- Łączenie funkcji w ochronie informacji niejawnych
- Jak prawidłowo zatrudnić Pełnomocnika ds. ochrony informacji niejawnych
- Organizacji kancelarii tajnej obsługującej dwie lub więcej jednostek organizacyjnych
- Szkolenia z informacji niejawnych - kiedy, kogo i przez kogo?
- Informacje niejawne w przetargach publicznych
Jak napisać politykę bezpieczeństwa?
Zgodnie z § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, administrator danych obowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa. Pojęcie „polityka bezpieczeństwa”, użyte w rozporządzeniu należy rozumieć – jako zestaw praw, reguł i praktycznych doświadczeń, dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych, wewnątrz określonej organizacji. Należy zaznaczyć, że zgodnie z art. 36 ust. 2 oraz art. 39a ustawy o ochronie danych osobowych, polityka bezpieczeństwa, o której mowa w rozporządzeniu, powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.
Polityka bezpieczeństwa, w zakresie przedmiotowym, powinna koncentrować się na bezpieczeństwie przetwarzania danych osobowych, co wynika z art. 36 ustawy. Aby prawidłowo zarządzać zasobami, w tym również informacyjnymi, należy najpierw zidentyfikować wszystkie te zasobyoraz określić miejsca i sposób ich przechowywania. Wybór zaś odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją, zależny jest od zastosowanych nośników informacji, rodzaju urządzeń, sprzętu komputerowego i oprogramowania. Stąd też w § 4 rozporządzenia wskazano, że polityka bezpieczeństwa powinna zawierać w szczególności następujące punkty:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- sposób przepływu danych pomiędzy poszczególnymi systemami;
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczności przy przetwarzaniu danych.
Wzór polityki bezpieczeństwa praktycznie nie istnieje. Dokument ten powinien być w najdrobniejszych szczegółach dopasowany do jednostki organizacyjnej (jej usytuowania, procesów w niej zachodzących, stosowanej dotychczasowej polityce bezpieczeństwa itd.).
Wiemy, jak trudne może być przygotowanie dobrej dokumentacji bezpieczeństwa, dlatego też zachęcamy do skorzystania z naszego doświadczenia. W naszej ofercie znajdziecie Państwo przygotowanie kompletnej dokumentacji, pozwalającej zarejestrować zbiór danych osobowych w GIODO. Chętnie pomożemy Państwu w rejestracji zbiorów danych osobowych na każdym etapie procesu – od stworzenia dokumentacji po samą czynność rejestracji.
Zajmuje się szeroko pojętym tematem zarządzania bezpieczeństwa informacji.
Jako młoda, aktywna i przedsiębiorcza osoba wciąż poszukuję nowych źródeł wiedzy i możliwości rozwoju.
Poszukuję kontaktów biznesowych, nawiążę również kontakt z osobami zainteresowanymi podobną problematyką w celu współpracy, wymiany spostrzeżeń i doświadczeń.