Elementy składowe polityki bezpieczeństwa
Szczegółowe wytyczne do
opracowania polityki bezpieczeństwa znajdziemy w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych.
opracowania polityki bezpieczeństwa znajdziemy w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych.
Zgodnie z tym, przydługim w
nazwie, rozporządzeniem, w polityce bezpieczeństwa muszą znaleźć się następujące
informacje:
nazwie, rozporządzeniem, w polityce bezpieczeństwa muszą znaleźć się następujące
informacje:
- dotyczące
pomieszczeń w których przetwarzane są dane osobowe, - „wykaz
zbiorów danych osobowych” – czyli jakie zbiory prowadzimy, - wymienienie programów stosowanych do
przetwarzania danych (np. MS Office), - „opis
struktury zbiorów danych” – czyli opis tabel zawierających zbiory (np.: imię,
nazwisko, data ur., adres mejlowy, adres zamieszkania, podpis itd.) - „sposób
przepływu danych pomiędzy poszczególnymi systemami” – czy wysyłamy w zamkniętej
sieci lokalnej, czy online, czy przenosimy na nośnikach fizycznych (pendrive), - wymienienie
zabezpieczeń danych:
- technicznych (pomieszczenia, oprogramowanie),
- organizacyjnych (dostęp konkretnych osób,
ewidencja).
Osoby odpowiedzialne
Zgodnie z przepisami, w ramach
systemu ochrony danych osobowych możemy wyodrębnić trzy terminy:
systemu ochrony danych osobowych możemy wyodrębnić trzy terminy:
- administrator danych,
- administratora bezpieczeństwa informacji (ABI),
- administrator systemów informatycznych (ASI),
Ten pierwszy jest funkcją
obligatoryjną, aczkolwiek jest nim po prostu sama organizacja przetwarzająca
dane. Administratorem danych nie jest organ (np.: zarząd) albo konkretny
pracownik, tylko właśnie sama osoba prawna (stowarzyszenie, fundacja).
obligatoryjną, aczkolwiek jest nim po prostu sama organizacja przetwarzająca
dane. Administratorem danych nie jest organ (np.: zarząd) albo konkretny
pracownik, tylko właśnie sama osoba prawna (stowarzyszenie, fundacja).
Jeżeli w
ramach zarządzania danymi, obowiązki ochrony danych osobowych pełni konkretna
osoba to ona będzie z kolei, administratorem bezpieczeństwa informacji (ABI).
Jest to jednak funkcja fakultatywna, nie ma obowiązku powierzać ochrony danych
konkretnej osobie. Jeżeli nie wprowadzimy ABI, to odpowiedzialnym za ochronę i
ewentualne naruszenia zasad ochrony danych będzie organizacja, czyli pośrednio
zarząd – jako generalnie odpowiedzialny za działania osoby prawnej. W załączonym poniżej wzorze
zastosowałem najprostszy system ochrony = brak ABI. Co oznacza, że jego
wszystkie obowiązki wykonuje sam administrator = organizacja = zarząd.
ramach zarządzania danymi, obowiązki ochrony danych osobowych pełni konkretna
osoba to ona będzie z kolei, administratorem bezpieczeństwa informacji (ABI).
Jest to jednak funkcja fakultatywna, nie ma obowiązku powierzać ochrony danych
konkretnej osobie. Jeżeli nie wprowadzimy ABI, to odpowiedzialnym za ochronę i
ewentualne naruszenia zasad ochrony danych będzie organizacja, czyli pośrednio
zarząd – jako generalnie odpowiedzialny za działania osoby prawnej. W załączonym poniżej wzorze
zastosowałem najprostszy system ochrony = brak ABI. Co oznacza, że jego
wszystkie obowiązki wykonuje sam administrator = organizacja = zarząd.
Trzecia kategoria, z którą możemy
się spotkać w przypadku ochrony danych osobowych to: administrator systemów
informatycznych (ASI). To również jest funkcja fakultatywna, nieobowiązkowa. W
zasadzie nie wynika nawet z ustawy, a z praktyki stosowania jej przepisów. Jest
to po prostu „informatyk”, konkretna osoba sprawująca pieczę nad systemem
informatycznym. Jeżeli jej nie ma w organizacji, to obowiązuje taki sam schemat
jak przy ABI (obowiązki wykonuje sam administrator = organizacja = zarząd).
się spotkać w przypadku ochrony danych osobowych to: administrator systemów
informatycznych (ASI). To również jest funkcja fakultatywna, nieobowiązkowa. W
zasadzie nie wynika nawet z ustawy, a z praktyki stosowania jej przepisów. Jest
to po prostu „informatyk”, konkretna osoba sprawująca pieczę nad systemem
informatycznym. Jeżeli jej nie ma w organizacji, to obowiązuje taki sam schemat
jak przy ABI (obowiązki wykonuje sam administrator = organizacja = zarząd).
Podsumowując, w najprostszym
schemacie nie ma obowiązku powoływania ABI i ASI, a administratorem danych jest
sama organizacja.
schemacie nie ma obowiązku powoływania ABI i ASI, a administratorem danych jest
sama organizacja.
Podsumowanie
Dwie podstawowe konkluzje są następujące.
Politykę bezpieczeństwa musi przyjąć prawie każda organizacja, której działania
są zorganizowane i kierowane na zewnątrz (wiąże się to z gromadzeniem danych
osobowych w prawie każdym przypadku). Po drugie polityka wcale nie musi być bardzo
rozbudowanym dokumentem, jeżeli gromadzimy dane w ograniczonym zakresie. W
szczególności nie jest konieczne powoływanie ABI, ASI i tworzenie dokumentów
z tym związanych.
Politykę bezpieczeństwa musi przyjąć prawie każda organizacja, której działania
są zorganizowane i kierowane na zewnątrz (wiąże się to z gromadzeniem danych
osobowych w prawie każdym przypadku). Po drugie polityka wcale nie musi być bardzo
rozbudowanym dokumentem, jeżeli gromadzimy dane w ograniczonym zakresie. W
szczególności nie jest konieczne powoływanie ABI, ASI i tworzenie dokumentów
z tym związanych.
W załączonym poniżej wzorze, przygotowałam bardzo prostą politykę bezpieczeństwa. Dane gromadzone w sposób w
niej opisany dotyczą tylko tworzenia list wolontariuszy i darczyńców. pozwoliło
to ograniczyć do minimum ilość przepisów. Niestety rzeczywistość nie jest tak
prosta, i zwykle, po krótkiej analizie, możemy dojść do wniosku, że obszary w
których dane przetwarzamy są dość różne i skomplikowane. Wówczas polityka musi
to odzwierciedlać, a jej treść będzie dużo bardziej rozbudowana. Dlatego załączony
wzór, proszę traktować jako podstawę na której można dopiero zacząć pracę i
nanosić konkretne rozwiązania stosowane w organizacji.
niej opisany dotyczą tylko tworzenia list wolontariuszy i darczyńców. pozwoliło
to ograniczyć do minimum ilość przepisów. Niestety rzeczywistość nie jest tak
prosta, i zwykle, po krótkiej analizie, możemy dojść do wniosku, że obszary w
których dane przetwarzamy są dość różne i skomplikowane. Wówczas polityka musi
to odzwierciedlać, a jej treść będzie dużo bardziej rozbudowana. Dlatego załączony
wzór, proszę traktować jako podstawę na której można dopiero zacząć pracę i
nanosić konkretne rozwiązania stosowane w organizacji.
Fajny artykuł. Pozdrawiam serdecznie.
Dziękuję, pozdrawiam również
🙂
Pamiętajcie, że o firmę trzeba dbać w odpowiedni sposób i u mnie takim dbaniem o firmę jest przeprowadzanie audytów. Zawsze staram się, aby był to audyt związany z rozwojem firmy i mam nadzieję, że znajdzie się wiele chętnych osób, które również z tego skorzystają. Do przeprowadzenia audytu polecam przeczytać sobie informacje na stronie vorg.pl/czym-sa-testy-penetracyjne-i-dlaczego-warto-je-zlecic/