Zakres usług

SZKOLENIA

To, że dzielimy szkolenia na te dedykowane przyszłym Inspektorom Ochrony Danych, Administratorom, podmiotom przetwarzającym, Administratorom Systemów Informatycznych czy pracownikom organizacji, jest oczywiste. To, co nas odróżnia od innych firm szkoleniowych, to fakt, iż bardzo wnikliwie profilujemy wszystkie swoje szkolenia. Inspektor Ochrony Danych z branży produkcyjnej będzie miał zupełnie inne oczekiwania względem szkolenia niż Inspektor Ochrony Danych z branży handlowej, nie mówiąc już o sektorze pomocy społecznej czy oświacie. Organizując szkolenie specjalistyczne oraz warsztatowe dobieramy wartości merytoryczne na tyle starannie, by każdy uczestnik dostał kluczowe dla siebie informacje.

Prowadzimy szkolenia w formie stacjonarnej, a także zdalnej, wykorzystując przy tym technikę wideokonferencyjną oraz w postaci webinariów. Na życzenie Klienta szkolenie wideokonferencyjne może być utrwalone w postaci spersonalizowanego pod jednostkę nagrania wideo. Nagranie jest przekazywane/udostępniane Klientowi w wielorakich formach multimedialnych w zależności od preferencji.

Szkolenia

AUDYTY

Audyty realizujemy w dwóch formach: stacjonarnej oraz zdalnej. Obie formy audytowania są popularne przy czym forma zdalna jest coraz częściej praktykowana. Zakres formalnoprawny oraz technologiczny jest ten sam.

W przypadku audytu zdalnego zawierającego elementy IT, do Klienta dostarczany jest specjalistyczny sprzęt do badania Jego infrastruktury informatycznej (połączenie pomiędzy naszym działem IT a przedmiotowym sprzętem odbywa się za pomocą wielopoziomowo szyfrowanego połączenia spełniającego najwyższe standardy bezpieczeństwa).

Natomiast wszelakie działania formalnoprawne w postaci wywiadu, analizy dokumentacji czy też wywiadów środowiskowych odbywają się za pomocą połączeń wideokonferencyjnych oraz szyfrowanej wymiany danych poprzez e-mail oraz nasz własny serwer wymiany informacji.

Po każdej formie przeprowadzonego audytu, Klient otrzyma szczegółowy protokół poaudytowy, zalecenia oraz poaudytowe wparcie audytorów formalnoprawnych oraz IT.

Realizujemy audyty w zakresie:

Audyt bezpieczeństwa informacji

(Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)).

(Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).

  • KRAJOWE RAMY INTEROPERACYJNOŚCI → link

(Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych).

  • KRAJOWY SYSTEM CYBERBEZPIECZEŃSTWA

(Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa).

  • PROJEKT „CYBERBEZPIECZNY SAMORZĄD” → link

Audyt SZBI & audyt zgodności KRI/UoKSC wykonywany w ramach realizacji projektu „Cyberbezpieczny Samorząd” ‑ finansowanego ze środków funduszy europejskich na rozwój cyfrowy 2021-2027 (FERC).

  • PROJEKT „CYFROWA GMINA”, „CYFROWY POWIAT” ORAZ „CYFROWE WOJEWÓDZTWO” → link

Audyt/cyfrowa diagnoza wykonywana w ramach realizacji zadań publicznych (Projekt „Cyfrowa Gmina”, „Cyfrowy Powiat” oraz „Cyfrowe Województwo” finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020) wraz z testami podatności informatycznych.

  • NORMY ISO: (osobno lub łącznie):

ISO 27001 / 27002,

ISO 27005 / 31000,

ISO 27017 / 27018,

ISO 29134 / 29151,

ISO 22301 / 24762

  • TELEINFORMATYKA (badanie podatności infrastruktury IT)

sektor publiczny,

sektor prywatny.


OUTSOURCING & DORADZTWO

Po każdym audycie, szkoleniu czy też wdrożonej dokumentacji, Klient ma u nas zapewnione doradztwo w zakresie wykonanych usług. Zazwyczaj jest tak, że najwięcej pytań pojawia się po szkoleniu czy po zakończeniu czynności audytowo-wdrożeniowych, a zatem nie wyobrażamy sobie, by Klientom nie zapewnić terminowego doradztwa w tym zakresie. Doradztwo tego rodzaju wliczone jest w cenę wdrożenia, szkolenia lub audytu.

Jeżeli Klient uzna, iż chciałby mieć zapewnione dodatkowe doradztwo przez jakiś konkretny okres czasu np. rok, wówczas proponujemy mu podpisanie umowy o współpracy.

Oferujemy też możliwość zakupienia doradztwa incydentalnego, jednorazowego, na potrzeby zaistniałej sytuacji, szczególnie wtedy, kiedy niezbędne jest sporządzenie opinii w przedmiocie sprawy.

Przedsiębiorcom prywatnym chętnie doradzimy, czy w swojej firmie powinni wyznaczyć Inspektora Ochrony Danych. Bywają sytuacje, w których nie występują przesłanki obligujące do wyznaczenia IOD. W takich sytuacjach nasze doradztwo z zakresu bezpieczeństwa informacji odciąża administratora danych.

Formy współpracy z ISO-LEX:

Powierzenie funkcji Inspektora Ochrony Danych (IOD):

  • sektor publiczny,

  • sektor prywatny.

Doradztwo w zakresie bezpieczeństwa informacji:

  • jednorazowe,

  • incydentalne (do rozwiązania incydentu),

  • na czas określony (np. rok czasu),

  • długoterminowe.


DOKUMENTACJA & PROCEDURY

Naszym głównym celem jest zabezpieczyć interesy Klienta w zakresie proceduralnym/dokumentacyjnym. Korzystając z naszych usług, Klient jest wyposażony we wszelkiego rodzaju procedury, jakie są wymagane w kontekście bezpieczeństwa informacji i jego ciągłego utrzymywania.

Na pełną dokumentację składają się polityki oparte o normy prawne rozporządzenia ogólnego, wymogi międzynarodowych norm ISO, uregulowania branżowe (w zależności od organizacji), kodeksy dobrych praktyk oraz proces szacowania ryzyka.

Wdrożenie procedur może odbywać się na miejscu u Klienta bądź zdalnie. Klient może także zakupić wzory dokumentacji i wdrożyć ją samodzielnie w swojej organizacji.

Wszelakie polityki składające się na System Zarządzania Bezpieczeństwem Informacji poprzedzone są procesem szacowania ukierunkowanym na 2 konteksty ryzyka bezpieczeństwa informacji tj.:

  • ryzyko ogólne,
  • ryzyko utraty praw i wolności osób fizycznych.

Następnie w zależności, czy jest to sektor publiczny bądź prywatny stosujemy adekwatne standardy (ISO, ministerialne czy chociażby międzynarodowe standardy kontrolne), gdzie ich wybór, będący jednym z wielu kroków świadczących o zastosowaniu się do treści art 24 ust. 2 RODO „Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych”, opisany jest specjalistyczną deklaracją. Wprowadza to w organizacji przejrzystość i pewność, iż przed organem kontrolnym wykazujemy adekwatne procedury i żadnych nie pominęliśmy.

Procedury

Przykładowe dokumentacje / procedury:

  • SZBI (System Zarzadzania Bezpieczeństwem Informacji): → link

    • Polityka Bezpieczeństwa Informacji,

    • Polityka Bezpieczeństwa Teleinformatycznego,

    • Szacowanie ryzyka (Analiza ryzyka ogólnego oraz Ocena skutków (DPIA) dla przetwarzania danych),

  • SZCD (System Zarządzania Ciągłością Działania) w ramach bezpieczeństwa informacji → link

oraz wiele innych …