Kolejnym dokumentem obok polityki bezpieczeństwa, o której możesz przeczytaj TUTAJ, jest Instrukcja zarządzania systemem informatycznym.

Najprościej ujmując, Instrukcja zarządzania ma opisywać jaki został w firmie przyjęty sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne, które mają zapewnić tym danym ochronę.

 

Jak napisać instrukcję zarządzania systemem informatycznym?

Poniżej opisuję najważniejsze jej elementy. Są to w szczególności:

1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III pkt 1 załącznika do rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Część wstępna i co dalej

Po części wstępnej, w której wyjaśnisz podstawowe pojęcia, które będą używane w Instrukcji należy opisać procedurę nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności (§ 5 pkt 1 rozporządzenia).

Przykład: Administrator pisemnie upoważnia osoby do przetwarzania danych, które w konsekwencji udzielonego upoważnienia stają się Osobami Upoważnionymi.

W punkcie tym należy wskazać, kto w firmie nadaje uprawnienia oraz jaka jest procedura nadawania konta, jego wszelkich modyfikacji, aż do usunięcia konta z systemu informatycznego, ale także długości hasła i częstotliwości jego zmiany.

Inną ważną kwestią jest opis sposobu rozpoczęcia pracy w systemie, czy  jej zakończenia. Niektóre zapisy będą wydawały się nam oczywiste, jednak muszą się znaleźć w Instrukcji.

Przykład: W celu rozpoczęcia pracy, należy w pierwszej kolejności wykonać logowanie do systemu operacyjnego Stacji Roboczej, a następnie do Systemu Informatycznego. Podczas nieobecności przy Stacji Roboczej, należy wylogować się z systemu operacyjnego bądź uruchomić wygaszacz ekranu chroniony hasłem.

Punkt 7 dotyczący sposobu realizacji wymogów o których mowa w § 7 ust. 1 pkt 4, chodzi tak naprawdę o realizację wymogów w zakresie udzielania upoważnienia do przetwarzania danych, czyli mówiąc prosto komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione.

Ostatni punkt dotyczy częstotliwości przeglądów i konserwacji systemów informatycznych wraz ze wskazaniem podmiotów i osób upoważnionych do wykonywania takich przeglądów.

 

Minimalny zakres instrukcji zarządzania systemami

Tak określone wymogi mają charakter minimalny, a administrator danych może zawrzeć w dokumentacji ochrony danych osobowych także inne elementy, istotne ze względu na specyfikę przetwarzania danych w prowadzonej przez niego działalności.

Administrator danych może również w sposób  dowolny ukształtować treść w dokumencie, jeśli chodzi o podział na rozdziały, punkty i załączniki.

Na pewno wielkość tego dokumenty będzie zależna od wielkości podmiotu (firmy), której dotyczy.

Potrzebujesz dodatkowej pomocy prawnej? Napisz na info@blizejprawa.com