Audyt bezpieczeństwa informacji – dlaczego warto?
Zapewnienie bezpieczeństwa informacji przez spółki i inne podmioty prowadzące działalność gospodarczą jest bezwzględną koniecznością. Odnosi się to zarówno do bezpieczeństwa informacji rozumianej szeroko – z uwzględnieniem wszelkich danych, którymi podmiot dysponuje np. tajemnica przedsiębiorstwa, know-how czy lista kontrahentów. Bezpieczeństwo informacji rozumiane ściślej, o którym będzie mowa w niniejszym artykule dotyczy ochrony danych osobowych. Obowiązki z tym związane obciążają administratora danych.
Zasadniczą zaletą audytu przeprowadzonego przez profesjonalny podmiot zewnętrzny jest kompleksowość oraz jego niezależność. Daje on gwarancję tego, iż każdy dział przedsiębiorstwa, który przetwarza dane osobowe, każdy dokument odnoszący się do danych, każda procedura (procesy przetwarzania danych osobowych) czy system informatyczny, w którym dane osobowe są przetwarzane, zostanie skrupulatnie przeanalizowany pod kątem przepisów regulujących ochronę danych osobowych.
Etapem początkowym modelowego audytu powinno być przeprowadzenie oceny stanu zaawansowania podmiotu w zakresie przestrzegania przepisów o ochronie danych osobowych (aspekt prawny). Badane jest dysponowanie przez podmiot odpowiednimi środkami organizacyjno- technicznymi. Ustalenia zostaną poczynione na podstawie rozmów z pracownikami i współpracownikami podmiotu, jak również przedstawionych audytorowi dokumentów. Rolą podmiotu będzie zaś umożliwienie dostępu do wszelkich niezbędnych źródeł informacji tak, by badanie na tym etapie zostało przeprowadzone bardzo wnikliwie, dając pełny i rzeczywisty obraz sytuacji w przedsiębiorstwie.
Następnym krokiem jest opracowanie szczegółowego raportu z audytu, w którego treści w sposób zrozumiały dla potencjalnych odbiorców raportu (którzy będą go następnie wdrażać) wskazane zostaną dostrzeżone uchybienia oraz zalecenia ustalone po audycie np. odnoszące się do środków organizacyjnych zastosowanych do zabezpieczenia danych. W raporcie warto zawrzeć także proponowane sposoby rozwiązania problematycznych kwestii w funkcjonowaniu przedsiębiorstwa (klauzule zgody, zapisy do umów i aneksów, zapisy do regulaminów w zakresie przepisów o ochronie danych osobowych), jak również listę ryzyk prawnych.
Oferty audytu są często wzbogacone o przygotowanie dla audytowanego podmiotu dokumentacji związanej z ochroną danych osobowych, jeśli audytowany jej jeszcze nie posiada. Dokumentacja taka powinna obejmować politykę bezpieczeństwa, oraz instrukcję zarządzania systemami informatycznymi przetwarzającymi dane osobowe. Załącznikami do niej są natomiast upoważnienia do przetwarzania danych osobowych (wymagane na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), jak również wzór ewidencji osób upoważnionych do przetwarzania danych. Audyt może okazać się pomocny także w zakresie obowiązków związanych z rejestracją zbiorów danych osobowych w GIODO. Warto przewidzieć w jego ramach chociażby opracowanie bądź aktualizację rejestru zbiorów danych osobowych prowadzonego przez administratora danych, który powołał Administratora Bezpieczeństwa Informacji i zgłosił go do rejestru prowadzonego przez GIODO. Natomiast jeśli niezbędne okazałoby się opracowanie wniosków o rejestrację lub aktualizację zbiorów danych osobowych w GIODO, warto przewidzieć możliwość uzyskania takich wzorów w ramach audytu.
Jednym z końcowych etapów modelowego audytu należy uczynić zapoznanie podmiotu zarządzającego przedsiębiorstwem z wnioskami raportu. Pozwoli to na podjęcie decyzji niezbędnych dla wdrożenia zaleceń z raportu. Wartościowe mogłoby się okazać również zorganizowanie spotkania – szkolenia dla pracowników, którzy w zakresie swoich obowiązków mają do czynienia z przetwarzaniem danych osobowych, a na których potencjalnie spocznie ciężar działań wdrożeniowych.
Audyt bezpieczeństwa informacji przeprowadzony przez profesjonalny podmiot może stać się dla przedsiębiorstwa szansą na optymalizację oraz wdrożenie prawidłowych reguł postępowania odnoszących się do ochrony danych osobowych. Sporządzenie szczegółowego raportu pozwoli zorientować się, jak funkcjonuje przedsiębiorstwo w zakresie przetwarzania danych, jakie stosuje się praktyki oraz czy stosowane środki organizacyjno- techniczne są wystarczające, a nade wszystko czy zapewniają bezpieczeństwo danych przedsiębiorcy. Rzetelny i fachowo przygotowany raport jest więc zapowiedzią i gwarancją zmian na lepsze. Powyższe spostrzeżenia zostały przygotowane w oparciu o praktyki stosowane przez zespół JPL Group Sp. z o. o., natomiast w zależności od doświadczeń innych podmiotów audyt bezpieczeństwa może przybrać zupełnie inną formułę.
Paweł Leśny
Katarzyna Barszczewska
JPL Group Sp. z o. o.
Może to Ci się spodoba
Grupa Velux stawia na niskoemisyjną i ekologiczną produkcję
Zgodnie z globalną strategią do 2020 roku emisja dwutlenku węgla zakładów produkcyjnych Grupy Velux ma być o połowę niższa niż w 2007 roku. W polskich fabrykach udało się już ograniczyć emisję o 16 proc. Dodatkowo
Co ogranicza w Polsce rozwój małego biznesu?
Gąszcz przepisów, wysokie składki ZUS, utrudniony dostęp do kredytów – to tylko kilka z ograniczeń i barier, którym czoła codziennie stawiają przedsiębiorcy. Okazuje się jednak, że to firmy z sektora
Efektywny handel energią – jak OZE zwiększają konkurencyjność sektora energetycznego
Ekovoltis, jako uczestnik rynku hurtowego handlu energią, odgrywa istotną rolę w integracji odnawialnych źródeł energii na polskim rynku energetycznym. Prezes Ekovoltis – Piotr Ostaszewski, mówi o tym, jak OZE przyczyniają
Aplikacje mobilne ułatwiają szukanie pracy. Wypierają gazety i serwisy internetowe z ofertami
Technologie mobilne ułatwiają szukanie nowej pracy. Dzięki aplikacjom dla kandydatów firmy mogą kierować do nich sprofilowane oferty pracy. Z drugiej strony kandydaci mogą nimi wygodnie zarządzać i błyskawicznie aplikować na wybrane propozycje.
Rezerwacja online wizyty u kosmetyczki i fryzjera – to się sprawdza!
Coraz więcej spraw załatwiamy za pośrednictwem sieci. Czemu by nie umówić się w ten sposób na wizytę do fryzjerki czy manicurzystki? Teraz to możliwe, dzięki Lavito.pl – platformie służącej do
Czy należy się bać rozmowy kwalifikacyjnej?
W zasadzie każde przedsiębiorstwo, które prowadzi nabór na określone stanowisko, proponuje rozmowę kwalifikacyjną. Metoda sprawdzania wiedzy i umiejętności uzależniona jest od prywatnych oczekiwań pracodawcy. Część pytań i schematów pojawia się
0 Comments
Brak komentarzy!
You can be first to comment this post!