PROCEDURA

advertisement
Załącznik numer 17
INSTRUKCJA
dotycząca zasad bezpieczeństwa informacji przy
korzystaniu z usług podmiotów zewnętrznych
§1
Cel instrukcji
Celem niniejszego dokumentu jest określenie zasad postępowania w przypadku korzystania z usług
podmiotów zewnętrznych, zwanych dalej kontrahentami, łączących się z dostępem do zasobów
informacyjnych, aby zapewnić ochronę aktywów udostępnianych usługodawcom.
§2
Zasady ogólne
1. Bezpieczeństwo zasobów ludzkich
Pracownicy kontrahentów, których usługi wiążą się z dostępem do zasobów informacyjnych traktowani
są w zakresie weryfikacji bezpieczeństwa zasobów ludzkich tak jak pracownicy, zarówno przed
zatrudnieniem, w trakcie, jak i przy zakończeniu zatrudnienia.
W przypadku, gdy usługa związana jest z bezpieczeństwem informacji trzeba sprawdzić czy pracownicy
kontrahentów:
a) posiadają uprawnienia niezbędne do pełnienia roli związanej z bezpieczeństwem;
b) sprostają powierzonej mu roli, zwłaszcza, gdy jest ona kluczowa dla organizacji.
Trzeba zapewnić, aby pracownicy kontrahentów akceptowali zasady i warunki związane z
bezpieczeństwem informacji, odpowiednio do rodzaju i zakresu przyznanego im dostępu do aktywów
powiązanych z systemami informacyjnymi i usługami.
W uzasadnionych przypadkach odpowiedzialność zawarta w zasadach i warunkach realizowanych
usług może rozciągać się na określony czas po ustaniu stosunku pracy.
Pracownicy kontrahentów są szkoleni w zakresie bezpieczeństwa informacji. Szkolenia te mogą być
realizowane w różny sposób: tradycyjnie, zdalnie, przez sieć (webowy), samodzielnie i w inny sposób.
Odpowiedzialność i obowiązki, które pozostają w mocy po ustaniu usługi są zawarte w warunkach
umowy.
Proces zakończenia usługi określają zapisy umowy z usługodawcą.
2.
Bezpieczeństwo fizyczne
Pracownicy kontrahentów posiadający dostęp do aktywów są uświadamiani w kwestii wymagań
bezpieczeństwa informacji dotyczących aktywów związanych z informacją, środkami przetwarzania
informacji oraz jej zasobami.
W momencie zakończenia umowy pracownicy kontrahentów zwracają wszystkie posiadane aktywa
organizacji.
W umowach zawartych z kontrahentami wprowadza się zapisy dotyczące wymagań bezpieczeństwa
informacji celem zmniejszenia ryzyk związanych z dostępem dostawcy do aktywów organizacji.
Usługi są monitorowane pod kątem zapewnienia przestrzegania warunków bezpieczeństwa informacji,
warunków umów oraz właściwego zarządzane incydentami związanymi z bezpieczeństwem informacji
i problemami.
str. 1
Wersja 2.00
Przygotował : OFABI Grażyna Kawczyńska & Jacek Kędzierski sc 83-210 Zblewo, Suche Bagno 17
Załącznik numer 17
§2
Zasady stosowane przy realizacji usług administratora
bezpieczeństwa informacji
1.
Dostęp administratora bezpieczeństwa informacji do systemu
informatycznego
1.1. ABI ma nadany unikalny identyfikator oraz hasło.
1.2. AD nadaje ABI dostęp do systemu informatycznego w zakresie niezbędnym do realizacji umowy.
1.3. Po zakończeniu umowy blokowany jest dostęp ABI do systemu SI.
2. Przeprowadzanie sprawdzeń
2.1. Sprawdzenia są przeprowadzane w trybie:
2.1.1. sprawdzenia planowego – według planu sprawdzeń,
2.1.2. sprawdzenia doraźnego – w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji
powzięcia przez ABI wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego
podejrzenia wystąpienia takiego naruszenia,
2.1.3. art. 19b ust. 1 UODO – w przypadku zwrócenia się o dokonanie sprawdzenia przez
Generalnego Inspektora Ochrony Danych Osobowych.
2.2. ABI przygotowuje plan sprawdzeń zgodności przetwarzania danych osobowych z przepisami o
ochronie danych osobowych zgodnie z art. 36a ust. 2 UODO.
2.3. Plan sprawdzeń określa przedmiot, zakres oraz termin przeprowadzania poszczególnych
sprawdzeń oraz sposób i zakres ich dokumentowania.
2.4. ABI w planie sprawdzeń uwzględnia, w szczególności, zbiory danych osobowych i systemy
informatyczne służące do przetwarzania danych osobowych oraz konieczność weryfikacji
zgodności przetwarzania danych osobowych:
2.4.1. z zasadami, o których mowa w art. 23-27 i art. 31-35 UODO,
2.4.2. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 3739 UODO oraz przepisach wydanych na podstawie art. 39a UODO,
2.4.3. z zasadami przekazywania danych osobowych, o których mowa w art. 47-48 UODO,
2.4.4. z obowiązkiem zgłoszenia zbioru danych do rejestracji i jego aktualizacji, jeżeli zbiór zawiera
dane, o których mowa w art. 27 ust. 1 UODO.
2.5. Po zakończonym sprawdzeniu ABI przekazuje administratorowi danych sprawozdanie.
3.
Zgłaszanie zbiorów do rejestracji
3.1. Komórki merytoryczne zgłaszają do rejestru, prowadzonego przez ABI, zbiory danych osobowych.
3.2. ABI zgłasza do Generalnego Inspektora Ochrony Danych Osobowych zbiory danych osobowych
wskazane w art. 27 ust. 1 UODO, które nie podlegają zwolnieniu z rejestracji na podstawie art. 43
ust. 1 UODO, w formie elektronicznej podpisując posiadanym zaufanym profilem lub podpisem
kwalifikowanym.
str. 2
Wersja 2.00
Przygotował : OFABI Grażyna Kawczyńska & Jacek Kędzierski sc 83-210 Zblewo, Suche Bagno 17
Download