PATVIRTINTA
Viliaus Gaigalaičio globos namų direktoriaus
2021 m. gruodžio 29 d. įsakymu Nr. V-157-(1.3)
VILIAUS GAIGALAIČIO GLOBOS NAMŲ INFORMACIJOS SAUGUMO POLITIKA
I. BENDROSIOS NUOSTATOS
1. Informacijos saugumo politikos (toliau – IS politika) tikslas – apsaugoti Viliaus Gaigalaičio globos namų (toliau – Įstaiga) darbuotojus, partnerius ir klientus nuo neteisėtų ir žalą sukeliančių tiesioginių ar netiesioginių, sąmoningų ar nesąmoningų asmenų veiksmų tvarkant informaciją ir jiems prieinamus duomenis, taip pat naudojant atitinkamą įrangą savo darbo funkcijoms atlikti.
2. Visi asmens duomenys ir kita informacija, pagal kurią galima nustatyti asmens tapatybę, renkama ir tvarkoma tik tada, kai tai reikalinga, ir tik tokia apimtimi, kokia reikalinga tam, kad darbuotojas galėtų atlikti darbines funkcijas jam suteiktų įgalinimų ribose ir prisilaikant įstatyminių reikalavimų duomenų apsaugai, ypač 2016 m. balandžio 27 d. Reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas).
3. Informacijos saugumas apima taip pat ir asmens duomenų konfidencialumo, informacijos vientisumo ir prieinamumo apsaugą.
4. IS politika taikoma Įstaigoje tvarkant bet kuriose sistemose esančią ar bet kurioje duomenų/informacijos tvarkyme naudojamoje laikmenoje laikomą informaciją, nepriklausomai nuo to, ar duomenų/informacijos tvarkymas yra susijęs su vidinių Įstaigos funkcijų atlikimu ar su išoriniais Įstaigos ryšiais su bet kokiomis trečiosiomis šalimis.
5. IS politika taikoma visiems Įstaigos darbuotojams, partneriams ir klientams bei Įstaigai paslaugas tiekiančioms organizacijoms bei asmenims (toliau – Tiekėjams).
6. IS politika yra Įstaigos informacijos saugos reikalavimų pagrindas. Visos kitos procedūros, tvarkos, taisyklės ir kiti vidiniai dokumentai turi neprieštarauti bei remtis čia apibrėžtais saugos principais.
7. Už IS politikos peržiūros organizavimą atsakingas Įstaigos vadovas arba Įstaigos vadovo įsakymu paskirtas atsakingas asmuo (toliau – atsakingas asmuo) kartu su asmens duomenų apsaugos pareigūnų. IS politikos peržiūra turi būti atliekama ne rečiau kaip kartą per tris metus.
II. INFORMACIJOS SAUGUMO SĄVOKOS
8. Prieinamumas: duomenys arba informacija yra prieinami ir gali būti naudojami, kai to reikia įgaliotam asmeniui.
9. Konfidencialumas: užtikrinama, kad duomenys arba informacija būtų neprieinami ir neatskleidžiami neįgaliotiems asmenims ar procesams.
10. Vientisumas: duomenys arba informacija nėra neteisėtai pakeisti ar sunaikinti.
11. Susiję asmenys: kiekvienas Įstaigoje dirbantis asmuo, nepriklausomai nuo jo/jos statuso. Tai apima darbuotojus, pagal paslaugų sutartis teikiančius paslaugas asmenis, konsultantus, laikinus darbuotojus, savanorius, praktikantus, tiekėjus ir t. t.
12. Informacinės sistemos savininkas: asmuo, atsakingas už nepertraukiamą ir korektišką sistemos veikimą.
13. Sistemos: visa kompiuterinė įranga ir tinklo sistemos, kurios veikia Įstaigos aplinkoje. Tai apima visas platformas (operacines sistemas), visų dydžių kompiuterius (delninius kompiuterius, stalinius kompiuterius, serverius ir t. t.), taip pat visas tokiose sistemose esančias programas (aplikacijas) ir duomenis (nepriklausomai nuo to, ar jie sukurti organizacijoje ar gaunami iš trečiųjų šalių pagal licencijų sutartis).
14. Rizika: tikimybė, kad bus prarastas informacijos išteklių konfidencialumas, vientisumas ar prieinamumas.
III. ŽMOGIŠKIEJI IŠTEKLIAI IR SAUGUMAS
15. Personalas privalo būti susipažinęs su IS politika (tvarkomis), jam turi būti reguliariai teikiama susijusi informacija ir rengiami atitinkami mokymai.
16. Bendra atsakomybė už informacijos saugumą tenka Įstaigos vadovybei. Pastaroji taip pat atsakinga už informacijos saugumo koordinavimą bei IT sistemų vykdomų operacijų palaikymą ir tikslus, pasirinkdama tinkamą IT infrastruktūros ir paslaugų Tiekėją (toliau – IT administratorius).
17. Darbuotojai privalo laikytis IS politikos (tvarkų) ir gairių, nuolat skirti dėmesį saugumui. Pastebėjus pažeidimus, jie turi būti perduodami nagrinėti aukštesniu lygmeniu, o apie incidentus pranešama. Visi darbuotojai yra atsakingi už informacijos ir žinių kaupimą, kad būtų laikomasi taisyklių.
18. Turėtų būti aiški darbo ir paslaugų sutarčių nutraukimo tvarka. Tiesioginis vadovas atsako už tai, kad darbo sutartys būtų nutraukiamos tinkamai, laikantis patvirtinto proceso.
IV. FIZINIS IR APLINKOS SAUGUMAS
19. Lankytojai iš išorės įleidžiami į Įstaigos patalpas pagal Įstaigos vadovo nustatytą tvarką.
20. Susijęs dokumentas: Viliaus Gaigalaičio globos namų gyventojų vidaus tvarkos taisyklės.
V. IŠORINĖS RIBOS APSAUGA, BIURO APSAUGA
21. Įstaigos veiklos patalposyra apsaugotos signalizacija, taip pat stebėjimu vaizdo kameromis, griežtai laikantis asmens duomenų apsaugos reikalavimų.
VI. KOMUNIKACIJOS IR OPERACIJŲ KONTROLĖ
22. Taip pat turėtų būti numatyti vadovybės pasikeitimo procesai, siekiant ir toliau vykdyti operacijas, išlaikyti kokybę ir saugumą visose sistemose.
23. Turi būti užtikrinama tinklo apsauga ir jo informacijos bei komunikacijos saugumas ta prasme, kad jie turėtų būti saugomi nuo grėsmių, įsibrovimų ir klastojimo.
VII. INFORMACIJOS KLASIFIKAVIMAS
24. Bet kuri informacija/duomenys, kurie tampa prieinami Įstaigos darbuotojams darbinių pareigų atlikimo metu, jeigu ji susijusi su Įstaiga ir jos veikla, klientais ar bendradarbiavimu su partneriais, laikoma konfidencialia Įstaigai priklausančia informacija, kuri yra saugoma atsižvelgiant į taikytinas konfidencialios informacijos, komercinių/prekybinių paslapčių ir asmens duomenų apsaugos įstatymų bei taisyklių nuostatas.
25. Siekdama užtikrinti tinkamą informacijos ir duomenų apsaugą, Įstaiga klasifikuoja turimą informaciją. Informacija/duomenys yra saugoma nepriklausomai nuo to, ar jie pateko darbuotojui atspausdinti ar bet kokiame duomenų saugojimo įrenginyje, kaip garsinė/vaizdinė medžiaga ar bet kokia kita forma.
26. Įstaigoje taikoma informacijos klasifikacija:
VIII. DUOMENŲ/INFORMACIJOS TVARKYME NAUDOJAMOS SISTEMOS
27. Bet kokios informacinės sistemos, įskaitant, bet neapsiribojant, kompiuterine įranga, bet kokia programine įranga, operacinėmis sistemomis, bet kokiomis duomenų laikmenomis, tinklo paskyromis, elektroninio pašto paskyromis, paieškos sistemomis ir bet kokia kita Įstaigos veikloje naudojama technine baze ir įrankiais, yra laikomos Įstaigos nuosavybe.
28. Kiekvienas Įstaigos darbuotojas techninę įrangą ir įrankius naudoja atsakingai ir dėmesingai ir tiktai su Įstaigos funkcijų atlikimu susijusiems tikslams bei darbo funkcijoms atlikti.
IX. DARBUOTOJŲ PAREIGOS
29. Visa informacija/duomenys, patenkantys darbuotojui darbinių pareigų atlikimo metu, laikomi ir traktuojami kaip konfidencialūs ir saugomi pagal šios IS politikos nuostatas; jie negali būti atskleidžiami bet kokioms trečiosioms šalims, nebent Įstaigos vadovas paskelbtų, kad tokia informacija tapo vieša arba yra kitaip perkvalifikuota į informaciją, kuriai netaikoma čia nustatyta apsauga. Konfidencialia informacija nelaikoma informacija, kuri yra viešai prieinama, jei tokia tapo ne dėl neteisėtų darbuotojo veiksmų.
30. Konfidencialią informaciją ir asmens duomenis darbuotojas gali naudoti tik darbo funkcijoms ir pareigoms atlikti ir tik ta apimtimi, kiek būtina atlikti darbo funkcijas ir pareigas.
31. Kiekvienas darbuotojas privalo laikytis šios IS politikos, taip pat ir taikytinų vietinių, regioninių ar tarptautinių įstatymų bei taisyklių, kuriomis nustatyti informacijos/duomenų tvarkymo ir apsaugos reikalavimai. IS politikos nesilaikymas bus laikomas šiurkščiu darbo pareigų pažeidimu ir, Įstaigos pasirinkimu, gali užtraukti drausmines sankcijas arba darbuotojo atleidimą. Taip pat pažeidimą padariusiam darbuotojui gali kilti administracinė arba baudžiamoji atsakomybė.
X. PRIEIGOS IR APSAUGOS VALDYMAS
32. Bet kokie prietaisai Įstaigos darbuotojams yra pasiekiami priklausomai nuo jų darbinių pareigų, atsakomybės ir remiantis „būtinumo žinoti” principu. Priėjimas prie bet kokios sistemos nereiškia, kad darbuotojas yra įgaliotas peržiūrėti ir naudoti visą toje sistemoje esančią informaciją.
33. Taikomi sistemų naudotojų vardai (ID) turi būti unikalūs ir identifikuoja konkretų darbuotoją. Kiekvienas darbuotojas yra atsakingas už visus veiksmus, susijusius su jo asmenine vartotojo paskyra, todėl pagrindinė pareiga yra užtikrinti, kad darbuotojo paskyra yra neprieinama trečiosioms šalims, netgi kitiems darbuotojams, nebent Įstaiga būtų nustačiusi kitokią tvarką.
34. Darbuotojas gali susipažinti su konfidencialia informacija/duomenimis tik jeigu jis turi tokius įgaliojimus pagal darbo sutartį ir/arba jam tokius įgaliojimus suteikė Įstaiga.
XI. SLAPTAŽODŽIŲ VALDYMAS
35. Sistemą apsaugantys slaptažodžiai turi būti sudaromi atsakingai tam, kad nebūtų lengva juos atspėti, kad jie neapimtų asmens duomenų ir būtų reguliariai keičiami. Kiekvienas darbuotojas yra asmeniškai atsakingas už savo slaptažodžio atitikimą šios IS politikos nuostatoms ir bet kokioms kitoms Įstaigos taisyklėms.
36. Informacinės sistemos naudotojui IT administratorius suteikia vardą ir laikiną slaptažodį. Informacinės sistemos administratoriaus suteiktas laikinas slaptažodis galioja iki sistemos naudotojo pirmo prisijungimo prie informacinės sistemos. Informacinės sistemos naudotojas, pirmą kartą jungdamasis prie informacinės sistemos, laikiną slaptažodį privalo pakeisti.
37. Slaptažodis negali būti perduotas tretiesiems asmenims.
38. Kiekvienas informacinės sistemos naudotojas privalo naudoti tik jam suteiktą vardą. Draudžiama naudotis svetimu vardu ir/ar slaptažodžiu.
39. Už prisijungimo duomenų konfidencialumo užtikrinimą atsako juos gavęs naudotojas, taip pat informacinės sistemos administratorius arba kitas įgaliotas asmuo, kuris sugeneravo, registravo, perdavė naudotojui prisijungimo duomenis.
40. Būtina laikytis „švaraus stalo“ politikos: nepalikti slaptažodžių, užrašytų ant popieriaus, lapelių, baldų ar kitoje matomoje ar lengvai prieinamoje vietoje.
41. Kilus įtarimui, kad slaptažodis galėjo būti atskleistas, informacinės sistemos naudotojas turi nedelsdamas inicijuoti slaptažodžio pakeitimą.
42. Įvairiose aplinkose bei sistemose (aplikacijose) turi būti skirtingi slaptažodžiai.
43. Informacinės sistemos slaptažodžiai turi būti saugomi naudojant maišos funkcijas.
XII. NAUDOTOJO PASKYROS VALDYMAS
44. Už paskyrų valdymą/priskyrimą, prieigos teisių valdymą, oficialaus visų naudotojų, turinčių prieigą prie informacinių išteklių, registro atnaujinimą ir nebereikalingų naudotojų paskyrų panaikinimą atsakingas IT administratorius.
45. Draudžiama naudotis bendromis naudotojų paskyromis.
46. Naudotojai turi būti automatiškai atjungiami nuo informacinės sistemos, jei nustatytą laiką neatliekami jokie veiksmai. Maksimalus pertraukos laikas yra 30 minučių. Pertraukos laiką nustato informacinės sistemos savininkas, atsižvelgdamas į su informaciniais ištekliais susijusios rizikos ir svarbumo vertinimą.
47. Serverio failų sistemose turi būti įdiegti prieigos kontrolės mechanizmai, skirti apsaugoti nuo įsibrovimų ar neteisėto duomenų pakeitimo. Tokie mechanizmai turi užtikrinti, kad nebūtų tiesioginės prieigos prie kitų naudotojų duomenų ir nebūtų įdiegiamos naujos neleistinos paslaugos.
48. Kiekvienas pasinaudojimas sistema turi būti fiksuojamas ir visi naudotojų prieigos prie jautraus pobūdžio informacijos bei informacinės sistemos funkcijų atvejai turi būti fiksuojami log’uose ir apie juos pranešama.
XIII. SAUGUMO PRIEMONĖS
49. Visiems bet kokiu būdu surinktiems ir tvarkomiems bet kokios formos (popierinės, elektroninės, kt.) duomenims ir informacijai yra taikomi šios IS politikos ir teisės aktų reikalavimai dėl duomenų/informacijos rinkimo, tvarkymo, apsaugos, tolimesnio saugojimo ir sunaikinimo. Įstaigos turima informacija/duomenys, dokumentai saugomi Įstaigos paskirtoje vietoje teisės aktų nustatytą laikotarpį, jei teisės aktais saugojimo terminas nenustatytas, Įstaigos nustatytą saugojimo terminą. Duomenų saugojimo terminai nurodyti veiklos įrašų registre.
50. Darbuotojams neleidžiama laikyti bet kokios konfidencialios informacijos asmeniniuose įrenginiuose, išskyrus, kai informacijos laikinai reikia specifinei su darbo pareigų atlikimu susijusiai veiklai. Visa reikalinga konfidenciali ir asmens tapatybę leidžianti nustatyti informacija saugoma tiktai Įstaigos IT administratoriaus nurodytoje nuotolinėje saugykloje (duomenų centre). Duomenų/informacijos parsisiuntimas į galinius įrenginius galimas tik išimtinais atvejai, kai duomenų/informacijos naudojimas, apdorojimas nuotolinėje saugykloje yra negalimas ir/arba apsunkintas. Darbuotojas užtikrina, kad baigus darbą su informacija/duomenimis, parsiųstais į galinius įrenginius, apdorota informacija/duomenys būtų išsaugoti nuotolinėje saugykloje ir pašalinti iš darbuotojo naudojamo galinio įrenginio.
51. Į Įstaigoje naudojamą įrangą gali būti diegiamos ir naudojamos tik Įstaigos leidžiamos sistemos ir licencijuota programinė įranga. Bet kokios kompiuterių programos diegiamos į Įstaigos kompiuterius tik gavus išankstinį Įstaigos vadovo leidimą.
52. Tais atvejais, kai darbuotojai prisijungdami prie darbinių Įstaigos duomenų/informacinių šaltinių (pvz., ryšių su klientais valdymas, elektroninis paštas, internetinės/ nuotolinės duomenų bazės) naudoja namų įrenginius, darbuotojai privalo laikytis šios IS Politikos reikalavimų taip pat, kaip ir naudodami Įstaigos suteiktą įrangą. Atitinkamai yra draudžiama saugoti bet kokius su Įstaiga susijusius duomenis ir informaciją įrenginyje, bet koks duomenų tvarkymas leidžiamas tik per Įstaigos naudojamas nuotolines arba internetines saugyklas.
53. Draudžiama naudotis Įstaigos valdoma, naudojama ir tvarkoma informacija/duomenimis per viešai prieinamą prieigą prie elektroninių ryšių tinklų.
54. Tuo atveju, jeigu darbuotojui suteikiama prieiga prie Įstaigos kliento ar bendradarbiavimo partnerio bylų saugojimo sistemos, darbuotojas privalo naudoti kliento arba partnerio suteiktus prieigos įrankius bei laikytis jam nurodytų informacijos/duomenų tvarkymo saugumo taisyklių reikalavimų (įskaitant šifravimo sistemų, slaptažodžių, duomenų naudojimo apribojimų, nurodytų buvimo vietų naudojimą ir kt.)
55. Kai Įstaigos tvarkomi, saugomi duomenys/informacija tampa nebereikalinga Įstaigos veikloje, tokie duomenys/informacija, įskaitant jos kopijas, sunaikinama. Pasibaigus darbo santykiams Įstaigos darbuotojas privalo grąžinti duomenis/informaciją, gautą iš Įstaigos darbo funkcijoms atlikti nepriklausomai nuo informacijos/duomenų laikmenos formos, o jo naudotos el. pašto dėžutės turinys sunaikinamas.
56. Jokia šioje IS politikoje nurodyta informacija/duomenys negali būti siunčiama, perduodama arba bet kokiu kitu būdu pateikiama trečiajai šaliai, nebent tai yra būtina darbuotojo darbo funkcijoms įvykdyti ir tik tokia apimtimi, kokia reikalinga darbo funkcijų vykdymui. Duomenų perdavimo ar pateikimo tretiesiems asmenims atveju, turi būti užtikrinta, kad duomenys yra apsaugoti ir imtasi atitinkamų saugumo priemonių.
XIV. DRAUDŽIAMI VEIKSMAI
57. Išskyrus konkrečiai nustatytas išimtis, jokiais atvejais ir jokiomis aplinkybėmis Įstaigai, jos klientams ar partneriams priklausantys įrenginiai, sistemos ar įrankiai negali būti naudojami su darbuotojo darbo pareigomis ar su Įstaigos veikla nesusijusiems tikslams.
58. Įstaigos darbuotojai neturi teisės:
58.1. įstaigos galiniuose įrenginiuose diegti, kopijuoti, platinti nelicencijuotą, Įstaigos vadovo iš anksto nepatvirtintą programinę įrangą bei kitus autorių teisių objektus;
58.2. rinkti, kaupti, tvarkyti asmens duomenis pažeidžiant asmens duomenų teisinę apsaugą reglamentuojančius teisės aktus;
58.3. jungtis prie Įstaigos valdomų ir tvarkomų, naudojamų duomenų/informacijos saugyklų kitais tikslais nei Įstaigos veiklos vykdymas ar darbuotojo darbo pareigų atlikimas;
58.4. atskleisti Įstaigos konfidencialią informaciją bei Įstaigos komercinę paslaptį sudarančią informaciją tretiesiems asmenims.
XV. ATSARGINIŲ KOPIJŲ DARYMAS
59. IT administratorius užtikrina ir stebi paslaugų teikimo metu tvarkomos informacijos atsarginių kopijų darymą.
60. Įstaigos informacijos atsarginių kopijų darymo procesas visų informacinės sistemos dalių atžvilgiu privalo būti fiksuojamas ir reguliariai atnaujinamas.
61. IT administratorius privalo sukurti procesus, kurie bus naudojami Įstaigos atsarginių kopijų saugumui patikrinti. Visos duomenų atsarginės kopijos turėtų būti periodiškai tikrinamos, siekiant užtikrinti, kad duomenys galės būti atkuriami, jei įvyktų incidentai, galintys turėti reikšmingą poveikį pirminiams duomenims.
62. Laikmenos, kuriose saugomi atsarginių kopijų duomenys, identifikavimo tikslais turi būti atitinkamai ženklinamos.
XVI. INFORMACIJOS TVARKYMUI NAUDOTŲ LAIKMENŲ IR ĮRANGOS ŠALINIMAS ARBA PAKARTOTINIS PANAUDOJIMAS
63. Visos nenaudojamos laikmenos, kuriose yra konfidencialios informacijos, kuri negali būti tinkamai iš tokių laikmenų pašalinta, sunaikinamos.
64. Jei laikmena nebenaudojama ir logiškais metodais neįmanoma nustatyti, ar joje yra kokios Įstaigai priklausančios konfidencialios informacijos ir/ar tokią informaciją galima tinkamai išvalyti, tokia laikmena privalo būti fiziškai sunaikinama prieš ją pašalinant kaip atlieką. Jei laikmena yra viso įrenginio dalis, reikia sunaikinti tik duomenų saugojimo komponentus, jeigu jie negali būti tinkamai išvalyti.
65. Laikmenų ar įrangos pakartotinio panaudojimo atveju privaloma ištrinti visą jose esančią konfidencialią informaciją ir metaduomenis.
66. Jei laikmenų ir informacijos tvarkymui naudotos įrangos šalinimo procese dalyvauja trečioji šalis, turi būti įrašas, fiksuojantis šalinimo procedūrą ir jame nurodoma bent tokia informacija:
66.1. būdai, naudojami duomenims ištrinti ar įrangai pašalinti;
66.2. įrangos, kuri šalinama arba iš kurios ištrinami duomenys, rūšis;
66.3. asmens, atsakingo už šalinimo procedūras, vardas ir pavardė;
66.4. asmens, atsakingo už šalinimo procedūros priežiūrą, vardas, pavardė ir parašas.
67. Skaitmeninės laikmenos ir įranga, kuriose yra informacijos, priskiriamos „konfidencialiai“, neturėtų būti dovanojamos.
68. Skaitmeninių laikmenų ir įrangos, kuriose yra konfidencialios informacijos, šalinimo procesui būtinas Įstaigos vadovo leidimas.
69. Laikmenos ir informacijos tvarkymui naudota įranga, kurias ketinama šalinti, neturėtų būti laikomos viešose erdvėse Įstaigos patalpose ir už jų ribų.
XVII. PRANEŠIMAI APIE SAUGOS INCIDENTUS
70. Apie visus informacijos/duomenų tvarkymo saugumo pažeidimo įvykius ar aplinkybes, gresiančias duomenų/informacijos saugumui, turi būti nedelsiant pranešta Įstaigos vadovui, kuris atitinkamai imasi priemonių išvengti galimos žalos, kilusią žalą panaikinti ir buvusią saugumo būseną atkurti. Prireikus, Įstaigos vadovas imasi pareigos užtikrinti, kad apie duomenų/informacijos saugumo pažeidimus būtų pranešta valdžios institucijoms ir susijusiems asmenims, kaip numatyta teisės aktuose.
71. Rekomenduojama Įstaigoje apsibrėžti saugos incidentų valdymo taisykles, t. y., nustatyti incidentų identifikavimo, tyrimų ir sprendimų, registravimo, rizikos vertinimo, pranešimų Valstybinei duomenų apsaugos inspekcijai ir duomenų subjektams tvarką, atsakomybės ribas.
XVIII. TIEKĖJŲ ATRANKA
72. Tiekėjų atranką Įstaiga atlieka ir sutartis su atrinktais Tiekėjais vykdo pagal Lietuvos Respublikos viešųjų pirkimų įstatymą.
XIX. IS VEIKLOS TĘSTINUMO PLANAVIMAS
73. Tęstinumo planavimo užtikrinimas taikomas ne tik IT sistemoms, bet ir žmonių, išteklių, klientų ir reputacijos apsaugai. Tai turėtų būti atliekama skiriant tinkamus išteklius, kad būtų apsaugota infrastruktūra, sistemos, darbo ir aplinkinės erdvės.
74. Turėtų būti identifikuojamos visos IT sistemos, įskaitant tinklus, kompiuterius ir mobiliuosius įrenginius, kuriuose gali būti kaupiama su veikla susijusi informacija, ir sudaromas jų sąrašas. Tokiame sąraše reikėtų nurodyti, kas yra atitinkamos sistemos savininkas. Kai tam tikri ištekliai tampa nebenaudojami, turėtų būti atstatoma jų pradinė būklė. IT administratorius turi užtikrinti, kad atkūrimo planai būtų atnaujinti bei veikiantys ir imtųsi atkūrimo užduoties, kol atstatyta sistema pradės veikti.
XX. NUOTOLINIS DARBAS
75. Kai dirbama ne iš Įstaigos patalpų, būtinas tokio paties lygio informacijos saugumas kaip ir dirbant vietiniame tinkle. Taip pat reikėtų užtikrinti, kad bet koks informacijos valdymas atitiktų reikalavimus, išdėstytus šioje IS politikoje ir susijusiose tvarkose.
76. Susijęs dokumentas: Viliaus Gaigalaičio globos namų nuotolinio darbo tvarkos aprašas.
XXI. ATITIKTIS
77. Informacijos saugumo, saugos instrukcijos ir rizikos vertinimai turi būti reguliariai peržiūrimi. Reikėtų patikrinti, ar:
77.1. įgyvendintos patvirtintos priemonės,
77.2. laikomasi taisyklių ir įstatymų,
77.3. Įstaigos informacija kontroliuojama, t. y. ar pildomi turėtų būti registraiar kitokio pobūdžio dokumentai. Tai taikoma ir asmens duomenims.
XXII BAIGIAMOSIOS NUOSTATOS
78. Įstaigoje dirbantys ir (arba) kitais teisėtais pagrindais veiklą vykdantys asmenys, kurie tvarko asmens duomenis Įstaigoje, iškilus klausimams dėl asmens duomenų tvarkymo, privalo kreiptis į atsakingą asmenį arba į asmens duomenų apsaugos pareigūną.
79. Darbuotojai ir kiti asmenys su IS politika yra supažindinami pasirašytinai arba elektroninėmis priemonėmis ir privalo laikytis joje nustatytų įsipareigojimų bei atlikdami savo darbo funkcijas vadovautis joje nustatytais principais.
80. Įstaigos darbuotojams periodiškai, bet ne rečiau kaip kartą per 3 metus, organizuojami mokymai asmens duomenų tvarkymo bei apsaugos tema. Už mokymų organizavimą atsakingas Įstaigos vadovo įsakymu paskirtas atsakingas asmuo.
81. Įstaigos darbuotojai ir išoriniai paslaugų tiekėjai (duomenų tvarkytojai), pažeidę IS politikos reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.
82. Pasikeitus teisės aktų reikalavimams dėl asmens duomenų apsaugos, atsakingas asmuo inicijuoja, atlieka ir yra atsakingas už vidinės Įstaigos dokumentacijos, IS politikos bei sutarčių su paslaugų teikėjais nuostatų peržiūrėjimą ir pakeitimą, jeigu to reikia.