ZARZĄDZENIE Nr 981/V/2009 Burmistrza Gminy Chojna z dnia 30 listopada 2009r. w sprawie ustalenia i wdrożenia polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Chojnie.
ZARZĄDZENIE Nr 981/V/2009
Burmistrza Gminy Chojna
z dnia 30 listopada 2009r.
w sprawie ustalenia i wdrożenia polityki bezpieczeństwa przetwarzania danych
osobowych w Urzędzie Miejskim w Chojnie.
Na podstawie art. 31 oraz art. 33 ust. 3 z związku z art. 11a ust. 1 pkt 2 ustawy
z dnia 8 marca 1990r. o samorządzie gminnym ( Dz. U. z 2001r. Nr 142, poz. 1591
z późniejszymi zmianami), art. 39a ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późniejszymi zmianami) oraz § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024) zarządzam,
co następuje:
§ 1 Wprowadzam się do użytku służbowego „ Politykę bezpieczeństwa przetwarzania
danych osobowych w Urzędzie Miejskim w Chojnie” w brzmieniu stanowiącym
załącznik Nr 1 do niniejszego zarządzenia.
§ 2 Zobowiązuję wszystkich pracowników upoważnionych do przetwarzania danych do
przestrzegania polityki bezpieczeństwa w Urzędzie Miejskim w Chojnie oraz
postanowień ustawy o ochronie danych osobowych i przepisów wykonawczych
wydanych na jej podstawie.
§ 3 Zarządzenie wchodzi w życie z dniem podpisania.
__________________________________________________________________
CHOJNA - 2009
URZĄD MIEJSKI W CHOJNIE ZałaZa
Załącznik Nr 1
do zarządzenia Nr 981/V/2009
Burmistrza Gminy Chojna
z dnia 30 listopada 2009r.
Polityka bezpieczeństwa
przetwarzania danych osobowych
§ 1.
Podstawa prawna
- Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2002r. Nr 101, poz. 926 z późniejszymi zmianami)
- Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
§ 2.
Postanowienia ogólne
1. Ilekroć mowa w niniejszym dokumencie o Polityce, należy przez to rozumieć „Politykę bezpieczeństwa Urzędu Miejskiego w Chojnie”.
2. Ilekroć mowa w niniejszym dokumencie o Urzędzie należy przez to rozumieć Urząd Miejski w Chojnie.
3. Ilekroć mowa w niniejszym dokumencie o Burmistrzu należy przez to rozumieć Burmistrza Gminy Chojna.
§ 3.
Administratorem danych osobowych zawartych i przetwarzanych w systemach informatycznych Urzędu jest Burmistrz.
§ 4.
Administrator danych osobowych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych w systemach informatycznych Urzędu. W celu zrealizowania tych obowiązków administrator danych wprowadza Politykę bezpieczeństwa jako dokument obowiązujący w Urzędzie.
§ 5.
Wykaz zbiorów danych osobowych i pomieszczeń, w których są przetwarzane
A. Zbiory wymienione w poniższej tabeli znajdują się w budynku Urzędu Miejskiego
w Chojnie, ul. Jagiellońska 4, 74-500 Chojna.
Lp.
|
Zbiór danych |
Postać |
Nazwa oprogramowania (producent) |
Nr pokoju |
1 |
Ewidencja Dochodów Nieprzypisanych |
elektroniczna papierowa |
Zakład Systemów Informatycznych „SIGID” w Poznaniu |
19 SERWEROWNIA |
2 |
Ewidencja Działalności Gospodarczej |
elektroniczna papierowa |
||
3 |
Ewidencja Opłat Za Wieczyste Użytkowanie |
elektroniczna papierowa |
||
4 |
Ewidencja Środków Trwałych i Wyposażenie |
elektroniczna papierowa |
||
5 |
Ewidencja Opłat Dzierżawnych |
elektroniczna papierowa |
||
6 |
Ewidencja i Rozliczanie Podatku VAT |
elektroniczna papierowa |
||
7 |
Ewidencja i Drukowanie Faktur |
elektroniczna papierowa |
||
8 |
Programy Obsługi Fiskalnej |
elektroniczna
|
||
9 |
Programy Obsługi Kasy |
elektroniczna
|
||
10 |
Księgowość Budżetowa Jednostki i Zarządu |
elektroniczna papierowa |
||
11 |
Podatek Od Nieruchomości Dla Osób Fizycznych |
elektroniczna papierowa |
||
12 |
Podatek Od Nieruchomości Dla Osób Prawnych |
elektroniczna papierowa |
||
13 |
Ewidencja i Rozliczanie Innych Opłat |
elektroniczna papierowa |
||
14 |
Kadry i Płace Urzędu i Oświaty |
elektroniczna papierowa |
||
15 |
Podatek Od Środków Transportowych |
elektroniczna papierowa |
||
16 |
Ewidencja i Drukowanie Poleceń Przelewów |
elektroniczna papierowa |
||
17 |
Podatek Rolny /Leśny/ Dla Osób Fizycznych |
elektroniczna papierowa |
||
18 |
Podatek Rolny /Leśny/ Dla Osób Prawnych |
elektroniczna papierowa |
||
19. |
Rejestr Mandatów Karnych |
elektroniczna papierowa |
||
20. |
Rejestr gruntów i budynków |
elektroniczna |
|
|
21. |
Rejestr posiadaczy psów-wersja archiwalna |
elektroniczna papierowa |
|
|
19 |
Ewidencja ludności i rejestr wyborców |
elektroniczna papierowa |
CLANET Ewidencja Ludności i Rejestr Wyborców |
|
20. |
PŁATNIK |
elektroniczna papierowa |
ASSECO POLAND S.A |
|
21. |
Rejestr poborowych i przedpoborowych |
papierowa |
|
20
|
22. |
Rejestr decyzji i wezwań do wykonywania świadczeń na rzecz obronności kraju |
papierowa |
|
|
23. |
Rejestr osób przeznaczonych do służby w obronie cywilnej |
papierowa |
|
|
24. |
Rejestr osób ubiegających się o najem komunalnego lokalu mieszkalnego lub socjalnego |
elektroniczna |
|
15 |
B. Zbiory wymienione w poniższej tabeli znajdują się w budynku Urzędu Miejskiego
w Chojnie, ul. Jagiellońska 2, 74-500 Chojna.
Lp.
|
Zbiór danych |
Postać |
Nazwa oprogramowania (producent) |
Nr pokoju |
1 |
Rejestry aktów stanu cywilnego |
elektroniczna papierowa |
PB_USC (PTH TECHNIKA Sp. z o.o.) |
USC |
2 |
Baza osób składających wnioski w sprawie wydania dowodów osobistych |
elektroniczna papierowa |
System Wydawania Dowodów Osobistych (WASKO S. A.) |
1 |
§ 6.
Zagadnienia organizacyjne
1. Burmistrz wyznacza Administratora bezpieczeństwa informacji, Administratora systemu informatycznego oraz osobę upoważnioną do zastępowania Administratora bezpieczeństwa informacji.
W związku z faktem, iż w części zadania Administratora bezpieczeństwa informacji i Administratora systemu informatycznego pokrywają się dopuszcza się możliwość wyznaczenia na te stanowiska jednej osoby.
2. Do Burmistrza należy zapewnienie odpowiednich pomieszczeń, stosownie zabezpieczonych i wyposażonych do przetwarzania i przechowywania danych osobowych, zaznajomienie pracowników z prawnymi oraz pracowniczymi konsekwencjami naruszenia bezpieczeństwa danych osobowych.
3. Pracownicy upoważnieni do przetwarzania danych osobowych w systemie informatycznym jak i ręcznym, zobowiązani są do zapoznania się i przestrzegania Polityki.
4. Osoba przetwarzająca dane osobowe składa oświadczenie o zapoznaniu się
z przepisami i odpowiedzialności karnej za naruszenie ochrony danych osobowych oraz zachowaniu tajemnicy, którego wzór stanowi załącznik nr 1 do Polityki.
5. Fakt zapoznania się z Polityką pracownik potwierdza własnoręcznym podpisem
na stosownym wykazie, którego wzór stanowi załącznik nr 2 do Polityki.
6. Pracownikom wolno przebywać na terenie Urzędu tylko w godzinach ich pracy,
a po godzinach pracy i w dni wolne od pracy po uzyskaniu zezwolenia Burmistrza.
7. Korzystanie z systemu informatycznego służącego do przetwarzania danych
osobowych może odbywać się tylko w godzinach pracy Urzędu, a po godzinach
pracy - po uzyskaniu zezwolenia Burmistrza.
§ 7.
Sposób przepływu danych
1. Stacje robocze w Urzędzie połączone są w sieć logiczną za pośrednictwem sieci Ethernet.
2. W budynku Urzędu występują dwie podsieci, z czego tylko jedna (z dostępem tylko dla pracowników Urzędu) posiada dopuszczenie do serwera, na którym położone
są bazy zawierające dane osobowe.
3. W systemie informatycznym Urzędu występuje trzy serwery. Serwery znajdują się w pokoju nr 19. Scentralizowanie położenia pozwala na lepszą administrację, zabezpieczenie i kontrolę nad tworzeniem kopii zapasowych.
4. Możliwe przepływy danych między oprogramowaniem przetwarzającym bazy danych zawierające dane osobowe:
1) Ewidencja Ludności –CLANET,
2) Programy Ewidencyjno Podatkowe –SIGID.
§ 8.
Zabezpieczenia fizyczne
1. Wejścia do budynku Urzędu zabezpieczone są podwójnie zamkami drzwiowymi.
2. Poszczególne pokoje, w których odbywa się przetwarzanie danych i ich składowanie wyposażone są w niezależne zamki i muszą być zamykane podczas nieobecności pracownika. Po zakończeniu pracy osoba zamykająca pomieszczenie klucz powinna umieścić go w specjalnie przeznaczonej gablotce (pokój Nr 16).
3. Stanowiska komputerowe w pomieszczeniach gdzie mogą przebywać osoby nieupoważnione do przetwarzania danych osobowych (np. interesanci albo inni pracownicy Urzędu) winny być umieszczone w sposób, który uniemożliwi takim osobom wgląd do tych danych. W pokoju, do którego dostęp mają petenci monitory komputerowe ustawione są w ten sposób, by petenci nie widzieli zapisów na ekranie.
4. W przypadku dłuższej bezczynności uruchamiane są tzw. wygaszacze ekranu lub blokowanie systemu, których dezaktywacja jest możliwa po podaniu prawidłowego hasła użytkownika.
5. Wydruki zawierające dane osobowe powinny znajdować się w miejscu, które uniemożliwia dostęp osobom postronnym.
6. Kopie bezpieczeństwa (kopie zapasowe) wykonywane są przez Administratora Systemu Informatycznego. Kopie bezpieczeństwa przechowywane są w szafie metalowej pok. nr 19. Dostęp do nośników zawierających kopie danych mają tylko uprawnione osoby.
7. Wydruk z ważnym hasłem należy przechowywać tak by uniemożliwić dostęp do niego osobom postronnym (innym niż sam użytkownik, przełożeni i Administrator).
§ 9.
Zabezpieczenia niefizyczne
1. Zalogowanie się do systemu wymaga podania nazwy użytkownika i hasła. Każdy użytkownik ma przypisane uprawnienia do wykonywania operacji. Nieudane próby logowania są rejestrowane
2. Dostęp do systemu stacji roboczych chroniony jest hasłem.
3. Oprogramowanie wykorzystywane do przetwarzania danych posiada własny (dodatkowy, oprócz systemowego) system autoryzacji użytkownika.
4. W celu ochrony przed dostępem do danych komputera z sieci publicznej wykorzystuje się programową i sprzętową zaporę ogniową (ang. firewall).
5. Zgodnie z przyjętym harmonogramem wykonuje się kopie bezpieczeństwa.
§ 10.
Monitorowanie zabezpieczeń
1. Do monitorowania systemu zabezpieczeń, stosownie do swojego zakresu czynności
zobligowani są:
1) Administrator danych
2) Administrator bezpieczeństwa informacji
3) Administrator systemu informatycznego
2. W ramach monitoringu należy przeprowadzać następujące działania:
1) okresowe sprawdzanie kopii bezpieczeństwa pod względem przydatności do odtworzenia danych,
2) sprawdzania częstotliwości zmian haseł.
3. Administrator bezpieczeństwa informacji sporządza roczne plany kontroli zatwierdzone przez Administratora danych i zgodnie z nimi przeprowadza kontrole oraz dokonuje kwartalnych ocen stanu bezpieczeństwa danych osobowych.
4. Na podstawie zgromadzonych materiałów, o których mowa w ust. 3. Administrator bezpieczeństwa informacji sporządza roczne sprawozdanie i przedstawia Administratorowi danych.
§ 11.
Obowiązki Administratora danych
- Do obowiązków Administratora danych należy w szczególności:
1) zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym,
2) zapobieganie zabraniu danych przez osobę nieuprawnioną,
3) zapobieganie przetwarzaniu danych z naruszeniem ustawy oraz zmianie, utracie, uszkodzeniu lub zniszczeniu tych danych,
4) zbierane danych dla oznaczonych, zgodnych z prawem celów,
5) dbałość o merytoryczną poprawność danych i adekwatność w stosunku do celów
w jakich są przetwarzane,
6) opracowanie instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, przeznaczoną dla osób zatrudnionych przy przetwarzaniu tych danych,
7) określa budynków, pomieszczeń lub części pomieszczeń, tworzące obszar,
w którym przetwarzane są dane osobowe z użyciem stacjonarnego sprzętu komputerowego,
8) opracowanie instrukcji, określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji,
9) prowadzenie ewidencji osób uprawnionych do przetwarzania danych osobowych,
10) organizowanie szkoleń mających na celu zaznajomienie każdej osoby przetwarzającej dane osobowe z przepisami dotyczącymi ich ochrony.
2. Administrator danych odpowiada za to by zakres czynności osoby zatrudnionej
przy przetwarzania danych osobowych określał odpowiedzialność tej osoby za:
1) ochronę danych przed niepowołanym dostępem,
2) nieuzasadnioną modyfikację lub zniszczenie danych,
3) nielegalne ujawnienie danych,
w stopniu odpowiednim do zadań realizowanych w procesie przetwarzania danych osobowych.
3. Zgłasza zbiory danych osobowych do rejestracji Generalnemu Inspektorowi
Ochrony Danych Osobowych.
§ 12.
Obowiązki Administratora bezpieczeństwa informacji
Do obowiązków Administratora bezpieczeństwa informacji należy w szczególności:
1) nadzór na przestrzeganiem instrukcji określającej sposób zarządzania systemem informatycznym,
2) przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane dane osobowe,
3) podejmowanie odpowiednich działań w celu właściwego zabezpieczenia danych,
4) badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych,
5) podejmowanie decyzji o instalowaniu nowych urządzeń oraz oprogramowania wykorzystywanego do przetwarzania danych osobowych,
6) nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych zawierających dane osobowe,
7) przeprowadzanie symulowanych włamań do systemu w celu ustalenia aktualnego poziomu zabezpieczeń,
8) nadzór nad wykonywaniem kopii zapasowych i przechowywaniem,
9) wdrożenie szkoleń z zakresu przepisów dotyczących ochrony danych osobowych środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych,
10) sporządzanie planów kontroli zatwierdzanych przez Administratora danych przeprowadzanie zgodnie z nimi kontroli,
11) sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego.
§ 13.
Obowiązki Administratora systemu informatycznego
Do obowiązków Administratora systemu informatycznego należy w szczególności:
1) naprawa, konserwacja oraz likwidacja urządzeń komputerowych zawierających dane osobowe,
2) definiowanie użytkowników i haseł dostępu w systemie,
3) aktualizowanie oprogramowania systemowego, chyba że aktualizacje wykonywane są automatycznie,
4) aktualizowanie oprogramowania antywirusowego, chyba że aktualizacje wykonywane są automatycznie,
5) sporządzanie i okresowe sprawdzanie kopii zapasowych pod kątem ich dalszej przydatności.
§ 14.
Postępowanie w przypadku naruszenia ochrony danych osobowych
1. Każdy pracownik Urzędu, który poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informację o mogącą mieć wpływ na bezpieczeństwo danych osobowych jest zobowiązany fakt ten niezwłocznie zgłosić Administratorowi bezpieczeństwa informacji.
2. W razie niemożliwości zawiadomienia Administratora bezpieczeństwa lub osoby upoważnionej do zastępowania Administratora bezpieczeństwa, należy powiadomić bezpośredniego przełożonego.
3. W przypadku wykrycia naruszenia ochrony danych osobowych Administrator bezpieczeństwa informacji lub osoba upoważniona do jego zastępowania informuje kierownictwo Urzędu o zaistniałym zdarzeniu oraz przeprowadza wstępne dochodzenie, po czym sporządza raport opisujący okoliczności zdarzenia, którego wzór stanowi załącznik nr 3 do Polityki. Jeśli zdarzenie ma charakter przestępstwa sprawa kierowana jest do organów ścigania.
Załącznik nr 1
do Polityki bezpieczeństwa
Urzędu Miejskiego w Chojnie
(imię i nazwisko pracownika)
(adres)
Oświadczenie
(wzór)
- Stwierdzam własnoręcznym podpisem, że znana mi jest treść przepisów:
a) o ochronie i postępowaniu z wiadomościami, stanowiącymi tajemnicę służbową,
2. Jednocześnie zobowiązuję się nie ujawniać wiadomości, z którymi zapoznałem/ zapoznałam* się z racji wykonywanej pracy w Urzędzie Miejskim w Chojnie, |
b) o zasadach ochrony oraz środkach i zabezpieczeniach danych osobowych
(Dz. U. Nr 133 poz. 833) oraz rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 28 kwietnia 2004 roku (Dz. U. Nr 100 poz. 1024
z 2004r.) oraz o odpowiedzialności karnej za naruszenie ochrony danych osobowych.
a) ujawniać danych zawartych w eksploatowanych w Urzędzie systemach informatycznych, zwłaszcza danych osobowych znajdujących się w tym systemach,
b) ujawniać szczegółów technologicznych używanych w Urzędzie systemów oraz oprogramowania,
c) udostępniać osobom nieupoważnionym nośniki magnetyczne i optyczne oraz wydruki komputerowe,
d) kopiować lub przetwarzać danych w sposób inny niż dopuszczony obowiązującą instrukcją technologiczną.
(podpis pracownika)
(podpis przełożonego)
* niepotrzebne skreślić
Załącznik nr 3 do Polityki bezpieczeństwa Urzędu Miejskiego w Chojnie Raport z naruszenia bezpieczeństwa systemu informatycznego (wzór) 1. Data: …………………….……… Godzina: ………………………………… (dd.mm.rr) (gg:mm) 2. Osoba powiadamiająca o zaistniałym zdarzeniu: (imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje)) 3. Lokalizacja zdarzenia: (np. nr pokoju, nazwa pomieszczenia) 4. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące: |
5. Przyczyny wystąpienia zdarzenia:
6. Podjęte działania:
7. Postępowanie wyjaśniające:
(data, podpis Administratora bezpieczeństwa informacji)
Załącznik nr 2
do Polityki bezpieczeństwa
Urzędu Miejskiego w Chojnie
Wykaz osób, które zostały zapoznane z „Polityką bezpieczeństwa Urzędu Miejskiego w Chojnie” przeznaczoną dla osób zatrudnionych przy przetwarzaniu danych
osobowych.
(wzór)
Lp. |
Nazwisko i imię |
Stanowisko |
Data |
Podpis |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Metadane - wyciąg z rejestru zmian
Osoba odpowiadająca za treść informacji
Krystyna Mieszczańska Data wytworzenia:
30 lis 2009
Osoba dodająca informacje
Monika Adamczyk Data publikacji:
07 sty 2010, godz. 10:40
Osoba aktualizująca informacje
Monika Adamczyk Data aktualizacji:
07 sty 2010, godz. 10:41