Audyt bezpieczeństwa informacji – dlaczego warto?
Zapewnienie bezpieczeństwa informacji przez spółki i inne podmioty prowadzące działalność gospodarczą jest bezwzględną koniecznością. Odnosi się to zarówno do bezpieczeństwa informacji rozumianej szeroko – z uwzględnieniem wszelkich danych, którymi podmiot dysponuje np. tajemnica przedsiębiorstwa, know-how czy lista kontrahentów. Bezpieczeństwo informacji rozumiane ściślej, o którym będzie mowa w niniejszym artykule dotyczy ochrony danych osobowych. Obowiązki z tym związane obciążają administratora danych.
Zasadniczą zaletą audytu przeprowadzonego przez profesjonalny podmiot zewnętrzny jest kompleksowość oraz jego niezależność. Daje on gwarancję tego, iż każdy dział przedsiębiorstwa, który przetwarza dane osobowe, każdy dokument odnoszący się do danych, każda procedura (procesy przetwarzania danych osobowych) czy system informatyczny, w którym dane osobowe są przetwarzane, zostanie skrupulatnie przeanalizowany pod kątem przepisów regulujących ochronę danych osobowych.
Etapem początkowym modelowego audytu powinno być przeprowadzenie oceny stanu zaawansowania podmiotu w zakresie przestrzegania przepisów o ochronie danych osobowych (aspekt prawny). Badane jest dysponowanie przez podmiot odpowiednimi środkami organizacyjno- technicznymi. Ustalenia zostaną poczynione na podstawie rozmów z pracownikami i współpracownikami podmiotu, jak również przedstawionych audytorowi dokumentów. Rolą podmiotu będzie zaś umożliwienie dostępu do wszelkich niezbędnych źródeł informacji tak, by badanie na tym etapie zostało przeprowadzone bardzo wnikliwie, dając pełny i rzeczywisty obraz sytuacji w przedsiębiorstwie.
Następnym krokiem jest opracowanie szczegółowego raportu z audytu, w którego treści w sposób zrozumiały dla potencjalnych odbiorców raportu (którzy będą go następnie wdrażać) wskazane zostaną dostrzeżone uchybienia oraz zalecenia ustalone po audycie np. odnoszące się do środków organizacyjnych zastosowanych do zabezpieczenia danych. W raporcie warto zawrzeć także proponowane sposoby rozwiązania problematycznych kwestii w funkcjonowaniu przedsiębiorstwa (klauzule zgody, zapisy do umów i aneksów, zapisy do regulaminów w zakresie przepisów o ochronie danych osobowych), jak również listę ryzyk prawnych.
Oferty audytu są często wzbogacone o przygotowanie dla audytowanego podmiotu dokumentacji związanej z ochroną danych osobowych, jeśli audytowany jej jeszcze nie posiada. Dokumentacja taka powinna obejmować politykę bezpieczeństwa, oraz instrukcję zarządzania systemami informatycznymi przetwarzającymi dane osobowe. Załącznikami do niej są natomiast upoważnienia do przetwarzania danych osobowych (wymagane na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), jak również wzór ewidencji osób upoważnionych do przetwarzania danych. Audyt może okazać się pomocny także w zakresie obowiązków związanych z rejestracją zbiorów danych osobowych w GIODO. Warto przewidzieć w jego ramach chociażby opracowanie bądź aktualizację rejestru zbiorów danych osobowych prowadzonego przez administratora danych, który powołał Administratora Bezpieczeństwa Informacji i zgłosił go do rejestru prowadzonego przez GIODO. Natomiast jeśli niezbędne okazałoby się opracowanie wniosków o rejestrację lub aktualizację zbiorów danych osobowych w GIODO, warto przewidzieć możliwość uzyskania takich wzorów w ramach audytu.
Jednym z końcowych etapów modelowego audytu należy uczynić zapoznanie podmiotu zarządzającego przedsiębiorstwem z wnioskami raportu. Pozwoli to na podjęcie decyzji niezbędnych dla wdrożenia zaleceń z raportu. Wartościowe mogłoby się okazać również zorganizowanie spotkania – szkolenia dla pracowników, którzy w zakresie swoich obowiązków mają do czynienia z przetwarzaniem danych osobowych, a na których potencjalnie spocznie ciężar działań wdrożeniowych.
Audyt bezpieczeństwa informacji przeprowadzony przez profesjonalny podmiot może stać się dla przedsiębiorstwa szansą na optymalizację oraz wdrożenie prawidłowych reguł postępowania odnoszących się do ochrony danych osobowych. Sporządzenie szczegółowego raportu pozwoli zorientować się, jak funkcjonuje przedsiębiorstwo w zakresie przetwarzania danych, jakie stosuje się praktyki oraz czy stosowane środki organizacyjno- techniczne są wystarczające, a nade wszystko czy zapewniają bezpieczeństwo danych przedsiębiorcy. Rzetelny i fachowo przygotowany raport jest więc zapowiedzią i gwarancją zmian na lepsze. Powyższe spostrzeżenia zostały przygotowane w oparciu o praktyki stosowane przez zespół JPL Group Sp. z o. o., natomiast w zależności od doświadczeń innych podmiotów audyt bezpieczeństwa może przybrać zupełnie inną formułę.
Paweł Leśny
Katarzyna Barszczewska
JPL Group Sp. z o. o.
Może to Ci się spodoba
IT wkracza do pocztowego okienka
Poczta Polska ma pełnić istotną rolę w cyfryzacji komunikacji obywateli z urzędami. Większy także ma być udział Grupy Pocztowej w programach działającym od kwietnia „Rodzina 500 Plus” i planowanym „Mieszkanie Plus”. Temu służyć ma
Rewolucyjne zmiany w rejestracji znaków towarowych
Obecnie procedura rejestracja znaków towarowych trwa średnio rok. W kwietniu po nowelizacji przepisów Urząd Patentowy będzie badał wyłącznie spełnienie bezwzględnych przesłanek. Nie będzie natomiast sprawdzał każdego zgłoszenia pod kątem kolizji
Obligacje mogą nie dotrwać do gongu
Czas trwania pożyczki, powstałej w wyniku emisji obligacji, czyli termin do ich wykupu, jest jedną z najbardziej istotnych cech obligacji i elementów warunków ich emisji. Emitentowi gwarantuje korzystanie z pożyczonych
Upadłość konsumencka 2015 – kto może skorzystać?
Jak podaje Biuro Informacji Gospodarczej aż 2,37 mln konsumentów nie radzi sobie z terminowym regulowaniem należności. Łączna kwota zadłużenia Polaków pod koniec września 2014 r. wyniosła aż 41,55 mld zł [1].
Polskie specjały – najlepszy pomysł na prezent dla zagranicznych kontrahentów
Coraz więcej polskich firm podejmuje współpracę z zagranicznymi kontrahentami. To nie tylko okazja do poszerzania swojej oferty oraz wiedzy w biznesie, ale również szansa na zaprezentowanie polskiej kultury oraz jej
W tym roku BP uruchomi w Polsce około 30 nowych stacji
W ciągu 25 lat obecności w Polsce koncern BP zainwestował 1,5 mld dolarów. Od 1995 roku uruchomił 500 stacji paliw i co roku zamierza otwierać 30 nowych. Firma zatrudnia nad Wisłą bezpośrednio
0 Comments
Brak komentarzy!
You can be first to comment this post!