Informatikai Biztonsági Szabályzat SZ 002.EF

DEBRECENI EGYETEM

Szabályzat

ORVOS- ÉS EGÉSZSÉGTUDOMÁNYI CENTRUM

Egészségügyi Kar

Változtatás átvezetésére kötelezett példány:

nem kötelezett példány:

Példány sorszám:

Informatikai Biztonsági Szabályzat SZ 002.EF

Készítette:

Dr. Ködmön József folyamatgazda

Átvizsgálta:

Dr. Zagyi Bertalan minőségügyi programfelelős

Jóváhagyta:

Dr. Kalapos István dékán Módosítások

Sorszáma 1. 2. 3.

Dátuma

2007.09.01.

Kiadás: 2. Kiadás dátuma: 2007. 09. 01.

Leírása

Kar nevének aktualizálása

Azonosító: SZ 002.EF Oldalszám: 1/30

DEBRECENI EGYETEM

Szabályzat


Egészségügyi Kar

1.

Cél A Debreceni Egyetem, Egészségügyi Kar informatikai rendszere a hazai felsőoktatásban alkalmazott szolgáltatásokat nyújtja, amelyek egyetemi szintű, rövid leírása az A. függelék 2. pontjában található meg. A DE EK informatikai alkalmazásai személyes és különleges adatokat is tartalmaznak. Ezeket a vonatkozó jogszabályok által előírt módon kell kezelni, illetve védeni. A jelen Informatikai Biztonsági Szabályzat (IBSz) a Debreceni Egyetem Egészségügyi Kar informatikai alkalmazásainak és dokumentumainak szervezeti szintű adatvédelmi és informatikai biztonsági szabályozását hivatott megvalósítani.

2.

Alkalmazási terület A jelen szabályzat intézkedései a DE Egészségügyi Kar (a továbbiakban EK) összes külső és belső dolgozójára és hallgatójára vonatkoznak, különös tekintettel a 6.1. mellékletben szereplő összes informatikai alkalmazásra és dokumentumra, valamint az azokkal kapcsolatba kerülő személyekre. Ilyen tekintetben nem csak a számítógépen működő alkalmazásokat kell számításba venni, hanem a hagyományos, papír hordozójú iratokat is. Az alkalmazásokkal kapcsolatba kerülő személyek közé nem csak a belső munkatársakat kell beszámítani, hanem a külső munkavégzőket is. Az IBSz hatálya alá tartozó alkalmazások és dokumentumok felsorolását a 6.1. melléklet tartalmazza. Az informatikai alkalmazások és dokumentumok mennyisége és minősége azt mutatja, hogy az EK-n nagy mennyiségű személyes adat és átlagos mennyiségű különleges adat kezelése folyik. Az alkalmazások között előfordulhat olyan is, amelyik szolgálati titkot kezel. Ezek alapján – a Miniszterelnöki Hivatal, Informatikai Tárcaközi Bizottság 8. számú ajánlása szerint – a jelen szabályzat a fokozott biztonság kategóriájába tartozik.

3.

Hivatkozások

3.1.

Ez a szabályzat az alábbi szabályzatok előírásaival egyeztetett intézkedéseket tartalmaz: A DE informatikai rendszerének felhasználói szabályzata (A. függelék), A DE informatikai rendszerének üzemeltetői szabályzata (B. függelék), SZ 006.C „DE Orvos- és Egészségtudományi Centrum Elektronikus adatvédelmi szabályzat” (C. függelék), DE egységes iratkezelési szabályzat (D. függelék), A Hungarnet hálózat használatának szabályzata (E. függelék), DE Egészségügyi Kar Szervezeti és Működési Rendje,



DEBRECENI EGYETEM

Szabályzat


Egészségügyi Kar A DE Minőségügyi Kézikönyve, DE selejtezési szabályzata, A DE hallgatóinak fegyelmi és kártérítési szabályzata, A DE szellemi tulajdon kezelési szabályzata, DE munkavédelmi szabályzat, DE tűzvédelmi szabályzat. 3.2.

Figyelembe veendő jogszabályok A jelen szabályzat az adatvédelem és az informatikai biztonság szabályozásának legalacsonyabb, helyi szintjét valósítja meg. Az ebben a szabályzatban lévő intézkedéseken túl a magasabb szintű jogi szabályozást is figyelembe kell venni. A vonatkozó jogszabályok az alábbiak: 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról, 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről, 1997. évi CLIV. törvény az egészségügyről 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról, 2005. évi CXXXIX. törvény a felsőoktatásról 1978. évi IV. törvény a Büntető Törvénykönyvről 1996. évi XX. törvény a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról, 1996. évi XXXI. törvény a tűzvédelemről, 1995. évi LXV. törvény az államtitokról és a szolgálati titokról, 79/1995. (VI. 30.) Korm. rendelet a minősített adat kezelésének rendjéről, 43/1994. (III. 29.) Korm. rendelet a rejtjeltevékenységről, 1992. évi LXXII. törvény a távközlésről, 1992. évi XXXIII. törvény a közalkalmazottak jogállásáról, 2001. évi XXXV. törvény az elektronikus aláírásról.

4.

Meghatározások DE OEC: Debreceni Egyetem Orvos-és Egészségtudományi Centrum DE EK, EK, Kar: Debreceni Egyetem Egészségügyi Kar IBSz: Informatikai Biztonsági Szabályzat Adat: Értelmezhető (észlelhető, érzékelhető, felfogható és megérthető) ismeret.



DEBRECENI EGYETEM

Szabályzat


Egészségügyi Kar Adatállomány: Valamely informatikai rendszerben lévő adatok logikai összefogása, amelyet egy névvel jelölünk. Ezen a néven keresztül férhetünk hozzá az adatokhoz. Adatbiztonság: Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni fizikai, logikai és szervezési intézkedések és eljárások együttes rendszere. Adatfeldolgozás: Az adatok gyűjtése, rendszerezése, törlése, archiválása. Adatvédelem: Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségére vonatkozik. Alapfenyegetettség: A fenyegető tényezők olyan csoportosítása, amely a biztonsági alapfunkciók valamelyikének elvesztését okozza. Ezek a következők: a működőképesség, a hitelesség, a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztése. Bejelentkezés: Az informatikai rendszer és egy felhasználó között ez utóbbi által olyan kapcsolat kezdeményezése, amelynek során számára az informatikai rendszer funkcióinak használata lehetővé válik. Belépés: Személyek belépése olyan területekre, például helyiségekbe, amelyekben az informatikai rendszert, illetve egyes elemit tárolják vagy használják. Bizalmasság: Az információk vagy adatok esetében a bizalmasság azt jelenti, hogy azokhoz csak az arra jogosítottak és csak az előírt módokon férhetnek hozzá. Biztonság: Az informatikai rendszerekben olyan előírások és szabványok betartását jelenti, amelyek a rendszer működőképességét, az információk rendelkezésre állását, sértetlenségét bizalmasságát és hitelességét erősítik. Biztonsági koncepció: Adott szervezet olyan intézkedési terve, amelynek végrehajtása a szervezet tevékenységének jelentőségével és a tevékenység kiesésének kockázatával összefüggő biztonságos működési feltételeket teremti meg. Biztonsági mentés: Az informatikai rendszer adatainak sértetlenségét, a rendszer rendelkezésre állását szolgáló tevékenység. Az adatokról meghatározott rendszerességgel legalább két példányban, eltérő helyen tárolt másolatot készítenek. Elérhetőség: Az információ-feldolgozás során valamely informatikai szolgáltatásai az adott helyen és az adott időben igénybe vehetők.

alkalmazás

Fenyegető tényező: Olyan körülmény vagy esemény, amely az adat, illetve információ valamely informatikai rendszerben történő feldolgozásának rendelkezésre állását, sértetlenségét, bizalmasságát vagy hitelességét illetve a rendszer elemeinek működőképességét fenyegetheti. Funkció: Az a lehetőség, amelyet valamely informatikai rendszer kínál, hogy egy meghatározott feladatot valamely informatikai alkalmazás keretében megoldjunk. Hardver: Az informatikai rendszer eszközei, fizikai elemei. Hálózat: Két vagy több számítógép vagy általánosabban informatikai rendszer összekapcsolása, amely a kapcsolatban lévő informatikai rendszerek komponensei közötti adatcserét teszi lehetővé.



DEBRECENI EGYETEM ORVOS- ÉS EGÉSZSÉGTUDOMÁNYI CENTRUM

Szabályzat

Egészségügyi Kar Hitelesítés: Olyan eljárás, amelynek segítségével egy informatikai rendszeren belüli kapcsolatban a partnerek kölcsönösen kétségtelenül felismerhetik egymást és ez az állapot a kapcsolat egész idejére változatlanul fennmarad. Hozzáférés: Olyan eljárás, amely valamely informatikai rendszer használója számára elérhetővé tesz a rendszerben adatokként tárolt információkat. Informatika: A számítógépes információrendszerek tudománya, amely elméletet, szemléletet és módszertant ad a számítógépes információrendszerek tervezéséhez, fejlesztéséhez, szervezéséhez és működtetéséhez. Informatika-alkalmazás: Valamely informatikai rendszer olyan feladatok teljesítésére történő bevezetése, amelyek egy meghatározott, behatárolt szakmai és szervezeti területre esnek. Informatikai biztonság: Valamely informatikai rendszer azon állapota, amelyben a kockázatokat elfogadható védelmi intézkedésekkel elviselhető mértékűre csökkentettük. Informatikai rendszer: A hardverek és szoftverek olyan kombinációjából álló rendszer, amit az adat- illetve információ-feldolgozás egyes feladatainak teljesítésére alkalmazunk. Információ: Új ismeretté értelmezett adat. Jelentéssel bíró szimbólumok összessége, amelyek jelentést hordozó adatokat tartalmaznak és olyan új ismeretet szolgáltatnak a befogadó számára, hogy ezáltal annak valamilyen bizonytalanságát csökkentik és célirányos cselekvését segítik. Információrendszer: Információk meghatározott célú, módszeres gyűjtésére, tárolására, feldolgozására továbbítására, fogadására, megjelenítésére, megsemmisítésére alkalmas rendszer. Ha ez a rendszer számítógéppel támogatott, akkor számítógépes információrendszerről (informatikai rendszerről) beszélünk. Integritás: Sértetlenség. Intézkedések: Olyan megelőző cselekvések, rendszabályok előírása, amelyek célja, hogy valamely informatikai alkalmazást megvédjünk a fenyegető tényezőktől. Ismeret: Olyan dolgok összessége, amelyek az ember tudásának gyarapodását szolgálják. Valójában nem definiálható alapfogalom. Kár: Egy informatikai rendszer valamely objektumának értékcsökkenése, amely akkor következik be, ha valamely fenyegető tényező kifejti hatását. Kockázat: A fenyegetettség mértéke, amely a fenyegető tényezőkből ered. Két részből, a kárnagyságból és a bekövetkezés gyakoriságából áll. Különleges adat: a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyőződésre, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint a büntetett előéletre vonatkozó személyes adat. Működőképesség: A rendszernek és elemeinek az elvárt és igényelt üzemelési állapotban való fennmaradása. Sok esetben azonos az üzembiztonság fogalommal. Papíralapú információhordozó: Az információk, adatok valamennyi olyan megjelenési formája, amelyek papíron, hagyományos hordozón állnak rendelkezésre és az informatikai rendszer használatával, illetve üzemeltetésével összefüggésben vannak.



DEBRECENI EGYETEM

Szabályzat


Egészségügyi Kar Rendelkezésre állás: Az informatikai rendszer olyan állapota, amelyben a rendszer szolgáltatásai meghatározott időintervallumban elérhetők és a rendszer működőképessége is fennáll. Sértetlenség, integritás: Az információk, információkat csak az arra jogosultak módosulnak. Ez a szoftvereket is érinti. integritást is. Ez a sértetlenségen túl a korrektséget jelenti.

adatok sértetlensége alatt azt értjük, hogy az változtathatják meg és azok véletlenül sem A sértetlenség fogalma alatt gyakran értik az teljességet, az ellentmondás mentességet és a

Számítógépes bűnözés: Azok a bűntettek, amelyek informatikai rendszerek, illetve rendszerelemek ellen irányulnak, vagy informatikai rendszereket használnak segédeszközként. Személyes adat: a meghatározott természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. Az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Szervezet: Azon szervezeti egység (lsd. kari SZMR) meghatározására szolgáló fogalom, amelyben az informatika bevezetésének, alkalmazásának biztonságát vizsgálják. Szoftver: Valamely informatikai rendszer olyan szellemi termék része, amely a működtetés vezérléséhez szükséges. Támadás: Valamely személy vagy szervezet akciója azzal a szándékkal, hogy valamely informatikai rendszert veszélyeztessen és károkat okozzon. Védelmi mechanizmus: Olyan védelmi intézkedés, amelyet biztonsági szabványok határoznak meg. A hardver és szoftver gyártó cégek pedig termékeik előállítása során építik be és szolgáltatják a felhasználók részére. Vírus: Olyan szoftverrész, amely illegálisan készült egy szoftver részeként. A felhasználói program alkalmazása során átterjedhet, "megfertőzhet" más, az informatikai rendszerben lévő rendszer- illetve felhasználói szoftvereket, sokszorozva önmagát. A logikai bomba hatás révén egy beépített feltételhez kötötten is kifejtheti nem kívánt hatását.

5.

Az adatvédelem és az informatikai biztonság szabályozásának folyamata

5.1.

Feladatkörök, felelősségi körök és hatáskörök A DE EK dékánja által megbízott, a személyügyek intézéséért felelős munkatárs gondoskodik – az összeférhetetlenségi szabályokat is figyelembe véve – az adatvédelemmel és informatikai biztonsággal kapcsolatos feladatkörök megfelelő szakemberekkel történő betöltéséről. A feladatkörök ellátóit a dékán jelöli ki. A feladatkörök az alábbiak:

5.1.1. Az EK informatikai biztonságáért felelős vezető: az EK dékánja által kijelölt dékánhelyettes. Általánosan felelős a 6.1. mellékletben felsorolt alkalmazások rendelkezésre állásáért és megbízható működéséért, továbbá a dokumentumok megfelelő kezeléséért és



DEBRECENI EGYETEM

Szabályzat


Egészségügyi Kar védelméért. Az EK informatikai biztonsági felügyelőjével (5.1.3.) együtt dönt az adatvédelemmel kapcsolatos vitás ügyek jogszerű rendezésében. Jogosult a védelmi intézkedések megszegői ellen szankciók kezdeményezésére, ill. elrendelésére. Javaslatot tehet az EK informatikai biztonsági felügyelőjének személyére. 5.1.2. Az EK-nál használt informatikai alkalmazásokért felelős vezetők: a DE EK szervezeti egységeinek vezetői, akik szervezeti egységüknél felelősek a 6.1. mellékletben felsorolt alkalmazások megfelelő működéséért, funkcionalitásáért és rendelkezésre állásáért, továbbá az ott kezelt dokumentumok megfelelő kezeléséért és védelméért. Felettesük az EK dékánja átruházott jogkörében eljáró dékánhelyettes, az EK informatikai biztonságáért felelős vezető. 5.1.3. Az EK informatikai biztonsági felügyelője: olyan informatikai szakember, aki jogosult a EK-hoz tartozó alkalmazások, illetve az alkalmazásokért felelős vezetők, az üzemeltető rendszergazdák (5.1.4.) és a felhasználók informatikai biztonsági ellenőrzésére. Az EK-n belül köteles ellenőrizni az IBSz-ben leírt védelmi intézkedések betartását. Felettese az EK biztonságáért felelős vezetője (5.1.1.). Az egyes feladatkörök egymáshoz való viszonyát - adatvédelem és az informatikai biztonság szempontjából – a következő ábra mutatja. DÉKÁN

Az EFK informatikai biztonságáért felelős vezető (5.1.1)

Informatikai biztonsági felügyelő (5.1.3.)

Üzemeltető rendszergazdák (5.1.4.)

Az EK-nál használt informatikai alkalmazásokért felelős vezetők (5.1.2.)

Felhasználók

közvetlen alárendeltségi viszony ellenőrzési jog vagy kötelezettség




Szabályzat

Egészségügyi Kar 5.1.4. Az EK üzemeltető rendszergazdái: az EK olyan informatikai szakemberei, akik segítik az informatikai alkalmazások felhasználóinak munkáját. Elvégzik az informatikai rendszer kisebb javításait, a további hibákat pedig behatárolják a szerviz számára. Felettesük az EK Dékáni Hivatalának vezetője és – az informatikai biztonsági tekintetében - az EK biztonságáért felelős vezető. Az EK informatikai biztonságának megvalósításáért és megfelelő szintű fenntartásáért felelős feladatkörök (5.1.1., 5.1.2., 5.1.3. és 5.1.4.) ellátóinak nevét és elérhetőségét a Dékáni Hivatalban és az informatikai biztonsági felügyelőnél található lista tartalmazza. A listák aktualizálásáért, a nyilvántartás elérhetőségéért az EK informatikai biztonságáért felelős vezetője (5.1.1.) gondoskodik. 5.2.

Védelmi intézkedések

5.2.1. Általános szabályok 5.2.1.1. Az egyetemi szabályzatokban (A., B., C. és D. függelék) leírt elvek figyelembevétele, és előírt rendelkezések betartása az EK összes érintett szervezeti egysége, dolgozója és hallgatója számára kötelező. 5.2.1.2. A HUNGARNET - az EK hálózati szolgáltatója – által előírt használati szabályok (E. függelék) betartása minden hálózati szolgáltatást igénybe vevő szervezeti egység, dolgozó és hallgató számára kötelező. 5.2.1.3. Az üzemeltető rendszergazdák helyettesítése kizárólag az EK Dékáni Hivatal vezetőjének engedélyével, az EK informatikai biztonsági felügyelőjének tájékoztatásával, dokumentáltan történhet. 5.2.1.4. Külső partnerekkel kötött fejlesztési, karbantartási, bérbeadási és egyéb – az informatikai alkalmazások használatát érintő - szerződések részét képezi az IBSz külső partnerekre vonatkozó szabályainak ismerete és betartása, amelyet a szerződésben kötelező dokumentálni. 5.2.1.5. Az EK informatikai biztonsági felügyelője rendszeres biztonsági ellenőrzéseket végez. Az ellenőrzések rendjét az 5.4. pont tartalmazza. 5.2.1.6. Ezt a szabályzatot szükség szerint (figyelemmel különösen a 6.1. mellékletre), de legalább évente felül kell vizsgálni, és a változásokat át kell vezetni. A felülvizsgálatért az EK informatikai biztonsági felügyelője felelős. 5.2.2. Helyiségek 5.2.2.1. Azokat a helyiségeket, ahol a 6.1. mellékletben felsorolt informatikai alkalmazásokat használják, illetve dokumentumokat kezelik, biztonsági zárral kell felszerelni.




Szabályzat

Egészségügyi Kar 5.2.2.2. Ha az 5.2.2.1. pontban megjelölt helyiségben senki sem tartózkodik, az ajtót zárva kell tartani (a kulcs nem lehet a zárban). A kulcs egy példányát a Portaszolgálat kezeli. 5.2.2.3. Az 5.2.2.1. pontban megjelölt helyiség kulcsát kizárólag az ott dolgozó munkatársak birtokolhatják, a Portaszolgálat kizárólag nekik, vagy az adott szervezeti egység alkalmazásokért felelős vezetőjének adhatja azt ki. A helyiségek, és a hozzájuk rendelt belépésre jogosult személyek felsorolását tartalmazó – az EK informatikai biztonságáért felelős vezetője által hitelesített - dokumentum egy példánya a Portaszolgálatnál kerül elhelyezésre. 5.2.2.4. A szerverszobába az informatikai biztonsági felügyelő vagy külső munkavégző léphet be, kizárólag az üzemeltető rendszergazda kíséretében. 5.2.2.5. A szerverszobát - a EK-nál érvényes vagyonvédelmi előírások szerint – a legmagasabb védelmi kategória előírásait betartva kell létrehozni és védeni. 5.2.2.6. Az olyan számítógépeket, amelyek személyes vagy különleges adatokat kezelnek, kötelező szünetmentes áramforrással ellátni. A hálózatban működő ilyen alkalmazásoknál legalább a szerver gépet el kell látni szünetmentes áramforrással. 5.2.2.7. Az informatikai eszközöket, vagy azok alkatrészeit tároló raktárakba - az ott munkaköri feladat szerint dolgozókon kívül – kizárólag az üzemeltető rendszergazdák és az informatikai biztonsági felügyelő léphet be. 5.2.2.8. A számítógépes oktatótermek használatának rendjét a 6.2. melléklet írja le, amit minden számítógépes oktatóteremben jól látható helyre ki kell függeszteni. 5.2.2.9. A számítógépes oktatótermek egyedi megállapodás szerint adhatók bérbe, kizárólag oktatási vagy kutatási feladatokra. A bérbevevő köteles betartani ezt a szabályzatot, különösen a 6.2. mellékletben meghatározott szabályokat. 5.2.3. Hardver 5.2.3.1. A felhasználók az informatikai eszközöket rendeltetésszerűen használják, a meghibásodást és a rendellenes működést rövid időn belül írásban, hibabejelentő lapon jelentik az üzemeltető rendszergazdának. 5.2.3.2. A felhasználó a munkavégzés befejezése után, illetve annak tartós szüneteltetése során köteles a számítógépet kikapcsolni, és a perifériákat áramtalanítani. 5.2.3.3. Minden informatikai eszközt egyedi leltári számmal kell ellátni, amely alkalmas az eszköz egyértelmű azonosítására. Az eszköz leírásának tartalmaznia kell a részletes konfigurációt is.




Szabályzat

Egészségügyi Kar 5.2.3.4. Az EK tulajdonát képező hordozható számítógép (laptop, notebook, PDA) csak vezető oktató (főiskolai docens vagy tanár, egyetemi docens vagy tanár), vagy kari vezető személyi leltárában, vagy az Oktatási Fejlesztési Központ alleltárában lehet. 5.2.3.5. Az EK minden dolgozója a helyiség és személyi leltárában szereplő informatikai eszközök nem rendeltetésszerű használata során keletkezett károkat köteles megtéríteni. 5.2.3.6. A kölcsönzött hordozható informatikai eszközök (különösen hordozható számítógép és projektor) használata csak teljes anyagi felelősség vállalása mellett lehetséges, amely felelősség az Oktatási Fejlesztési Központ munkatársától történő átvételtől, a neki történő visszaadásig terjed. 5.2.3.7. Amennyiben a kölcsönzött informatikai eszköz visszaadása az Oktatási Fejlesztési Központ számára nem lehetséges, az eszközt a Portaszolgálatnak kell átadni, ahonnan az a következő munkanapon kerül vissza az Oktatási Fejlesztési Központhoz. 5.2.3.8. Az Oktatási Fejlesztési Központ a kikölcsönzés alatt álló informatikai eszközökről köteles nyilvántartást vezetni. 5.2.3.9. A 6.1. mellékletben felsorolt alkalmazásokhoz tartozó informatikai eszközöket csak az üzemeltető rendszergazda felügyeletével lehet másik helyiségbe áthelyezni, vagy a EK épületein kívülre elszállítani. 5.2.3.10. A 6.1. mellékletben felsorolt alkalmazásokhoz tartozó új informatikai eszközöket csak az üzemeltető rendszergazda felügyelete mellett lehet üzembe helyezni. 5.2.3.11. Az EK munkatársainak és hallgatóinak saját tulajdonában lévő informatikai eszközeit (laptop, notebook, nyomtató, egyéb eszköz) az EK hálózatához csatlakoztatni kizárólag az üzemeltető rendszergazdák engedélyével és felügyeletével lehet. 5.2.3.12. Központi számítógép (szerver, host) minden leállítását, elindítását, meghibásodását és javítását az üzemeltető rendszergazdának naplózni kell. 5.2.3.13. Az üzemeltető rendszergazdák kötelesek minden bejelentett hibát – ha ez lehetséges aznap, vagy a bejelentést követő munkanapon kivizsgálni, és a hiba jellegétől függően annak kijavításáról intézkedni. 5.2.3.14. Az EK dolgozói és hallgatói a számítástechnikai berendezéseket nem szedhetik szét, azok burkolatát nem bonthatják meg, javítást nem kísérelhetnek meg. 5.2.3.15. A számítástechnikai berendezések karbantartását és javítását csak az üzemeltető rendszergazdák (5.4.), valamint az ezzel szerződés szerint megbízott cégek végezhetik. 5.2.3.16. Az EK tulajdonát képező informatikai eszközök (számítógépek, nyomtatók, egyéb eszközök) egyedi megállapodás szerint adhatók bérbe, kizárólag oktatási vagy kutatási feladatokra.




Szabályzat

Egészségügyi Kar 5.2.4. Szoftver 5.2.4.1. Rendszerszoftvert vagy operációs rendszert kizárólag az üzemeltető rendszergazdák (5.4.) installálhatnak. 5.2.4.2. A rendszerszoftverek és operációs rendszerek minden paraméterének beállítását kizárólag az üzemeltető rendszergazdák végezhetik. 5.2.4.3. Az alkalmazói szoftvereket kizárólag az egyes alkalmazásokért felelős üzemeltető rendszergazdák installálhatják. 5.2.4.4. A felhasználók kizárólag a munkájuk elvégzéséhez szükséges szoftvereket használhatják, a felhasználói leírásban meghatározott módon. A felhasználók számítógépein csak ilyen szoftverek lehetnek telepítve. 5.2.4.5. A felhasználó köteles valamennyi szoftvertermékkel kapcsolatos szerzői jogvédelmi szabályt betartani (a számítógépeken kizárólag „jogtiszta” szoftverek használhatók), ezt az informatikai biztonsági felügyelő ellenőrizheti. 5.2.4.6. A 6.1. mellékletben felsorolt szoftvereket csak a munkaköri leírás szerint jogosult felhasználók használhatják. 5.2.4.7. A 6.1. mellékletben felsorolt alkalmazásokat működés közben a jogosult felhasználók nem hagyhatják felügyelet nélkül. 5.2.4.8. A felhasználók a szoftverek működésével kapcsolatos minden szokatlan jelenséget kötelesek feljegyezni, és az üzemeltető rendszergazdának jelenteni. 5.2.4.9. Az üzemeltető rendszergazdák kezdeményezik olyan szoftvertermékek beszerzését, amelyek biztosítják a vírusok kiszűrését, megsemmisítését, a vírusok okozta károk helyreállítását. 5.2.4.10. Az EK tulajdonát képező szoftverek harmadik fél számára nem adhatók át, nem kölcsönözhetők és nem adhatók el. 5.2.5. Adathordozó 5.2.5.1. Az iratok és bizonylatok kezelési szabályait a DE egységes iratkezelési szabályzat (D. függelék) tartalmazza. Az abban foglaltak egyaránt érvényesek a számítógépes munkahelyeken használt elektronikus és hagyományos, papír hordozójú iratokra és bizonylatokra is.




Szabályzat

Egészségügyi Kar 5.2.5.2. A 6.1. mellékletben felsorolt alkalmazások felhasználói csak abban az esetben használhatnak munkájuk során tömegtároló médiát (CD és DVD lemez, USB csatlakozós tömegtároló (pen drive)), ha azt az általuk használt alkalmazás felhasználói leírása megengedi. 5.2.5.3. A 6.1. mellékletben felsorolt alkalmazások felhasználói csak abban az esetben készíthetnek az általuk jogszerűen használt alkalmazások adatairól másolatot, ha azt az alkalmazás felhasználói leírása megengedi. 5.2.5.4. A 6.1. mellékletben felsorolt alkalmazásokkal kapcsolatos munkavégzéshez szükséges adathordozók kizárólag az EK beszerzéséből/raktárából származhatnak. 5.2.5.5. Az egyes alkalmazásokhoz tartozó szoftverekről az installálás előtt az üzemeltető rendszergazda biztonsági másolatot készít egy példányban, amelyet tűzbiztos páncélszekrényben tárol. 5.2.5.6. Az egyes alkalmazások adatainak archiválását és a biztonsági másolatok készítését a DE egységes iratkezelési szabályzat (D. függelék) és az adott alkalmazás felhasználói leírásának megfelelően kell végezni. 5.2.5.7. Az EK-nál üzemeltetett szerverek adatainak archiválását és a biztonsági másolatok elkészítését az üzemeltető rendszergazdák végzik. 5.2.5.8. Minden biztonsági másolatot igénylő rendszer-visszaállítást az üzemeltető rendszergazda végez, amelyről feljegyzést készít az alkalmazásokért felelős vezető számára. 5.2.6. Adatok 5.2.6.1. A személyes és különleges adatok kezelését a dolgozók és hallgatók vonatkozásában az 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról, illetve a 2005. évi CXXXIX. törvény a felsőoktatásról határozza meg. Az utóbbi törvény által engedélyezett adatkezelési kört a 6.4. melléklet tartalmazza. 5.2.6.2. Személyes adat akkor kezelhető, ha ahhoz az érintett személy illetve az EK hozzájárul, vagy azt törvény elrendeli. 5.2.6.3. Különleges adat akkor kezelhető, ha ahhoz az érintett személy írásban hozzájárul, vagy azt törvény rendeli el. 5.2.6.4. Személyes adatot kezelni csak meghatározott célból, jog gyakorlására és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.




Szabályzat

Egészségügyi Kar 5.2.6.5. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. 5.2.6.6. Az alkalmazások felhasználói személyes felelősséggel tartoznak az általuk rögzített adatok minőségéért. 5.2.6.7. Ha a felhasználó által használt alkalmazás az adatokat helyi (nem központi, hálózati) adattárolón kezeli, akkor a biztonsági másolatok elkészítéséért és tárolásáért a felhasználó személyesen felelős. 5.2.6.8. A mentett adatokat és programokat elkülönítetten, az illetéktelen hozzáférést kizárva, a számítógéptől eltérő tűzszakaszon kell tárolni, zárható, tűzbiztos helyen. 5.2.6.9. A központilag mentett állományok visszatöltésére kizárólag az üzemeltető rendszergazda jogosult. A helyi mentés adatállományainak visszatöltésére a felhasználó jogosult. 5.2.6.10. A használatban lévő állományokat valamint a kívülről érkező adatokat a vírusfertőzés kizárása érdekében előzetesen tesztelni kell, ami a felhasználó feladata. 5.2.6.11. Ha felhasználók vírusos állományokat észlelnek, azt haladéktalanul kötelesek az üzemeltető rendszergazdának jelenteni. A vírusmentesítés az üzemeltető rendszergazda feladata. 5.2.6.12. Adatok más rendszerek felé akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. 5.2.6.13. A EK-n kívüli meghatározott célú adatkérések teljesítését az informatikai biztonsági felügyelő bírálja el. 5.2.6.14. Személyes vagy különleges adat csak az informatikai biztonsági felügyelő (5.3.) engedélyével adható át más szervezet részére. 5.2.6.15. Személyes vagy különleges adatot sem hagyományos, sem elektronikus adathordozón nyíltan tárolni tilos. 5.2.6.16. Személyes vagy különleges adatok számítógépes kezelése esetén kötelező a megfelelő hozzáférés korlátozás és titkosítás alkalmazása. 5.2.7. Hozzáférési jogosultság




Szabályzat

Egészségügyi Kar 5.2.7.1. A 6.1. mellékletben felsorolt alkalmazások adatinak és dokumentumainak kezelésével, illetve a számítógépes rendszer üzemeltetésével kapcsolatos feladatok ellátására felhatalmazott közalkalmazottak az adatokhoz csak a feladatuk ellátásához szükséges és elegendő mértékben férhetnek hozzá. 5.2.7.2. Az EK által működtetett, a 6.1. mellékletben felsorolt alkalmazásokhoz és iratokhoz csak azok a személyek (belső és külső munkatársak) kaphatnak bármilyen hozzáférési jogosultságot, akiknek munkaköri leírása szerint feladatuk ellátásához ez szükséges. 5.2.7.3. Külső személy munkavégzés céljából is csak úgy férhet hozzá az informatikai eszközökhöz, illetve alkalmazásokhoz, hogy a kezelt bizalmas adatokat ne ismerhesse meg. Ha ez nem lehetséges, akkor az illetékes üzemeltető rendszergazda titoktartási nyilatkozatot készíttet vele. 5.2.7.4. Az EK hálózatkezelő rendszergazdája feladatai ellátásához szükséges mértékig az adatállományokhoz hozzáférhet, az adatokat azonban nem használhatja fel más célra, és nem hozhatja mások tudomására. 5.2.7.5. A 6.1. mellékletben felsorolt alkalmazások felhasználói csak meghatározott jelszó és felhasználói név használatával férhetnek hozzá az adatállományhoz. 5.2.7.6. Az oktatók és hallgatók felhasználói névének és jelszavának kiadását az üzemeltető rendszergazdák végzik. A hallgatók felhasználói nevének és jelszavának kialakításánál és használatánál a 6.3. melléklet szabályait kell alkalmazni. 5.2.7.7. Az egyes informatikai alkalmazások üzemeltető rendszergazdája a felhasználóknak csak feladatuk elvégzéséhez szükséges és elegendő hozzáférési jogosultságot adhat. 5.2.7.8. Az EK alkalmazásaihoz tartozó biztonsági eseménynapló adataihoz kizárólag az EK informatikai biztonsági felügyelője és üzemeltető rendszergazdái férhetnek hozzá. 5.2.7.9. Az EK üzemeltető rendszergazdáinak úgy kell beállítani a felügyeletük alá tartozó alkalmazások eseménynaplóit, hogy azokból az egyes felhasználók és felhasználói csoportok által végzett műveletek a lehető legnagyobb mértékben rekonstruálhatók legyenek. 5.2.7.10. Az egyes alkalmazásokhoz való hozzáférés jelszavainak minden jellemzőjét (hossz, lejárat, egyediség, stb.) az illetékes üzemeltető rendszergazdák határozzák meg. 5.2.7.11. A hallgatók hozzáférési jogosultságát az üzemeltető rendszergazdák határozzák meg az oktatók kérései alapján.




Szabályzat

Egészségügyi Kar 5.2.7.12. Az egyes alkalmazások üzemeltető rendszergazdái gondoskodnak azok hozzáférési és jogosultsági rendszerének folyamatos aktualizálásáról, különös tekintettel a távozó hallgatók és munkatársak jogosultságainak megfelelő időben történő visszavonásáról. 5.2.7.13. Az adott szervezeti egység EK-nál használt alkalmazásokért felelős vezetője és az illetékes üzemeltető rendszergazda gondoskodnak arról, hogy az ideiglenesen vagy tartósan távol lévő munkatársak feladatát arra alkalmas, megfelelően felkészített helyettes vegye át. A helyettesítés csak dokumentáltan történhet. 5.2.7.14. A 6.1. mellékletben felsorolt alkalmazások felhasználói jelszavaikat kötelesek titokban tartani. A használatban lévő jelszó ismertté válása esetén haladéktalanul kötelesek azt megváltoztatni. 5.2.7.15. A 6.1. mellékletben felsorolt alkalmazások és dokumentumok adatkezelői kötelesek az illetéktelen adatkérő, illetve igénylő részére az adathozzáférés és felhasználás minden formáját megtagadni. 5.2.7.16. A 6.1. mellékletben felsorolt alkalmazások és dokumentumok adatkezelői kötelesek az informatikai biztonsági felügyelőt haladéktalanul tájékoztatni minden olyan eseményről, melynek során jogtalan adatkezelésre kérték fel vagy utasították. 5.2.7.17. Jogellenes adatkezelés észlelésekor valamennyi közalkalmazott haladéktalanul köteles az informatikai biztonsági felügyelőt tájékoztatni. 5.2.7.18. Az EK informatikai biztonsági felügyelője jogellenes adatkezelés észlelése esetén köteles • az adatkezelőt haladéktalanul felszólítani az adatkezelés beszüntetésére, • az adatkezelő adatkezelési jogosultságait letiltatni és • a jogellenes adatkezelés tényéről az EK dékánját és a DE EK informatikai biztonságáért felelős dékán-helyettest tájékoztatni. 5.2.7.19. A 6.1. mellékletben felsorolt alkalmazások aktuális hozzáférést biztosító jelszavait (a számítógép bekapcsolását védő jelszót is) valamennyi jelszó tulajdonosa köteles lezárt, a szervezeti egység bélyegzőjével és a felhasználó nevével ellátott borítékban az EK biztonságért felelős vezetőjének megküldeni. 5.2.7.20. Az EK biztonságért felelős vezetője a 6.1. mellékletben felsorolt alkalmazások hozzáférést biztosító jelszavait saját aláírásával hitelesített borítékba helyezi, és tűzbiztos páncélszekrényben tárolja. 5.2.7.21. A jelszavakat tartalmazó borítékok szükség szerinti felbontásáról az EK biztonságért felelős vezetője és az informatikai biztonsági felügyelő együttesen dönt, amelyről köteles jegyzőkönyvet készíteni, és azt az EK dékánjának haladéktalanul megküldeni.




Szabályzat

Egészségügyi Kar 5.2.7.22. A jelszavakat tartalmazó borítékokat kizárólag az EK biztonságért felelős vezetője és az informatikai biztonsági felügyelő személyes jelenléte esetén szabad felbontani. A megismert jelszavak használata és az informatikai biztonság helyreállítása az informatikai biztonsági felügyelő feladata. 5.2.8. Dokumentumok 5.2.8.1. Ez a szabályzat az adatok védelme szempontjából nem tesz különbséget a számítógépen kezelt elektronikus dokumentum és a hagyományos, papír alapú dokumentum között. 5.2.8.2. A dokumentumok kezelését a DE egységes iratkezelési szabályzat (D. függelék) és az adott alkalmazás felhasználói leírásának megfelelően kell végezni. 5.2.8.3. A 6.1. mellékletben felsorolt dokumentumok adatainak védelmét a 5.2.6. pont rendelkezései szerint kell végezni. 5.2.8.4. A 6.1. mellékletben felsorolt papír hordozójú dokumentumokat és az elektronikus dokumentumok másolatait tartalmazó adathordozót zárható szekrényben kell tárolni. 5.2.8.5. A 6.1. mellékletben felsorolt elektronikus dokumentumokat az egyes számítógépeken legalább jelszó által védett módon kell tárolni és kezelni. 5.2.8.6. Az egyes alkalmazások felhasználói leírásai nyilvánosak, azok tartalmát az alkalmazás minden felhasználójának ismernie kell. 5.2.8.7. A jelen IBSz nyilvános dokumentum, az érintettek számára tartalmának ismerete kötelező. 5.2.8.8. A dokumentumok nyilvántartására, selejtezésére és megsemmisítésére a DE egységes iratkezelési szabályzat (D. függelék) által leírt szabályokat kell alkalmazni. 5.2.9. Kommunikáció 5.2.9.1. Személyes vagy különleges adatot tartalmazó dokumentum kizárólag olyan formában továbbítható (figyelemmel a 6.4. melléklet 6.4.1. és 6.4.2. részek 3. pontjára), illetve fogadható, amely garantálja az adatok megfelelő védelmét, és a küldő, illetve fogadó partner azonosítását. 5.2.9.2. Személyes vagy különleges adatokkal kapcsolatos felvilágosítást, adatszolgáltatást külső adatkérőnek telefonon, nyílt elektronikus levélben vagy nyílt telefaxon adni tilos. 5.2.9.3. A hallgatók számára tanulmányaikkal kapcsolatos felvilágosítás, adatszolgáltatás kizárólag személyesen, vagy a Neptun egységes hallgatói nyilvántartó rendszer által adható.




Szabályzat

Egészségügyi Kar

5.2.9.4. Az EK hivatalos honlapjának címe: www.de-efk.hu 5.2.9.5. Az EK dolgozói és hallgatói hivatalos elektronikus levelezésre kizárólag a @de-efk.hu domain nevű levelezési címet használhatják. Ez a szolgáltatás ingyenes. 5.2.9.6. A dolgozóknak és hallgatóknak a kommunikáció során észlelt minden rendellenességet jelenteniük kell az üzemeltető rendszergazdáknak. 5.2.9.7. Az Internet hozzáférés használata az EK épületeiben az összes dolgozó és hallgató számára ingyenes. Egyes címtartományokhoz való hozzáférés kizárólag technikai okokból, időlegesen korlátozható. 5.2.9.8. Az EK oktatói üzemeltethetnek saját személyes honlapot, amelyre kizárólag az EK hivatalos honlapján keresztül lehet eljutni. A személyes honlap tartalmára is érvényesek a jelen IBSz rendelkezései. 5.2.9.9. Az oktatók személyes honlapján keresztül tilos a hallgatók tanulmányaival kapcsolatos adatainak közzététele. 5.2.9.10. Az EK hivatalos honlapján elhelyezett dokumentumok és egyéb információk nyilvánosak, ezért eleget tesznek a nyilvánosságra hozatal követelményeinek. 5.2.10. Személyek 5.2.10.1. A jelen IBSz rendelkezéseit az EK minden érintettjének meg kell ismernie. Ennek felelősei az EK-nál használt alkalmazásokért felelős vezetők, a szervezeti egységek vezetői. 5.2.10.2. Az IBSz intézkedéseit az érintettek magukra nézve kötelezőnek ismerik el, amiről aláírásukkal hitelesített nyilatkozatot tesznek. A rendelkezések megszegése szankciókkal jár, amelyre vonatkozóan az EK biztonságáért felelős vezetője intézkedik. 5.2.10.3. Az IBSz megismeréséről és betartásáról a külső munkavégzők írásban nyilatkoznak. Ennek felelőse az illetékes szervezeti egység vezetője. 5.2.10.4. Az informatikai rendszerek környezetében történő bármilyen munkavégzésre csak erkölcsi bizonyítvánnyal rendelkező személyeket szabad alkalmazni. 5.2.10.5. Munkába álláskor minden új munkatárs számára a szervezeti egység EK-nál használt alkalmazásokért felelős vezetőjének kell biztosítania az informatikai biztonsággal



DEBRECENI EGYETEM

Szabályzat


Egészségügyi Kar kapcsolatos, elsajátítását.

feladatköre

ellátásához

szükséges

ismeretek,

teendők

megismerését,

5.2.10.6. A EK informatikai biztonsági felügyelőjének biztosítania kell az informatikai biztonsággal kapcsolatos megfelelő szintű rendszeres továbbképzések megvalósítását. 5.2.10.7. Az őrző-védő személyzet, a szervizelést végző külső és belső munkatársak továbbá az összes dolgozó és hallgató köteles minden informatikai biztonságot érintő rendellenességet az EK informatikai biztonsági felügyelőjének jelenteni. 5.2.11. Selejtezés, megsemmisítés 5.2.11.1. A 6.1. mellékletben felsorolt dokumentumok selejtezésénél a DE egységes iratkezelési szabályzat 12.§ és 13.§ alkalmazandó, figyelemmel a 1992. évi LXIII. törvény rendelkezéseire is. 5.2.11.2. Az EK tulajdonában lévő feleslegessé, illetve használhatatlanná vált, gazdaságosan már nem javítható számítógépek, nyomtatók és más hardver elemek selejtezésénél a DE selejtezési szabályzat rendelkezéseit kell betartani. A selejtezési bizottság egyik tagja üzemeltető rendszergazda legyen. 5.2.11.3. A személyes vagy különleges adatokat tartalmazó adathordozó megsemmisítésére a 5.2.11.1. pont rendelkezéseit kell alkalmazni. A selejtezésről jegyzőkönyvet kell felvenni, ennek felelőse a megfelelő szervezeti egység EK-nál használt alkalmazásokért felelős vezetője. 5.2.11.4. A személyes vagy különleges adatokat tartalmazó adathordozó megsemmisítését fizikai feldarabolással kell végezni, az adathordozó törlés utáni újrahasznosítása tilos. 5.2.11.5. A számítástechnikai eszközök körében veszélyes anyagok is vannak, ezért a selejtezésnél az ezekre vonatkozó szabályokat is figyelembe kell venni. 5.3. Katasztrófa-elhárítás 5.3.1. Katasztrófának számít az alábbi események egyikének bekövetkezése: elemi csapás, nagy kárt okozó betörés, nagy kárt okozó rongálás. 5.3.2. Vészhelyzetnek számít az alábbi események egyikének bekövetkezése: kulcsfontosságú személy (működő alkalmazás üzemeltető rendszergazdája, magas jogosultsággal rendelkező felhasználó) váratlan kiesése, jelentős mértékű vírusfertőzés észlelése, jelentős hosszúságú áramszünet, jelentős mértékű hardverhiba.




Szabályzat

Egészségügyi Kar 5.3.3. A 6.1. mellékletben szereplő alkalmazások mindegyikéhez külön-külön az alkalmazásokért felelős rendszergazdáknak pontosan definiálni kell az alábbiakat: rendelkezésre állási követelmények leírása, katasztrófa és vészhelyzet események definiálása, a korlátozott működés funkcióinak megadása. 5.3.4. Az egyes alkalmazások rendszergazdái kötelesek katasztrófa vagy vészhelyzet esetére részletes tevékenységi listát készíteni az alkalmazás működőképességének és rendelkezésre állásának helyreállításához. 5.3.5. A 5.3.3. és 5.3.4. pont szerinti leírásokat az egyes alkalmazások üzemeltetési dokumentumaihoz kell csatolni. 5.3.6. Ha a 6.1. mellékletben felsorolt alkalmazások bármelyikénél bekövetkezik az 5.3.1. vagy 5.3.2. pontban definiált katasztrófa vagy vészhelyzet esemény, akkor a rendszergazdának ezt azonnal jelenteni kell az EK informatikai biztonsági felügyelőjének, és haladéktalanul meg kell kezdeni az adott alkalmazás működőképességének és rendelkezésre állásának helyreállítását az 5.3.4. pontban leírt tevékenységi lista alapján. 5.3.7. Ha egy alkalmazás teljes helyreállítása nem lehetséges, akkor az 5.1.3. pontban definiált korlátozott működésű üzemelést kell elindítani. 5.3.8. Az EK köteles legfontosabb beszállítójával és szervizével olyan szerződést kötni, amely tartalmaz katasztrófa és vészhelyzet események bekövetkezése esetére segítségnyújtási kötelezettséget. 5.3.9. Az EK köteles katasztrófa esetére szóló megfelelő biztosítást kötni a legnagyobb kockázatú események bekövetkezéséből eredő károk enyhítésére. 5.3.10. Az EK informatikai biztonsági felügyelőjének fokozottan kell ellenőrizni a szünetmentes áramforrások állapotát, működőképességét. 5.3.11. A felhasználókat megfelelő időben értesíteni kell az EK informatikai szolgáltatásainak csökkenéséről vagy időleges szüneteléséről, valamint a normál üzemmód elindulásának várható idejéről. 5.4.

A rendszeres biztonsági ellenőrzések rendje

5.4.1. A rendszeres biztonsági ellenőrzéseket az EK informatikai biztonsági felügyelője végzi az adott szervezeti egység EK-nál használt alkalmazásokért felelős vezetőjének jelenlétében. 5.4.2. Az informatikai biztonsági felügyelő a felhasználókat, a rendszergazdákat és az EK-nál használt alkalmazásokért felelős vezetőt köteles ellenőrizni. 5.4.3. Az informatikai biztonsági felügyelő az EK biztonságáért felelős vezetővel egyeztetett féléves ellenőrzési munkatervet készít, amelyben rögzítik az ellenőrzendő objektumokat. A konkrét ellenőrzések időpontja azonban véletlenszerű.



DEBRECENI EGYETEM

Szabályzat


Egészségügyi Kar

5.4.4. Az informatikai biztonsági felügyelő minden félév első hetében felettese számára beszámolót készít az előző időszakban végzett ellenőrzések eredményéről. 5.5.

Eljárási szabályok

5.5.1. Ha a védelmi intézkedéseket megszegő dolgozó vagy hallgató az EK-nak nagy anyagi vagy erkölcsi kárt okoz, kötelező a belső vizsgálat elrendelése. 5.5.2. A hallgatók és dolgozók károkozásának ügyében a DE hallgatóinak fegyelmi és kártérítési szabályzata és a DE szervezeti és működési szabályzata rendelkezéseit kell alkalmazni. 5.5.3. Ha a védelmi intézkedések megszegője ügyében fegyelmi tárgyalást tartanak, a fegyelmi bizottságba az EK informatikai biztonsági felügyelőjét tagként delegálni kell. 5.5.4. Ha egy külső partner dolgozója súlyosan megszegi az IBSz védelmi intézkedéseit, azonnali hatállyal és kötelező érvénnyel fel kel bontani a partner szerződését. Ezt a lehetőséget a szerződés megkötésekor a szerződésben rögzíteni kell.

6.

Mellékletek

6.1. Informatikai alkalmazások és dokumentumok 6.2. A számítógépes oktatótermek használatának rendje 6.3. A hallgatók felhasználói nevének és jelszavának képzési és használati szabályai 6.4. A felsőoktatási intézményekben nyilvántartott és kezelt személyes és különleges adatok 6.5. Hatályba lépés A. függelék: A DE informatikai rendszerének felhasználói szabályzata B. függelék: A DE informatikai rendszerének üzemeltetői szabályzata C. függelék: SZ 006.C „DE Orvos- és Egészségtudományi Centrum Elektronikus adatvédelmi szabályzat” D. függelék: DE egységes iratkezelési szabályzat E. függelék: A Hungarnet hálózat használatának szabályzata

7.

Hivatkozott formanyomtatványok

Nem értelmezett.




Szabályzat

Egészségügyi Kar Melléklet

6.1. Informatikai alkalmazások és dokumentumok 6.1.1. DE Egészségügyi Kar kari szintű info-kommunikációs rendszere Informatikai alkalmazás • A Kar teljes számítógép-hálózata • Elektronikus levelező (e-mail) rendszer • A hivatalos honlap működtetéséhez tartozó alkalmazások • Az információs pult működtetéséhez tartozó alkalmazások • Web-telefonkönyv Dokumentum • informatikai eszközökkel, anyagokkal kapcsolatos árajánlatok • informatikai eszközökkel, anyagokkal kapcsolatos megrendelők • személyes adatokat tartalmazó dokumentumok 6.1.2. Dékáni Hivatal Informatikai alkalmazás • Papirusz Ügyiratkezelő rendszer, • Office, • Elektronikus levelező (e-mail) rendszer, • Web-telefonkönyv. Dokumentum • Vezetési ügyek dokumentumai (I. irattári csoport), • Személyi ügyek dokumentumai (II. irattári csoport), Ezen belül különösen: - kinevezés kezdeményező, - munkáltatói nyilatkozat, - szerződés kezdeményező, - megbízási szerződés, - kitüntetés kezdeményező. • Hallgatói ügyek dokumentumai (VIII. irattári csoport), • Pénzügyi vonatkozású iratok (XI. irattári csoport), • Gazdasági ügyek dokumentumai (XII. irattári csoport), • Társadalombiztosítással kapcsolatos ügyek dokumentumai (XIII. irattári csoport), • Egyéb, személyes adatokat tartalmazó dokumentumok.




Szabályzat

Egészségügyi Kar 6.1.2.1. Tanulmányi Osztály Informatikai alkalmazás • Gólya felvételi rendszer, • ETR rendszer, Ezen belül különösen: - Pénzügyi modul, - Oktatói modul, - Hallgatói modul. • Office. Dokumentum • Vezetési ügyek dokumentumai (I. irattári csoport), • Személyi ügyek dokumentumai (II. irattári csoport), • Hallgatói ügyek dokumentumai (VIII. irattári csoport), Ezen belül különösen: o hallgatói kérelmek, a hozzá kapcsolt igazolásokkal, o a kérelmekre született határozatok, o a hallgatók részére kiadott igazolások: o hallgatói jogviszonyról, o ösztöndíj, segély, egyéb juttatások kifizetéséről, o APEH, MEP, Diákhitel Központ felé. • Egyéb, személyes adatokat tartalmazó dokumentumok. 6.1.2.2. Könyvtár Informatikai alkalmazás • Elektronikus levelező (e-mail) rendszer, • Web-telefonkönyv, • Office. Dokumentum • Vezetési ügyek dokumentumai (I. irattári csoport), • Személyi ügyek dokumentumai (II. irattári csoport), • Az olvasók nyilvántartásához tartozó dokumentumok, • Egyéb, személyes adatokat tartalmazó dokumentumok. 6.1.2.3. Hallgatói Információs Szolgáltató és Diáktanácsadó Iroda Informatikai alkalmazás • Elektronikus levelező (e-mail) rendszer, • Web-telefonkönyv, • Office.




Szabályzat

Egészségügyi Kar Dokumentum • Személyi ügyek dokumentumai (II. irattári csoport), • Hallgatói ügyek dokumentumai (VIII. irattári csoport), • Egyéb, személyes adatokat tartalmazó dokumentumok. 6.1.2.4. Oktatásfejlesztési Központ Informatikai alkalmazás • Elektronikus levelező (e-mail) rendszer, • Web-telefonkönyv, • Office. Dokumentum • Személyi ügyek dokumentumai (II. irattári csoport), • Hallgatói ügyek dokumentumai (VIII. irattári csoport), • Egyéb, személyes adatokat tartalmazó dokumentumok. 6.1.3. DE EK Gazdasági Egysége Informatikai alkalmazás • SAP rendszer minden modulja, • Office, • Elektronikus levelező (e-mail) rendszer, • Web-telefonkönyv. Dokumentum • Vezetési ügyek dokumentumai (I. irattári csoport), • Személyi ügyek dokumentumai (II. irattári csoport), Ezen belül különösen: - kinevezés kezdeményező, - munkáltatói nyilatkozat, - szerződés kezdeményező, - megbízási szerződés, - kitüntetés kezdeményező. • Hallgatói ügyek dokumentumai (VIII. irattári csoport), • Pénzügyi vonatkozású iratok (XI. irattári csoport), • Gazdasági ügyek dokumentumai (XII. irattári csoport), • Társadalombiztosítással kapcsolatos ügyek dokumentumai (XIII. irattári csoport), • Egyéb, személyes adatokat tartalmazó dokumentumok. 6.1.4. Alapszakok Informatikai alkalmazás • Papirusz Ügyiratkezelő rendszer, • Office, • Elektronikus levelező (e-mail) rendszer,




Szabályzat

Egészségügyi Kar • ETR rendszer, Ezen belül különösen: - Adminisztrációs modul, - Oktatói modul. • Web-telefonkönyv. Dokumentum • Vezetési ügyek dokumentumai (I. irattári csoport), • Személyi ügyek dokumentumai (II. irattári csoport), Ezen belül különösen: - szerződés kezdeményező, - megbízási szerződés, - munkaköri leírás. • Hallgatói ügyek dokumentumai (VIII. irattári csoport), • Pénzügyi vonatkozású iratok (XI. irattári csoport), • Gazdasági ügyek dokumentumai (XII. irattári csoport), • Egyéb, személyes adatokat tartalmazó dokumentumok.




Szabályzat


6.2. A számítógépes oktatótermek használatának rendje 6.2.1. A számítógépes oktatótermek kulcsa a Portaszolgálatnál igényelhető a diákigazolvány letétbe helyezésével. 6.2.2. A számítógépes oktatótermek szolgáltatásait csak az EK hallgatói és dolgozói vehetik igénybe. Kivételes esetben az oktatótermet bérbevevő intézménnyel kötött szerződése által meghatározott személyek. 6.2.3. A számítógépes oktatóterem kulcsát birtokló hallgató – a többi ott tartózkodó hallgatóval együtt - felelőséggel tartozik a terem számítógépeinek és egyéb berendezéseinek épségéért, rendeltetésszerű használatáért. 6.2.4. A számítógépes oktatótermekben hallgatók által okozott károk megállapítását és a kártérítés mértékét a DE hallgatóinak fegyelmi és kártérítési szabályzata által meghatározott rend szerint kell kezelni. 6.2.5. Ha egy oktató a számítógépes oktatóteremben órarend szerinti tanórát tart, akkor a terem számítógépeinek és egyéb berendezéseinek épségéért, rendeltetésszerű használatáért az oktató felelős. 6.2.6. A bérbe adott számítógépes oktatóterem számítógépeinek és egyéb berendezéseinek épségéért, rendeltetésszerű használatáért a bérlő felelős. 6.2.7. A számítógépeket csak felhasználói név és jelszó megadásával lehet igénybe venni. 6.2.8. Felhasználói név és jelszó az üzemeltető rendszergazdáknál igényelhető. A hallgatók felhasználói nevének és jelszavának kialakításánál és használatánál a 6.3. melléklet szabályait kell alkalmazni. 6.2.9. Minden felhasználó csak a saját felhasználói nevét használhatja, a név átadása tilos. 6.2.10. Szigorúan tilos a számítógépes oktatótermekbe ételt és italt bevinni, és ott elfogyasztani. Szigorúan tilos dohányozni. 6.2.11. A számítógépes oktatótermekben biztosítani kell a zavartalan munka lehetőségét. 6.2.12. A számítógépekre tilos az oktatási tevékenységgel össze nem egyeztethető magánjellegű programokat, játékprogramokat telepíteni. 6.2.13. Tilos a hálózaton továbbított információk jogosulatlan megszerzése, megváltoztatása vagy ilyen irányú kísérlet. Tilos a jogosultsági rendszer feltörése vagy erre irányuló próbálkozás. 6.2.14. Tilos a hálózat működésében zavart előidéző, vagy folyamatosan erős hálózati forgalmat generáló, illetve indokolatlanul erőforrás igényes alkalmazások futtatása.



DEBRECENI EGYETEM

Szabályzat


Egészségügyi Kar 6.2.15. Tilos olyan anyag továbbítása vagy közzététele, amely a jogszabályokat, a hatályos egyetemi, kollégiumi szabályokat, illetve az általános emberi, etikai normákat sérti (például pornográf anyagok használata, közzététele, kéretlen levelek és vírusok terjesztése). 6.2.16. Tilos a hálózat üzemeltetéséhez szükséges hardver eszközök mindenfajta megbontása, szerelése, átkonfigurálása, rongálása, a számítógépek szoftver- és hardverkonfigurációjának módosítása. 6.2.17. Tilos peer-to-peer hálózat (például fájlcserélő rendszerek) használata. 6.2.18. A hallgatók a számítógépes oktatótermekben kizárólag 8 – 18 óra között tartózkodhatnak, kivéve, ha órarend szerinti órán vesznek részt. 6.2.19. A géptermekben történt bármilyen jellegű meghibásodást, rongálást vagy egyéb rendkívüli eseményt az üzemeltető rendszergazdáknak kell jelenteni. 6.2.20. A számítógépes oktatótermek használatának rendjét az üzemeltető rendszergazdák és az informatikai biztonsági felügyelő jogosult ellenőrizni, és a szabályok megszegőit szankcionálni. 6.2.21. Ha bármelyik felhasználó a számítógépes oktatótermek használati rendjének bármelyik pontját megsérti, az üzemeltető rendszergazdák jogosultak a felhasználó hálózati hozzáférését időlegesen megszüntetni.




Szabályzat


6.3. A hallgatók felhasználói nevének és jelszavának képzési és használati szabályai 6.3.1. Felhasználói nevet és jelszót minden félév kezdetekor az új beiratkozók kérhetnek az üzemeltető rendszergazdáktól. 6.3.2. A felhasználói nevek egyediek, minden hallgatónak tanulmányai során végig ugyanaz marad a felhasználói neve. 6.3.3. A felhasználói név szerkezete: a szak, tagozat rövidítése, a beiratkozás éve évszázad nélkül, aláhúzás, a hallgató családneve és keresztnevének első betűje ékezetek nélkül (Például ul06_kissp: Kiss Piroska 2006-ban beiratkozott ügyvitelszervező szakos levelező hallgató). 6.3.4. Az üzemeltető rendszergazdától kapott jelszót az első bejelentkezéskor kötelező megváltoztatni. 6.3.5. A hallgatók 60 naponta kötelesek jelszavukat megváltoztatni. 6.3.6. A jelszó beírásával 5-ször lehet próbálkozni, ha nem sikerül a helyes jelszót megadni, akkor a rendszer 1 órára zárolja a belépés lehetőségét. 6.3.7. A jelszó üzemeltető rendszergazda általi pótlása vagy cseréje eljárási díj befizetésével lehetséges.




Szabályzat


6.4. A felsőoktatási intézményekben nyilvántartott és kezelt személyes és különleges adatok (a 2005. évi CXXXIX. törvény a felsőoktatásról 2. számú melléklete alapján) 6.4.1. Az alkalmazottak adatai 1. E törvény alapján nyilvántartott adatok: a) név, születési név, születési hely és idő, anyja neve, állampolgárság, azonosító szám; b) állandó lakcím és tartózkodási hely; c) munkaviszonyra, közalkalmazotti jogviszonyra, megbízási jogviszonyra vonatkozó adatok: ca) a munkáltató - több esetén valamennyi munkáltató-megnevezése, megjelölve, hogy mely munkáltatóval létesített foglalkoztatásra irányuló további jogviszonyt, cb) végzettségi szint, szakképzettség, szakképesítés, idegennyelv-tudás, tudományos fokozat, cc) munkában töltött idő, közalkalmazotti jogviszonyba beszámítható idő, besorolással kapcsolatos adatok, cd) kitüntetések, díjak és más elismerések, címek, ce) munkakör, vezetői megbízás, munkakörbe nem tartozó feladatra történő megbízás, munkavégzésre irányuló további jogviszony, fegyelmi büntetés, kártérítésre kötelezés, cf) munkavégzés ideje, túlmunka ideje, munkabér, illetmény, továbbá az azokat terhelő tartozás és annak jogosultja, cg) szabadság, kiadott szabadság, ch) az alkalmazott részére történő kifizetések és azok jogcímei, ci) az alkalmazott részére adott juttatások és azok jogcímei, cj) az alkalmazott munkáltatóval szemben fennálló tartozásai és azok jogcímei, ck) kutatói tevékenység, tudományos munka, művészeti alkotói tevékenység, azok eredményei. 2. A többi adat az érintett hozzájárulásával tartható nyilván. 3. Az 1. pontban felsorolt adatok továbbíthatók: • a fenntartónak valamennyi adat, a fenntartói jogok gyakorlásához szükséges mértékben; • a társadalombiztosítási, illetmény és munkabér vagy más juttatás kifizetőhelyének minden olyan adat, amely az illetmény, munkabér vagy más juttatás, jogosultság megállapításához, igénybevételéhez szükséges; • az Országos Felsőoktatási Információs Központnak minden olyan adat, amelyet e törvény szerint a felsőoktatási információs rendszer kezelhet; • a Magyar Felsőoktatási Akkreditációs Bizottságnak minden olyan adat, amely ahhoz szükséges, hogy megállapíthassa a felsőoktatási intézmény működéséhez szükséges feltételek meglétét; • a bíróságnak, rendőrségnek, ügyészségnek, a bírósági végrehajtónak, államigazgatási szervnek a konkrét ügy eldöntéséhez szükséges adatok; • a munkavégzésre vonatkozó rendelkezések ellenőrzésére jogosultaknak a foglalkoztatással összefüggő adatok; • a nemzetbiztonsági szolgálatnak valamennyi adat.




Szabályzat

Egészségügyi Kar

6.4.2. A hallgatók adatai 1. E törvény alapján nyilvántartott adatok: a) felvétellel összefüggő adatok: aa) a jelentkező neve, születési neve, anyja neve, születési helye és ideje, állampolgársága, állandó lakásának és tartózkodási helyének címe és telefonszáma, nem magyar állampolgár esetén a Magyar Köztársaság területén való tartózkodás jogcíme és a tartózkodásra jogosító okirat megnevezése, száma, ab) az érettségi vizsga adatai, ac) a középiskola adatai, ad) a felvételi kérelem elbírálásához szükséges adatok, ae) a felvételi eljárás adatai; b) a hallgatói (kollégiumi tagsági, doktorandusz, doktorjelölt) jogviszonnyal összefüggő adatok: ba) a hallgató neve, születési neve, anyja neve, születési helye és ideje, állampolgársága, állandó lakásának és tartózkodási helyének címe és telefonszáma, nem magyar állampolgár esetén a Magyar Köztársaság területén való tartózkodás jogcíme és a tartózkodásra jogosító okirat megnevezése, száma, bb) a hallgató tanulmányainak értékelése, vizsgaadatok, megkezdett félévek, igénybe vett támogatási idő, a hallgatói jogviszony szünetelésének ideje, bc) a külföldi tanulmányok helye, ideje, bd) az elért és beszámított kreditek, beszámított tanulmányok, be) a hallgatói juttatások, kollégiumi elhelyezés adatai, a juttatásokra való jogosultság elbírálásához szükséges adatok (szociális helyzet, szülők adatai, tartásra vonatkozó adatok), bf) a hallgatói munkavégzés adatai, bg) a hallgatói fegyelmi és kártérítési ügyekkel kapcsolatos adatok, bh) a fogyatékossággal élőket megillető különleges bánásmód elbírálásához szükséges adatok, bi) a hallgatói balesetre vonatkozó adatok, bj) a hallgató diákigazolványának sorszáma, bk) a hallgató azonosító száma. 2. A többi adat az érintett hozzájárulásával tartható nyilván. 3. Az adatok továbbíthatók: • a fenntartónak valamennyi adat, a fenntartói irányítással összefüggő feladatok ellátásához; • a bíróságnak, rendőrségnek, ügyészségnek, a bírósági végrehajtónak, államigazgatási szervnek a konkrét ügy eldöntéséhez szükséges adat; • a nemzetbiztonsági szolgálat részére valamennyi adat; • az Országos Felsőoktatási Információs Központ részére valamennyi adat; • a Diákhitel Központnak a tanulmányok folytatásával összefüggő adatok.




Szabályzat


6.5. Hatályba lépés A szabályzatot a Kari Tanács 11/2007. (03. 27.) számú határozatával elfogadta, 2007. április 1-től hatályos. Ezzel egyidejűleg minden más – az informatikai biztonság témáját érintő – kari szabályozás hatályát veszti.

Nyíregyháza, 2007. március 27.



Informatikai Biztonsági Szabályzat SZ 002.EF

Recommend Documents