20 Lut

Czym jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pojęć związanych z bezpieczeństwem informacji jest bardzo dużo, a nim głębiej w las, tym ciemniej. Ja sama na początku miałam problem, żeby połapać się w tym co jest czym, co być musi, co być może, a co być powinno (mimo że nie musi).

Fundamentalnym jest System Zarządzania Bezpieczeństwem Informacji, czyli strategia działania w zakresie zapewniania właściwej ochrony informacji poufnych. Strategia ma zapewnić ciągłe doskonalenie podjętych działań i procedur w celu optymalizacji ryzyk związanych z naruszeniem poufności. Mówiąc krótko, na SZBI składają się wszystkie procedury, polityki, regulaminy i instrukcje bezpieczeństwa informacji, które wdrożyliśmy w naszej jednostce organizacyjnej. Read More

29 Sty

Warsztaty: Realizowanie (w praktyce) zadań wynikających z przepisów o ochronie danych osobowych

Czy masz już dosyć szkoleń, na których ciągle słyszysz to samo, na których w kółko czytana jest ustawa o ochronie danych osobowych, a nie padają odpowiedzi na konkretne pytania i nie są rozwiązywane konkretne problemy? A po powrocie do biura stwierdzasz, że szkolenie nic Ci nie dało, bo nadal nie umiesz sobie poradzić z problemami i narzuconymi przez przepisy o ochronie danych osobowych obowiązkami?

Jeżeli odpowiedzi na powyższe pytania były twierdzące, to te warsztaty są dla Ciebie!

Przygotowałam dwudniowy program warsztatów, które nie będą nudne, które nie będą skupiały się na czytaniu przepisów, a na analizowaniu problemów z codziennej pracy przy danych osobowych i z bezpieczeństwem informacji w kontekście obowiązujących przepisów, decyzji GIODO oraz orzecznictwa. Podczas tych warsztatów będą padały trudne pytania, na które uczestnicy będą szukali odpowiedzi. Będę stawiała przed uczestnikami zadania, które będą musieli rozwiązać. Będą musieli poradzić sobie:

  • z konkretnymi incydentami bezpieczeństwa
  • trudnym szefem, który nie rozumie ich roli w zakresie nadzorowania bezpieczeństwa informacji
  • pracownikami, którzy „robią po swojemu”
  • pismem z GIODO
  • kontrolą z przestrzegania przepisów w praktyce
  • decyzją GIODO nakazującą przywrócenie stanu zgodnego  z prawem
  • analizą ryzyka i zagrożeń
  • niewłaściwym zabezpieczeniem danych
  • niezgłoszonymi od dawna zbiorami do GIODO
  • nadawaniem i zmienianiem upoważnień do przetwarzania danych
  • aktualizacją polityki bezpieczeństwa, którą zrobił ktoś inny
  • współpracą z informatykiem, który współpracować nie chce

Read More

20 Lip

Pomagam stworzyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym

Domyślam się, że niektórzy mogą odebrać to negatywnie, ale postanowiłam wprowadzić symboliczną opłatę za sprawdzanie dokumentacji bezpieczeństwa. Długo nosiłam się z tą decyzją, ale liczba przesyłanych przez Was dokumentów sięga kilkunastu tygodniowo i od kilku tygodni nie robię nic innego, tylko sprawdzam i sprawdzam 🙂

Doszłam do wniosku, że najwyższa pora zacząć cenić swój czas. Mam nadzieję, że wykażecie zrozumienie dla mojej decyzji. Tym bardziej, że doświadczenie pokazuje, że na podstawie zmian, które Wam podpowiadam oraz uwag co jest źle, większość z Was potrafi poprawić dokumentację do stanu idealnego 🙂

Zapraszam do zapoznania się ze szczegółami oferty w zakładce ZAMÓW DOKUMENTACJĘ BEZPIECZEŃSTWA

14 Lip

Zmiana adresu administratora danych a ochrona danych osobowych

Czy zastanawialiście się kiedyś jakie są konsekwencje zmiany adresu administratora danych? Omówię to dla trzech przypadków:

  1. Tymczasowa zmiana adresu głównej siedziby
  2. Stała zmiana adres głównej siedziby
  3. Zmiana adresu filii/oddziału

Tymczasowa zmiana adresu głównej siedziby

Jest to sytuacja, w której firma (administrator danych) musi zmienić tymczasowo siedzibę, aby  w określonym, znanym terminie wrócić do pierwotnej siedziby lub przenieść się pod docelowy adres. Tymczasowa przeprowadzka nie skutkuje zmianą adresu w rejestrach, w których figuruje jednostka (CEiDG, RIK, SIO, rejestr REGON, itp.). Oznacza to, że adres siedziby administratora danych nie uległ zmianie, zmienił się jedynie adres korespondencyjny. Tymczasowa zmiana nie wpływa na dane ADO podawane przy wypełnianiu obowiązku informacyjnego z art. 24 i 25 UODO, pozyskiwaniu zgody na przetwarzanie danych osobowych, czy dane w rejestrach prowadzonych przez GIODO. Natomiast konieczne jest niezwłoczne zaktualizowanie wykazu budynków, pomieszczeń oraz części pomieszczeń stanowiących obszar przetwarzania danych osobowych w polityce bezpieczeństwa danych osobowych. Read More

06 Cze

Czy wykaz zbiorów w polityce może zastąpić rejestr ABI?

Pytanie od Pani Ewy:

W polityce bezpieczeństwa posiadamy wykaz zbiorów danych osobowych. Czy to jest jednoznaczne z jawnym rejestrem zbiorów danych osobowych? Czy powinien to być nowy rozbudowany odrębny dokument (wg Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11. 05.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych osobowych (Dz. U. poz. 719)) ?

Wykaz zbiorów w polityce bezpieczeństwa zawiera informacje o zawartości zbioru, jego strukturze, polach informacyjnych przetwarzanych w ramach poszczególnych systemów oraz powiązania między nimi. Dodatkowo są wskazane programy służące do przetwarza tych danych. Zakres danych w wykazie zbiorów zawartym w polityce określa Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych.
Read More

17 Maj

Czy dokumentacja bezpieczeństwa informacji stanowi informację publiczną?

Wiele podmiotów publicznych publikuje na swoich stronach internetowych politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Często uzasadniają to koniecznością upublicznienia dokumentacji bezpieczeństwa, jako informacji publicznej. Czy rzeczywiście jest to informacja publiczna? I w szczególności czy odmówienie wglądu w dokumentację może skutkować negatywnymi konsekwencjami dla jednostki publicznej?

Ustawa o dostępie do informacji publicznej określa, że każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu (…)

Read More

19 Kwi

Różnica w pojęciu osoby upoważnionej, uprawnionej oraz użytkownika

Bardzo często spotykam się w dokumentacjach, które przesyłacie mi do sprawdzenia w pomieszaniu pojęć: użytkownika, osoby upoważnionej oraz osoby uprawnionej.  Nie są to synonimy i nie można używać ich zamiennie. Natomiast każde z nich ma kluczowe znaczenie dla dobrej organizacji polityki bezpieczeństwa informacji.

Osoba upoważniona – to osoba (najczęściej pracownik, ale niekoniecznie), która otrzymała upoważnienie do przetwarzania danych osobowych od administratora danych (ADO). Upoważnienie najczęściej jest wydawane na piśmie, chociaż GIODO dopuszcza także wydawanie upoważnień w formie służbowej wiadomości e-mail, ale jest to raczej rozwiązanie dla małych firm. Poza tym może stwarzać problemy w przyszłości przy kontroli upoważnień. Warto jeszcze przypomnieć, że upoważnienie powinno zawierać także informacje o tym do jakich danych (tzn. zbiorów) oraz w jakim zakresie pracownik otrzyma dostęp. Uważam, że warto od razu dodać informację o systemach informatycznych, do których zostaną nadane uprawnienia oraz loginie, który ma zostać przydzielony. Zmniejszy to liczbę dokumentów, które trzeba będzie wypełniać. Możecie skorzystać z przygotowanego przeze mnie wzoru. Read More

06 Kwi

Polityka bezpieczeństwa: określenie środków technicznych i organizacyjnych

Na określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych składają się w szczególności:

  1. Procedura nadawania/zmiany/odwołania upoważnień do przetwarzania danych.
  2. Obowiązki Kierownika/Dyrektora/Zarządu (czyli tego kto działa w imieniu ADO).
  3. Obowiązki Osoby Upoważnionej.
  4. Obowiązki ASI (jeśli jest), ABI (jeśli jest) oraz np. koordynatora ochrony danych (jeśli jest).
  5. Opis zastosowanych zabezpieczeń technicznych.
  6. Opis zastosowanych zabezpieczeń organizacyjnych.
  7. Procedura postępowania przy naruszeniu bezpieczeństwa danych (co zrobić, komu zgłosić, itd.).
  8. Zasady udostępniania danych.
  9. Procedury powierzania danych.

Wskazówki do poszczególnych punktów: Read More

22 Lis

Czy nowy ABI musi tworzyć dokumentację od nowa?

Pytanie od Pana Dominika;

Jestem nowo powołanym ABI. Moja firma posiada dokumentację przetwarzania danych osobowych, przygotowaną przez firmę, która wcześniej pełniła tę rolę. Czy powinienem napisać politykę i instrukcję od nowa, czy mogę zostawić stare?

Administrator Bezpieczeństwa Informacji ma obowiązek czuwać nad aktualnością dokumentacji przetwarzania danych osobowych oraz stosowaniem jej na co dzień w instytucji. Jeżeli stworzona już dokumentacja jest zgodna z rozporządzeniem, to nie ma potrzeby tworzyć ją od nowa. Read More