Audyt ochrona danych osobowych

Celem audytu bezpieczeństwa danych osobowych jest stwierdzenie zgodności systemu ochrony danych osobowych w organizacji, z obowiązującymi w tym zakresie przepisami prawa, które zgodnie z rozporządzeniem Rady Ministrów (Rozporządzenie z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych) wprowadza obowiązkowe wymagania dla:

• rejestrów publicznych
• wymiany informacji w postaci elektronicznej
• systemów teleinformatycznych.

Należy przystosować posiadany system informatyczny wszystkich podmiotów zajmujących się zadaniami publicznymi pod minimalne wymogi sprecyzowane ww. rozporządzeniu. Szczególnie jeśli chodzi o:

• specyfikację formatów danych oraz protokołów związanych z szyfrowaniem i komunikacją, które mają być wdrożone do oprogramowania interfejsowego,
• sposoby na zapewnienie bezpieczeństwa w przypadku wymiany informacji,
• standardy techniczne zapewniające przepływ informacji pomiędzy podmiotami publicznymi, uwzględniając wymianę transgraniczną,
• sposoby na to, aby zapewnić osobom niepełnosprawnym dostęp do zasobów informacji podmiotów publicznych.

Jak wynika z wprowadzonego rozporządzenia, okresowy wewnętrzny audyt ochrony danych osobowych przeprowadzony przynajmniej raz na rok jest obowiązkowy.

Kierownictwo jest odpowiedzialne za to, aby odpowiednie rozwiązania zostały na pewno wdrożone. Do jego zadań należy zapewnienie odpowiedniej struktury danych w rejestrach, właściwego dysponowania systemami teleinformatycznymi, prawidłowego kodowania przesyłanych informacji oraz funkcjonalnego systemu zarządzania bezpieczeństwem informacji. Tego rodzaju system powinien być poufny, a przy tym zapewniać integralność i dostępność informacji, przy uwzględnieniu rozliczalności, autentyczności, niezawodności i niezaprzeczalności.

Pod funkcjonujący system bezpieczeństwa informacji stworzone zostały polskie normy, których nie trzeba wdrażać obowiązkowo, ale może to posłużyć za wystarczający dowód spełnienia ustalonych w Rozporządzeniu wymagań. Są to:

• PN-ISO/IEC 27001- w odniesieniu do bezpieczeństwa informacji;
• PN-ISO/IEC 17799 –w zakresie ustanawiania zabezpieczeń;
• PN-ISO/IEC 27005 – odnośnie zarządzania ryzykiem;
• PN-ISO/IEC 24762 – w obrębie odzyskiwania techniki informatycznej po katastrofie, co ma służyć zarządzaniu ciągłością funkcjonowania

Jak widać, nie trzeba koniecznie uzyskać certyfikacji ISO, ale sprecyzowane w rozporządzeniu wymogi muszą być spełnione, a dzięki normie ISO uzyskujemy całościowe podejście, bazujące na międzynarodowych standardach. Skorzystanie z niej jest więc korzystne podczas projektowania systemu, jak również przy wyborze najwłaściwszych zabezpieczeń.

Zależnie od Państwa indywidualnych zapotrzebowań, możemy:

• przeprowadzić taki audyt wewnętrzny, o jakim mówi rozporządzenie
• posłużyć pomocą przy wdrażaniu konkretnych rozwiązań w formie doradztwa
• przeszkolić pracowników odpowiedzialnych za procedurę przetwarzania informacji i osoby zajmujące się okresowymi audytami.

Jeśli chodzi o doradztwo, jego forma i obszar zależy od Państwa oczekiwań, bez problemu udzielimy pomocy przy identyfikacji ewentualnych kwestii wymagających polepszenia. Przy audycie to Państwo sugerujecie zakres, ale my oceniamy jego zasadność tak, aby mógł on mieć profesjonalny przebieg. Wykonywane przez nas audyty są obiektywne i niezależne, spełniając przy tym współczesne standardy międzynarodowe.