- Polityka bezpieczeństwa w firmie/urzędzie – strategia bezpieczeństwa.
- Podstawy prawne funkcjonowania ochrony danych osobowych w firmie/urzędzie.
- Dokumenty regulujące funkcjonowanie ochrony danych osobowych w firmie/urzędzie i ich zgodność z obowiązującymi przepisami :
– Polityka bezpieczeństwa ochrony danych osobowych
– Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. - Funkcjonowanie w firmie/urzędzie ADO, IOD, ASI – właściwe określenie ich zadań.
- Sposób i tryb upoważniania pracowników do przetwarzania danych osobowych – ewidencja wydawanych upoważnień.
- Księgi klauzul z zakresu ochrony danych osobowych.
- Zbiory danych osobowych w firmie/urzędzie.
- Funkcjonowanie rejestrów czynności przetwarzania danych osobowych.
- Procedury przeprowadzania analizy ryzyka.
- Procedury przeprowadzania oceny skutków dla ochrony danych.
- Procedury odpowiadania na żądania podmiotu danych.
- Umowy powierzenia przetwarzania danych osobowych.
- Stosowane środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych.
- Zabezpieczenia infrastruktury informatycznej i telekomunikacyjnej firmy/urzędu, w której przetwarzane są dane osobowe.
- Polityka kluczy w firmie/urzędzie.
- Funkcjonowanie w systemie informatycznym przetwarzającym dane osobowe procedur :
– nadawania uprawnień do przetwarzania danych osobowych
– metody i środki uwierzytelniania
– dostępu podmiotów zewnętrznych
– korzystania z internetu i poczty elektronicznej
– rozpoczęcia, zawieszania i zakończenia pracy
– odnotowywania w systemie informacji o udostępnianiu danych osobowych
– tworzenia kopii zapasowych
– zabezpieczania systemu informatycznego, w tym przed wirusami komputerowymi
– wykonywania przeglądów i konserwacji. - Sposób, miejsce i okresy przechowywania w firmie/urzędzie elektronicznych nośników informacji i wydruków.
- Funkcjonowanie monitoringu wizyjnego w firmie/urzędzie.
- Polityka czystego biurka i czystego ekranu.
- Instrukcja postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych.
- Szkolenia upoważnionych do przetwarzania danych osobowych w firmie/urzędzie.
- Sprawozdania roczne stanu ochrony danych osobowych w firmie/urzędzie.
Audyt stanu ochrony danych osobowych w firmie lub urzędzie
Aby móc przeciwdziałać zagrożeniom, trzeba zdiagnozować obecny stan bezpieczeństwa informacji.
I. Badanie obszarów
Metoda
Audyt przeprowadzony będzie w oparciu o analizę przedstawionych aktów normatywnych, dokumentów organizacyjno-administracyjnych, dokumentacji dot. ochrony danych osobowych firmy/urzędu, rozmowy z Kierownictwem/Zarządem i pracownikami , a także wizję lokalną obiektu oraz pomieszczeń, ważnych dla ochrony danych osobowych.
Wynik
Z przeprowadzonego audytu sporządzony zostanie raport zawierający opis stanu faktycznego w zakresie funkcjonowania ochrony danych osobowych /mocne i słabe strony/ w firmie/urzędzie, a także wnioski i propozycje konkretnych działań i przedsięwzięć, mających na celu zapewnienie właściwej ochrony i funkcjonowania tajemnicy danych osobowych w firmie/urzędzie.