Forum Inspektorów Ochrony Danych

peterix · 16.02.2017 10:20:22

Podobno w szkołach na nowo ruszył audyt wykonywany przez KAW.
Fajnie by było podzielić się jakimiś informacjami na ten temat. Może ktos cos napisze

peterix · 06.04.2017 10:58:41

Audyt ma sprawdzić czy spełniacie Państwo wymagania. Jesli spełniacie to trzeba przekonać audytora że tak jest i nie wdawać się w dyskusję czy ma być numerek czy opis słowny. Nie poddawajcie się ale też zróbcie założenie że oni też chcą dobrze. Nie nastawiajcie się negatywnie bo audytorzy nie mają łatwego chleba i trzeba z nimi dyskutować i udowadniać swoje racje. Praktycznie, kazda wątpliwość interpretacyjna działa na Państwa korzyść.

aikka · 26.04.2017 17:35:09

O to może mnie tez zwolni z ASI hmmmm... tylko kto będzie robił pracę ASI? Ja - tylko .... w innym wcieleniu na papierze..?

peterix · 28.04.2017 08:27:20

Nie poddawajcie się i nie traćcie nadziei - mówiłem że to parszywa funkcja choć przewidywałem ze problemy będą z innej strony.

kaskamax1 · 01.05.2017 20:13:07

pytania dot. zaleceń wydanych po audycie - m.in:

1. w związku z art. 36a ust 9 i 36 b UoODO oraz §4 ust. 2 RRZ sporządzać plany sprawdzeń, itp. - TO WIEMY
2. Fakt przeprowadzenia sprawdzeń dokumentować w ustalony sposób - TO WIEMY (powiązane z p. 1)
3. w związku z §20 ust. 2 pkt. 14 KRI zapewnić okresowy audyt wewnętrzny w zakresie bezpieczeństwa, nie rzadziej niz raz na rok - czy to dotyczy naszych sprawdzeń (ABI) z p. 1 i 2 czy jeszcze ktoś ma nas sprawdzać??
4. w regulacjach wewnętrznych ustalić/zapisać (np. zasady udostępniania kodu uruchamiającego i odblokowującego system alarmowy, zabezpieczenia typu dyżury pracowników przy drzwiach wejściowych) - CZYM MAJĄ BYĆ TE REGULACJE?? NP. ZARZĄDZENIEM DYREKTORA, CZY PROCEDURY??

czy z realizacji zaleceń KAW ABI przygotowuje protokół pokontrolny?

kaskamax1 · 03.05.2017 13:32:44

dziękuję ;-)

Marta Kwaśny · 14.05.2017 19:42:28

Przepraszam, że dopiero dziś, ale odnośnie tych procedur dot. alarmów - pytanie zasadnicze: jakim przepisem prawnym podyktowane są wymagania audytora dot. zapisania procedur? Prawda, Panie Piotrze?

Pozdrawiam,
Marta Kwaśny

Ania · 15.05.2017 09:27:26

Pani Marto Choć alarm w jednostce postrzegamy głównie przez pryzmat ochrony mienia, to jest on równocześnie jednym z elementów ochrony danych osobowych. Uniemożliwia on fizyczne dotarcie do danych osobowych przez osoby do tego nieuprawnione.
Choć żaden z przepisów nie mówi tego wprost, to jednak w par 4 pkt 4 ppkt 5[i] Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, czytamy, że Polityka bezpieczeństwa powinna zawierać określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Trudno polemizować z faktem, że w czasie, kiedy w placówce nie ma nikogo, alarm należy do elementów fizycznej ochrony danych osobowych.

Serdecznie pozdrawiam
Ania Pielok

Ostatnio edytowany przez Ania (15.05.2017 09:28:26)

peterix · 15.05.2017 10:41:45

ALe o jakie alarmy chodzi prosze o przybliżenie

gatthaca · 15.05.2017 22:42:51

kaskamax1 napisał:
3. w związku z §20 ust. 2 pkt. 14 KRI zapewnić okresowy audyt wewnętrzny

Chciałam się odnieść do tego punktu. W KRI mowa o audycie i w §20 pkt.2 ust. 3.-okresowej analizie ryzyka.
1. Jak często powinna być przeprowadzona analiza ryzyka?
2. Wg jakich wytycznych przeprowadzić audyt wewnętrzny? Czy wg Rozp. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów...? Czyli tak jak sprawdzenie ABIego, wybierając jakiś zakres do sprawdzenia? (jakiego obszaru może dotyczyć taki audyt?).

Pozdrawiam i z góry dziękuję za sugestie,
Gosia

peterix · 16.05.2017 10:41:35

1. Analize ryzyka wykonujemy za każdym zdarzeniu mającym wpływ na bezpieczeństwo informacji nie żadziej jednak niz raz na rok
2. Moim zdaniem, i tak mówiłem na szkoleniu, sprawdzenie ABI spełnia wszystkie kryteria audytu wewnętrznego ale nie jestem "alfom i łomegom" więc moge sie mylić

Marta Kwaśny · 17.05.2017 10:01:56

Pani Aniu, ale czy "określenie środków technicznych" musi być rozumiane jako "stworzenie procedur"? Określam, że środki są takie i siakie.... Wiem, pewnie jestem taka "do przodu" póki nie będzie u mnie w placówce kontroli Ale na szkoleniu z P. Piotrem poruszaliśmy temat procedur postępowania z kluczami (to mniej więcej ta sama sytuacja, co z alarmem). I wówczas uznaliśmy, że skoro nie ma jasnego nakazu (przepisu), to nie ma. A czy panie kontrolujące Pani placówkę podały przepis, o którym Pani pisze, jako wskazujący na konieczność stworzenia procedur?

Pozdrawiam,
Marta

Ania · 17.05.2017 14:48:20

Pani Marto W przypadku alarmu nie tworzyłam żadnej procedury. Ujęłam w Polityce bezpieczeństwa, że budynek jest zabezpieczony alarmem, kto posiada kody do jego rozbrajania i co dzieje się, kiedy alarm zostaje wzbudzony. Określiłam "alarm" jako jeden ze środków technicznych służących do zabezpieczenia danych. Zapisy, które ujęłam w Polityce nie spotkały się z żadnymi zastrzeżeniami kontrolujących.
Inna sprawa to procedura postępowania z kluczami w placówce. To faktycznie jest ujęte w procedurę. Nie jest ona jakoś specjalnie obszerna, ale precyzuje kto, za co co jest odpowiedzialny. Kto może zabrać klucze do domu a kto nie. Gdzie znajdują się zapasowe klucze do pomieszczeń oraz zawiera bezwzględny zakaz dorabiania kluczy bez zgody kierownika jednostki. Ujęłam tam również kto posiada klucze do drzwi wejściowych placówki i jak się z nimi postępuje. Procedura ta stanowi element dokumentacji ochrony danych osobowych w placówce i tu też audytor nie wnosił zastrzeżeń.

A propos podstawy prawnej w opracowaniu audytowym podano jako podstawę prawną załącznik nr I do RDPDO.
Proszę pamiętać, że w razie wymiany korespondencji z KAW musi Pani brak tych zapisów obronić. U mnie audyt był w 2016, a w 2017 kontrola wydanych zaleceń. Z mojego doświadczenia poradzę Pani, aby w tej sprawie nie iść na wojnę bo to jest zabezpieczenie i w Polityce powinno być ujęte

Serdecznie pozdrawiam,
Ania

Ostatnio edytowany przez Ania (17.05.2017 14:57:54)

kaskamax1 · 11.09.2017 22:38:23

AUDYT dot. "powierzonych przez UM zbiorów danych osobowych" - czy Ktoś miał?

Ja generalnie nie wyróżniałam jakoś specjalnie zbiorów powierzonych przez urząd...

mamy m.in. takie kryteria, z którymi nie wiem, czy sobie poradzę (nie chodzi o to, żeby było idealnie, ale żeby też nie było tragedii)...

1. czy do przetwarzania powierzonych przez Urząd danych dopuszczone są wyłącznie osoby posiadające upoważnienia ADO?

mamy upoważnienia wg wzoru ze szkolenia (kto do jakiego zbioru ma dostęp), czy do tych danych "urzędowych" potrzebne są jakieś dodatkowe upoważnienia, czy wystarczy na tym ogólnym?

2. czy polityka bezp. zawiera wykaz budynków, pomieszczeń, w których przetwarzane są dane osobowe powierzone przez Urząd?

mamy ogólnie w polityce w jakich budynkach i pomieszczeniach przetwarzane są dane (wszystkie); a potem w zbiorze dot. Urzędu rozpisane w jakim pomieszczeniu (gabinecie) i kto ma dostęp...

3. czy polityka zawiera aktualny wykaz powierzonych przez Urząd zbiorów wraz ze wskazaniem programów do ich zastosowania?

mamy mieszkańcy, kontrahenci, nauczyciele poszukujący pracy...

4. czy zapewniono bezzwłoczne zgłaszanie incydentów mających wpływ na bezp. informacji urzędu?

mamy zapis w polityce, że o incydentach mających wpływ na bezp. informacji urzędu ADO lub ABI niezwłocznie zawiadamia urząd...

Macie jakieś uwagi, doświadczenia z audytem dot. powierzonych przez Urząd danych??
To mój pierwszy audyt, więc może dlatego się stresuje... ale z drugiej strony się cieszę, bo przynajmniej będę wiedzieć, co i jak...

pozdr. Kasia

Ania · 12.09.2017 16:57:38

W moim przypadku, akurat tydzień temu skończyłam audyt wewnętrzny. Bardzo mocno wzorowałam się na audycie, jaki przeprowadzali "nasi przyjaciele" z ul. Fredry. Tak właściwe sprawdziłam i opisałam wszystkie elementy, na jakie składa się ochrona danych osobowych w placówce. Tydzień sprawdzania i kilkanaście stron protokołu. I już ... To co mnie ubawiło najbardziej to był fakt, że sama ten audyt przeprowadzałam, czyli właściwe sprawdzałam samą siebie. Reasumując -1. sprawdzenie (wybrane elementy, które na przełomie 5 lat muszą stanowić pełne sprawdzenie systemu), audyt - w moim przypadku całość. Raport + wnioski przekazałam szefowej do kontroli zarządczej.... i do realizacji oczywiście. (Jednym z nich była zakup serwera sieciowego )
A tak w ogóle to czy był już u Pani w tym roku KAW? bo jeśli tak to może Pani ich audyt potraktować jako audyt z KRI.

Pozdrawiam
Ania

Ostatnio edytowany przez Ania (12.09.2017 16:58:44)

Forum Inspektorów Ochrony Danych

#1 16.02.2017 10:20:22

Uwaga!!!!

#2 06.04.2017 10:58:41

Re: Uwaga!!!!

#3 26.04.2017 17:35:09

Re: Uwaga!!!!

#4 28.04.2017 08:27:20

Re: Uwaga!!!!

#5 01.05.2017 20:13:07

Re: Uwaga!!!!

#6 03.05.2017 13:32:44

Re: Uwaga!!!!

#7 14.05.2017 19:42:28

Re: Uwaga!!!!

#8 15.05.2017 09:27:26

Re: Uwaga!!!!

#9 15.05.2017 10:41:45

Re: Uwaga!!!!

#10 15.05.2017 22:42:51

Re: Uwaga!!!!

kaskamax1 napisał:

#11 16.05.2017 10:41:35

Re: Uwaga!!!!

#12 17.05.2017 10:01:56

Re: Uwaga!!!!

#13 17.05.2017 14:48:20

Re: Uwaga!!!!

#14 11.09.2017 22:38:23

Re: Uwaga!!!!

#15 12.09.2017 16:57:38

Re: Uwaga!!!!

Stopka forum