Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
Bezpečnostný projekt predstavuje výsledný produkt analytickej časti riešenia bezpečnosti informačného systému ochrany osobných údajov. Sumarizuje výsledky analýz a spoločne s bezpečnostnými smernicami predkladá spôsoby riešenia pre všetky úrovne zabezpečenia s popisom bezpečnostných opatrení.
BEZPEČNOSTNÝ PROJEKT OCHRANY INFORMAČNÉHO
SYSTÉMU OSOBNÝCH ÚDAJOV
(vzor)
| YX, a. s., SPIŠSKÁ NOVÁ VES
| Výtlačok č.:
|
| Správca dokumentu:
| Zmena č.:
|
| Vypracoval:
funkcia:
| Podpis:
| Dňa:
|
| Schválil:
funkcia:
| Podpis:
| Dňa:
|
Interný firemný predpis č. .../20..
BEZPEČNOSTNÝ PROJEKT
OCHRANY INFORMAČNÉHO SYSTÉMU
OSOBNÝCH ÚDAJOV
obchodnej spoločnosti YX, a. s.,
so sídlom Spišská Nová Ves, Modrá ul. č. 5,
PSČ 949 01, IČO: 00 000 000,
zapísaná v Obchodnom registri Okresného súdu Spišská Nová Ves,
oddiel Sa, vložka č. 9999/T
OBSAH A LIST ZMIEN
| Kapitola č.:
| Názov kapitoly
| Zmena č.
| Dátum zmeny:
|
| 1.
| Názov informačného systému
| | |
| 2.
| Názov organizácie, ktorá informačný systém prevádzkuje
| | |
| 3.
| Meno zodpovednej osoby za spracovanie projektu
| | |
| 4.
| Rozsah projektu
| | |
| 5.
| Údaje o informačnom systéme – popis informačného systému
| | |
| 6.
| Zoznam chránených osobných údajov a ich klasifikácia
| | |
| 7.
| Zásady bezpečnosti a ochrany
| | |
| 8.
| Stupeň bezpečnosti podľa bezpečnostného štandardu
| | |
| 9.
| Bezpečnostný zámer
| | |
| 10.
| Výsledky analýzy bezpečnosti informačného systému
| | |
| 11.
| Závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému
| | |
| 12.
| Ekonomické a organizačné zabezpečenie bezpečnosti informačného systému
| | |
| 13.
| Časový harmonogram plnenia a kontroly bezpečnosti informačného systému
| | |
| 14.
| Záverečné ustanovenia
| | |
Poznámka:
Ak dôjde k zmene údajov v zaregistrovanom informačnom systéme, je prevádzkovateľ povinný tieto zmenené údaje nahlásiť úradu do 15 dní. Na oznamovanie zmien sa používa formulár na registráciu informačného systému zverejnený na internetových stránkach úradu.
1. NÁZOV INFORMAČNÉHO SYSTÉMU
Názov informačného systému je:
- sporová agenda – súbor všetkých písomných a elektronických dokumentov týkajúcich sa súdnych, prípadne exekučných sporov (vymáhanie pohľadávok a pod., pod akým názvom bol informačný systém uvedený vo formulári na registráciu – vo forme bezpečnostného projektu budú spracovávať len tie akciové spoločnosti, ktoré buď uvádzajú na návrhoch žalôb rodné čísla, alebo tie, ktorým vymáhanie pohľadávok, resp. ich právne zastupovanie vykonáva iná osoba, napr. advokát, ktorý v takom prípade vystupuje ako sprostredkovateľ, ktorý musí okrem zmluvy mať aj dodatok k zmluve v zmysle zákona č. 122/2013 Z. z. o ochrane osobných údajov),
- personálna a mzdová agenda – súbor všetkých písomných a elektronických informácií týkajúcich sa údajov o zamestnancoch a ich miezd (v prípade, ak akciová spoločnosť vykonáva zrážky zo mzdy na členské príspevky odborom, sú prevádzkovatelia oprávnení o svojich zamestnancoch spracúvať osobné údaje, ktoré odhaľujú ich členstvo v odborovej organizácii, ak na takéto spracúvanie dal zamestnávateľovi zamestnanec písomný súhlas. Na informačný systém, v ktorom sú spracúvané osobné údaje dotknutých osôb odhaľujúce členstvo v odborových organizáciách sa nevzťahuje povinnosť registrácie, ak sa tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu. Informačný systém, v ktorom sú spracúvané osobné údaje dotknutých osôb odhaľujúce členstvo v odborových organizáciách, podlieha osobitnej registrácii v zmysle ustanovenia § 37 písm. c) ZOOÚ v prípade, ak predpokladá prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov.),
- evidencia spoločníkov – akcionárov.
| Poznámka:
Ak prevádzkovateľ spracúva osobné údaje vo viacerých IS, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu, môže vypracovať jeden bezpečnostný projekt pre všetky IS, v ktorom zreteľne označí časti týkajúce sa jednotlivých IS.
Pri IS, ktoré a. s. neregistruje, bude názov nie bezpečnostný projekt, ale bezpečnostné opatrenia s textom tak, ako je uvedené v tomto vzore bezpečnostného projektu, len slová bezpečnostný projekt sa zamenia za slová bezpečnostné opatrenia a slovo projekt za opatrenie.
|
2. NÁZOV ORGANIZÁCIE, KTORÁ INFORMAČNÝ SYSTÉM PREVÁDZKUJE
| Poznámka:
V tomto článku akciová spoločnosť uvedie svoje obchodné meno v súlade s § 3a, § 8 a § 9 Obchodného zákonníka. To znamená obchodné meno spoločnosti, sídlo spoločnosti, právna forma spoločnosti, zapísaná v Obchodnom registri Okresného súdu v …………, v oddiele …………, vložka číslo ………….., IČO spoločnosti.
|
3. MENO ZODPOVEDNEJ OSOBY ZA SPRACOVANIE PROJEKTU
| Poznámka:
V tejto časti akciová spoločnosť uvedie meno a priezvisko, titul a funkciu pracovníka, ktorý je určený ako zodpovedná osoba za spracovanie bezpečnostného projektu v súlade s ustanovením § 27 ods. 2 písm. f) zákona č. 122/2013 Z. z. V prípade informačných systémov, ktoré nemá a. s. zaregistrované a vedie len ich evidenciu, uvedie a. s. nasledovný text: Meno zodpovednej osoby za spracovanie bezpečnostných opatrení.
|
4. ROZSAH PROJEKTU
- Bezpečnostné opatrenia v oblasti fyzickej ochrany osobných údajov v informačnom systéme v manuálnej (písomnej) podobe,
- bezpečnostné opatrenia v oblasti fyzickej a automatizovanej ochrany osobných údajov v informačnom systéme v automatizovanej, t. j. elektronickej podobe, zabezpečenie PC, bezpečnosť HW a SW,
- organizačné a personálne opatrenia na ochranu osobných údajov,
- rozsah tohto bezpečnostného projektu je zameraný na zabezpečenie nevyhnutnej bezpečnosti informačného systému proti možnému útoku zo strany interných a externých osôb, a to na jeho:
- dôvernosť (ochrana pred neoprávneným prístupom nepovolaných osôb – hackerov, vlámačov, počítačových vírusov, neoprávneného rozmnožovania a pod.),
- integritu (ochrana proti poškodeniu, zmene, vymazaniu a zničeniu) a
- dostupnosť (ochrana proti výpadkom napájania a iným havarijným stavom).
5. ÚDAJE O INFORMAČNOM SYSTÉME – POPIS INFORMAČNÉHO SYSTÉMU
5.1 Súčasný stav technológie spracúvania a jej zabezpečenie:
- Automatizovaná – osobné údaje sú spracovávané pomocou výpočtovej techniky – informačný systém je zapojený v rámci miestnej počítačovej siete (LAN), resp. informačný systém je prevádzkovaný na samostatnom PC. Internet je prevádzkovaný prostredníctvom jedného PC nainštalovaného v kancelárii riaditeľa (predsedu) – a. s. uvedie podľa svojej situácie, kde má internet nainštalovaný. Automatizovaný informačný systém z firmy ........... (uviesť názov firmy zabezpečujúcej automatizovaný informačný systém v elektronickej podobe) je komplexnou programovou agendou s podsystémami. Prístup k jednotlivým subsystémom je zabezpečený hardvérovými kľúčmi, ktoré obmedzujú prístup na jednotlivé programy. Prístup k dátam je obmedzený heslom prístupu do doménového servera. PC majú hardvérové kľúče pre sprístupnenie jednotlivých programov na spracúvanie agend a. s. a na obmedzenie vstupu pre neoprávnených užívateľov. Prístup bol zamestnancom a. s. pridelený v zmysle Smernice o prideľovaní, modifikácii a rušení prístupov do informačných systémov osobných údajov v a. s. Server (1 kus) a jednotlivé počítače – uviesť počet PC, sú na báze napr. Pentium Intel CPU 300, 433,1700 MHz, RAM 16, 32,128 MB, sieťové karty 3 COM Etherlink 10/100 – akciová spoločnosť uvedie, na akej báze ich má, a opíše ich dáta. Na PC je inštalovaný systém, napr. Windows 95, Windows 98 – a. s. uvedie, aký systém má na PC inštalovaný. Programy agendy pre a. s. sú v programe napr. FOXPRO – a. s. uvedie, v akom programe má agendu v PC, vstup do agendy je zabezpečený menom a heslom. Akciová spoločnosť disponuje týmito tlačiarňami – vypísať značky a počet kusov.
Prevádzku miestnej siete, jej vybavenosť, zabezpečovanie opráv, inováciu technického stavu a sledovanie nákladovosti riadi a zabezpečuje správca počítačovej siete, zamestnanec a. s., resp. externý zamestnanec a. s.
Opis budovy (sídla akciovej spoločnosti)
Sídlo akciovej spoločnosti sa nachádza v ..... (uviesť názov mesta) na ul. ........ (názov ulice) .... číslo ..... (uviesť súpisné číslo). Ide o objekt v súvislej zástavbe, samostatný objekt, v bytovom dome a pod. (a. s. uvedie, o aký objekt v jej prípade ide), s vlastným vchodom do objektu, prípadne spoločný vchod do bytového domu a pod. Vstup do objektu je z ulice zabezpečený vchodovými uzamykateľnými dverami s mrežou a bezpečnostnou zámkou, resp. uzamykateľnými dverami s bezpečnostnou zámkou a pod., z vonkajšej strany vybavený bezpečnostnou guľou. Pri vchodových dverách sú na stene umiestnené zvončeky s označením kancelárie:
- Sekretariát
- Riaditeľ
- Ekonóm a pod.
| Poznámka:
Prípadne ak má a. s. strážnu službu, uvedie aj túto skutočnosť.
|
Prístup do objektu je cez vrátnicu s 24-hodinovou ochranou objektu, resp. v pracovnej dobe od ... do ..., ...
Súhlas s použitím cookies
Vlastné nastavenie cookies