w sprawie wykonania zaleceń pokontrolnych audytora wewnętrznego wynikających z przeprowadzonego zadania audytowego na temat: „System zarządzania bezpieczeństwem informacji – obowiązujące przepisy wewnętrzne zapewniające bezpieczeństwo przetwarzania danych osobowych w UPWr”
Na podstawie art. 66 ust. 2 pkt 5 ustawy z dnia 27 lipca 2005 r. – Prawo o szkolnictwie wyższym (tekst jednolity Dz. U. z 2012 r. poz. 572 ze zm.), § 18 ust. 3 pkt 6 Statutu Uniwersytetu Przyrodniczego we Wrocławiu, § 17 ust. 3 pkt 4) lit. b) Regulaminu Organizacyjnego wprowadzonego zarządzeniem rektora nr 56/2010 z dnia 31 marca 2010 r. ze zm. zarządza się co następuje:
§ 1
Na podstawie ustaleń sprawozdania audytowego na temat „System zarządzania bezpieczeństwem informacji – obowiązujące przepisy wewnętrzne zapewniające bezpieczeństwo przetwarzania danych osobowych w UPWr” i zawartych w nim zaleceń, zobowiązuje się:
- Administratora Bezpieczeństwa Informacji – samodzielne stanowisko oraz Administratora Bezpieczeństwa Informacji – systemy informatyczne, do:
a) dostosowania wewnętrznych aktów prawnych dotyczących ochrony danych osobowych i przetwarzania danych osobowych w systemach informatycznych obowiązujących w uczelni do znowelizowanej ustawy o ochronie danych osobowych (zarządzenie nr 30/2008 rektora z 12 marca 2008 r. w sprawie ochrony danych osobowych i baz danych w systemach informatycznych w Uniwersytecie Przyrodniczym we Wrocławiu ze zmianami wraz z Polityką bezpieczeństwa w zakresie ochrony danych osobowych w UPWr, Instrukcją zarządzania systemami informatycznymi używanymi do przetwarzania danych osobowych w UPWr, Instrukcją postępowania w przypadkach naruszenia ochrony danych osobowych w UPWr), w terminie do 30.06.2015 r.
b) uwzględnienia, w przepisach wewnętrznych uczelni dotyczących ochrony danych osobowych i ich przetwarzania w systemach informatycznych, zapisów zawartych w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z dnia 16 maja 2012 r. poz. 526), termin do 30.06.2015 r.
- Administratora Bezpieczeństwa Informacji – samodzielne stanowisko do:
a) złożenia rektorowi wniosku o formalne powierzenie pełnienia obowiązków osobom wskazanym jako Lokalni Administratorzy Danych Osobowych, zgodnie z zapisami zarządzenia rektora nr 30/2008 w sprawie ochrony danych osobowych i baz danych w systemach informatycznych w UPWr, w terminie do 30.06.2015 r.
b) spowodowania prowadzenia na bieżąco w każdej jednostce organizacyjnej uczelni, w której przetwarzane są dane osobowe, rejestru wystawianych przez kierownika jednostki organizacyjnej wniosków i uzyskanych upoważnień do przetwarzania danych osobowych.
Celem jest uporządkowanie procesu przetwarzania danych osobowych w sposób pozwalający na uzyskanie pełnej i bieżącej informacji kto w jednostce organizacyjnej takie upoważnienie posiada, w jakich miejscach przetwarzane są dane osobowe i w jakich systemach informatycznych.
Numeracja wniosków ujętych w Rejestrze powinna być jednolita dla danej jednostki organizacyjnej.
c) opracowania zasad wydawania pracownikom uczelni upoważnień oraz nadawania uprawnień do przetwarzania danych osobowych, w terminie do 30.03.2015 r.
d) spowodowania bieżącego stosowania wszystkich zapisów ujętych w wewnętrznych aktów prawnych Uczelni dotyczących ochrony danych osobowych i przetwarzania danych osobowych w systemach informatycznych, przez wszystkich uczestników tego procesu w UPWr.
- Administratora Bezpieczeństwa Informacji – systemy informatyczne do:
a) spowodowania powierzenia przez kierowników jednostek organizacyjnych uczelni formalnego powierzenia pełnienia obowiązków osobom wskazanym jako Administratorzy Systemów Informatycznych, zgodnie z zapisami zarządzenia rektora nr 30/2008 w sprawie ochrony danych osobowych i baz danych w systemach informatycznych w UPWr, w terminie do 30.06.2015 r.
b) dokonania zmian zapisów Instrukcji zarządzania systemami informatycznymi w UPWr tak aby odpowiadały aktualnym warunkom funkcjonowania systemów informatycznych w Uczelni i przepisom prawa, w tym doprecyzowania zapisów o powierzenie wskazanym pracownikom obowiązków w zakresie opracowywania szczegółowych Instrukcji zarządzanymi systemami informatycznymi (§ 4 obowiązującej Instrukcji), w terminie do 31.03.2015 r.
c) przeprowadzania corocznej udokumentowanej analizy ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących ryzyka związane z przetwarzaniem danych osobowych w systemach informatycznych zawierających dane osobowe w uczelni, w terminie do 30 marca każdego roku.
- Kanclerza uczelni do spowodowania:
a) przeprowadzania, zgodnie z obowiązującymi w Uczelni zasadami, inwentaryzacji oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfiguracje, w terminie do 30 grudnia 2015 r.
b) dostosowania samodzielnych stanowisk Administratora Bezpieczeństwa Informacji – samodzielne stanowisko oraz Administratora Bezpieczeństwa Informacji – systemy informatyczne do stanowiska zgodnego ze znowelizowaną ustawą o ochronie danych osobowych, w terminie do 30.06.2015 r.
Ustawa nie przewiduje w strukturze organizacyjnej uczelni dwóch odrębnych organizacyjnie stanowisk Administratorów Bezpieczeństwa Informacji lecz dopuszcza powołanie jego zastępców, którzy spełniają warunki określone dla ABI.
§ 2
O wykonaniu zaleceń należy powiadomić Rektora i Audytora wewnętrznego w terminie do dnia 30.07. 2015 r.
§ 3
Zarządzenie wchodzi w życie z dniem podpisania.
Rektor
prof. dr hab. Roman Kołacz
