RODO i bezpieczeństwo informacji

 

Realizujemy wszelkie zadania, związane z zagadnieniami ochrony danych osobowych oraz bezpieczeństwa informacji:

1. USŁUGA PEŁNIENIA FUNKCJI INSPEKTORA OCHRONY DANYCH OSOBOWYCH

Realizacja wymagania RODO wynikające z zadań określonych w art. 39 Rozporządzenia 2016/279 oraz wytycznych Grupy Roboczej Art. 29 ds. ochrony danych (WP 243)

  • Zapoznawanie najwyższego kierownictwa i osób upoważnionych do przetwarzania danych z przepisami RODO i doradzanie
  • Monitorowanie i ocena stanu przestrzegania wymagań RODO
  • UWAGA: W ramach pełnienia funkcji IOD wykonujemy również obowiązki Administratora nałożone przez RODO m.in.:
    • opracowanie polityki bezpieczeństwa,
    • instrukcji zarzadzania RODO,
    • rejestrów przetwarzania,
    • listy potencjalnych aktywów,
    • ewidencji osób upoważnionych,
    • umowy powierzenia,
    • analiza ryzyka RODO,
    • wykaz danych zabezpieczeń,
    • plan postepowania z ryzykiem,
    • regulamin ochrony danych osobowych,
    • szkolenia personelu w zakresie bezpieczeństwa danych,
    • audyty

2. DOKUMENTACJA, SZKOLENIA, AUDYT ORGANIZACJI NA ZGODNOŚĆ Z „KRI”, innymi podstawami prawnymi w w/w zakresie

Usługa wykonania audytu Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami  § 19 Rozporządzenia Rady Ministrów z dnia 21 maja 2024r. w sprawie Krajowych Ramach Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych „KRI”

Szczegółowy zakres audytu obejmuje sprawdzenie organizacji pod kątem:

  1. zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  3. przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  4. podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  5. bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
  6. zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    1. zagrożenia bezpieczeństwa informacji,
    2. skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    3. stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
  7.  zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
    1. monitorowanie dostępu do informacji,
    2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
  8. ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  10. zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  11. ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    1. dbałości o aktualizację oprogramowania,
    2. minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    5. zapewnieniu bezpieczeństwa plików systemowych,
    6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
  13. bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.

Wyniki

Po przeprowadzonym audycie przedstawiciel audytowanego podmiotu otrzymuje raport końcowy dokumentujący jego przebieg wraz z informacjami o spostrzeżeniach i uchybieniach w odniesieniu do spełnienia wymagań §19 Rozporządzenia, stanowiących podstawę do podjęcia przez organizację działań przywracających zgodność z wymaganiami.


 

Opinie klientów