Prowadząc sprawdzenie, ABI powinien mieć na uwadze, że jego celem jest weryfikacja zgodności przetwarzania danych osobowych. Jak więc powinien postąpić, jeżeli w trakcie sprawdzenia uzna, że stosowane zabezpieczenia są zgodne z opisanymi w Polityce bezpieczeństwa, jednak niewystarczające.
Obowiązki ABI - sprawdzenie planowe w praktyce
Kategoria: Ochrona danych osobowych
Data: 02-11-2015 r.
Prowadzenie sprawdzeń to nowy obowiązek, w związku z tym wielu ABI nie wie jak zabrać się do jego realizacji. Dlatego prezentujemy praktyczne wskazówki do przeprowadzenia sprawdzenia m.in. jak przygotować listę kontrolną, czy jak dokumentować sprawdzenie.
ABI może również w trakcie sprawdzenia sprawować nadzór nad opracowaniem i aktualizowaniem dokumentacji. Chodzi w szczególności o Politykę Bezpieczeństwa i Instrukcję zarządzania systemem informatycznym.
Środki techniczne i organizacyjne powinny zapewniać ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W przypadku stwierdzenia niewystarczających zabezpieczeń ABI powinien podjąć niezbędne działania.
Nie każdy ABI ma wiedzę i umiejętności pozwalające mu na samodzielne sprawdzanie zabezpieczeń systemu informatycznego. Jednak w ramach sprawdzenia powinien upewnić się, że zabezpieczenia techniczne zostały prawidłowo dobrane, są monitorowane i testowane.
Dobrą praktyką jest, aby osoba sprawdzająca nie wykonywała powyższych czynności samodzielnie. Zostało to również uwzględnione w rozporządzeniu, zgodnie z którym: „w systemie informatycznym służącym do przetwarzania lub zabezpieczania danych osobowych czynności administratora bezpieczeństwa informacji mogą być wykonywane przy udziale osób upoważnionych do przetwarzania danych osobowych, w szczególności osoby zarządzającej tym systemem”.
Nie oznacza to, że ABI, który ma odpowiednią wiedzę, nie może przeprowadzić testów bezpieczeństwa systemu informatycznego. Powinno to jednak zostać wskazane w planie sprawdzeń, a same czynności muszą być bardzo dokładnie dokumentowane.
Lista kontrolna to proste, często stosowane narzędzie, które pozwala na uporządkowanie informacji zbieranych w trakcie sprawdzenia. Ułatwia pracę prowadzącemu sprawdzenie i zapewnia, że żaden z obszarów nie zostanie pominięty. Lista kontrolna może zawierać pytania, które ABI zada w trakcie sprawdzenia, i powinna być zgodna z określonym w planie sprawdzeń zakresem sprawdzenia.
Przygotowując listę pytań, ABI uwzględni wszystkie wymogi ustawy i rozporządzeń, jak również obowiązki wynikające z wewnętrznej dokumentacji (Polityki Bezpieczeństwa i Instrukcji zarządzania systemem informatycznym).
Dobrą praktyką jest samodzielne przygotowanie listy pytań. Posłużenie się znalezioną gdzieś w Internecie przykładową listą może doprowadzić do sytuacji, gdy ABI nie będzie rozumiał zadanego pytania, co z pewnością zostanie zauważone przez osoby objęte sprawdzeniem.
Efekty sprawdzenia zależą od współpracy z osobami, których czynności podlegają sprawdzeniu, i które będą nam udzielać informacji. Istotne będzie wyjaśnienie im celu sprawdzenia i zwrócenie uwagi, że dążymy do udoskonalenia działania systemu ochrony danych, a nie szukamy osób odpowiedzialnych za nieprawidłowości.
Warto również, by zarząd przekazał taką deklarację kierownikom poszczególnych komórek organizacyjnych. W praktyce spotykamy się z sytuacją, gdy kierownicy instruują pracowników, jakie informacje mają przekazywać audytorom. Doświadczony ABI wychwyci takie sytuacje.
Zgodnie z rozporządzeniem „Administrator bezpieczeństwa informacji dokumentuje czynności przeprowadzone w toku sprawdzenia, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania”.
Zobacz także:
Tagi: dane osobowe, ABI
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
