Obowiązki ABI - sprawdzenie planowe w praktyce

Data: 02-11-2015 r.

Prowadzenie sprawdzeń to nowy obowiązek, w związku z tym wielu ABI nie wie jak zabrać się do jego realizacji. Dlatego prezentujemy praktyczne wskazówki do przeprowadzenia sprawdzenia m.in. jak przygotować listę kontrolną, czy jak dokumentować sprawdzenie.

Prowadząc sprawdzenie, ABI powinien mieć na uwadze, że jego celem jest weryfikacja zgodności przetwarzania danych osobowych. Jak więc powinien postąpić, jeżeli w trakcie sprawdzenia uzna, że stosowane zabezpieczenia są zgodne z opisanymi w Polityce bezpieczeństwa, jednak niewystarczające.

ABI może również w trakcie sprawdzenia sprawować nadzór nad opracowaniem i aktualizowaniem dokumentacji. Chodzi w szczególności o Politykę Bezpieczeństwa i Instrukcję zarządzania systemem informatycznym.

Środki techniczne i organizacyjne powinny zapewniać ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W przypadku stwierdzenia niewystarczających zabezpieczeń ABI powinien podjąć niezbędne działania.

Nie każdy ABI ma wiedzę i umiejętności pozwalające mu na samodzielne sprawdzanie zabezpieczeń systemu informatycznego. Jednak w ramach sprawdzenia powinien upewnić się, że zabezpieczenia techniczne zostały prawidłowo dobrane, są monitorowane i testowane.

Dobrą praktyką jest, aby osoba sprawdzająca nie wykonywała powyższych czynności samodzielnie. Zostało to również uwzględnione w rozporządzeniu, zgodnie z którym: „w systemie informatycznym służącym do przetwarzania lub zabezpieczania danych osobowych czynności administratora bezpieczeństwa informacji mogą być wykonywane przy udziale osób upoważnionych do przetwarzania danych osobowych, w szczególności osoby zarządzającej tym systemem”.

Nie oznacza to, że ABI, który ma odpowiednią wiedzę, nie może przeprowadzić testów bezpieczeństwa systemu informatycznego. Powinno to jednak zostać wskazane w planie sprawdzeń, a same czynności muszą być bardzo dokładnie dokumentowane.

Lista kontrolna to proste, często stosowane narzędzie, które pozwala na uporządkowanie informacji zbieranych w trakcie sprawdzenia. Ułatwia pracę prowadzącemu sprawdzenie i zapewnia, że żaden z obszarów nie zostanie pominięty. Lista kontrolna może zawierać pytania, które ABI zada w trakcie sprawdzenia, i powinna być zgodna z określonym w planie sprawdzeń zakresem sprawdzenia.

Przygotowując listę pytań, ABI uwzględni wszystkie wymogi ustawy i rozporządzeń, jak również obowiązki wynikające z wewnętrznej dokumentacji (Polityki Bezpieczeństwa i Instrukcji zarządzania systemem informatycznym).

Dobrą praktyką jest samodzielne przygotowanie listy pytań. Posłużenie się znalezioną gdzieś w Internecie przykładową listą może doprowadzić do sytuacji, gdy ABI nie będzie rozumiał zadanego pytania, co z pewnością zostanie zauważone przez osoby objęte sprawdzeniem.

Efekty sprawdzenia zależą od współpracy z osobami, których czynności podlegają sprawdzeniu, i które będą nam udzielać informacji. Istotne będzie wyjaśnienie im celu sprawdzenia i zwrócenie uwagi, że dążymy do udoskonalenia działania systemu ochrony danych, a nie szukamy osób odpowiedzialnych za nieprawidłowości.

Warto również, by zarząd przekazał taką deklarację kierownikom poszczególnych komórek organizacyjnych. W praktyce spotykamy się z sytuacją, gdy kierownicy instruują pracowników, jakie informacje mają przekazywać audytorom. Doświadczony ABI wychwyci takie sytuacje.

Zgodnie z rozporządzeniem „Administrator bezpieczeństwa informacji dokumentuje czynności przeprowadzone w toku sprawdzenia, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania”.

Jarosław Żabówka, trener, wykładowca, wieloletni administrator bezpieczeństwa informacji

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 37958 )
Array ( [docId] => 37958 )

Array ( [docId] => 37958 )