Rzeczpospolita Polska

Zarządzenie pokontrolne nr 1/2015 Rektora Uniwersytetu Przyrodniczego we Wrocławiu z dnia 23 stycznia 2015 roku

w sprawie wykonania zaleceń pokontrolnych audytora wewnętrznego wynikających z przeprowadzonego zadania audytowego na temat: „System zarządzania bezpieczeństwem informacji – obowiązujące przepisy wewnętrzne zapewniające bezpieczeństwo przetwarzania danych osobowych w UPWr”


Na podstawie art. 66 ust. 2 pkt 5 ustawy z dnia 27 lipca 2005 r. – Prawo o szkolnictwie wyższym (tekst jednolity Dz. U. z 2012 r. poz. 572 ze zm.), § 18 ust. 3 pkt 6 Statutu Uniwersytetu Przyrodniczego we Wrocławiu, § 17 ust. 3 pkt 4) lit. b) Regulaminu Organizacyjnego wprowadzonego zarządzeniem rektora nr 56/2010 z dnia 31 marca 2010 r. ze zm. zarządza się co następuje:

§ 1

Na podstawie ustaleń sprawozdania audytowego na temat „System zarządzania bezpieczeństwem informacji – obowiązujące przepisy wewnętrzne zapewniające bezpieczeństwo przetwarzania danych osobowych w UPWr” i zawartych w nim zaleceń, zobowiązuje się:

  1. Administratora Bezpieczeństwa Informacji – samodzielne stanowisko oraz Administratora Bezpieczeństwa Informacji – systemy informatyczne, do:

    a) dostosowania wewnętrznych aktów prawnych dotyczących ochrony danych osobowych i przetwarzania danych osobowych w systemach informatycznych obowiązujących w uczelni do znowelizowanej ustawy o ochronie danych osobowych (zarządzenie nr 30/2008 rektora z 12 marca 2008 r. w sprawie ochrony danych osobowych i baz danych w systemach informatycznych w Uniwersytecie Przyrodniczym we Wrocławiu ze zmianami wraz z Polityką bezpieczeństwa w zakresie ochrony danych osobowych w UPWr, Instrukcją zarządzania systemami informatycznymi używanymi do przetwarzania danych osobowych w UPWr, Instrukcją postępowania w przypadkach naruszenia ochrony danych osobowych w UPWr), w terminie do 30.06.2015 r.

    b) uwzględnienia, w przepisach wewnętrznych uczelni dotyczących ochrony danych osobowych i ich przetwarzania w systemach informatycznych, zapisów zawartych w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r.  w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z dnia 16 maja 2012 r. poz. 526), termin do 30.06.2015 r.

  2. Administratora Bezpieczeństwa Informacji – samodzielne stanowisko do:

    a) złożenia rektorowi wniosku o formalne powierzenie pełnienia obowiązków osobom wskazanym jako Lokalni Administratorzy Danych Osobowych, zgodnie z zapisami zarządzenia rektora nr 30/2008 w sprawie ochrony danych osobowych i baz danych w systemach informatycznych w UPWr, w terminie do 30.06.2015 r.

    b) spowodowania prowadzenia na bieżąco w każdej jednostce organizacyjnej uczelni, w której przetwarzane są dane osobowe, rejestru wystawianych przez kierownika jednostki organizacyjnej wniosków i uzyskanych upoważnień do przetwarzania danych osobowych.

    Celem jest uporządkowanie procesu przetwarzania danych osobowych w sposób pozwalający na uzyskanie pełnej i bieżącej informacji kto w jednostce organizacyjnej takie upoważnienie posiada, w jakich miejscach przetwarzane są dane osobowe i w jakich systemach informatycznych.
    Numeracja wniosków ujętych w Rejestrze powinna być jednolita dla danej jednostki organizacyjnej.

    c) opracowania zasad wydawania pracownikom uczelni upoważnień oraz nadawania uprawnień do przetwarzania danych osobowych, w terminie do 30.03.2015 r.

    d) spowodowania bieżącego stosowania wszystkich zapisów ujętych w wewnętrznych aktów prawnych Uczelni dotyczących ochrony danych osobowych i przetwarzania danych osobowych w systemach informatycznych, przez wszystkich uczestników tego procesu w UPWr.

  3. Administratora Bezpieczeństwa Informacji – systemy informatyczne do:

    a) spowodowania powierzenia przez kierowników jednostek organizacyjnych uczelni formalnego powierzenia pełnienia obowiązków osobom wskazanym jako Administratorzy Systemów Informatycznych, zgodnie z zapisami zarządzenia rektora nr 30/2008 w sprawie ochrony danych osobowych i baz danych w systemach informatycznych w UPWr, w terminie do 30.06.2015 r.

    b) dokonania zmian zapisów Instrukcji zarządzania systemami informatycznymi w UPWr tak aby odpowiadały aktualnym warunkom funkcjonowania systemów informatycznych w Uczelni i przepisom prawa, w tym doprecyzowania zapisów o powierzenie wskazanym pracownikom obowiązków w zakresie opracowywania szczegółowych Instrukcji zarządzanymi systemami informatycznymi (§ 4 obowiązującej Instrukcji), w terminie do 31.03.2015 r.

    c) przeprowadzania corocznej udokumentowanej analizy ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących ryzyka związane z przetwarzaniem danych osobowych w systemach informatycznych zawierających dane osobowe w uczelni, w terminie do 30 marca każdego roku.

  4. Kanclerza uczelni do spowodowania:

    a) przeprowadzania, zgodnie z obowiązującymi w Uczelni zasadami, inwentaryzacji oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfiguracje, w terminie do 30 grudnia 2015 r.

    b) dostosowania samodzielnych stanowisk Administratora Bezpieczeństwa Informacji – samodzielne stanowisko oraz Administratora Bezpieczeństwa Informacji – systemy informatyczne do stanowiska zgodnego ze znowelizowaną ustawą o ochronie danych osobowych, w terminie do 30.06.2015 r.

    Ustawa nie przewiduje w strukturze organizacyjnej uczelni dwóch odrębnych organizacyjnie stanowisk Administratorów Bezpieczeństwa Informacji lecz dopuszcza powołanie jego zastępców, którzy spełniają warunki określone dla ABI.

§ 2

O wykonaniu zaleceń należy powiadomić Rektora i Audytora wewnętrznego w terminie do dnia 30.07. 2015 r.

§ 3

Zarządzenie wchodzi w życie z dniem podpisania.

Rektor

prof. dr hab. Roman Kołacz


Wytworzył:
Audytor wewnętrzny
Data opublikowania:
2015-01-28 10:11
Data ostatniej aktualizacji:
2015-01-28 10:11