Załącznik Nr 1 - Biuletyn Informacji Publicznej Urzędu Miasta

advertisement
Załącznik Nr 1
Zarządzenia Nr 3343/06
Prezydenta Miasta Częstochowy
z dnia 27 października 2006 r.
Instrukcja zarządzania systemem informatycznym Urzędu Miasta
Częstochowy z uwzględnieniem przepisów Ustawy o ochronie
danych osobowych
Część I – Postanowienia ogólne *
I.1 Terminologia (słowniczek)
I.2 Przepisy ogólne *
I.3 Przepisy szczegółowe dotyczące przetwarzania danych komunikacja wewnętrzna i zewnętrzna *
I.3.1 Udostępnienie danych
Część II - Przedmiot zabezpieczenia *
II.1 Kartoteki, skorowidze, księgi, wykazy, wydruki i inne dokumenty
w postaci papierowej *
II.2 Komputerowe bazy danych *
Część III - Sposób zabezpieczenia *
III.1 Zabezpieczenia stałe *
III.2 Zabezpieczenia okresowe *
III.2.1 Procedury rozpoczęcia i zakończenia pracy *
III.2.2 Okresowa zmiana haseł *
III.2.3 Archiwizacja *
III.2.4 Kontrola antywirusowa *
III.2.5 Kontrola sprzętu komputerowego *
III.2.6 Kontrola nośników archiwizacyjnych *
Część I – Postanowienia ogólne
I.1 Terminologia (słowniczek):
Ilekroć w niniejszej instrukcji i dokumentach pokrewnych jest mowa o:
1. Urzędzie – rozumie się przez to Urząd Miasta Częstochowy;
2. ABI – rozumie się przez to Administratora Bezpieczeństwa
Informacji;
3. AD UMC – rozumie się przez to Administratora Danych Urzędu
Miasta Częstochowy;
4. Zbiorze danych - rozumie się przez to każdy posiadający strukturę
zestaw danych o charakterze osobowym, dostępnych według
określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie;
5. Przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje
wykonywane na danych osobowych, takie jak: zbieranie,
utrwalanie,
przechowywanie,
opracowywanie,
zmienianie,
Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r.
Strona 1 z 7
6.
7.
8.
9.
udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w
systemach informatycznych;
Systemie informatycznym - rozumie się przez to zespół
współpracujących ze sobą urządzeń, programów, procedur
przetwarzania informacji i narzędzi programowych zastosowanych
w celu przetwarzania danych;
Zabezpieczeniu danych w systemie informatycznym - rozumie się
przez to wdrożenie i eksploatację stosownych środków technicznych
i organizacyjnych zapewniających ochronę danych przed ich
nieuprawnionym przetwarzaniem;
Pracowniku merytorycznym – rozumie się przez to pracownika
wydziału zajmującego się daną sprawą;
Formie pisemnej - rozumie się przez to formę dokumentu
papierowego opatrzoną własnoręcznym podpisem lub formę
dokumentu
elektronicznego
z
podpisem
elektronicznym
umożliwiającym jednoznaczną identyfikację osoby wnioskującej.
I.2 Przepisy ogólne
1. Administratorem Danych Urzędu Miasta Częstochowy jest Prezydent
Miasta Częstochowy.
2. Administratorem Bezpieczeństwa Informacji jest osoba wyznaczona
imiennie przez Prezydenta Miasta Częstochowy.
3. Obowiązki
wynikające
z
niniejszej
instrukcji
administrator
bezpieczeństwa informacji wykonuje osobiście.
4. Niniejsza instrukcja opiera się na następujących dokumentach:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, zm. Dz. U.
2002 r. Nr 153 poz. 1271, Dz. U. 2004 r. Nr 25 poz. 219, Dz. U.
2004 r. Nr 33 poz. 285),
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych
osobowych
oraz
warunków
technicznych
i organizacyjnych,
jakim
powinny
odpowiadać
urządzenia
i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. 2004 r. Nr 100 poz. 1024),
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego
upoważnienia
i
legitymacji
służbowej
inspektora
Biura
Generalnego Inspektora Ochrony Danych Osobowych (Dz. U.
2004 r. Nr 94 poz. 923).
5. Instrukcja niniejsza obejmuje obszar Urzędu.
6. Dokumentami pokrewnymi Instrukcji zarządzania systemem
informatycznym Urzędu Miasta Częstochowy są:
- Ewidencja pracowników Urzędu Miasta Częstochowy, zawierająca
imiona, nazwiska i identyfikatory cyfrowe,
- Ewidencja użytkowników systemu komputerowego Urzędu Miasta
Częstochowy, zawierająca imiona, nazwiska i identyfikatory
cyfrowe,
Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r.
Strona 2 z 7
- Przydział haseł dla użytkowników systemu komputerowego
Urzędu Miasta Częstochowy,
- Instrukcja
zabezpieczenia
archiwalnego
danych
systemu
komputerowego Urzędu Miasta Częstochowy.
- Instrukcja postępowania w sytuacji naruszenia ochrony danych
osobowych Urzędu Miasta Częstochowy
7. Elementarnym
obowiązkiem
administratora
bezpieczeństwa
informacji jest aktualizacja ewidencji pracowników, ewidencji
użytkowników systemu komputerowego oraz obu instrukcji. Dzięki
temu instrukcje te zawierają zawsze aktualny, pełny opis stanu
rzeczy.
8. Innym pokrewnym dokumentem określającym zakres i sposób
ochrony danych księgowych jest Instrukcja w sprawie obiegu
i kontroli dokumentów księgowych w Wydziałach oraz równoległych
komórkach organizacyjnych Urzędu Miasta Częstochowy.
9. Instrukcja niniejsza zamieszczona jest w intranecie.
10. Rada Miasta może podjąć decyzję o opłacie administracyjnej od
udzielanych informacji. Opłata taka może być pobierana od
wszystkich podmiotów, które nie są ustawowo zwolnione od tej
opłaty.
11. Pośrednio każdy pracownik Urzędu ma dostęp do wszystkich
danych z wyłączeniem tajnych i poufnych. Dopuszczalne jest
przetwarzanie tych danych na terenie administratora danych przez
wszystkich pracowników.
12. Wszyscy pracownicy Urzędu w momencie nawiązania stosunku
pracy mają obowiązek podpisać zobowiązanie do przestrzegania
tajemnicy służbowej oraz zapoznać się z przepisami ustawy
o ochronie danych osobowych.
I.3 Przepisy szczegółowe dotyczące przetwarzania danych komunikacja wewnętrzna i zewnętrzna
1. Administrator Bezpieczeństwa Informacji przedstawia raz w roku
projekt wydatków na następny okres budżetowy związanych
z poprawą ochrony danych osobowych.
2. ABI winien być bezwzględnie informowany przez Referat Kadr
o przyjęciu i zwolnieniu pracownika drogą poczty elektronicznej. ABI
winien posiadać wgląd w bazę danych programu kadrowo-płacowego
z aktualnym stanem zatrudnienia w Urzędzie. Jest to niezbędne dla
bezzwłocznego nadania bądź odebrania uprawnień danej osobie,
w szczególności uprawnień dostępu do zbiorów danych osobowych.
3. Pracownicy Urzędu zobowiązani są do dbałości o bezpieczeństwo
danych do których posiadają dostęp. Przyjęcie do wiadomości
obowiązku ochrony danych polega na podpisaniu tzw. „polityki
bezpieczeństwa” zamieszczonej w intranecie.
4. Dane w dowolnej postaci docierają do Urzędu, jeżeli:
Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r.
Strona 3 z 7
regulują to przepisy i ustawy szczegółowe (USC, Ewidencja
Kierowców,
Ewidencja
Pojazdów,
Ewidencja
Działalności
Gospodarczej, Ewidencja Ludności, etc.),
- jest to inna poczta przychodząca na zasadach ogólnych.
5. Na obszarze Urzędu dane mogą przepływać swobodnie przy
spełnieniu warunku, że przepływ ten jest ograniczony do danych
niezbędnych odbiorcy do wypełnienia nałożonych na niego
obowiązków.
6. Przy przekazywaniu danych wewnątrz Urzędu nie pobiera się opłat
administracyjnych.
-
I.3.1 Udostępnienie danych.
1. Udostępnia się gminnym jednostkom organizacyjnym informacje
z bazy danych niezbędnych do wykonywania pracy w zakresie ich
kompetencji (Ewidencja Ludności, Ewidencja Pojazdów, etc.).
Z drugiej strony dostęp ten musi być maksymalnie zawężony jedynie
do niezbędnych informacji, jak określono w pkt. I.3 ppkt. 5.
2. Dopuszczalne jest zawarcie porozumienia stron pomiędzy Urzędem
a drugą stroną (np. Urzędem Statystycznym, Urzędem Skarbowym,
Policją) celem dwustronnej nieodpłatnej wymiany informacji w celu
aktualizacji danych.
3. Dopuszczalne jest zawarcie umowy na piśmie pomiędzy Urzędem
a Policją o udzielaniu informacji przez telefon po identyfikacji przez
podanie hasła. Hasło takie wchodzi wtedy w system zabezpieczeń
stałych i podlega okresowej wymianie zgodnie z niniejszą instrukcją.
4. Porozumienie lub umowę, o których mowa wyżej można zawrzeć
tylko wtedy, gdy druga strona świadomie realizuje przepisy
dotyczące ochrony danych osobowych.
5. Porozumienia, umowy oraz podjęte uchwały, o których mowa
w punktach 3, 4 i 6 winny znajdować się w centralnym rejestrze
umów. ABI powinien mieć dostęp do rejestru w ww. zakresie.
6. Dane w postaci wydruków, skorowidzów, zestawień oraz w postaci
elektronicznej (cyfrowej) mogą być udostępnione również innym
podmiotom jeżeli:
1) zostanie złożony Wniosek o udostępnienie danych osobowych
stanowiący załącznik do niniejszej instrukcji (wg art. 29 ust. 3
ustawy o ochronie danych osobowych) zawierający niezbędny zakres
informacji (wnioskodawca, podstawa prawna wniosku, zakres
danych jaki go interesuje, w jakim celu ubiega się o te dane
i wreszcie, co stanie się z tymi danymi w przyszłości).
a) wnioskodawcy mogą pobrać ww. formularz w Biurze Obsługi
Interesanta Urzędu Miasta Częstochowy, z Poradnika
Interesanta zamieszczonego na stronie internetowej Urzędu
Miasta
Częstochowy
(http://www.czestochowa.pl)
lub
ze strony
BIP
Gminy
Miasta
Częstochowa
( http://czestochowa.bip-gov.pl )
Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r.
Strona 4 z 7
b) wnioski należy składać w Kancelarii Urzędu Miasta
Częstochowy w godzinach pracy Urzędu lub przesyłać pocztą
elektroniczną
na
główny
adres
e-mailowy
Urzędu:
[email protected].
c) wniosek zostanie przyjęty przez AD i następnie przekazany
ABI,
a
po
akceptacji
zadekretowany
pracownikowi
merytorycznemu odpowiedzialnemu za odpowiedni zakres
danych
2) Regulują to przepisy szczególne.
7. ABI może sprawdzić, czy wniosek wymieniony w pkt. 6 ppkt. 1)
został poprawnie wypełniony.
8. Pracownik merytoryczny stwierdza prawo strony wnioskującej
do pozyskania informacji i jeżeli prawo takie stwierdzi, potwierdza
ten fakt podpisem.
Przypadki budzące wątpliwości rozstrzyga radca prawny i jego podpis
winien w takim wypadku znaleźć się jako drugi podpis pod przyjętym
wnioskiem.
Część II - Przedmiot zabezpieczenia
II.1 Kartoteki, skorowidze, księgi, wykazy, wydruki i inne
dokumenty.
Szczegółowy wykaz pracowników znajduje się w dokumencie pokrewnym
do niniejszej instrukcji znajdującym się w intranecie pod nazwą Ewidencja
pracowników Urzędu Miasta Częstochowy.
Ewidencja ta powinna zawierać następujące informacje:
- budynek,
- numer pomieszczenia,
- piętro,
- nazwę wydziału (komórki równoległej),
- stanowisko pracownika,
- imię i nazwisko pracownika,
- identyfikator pracownika.
II.2 Komputerowe bazy danych
System komputerowy Urzędu Miasta Częstochowy tworzą:
- sieci komputerowe stanowiące zintegrowane osobne systemy
działające w znacznym stopniu niezależnie od siebie,
- pojedyncze komputery pracujące w trybie pracy lokalnej (nie
sieciowej),
- serwery plikowe i bazodanowe.
Ewidencję użytkowników logicznych zawiera dokument pokrewny do
niniejszej instrukcji znajdujący się w intranecie pod nazwą Ewidencja
użytkowników systemu komputerowego Urzędu Miasta Częstochowy.
Ewidencja ta jest baza danych, do której dostęp mają wyłącznie: AD, ABI,
Dyrektor Urzędu oraz Informatyk Miejski. Zawiera ona następujące
informacje:
Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r.
Strona 5 z 7
-
identyfikator pracownika,
nazwę użytkownika logicznego (lub użytkowników logicznych, jeżeli
system wymaga wielologowania, np. i w sieci i w programie),
budynek,
numer pomieszczenia,
piętro,
nazwę wydziału (komórki równoległej),
stanowisko pracownika,
imię i nazwisko pracownika,
na jakim komputerze/terminalu pracuje,
do jakich baz danych ma dostęp w trybie pracy lokalnej,
do jakich baz danych ma dostęp w trybie pracy sieciowej,
na jakim poziomie uprawnień posiada ten dostęp.
Część III - Sposób zabezpieczenia
III.1 Zabezpieczenia stałe
Zabezpieczenia stałe obejmują:
- system bezprzerwowych zasilaczy UPS (centralnych i lokalnych),
- maksymalne zawężenie systemu uprawnień w ramach systemu
komputerowego,
- bezpieczne pomieszczenia serwerowni zabezpieczone kontrolą
dostępu i alarmem,
- drzwi,
- szafy,
- zamki,
- wzmocnienia,
- kraty,
- balustrady,
- alarmy,
- sejfy,
- szafy metalowe,
- inne zabezpieczenia nie zmieniające się w czasie.
III.2 Zabezpieczenia okresowe
Zabezpieczenia okresowe dotyczą baz informatycznych i obejmują:
- procedury rozpoczęcia i zakończenia pracy
- okresową zmianę haseł
- archiwizację
- stałą kontrolę antywirusową
- kontrolę sprzętu komputerowego
- kontrolę nośników archiwizacyjnych.
III.2.1 Procedury rozpoczęcia i zakończenia pracy
W przypadku komputerów wolnostojących, o rozpoczęciu i zakończeniu
pracy decydują sami użytkownicy sprzętu komputerowego.
Serwery sieciowe włączają i wyłączają jedynie administratorzy systemu
informatycznego (sieci komputerowej) lub osoby przez nich upoważnione.
Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r.
Strona 6 z 7
Użytkownicy komputerów/terminali pracujących w sieci
samodzielnie o rozpoczęciu i zakończeniu pracy sieciowej.
decydują
III.2.2 Okresowa zmiana haseł
System haseł opisany jest w załączniku Przydział haseł dla użytkowników
systemu komputerowego Urzędu Miasta Częstochowy.
Administrator
bezpieczeństwa
informacji
zobowiązany
jest
do
egzekwowania co najmniej raz na miesiąc zmiany haseł w systemie
komputerowym.
Egzekwowanie
winno
być
powodowane
przez
odpowiednie ustawienia systemu zabezpieczenia sieci.
III.2.3 Archiwizacja
Bazy danych powinny podlegać okresowej archiwizacji.
Procedura archiwizacji danych opisana jest w załączniku nr 3 pod nazwą
Instrukcja zabezpieczenia archiwalnego danych systemu komputerowego
Urzędu Miasta Częstochowy.
Kopie archiwizacyjne powinny być przechowywane w pomieszczeniu
pancernym wysoce odpornym na ogień i na zmiany pola magnetycznego,
i co najważniejsze – oddalonym od samych serwerów.
Nie przewiduje się centralnie sterowanej archiwizacji zawartości dysków
lokalnych. Za ochronę danych na dyskach lokalnych odpowiedzialny jest
pracownik pracujący na danym stanowisku pracy – zgodnie z podpisanym
oświadczeniem. Dane o istotnym znaczeniu przechowywane są na dyskach
sieciowych.
III.2.4 Okresowa kontrola antywirusowa
Administrator bezpieczeństwa informacji zobowiązany jest dopilnować, by
przynajmniej raz w miesiącu, dokonana została kontrola zawartości
dysków sieciowych przy pomocy programu antywirusowego.
Kontrola antywirusowa dokonywana jest w momencie uruchamiania
każdego komputera. Urząd wykupuje rokrocznie abonament wiodących
programów antywirusowych – uaktualnianie odbywa się systematycznie.
Zabrania się używania dyskietek i jakichkolwiek nośników niepoddanych
kontroli antywirusowej.
III.2.5 Kontrola sprzętu komputerowego
Kontrola sprzętu komputerowego dokonywana jest zgodnie z procedurą
przeglądu raz na trzy lata – prowadzony jest rejestr przeglądu obejmujący
daty przeglądu konkretnych urządzeń, a oprócz tego każda instalacja
oprogramowania obejmuje standardowy przegląd techniczny. Na sprzęcie
w widocznym miejscu umieszczone są nalepki informujące o dacie
kolejnego obowiązkowego przeglądu.
III.2.6 Kontrola nośników archiwizacyjnych
Raz na rok administratorzy odpowiednich systemów informatycznych mają
obowiązek skontrolować stan nośników archiwizacyjnych. W przypadku
stwierdzenia ich uszkodzenia nie należy ich dłużej używać i należy zastąpić
je nośnikami w pełni sprawnymi.
Załącznik Nr 1 Zarządzenia Nr 3343/06 Prezydenta Miasta Częstochowy z dnia 27 października 2006 r.
Strona 7 z 7
Download