Audyt bezpieczeństwa informacji – dlaczego warto?

Zapewnienie bezpieczeństwa informacji przez spółki i inne podmioty prowadzące działalność gospodarczą jest bezwzględną koniecznością. Odnosi się to zarówno do bezpieczeństwa informacji rozumianej szeroko – z uwzględnieniem wszelkich danych, którymi podmiot dysponuje np. tajemnica przedsiębiorstwa, know-how czy lista kontrahentów. Bezpieczeństwo informacji rozumiane ściślej, o którym będzie mowa w niniejszym artykule dotyczy ochrony danych osobowych. Obowiązki z tym związane obciążają administratora danych.

Zasadniczą zaletą audytu przeprowadzonego przez profesjonalny podmiot zewnętrzny jest kompleksowość oraz jego niezależność. Daje on gwarancję tego, iż każdy dział przedsiębiorstwa, który przetwarza dane osobowe, każdy dokument odnoszący się do danych, każda procedura (procesy przetwarzania danych osobowych) czy system informatyczny, w którym dane osobowe są przetwarzane, zostanie skrupulatnie przeanalizowany pod kątem przepisów regulujących ochronę danych osobowych.

Etapem początkowym modelowego audytu powinno być przeprowadzenie oceny stanu zaawansowania podmiotu w zakresie przestrzegania przepisów o ochronie danych osobowych (aspekt prawny). Badane jest dysponowanie przez podmiot odpowiednimi środkami organizacyjno- technicznymi. Ustalenia zostaną poczynione na podstawie rozmów z pracownikami i współpracownikami podmiotu, jak również przedstawionych audytorowi dokumentów. Rolą podmiotu będzie zaś umożliwienie dostępu do wszelkich niezbędnych źródeł informacji tak, by badanie na tym etapie zostało przeprowadzone bardzo wnikliwie, dając pełny i rzeczywisty obraz sytuacji w przedsiębiorstwie.

Następnym krokiem jest opracowanie szczegółowego raportu z audytu, w którego treści w sposób zrozumiały dla potencjalnych odbiorców raportu (którzy będą go następnie wdrażać) wskazane zostaną dostrzeżone uchybienia oraz zalecenia ustalone po audycie np. odnoszące się do środków organizacyjnych zastosowanych do zabezpieczenia danych. W raporcie warto zawrzeć także proponowane sposoby rozwiązania problematycznych kwestii w funkcjonowaniu przedsiębiorstwa (klauzule zgody, zapisy do umów i aneksów, zapisy do regulaminów w zakresie przepisów o ochronie danych osobowych), jak również listę ryzyk prawnych.

Oferty audytu są często wzbogacone o przygotowanie dla audytowanego podmiotu dokumentacji związanej z ochroną danych osobowych, jeśli audytowany jej jeszcze nie posiada. Dokumentacja taka powinna obejmować politykę bezpieczeństwa, oraz instrukcję zarządzania systemami informatycznymi przetwarzającymi dane osobowe. Załącznikami do niej są natomiast upoważnienia do przetwarzania danych osobowych (wymagane na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), jak również wzór ewidencji osób upoważnionych do przetwarzania danych. Audyt może okazać się pomocny także w zakresie obowiązków związanych z rejestracją zbiorów danych osobowych w GIODO. Warto przewidzieć w jego ramach chociażby opracowanie bądź aktualizację rejestru zbiorów danych osobowych prowadzonego przez administratora danych, który powołał Administratora Bezpieczeństwa Informacji i zgłosił go do rejestru prowadzonego przez GIODO. Natomiast jeśli niezbędne okazałoby się opracowanie wniosków o rejestrację lub aktualizację zbiorów danych osobowych w GIODO, warto przewidzieć możliwość uzyskania takich wzorów w ramach audytu.

Jednym z końcowych etapów modelowego audytu należy uczynić zapoznanie podmiotu zarządzającego przedsiębiorstwem z wnioskami raportu. Pozwoli to na podjęcie decyzji niezbędnych dla wdrożenia zaleceń z raportu. Wartościowe mogłoby się okazać również zorganizowanie spotkania – szkolenia dla pracowników, którzy w zakresie swoich obowiązków mają do czynienia z przetwarzaniem danych osobowych, a na których potencjalnie spocznie ciężar działań wdrożeniowych.

Audyt bezpieczeństwa informacji przeprowadzony przez profesjonalny podmiot może stać się dla przedsiębiorstwa szansą na optymalizację oraz wdrożenie prawidłowych reguł postępowania odnoszących się do ochrony danych osobowych. Sporządzenie szczegółowego raportu pozwoli zorientować się, jak funkcjonuje przedsiębiorstwo w zakresie przetwarzania danych, jakie stosuje się praktyki oraz czy stosowane środki organizacyjno- techniczne są wystarczające, a nade wszystko czy zapewniają bezpieczeństwo danych przedsiębiorcy. Rzetelny i fachowo przygotowany raport jest więc zapowiedzią i gwarancją zmian na lepsze. Powyższe spostrzeżenia zostały przygotowane w oparciu o praktyki stosowane przez zespół JPL Group Sp. z o. o., natomiast w zależności od doświadczeń innych podmiotów audyt bezpieczeństwa może przybrać zupełnie inną formułę.

Paweł Leśny

Katarzyna Barszczewska

JPL Group Sp. z o. o.