Zarządzenie Nr 40 / 2007
Rektora Uniwersytetu Medycznego w Łodzi
z dnia 1 października 2007 roku
w sprawie organizacji systemu bezpieczeństwa teleinformatycznego w Uniwersytecie Medycznym.

Na podstawie § 52 ust. 4 pkt 8 Statutu UM, w związku z art. 64 ust 1 ustawy z dnia 22 stycznia 1999r. o ochronie informacji niejawnych (Dz.U. z 2005r., Nr 196, poz. 1631 - tekst jednolity znowelizowany) zarządzam co następuje:

§ 1

1. Dla zapewnienia bezpieczeństwa teleinformatycznego w Uniwersytecie Medycznym wyznaczam następujące osoby funkcyjne:
1. administrator systemu teleinformatycznego: - mgr inż. Marcin KOLASIŃSKI (Dział Teleinformatyczny);
2. inspektor bezpieczeństwa teleinformatycznego: - mgr Wacław CIEŚLIK (Pion Ochrony).
2. Realizacja zadań przez wyżej wyznaczone osoby funkcyjne, dotyczących bezpieczeństwa teleinformatycznego, nie zwalnia z wykonywania zadań służbowych na etatowym stanowisku służbowym.
3. Dla spełnienia wymogów ustawowych pełnomocnik ds. ochrony informacji niejawnych spowoduje:
• przeprowadzenie wobec wyżej wyznaczonych osób funkcyjnych postępowania sprawdzające w zakresie prawa dostępu do informacji niejawnych stanowiących tajemnicę służbową ("ZASTRZEŻONE");
• zgłoszenie wyżej wyznaczonych osób funkcyjnych do odbycia specjalistycznych szkoleń z zakresu bezpieczeństwa teleinformatycznego, prowadzonych przez służby ochrony państwa.
4. Dla spełnienia wymogów statutowych kierownik działu organizacji spowoduje zmiany w regulaminie organizacyjnym administracji UM, stosownie do treści niniejszego zarządzenia.

§ 2

1. Administrator systemu teleinformatycznego odpowiada za:
1. opracowanie (wraz z inspektorem bezpieczeństwa teleinformatycznego) dokumentów bezpieczeństwa teleinformatycznego (Szczegółowe Wymagania Bezpieczeństwa, Procedury Bezpiecznej Eksploatacji);
2. instalację systemu operacyjnego i przydział uprawnień użytkownikom;
3. szkolenie użytkowników na temat zasad i procedur bezpieczeństwa obowiązujących podczas pracy z systemem;
4. obsługę techniczną systemu, okresowe sprawdzanie jego zabezpieczeń i usuwanie jego niesprawności;
5. wdrażanie procedur bezpieczeństwa i procedur ochrony antywirusowej;
6. opracowanie planów awaryjnych i planu napraw systemu;
7. informowanie pełnomocnika ochrony (inspektora bezpieczeństwa teleinformatycznego) o stwierdzonych naruszeniach bezpieczeństwa systemu oraz wykrytych wirusach.
2. Inspektor bezpieczeństwa teleinformatycznego realizuje następujące przedsięwzięcia:
• współuczestniczy w opracowaniu dokumentów bezpieczeństwa teleinformatycznego;
• nadzoruje i kontroluje konfigurację systemu, przemieszczanie sprzętu oraz prowadzenie jego ewidencji;
• kontroluje znajomość procedur bezpieczeństwa przez pracowników tych jednostek organizacyjnych, których sprzęt funkcjonuje w systemie;
• prowadzi bieżącą kontrolę zabezpieczeń oraz zgodność funkcjonowania systemu ze Szczegółowymi Wymaganiami Bezpieczeństwa;
• prowadzi szkolenia z zakresu bezpieczeństwa teleinformatycznego dla kierowników wewnętrznych jednostek organizacyjnych, w których występuje sprzęt objęty przedmiotowym systemem;
• składa okresowe informacje Rektorowi Uniwersytetu Medycznego (poprzez Kanclerza Uczelni) o stanie bezpieczeństwa teleinformatycznego, a w przypadku jego naruszenia - niezwłocznie.
3. Kierownicy wewnętrznych jednostek organizacyjnych, w których występuje sprzęt konieczny do uwzględnienia w systemie bezpieczeństwa teleinformatycznego, zgłoszą pilnie taką potrzebę do inspektora bezpieczeństwa teleinformatycznego. Obowiązek ten występuje również w przypadku przemieszczenia sprzętu lub powstania konieczności uwzględnienia nowych warunków użytkowania sprzętu.

§ 3

Dla potrzeb organizacji i sprawnego funkcjonowania systemu bezpieczeństwa teleinformatycznego w Uniwersytecie Medycznym, niżej wymienione osoby funkcyjne realizują:

1. Pełnomocnik ds. ochrony informacji niejawnych:
• zapewnia przestrzeganie zasad ochrony informacji niejawnych przetwarzanych, przechowywanych i przesyłanych w systemie, w tym za właściwy obieg dokumentów (wchodzących, wychodzących i nośników informacji);
• zapewnia bezpieczeństwo fizyczne obszaru, w którym usytuowany jest system;
• zapewnia dostęp do systemu wyłącznie osobom mającym odpowiednie poświadczenie bezpieczeństwa.
2. Kierownik Działu Teleinformatycznego:
• zapewnia pracownikowi wyznaczonemu do wykonywania obowiązków administratora systemu teleinformatycznego warunki do realizacji tych obowiązków;
• współdziała z inspektorem bezpieczeństwa teleinformatycznego w zakresie utrzymania w sprawności (przestrzegania procedur) przedmiotowego systemu.
3. Zastępca Kanclerza ds. Administracyjno - Technicznych:
• sprawuje nadzór organizacyjny w zakresie uruchomienia i funkcjonowania systemu bezpieczeństwa teleinformatycznego;
• uwzględnia w działalności swego stanowiska potrzeby materiałowe niezbędne do uruchomienia i eksploatacji przedmiotowego systemu.
4. Dyrektor Biura Kadr:
• odzwierciedla w aktach personalnych pracowników fakt ich wyznaczenia do pełnienia obowiązków określonych w § 2, pkt 1 i 2.
5. Kanclerz Uniwersytetu Medycznego:
• spełnia rolę koordynatora w organizacji systemu bezpieczeństwa teleinformatycznego.

§ 4

Zarządzenie wchodzi w życie z dniem podpisania.