywów udostępnianych usługodawcom.
§2
Zasady ogólne
1. Bezpieczeństwo zasobów ludzkich
Pracownicy kontrahentów, których usługi wiążą się z dostępem do zasobów informacyjnych traktowani
są w zakresie weryfikacji bezpieczeństwa zasobów ludzkich tak jak pracownicy, zarówno przed
zatrudnieniem, w trakcie, jak i przy zakończeniu zatrudnienia.
W przypadku, gdy usługa związana jest z bezpieczeństwem informacji trzeba sprawdzić czy pracownicy
kontrahentów:
a) posiadają uprawnienia niezbędne do pełnienia roli związanej z bezpieczeństwem;
b) sprostają powierzonej mu roli, zwłaszcza, gdy jest ona kluczowa dla organizacji.
Trzeba zapewnić, aby pracownicy kontrahentów akceptowali zasady i warunki związane z
bezpieczeństwem informacji, odpowiednio do rodzaju i zakresu przyznanego im dostępu do aktywów
powiązanych z systemami informacyjnymi i usługami.
W uzasadnionych przypadkach odpowiedzialność zawarta w zasadach i warunkach realizowanych
usług może rozciągać się na określony czas po ustaniu stosunku pracy.
Pracownicy kontrahentów są szkoleni w zakresie bezpieczeństwa informacji. Szkolenia te mogą być
realizowane w różny sposób: tradycyjnie, zdalnie, przez sieć (webowy), samodzielnie i w inny sposób.
Odpowiedzialność i obowiązki, które pozostają w mocy po ustaniu usługi są zawarte w warunkach
umowy.
Proces zakończenia usługi określają zapisy umowy z usługodawcą.
2.
Bezpieczeństwo fizyczne
Pracownicy kontrahentów posiadający dostęp do aktywów są uświadamiani w kwestii wymagań
bezpieczeństwa informacji dotyczących aktywów związanych z informacją, środkami przetwarzania
informacji oraz jej zasobami.
W momencie zakończenia umowy pracownicy kontrahentów zwracają wszystkie posiadane aktywa
organizacji.
W umowach zawartych z kontrahentami wprowadza się zapisy dotyczące wymagań bezpieczeństwa
informacji celem zmniejszenia ryzyk związanych z dostępem dostawcy do aktywów organizacji.
Usługi są monitorowane pod kątem zapewnienia przestrzegania warunków bezpieczeństwa informacji,
warunków umów oraz właściwego zarządzane incydentami związanymi z bezpieczeństwem informacji
i problemami.
str. 1
Wersja 2.00
Przygotował : OFABI Grażyna Kawczyńska & Jacek Kędzierski sc 83-210 Zblewo, Suche Bagno 17
Załącznik numer 17
§2
Zasady stosowane przy realizacji usług administratora
bezpieczeństwa informacji
1.
Dostęp administratora bezpieczeństwa informacji do systemu
informatycznego
1.1. ABI ma nadany unikalny identyfikator oraz hasło.
1.2. AD nadaje ABI dostęp do systemu informatycznego w zakresie niezbędnym do realizacji umowy.
1.3. Po zakończeniu umowy blokowany jest dostęp ABI do systemu SI.
2. Przeprowadzanie sprawdzeń
2.1. Sprawdzenia są przeprowadzane w trybie:
2.1.1. sprawdzenia planowego – według planu sprawdzeń,
2.1.2. sprawdzenia doraźnego – w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji
powzięcia przez ABI wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego
podejrzenia wystąpienia takiego naruszenia,
2.1.3. art. 19b ust. 1 UODO – w przypadku zwrócenia się o dokonanie sprawdzenia przez
Generalnego Inspektora Ochrony Danych Osobowych.
2.2. ABI przygotowuje plan sprawdzeń zgodności przetwarzania danych osobowych z przepisami o
ochronie danych osobowych zgodnie z art. 36a ust. 2 UODO.
2.3. Plan sprawdzeń określa przedmiot, zakres oraz termin przeprowadzania poszczególnych
sprawdzeń oraz sposób i zakres ich dokumentowania.
2.4. ABI w planie sprawdzeń uwzględnia, w szczególności, zbiory danych osobowych i systemy
informatyczne służące do przetwarzania danych osobowych oraz konieczność weryfikacji
zgodności przetwarzania danych osobowych:
2.4.1. z zasadami, o których mowa w art. 23-27 i art. 31-35 UODO,
2.4.2. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 3739 UODO oraz przepisach wydanych na podstawie art. 39a UODO,
2.4.3. z zasadami przekazywania danych osobowych, o których mowa w art. 47-48 UODO,
2.4.4. z obowiązkiem zgłoszenia zbioru danych do rejestracji i jego aktualizacji, jeżeli zbiór zawiera
dane, o których mowa w art. 27 ust. 1 UODO.
2.5. Po zakończonym sprawdzeniu ABI przekazuje administratorowi danych sprawozdanie.
3.
Zgłaszanie zbiorów do rejestracji
3.1. Komórki merytoryczne zgłaszają do rejestru, prowadzonego przez ABI, zbiory danych osobowych.
3.2. ABI zgłasza do Generalnego Inspektora Ochrony Danych Osobowych zbiory danych osobowych
wskazane w art. 27 ust. 1 UODO, które nie podlegają zwolnieniu z rejestracji na podstawie art. 43
ust. 1 UODO, w formie elektronicznej podpisując posiadanym zaufanym profilem lub podpisem
kwalifikowanym.
str. 2
Wersja 2.00
Przygotował : OFABI Grażyna Kawczyńska & Jacek Kędzierski sc 83-210 Zblewo, Suche Bagno 17
Related documents
CEN-Gdańsk-zał_16_zgloszenie_zbioru_do_ABI
CEN-Gdańsk-zał_16_zgloszenie_zbioru_do_ABI
CEN-Gdańsk-UCZNIOWIE
CEN-Gdańsk-UCZNIOWIE
Monitoring wizyjny – lista kontrolna
Monitoring wizyjny – lista kontrolna
wniosek o nadanie uprawnień dla użytkownika w systemie
wniosek o nadanie uprawnień dla użytkownika w systemie
Instrukcja postępowania w sytuacji naruszenia systemu ochrony
Instrukcja postępowania w sytuacji naruszenia systemu ochrony
Ubezpieczenie odpowiedzialności cywilnej
Ubezpieczenie odpowiedzialności cywilnej
Rejestr zbiorów danych osobowych
Rejestr zbiorów danych osobowych
Dane osobowe i ich przetwarzanie Odpowiedzialność prawna i kary
Dane osobowe i ich przetwarzanie Odpowiedzialność prawna i kary
O prawidłowym systemie ochrony danych osobowych w
O prawidłowym systemie ochrony danych osobowych w
Umowa o pe*nienie obowi*zków
Umowa o pe*nienie obowi*zków
Polityka rachunkowosci
Polityka rachunkowosci
PROJEKT UCHWAŁY WYCOFANY PRZEZ
PROJEKT UCHWAŁY WYCOFANY PRZEZ
Załącznik nr 1
Załącznik nr 1
kategorie wyrażające sposób oddziaływania inwestora na
kategorie wyrażające sposób oddziaływania inwestora na
Ryzyka z oceną działań
Ryzyka z oceną działań
Download
advertisement