Polityka bezpieczeństwa

utworzone przez | paź 10, 2013 | Blog o danych osobowych, Słowniczek | 0 komentarzy

Czym jest polityka bezpieczeństwa, kto ma obowiązek posiadać politykę bezpieczeństwa oraz co powinien zawierać prawidłowy wzór polityki bezpieczeństwa? Jeżeli szukasz odpowiedzi na powyższe pytania przeczytaj poniższy artykuł.

Odpowiednie zabezpieczenie przetwarzanych danych osobowych jest obowiązkiem każdego administratora danych osobowych, przewidzianym w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. By należycie wypełnić ten obowiązek konieczne jest utworzenie odpowiedniej dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

Do dokumentacji opisującej sposób przetwarzania danych osobowych zalicza się:

  1. polityka bezpieczeństwa,
  2. instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Czym jest polityka bezpieczeństwa

Polityka bezpieczeństwa stanowi jeden z elementów dokumentacji wymaganej przy procesie przetwarzania danych osobowych. O tym co oznacza przetwarzanie danych osobowych przeczytasz w naszym artykule – przetwarzanie danych osobowych. Najprościej rzecz ujmując polityka bezpieczeństwa stanowić ma zbiór wewnętrznych reguł  związanych z przetwarzaniem danych osobowych obowiązujących u danego administratora danych osobowych.

Co powinna zawierać polityka bezpieczeństwa

Poprawny wzór polityki bezpieczeństwa powinien zawierać następujące informacje:

  1. definicję bezpieczeństwa informacji, jej cele, zakres oraz wyjaśnienie znaczenia bezpieczeństwa informacji będącej mechanizmem pozwalającym na współużytkowanie informacji;

  2. oświadczenie o intencjach podmiotu odpowiedzialnego za przetwarzanie danych osobowych, w którym wskazane będą cele i zasady bezpieczeństwa informacji,

  3. wyjaśnienie polityki bezpieczeństwa informacji, jej zasad, standardów oraz wymagań zgodności które mają szczególne znaczenie dla instytucji przetwarzającej dane jak np.

    • zgodność z prawem oraz wymaganiami wynikającymi z umów,

    • wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa,

    • zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania,

    • zarządzanie ciągłością działania biznesowego,

    • konsekwencje naruszenia polityki bezpieczeństwa;

  4. określenie obowiązków związanych z zarządzaniem bezpieczeństwem informacji, obejmujące tryb zgłaszania przypadków naruszenia bezpieczeństwa;

  5. odesłania do dokumentacji uzupełniającej politykę jak np. szczegółowe zasady polityki bezpieczeństwa i procedury dla poszczególnych systemów informatycznych lub zasad bezpieczeństwa, których użytkownicy powinni przestrzegać,

  6. wykaz budynków, pomieszczeń lub części pomieszczeń, które razem tworzą obszar w którym przetwarzane będą dane osobowe

Wykaz powinien obejmować zarówno pomieszczenia w których wykonuje się czynności na danych osobowych jak i pomieszczenia w których dane są przechowywane bądź przechowywane są nośniki na których znajdują się dane osobowe. Jeżeli dane osobowe przetwarzane są w systemie informatycznym i dostęp przez sieć do danych posiada wiele podmiotów wówczas jako obszar przetwarzania danych powinny zostać wymienione wszystkie miejsca w których podmioty te wykonują operacje na danych osobowych. Nie dotyczy to jednak sytuacji, gdy dostęp do danych udzielany jest użytkownikom łącznie z prawem wglądu do ich własnych danych, po wprowadzeniu przez nich identyfikatora oraz hasła (np. dostęp do informacji o uzyskanych ocenach zapewniany studentom przez uczelnie)

  1. wykaz zbioru danych osobowych zawierający informację o zastosowanym programie do przetwarzania danych osobowych (np. system kadrowy, system płacowy zawierające zbiór danych pracowników firmy)

  2. opis struktury zbiorów danych, w których zostanie wskazana zawartość pól informacyjnych oraz powiązania między nimi,

    Opis powinien wskazywać jakie kategorie danych są przechowywane w zbiorze, niezbędnych dla ustalenia zakresu danych osobowych np. dane adresowe klienta (imię, nazwisko, adres [kod pocztowy, miejscowość, ulica, numer domu]),

  3. sposób przepływu danych pomiędzy poszczególnymi systemami

    przedstawiając sposób przepływu danych osobowych można posłużyć się schematami, w których zostanie wskazane z jakimi zbiorami danych współpracuje dany moduł

  4. wskazanie środków technicznych i organizacyjnych które są niezbędne by zapewnić poufność, integralność oraz rozliczalność przetwarzanych danych

W punkcie tym należy uwzględnić wynikające z rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wymogi związane z właściwym poziomem bezpieczeństwa danych osobowych (w zależności od kategorii przetwarzanych danych oraz potencjalnych zagrożeń wprowadzone zostały 3 poziomy bezpieczeństwa: podstawowy, podwyższony, wysoki).

Podsumowując do przygotowania poprawnej polityki bezpieczeństwa niezbędne jest spełnienie powyższych wymagań.

Funkcja trackback/Funkcja pingback

  1. Instrukcja zarządzania systemem informatycznym - Dane osobowe | Dane osobowe - [...] Polityka bezpieczeństwa [...]

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?