Audyt Bezpieczeństwa Danych Osobowych
Celem audytu bezpieczeństwa danych osobowych jest weryfikacja spełnienia przez badaną organizację wymagań prawnych, związanych z przetwarzaniem danych osobowych.
Prace obejmują:
- audyt zgodności z wymaganiami prawnymi w zakresie ochrony danych osobowych,
- weryfikację i ocenę mechanizmów zapewniających ochronę danych osobowych, celu podniesienia poziomu bezpieczeństwa informacji.
Wychodząc naprzeciw Państwa oczekiwaniom, co do poznania aktualnego stanu bezpieczeństwa danych osobowych, pragniemy przedstawić w niniejszej ofercie naszą propozycję realizacji audytu bezpieczeństwa danych osobowych.
Koncepcja realizacji usługi
Przeprowadzenie audytu bezpieczeństwa danych osobowych, ma na celu poznanie struktury organizacyjnej przedsiębiorstwa, zakresów odpowiedzialności kluczowych stanowisk związanych z bezpieczeństwem danych osobowych w odniesieniu do sposobu przestrzegania procedur i ogólnie przyjętych praktyk w zakresie eksploatacji systemów informatycznych (wymagania normatywne i prawne). Proces ten podzielony jest na dwie fazy.
Pierwszą fazę stanowi zebranie informacji o przedsiębiorstwie, analiza dokumentacji organizacyjnej i technicznej dostarczonej przez Zamawiającego. Na podstawie wyników tej analizy przygotowany będzie program i harmonogram audytu (określający ramowy zakres audytu poszczególnych obszarów bezpieczeństwa danych osobowych w odniesieniu do struktury organizacyjnej i lokalizacji). Po zatwierdzeniu harmonogramu zostanie przeprowadzony audyt we wskazanych przez Zamawiającego lokalizacjach - druga faza etapu.
Informacje zebrane podczas audytu posłużą do oceny funkcjonowania poszczególnych obszarów bezpieczeństwa (w odniesieniu do wymagań prawnych). Dokumentem końcowym audytu będzie "Raport z audytu bezpieczeństwa danych osobowych" - zawierający sumaryczne zestawienie wyników audytu w odniesieniu do wymagań.
Faza przygotowania do audytu:
- zebranie wstępnych informacji nt. audytowanego podmiotu,
- zakres obowiązków, opisy stanowisk, instrukcje, procedury, akty prawne,
- dokumentacja regulująca bezpieczeństwo informacji w organizacji,
- rezultaty audytów wewnętrznych i zewnętrznych,
- specyfikacje techniczne,
- procedury eksploatacyjne systemów informatycznych,
- dokumentacja sieci. - analiza dokumentacji,
- przygotowanie harmonogramu audytu,
- zatwierdzenie programu i harmonogramu audytu.
Faza przeprowadzenia audytu:
- spotkanie otwierające audyt,
- wizje lokalne,
- wywiady z osobami odpowiedzialnymi za bezpieczeństwo obszarów informacji,
- ocena zebranych dowodów,
- spotkanie zamykające audyt - omówienie wyniku audytu,
- sporządzenie Raportu z audytu (w okresie 2 tyg. od zakończenia działań audytowych).
Sposób pozyskiwania informacji:
- Analiza wskazanej dokumentacji, (co do zgodności z przepisami prawa, normami i standardami).
- Wizje lokalne obiektów i pomieszczeń, w których znajdują się i są przetwarzane informacje.
- Wywiady z osobami odpowiedzialnymi za bezpieczeństwo obszarów informacji.
- Analiza istniejących rozwiązań IT, konfiguracji urządzeń sieciowych, serwerów i implementacji zabezpieczeń.
Kryteria audytu
Podczas audytu bezpieczeństwa danych osobowych, jako wymagania ujęte będą następujące akty prawne:
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Metodyka audytu
Przy opracowywaniu metodyki przeprowadzania audytu i dokumentacji uwzględniono regulacje zawarte w normach dotyczących systemów zarządzania bezpieczeństwa informacji. Do najważniejszych norm i standardów z tego zakresu należą:
- ISO 27001 Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji – Wymagania
- ISO 19011 Wytyczne dotyczące auditowania systemów zarządzania
W ramach audytu ochrony danych osobowych:
- poddamy analizie posiadaną dokumentację ochrony danych osobowych pod kątem jej zgodności z prawem oraz aktualności,
- zbadamy przesłanki legalności przetwarzania danych osobowych zwykłych i wrażliwych,
- zweryfikujemy zakres i cel przetwarzania danych,
- zweryfikujemy merytoryczną poprawność danych i ich adekwatność w stosunku do celu przetwarzania,
- zweryfikujemy system techniczno-organizacyjny ochrony danych osobowych,
- poddamy analizie zabezpieczenia infrastruktury informatycznej (poddamy analizie fizyczne i logiczne zabezpieczenia infrastruktury informatycznej),
- poddamy analizie polityki bezpieczeństwa, backupu i zarządzania uprawnieniami oraz określimy ich wpływ na poziom zabezpieczenia zbiorów danych, przetwarzanych w formie elektronicznej,
- zweryfikujemy funkcjonalności aplikacji i poziom ich zabezpieczeń, a w przypadku wykrycia nieprawidłowości zaproponujemy optymalne rozwiązania,
- sprawdzimy poziom zabezpieczeń dla zbiorów danych przetwarzanych w formie papierowej,
- zweryfikujemy poziom wiedzy i świadomości pracowników w zakresie ochrony danych osobowych,
- zweryfikujemy zawarte umowy pod kątem ewentualnej konieczności uzupełnienia ich umowami powierzenia przetwarzania danych osobowych i doradzimy, jak to robić w przyszłości.
Nasz zespół:
- to eksperci specjalizujący się w zakresie bezpieczeństwa i ochrony danych
- to osoby z wieloletnim doświadczeniem w obszarze bezpieczeństwa.
- to starannie wybrani specjaliści z długoletnim doświadczeniem audytorskim.
- to osoby posiadające uprawnienia do przeprowadzania audytów ISO 27001 oraz poświadczenia dostępu do informacji niejawnych do poziomu "tajne".
- biorący udział jako prelegenci na konferencjach.
- biorący udział w pracach zwiększających bezpieczeństwo kraju na rzecz podmiotów rządowych.
- w ramach naszego partnera, Fundacji Bezpieczna Cyberprzestrzeń działają na rzecz budowy społeczeństwa świadomego zagrożeń w cyberprzestrzeni.
Konsultanci 4 IT SECURITY uczestniczyli w projektach dot. tworzenia systemów zarządzania bezpieczeństwem informacji i danych osobowych w administracji rządowej, branży informatycznej, branży chemicznej, szpitalach i bankowości.
Zachęcamy do nawiązania kontaktu z naszymi konsultantami, którzy udzielą dodatkowych informacji, poznają oczekiwania oraz przygotują ofertę spełniającą Państwa potrzeby i wymagania.