Rok 2006 - zgodnie z art. 33 ustawy z dnia 8 marca 1990r. o samorządzie gminnym

ZARZĄDZENIE Nr 0152-41/06 BURMISTRZA MIASTA I GMINY GRYFINO z dnia 14 sierpnia 2006 r. zmieniające Zarządzenie Nr 0152 – 60/05 Burmistrza Miasta i Gminy Gryfino w sprawie ustalenia „Polityki bezpieczeństwa systemów teleinformatycznych służących do przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Gryfinie” oraz „Instrukcji bezpieczeństwa teleinformatycznego oraz zarządzania systemami teleinformatycznymi służącymi do przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Gryfinie”

ZARZĄDZENIE Nr 0152-41/06
BURMISTRZA MIASTA I GMINY GRYFINO
z dnia 14 sierpnia 2006 r.


zmieniające Zarządzenie Nr 0152 – 60/05 Burmistrza Miasta i Gminy Gryfino w sprawie ustalenia „Polityki bezpieczeństwa systemów teleinformatycznych służących do przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Gryfinie” oraz „Instrukcji bezpieczeństwa teleinformatycznego oraz zarządzania systemami teleinformatycznymi służącymi do przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Gryfinie”

Na podstawie art.36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101 poz. 926 ze zmianami), art. 64 ust. 1 ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz.U. z 2005 r. Nr 196 poz. 1631 ze zmianą) w związku z art. 33 ust. 3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2001 r. Nr 142 poz. 1591 ze zmianami) oraz art. 268a ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2000 r. Nr 98 poz. 1071 ze zmianami) i § 7 pkt 17 Regulaminu Organizacyjnego Urzędu Miasta i Gminy w Gryfinie, stanowiącego załącznik do uchwały Nr XXXI/385/01 Rady Miejskiej w Gryfinie z dnia 26 kwietnia 2001 r. w sprawie uchwalenia Regulaminu Organizacyjnego Urzędu Miasta i Gminy w Gryfinie (Dziennik Urzędowy Województwa Zachodniopomorskiego z 2001 r. Nr 21, poz. 439 ze zmianami) zarządzam, co następuje:

§ 1. W zarządzeniu Nr 0152 – 60/05 Burmistrza Miasta i Gminy Gryfino z dnia 30 grudnia 2005 r. w sprawie ustalenia „Polityki bezpieczeństwa systemów teleinformatycznych służących do przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Gryfinie” oraz „Instrukcji bezpieczeństwa teleinformatycznego oraz zarządzania systemami teleinformatycznymi służącymi do przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Gryfinie wprowadza się następujące zmiany:

  1. Dotychczasowy § 4 otrzymuje brzmienie:
    „ § 4. 1. Ustanawia się Pełnomocnika Administratora Danych Osobowych w Urzędzie Miasta i Gminy w Gryfinie.
    2. Do zadań Pełnomocnika Administratora Danych Osobowych w szczególności należy:

    1. nadzór nad przetwarzaniem danych osobowych, w tym nadzór nad zachowaniem przez merytorycznych pracowników szczególnej staranności przy przetwarzaniu danych osobowych - zgodnie z przepisami ustawy o ochronie danych osobowych;

    2. nadzór nad stosowaniem środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych;

    3. przeprowadzanie czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą o ochronie danych osobowych;

    4. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych - zgodnie z przepisami ustawy o ochronie danych osobowych;

    5. prowadzenie ewidencji zbioru danych Urzędu Miasta i Gminy w Gryfinie;

    6. zgłaszanie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz wszelkich zmian do zbioru;

    7. koordynacja realizacji zadań Administratora Bezpieczeństwa Informacji i Administratora Systemów Informatycznych w zakresie zadań im przypisanych”.

  2. Dotychczasowy § 5 otrzymuje brzmienie:
    „ § 5. 1.Ustanawia się Administratora Bezpieczeństwa Informacji (ABI) w Urzędzie Miasta i Gminy w Gryfinie.

    1. Do zadań Administratora Bezpieczeństwa Informacji w szczególności należy:

      1. Tworzenie, modyfikacja i wdrażanie procedur związanych z realizacją polityki bezpieczeństwa danych i instrukcją zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych oraz nadzór nad ich przestrzeganiem;

      2. Podejmowanie odpowiednich działań w celu właściwego zabezpieczenia danych poprzez:

        1. nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz kontrolę przebywających w nich osób;

        2. nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania;

        3. nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe;

        4. nadzór nad wykonywaniem kopii awaryjnych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu;

        5. nadzór nad obiegiem, przechowywaniem oraz niszczeniem dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny;

      3. Wdrażanie mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontrolę dostępu do danych osobowych poprzez:

        1. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych oraz zakresu ich dostępu do baz danych,

        2. zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwość ich zmiany;

      4. Organizacja szkoleń mających na celu zaznajomienie każdej osoby przetwarzającej dane osobowe z przepisami dotyczącymi ich ochrony;

      5. Podjęcie natychmiastowych działań zabezpieczających system informatyczny w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych;

      6. Badanie ewentualnych aruszeń ochrony danych osobowych oraz sporządzanie odpowiednich raportów z naruszenia bezpieczeństwa danych osobowych;

      7. Informowanie Pełnomocnika Administratora Danych Osobowych o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych;

      8. Analiza okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych i przygotowanie w związku z tym odpowiednich zmian do instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych;

      9. Przeprowadzanie bieżących oraz okresowych kontroli przestrzegania zasad ochrony danych osobowych, przetwarzanych w systemach informatycznych;

      10. Przeprowadzanie kontroli w zakresie powierzonych zadań - na wniosek Administratora Danych Osobowych.

  3. dotychczasowy § 6 otrzymuje brzmienie:
    „ § 6. 1. Ustanawia się Administratora Systemów Informatycznych (ASI) w Urzędzie Miasta i Gminy w Gryfinie.

    1. Do zadań Administratora Systemów Informatycznych w szczególności należy:

      1. Wdrażanie procedur związanych z realizacją instrukcji zarządzania systemami informatycznymi oraz nadzór nad jej przestrzeganiem;

      2. Podejmowanie odpowiednich działań dla zabezpieczenia systemów informatycznych w celu ich bezawaryjnego działania poprzez:

        1. zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych osobowych,

        2. dbanie o sprawność techniczną urządzeń i systemów informatycznych oraz okresowe przeglądy pod kątem ich sprawności, bezpieczeństwa i poprawności działania oprogramowania,

        3. aktualizację i konfigurację oprogramowania w tym programów antywirusowych oraz instalowanie specjalistycznych zabezpieczeń, wymaganych przepisami bezpieczeństwa informatycznego,

        4. bieżącą pomoc innym użytkownikom systemów informatycznych,

        5. konfigurację i zabezpieczanie urządzeń sieciowych (switch, firewall, serwery);

      3. Kontrola systemu na obecność wirusów komputerowych,

      4. Organizacja szkoleń mających na celu zapoznanie osób pracujących w systemach informatycznych z wykorzystywanym oprogramowaniem ;

      5. Nadzór nad legalnością wykorzystywanego oprogramowania;

      6. Kontrola rejestrowania i wyrejestrowania użytkowników systemów;

      7. Wykonywanie okresowych kopii awaryjnych z serwerów sieci oraz kontrola wykonywania kopii innych komputerów, ich przechowywania oraz sprawdzanie pod kątem ich dalszej przydatności;

      8. Prowadzenie ewidencji sprzętu komputerowego i oprogramowania używanego na terenie Urzędu;

      9. Nadzorowanie dostosowania baz danych do obowiązujących przepisów w zakresie przetwarzania danych osobowych w systemach informatycznych;

      10. Nadzorowanie bezpieczeństwa systemów i sieci komputerowych;

      11. Badanie ewentualnych naruszeń w systemie zabezpieczeń danych osobowych oraz sporządzanie odpowiednich raportów.

  4. dodaje się § 6 a w brzmieniu:
    ” § 6a. W przypadku nieobecności w pracy administratorzy, o których mowa w § 5 i 6, zastępują się wzajemnie”.

§ 2. Wykonanie zarządzenia powierza się Pełnomocnikowi Ochrony Danych Osobowych, Administratorowi Bezpieczeństwa Informacji i Administratorowi Systemów Informatycznych.

§ 3. Nadzór na realizacją zarządzenia sprawuje Sekretarz Miasta i Gminy.

§ 4. Zarządzenie wchodzi w życie z dniem podpisania.

Burmistrz Miasta i Gminy Gryfino

Henryk Piłat

UZASADNIENIE

Zarządzenie Nr 0152 – 60/05 Burmistrza Miasta i Gminy Gryfino z dnia 30 grudnia 2005 r. w sprawie ustalenia „Polityki bezpieczeństwa systemów teleinformatycznych służących do przetwarzania danych osobowych w Urzędzie Miasta i Gminy
w Gryfinie” oraz „Instrukcji bezpieczeństwa teleinformatycznego oraz zarządzania systemami teleinformatycznymi służącymi do przetwarzania danych osobowych w Urzędzie Miasta i Gminy w Gryfinie wymaga określenia właściwości merytorycznej (zadań) Pełnomocnika Administratora Danych Osobowych, Administratora Bezpieczeństwa Informacji i Administratora Systemów Informatycznych.

Sporządziła:
Krystyna Więch