POUŽÍVÁNÍ INFORMAČNÍCH A KOMUNIKAČNÍCH TECHNOLOGIÍ

Transkript

1 Sociální služby Vsetín, příspěvková SSLVS, Záviše Kalandry 1353, Vsetín POUŽÍVÁNÍ INFORMAČNÍCH A KOMUNIKAČNÍCH TECHNOLOGIÍ SMĚRNICE Proces Funkce Jméno a příjmení Datum Podpis Zpracování manažer pro PR a lidské zdroje Bc. T. Olejníčková Přezkoumání manažer kvality Ing. I. Kleinová interní auditor Ing. P. Holeksová Schválení ředitelka Mgr. M. Pavlůsková Verze 01 Nahrazuje: I-SM-00/ a systémů Stránka 1 z 16

2 Obsah Účel... 3 Rozsah platnosti, závaznost a odpovědnost... 3 Vymezení pojmů... 3 Výpočetní technika Evidence hardwaru a softwaru Bezpečnostní pravidla správce informačních a komunikačních technologií Pravidla pro práci s výpočetní technikou a bezpečnostní pravidla uživatelů Uživatelský účet Řízení přístupů a tvorba hesla Pravidla pro práci s datovými nosiči ová adresa a práce s poštou Spisová služba, datové schránky, podatelna Intranet Webové stránky Mobilní telefony Internetové volání Řízení rizik Fyzická bezpečnost Nakládání s osobními údaji Bezpečnost sítě Dodavatelé služeb informačních a komunikačních technologií Příloha č. 1 Seznam přidělených rolí ředitelkou organizace Stránka 2 z 16 Verze 01

3 Účel (1) Směrnice stanoví pravidla pro používání informačních a komunikačních technologií, správu intranetu a webu v Sociálních službách Vsetín, příspěvkové organizaci (dále jen SSLVS ). (2) Směrnice stanovuje bezpečnostní pravidla pro zpracování, uchování a předávání dat v SSLVS, obsahující osobní údaje v souladu s požadavky Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR). Rozsah platnosti, závaznost a odpovědnost (1) Ustanovení této směrnice jsou závazná pro všechny zaměstnance SSLVS. (2) Bezpečnostní pravidla, definovaná tímto dokumentem, jsou platná pro zpracování dat, obsahujících osobní údaje ve všech operačních systémech a aplikacích, které jsou ve správě SSLVS a provozované buď na výpočetní technice SSLVS, nebo na technice a aplikacích poskytnutých smluvním dodavatelem. (3) Ředitelka SSLVS je odpovědná za ustanovení zaměstnanců do jednotlivých rolí, ve kterých budou odpovědni za řízení bezpečnosti osobních údajů (seznam přidělených rolí viz. příloha č. 1). Jedná se především o ustanovení role pověřence pro ochranu osobních údajů, správce ICT, administrátorů a jednotlivých garantů aplikací. Schvaluje také přidělení administrátorských účtů vybraným zaměstnancům. (4) Další pravomoci a odpovědnosti jsou rozpracovány dále v textu. Vymezení pojmů (1) Administrační rozhraní redakční systém, neveřejná část webových stránek či intranetu, určená výhradně pro zaměstnance SSLVS pověřené jejich správou. (2) Administrátor osoba pověřená správou informačních a komunikačních (dále jen ICT ) technologií, která je schválena ředitelkou SSLVS a má nejvyšší úroveň oprávnění pro ICT technologií ve své správě. (3) Administrátor intranetu zaměstnanec SSLVS, pověřený správou intranetu (např. vkládání dokumentů, odstraňování dokumentů, vkládání a odstraňování textů, aktualit, úpravy uživatelských účtů apod.); má přístup k celému obsahu, popř. k části, která souvisí s organizačním útvarem, ve kterém je zaměstnán. (4) Administrátor webových stránek zaměstnanec SSLVS, pověřený správou webu (např. vkládání dokumentů, fotografií, odstraňování dokumentů, vkládání a odstraňování textů, aktualit, úpravy kontaktů apod.); má přístup k celému obsahu stránek, popř. k části, která souvisí s organizačním útvarem, ve kterém je zaměstnán. Stránka 3 z 16 Verze 01

4 (5) Administrátorský účet uživatelský učet, jenž má nejvyšší možná oprávnění v rámci daného operačního systému nebo aplikace. (6) Aplikace programové vybavení výpočetní techniky SSLVS (např. MS Word). (7) Autentizace je proces ověření proklamované identity subjektu. (8) Bezpečnost informací je zajištění následujících atributů chráněných informací: a) důvěrnosti (ochrana před neoprávněným čtením), b) integrity (ochrana před neoprávněnými úpravami nebo zničením), c) dostupnosti (zajištění adekvátního přístupu a ochrana před jeho neoprávněným zamezením). (9) Fyzická bezpečnost používání fyzických a technických ochranných opatření k zamezení neoprávněného přístupu k majetku a informacím SSLVS. (10) Garant aplikace (např. spisová služba, Gordic, apod.) zaměstnanec odpovědný za konkrétní aplikaci. Garant aplikace je odborný zaměstnanec se znalostí dané aplikace a rozhoduje o požadavcích na přístup k dané aplikaci. Garantem je ředitelka organizace. (11) Hardware (dále jen HW ) - veškeré fyzicky existující technické vybavení výpočetní techniky či síťových prostředků. (12) Intranet neveřejná část webových stránek určená pro zaměstnance SSLVS pro vnitřní komunikaci a pro sdílení platných interních dokumentů. (13) Koordinátor ICT zaměstnanec SSLVS, který zajišťuje funkčnost a správné fungování intranetu a webu, pomáhá zaměstnancům při využívání ICT, a je pověřen správou související s používáním ICT a je styčným zaměstnancem pro komunikaci se správcem ICT a s poskytovatelem telefonních služeb. (14) Operační systém (dále jen OS ) - základní programové vybavení počítače, které je zavedeno do paměti počítače při jeho startu a zůstává v činnosti až do jeho vypnutí (např. MS Windows 10). (15) Osobní údaj veškeré informace o identifikované nebo identifikovatelné fyzické osobě, přičemž identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. (16) Počítačová síť SSLVS síťové prostředky a výpočetní technika ve správě nebo v majetku SSLVS, které realizují spojení a výměnu informací. (17) Pověřenec pro ochranu osobních údajů SynPro Data s. r. o., se sídlem Smetanova 841, , Vsetín, IČ , Mgr. Karel Neubauer, JUDr. Lubomír Gajdůšek. (18) Provozní deník písemný dokument nebo elektronický soubor, který obsahuje všechny činnosti, které při správě počítačové sítě provádí správce ICT. (19) Přístupový údaj sada informací potřebných pro přihlášení do OS nebo aplikace. V základní podobě jsou tvořeny uživatelským jménem a heslem. Stránka 4 z 16 Verze 01

5 (20) Režimová opatření ucelený soubor opatření, pokynů, příkazů, zákazů a omezení představující soupis instrukcí pro vstup, odchod, pohyb v objektu a přistup k informacím SSLVS. (21) Software dále jen SW" (22) Síťové prostředky technická zařízení používaná k zajištění provozu, správy a bezpečnosti sítě SSLVS (např. routery, servery, switche, firewall). (23) Správce ICT embex, s. r. o., osoba odpovědná za provozování a správu počítačové sítě a prostředků ICT SSLVS. Disponuje administrátorskými účty k OS a některým aplikacím. (24) Uživatel zaměstnanec využívající výpočetní techniku SSLVS. (25) Uživatelské jméno jednoznačný identifikátor uživatele v systému. (26) Uživatelský účet jednoznačná identifikace uživatele v rámci OS nebo aplikace. Uživatelský účet umožňuje plnou práci, ale bez možnosti instalovat aplikace do výpočetní techniky nebo měnit nastavení OS nebo aplikace. Uživatelský účet se standardně skládá z uživatelského jména a hesla. (27) VPN (Virtuální privátní síť, z anglického Virtual Private Network) prostředek k propojení několika počítačů prostřednictvím (veřejné) nedůvěryhodné počítačové sítě. (28) Vstupní údaje přihlašovací jméno (login) a heslo. Slouží pro přihlášení k uživatelskému účtu v PC, např. do u, intranetu a administračního rozhraní intranetu a webu a do dalších aplikací vyžadujících vstupní údaje pro přihlášení. (29) Výpočetní technika (dále jen VT ) - soubor počítačů, notebooků, tabletů nebo smartphonů SSLVS. Obecně soubor zařízení, která disponují vlastním OS. (30) Zvláštní kategorie údajů osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Výpočetní technika 4.1. Evidence hardwaru a softwaru Evidenci SW a HW vede finanční účetní Bezpečnostní pravidla správce informačních a komunikačních technologií (1) Správce ICT je odpovědný za dodržování bezpečnostních pravidel při zpracovávání a ochraně osobních údajů v rámci počítačové sítě a na VT SSLVS. (2) Spolupracuje s organizací na tvorbě a aktualizaci analýzy rizik. (3) Spravuje antivirový systém na všech výpočetních prostředcích SSLVS a to především: - provádí jeho instalaci, - kontroluje funkčnost aktualizací, Stránka 5 z 16 Verze 01

6 - kontroluje výstupy programu. (4) Pro zaměstnance připravuje a instaluje VT, kterou nastaví dle definovaných bezpečnostních požadavků a následně ji předává určeným zaměstnancům k použití. (5) Vytváří a nastavuje zaměstnancům uživatelská oprávnění do počítačové sítě a aplikací v rozsahu schváleném ředitelkou organizace. (6) Na základě požadavku ředitelky zřizuje nebo ruší přístupy do OS. (7) Na základě požadavku garanta aplikace zřizuje nebo ruší přístupy do aplikace. (8) Zajišťuje fyzickou bezpečnost datových úložišť, nosičů a dat. (9) Poskytuje zaměstnancům SSLVS technickou podporu při využívání VT. (10) Provádí kontrolní činnost k zajištění bezpečnosti osobních údajů. (11) Vede provozní deník, ve kterém zaznamenává všechny klíčové činnosti související se správou počítačové sítě SSLVS. (12) Provádí bezpečnou likvidaci datových nosičů SSLVS, zejména pevných disků, flash disků, paměťových karet, CD a DVD disků apod. (13) V případě, že je třeba odeslat VT či její komponenty obsahující osobní údaje mimo organizaci (oprava, výpůjčka, pronájem, vyřazení, likvidace apod.), musí před odesláním vymazat z pevného disku veškeré osobní údaje nebo musí vyjmout paměťová média. (14) Provádí zálohování dat a klíčových síťových prostředků tak, aby např. při selhání datového úložiště bylo možné provést obnovu dat s minimální ztrátou uložených dat Pravidla pro práci s výpočetní technikou a bezpečnostní pravidla uživatelů (1) VT disponuje aktuálním OS a aplikacemi, jež mají nastavené automatické aktualizace. (2) Při přidělení VT jinému zaměstnanci správce ICT provádí kompletní reinstalaci. Ředitelka SSLVS určí, jakým způsobem naložit s daty, která jsou na VT uložena. Zaměstnanci jsou povinni dodržovat následující bezpečnostní pravidla při práci s VT: (1) Svěřenou VT využívají pouze pro plnění pracovních povinností. (2) Zaměstnancům je povolena pouze běžná obsluha HW, jakou je doplnění papíru v tiskárně, výměna náplně v tiskárně apod. (3) Zaměstnanci jsou povinni udržovat HW v čistotě a používat pouze čisticích prostředků vhodných k údržbě HW. (4) Zjištěnou závadu HW nebo SW, kterou nejsou oprávněni odstranit sami, jsou povinni oznámit svému nadřízenému, který odstranění závady zajistí přes Správce ICT. (5) Zaměstnanci dodržují zásady pro tvorbu přístupového hesla k OS a aplikacím. (6) Zachovávají jedinečnost a důvěrnost přístupového hesla, nikomu heslo nesdělují a nikde si jej nezaznamenávají. (7) Při zadávání vstupních přihlašovacích údajů k OS nebo aplikacím dbají na to, aby nebylo možné heslo odpozorovat další osobou. Stránka 6 z 16 Verze 01

7 (8) V případě jakéhokoliv podezření na kompromitaci hesla nebo dokonce jeho zneužití heslo okamžitě změní. (9) Před opuštěním pracoviště zabezpečují VT uzamčením pracovní plochy nebo odhlášení. (10) Dodržují pravidlo čistého stolu, všechny dokumenty obsahující osobní údaje, které v danou chvíli nezpracovávají, jsou uloženy v uzamykatelných skříních. (11) Při používání přenosné VT a datových nosičů mimo prostory SSLVS: a) nepředávají tuto techniku a nosiče třetím osobám, b) učiní všechna dostupná opatření, která mohou zabránit ztrátě či odcizení VT (neponechávají je bez dohledu a zabezpečení např. v dopravních prostředcích nebo v ubytovacích zařízeních), c) ztrátu či odcizení okamžitě nahlásí svému nadřízenému. (12) Neinstalují na VT software. (13) Nenavštěvují rizikové internetové stránky. (14) Důsledně ověřují doručenou elektronickou poštu a v případě podezření, že se jedná o závadný (spam, podvodný apod.), takovou zprávu neotvírají, nereagují na ní a tuto skutečnost neprodleně ohlásí správci ICT. (15) Nezasahují do VT a její konfigurace, vyjma situací, kdy toto bude vyžadováno přímo správcem ICT. (16) Odpovídají za to, že data při práci s přidělenou VT ukládají na určené servery, kde jsou správcem ICT zálohovány. (17) Zaměstnanci mají možnost zabezpečeného tisku dokumentů na společných tiskárnách, umístěných mimo pracoviště zaměstnance, pomocí zadání osobního kódu zaměstnance. Někteří zaměstnanci mají tiskárnu ve své kanceláři, pak zabezpečený tisk nepoužívají. (18) Netisknou data z aplikací SSLVS pro jiné než pracovní účely Uživatelský účet (1) Zaměstnanec využívající VT, používá pro přihlášení k OS a aplikacím jedinečné uživatelské jméno a heslo ke svému uživatelskému účtu, jehož zřízení zajistí správce ICT nebo garant aplikace. (2) Při nástupu zaměstnance jsou správcem ICT, na základě pokynů ředitelky SSLVS a garanta aplikace, nastupujícímu zaměstnanci přiděleny uživatelské účty a přístupové údaje k OS a aplikacím. (3) Při vzniku potřeby změnit přidělená přístupová opatření, žádá zaměstnanec nebo jeho přímý nadřízený příslušného garanta aplikace o povolení požadovaných přístupových oprávnění. (4) V případě ukončení pracovního poměru zaměstnance jsou na základě pokynu ředitelky veškerá přístupová oprávnění zaměstnance odebrána správcem ICT. Stránka 7 z 16 Verze 01

8 4.5. Řízení přístupů a tvorba hesla (1) Společné, projektové či jinak sdílené uživatelské účty k OS a aplikacím obsahující osobní údaje jsou zakázány. (2) Přístup ke sdíleným složkám je zaměstnancům povolen pouze na základě zadání jejich uživatelského jména a hesla. Správce ICT definuje způsoby přístupu k těmto složkám a na základě schválení ředitelky nastaví příslušná přístupová oprávnění. (3) Administrátorské účty jsou řízeny. Správce ICT na základě souhlasu ředitelky nastavuje přístupy tak, aby administrátorským účtem disponovali jen zaměstnanci, kteří jej ke své práci prokazatelně potřebují. Zaměstnanci s administrátorskými účty jsou seznámeni s faktem, že jsou majiteli administrátorského účtu a jsou si vědomi vyšších bezpečnostních a uživatelských nároků spojených s tímto typem účtu. (4) Zaměstnanci s administrátorskými účty jsou pro běžnou práci povinni používat standardní uživatelský účet. Administrátorský účet jsou oprávněni použít pouze v opodstatněných případech k výkonu činností, pro které je toto oprávnění nezbytné. (5) Správce ICT vede seznam všech zaměstnanců k aplikacím, které jsou v jeho správě. Ředitelka SSLVS ve spolupráci se správcem ICT, pravidelně tyto seznamy přezkoumává z hlediska aktuálnosti a potřebnosti (6) Garanti aplikací jsou odpovědní za řízení přístupových oprávnění zaměstnanců ke svěřeným aplikacím. Garanti aplikací vedou seznamy zaměstnanců, kteří mají do aplikací přístup. (7) Na veškeré VT je nastaveno uzamykání uživatelského účtu max. po 10 min. jeho neaktivity. (8) Minimální pravidla pro hesla uživatelů jsou stanovena následovně: a) minimální délka je 6 znaků, obsahující alespoň jednu číslici a velké písmeno, b) maximální platnost hesla je nastavena na 6 měsíců s vynucenou změnou (tj. nelze ji odložit), c) nelze použít tři poslední použitá hesla. (9) Administrátorské účty a správce ICT pro přihlašování k síťovým prostředkům používá heslo splňující alespoň následující pravidla: a) minimální délka 15 znaků, obsahuje alespoň jednu číslici, malé a velké písmeno, b) minimální doba platnosti hesla je 1 den, c) maximální platnost hesla je nastavena na 6 měsíců s vynucenou změnou (tj. nelze ji odložit), d) nelze použít 5 posledních použitých hesel Pravidla pro práci s datovými nosiči (5) Přenosný datový nosič se používá za účelem uchování dat. Jedná se o externí pevný disk, USB flash disk, paměťovou kartu apod. (6) SSLVS vede evidenci všech datových nosičů. (7) Zaměstnanci nesmí předávat datové nosiče jiným osobám. Stránka 8 z 16 Verze 01

9 (8) Zaměstnancům je zakázáno používat soukromé datové nosiče a nosiče mimo evidenci. (9) Datové nosiče s osobními údaji jsou uchovávána v uzamykatelných skříních a nejsou používána pro jiný účel. (10) V případě, že budou na USB flash disk uložena data obsahující osobní údaje, ihned poté, co pominou důvody k jejich uložení, budou data z USB flash disku vymazána. (11) Ztrátu či odcizení datového nosiče zaměstnanec okamžitě nahlásí svému nadřízenému ová adresa a práce s poštou (1) Vytvoření, opravu či zrušení ové adresy a nastavení poštovního klienta v PC zajišťuje u správce ICT koordinátor ICT na základně požadavků ředitelky nebo vedoucího zařízení. (2) Pokud byla zaměstnanci přidělena pracovní ová adresa, je zaměstnanec povinen kontrolovat doručené zprávy minimálně 3krát za den, avšak doporučuje se kontrolovat je v průběhu pracovní doby vícekrát. (3) Pokud zaměstnanec obdrží elektronickou poštou zprávu, u které by se mohlo jednat o spam, je povinen takovou zprávu neotvírat, ale trvale ji smazat. (4) Pokud zaměstnanec obdrží elektronickou poštou nebo jiným způsobem soubor, o jehož původu pochybuje, nesmí tento soubor otevírat či ukládat na disk (zvláště jedná-li se o soubory s koncovkami *.com, *.exe, *.pif, *.bat., a informuje ihned svého nadřízeného, který zajistí další řešení situace správcem ICT). (5) Zaměstnanec je povinen počínat si tak, aby nedošlo ke zneužití jeho ové adresy Spisová služba, datové schránky, podatelna (1) SW Spisová služba slouží především k evidenci příchozí a odchozí pošty, práci s datovými schránkami (příjem a odeslání) a s elektronickou podatelnou. (2) Uživatelské účty do tohoto SW zajišťuje na základě požadavku ředitelka SSLVS u Krajského úřadu Zlínského kraje, na příslušném odboru. (3) Zaměstnanec, pověřený správnou Spisové služby, je povinen minimálně 2 x denně se do programu přihlásit a provést stažení zpráv z datové schránky, a rovněž řádným způsobem využívat jím určené rozhraní programu dle rolí (podatelna, sekretariát, výpravna, spisovna, referent) ke správě dokumentů SSLVS. (4) Pověřený zaměstnanec ředitelství rovněž zodpovídá za stažení a správu dat elektronické podatelny (podatelna@sluzbyvsetin.cz) Intranet (1) Intranet slouží pro vnitřní komunikaci mezi zaměstnanci SSLVS a pro sdílení platných interních dokumentů, pro zasílání aktualit atp. (2) Základní členění intranetu: - diskuze sekce, ve které jsou umístěny diskusní příspěvky uživatelů, Stránka 9 z 16 Verze 01

10 - dokumenty sekce, ve které jsou umístěny interní dokumenty I. a II. úrovně a další dokumenty a formuláře, - další členění sekcí a podsekcí diskusních příspěvků a dokumentů je dáno dle skupin organizačního útvaru, pracovního zařazení apod. (3) Vytvoření či zrušení uživatelského účtu a vstupních údajů k intranetu zajišťuje personalistka SSLVS. (4) Opravu uživatelského účtu k intranetu zajišťuje koordinátor ICT na základně požadavků vedoucího zařízení či jím pověřené osoby, v němž je zaměstnanec zařazen. (5) Každý uživatel je zařazen do skupin, a to dle pracovního zařazení a dle organizačního útvaru, ve kterém pracuje. (6) Skupina dle pracovního zařazení: - je tvořena pracovníky stejného nebo podobného pracovního zařazení, - každý běžný uživatel je zařazen do některé z těchto skupin ekonomika, management, přímá péče, provoz, sociální, zdravotní, stravování. - skupina dle organizační jednotky je tvořena zaměstnanci této organizační jednotky. (7) Předávání požadavků na změny či doplnění informací na intranetu, které nejsou v kompetenci zaměstnanců, zajistí vedoucí zařízení přes administrátora intranetu nebo koordinátora ICT, který je povinen se jejich požadavky zabývat. (8) Zaměstnanec je povinen chránit své vstupní údaje, po ukončení používání intranetu je povinen se vždy odhlásit. (9) O rozsahu práv do administračního rozhraní intranetu rozhoduje ředitelka SSLVS. (10) Zaměstnanec pověřený správou intranetu je povinen chránit své vstupní údaje k administračnímu rozhraní, po ukončení jeho používání je povinen se vždy odhlásit. (11) Pokud kterýkoliv zaměstnanec objeví na intranetu nějakou nesrovnalost, je povinen o této skutečnosti informovat svého nadřízeného nebo koordinátora ICT Webové stránky (1) Na vytvoření vstupních údajů do administračního rozhraní webu, nebo opravu či zrušení uživatelského účtu pro uživatele zasílá požadavek vedoucí zařízení či jím pověřená osoba koordinátorovi ICT, který je povinen se jeho požadavkem zabývat. (2) O zřízení vstupních údajů a rozsahu práv do administračního rozhraní webu schvaluje a povoluje ředitelka SSLVS. (3) Zaměstnanec je povinen chránit své vstupní údaje k administračnímu rozhraní webu, po ukončení jeho používání je povinen se vždy odhlásit. (4) Předávání požadavků na změny či doplnění informací na webu, které nejsou v kompetenci zaměstnanců, kteří jsou pověřeni jejich správou, zajistí vedoucí zařízení přes koordinátora ICT, který je povinen se jejich požadavky zabývat. (5) Pokud kterýkoliv zaměstnanec objeví na webu nějakou chybu, nesrovnalost či závadu, je povinen o této skutečnosti informovat svého nadřízeného, který zajistí další řešení situace koordinátorem ICT. Stránka 10 z 16 Verze 01

11 Mobilní telefony (1) O nákupu a přidělení služebního telefonu rozhoduje ředitelka SSLVS na základě požadavků vedoucích zařízení. (2) Požadavky vystavení nové SIM karty, změny tarifu, převodu tel. čísel apod. se zabývá koordinátor ICT na základě pokynu ředitelky SSLVS. (3) Služební mobilní telefon slouží pouze pro pracovní hovory a hovory související s výkonem práce, popř. k poskytování fakultativních služeb uživatelům, kterým jsou tyto hovory účtovány dle platných sazebníků. (4) Pokud zaměstnanec z telefonu pošle MMS či DMS, tyto mu budou dány k úhradě. (5) Pokud zaměstnanec ztratí mobilní telefon nebo mu bude odcizen, je povinen neprodleně informovat svého nadřízeného, aby zajistil u koordinátora ICT blokaci SIM karty a následné vyřízení nové SIM. Internetové volání (1) O pořízení, změně či zrušení telefonního čísla určeného pro volání přes internet (tzv. VoIP) rozhoduje ředitelka SSLVS na základně požadavku vedoucího zařízení. (2) Požadavky se zabývá koordinátor ICT na základě pokynu ředitelky SSLVS. (3) Telefon slouží pouze pro pracovní hovory a hovory související s výkonem práce, popř. k poskytování fakultativních služeb uživatelům, kterým jsou tyto hovory účtovány dle platných sazebníků. Řízení rizik (1) SSLVS provádí v pravidelných intervalech analýzu rizik v souladu s metodikou pro analýzu rizik na základě požadavků čl. 24 a 32 GDPR. (2) Analýza rizik GDPR má za cíl určit možné hrozby a zranitelnosti při zpracování osobních údajů, včetně identifikace a stanovení rizik, která mohou vzniknout působením těchto hrozeb na účely zpracování osobních údajů. Fyzická bezpečnost (1) SSLVS má definována režimová opatření pro provoz budov. (2) Zaměstnanci, zacházející s písemnostmi, obsahujícími osobní údaje, mají dostatek uzamykatelných úložných prostor pro ukládání těchto dokumentů, která aktivně využívají. (3) V organizaci je zavedeno klíčové hospodářství (tzn. klíče, přidělené zaměstnancům, jsou evidovány). Duplikáty klíčů jsou uloženy v trezoru nebo uzamykatelné skříňce. Stránka 11 z 16 Verze 01

12 (4) Úklid prostor je prováděn vlastními zaměstnanci. Pokud jsou pro úklid využívány služby externího dodavatele, je úklid prostor, obsahující písemnosti s osobními údaji, prováděn za přítomnosti zaměstnanců. (5) Servery a jiná klíčová síťová zařízení jsou umístěny takovým způsobem, který maximálně zabraňuje nepovolaným osobám s těmito zařízeními, jakkoliv manipulovat nebo je poškodit. Nakládání s osobními údaji (1) Data, obsahující osobní údaje, která nejsou uložena v aplikaci (např. soubory MS Word, MS Excel apod.), ukládají zaměstnanci do určených adresářů na interní pevný disk přidělené VT nebo dle potřeby na síťové disky. (2) Ukládat osobní údaje na soukromá paměťová média a do cloudu je zakázáno. (3) Soubory, obsahující osobní údaje, jsou zasílány mimo organizaci prostřednictvím datové schránky. Pokud tak nelze učinit, musí zaměstnanec tento soubor uložit do souboru typu ZIP, RAR apod. zabezpečeného heslem, který je odeslán příjemci elektronickou poštou. Heslo je příjemci zasláno jiným komunikačním kanálem např. SMS. Pro zašifrování souboru je možné využít kvalifikovaný certifikát. (4) Soubory, obsahující zvláštní kategorie osobních údajů, jsou zasílány pouze prostřednictvím datové schránky. (5) Pokud jsou zálohy přenášeny mimo prostory organizaci, je pro jejich ochranu využíváno šifrování. (6) Pokud dojde k úniku nebo ztrátě dat, obsahujících osobní údaje, je každý zaměstnanec povinen neprodleně hlásit tento incident nadřízenému vedoucímu zaměstnanci, který tuto skutečnost hlásí neprodleně pověřenci pro ochranu osobních údajů. Bezpečnost sítě (1) Mobilní zařízení (smartphony, tablety) s vlastním OSem jsou vybavena antivirovou aplikací. (2) Zaměstnanci mohou využívat soukromá mobilní zařízení pouze pro práci s obsahem pracovní ové schránky. Jiné využití soukromých mobilních zařízení pro pracovní účely (např. připojení do vnitřní sítě, administrace aplikací apod.) je zakázáno. (3) Wi-Fi síť je používána pro přístup k interní síti, a tedy i aplikacím, je identita zaměstnance před zpřístupněním této sítě ověřena prostřednictvím zadání přístupových údajů. Bez ověření identity zaměstnance nejsou interní síť, aplikace nebo síťové disky zpřístupněny. (4) Přístup k zálohám síťových prostředků a síťovým aplikacím je striktně omezen jak na logické, tak i fyzické úrovni pouze na odpovědné osoby. (5) Všechny vzdálené přístupy k síti (pomocí např. vzdálené plochy nebo VPN) povoluje ředitelka. Stránka 12 z 16 Verze 01

13 (6) Všechny způsoby vzdáleného přístupu k síti splňují následující: a) vytvořené spojení v rámci vzdáleného přístupu je šifrované (bez ohledu na povahu přenášených dat) a předchází mu autentizace (minimálně heslem, lépe uživatelským certifikátem), b) každý vzdálený přístup je jednoznačně identifikovatelný (uživatel) a je zaznamenán, c) uživatelé nesmí propůjčovat své oprávnění vzdáleného přístupu třetím osobám, byť zaměstnancům SSLVS, d) připojení probíhá prostřednictvím bezpečného kanálu (HTTPS, VPN, pomocí VPN mimo veřejnou síť poskytovatele apod.). (7) Správce ICT vede evidenci zaměstnanců a VT s povoleným vzdáleným přístupem. Tyto seznamy jsou v pravidelných intervalech (alespoň jedenkrát za rok) přezkoumávány ředitelkou SSLVS, nebo jí pověřenou osobou. (8) V organizaci je využíváno vhodné logické dělení sítě na jednotlivé segmenty (tzv. segmentace sítě). Správce ICT nastavuje samostatné segmenty sítě, jako jsou např. servery, síťové tiskárny, zasedací místnosti apod. (9) Síťové zásuvky jsou připojeny dle jejich využití. Nepoužívané zásuvky jsou správcem ICT v rozvaděči odpojeny. (10) Správce ICT přezkoumává v pravidelných intervalech (alespoň 1x za měsíc) důležité bezpečnostní logy firewallu. Například využití sítě (jednotlivých portů), neúspěšné pokusy o vzdálené přihlášení, pokusy o skenování sítě apod. Dodavatelé služeb informačních a komunikačních technologií (1) SSLVS identifikuje dodavatele aplikací a služeb ICT s možností přístupu ke svým datům (i vzdálený přístup např. pomocí VPN) a uzavře s nimi smlouvy, příp. dodatek smlouvy o zpracování osobních údajů v souladu s požadavky čl. 28 GDPR. (2) Správce ICT eviduje jednotlivé vzdálené přístupy dodavatelů a kontroluje jejich oprávněnost. (3) V rámci smluvního vztahu s dodavatelem SSLVS stanoví předmět dodávané služby. V rámci klasifikace úrovně dodávky musí být minimálně stanoveny následující podmínky: a) stanovení předmětu a kvality služby, b) stanovení Service Level Agreement SLA (pokud je předmětem dodávky služba), c) stanovení požadavků na bezpečnostní opatření pro dodavatele a zároveň dodavatelského řetězce (pokud rizika závisí nejen na dodavateli, ale i na jeho subdodavatelích), d) definice stížností, reklamací (stanovení postupů), e) eskalační procedura (v případě, že nelze s dodavatelem dohodnout řešení, mělo by být určeno, na kterou hierarchicky vyšší řídící úroveň se řešení problému přesune), Stránka 13 z 16 Verze 01

14 f) nastavení kontrolních mechanizmů v rámci předmětu dodávané služby, g) hodnocení a kontrola bezpečnostních opatření. (4) Za řízení dodavatelů je odpovědná ředitelka SSLVS nebo jí pověřená osoba, která danou službu zastřešuje. (5) O všech změnách, dohodách a kontrolách s dodavateli musí být proveden záznam. Související dokumenty: - Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) - Směrnice Povinnosti osob při zpracování osobních údajů, - Směrnice Záznamy o činnostech zpracování, - Směrnice Výkon práv subjektu údajů, - Směrnice Politika ochrany osobních údajů, - Analýza rizik GDPR Stránka 14 z 16 Verze 01

15 Příloha č. 1 Seznam přidělených rolí ředitelkou organizace Seznam přidělených rolí ředitelkou organizace 1) Koordinátor ICT Tomáš Žamboch, DiS. 2) DPO partner Ing. Petra Holeksová Stránka 15 z 16 Verze 01

16 SEZNAM REVIZÍ Datum Popis revize Jméno a příjmení Podpis ZÁZNAM O SEZNÁMENÍ ZAMĚSTNANCŮ S DOKUMENTEM Svým podpisem potvrzuji, že jsem se s dokumentem seznámil/a, obsahově rozumím popsanému procesu a povinnostem, které mi z dokumentu vyplývají. Datum Jméno a příjmení Pracovní pozice Podpis Stránka 16 z 16 Verze 01