Ostatni webinar w tym roku (chyba) zaplanowaliśmy na 19 grudnia. Dotyczyć będzie niebywale istotnej kwestii związanej z dokumentacją wiodącą w ochronie. Nazwa Polityka Bezpieczeństwa funkcjonuje od poprzednich rozwiązań prawnych i dziś na pewno nie mam zamiaru walczyć z przyjętym nazewnictwem. Ale w trakcie webinaru “Dokumentacja RODO” nieco postarałem się wskazać kilka poziomów dokumentacji związanej z bezpieczeństwem. A także kilka kilka rodzajów…
Skąd polityka i do czego?
W systemach zarządzania bezpieczeństwem, w tym bezpieczeństwem informacji termin ten ma niejako dwa znaczenia.
- Polityka o charakterze deklaracji – czyli strony czy dwóch, zawierających najważniejsze deklaracje kierownictwa. Dlaczego? Otóż dlatego, że przecież RODO wymaga wręcz zaangażowania najwyższego kierownictwa organizacji.
- Polityka o charakterze planu ochrony danych osobowych. Czyli zestawu rozwiązań organizacyjnych, takich jak zasady nadzoru nad uprawnieniami, dostępu do stref, zasad korzystania ze sprzętu. Zestaw techniczny też się przejawiał, ale już nieco w mniejszym zakresie.
Tytułem przypomnienia webinaru o dokumentacji.
Poza dokumentami konstytuującymi system (tworzącymi założenia i ramy) są jeszcze dokumenty kierunkowe, czyli opisujące stan, do którego dążymy oraz sposób dotarcia. Wielu specjalistów o tym całkowicie zapomina, albo… gorzej niż zapomina. Bo spotkałem się też z sytuacją w której “naginane” są wyniki szacowania i oceny ryzyka, zmieniane zapisy już PO WYKONANIU analiz, tak aby “pasowało”. Jak widać po ostatnich kontrolach inspektorów UODO takie… różne podejście tego “co się widzi” vs “co by się chciało widzieć” nie jest najlepszym sposobem. Ot żeby wskazać tylko “test równowagi” Bisnode (5,2 złotych, vs prawa i wolności), czy “skuteczność niszczarek” i “niszczarki RODO” w urzędzie (mam nadzieję, że już nigdy więcej podobnych komentarzy nie przeczytam). Można też wpiąć w takie podejście “Laptop SGGW”, ale z tym poczekajmy.
Dokument o charakterze strategii
Dokumentem o którym była mowa w kontekście wskazania planu postępowania z ryzykiem (to z innych standardów) była strategia bezpieczeństwa, przygotowana w oparciu o model MCST. Ten model będzie już jednym z pierwszych webinarów w styczniu, bo praktycznie mamy ukończone tematy takie jak szacowanie i ocena ryzyka w RODO, dokumentację (zarys), naruszenia ochrony, zadania IOD, powierzenie danych i wiele innych. Już na bazie tych spotkań wiemy czego nam brak i … teraz właśnie to trzeba opisać w strategii, czyli planie, będącym swoistą mapą drogową doskonalenia systemu u naszych klientów czy u nas.
Wróćmy do polityki – planu ochrony
Czym w takim razie jest polityka rozumiana właśnie jako “plan ochrony”? Według wcześniejszych regulacji był to dokument gromadzący wszystkie informacje związane z ochroną danych osobowych. Od identyfikacji obszarów przetwarzania, danych, zasad prowadzenia zbiorów i ich rejestracji, nadawania upoważnień (nie wydawania), zasad ochrony fizycznej, zabezpieczenia technicznego, postępowania z incydentami…
Naprawdę duuużo informacji.
Struktura
W trakcie 18 lat pracy pod regulacjami Ustawy o ochronie danych osobowych udało mi się wypracować pewien schemat prowadzenia dokumentacji właśnie o charakterze Polityki Bezpieczeństwa. Takiej, która stanowi “plan ochrony danych osobowych”.
I temu będzie poświęcony webinar 19 grudnia.
