Czy wykonałeś już
Analizę Ryzyka Ogólnego oraz Ocenę Skutków?
Jako nieliczni w Polsce stworzyliśmy kompleksowe narzędzie, które ułatwi Ci szacowanie ryzyka
O nas
Jesteśmy zespołem ekspertów działających w obszarze „bezpieczeństwa informacji” oraz „ciągłości działania„. Ze względu na to, iż od 2004 roku dziedzina szeroko rozumianej ochrony danych osobowych rozwija się dynamicznie, my równie dynamicznie zdobywaliśmy doświadczenie. Systematycznie pogłębialiśmy wiedzę ekspercką, co spowodowało…
Metody wykonywania SZKOLEŃ oraz AUDYTÓW:
- SZKOLENIA:
- w postaci stacjonarnej,
- w postaci zdalnej za pomocą platformy wideokonferencyjnej niezależnie od miejsca przebywania uczestnika szkolenia (praca, dom itd…).
- AUDYTY:
- w postaci stacjonarnej,
- w postaci zdalnej przy jednoczesnym wykorzystaniu:
- wideokonferencji,
- oprogramowania do „zdalnego pulpitu”, oraz
- autorskiego (autonomicznego) urządzenia do wykrywania zagrożeń w sieci IT przy wykorzystywaniu własnego (niezależnego oraz redundantnego) łącza internetowego + VPN, dostarczanego do Klienta.
Najczęściej wykonywane przez nas SZKOLENIA w okresie ostatniego roku:
- Cyberbezpieczeństwo w praktyce sektora publicznego oraz niepublicznego.
- Szacowanie ryzyka: Analiza Ryzyka Ogólnego oraz Ocena Skutków dla Przetwarzania Danych Osobowych (DPIA).
- System Zarządzania Ciągłością Działania w sektorze publicznym oraz niepublicznym.
- Krajowe Ramy Interoperacyjności.
- Zmiany po 4 maja 2019 (tzw. ustawa wdrażająca RODO).
- Warsztaty z zakresu norm ISO dotyczących Systemów Zarządzania (normy technologiczne, informacyjne oraz z zakresu ciągłości zarządzania).
Najczęściej wykonywane przez nas AUDYTY w okresie ostatniego roku:
- Audyt/cyfrowa diagnoza wykonywana w ramach realizacji zadań publicznych (Projekt „Cyfrowa Gmina” oraz „Cyfrowy Powiat” finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014 – 2020) wraz z testami podatności informatycznych.
- Audyt ogólny uwzględniający RODO, przepisy krajowe oraz wytyczne.
- Audyt Krajowych Ram Interoperacyjności w wersji podstawowej oraz rozbudowanej (z elementami norm ISO).
- Audyt wg normy ISO (z uwzględnieniem wybranych norm z rodziny 27xxx oraz 29xxx) w tym:
- Audyt Systemu Zarządzana Bezpieczeństwem Informacji wg normy ISO 27001,
- Audyt Systemu Zarządzana Ciągłością Działania wg normy ISO 22301.
- Audyt Krajowego Systemu Cyberbezpieczeństwa.
Szkolenie, które odświeżyliśmy i ponownie wprowadziliśmy do oferty:
Krajowe Ramy Interoperacyjności z elementami cyberbezpieczeństwa – procedury dla sektora publicznego, które powinny się zawierać w polityce/kach organizacji; zarządzanie i wykonywanie procedur, audyt oraz kontrola organu uprawnionego. Potężna tematyka wytłumaczona prostym językiem w zakresie formalnoprawnym jak i informatycznym.
Dlaczego teraz?
Normy ISO nie są nam obce, a tym bardziej tematyka Krajowych Ram Interoperacyjności. Pracujemy na nich codziennie, czy to podczas audytów bądź wdrożeń dokumentacji. Rynek jest pochłonięty wieloma przepisami, które są wypadkową podstawowych założeń bezpieczeństwa informacji opierających się na przepisach branżowych. Chcemy pokazać, gdzie znajdują się podwaliny realnego sposobu zabezpieczania danych w kontekście formalnoprawnym jak i teletechnicznym. Co więcej, jak świadomie pisać procedury, które sprawdzają się podczas ciągłości zarządzania.
Nie będziemy mówić, jak spełnić warunki kontroli. Będziemy tłumaczyć, jakie są ich podstawy i założenia. Jak realnie tworzyć dokumentację, oraz ją „realizować” w jednostce z uwzględnieniem aspektu formalnego jak i czysto technicznego.
Nasza strategia
KROK
01
Strategia opracowania dokumentacji
Praca dla Klienta rozpoczyna się od rozpoznania kontekstu Jego organizacji. Jest to niezwykle istotny etap, którzy w dużej mierze rzutuje na ostateczny kształt procedur z zakresu Systemów Zarządzania Bezpieczeństwem Informacji. Audytor powinien dbać o to, aby wdrażane w organizacji procedury były zgodne z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz obejmowały inne wymagania prawne, regulacyjne i umowne, którymi organizacja jest związana. Dla nas najważniejsze jest to, aby dokumentacja była zrozumiała dla samego Administratora, a także dla pracowników, którzy w konsekwencji ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji będą zapoznawać się z jego zapisami. W całym procesie wdrażania wymaganych przepisami prawa procedur nie można zapominać o Klientach organizacji, względem których, rzecz jasna w różnym zakresie w zależności od specyfiki organizacji, należy spełnić na przykład obowiązek informacyjny. Kluczowe znaczenie dla faktycznego, a nie iluzorycznego funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji ma fakt ustanowienie, a następnie wdrożenie odpowiednich środków organizacyjnych oraz technicznych - odpowiednich do rodzaju przetwarzanych danych osobowych, sposobów przetwarzania, zasięgu terytorialnego działania organizacji. Mając powyższe na względzie, nasz Klient dostaje dokumentację, która odzwierciedla jego specyfikę, a także uwzględnia potrzeby i oczekiwania stron zainteresowanych.
KROK
02
Strategia szkoleniowa
Kiedy stajemy przed swoim Klientem na sali szkoleniowej, staramy się realizować cele szkoleniowe na 100%. Cele te opierają się o trzy filary: wiedza, umiejętności oraz postawy. Przekazanie wiedzy uczestnikowi szkolenia jest niezwykle istotne, aczkolwiek samo w sobie przekazanie treści nie daje oczekiwanych rezultatów. Zależy nam, aby uczestnik nabył konkretne umiejętności, aczkolwiek najbardziej cieszy nas efekt w postaci zainspirowania uczestnika do dalszego zgłębiania tematyki bezpieczeństwa informacji. Podczas szkoleń pokazujemy, iż bezpieczeństwo informacji jest dziedziną o charakterze interdyscyplinarnym i wymaga połączenia norm branżowych z normami w zakresie ochrony danych osobowych. Nasze szkolenia są dedykowane specyfice szkolonej organizacji. Nasza wiedza i doświadczenie pozwalają z góry przewidzieć problematykę organizacji w zakresie bezpieczeństwa informacji i wskazać obszary podatne na utratę danych lub nieuprawniony do nich dostęp. Staramy się, by uczestnik wyszedł ze szkolenia z przekonaniem, że przekazywane treści faktycznie dotyczyły jego organizacji.
KROK
03
Strategia konsultingowa
Od 25 maja 2018 roku organizacje będą stosować RODO, a mianowicie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. Wszystkie podmioty publiczne oraz część podmiotów prywatnych będzie zobligowana do wyznaczenia Inspektora Ochrony Danych (IOD lub z ang. DPO). Część Administratorów będzie w obowiązku prowadzić Rejestr Czynności Przetwarzania, z kolei podmiot przetwarzający będzie prowadzić Rejestr Kategorii Czynności Przetwarzania dokonywanych na rzecz Administratora. Zdajemy sobie sprawę, że jeśli ktoś na co dzień nie zajmuje się problematyką ochrony danych osobowych, procedury przewidziane w przedmiotowym rozporządzeniu mogą wydawać się zwyczajnie skomplikowane. Doradzamy naszym Klientom jak je „po ludzku” wprowadzić i stosować. Pomagamy także w ustaleniu, czy organizacja będzie zobowiązana do wyznaczenia IOD ile jasno nie wynika to z przepisów. Strategię konsultingową realizujemy poprzez: wydawanie opinii, doradztwo jednorazowe, doradztwo długofalowe (szczególne po uprzednim audytowaniu podmiotu, wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji bądź przeprowadzonym szkoleniu), zapytania złożone przez Klienta mailowo lub telefonicznie, realizacja postanowień umowy o współpracy w zakresie doradztwa, konferencje internetowe.
KROK
04
Strategia przeprowadzenia audytu
Standardowy zakres audytu zwykle obejmuje cztery obszary przetwarzania danych osobowych tj.: formalnoprawny, bezpieczeństwo fizyczne i środowiskowe, bezpieczeństwo zasobów ludzkich, a także bezpieczeństwo środowiska informatycznego. Po zakończeniu czynności audytowych, przedstawiamy właścicielowi organizacji raport poaudytowy, w którym wskazujemy zgodności, niezgodności oraz obszary do doskonalenia. Zespół audytowy jest zobowiązany klauzulą poufności względem wszelkiego rodzaju informacji powziętych w procesie audytu. Z racji tego, że technikę audytowania opieramy o najwyższe standardy wynikające z norm międzynarodowych, Klient ma pewność wykonania usługi w pełni profesjonalnie oraz etycznie.
Często zadawane pytania
Jakie kwalifikacje powinien mieć Inspektor Ochrony Danych?
Po części na to pytanie odpowiada art. 37 ust. 5 rozporządzenia ogólnego, który stanowi: „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.” Rozporządzenie ogólne kładzie nacisk na dwa czynniki: wiedza ekspercka oraz doświadczenie. Warto zauważyć, że projektodawca nowego brzmienia ustawy o ochronie danych nie zdecydował się na dookreślenie, o jakie konkretnie kwalifikacje chodzi. Nie chciał tym samym wprowadzać ograniczeń w zakresie swobodnego świadczenia tego rodzaju usług. Za wybór Inspektora Ochrony Danych odpowiada Administrator – to on powinien wybrać takiego człowieka, który poradzi sobie z zadaniami określonymi w art. 39 rozporządzenia ogólnego. Administrator powinien również zbadać u Inspektora poziom znajomości przepisów branżowych, którymi związana jest organizacja, w której miałby on pełnić swoją funkcję. Innego zasobu wiedzy należy wymagać od Inspektora, który byłby wyznaczony w jednostce samorządu terytorialnego, a zupełnie odmiennego w przypadku spółki prawa handlowego przetwarzającej dane transgranicznie. Wybór Inspektora powinien odbywać się z zachowaniem należytej staranności przy uwzględnieniu charakteru przetwarzanych danych osobowych w organizacji. Inspektora Ochrony Danych można wyznaczyć ze struktur organizacji, zatrudnić poprzez konkurs stanowiskowy bądź podjąć współpracę w zakresie świadczenia usług na podstawie umowy cywilnoprawnej. Niemniej jednak, zważywszy na zawiłość tematyki ochrony danych i danych osobowych coraz częściej organizacje chcą, aby IOD posiadał doświadczenie audytora z zakresu norm i standardów określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych.Jakie dokumenty muszę mieć w jednoosobowej działalności gospodarczej, by spełnić wymagania RODO?
Art. 24 rozporządzenia ogólnego wprowadza zapis, że Administrator powinien wdrożyć odpowiednie polityki ochrony danych. Określenie „odpowiednie polityki” jest wystarczająco nieostre by zapytać: „czyli co konkretnie mam mieć?”. Niewątpliwie można się posiłkować dotychczas wymaganą dokumentacją tj. Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych dosyć precyzyjnie określa co powinna zawierać dokumentacja. Co prawda przedmiotowy akt wykonawczy zostanie uchylony wraz z aktualnie jeszcze obowiązującą ustawą o ochronie danych osobowych, ale praktyki, które organizacje wypracowały do tej pory nie będą traciły na aktualności. Będą oczywiście wymagały modyfikacji i uzupełnienia, przykładowo o rejestr czynności przetwarzania, czy analizę zasadności wyznaczenia bądź nie Inspektora Ochrony Danych, aczkolwiek małe firmy będą mogły w dalszym ciągu korzystać z elementów składowych standardowej Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym. Ciekawą i praktyczna informacją jest artykuł zamieszczony na stronie Urzędu Ochrony Danych Osobowych - link.Nie zatrudniam pracowników w swojej firmie. Czy RODO mnie dotyczy?
To, że przedsiębiorca nikogo nie zatrudnia, nie oznacza, że nie przetwarza danych osobowych. W przypadku tego rodzaju firm należy wziąć pod uwagę dane osobowe klientów bądź kontrahentów, z którymi firma współpracuje czy dane osobowe wynikające z przesłanych aplikacji drogą mailową (nawet w przypadku formalnie nie ogłoszonego naboru). Względem tych danych osobowych trzeba stosować odpowiednie procedury przewidziane w politykach ochrony danych. Należy się również zastanowić, czy jako przedsiębiorca będę wchodzić w rolę administratora, współadministratora, a może podmiotu przetwarzającego. Niejednokrotnie na przedsiębiorcy będzie spoczywać konieczność spełnienia obowiązku informacyjnego względem wybranej grupy osób. Zdecydowanie każdy podmiot w jakimś stopniu jest związany rozporządzeniem ogólnym.Jak uchronić się przed administracyjną karą pieniężną wynikającą z RODO?
Faktycznie, kary pieniężne przewidziane w rozporządzeniu ogólnym mogą być niezwykle dotkliwe dla przedsiębiorcy. Ustawodawca jednak wyraźnie podkreślił, że każdy przypadek naruszenia bezpieczeństwa danych osobowych będzie oceniany indywidualnie. Na tą indywidualność składa się wiele czynników, które organ nadzorczy bierze pod uwagę przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej. Pokrótce można powiedzieć, że istotny będzie charakter, waga i czas trwania naruszenia, jakiej ilości osób oraz jakiej kategorii danych naruszenie dotyczy, czy naruszenie miało charakter umyślny czy nieumyślny, jak administrator lub podmiot przetwarzający współpracowali z organem nadzorczym, czy podjęto działania korygujące w stosunku do naruszenia, jeśli tak, to jak szybko podmiot zaczął wdrażać te działania, a także za pomocą jakiś środków. Mówimy tu jednak o przypadku, kiedy do incydentu już dojdzie, a co zrobić, żeby do naruszenia nie doszło? Przede wszystkim zadbać o odpowiednie środki techniczne i organizacyjne, w ramach których mieści się wdrożenie stosownych procedur, zlecenie przeprowadzenia audytu, przeszkolenie personelu, przeszkolenie podmiotów zewnętrznych, o ile jest to zasadne. Najważniejsze jest, by ustalić przepływ danych zarówno wewnątrz, jak i na zewnątrz organizacji.Klienci
– Czy wykonałeś już
Analizę Ryzyka Ogólnego i Ocenę Skutków?
Jako nieliczni w Polsce stworzyliśmy kompleksowe narzędzie, które ułatwi Ci szacowanie
Zadzwoń do nas
784 699 897
604 576 941