Instrukcja Zarządzania Systemem Informatycznym

e-DOKUMENTACJA » Instrukcja Zarządzania Systemem Informatycznym

jest dokumentem eksploatacyjnym dla systemów klasy EDM. Przedstawia ona procedury i zasady administrowania oraz zarządzania systemem informatycznym przetwarzającym dane osobowe.

Instrukcja Zarzadzania Systemem Informatycznym powinna zawierać:


1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;


2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem
i użytkowaniem;


3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników
systemu;

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania;


5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,


6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4, tj. „Dla każdej osoby, której
dane osobowe zostały przetwarzane w systemie informatycznym – z wyjątkiem systemów
służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu
w celu udostępnienia go na piśmie – system ten powinien zapewnić odnotowanie informacji
o odbiorcach danych, w rozumieniu art. 7 pkt 6 ustawy o ochronie danych osobowych5,
którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że
system informatyczny używany jest do przetwarzania danych zawartych w zbiorach
jawnych;


8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych,


9) sposób stosowania środków zapewniających poufność i integralność danych w przypadku gdy
urządzenia i nośniki zawierające dane medyczne przekazywane są poza obszar, w którym
dane są przetwarzane.

Zarówno Polityka Bezpieczeństwa jak i Instrukcja Zarzadzania Systemem Informatycznym powinny być na bieżąco przeglądane i aktualizowane. Jest to proces niezbędny w celu utrzymania właściwego poziomu polityki bezpieczeństwa danych medycznych, a także w celu zachowania przydatności, skuteczności i adekwatności dokumentów.
Zaleca się aby polityka bezpieczeństwa podlegała okresowym przeglądom w ramach audytów
bezpieczeństwa.