Instrukcja Zarządzania Systemem Informatycznym jest, obok Polityki Bezpieczeństwa, drugim wymaganym ustawowo dokumentem regulującym zasady bezpiecznego przetwarzania danych osobowych.
Każdy Administrator Danych Osobowych (ADO), który w ramach prowadzonej działalności, przetwarzając dane osobowe (np. klientów czy pracowników), zobligowany jest do określenie reguł, których stosowanie gwarantuje bezpieczeństwo przetwarzanych danych osobowych. W przypadku, gdy dane przetwarzane są w systemie informatycznym, reguły i zasady opisane są w Instrukcji Zarządzania Systemem Informatycznym.
Zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz. U. 2004 r., nr 100, poz. 1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Instrukcja obejmuje:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób i miejsce przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych,
- sposób zabezpieczenia systemu informatycznego przez działalnością szkodliwego oprogramowania,
- informacje o odbiorcach, którym dane osobowe zostały udostępnione,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych.
Zasady określone w Instrukcji Zarządzania Systemem Informatycznym, dotyczą wszystkich osób (pracowników czy zleceniobiorców), którzy przetwarzają dane osobowe będące w posiadaniu ADO.
Podobnie jak w przypadku Polityki Bezpieczeństwa, Administrator Danych Osobowych powinien aktualizować Instrukcję w miarę jak pojawiają się nowe zagrożenia lub nowe technologie pozwalające na jeszcze lepszą ochronę danych osobowych.