Instrukcja zarządzania
systemem informatycznym

Instrukcja zarządzania systemem informatycznym obok polityki bezpieczeństwa jest dokumentem, który  powinien znaleźć się w dokumentacji opisującej sposoby przetwarzania danych osobowych w danej organizacji. Na gruncie poprzednio obowiązujących przepisów na administratorów danych był nałożony obowiązek posiadania polityki oraz instrukcji zarządzania systemem informatycznym.

Obecnie europejskie rozporządzenie o ochronie danych osobowych nie nakłada na administratorów danych obowiązku posiadania instrukcji zarządzania systemem informatycznym. Można jednak wskazać, że wiele podmiotów, które przed 25 maja 2018 r. rzetelnie podchodziło do problematyki ochrony danych osobowych, po wspomnianej dacie postanowiły włączyć Instrukcje zarządzania systemem informatycznym do swoich obecnych dokumentacji z zakresu ochrony danych osobowych. 

W treści instrukcji zarządzania systemem informatycznym powinny zostać zawarte ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, a także zastosowanych rozwiązaniach technicznych. Ponadto instrukcja zarządzania systemem informatycznym powinna zawierać procedury eksploatacji i zasady użytkowania systemu, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

Sama instrukcja zarządzania systemem informatycznym, ze względu na wagę treści w niej zawartych, powinna być dokumentem znanym oraz zrozumianym przez wszystkich pracowników, którzy mają dostęp i pracują z systemami informatycznymi. Ponadto należy wskazać, że ze względu na swoją zawartość, instrukcja zarządzania systemem informatycznym jest dokumentem wewnętrznym, stąd nie powinna ona być udostępniana nieograniczonemu kręgowi osób, gdyż w interesie danej organizacji jest zachowanie w tajemnicy tego w jaki sposób są zabezpieczane zasoby informacyjne w systemach informatycznych danej organizacji.