5.2. Polityka bezpieczeństwa i instrukcja zarządzania
12 kwietnia 2010Powinna (zgodnie z postanowieniami par. 4 rozporządzenia) zawierać w szczególności:
• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
• sposób przepływu danych pomiędzy poszczególnymi systemami;
• określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja powinna natomiast określać:
• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
• sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz ich kopii zapasowych,
• sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia,
• sposób realizacji wymogów, o których mowa w par. 7 ust. 1 pkt 4 rozporządzenia,
• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.