Zmień wielkość czcionki: A I A I A

BIP button
Mapa

Polityka bezpieczeństwa informacji

Jest to dokument równoważny dokumentom normatywnym typu:

  • § Polityka ochrony danych osobowych SZPZLO WARSZAWA-WAWER,
  • § Polityka prywatności SZPZLO WARSZAWA-WAWER,
  • § Polityka ochrony informacji SZPZLO WARSZAWA-WAWER.

Podstawy prawne:

  • § Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych Dz.U. 1997 nr 133 poz. 883 - (tekst jednolity). Określa zasady postępowania przy przetwarzaniu danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych.
  • § Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr l00 poz.l024).
  • § Rozporządzenie Ministra Zdrowia z 9 listopada 2015 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, Dz.U. 2015 poz. 2069;
  • § Ustawa z dnia 15 kwietnia 2011 o działalności leczniczej (Dz. U. Nr 112 z 2011, poz 654) akt posiada tekst jednolity.
  • § Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta -Dz.U. 2009 nr 52 poz. 417- akt posiada tekst jednolity.

1. Wstęp
1.1.lnformacja jest bardzo ważnym aktywem SZPZLO W-WA WAWER i dlatego należy Ją odpowiednio chronić.
1.2. Jakość naszej pracy zależy w dużej mierze od jakości informacji.
1.3. Chroniąc informacje zachowujemy prywatność i godność każdego pracownika oraz dbamy o interesy pacjentow, partnerów i klientów.
1.4. Bezpieczeństwo informacji w SZPZLO W-WA WAWER ma podstawowe znaczenie dla utrzymania naszej konkurencyjności, płynności finansowej, zysku, zgodności z przepisami prawa i wizerunku firmy
1.5. Spełnienie wymagań prawnych jest celem podstawowym
1.6. Niniejszy dokument "Polityka Bezpieczeństwa SZPZLO W-WA WAWER" porządkuje kwestię związane z bezpieczeństwem informacji w SZPZLO W-WA WAWER i zawiera najważniejsze zasady postępowania z informacją w SZPZLO W-WA WAWER.
1.7. Obowiązkiem pracowników jest przestrzeganie postanowień niniejszej polityki bezpieczeństwa informacji SZPZLO W-WA WAWER, a w szczególności zasad: co nie jest wyraźnie dozwolone, jest zabronione, zasada czystego biurka i czystego ekranu.

Nad polityką czuwa osobiście, Dyrektor SZPZLO W-WA WAWER który jest jednocześnie ADMINISTRATOREM DANYCH OSOBOWYCH

2. Organizacja bezpieczeństwa
2.1. W celu koordynacji i kontrolowania procesu zapewniania bezpieczeństwa informacji w SZPZLO W-WA WAWER został powołany Zespół Bezpieczeństwa Informacji w skład którego wchodzi:

  • § Dyrektor SZPZLO [DN] jednocześnie Administrator Danych Osobowych [ADO],
  • § Z-ca Dyrektora SZPZLO ds. Finansowo Księgowych [DFK],
  • § Kierownik Działu Gospodarczego [DG]
  • § Kierownik Działu Kadr i Płac ]DKP],
  • § Kierownik Rejestru Usług Medycznych [DRUM],
  • § Administrator Bezpieczeństwa Informacji [ABI],
  • § Administrator Sieci Teleinformatycznej [ASTI].

2.2. Zespół Bezpieczeństwa Informacji koordynuje rozwój, wdrażanie i aktualizacje niniejszego dokumentu.
2.3. Zespół Bezpieczeństwa Informacji jest jedynym organem zatwierdzającym zmiany w niniejszym dokumencie.
2.4. Zespół Bezpieczeństwa Informacji podejmuje decyzje w przypadku najpoważniejszych incydentów związanych z bezpieczeństwem informacji oraz określa sankcje za jej naruszenie
2.5. Zespół Bezpieczeństwa Informacji podejmuje decyzje w sprawie powoływania i przeprowadzania audytu (zewnętrznego lub wewnętrznego), mającego na celu zweryfikowanie efektywności wdrożonych zasad bezpieczeństwa opisanych w tym dokumencie. Proces przeprowadzania audytu jest opisany w dokumencie "Audyt bezpieczeństwa".
2.6. Administrator Bezpieczeństwa Informacji podlega bezpośrednio Dyrektorowi SZPZLO W-WA WAWER który jest jednocześnie Administratorem Danych Osobowych.
2.7. Administrator Bezpieczeństwa SZPZLO W-WA WAWER wdraża decyzje i postanowienia określone przez Zespół Bezpieczeństwa Informacji i bezpośrednio nadzoruje wykonywanie zadań w zakresie określonym tym dokumentem.
2.8. Dyrektor .SZPZLO W-WA WAWER pełni obowiązki Administratora Danych zgodnie z Ustawą o Ochronie Danych Osobowych z 29.08.1997 (i późniejsze rozporządzenia do tej ustawy).
2.9. Kontakt z Zespołem Bezpieczeństwa SZPZLO W-WA WAWER Informacji następuje tylko i wyłącznie poprzez Dyrektora SZPZLO W-wa Wawer.
2.10. Dyrektor SZPZLO W-wa Wawer zarządza kwestią powoływania zewnętrznych / wewnętrznych konsultantów ds. bezpieczeństwa informacji.
2.11. Dyrektor SZPZLO W-wa Wawer utrzymuje bezpośrednie kontakty z organami ścigania, organami wydającymi przepisy, dostawcami usług informatycznych i telekomunikacyjnych jeśli chodzi o aspekty naruszenia bezpieczeństwa i dba o rodzaj przekazywanych informacji.
2.12. Administrator Sieci Teleinformatycznej podlega bezpośrednio Administratorowi Bezpieczeństwa Informacji i jest członkiem Zespołu Bezpieczeństwa Informacji.
2.13. Administrator Sieci Teleinformatycznej pełni obowiązki zgodnie z Ustawą o Ochronie Danych Osobowych z 29.08.1997 (i późniejsze rozporządzenia do tej ustawy) i ROZPORZNDZENIEM MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DU 2004r. nr 100 poz.1024)
2.14. Dokładny spis osób z nazwiska i imienia pełniących opisane funkcje znajduje się w dokumencie "Organizacja bezpieczeństwa - lista osób".

3. Inwentaryzacja, klasyfikacja i kontrola aktywów informacyjnych
3.1. SZPZLO W-WA WAWER musi tworzyć, zarządzać i uaktualniać bazę danych jego aktywów informacyjnych.
3.2. Wszystkie informacje, dane i dokumenty muszą być klarownie opisane, tak aby wszyscy pracownicy byli świadomi, kto jest właścicielem informacji i jaki jest jego poziom klasyfikacji.
3.3. Wszystkie informacje, dane i dokumenty muszą być przetwarzane i przechowywane zgodnie z poziomem klasyfikacji przypisanym do informacji.
3.4. Wszystkie informacje, dane i dokumenty sklasyfikowane jako wysoko wrażliwe (ściśle tajne) muszą być przechowywane w specjalnych obszarach chronionych.
3.5. Wszystkie informacje, dane i dokumenty muszą być sklasyfikowane zgodnie z poziomem ich poufności, integralności i dostępności.
3.6. Za wszystkie informacje, dane i dokumenty odpowiada ich odpowiedni właściciel, lub gestor, w którego gestii są te informacje.
3.7. Proces inwentaryzacji, klasyfikacji i kontroli aktywów SZPZLO W-WA WAWER musi być przeprowadzany zgodnie z procedurami opisanymi w dokumencie "Klasyfikacja informacji".
3.8. Lista zinwentaryzowanych i sklasyfikowanych informacji z przypisanymi właścicielami znajduje się w dokumencie "Aktywa informacyjne SZPZLO W-WA WAWER".

4. Bezpieczeństwo osobowe
4.1.Rekrutacja, zatrudnianie i zwalnianie pracowników
4.1.1. Działa Kadr i Płac odpowiada za przeprowadzanie procesu rekrutacji nowych pracowników.
4.1.2. Proces rekrutacji musi być przeprowadzany rzetelnie i zgodnie z procedurą opisaną w dokumencie ." Działa Kadr i Płac - Rekrutacja pracowników"
4.1.3.Warunki zobowiązanie pracownika do zaznajomienia i przestrzegania aspektów zatrudnienia muszą brać pod uwagę zgodność z niniejszym dokumentem, a w szczególności bezpieczeństwa wynikających z tego dokumentu. Poza tym warunki zatrudnienia muszą dokładnie określać kwestię naruszenia bezpieczeństwa informacji i konsekwencji z tym związanych.
4.1.4. Każdy nowy pracownik musi podpisać umowę o zachowaniu poufności.
4.1.5. Jeżeli nowego pracownika dotyczy przeniesienie praw autorskich na SZPZLO W-WA WAWER, należy spisać stosowną umowę.
4.1.6. Dokładne wymagania prawne dotyczące nowych pracowników opisane są w dokumencie " Działa Kadr i Płac - Wymagania prawne" 4.1.7.Proces zwalniania pracownika musi być przeprowadzany zgodnie z procedurą opisaną w dokumencie " Działa Kadr i Płac - Zwalnianie pracowników"
4.2.Zasady postępowania pracowników
4.2.1. Pracownicy nie mogą ujawniać informacji na temat wysokości swoich zarobków.
4.2.2. Pracownicy nie mogą pożyczać sobie nawzajem kluczy i kart służących do otwierania pomieszczeń
4.2.3. Pracownicy nie mogą pożyczać sobie nawzajem pieniędzy.
4.2.4. Wykorzystywanie środków służbowych, tj. telefony, samochody służbowe, poczta elektroniczna do celów prywatnych powinno być ograniczone tylko i wyłącznie do nadzwyczajnych sytuacji.
4.2.5. Wykorzystanie telefonów komórkowych i stacjonarnych jest monitorowane w stosunku do wszystkich pracowników przez Dział Gospodarczy SZPZLO i w uzasadnionych przypadkach pracownik może zostać zobowiązany do opłacenia rachunku telefonicznego, jeżeli kwestia jego użycia do celów służbowych budzi wątpliwości.
4.2.6. Firmowe karty płatnicze i wykonywanie na tych kartach operacje finansowe obciążają pracownika w przypadku, gdy charakter przeprowadzonych transakcji budzi wątpliwości.
4.2.7.Tylko upoważnieni przez dyrektora SZPZLO pracownicy mogą reprezentować formalnie SZPZLO W-WA WAWER na zewnątrz.
4.3. Szkolenia pracowników i współpracowników
4.3.1. Pracownicy i współpracownicy zobowiązani są do uczestnictwa w szkoleniu w zakresie polityki bezpieczeństwa i procedur obowiązujących w SZPZLO W-WA WAWER w tym w instruktażu wstępnym przed udzieleniem dostępu do przetwarzania informacji i danych osobowych .
4.3.2. Pracownicy zobowiązani są do uczestnictwa w innych szkoleniach, jeżeli bezpośredni przełożony zleci uczestnictwo w takim szkoleniu.

5. Bezpieczeństwo fizyczne i środowiskowe
5.1. Kontrola wejścia i wyjścia
5.1.1. Dostęp poszczególnych osób do pomieszczeń szczególnie chronionych np. serwerownie, rejestr usług, rejestracje , archiwa, składnice akt itp. powinien być uzasadniony potrzebami funkcjonowania SZPZLO W-WA WAWER. Prawa dostępu powinny podlegać okresowemu przeglądowi i być bezzwłocznie odbierane w przypadku, gdy nie są już niezbędne.
5.1.2. W celu uniknięcia konieczności przydzielania praw dostępu do pomieszczeń szczególnie chronionych zbyt wielu osobom, nie należy umieszczać w nich urządzeń i materiałów ogólnodostępnych takich jak drukarki, faksy, części komputerowe lub materiały biurowe.
5.1.3. W pomieszczeniach szczególnie chronionych osoby nie zatrudnione w SZPZLO W-WA WAWER przebywają pod nadzorem upoważnionych pracowników. W dzienniku dostępu na obszary chronione należy zarejestrować ich dane, a także datę i godzinę ich wejścia i wyjścia. Wstęp na obszary chronione jest dozwolony wyłącznie za zgodą Administratora Bezpieczeństwa Informacji.
5.1.4. Drzwi do pomieszczeń szczególnie chronionych powinny być zawsze zamykane.
5.1.5. Przed uzyskaniem dostępu do pomieszczeń, gdzie zlokalizowano urządzenia przetwarzania informacji, użytkownicy muszą być zidentyfikowani. System dostępu do tego rodzaju pomieszczeń powinien być oparty na unikatowych identyfikatorach przydzielonych poszczególnym użytkownikom. Konieczne jest zmierzanie do wdrożenia mechanizmów rejestrowania faktu oraz czasu wejścia i wyjścia poszczególnych osób do tych pomieszczeń. Należy także rejestrować osoby wprowadzane do pomieszczeń komputerowych szczególnie chronionych przez osoby upoważnione.
5.2. Praca w obszarach szczególnie chronionych
5.2.1. Informacje o istnieniu zabezpieczeń na obszarach chronionych dostępne są tylko i wyłącznie upoważnionym pracownikom.
5.2.2. .Niewykorzystywane obszary chronione powinny być zamknięte i okresowo kontrolowane.
5.2.3. Zewnętrzni dostawcy usług uzyskują ograniczony dostęp do obszarów chronionych lub urządzeń do przetwarzania informacji tylko w razie potrzeby. Tego rodzaju dostęp powinien być zatwierdzony przez Dyrektora SZPZLO i monitorowany przez Administratora Bezpieczeństwa Informacji .
5.2.4. Podczas wykonywania pracy na obszarach chronionych zewnętrzni dostawcy usług muszą cały czas przebywać w towarzystwie przynajmniej jednego pracownika SZPZLO W-WA WAWER.
5.2.5. Na obszarze chronionym nie wolno używać sprzętu fotograficznego, video, magnetofonów i innych urządzeń do rejestracji informacji, chyba że zezwoli na to Dyrektora SZPZLO
5.3. Zabezpieczanie sprzętu
5.3.1.Lokalizacja urządzeń do przetwarzania informacji SZPZLO W-WA WAWER powinna uwzględniać minimalizację ryzyka oraz potencjalnych zagrożeń takich jak na przykład kradzież, pożar, zalanie, promieniowanie elektromagnetyczne czy zanik zasilania.
5.3.2.Jeśli to możliwe, wszelkie pomieszczenia zawierające sprzęt komputerowy oraz telekomunikacyjny powinny być zlokalizowane powyżej parteru aby zminimalizować ryzyko kradzieży oraz zalania. Zasada ta powinna być szczególnie rygorystycznie przestrzegana w przypadku budynków, znajdujących się w bezpośredniej bliskości dużych cieków wodnych jak rzeki lub kanały.
5.3.3.W pomieszczeniach komputerowych obowiązuje całkowity zakaz jedzenia, picia i palenia tytoniu. Komputery powinny być także chronione przed kurzem.
5.3.4. Kluczowe wyposażenie komputerowe musi znajdować się w pomieszczeniach wyposażonych w urządzenia przeciwpożarowe oraz przeciwpożarową instalację alarmową.
5.3.5.Pomieszczenia zawierające kluczowe wyposażenie komputerowe nie mogą znajdować się w pobliżu pomieszczeń zwiększających ryzyko pożarowe (np. pomieszczeń magazynowych, transformatorowych) oraz zawierających duże instalacje wodne (np. toaleta).
5.3.6. W pomieszczeniach zawierających kluczowe wyposażenie komputerowe nie są przechowywane żadne materiały łatwopalne. Wszystkie ściany otaczające pomieszczenia, w których znajduje się kluczowe wyposażenie komputerowe powinny być niepalne oraz powinny posiadać właściwości ogniotrwałe (o wytrzymałości co najmniej godziny). Wszelkie otwory w tych ścianach takie jak drzwi, wentylacja powinny zamykać się automatycznie oraz powinny posiadać taką samą ogniotrwałość.
5.3.7. Wszystkie kluczowe urządzenia komputerowe powinny znajdować się w pomieszczeniach klimatyzowanych. Praca klimatyzacji jest monitorowana. Klimatyzacja wyłącza się automatycznie w jego kontroli i inwentaryzacji. Rejestry urządzeń komputerowych są regularnie aktualizowane.
5.3.8. W przypadku stwierdzenia utraty lub kradzieży jakichkolwiek urządzeń lub oprogramowania komputerowego należy natychmiast poinformować Dyrektora SZPZLO.

6. Kontrola dostępu do zasobów informacyjnych
6.1. Dostęp do zasobów systemów informatycznych.
6.1.1. Wyłącznie uprawnieni użytkownicy mogą uzyskać dostęp do systemów informatycznych SZPZLO W-WA WAWER.
6.1.2. Dostęp musi być indywidualnie zdefiniowany dla każdego użytkownika. Użytkownik może mieć dostęp jedynie do zasobów, które są mu niezbędne do wykonywania obowiązków służbowych. Udzielanie, unieważnianie i ograniczanie dostępu użytkownikom musi przebiegać w oparciu o dalej przedstawione zasady.
6.1.3. Tożsamość każdego użytkownika systemów informatycznych SZPZLO W-WA WAWER musi być jednoznacznie określona i musi być sprawdzona przed rozpoczęciem pracy w systemie (uwierzytelnienie).
6.1.4. W przypadku połączeń dokonywanych z sieci wewnętrznej SZPZLO W-WA WAWER uwierzytelnienie użytkownika polega na sprawdzeniu identyfikatora i hasła przypisanych do profilu użytkownika.
6.1.5. W przypadku połączeń zewnętrznych uwierzytelnienie na podstawie identyfikatora użytkownika i stałego hasła jest niedostateczne i wymagane jest wykorzystanie złożonych technik uwierzytelniania (np.: połączeń zwrotnych, haseł jednokrotnego dostępu, generatorów haseł jednorazowych).
6.1.6. O ile pozwala na to oprogramowanie, na ekranie powitalnym muszą być zawarte następujące informacje:
6.1.6.1. nazwa właściciela systemu,
6.1.6.2. nazwa systemu,
6.1.6.3. pouczenie użytkownika o tym, że kontynuując pracę w systemie potwierdza uprawnienia do korzystania z zasobów systemu informatycznego SZPZLO W-WA WAWER,
6.1.6.4. stwierdzenie, że użytkownik zna i akceptuje zasady dotyczące bezpieczeństwa systemów informatycznych SZPZLO W-WA WAWER.
6.1.7. Wszystkie systemy informatyczne SZPZLO W-WA WAWER powinny posiadać uaktywnioną opcję wygaszacza ekranu w przypadku braku aktywności użytkownika w systemie. Czas uaktywnienia wygaszacza ekranu nie może być dłuższy niż 15 minut. Odblokowanie wygaszacza ekranu musi wymagać podania hasła. Podobnie, wszystkie sesje dostępu do zasobów informatycznych (a w szczególności do komend systemu operacyjnego) musza być zawieszane (lub zrywane) po 15 minutach bezczynności. System powinien umożliwiać uaktywnienie wygaszacza ekranu na żądanie użytkownika.
6.1.8. W systemach informatycznych SZPZLO W-WA WAWER nie mogą być aktywne ogólnodostępne profile domyślne typu "gość".
6.1.9. Ograniczanie przez SZPZLO W-WA WAWER dostępu do zasobów systemów informatycznych przebiega w następujący sposób:
6.1.9.1. fizyczny dostęp do sieci mogą mieć tylko takie urządzenia sieciowe, które uzyskały akceptację Administratora Systemu Teleinformatycznego w porozumieniu z Administratorem Bezpieczeństwa Informacji ; mechanizmy kontroli muszą umożliwiać wykrycie obecności nieautoryzowanych urządzeń sieciowych,
6.1.9.2. logiczny dostęp do sieci - uzyskanie dostępu do zasobów sieciowych mogą mieć tylko zarejestrowani użytkownicy jednoznacznie zidentyfikowani,
6.1.9.3. dostęp do komend systemu operacyjnego tylko użytkownicy, których zakres obowiązków wymaga dostępu do systemu operacyjnego mogą być uprawnieni do logowania się bezpośrednio na serwerach sieciowych,
6.1.9.4. -dostęp do aplikacji i baz danych - dostęp do aplikacji i baz danych SZPZLO W-WA WAWER wymaga uprzedniej identyfikacji i uwierzytelnienia użytkownika; przyznane użytkownikowi uprawnienia do korzystania z poszczególnych aplikacji i baz danych powinny być ograniczone wyłącznie do zakresu jego obowiązków służbowych.
6.1.10. Nadanie lub zmiana uprawnień użytkownika następuje wyłącznie na wniosek sporządzony pisemnie lub elektronicznie zgodnie z obowiązującymi procedurami. Wnioski muszą być przechowywane co najmniej przez okres 5 lat.
6.1.11. Nazwa profilu użytkownika musi być unikatowa i nie powinna zmieniać się przez cały okres jego pracy w SZPZLO W-WA WAWER, nie licząc przypadków takich jak np. zmiana nazwiska.
6.1.12. Osoby nie będące pracownikami SZPZLO W-WA WAWER nie mogą uzyskać profilu użytkownika ani uprawnień w zakresie korzystania z systemów informatycznych SZPZLO W-WA WAWER bez uprzedniej, pisemnej zgody gestora i Dyrektora SZPZLO.
6.1.13. Uprawnienia użytkowników nie będących pracownikami SZPZLO W-WA WAWER mogą być przyznane jedynie na czas określony w umowie i podlegać aktualizacji co 90 dni.
6.1.14. Uprawnienia specjalne mogą być przyznawane wyłącznie osobom odpowiedzialnym za administrowanie systemami za zgodą gestora oraz Dyrektora SZPZLO.
6.1.15. Osoby nie będące pracownikami SZPZLO W-WA WAWER muszą podpisać oświadczenie, że będą przestrzegać zasad dotyczących bezpieczeństwa systemów informatycznych SZPZLO W-WA WAWER.
6.1.16. Warunki korzystania z połączenia wewnętrznej sieci SZPZLO W-WA WAWER z systemami zewnętrznymi regulują podpisane umowy, szczegółowo precyzujące warunki techniczne i funkcjonalne połączenia. Umowy muszą być regularnie odnawiane. Umowa musi zawierać klauzulę dotyczącą przestrzegania zasad bezpieczeństwa systemów informatycznych SZPZLO W-WA WAWER.
6.1.17. Liczba użytkowników mających uprawnienia specjalne do korzystania z zasobów danego systemu informatycznego SZPZLO W-WA WAWER powinna być ograniczona do niezbędnego minimum, jednak nie może to być mniej niż 2 osoby.
6.1.18. Uprawnienia niezbędne do przeprowadzenia testów poziomu bezpieczeństwa systemów informatycznych SZPZLO W-WA WAWER mogą być wydane na ściśle określony czas, niezbędny do przeprowadzenia testów i wymagają zgody Dyrektora SZPZLO..
6.1.19. Konto użytkownika musi być zablokowane po 30 dniach nieaktywności. Kierownicy jednostek organizacyjnych SZPZLO W-WA WAWER są zobowiązani informować administratorów systemów odpowiedzialnych za poszczególne konta o planowanych nieobecnościach w pracy podległych pracowników dłuższych niż 20 dni. Administratorzy mają obowiązek zablokować konto użytkownika na czas jego nieobecności w pracy.
6.1.20. Jeżeli dany podsystem kontroli dostępu do systemów informatycznych SZPZLO W-WA WAWER nie funkcjonuje prawidłowo, uprawnienia użytkowników powinny być zablokowane. W przypadku nieprawidłowego funkcjonowania podsystemów kontroli dostępu, decyzje o dalszych działaniach podejmuje gestor.
6.1.21. Uprawnienia nadane użytkownikom muszą być aktualizowane przez kierowników jednostek organizacyjnych SZPZLO W-WA WAWER co 6 miesięcy.
6.1.22. Kierownicy jednostek organizacyjnych SZPZLO W-WA WAWER są zobowiązani informować administratorów systemów odpowiedzialnych za poszczególne konta o zmianach w zakresie obowiązków podległych pracowników skutkujących koniecznością zmiany ich uprawnień.
6.1.23. Dział Kadr i Płacjest zobowiązany poinformować Administratora Bezpieczeństwa Informacji o zmianach statusu pracownika. Podobnie osoby odpowiedzialne za współpracę z dostawcami zewnętrznymi są zobowiązane do informowania o zmianach statusu pracowników dostawcy zewnętrznego posiadających dostęp do systemów SZPZLO W-WA WAWER.
6.1.24. Administrator Bezpieczeństwa Informacji odpowiada za poinformowanie Administratora Systemów Teleinformatycznych SZPZLO W-WA WAWER o zmianach statusu pracownika.
6.1.25. Uprawnienia posiadane przez użytkownika nie mogą być rozszerzane, o ile nie istnieje umotywowana potrzeba związana ze zmianą zakresu obowiązków użytkownika.
6.1.26. Systemy informatyczne SZPZLO W-WA WAWER· przetwarzające dane sklasyfikowane jako wrażliwe lub strategiczne muszą być skonfigurowane w taki sposób, aby uniemożliwić użytkownikom dostęp do zasobów systemów, do których nie są autoryzowani.
6.1.27. Systemy informatyczne SZPZLO W-WA WAWER przetwarzające dane sklasyfikowane. ...........................................................

7. Polityka plików „cookies”

Niniejsza Polityka dotyczy plików „cookies” i odnosi się do stron internetowych (zwanych dalej „stronami internetowymi”), których operatorem jest SZPZLO Warszawa-Wawer z siedzibą w Warszawie przy ul. J. Strusia 4/8.

 A) Czym są pliki „cookies”?

Poprzez pliki „cookies” należy rozumieć dane informatyczne, w szczególności pliki tekstowe, przechowywane w urządzeniach końcowych użytkowników przeznaczone do korzystania ze stron internetowych. Pliki te pozwalają rozpoznać urządzenie użytkownika i odpowiednio wyświetlić stronę internetową dostosowaną do jego indywidualnych preferencji. „Cookies” zazwyczaj zawierają nazwę strony internetowej z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.

 B) Do czego używamy plików „cookies”?

Pliki „cookies” używane są w celu dostosowania zawartości stron internetowych do preferencji użytkownika oraz optymalizacji korzystania ze stron internetowych. Używane są również w celu tworzenia anonimowych, zagregowanych statystyk, które pomagają zrozumieć w jaki sposób użytkownik korzysta ze stron internetowych co umożliwia ich struktury i zawartości, z wyłączeniem personalnej identyfikacji użytkownika.

 C)Jakich plików „cookies” używamy?

Stosowane są, co do zasady, dwa rodzaje plików „cookies” – „sesyjne” oraz „stałe”. Pierwsze z nich są plikami tymczasowymi, które pozostają na urządzeniu użytkownika, aż do wylogowania ze strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki pozostają na urządzeniu użytkownika przez czas określony w parametrach plików „cookies” albo do momentu ich ręcznego usunięcia przez użytkownika. Pliki „cookies” wykorzystywane przez partnerów operatora strony internetowej, w tym w szczególności użytkowników strony internetowej, podlegają ich własnej polityce prywatności.

 D) RODZAJE ZASTOSOWANYCH PLIKÓW „cookies”

 

1). Ze względu na niezbędność do realizacji usługi są to:

 a)Niezbędne są absolutnie niezbędne do prawidłowego funkcjonowania witryny lub funkcjonalności z których użytkownik chce skorzystać

b)Funkcjonalne są ważne dla działania serwisu a służą

  • wzbogaceniu funkcjonalności serwisu, bez nich serwis będzie działał poprawnie, jednak nie będzie dostosowany do preferencji użytkownika,
  • zapewnieniu wysokiego poziomu funkcjonalności serwisu, bez ustawień zapisanych w plikach cookies może obniżyć się poziom funkcjonalności witryny, ale nie powinna uniemożliwić zupełnego korzystania z niej,
  • służą bardzo ważnym funkcjonalnościom serwisu, ich zablokowanie spowoduje, że wybrane funkcje nie będą działać prawidłowo.

c)Biznesowe które umożliwiają realizację modelu biznesowego w oparciu o które udostępniona jest witryna, ich zablokowanie nie spowoduje niedostępności całości funkcjonalności serwisu ale może obniżyć poziom świadczenia usługi ze względu na brak możliwości realizacji przez właściciela witryny przychodów subsydiujących działanie serwisu. Do tej kategorii należą np. cookies reklamowe.

 

2). Ze względu na czas przez jaki cookies będą umieszczone w urządzeniu końcowym użytkownika są to:

 

a)Cookies tymczasowe (session cookies) cookies umieszczone na czas korzystania z przeglądarki (sesji), zostają wykasowane po jej zamknięciu,

b)Cookies stałe (persistent cookies) - nie są kasowane po zamknięciu przeglądarki i pozostają w urządzeniu użytkownika na określony czas lub bez okresu ważności w zależności od ustawień właściciela witryny.

 

3). Ze względu na pochodzenie – administratora serwisu, który zarządza cookies są to:

 

a)Cookies własne (first party cookies) cookies umieszczone bezpośrednio przez właściciela witryny jaka została odwiedzona,

b)Cookies zewnętrzne (third-party cookies) cookies umieszczone przez zewnętrzne podmioty, których komponenty stron zostały wywołane przez właściciela witryny,

c)Cookies partnerów które mogą być wywołane przez administratora za pomocą skryptów, komponentów, które znajdują się na serwerach partnera, umiejscowionych w innej lokalizacji - innym kraju lub nawet zupełnie innym systemie prawnym.

Uwaga: W przypadku wywołania przez administratora witryny komponentów serwisu pochodzących spoza systemu administratora mogą obowiązywać inne standardowe zasady polityki cookies niż polityka prywatności / cookies administratora witryny.

 4). Ze względu na cel jakiemu służą tj.:

a)Do konfiguracji serwisu - umożliwiają ustawienia funkcji i usług w serwisie,

b)Do zapewnienia bezpieczeństwa i niezawodność serwisu - umożliwiają weryfikację autentyczności oraz optymalizację wydajności serwisu,

c)Do uwierzytelniania - umożliwiają informowanie gdy użytkownik jest zalogowany, dzięki czemu witryna może pokazywać odpowiednie informacje i funkcje,

d)Do określania stanu sesji - umożliwiają zapisywanie informacji o tym, jak użytkownicy korzystają z witryny. Uwaga: mogą one dotyczyć najczęściej odwiedzanych stron lub ewentualnych komunikatów o błędach wyświetlanych na niektórych stronach. Pliki cookies służące do zapisywania tzw. „stanu sesji” pomagają ulepszać usługi i zwiększać komfort przeglądania stron;

e)Do realizacji procesów - umożliwiają sprawne działanie samej witryny oraz dostępnych na niej funkcji,

f)Do prowadzenia reklamy - umożliwiają wyświetlać reklamy, które są bardziej interesujące dla użytkowników, a jednocześnie bardziej wartościowe dla wydawców i reklamodawców, personalizować reklamy, mogą być używane również do wyświetlania reklam poza stronami witryny (domeny),

g)Do identyfikacji lokalizacji - umożliwiają dostosowanie wyświetlanych informacji do lokalizacji użytkownika,

h)Do analizy i badania np. audytu oglądalności - umożliwiają właścicielom witryn lepiej zrozumieć preferencje ich użytkowników i poprzez analizę ulepszać i rozwijać produkty i usługi. Zazwyczaj właściciel witryny lub firma badawcza zbiera anonimowo informacje i przetwarza dane na temat trendów bez identyfikowania danych osobowych poszczególnych użytkowników.

 5). Ze względu na ingerencję w prywatność użytkownika, są to:

 a)Nieszkodliwe obejmujące cookies:

  • niezbędne do poprawnego działania witryny,
  • potrzebne do umożliwienia działania funkcjonalności witryny, jednak ich działanie nie ma nic wspólnego z śledzeniem użytkownika

b)Badające - wykorzystywane do śledzenia użytkowników jednak nie obejmują informacji pozwalających zidentyfikować danych konkretnego użytkownika

 E. Czy pliki „cookies” zawierają dane osobowe?

Dane osobowe gromadzone przy użyciu plików „cookies” mogą być zbierane wyłącznie
w celu wykonywania określonych funkcji na rzecz użytkownika. Takie dane są zaszyfrowane w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym.

 F. Usuwanie plików „cookies”

Standardowo oprogramowanie służące do przeglądania stron internetowych domyślnie dopuszcza umieszczanie plików „cookies” na urządzeniu końcowym. Ustawienia te mogą zostać zmienione w taki sposób, aby blokować automatyczną obsługę plików „cookies” w stawieniach przeglądarki internetowej bądź informować o ich każdorazowym przesłaniu na urządzenie użytkownika. Szczegółowe informacje o możliwości i sposobach obsługi plików „cookies” dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Ograniczenie stosowania plików „cookies”, może wpłynąć na niektóre funkcjonalności dostępne na stronie internetowej.

__________________________________________________-

Zapisy i Dokumenty związane:
1. "Audyt bezpieczeństwa informacji” - Proces przeprowadzania audytu jest opisany w dokumencie
2. "Organizacja bezpieczeństwa - lista osób" - spis osób z nazwiska i imienia pełniących opisane funkcje znajduje się w dokumencie
3. "Klasyfikacja informacji" - Proces inwentaryzacji, klasyfikacji i kontroli aktywów SZPZLO W-WA WAWER musi być przeprowadzany zgodnie z niniejszą procedurą .
4. "Aktywa informacyjne SZPZLO W-WA WAWER". Lista zinwentaryzowanych i sklasyfikowanych informacji z przypisanymi właścicielami
5. " Działa Kadr i Płac - Rekrutacja pracowników" Proces rekrutacji musi być przeprowadzany rzetelnie i zgodnie z procedurą opisaną w tym dokumencie.
6. " Działa Kadr i Płac - Wymagania prawne" - wymagania prawne dotyczące nowych pracowników
7. INSTRUKCJA KANCELARYJNA SZJ - IN-4.2.3-01
8. INSTRUKCJA OCHRONY DANYCH OSOBOWYCH - IN-4.2.3-DO-01
9. INSTRUKCJA POSTĘPOWANIE W SYTUACJI NARUSZENIA DANYCH OSOBOWYCH PRZEZ OSOBY ZATRUDNIONE PRZY PRZETWARZANIU TYCH DANYCH - IN-4.2.3-DO-2-01
10. INSTRUKCJA UDOSTĘPNIANIA DOKUMENTACJI MEDYCZNEJ - IN-4.2.4-03
11. INSTRUKCJA NADZOROWANIE DOKUMENTACJI MEDYCZNEJ PROWADZONEJ W FORMIE ELEKTRONICZNEJ-IN-4.2.4-02
12. Procedura - Nadzór nad dokumentacją medyczną -P-4.2.4-02
13. Procedura - Nadzór nad dokumentacją medyczną NPL -P-4.2.4-04
14. Polityka bezpieczeństwa systemu informatycznego [IN-4.2.3-DO-1-01]
15. Instrukcja zarządzania systemem informatycznym[IN-4.2.3-DO-2-01]
16. Plan Przebiegu Procesu Zarządzania Informacją – PP-6.5-0117.
17. Ulotka Informator - Przestrzegaj zasady Polityki Bezpieczeństwa Informacji - IN-6.5-info-1
BIP button