Audyt Contact Center z wdrożenia zapisów Aneksu

Transkrypt

1 Audyt Contact Center z wdrożenia zapisów Aneksu Raport Audytora z wdrożenia zapisów Aneksu do Umowy pomiędzy Contact Center a Telekomunikacją Polską Audyt wg stanu na dzień r. Streszczenie Raportu Warszawa, 29 kwietnia 2011 r.

2 SPIS TREŚCI Spis treści... 2 Uwagi wstępne... 3 Zasada Niedyskryminacji ( 2 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )... 4 System motywacyjny ( 3 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )... 6 System motywacyjny ( 3 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )... 6 Wdrożenie dobrych praktyk oraz Wykaz niedozwolonych informacji ( 4 Załącznika nr 25 oraz Załącznik nr 25a do Aneksu) rozwiązania pozasystemowe... 7 Rozdział systemów IT ( 5 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )...10 Załącznik nr 25a do Umowy Wykaz niedozwolonych informacji - rozwiązania systemowe..11 2

3 UWAGI WSTĘPNE Niniejsze opracowanie stanowi podsumowanie wyników prac audytowych przeprowadzonych w dniach na postawie umowy zawartej pomiędzy Telekomunikacją Polską S.A. oraz A.T. Kearney Sp. z o.o. Celem poniższego dokumentu jest przedstawienie wyników oceny wdrożenia zapisów Aneksów do Umowy pomiędzy Contact Center (CC) a Telekomunikacja Polską (TP) na dzień w zakresie wymagań organizacyjnych, procesowych jak i wymagań dotyczących systemów IT oraz funkcjonalności i procesów biznesowych przez nie realizowanych dla spółki Contact Center. Układ streszczenia jest analogiczny do układu Aneksu,, przy czym część załączników bezpośrednio związanych z paragrafami Aneksu została opisana łącznie w ramach odpowiednich paragrafów. Inne załączniki, ze względu na specyfikę poruszanych zagadnień, zostały opisane w formie oddzielnych rozdziałów. Audytor oświadcza, że wykonał Umowę z najwyższą zawodową starannością w oparciu o informacje, dane i dokumenty dostarczone przez TP. Jednocześnie Audytor zastrzega, iż nie ponosi żadnej odpowiedzialności za dalsze działania podejmowane przez TP oraz osoby trzecie w oparciu o sporządzony dokument. Ponadto poniższy dokument, jako streszczenie menadżerskie, nie zawiera wszystkich elementów zawartych w głównej części Raportu Audytora, w tym szczegółowych opisów stanu realizacji Aneksu, uzasadnień ocen oraz rekomendacji Audytora. Tym samym streszczenie nie powinno być traktowane jako materiał kompletny. 3

4 ZASADA NIEDYSKRYMINACJI ( 2 ZAŁĄCZNIKA NR 4: ZAŁĄCZNIKA NR 25 WARUNKI REALIZACJI USŁUG ŚWIADCZONYCH NA PODSTAWIE UMOWY ZASADY NIEDYSKRYMINACJI ) Wprowadzenie Spółka Contact Center prowadzi prace mające na celu realizację zobowiązań wynikających z 2. Prace te rozpoczęto jeszcze przed podpisaniem Aneksu do umowy pomiędzy Contact Center oraz Telekomunikacją Polską a obecnie są one kontynuowane. Ocena Audytora Audytor pozytywnie ocenia realizację wymagań Aneksu, lecz dostrzega szereg zagrożeń w obszarze dostępu i obiegu informacji niedozwolonych, które powinny zostać wyeliminowane. Realizacja procesów obsługi usług regulowanych w CC jest prowadzona zgodnie z procesami zdefiniowanymi w TP. Audytor przedstawił uwagi do powyższych procesów w trakcie audytu TP. CC jest wykonawcą powyższych procesów i nie ma wpływu na ich kształt. Nie zidentyfikowano różnic w obsłudze pomiędzy poszczególnymi OA mających charakter dyskryminujący w ramach procesów obsługi OA realizowanych przez CC. Najistotniejsze, w opinii Audytora, zakończone działania i funkcjonujące rozwiązania w ocenianym obszarze to: wdrożenie podziału na domeny informacyjne, wprowadzenie obowiązku klauzulowania dokumentacji i korespondencji owej, zobowiązanie pracowników do przestrzegania KDP i ich przeszkolenie z zakresu zasad ChM. Audytor pozytywnie ocenia wysiłek szkoleniowy podjęty przez Contact Center w zakresie modułów podstawowego i pogłębionego szkoleń oraz narzędzi pomiaru efektywności przeprowadzonych szkoleń. Pozytywnie należy ocenić także podejmowane przez CC działania informacyjne w tym rozesłanie przewodnika, który zawiera niezbędne dla pracowników informacje w tym zakresie. Zagrożenia W badanym obszarze Audytor zidentyfikował następujące zagrożenia: Brak mechanizmu zapobiegającego jednoczesnej realizacji zleceń dla Detalu TP i PTK przez pracowników partnerów CC obsługujących zlecenia hurtowe dla usług regulowanych TP (DUR w CC) stanowi niebezpieczeństwo niedozwolonych przepływów informacji i ryzyko zachowań dyskryminacyjnych. W obecnej sytuacji pracownicy firm realizujących zlecenia dla Hurtu CC (pracownicy outsourcowani) mogą jednocześnie realizować zlecenia dla innych spółek GTP, w szczególności Detalu TP i PTK. Ze względu na znaczny udział pracowników outsourcowanych w CC stanowi to poważne zagrożenie. Brak mechanizmów kontroli stosowania i poprawności klauzulowania korespondencji może prowadzić do ograniczenia skuteczności zastosowanych mechanizmów. Ewidencja osób przetwarzających dane chronione jest ograniczona do osób pracujących w DUR. 4

5 Audytor dostrzega ryzyko związane z powstaniem w CC nowej domeny informacyjnej Korpo CC, dla której uprawnienia nie są znane w pozostałych spółkach Grupy TP, co powoduje ryzyko przepływu do tej domeny informacji, do których nie ma uprawnień. Ze względu na brak realizacji kompleksowego procesu identyfikacji miejsc przechowywania dokumentów, istnieje ryzyko występowania takich miejsc w organizacji. Audytor dostrzega ryzyko związane z utrudnionym dostępem do informacji na temat domeny informacyjnej pracowników posiadających konto pocztowe w domenie contactcenter.pl w procesie wymiany informacji drogą ową. W opinii Audytora istnieje również ryzyko działań niezgodnych z zasadą niedyskryminacji w tym przecieku niedozwolonych informacji wynikające zarówno z braku przeszkolenia partnerów CC, którzy realizują czynności na rzecz Części Hurtowej jak również z braku dostatecznej wiedzy pracowników oraz współpracowników w zakresie KDP, niedyskryminacji oraz zasad obiegu informacji niedozwolonych. Ponadto istnieje zagrożenie działań niezgodnych z zasadą niedyskryminacji wynikające z braku bieżącego przeprowadzania czynności monitorująco-sprawdzających przestrzeganie zasady niedyskryminacji oraz ryzyko wydłużenia czasu rozpatrywania spraw przez zespół skrzynki *Niedyskryminacja z powodu nie przekazania wszystkich wymaganych informacji w trakcie zgłaszania podejrzenia naruszenia zasady niedyskryminacji. Rekomendacje W związku ze stwierdzonymi zagrożeniami Audytor rekomenduje: Wdrożenie mechanizmów zapobiegających jednoczesnej realizacji zleceń obsługi usług regulowanych dla hurtu TP i zleceń dla Detalu TP lub PTK przez pracowników partnerów CC. Wprowadzenie procesu periodycznej weryfikacji skuteczności klauzulowania poczty elektronicznej i innej dokumentacji Rozszerzenie ewidencji osób przetwarzających dane chronione na całą organizację, przeprowadzenie aktualizacji ewidencji osób przetwarzających dane chronione (rozważenie dodania informacji o kategorii przetwarzanych danych chronionych do ewidencji) Usunięcie zagrożenia związanego z przepływem informacji niedozwolonych do domeny Korpo CC z innych spółek Grupy TP Przeprowadzenie kompleksowego identyfikacji miejsc przechowywania dokumentów zawierających dane chronione i ich dostosowanie do wymagań ChM Dodanie informacji na temat domeny informacyjnej przy adresach poczty pracowników posiadających konta w domenie contactcenter.pl Dodatkowo wskazane jest w opinii zespołu Audytora stworzenie Portalu Szkoleniowego dla partnerów CC realizujących czynności na rzecz Części Hurtowej a niemających aktualnie dostępu do systemów informatycznych, przeprowadzenie "szkoleń powtórkowych" celem przypomnienie wiedzy dotyczącej tematyki KDP, niedyskryminacji oraz obiegu informacji niedozwolonych. Ponadto niezbędne jest przeprowadzenie planowanych wewnętrznych działań monitorująco-sprawdzających w spółce CC oraz wprowadzenie zasad przekazywania zgłoszeń podejrzenia naruszenia zasady niedyskryminacji zespołowi skrzynki *Niedyskryminacja zgodnie z ustalonym formatem zawierającym wszystkie wymagane zapisami Aneksu informacje. 5

6 SYSTEM MOTYWACYJNY ( 3 ZAŁĄCZNIKA NR 4: ZAŁĄCZNIKA NR 25 WARUNKI REALIZACJI USŁUG ŚWIADCZONYCH NA PODSTAWIE UMOWY ZASADY NIEDYSKRYMINACJI ) Wprowadzenie W okresie objętym audytem Contact Center alternatywnie stosowała część zobowiązań wynikających z 3 a dotyczących systemu motywacyjnego dla pracowników Części hurtowej CC. Ocena Audytora Na dzień audytu CC spełniła w sposób alternatywny część wymagań Aneksu do Umowy pomiędzy Contact Center a Telekomunikacją Polską w obszarze Systemów Motywacyjnych. Przeprowadzone w toku audytu analizy wykazały, że stosowane rozwiązania w zakresie sposobów motywowania pracowników Części Hurtowej a w szczególności kadry kierowniczej są wdrożone w sposób alternatywny w stosunku do zapisów zawartych w Aneksie. Część pracowników wsparcia zatrudnionych w Domenie Hurt CC a nierealizujących bezpośrednio usług zleconych przez Część hurtową TP w zakresie usług hurtowych nie posiada w swoich celach motywacyjnych Złożonego Wskaźnika Satysfakcji (ZWS), na który składają się prawidłowa realizacja wskaźników KPI tożsamych z wskaźnikami wykorzystywanymi w części Hurtowej TP oraz osiągnięcie wyników sprzedaży usług hurtowych. Dodatkowo, premie kadry kierowniczej są w alternatywny sposób uzależnione od realizacji celów związanych z wprowadzeniem dodatkowych elementów motywacyjnych pracownikom Części Hurtowej CC. W audytowanym okresie dokonano weryfikacji merytorycznej celów i zadań premiowych pod kątem zgodności z zapisami Aneksu oraz potencjalnego naruszenia zasady niedyskryminacji. Weryfikacja wykazała nieprawidłowości, w szczególności brak Złożonego Wskaźnika Satysfakcji w treści zadań premiowych jednego etatowego pracownika Części Hurtowej CC (cele te ustalone zostały jednak przed podpisaniem Aneksu). Zagrożenia Zidentyfikowano ryzyko działań niezgodnych z zapisami Aneksu wynikające z braku formalizacji zasad dotyczących systemów motywacyjnych opisanych w Aneksie w wewnętrznych regulacjach (np.: regulaminie premiowania) spółki oraz braku ZWS w systemach motywacyjnych pracowników Części Hurtowej CC. Rekomendacje Audytor rekomenduje formalizację zasad dotyczących systemów motywacyjnych opisanych w Aneksie poprzez uwzględnienie zapisów dotyczących systemów motywacyjnych w wewnętrznych regulacjach (np.: regulaminie premiowania) spółki lub regulacjach wewnętrznych analogicznych do wprowadzonych w TP (Decyzji 264/10) oraz uwzględnienie ZWS w zadaniach premiowych wszystkich pracowników Części Hurtowej CC. 6

7 WDROŻENIE DOBRYCH PRAKTYK ORAZ WYKAZ NIEDOZWOLONYCH INFORMACJI ( 4 ZAŁĄCZNIKA NR 25 ORAZ ZAŁĄCZNIK NR 25A DO ANEKSU) ROZWIĄZANIA POZASYSTEMOWE Wprowadzenie 4 Załącznika nr 25 oraz Załącznik nr 25a do Aneksu określają wymagania, jakie powinno spełniać CC, by ograniczyć przepływ informacji mogący prowadzić do dyskryminacyjnych działań CC. CC realizuje je poprzez wdrożenie odpowiednich mechanizmów, które powinny zapewniać skuteczną realizację zobowiązań wynikających z Aneksu. Ocena Audytora CC zrealizowało większość wymagań Aneksu w obszarze chińskich murów pozasystemowych. Audytor pozytywnie odnosi się do zobowiązania pracowników CC do przestrzegania Kodeksu Dobrych Praktyk. Pozytywnie oceniane jest również wprowadzenie przez CC podziału jednostek organizacyjnych na domeny informacyjne i regulacji dostępu oraz przepływów informacji w ramach domen. Za zgodne z wymaganiami Aneksu Audytor uznał również procedury nadawania dostępu do systemów IT. Realizacji wymagań Aneksu w obszarze chińskich murów pozasystemowych sprzyja również wprowadzenie proceduralnego zakazu dostępu lub wykorzystania danych chronionych przez osoby nieuprawnione i wdrożone mechanizmy ochrony przesyłanych dokumentów papierowych i elektronicznych. Audytor ocenia pozytywnie również wdrożenie zmian w procedurach rekrutacyjnych zapobiegające podwójnemu zatrudnieniu oraz przeprowadzoną akcję informacyjną dot. zakazu podwójnego zatrudnienia. Również realizacja zleceń hurtowych TP w oddzielnych lokalizacjach sprzyja wykonaniu zapisów Aneksu. Ze względu na brak określenia w harmonogramie aneksu wymaganej daty realizacji oraz wątpliwości interpretacyjne Audytor nie był w stanie ocenić realizacji trzech punktów Aneksu związanych z Kodeksem Dobrych Praktyk. W odniesieniu do systemów IT, CC wdraża dobre praktyki poprzez stosowanie procedur przyznawania i odbierania dostępów oraz stosowanie wybranych mechanizmów pozaaplikacyjnej kontroli i zapobiegania wymianie niedozwolonych informacji (np. klauzulowanie wiadomości wysyłanych pocztą elektroniczną). Zagrożenia Audytor dostrzega zagrożenia w trzech głównych obszarach: w obszarze związanym z wdrożeniem wybranych elementów Kodeksu Dobrych Praktyk, w obszarze związanym z identyfikacją i dostosowaniem miejsc przechowywania dokumentów oraz w obszarze związanym z ewidencją osób przetwarzających dane chronione. W obszarze związanym z wdrożeniem wybranych elementów Kodeksu Dobrych Praktyk Audytor zidentyfikował następujące zagrożenia: W zakresie zobowiązywania partnerów do przestrzegania Kodeksu Dobrych Praktyk: 7

8 Na dzień Audytu CC nie podpisało żadnych aneksów zobowiązujących jego kontrahentów do przestrzegania zasad zawartych w KDP, co stwarza ryzyko nieprzestrzegania zasady niedyskryminacji Brak mechanizmów zobowiązujących do uwzględnienia zobowiązania do przestrzegania KDP w nowo zawieranych umowach z kontrahentami, którzy mogą mieć dostęp do danych chronionych stwarza ryzyko niewypełnienia wymagania dotyczącego zobowiązywania kontrahentów mogących mieć dostęp do danych chronionych w przyszłości Stworzenie na dzień Audytu jedynie wstępnej listy kontrahentów zawierającej 7 Agencji Pracy Tymczasowej jako kontrahentów, z którymi należy podpisać aneks zobowiązujące do przestrzegania KDP stwarza ryzyko pominięcia innych firm współpracujących z CC, w umowach z którymi powinny znaleźć się odpowiednie zapisy Brak mechanizmu zapobiegającego jednoczesnej realizacji zleceń dla Detalu TP i PTK przez pracowników partnerów CC obsługujących zlecenia hurtowe dla usług regulowanych TP (DUR w CC) stanowi niebezpieczeństwo niedozwolonych przepływów informacji i ryzyko zachowań dyskryminacyjnych. Brak mechanizmów kontroli stosowania i poprawności klauzulowania korespondencji może prowadzić do ograniczenia skuteczności zastosowanych mechanizmów W zakresie zapobiegania wymianie informacji niedozwolonych: Ryzyko związane z powstaniem w CC nowej domeny informacyjnej Korpo CC, dla której uprawnienia nie są znane w pozostałych spółkach Grupy TP, co powoduje ryzyko przepływu do tej domeny informacji, do których nie ma uprawnień Ryzyko związane z utrudnionym dostępem do informacji na temat domeny informacyjnej pracowników posiadających konto pocztowe w domenie contactcenter.pl w procesie wymiany informacji drogą ową Przypadki nadmiarowego dostępu do systemów IT zawierających dane chronione nieuzasadnione zakresem realizowanych przez pracownika obowiązków po stronie hurtu CC W obszarze związanym z identyfikacją i dostosowaniem miejsc przechowywania dokumentów Audytor zidentyfikował następujące zagrożenia: Brak akcji identyfikującej fizyczne miejsca przechowywania dokumentacji zawierającej dane chronione w CC stwarza zagrożenie dostępu do danych chronionych przez osoby nieupoważnione W obszarze związanym z ewidencją osób przetwarzających dane chronione Audytor zidentyfikował następujące zagrożenie: Ewidencja osób przetwarzających dane chronione jest ograniczona do osób pracujących w DUR, co ogranicza możliwości kontrolowania dostępu do danych chronionych Ponadto, zdaniem Audytora brak sformalizowanych mechanizmów zarządzania pomieszczeniami zapobiegających współdzieleniu pomieszczeń przez pracowników Hurtu i innych domen w przypadku nowych pracowników i migracji pracowników stwarza zagrożenie niedozwolonego współdzielenia pomieszczeń w przyszłości 8

9 Audytor uważa także, że wątpliwości interpretacyjne dotyczące punktów 4.3 i 4.4 odnoszących się do zobowiązania CC do przestrzegania KDP stwarzają zagrożenie niewłaściwej realizacji wymagań aneksu. Rekomendacje W związku ze stwierdzonymi zagrożeniami Audytor rekomenduje: W obszarze związanym z wdrożeniem wybranych elementów Kodeksu Dobrych Praktyk Wdrożenie mechanizmów zapobiegających jednoczesnej realizacji zleceń obsługi usług regulowanych dla hurtu TP i zleceń dla Detalu TP lub PTK przez pracowników partnerów CC. Dostosowanie zakresu systemów, do których pracownicy maja dostęp do wymagań stanowiska pracy, na którym pracują Eliminację zagrożenia przepływów informacji niedozwolonych do domeny Operacje CC i Korpo CC zarówno wewnątrz CC jak i w innych spółkach grupy TP Wprowadzenie mechanizmów zobowiązujących do uwzględnienia zobowiązania do przestrzegania KDP w nowo zawieranych umowach z kontrahentami, którzy mogą mieć dostęp do danych chronionych Określenie harmonogramu z UKE, zidentyfikowanie wszystkich kontrahentów, którzy w jakimkolwiek zakresie mogą mieć dostęp do informacji niedozwolonych i zawarcie w umowach bądź aneksach z nimi zapisów zobowiązujących ich do przestrzegania zasad zawartych w KDP Dodanie informacji na temat domeny informacyjnej przy adresach poczty pracowników posiadających konta w domenie contactcenter.pl W obszarze związanym z identyfikacją i dostosowaniem miejsc przechowywania dokumentów Przeprowadzenie kompleksowego projektu identyfikacji miejsc przechowywania dokumentów zawierających dane chronione i dostosowanie tych miejsc do wymogów ChM Wprowadzenie procesu periodycznej weryfikacji skuteczności klauzulowania poczty elektronicznej i innej dokumentacji W obszarze związanym z ewidencją osób przetwarzających dane chronione: Rozszerzenie ewidencji osób przetwarzających dane chronione na całą organizację, przeprowadzenie aktualizacji ewidencji osób przetwarzających dane chronione (rozważenie dodania informacji o kategorii przetwarzanych danych chronionych do ewidencji). Opracowania zasad regularnej aktualizacji ewidencji. Weryfikację ewidencji osób przetwarzających dane chronione pod kątem zasadności dostępu do danych chronionych dla osób w ewidencji. Ponadto, Audytor rekomenduje również sformalizowanie i zaimplementowanie mechanizmów zarządzania pomieszczeniami zapobiegających współdzieleniu pomieszczeń. Audytor rekomenduje również potwierdzenie z UKE interpretacji punktów 4.3 i 4.4 związanych ze zobowiązaniem PTK do przestrzegania KDP. 9

10 ROZDZIAŁ SYSTEMÓW IT ( 5 ZAŁĄCZNIKA NR 4: ZAŁĄCZNIKA NR 25 WARUNKI REALIZACJI USŁUG ŚWIADCZONYCH NA PODSTAWIE UMOWY ZASADY NIEDYSKRYMINACJI ) Wprowadzenie W Paragrafie 5 Załącznika Nr 4 do Aneksu do Umowy pomiędzy TP i CC sformułowano zasadę, zgodnie z którą w wyniku wdrożenia zmian, Systemy IT CC mają tak funkcjonować, aby uniemożliwić dyskryminujący przepływ niedozwolonych informacji w Grupie TP. Część systemów wykorzystywanych przez CC jest dostarczana przez TP lub PTK. Systemy te objęte są analogicznymi wymaganiami na mocy Porozumienia pomiędzy UKE i TP oraz aneksu do Umowy pomiędzy TP i PTK będącego odpowiednikiem Aneksu analizowanego w niniejszym Raporcie. Dlatego tez badając wypełnienie zapisów niniejszego Aneksu Audytor koncentrował uwagę na systemach własnych CC. Ocena Audytora W ocenie Audytora wdrażany przez CC program zmian w systemach w sposób adekwatny adresuje zasadę niedyskryminacji. Na obecnym etapie realizacji planowanych prac Audytor nie stwierdził zagrożeń mogących poddawać w wątpliwość wypełnienie przez CC postanowień Aneksu w wymaganym terminie tj. do dnia Zewidencjonowano systemy informatyczne wykorzystywane przez CC: o Lista zawiera 143 systemy, w tym 73 z nich zawiera dane chronione. o Zidentyfikowano 3 systemy własne CC, w których wymagane jest wprowadzenie zmian i przygotowano plan wdrożenia zakładający ukończenie prac przed datą o W pozostałych przypadkach zmiany wymagane są w systemach PTK i wdrożenie jest zarządzane w ramach projektu ChM w PTK. W zakresie przeprowadzonych testów Audytor nie stwierdził stosowania przez CC rozwiązań wykraczających poza standardy obowiązujące w Grupie TP. W zakresie analizowanych mailowych skrzynek funkcyjnych nie stwierdzono dostępu do danych chronionych przez nieupoważnionych użytkowników. W CC planowane są także działania weryfikujące i uszczelniające: Audyt wewnętrzny sprawdzający poprawność implementacji zmian w systemach w terminie TP planuje udostępnienie CC jednolitych dla całej Grupy TP narzędzi do automatycznej weryfikacji ruchów pracowników pomiędzy jednostkami organizacyjnymi oraz wspólne narzędzie do ewidencjonowanie dostępów do danych chronionych. Zagrożenia W trakcie audytu stwierdzono jednostkowe przypadki nieprawidłowego wypełnienia ankiet wykorzystywanych do planowania działań wdrożeniowych. Usterki nie miały wpływu na poprawność konkluzji wyprowadzonych na podstawie ankiet i zostały usunięte w trakcie trwania audytu. Rekomendacje Brak 10

11 ZAŁĄCZNIK NR 25A DO UMOWY WYKAZ NIEDOZWOLONYCH INFORMACJI - ROZWIĄZANIA SYSTEMOWE Wprowadzenie Załącznik Nr 25A oraz rozdział IV Załącznika Nr 25B przywołują zapisy Załącznika Nr 6 do Porozumienia TP UKE. Zapisy te definiują kierunki przepływu i zakresy informacji jakie objęte są zakazem przekazywania na mocy Porozumienia. Z punktu widzenia analizowanego Aneksu do umowy pomiędzy TP i CC zapisy Załączników doszczegóławiają zasadę niedyskryminacji sformułowana w Paragrafie 5 Załącznika Nr 4. Ocena Audytora Zdaniem Audytora realizowany przez CC program zmian w systemach IT uwzględnia szczegółowe wymagania odnośnie zabronionych kierunków przepływu i zakresu informacji chronionych. Program ten jest zdefiniowany w sposób spójny ze zrealizowanym w TP programem wdrożenia ChM i wdrażanym obecnie w PTK programem implementacji ChM. W trakcie przeprowadzonych testów systemów nie stwierdzono przypadków niedozwolonego przepływu danych. Zagrożenia Niektóre z działań dodatkowych o charakterze uszczelniającym wynikające z metodyki ChM zostały zaplanowane do implementacji w terminie wykraczającym poza datę (np. implementacja ostrzeżeń w Systemie 4). Rekomendacje Zaleca się przeprowadzenie akcji informacyjnej w terminie mającej na celu przypomnienie użytkownikom o zasadach pracy z danymi chronionymi w systemach, w których wdrożenie dodatkowych (niekrytycznych) mechanizmów wykracza poza termin przyjęty w Aneksie. 11