KOMPENDIUM Administratorów Bezpieczeństwa Informacji

Transkrypt

1 KOMPENDIUM Administratorów Bezpieczeństwa Informacji 4-dniowe szkolenie UWZGLĘDNIA NOWELIZACJĘ USTAWY KATOWICE - 27 II III 2017, ŁÓDŹ III 2017, KRAKÓW III 2017, WROCŁAW IV 2017, WARSZAWA IV 2017, KATOWICE V 2017, KRAKÓW V 2017, ŁÓDŹ V 2017, POZNAŃ - 30 V VI 2017

2 TEMAT SZKOLENIA: KOMPENDIUM ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI CEL SZKOLENIA: Celem szkolenia jest zdobycie lub podniesienie kwalifikacji niezbędnych do pełnienia funkcji Administratora Bezpieczeństwa Informacji, a docelowo do roli Inspektora Ochrony Danych. ADRESACI: Warsztaty skierowane są do obecnych lub przyszłych Administratorów Bezpieczeństwa Informacji lub ich zastępców, kadry kierowniczej oraz osób odpowiedzialnych za bezpieczeństwo informacji. WYMAGANIA: Brak. METODYKA: Wykład, prezentacja multimedialna, indywidualne i grupowe zajęcia warsztatowe, case study (studium przypadku) - na podstawie obszernego opisu sytuacji danego przedsiębiorstwa, zawierającego dane o przedsiębiorstwie i jego działach, uczestnicy warsztatów identyfikują kluczowe problemy oraz analizą możliwe rozwiązania. Zajęcia prowadzone są z wykorzystaniem workbook-a (zeszytu ćwiczeń), który zawiera m.in. formularze, ćwiczenia, instrukcje rozwiązania problemów. TERMINY SZKOLEŃ: Katowice - 27 II III 2017, Łódź III 2017, Kraków III 2017, Wrocław IV 2017, Warszawa IV 2017, Katowice V 2017, Kraków V 2017, Łódź III 2017, Poznań - 30 V VI 2017 KOSZT: 1999 zł netto (2458,77 zł brutto) 1999 zł zw. z VAT dla opłacających szkolenie w 70% lub całości ze środków publicznych ZAKŁADANE EFEKTY KURSU: Uzyskanie wiedzy dotyczącej krajowych przepisów z zakresu ochrony danych osobowych. Poznanie zasad przetwarzania danych osobowych zgodnie z ustawą o ODO. Umiejętność identyfikowania zbiorów danych osobowych w organizacji oraz ich zarządzania Uzyskanie wiedzy, jak przygotować się na kontrolę GIODO. Poznanie rozwiązań, które pozwolą przygotować organizację do wymogów prawa. Uzyskanie wiedzy, jak opracować i wdrożyć dokumentację zgodnie z przepisami i standardami. Umiejętność przeprowadzania analizy ryzyka. Umiejętność dobrania odpowiednich zabezpieczeń technicznych i organizacyjnych. Umiejętność przeprowadzania sprawdzeń zgodności przetwarzania z przepisami oraz przygotowania sprawozdań. Uzyskanie wiedzy, jak efektywnie rozwiązywać problemy związane z przetwarzaniem danych osobowych. ZAMÓWIENIE SZKOLENIA: Podstawą uczestnictwa w warsztatach jest zapoznanie się z Regulaminem Szkoleń oraz przesłanie zgłoszenia na wybrane szkolenie poprzez formularz rejestracyjny on-line dostępny na stronie internetowej. Formularz rejestracji na szkolenie można także pobrać w formacie PDF, wypełnić i wysłać na adres REZYGNACJA ZE SZKOLENIA: Rezygnację z uczestnictwa w warsztacie należy zgłosić Organizatorowi drogą mailową na adres: szkolenia@proxymo.pl. W przypadku rezygnacji z uczestnictwa w terminie do 5 dni roboczych przed datą rozpoczęcia szkolenia, a szkolenie zostało już opłacone, wpłacona kwota zostanie zwrócona w całości. Rezygnacja z uczestnictwa niezgłoszona na 5 dni roboczych przed rozpoczęciem szkolenia nie zwalnia od zapłaty. W takim wypadku Zamawiający zobowiązuje się do poniesienia opłaty w wysokości 100% ceny szkolenia. POZOSTAŁE INFORMACJE: Szkolenie zakończone jest egzaminem kompetencji zawodowych. Każdy z uczestników (po zaliczonym egzaminie) otrzymuje imienny certyfikat potwierdzający zdobycie kwalifikacji w zakresie pełnienia funkcji Administratora Bezpieczeństwa Informacji. Każdy z uczestników otrzymuje dodatkowo imienny certyfikat potwierdzający udział w szkoleniu. Uczestnicy otrzymują dostęp do materiałów szkoleniowych oraz szablonów dokumentacji w wersji elektronicznej Uczestnicy szkolenia posiadają bezpłatny dostęp do eksperckiego bloga. Po szkoleniu zapewniamy bezpłatne, 30 dniowe konsultacje poszkoleniowe. Każdy kolejny uczestnik zgłoszony na szkolenie z tego samego podmiotu otrzyma 5% rabat. Zgłaszając się na szkolenie min. 15 dni przed terminem szkolenia oferujemy 15% rabatu. Rabaty nie podlegają sumowaniu.

3 PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników szkolenia. 9:15-10:30 BLOK I PRZEPISY PRAWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH 1. Ustawa z dn r. o ochronie danych osobowych 2. Rozporządzenia wykonawcze do ustawy 3. Ochrona dóbr osobistych w przepisach konstytucyjnych 4. Inne przepisy regulujące ochronę danych osobowych BLOK II ZAKRES STOSOWANIA USTAWY O OCHRONIE DANYCH OSOBOWYCH 1. Zakres podmiotowy a. Podmioty publiczne b. Podmioty prywatne c. Wyłączenia stosowania ustawy 2. Zakres przedmiotowy a. Forma tradycyjna przetwarzania danych b. Forma elektroniczna przetwarzania danych c. Wyłączenia stosowania ustawy BLOK III PODSTAWOWE POJĘCIA 1. Dane osobowe a. Dane osobowe zwykłe i wrażliwe b. Co jest, a co nie daną osobową? 2. Zbiór danych osobowych a. Jak wyodrębnić zbiór danych osobowych? b. Co to jest zbiór doraźny? 3. Przetwarzanie danych osobowych 4. Usuwanie danych osobowych a. Czym różni się usunięcie danych od anonimizacji danych? 5. Administrator danych osobowych (ADO) a. Kim jest administrator danych osobowych? b. ADO w podmiotach prywatnych i publicznych c. Obowiązki administratora danych osobowych 6. Administrator bezpieczeństwa informacji (ABI) 7. Administrator systemów informatycznych (ASI) 8. Osoba upoważniona do przetwarzania danych osobowych 9. Odbiorca danych osobowych 10. Procesor danych osobowych 11. Generalny Inspektor Ochrony Danych Osobowych (GIODO) 10:30-10:45 PRZERWA KAWOWA

4 10:45 12:45 BLOK IV ZASADY PRZETWARZANIA DANYCH OSOBOWYCH 1. Zasada legalności a. Podstawy prawne przetwarzania danych osobowych zwykłych i wrażliwych b. Prawnie usprawiedliwiony cel administratora danych osobowych c. Zgoda jako szczególna podstawa prawna przetwarzania danych osobowych Warunki skutecznego pozyskania zgody Formy wyrażania zgody Przykłady prawidłowo wyrażonej zgody d. Skutki bezprawnego przetwarzanie danych osobowych 2. Zasada celowości 3. Zasada merytorycznej poprawności 4. Zasada adekwatności a. Czy zgoda zwalnia z obowiązku przestrzegania zasady adekwatności? b. Inne przepisy określające adekwatność danych c. Czy można skanować lub kserować dokumenty tożsamości? 5. Zasada ograniczenia czasowego a. Jak długo można przechowywać dane osobowe? BLOK V OBOWIĄZEK INFORMACYJNY 1. Cel obowiązku informacyjnego. 2. Obowiązki informacyjne na etapie zbierania danych osobowych a. Jak prawidłowo realizować obowiązek informacyjny? b. Formy realizacji obowiązku c. Jakie informacje należy przekazać? d. Bezpośrednie źródło pochodzenia danych e. Pośrednie źródło pochodzenia danych f. Wyłączenia obowiązku informacyjnego g. Przykłady klauzul informacyjnych 3. Obowiązek informacyjny na żądanie osoby a. Uzyskiwanie informacji b. Poprawianie danych c. Wniesienie sprzeciwu 4. Obowiązek informacyjny względem innym administratorów 5. Aktualizacja informacji 6. Skutki braku realizacji obowiązku informacyjnego BLOK VI PRZEKAZYWANIE DANYCH OSOBOWYCH INNYM PODMIOTOM 1. Warunki udostępnienia danych osobowych 2. Warunki powierzenia danych osobowych a. Cel i zakres powierzenia b. Umowa powierzenia Zapisy obligatoryjne Zapisy fakultatywne c. Jakie dane osobowe można powierzyć? d. Obowiązki procesora (zleceniobiorcy) oraz ADO 3. Transfer danych do państw trzecich a. Warunki umożliwiające transfer danych b. Umowne klauzule c. Wiążące reguły korporacyjne 4. Skutki bezprawnego udostępnienia danych osobowych

5 12:45-13:30 PRZERWA OBIADOWA 13:30 15:45 BLOK VII ZABEZPIECZENIE DANYCH OSOBOWYCH 1. Wymogi ustawy a. Upoważnienia do przetwarzania danych osobowych b. Ewidencja osób upoważnionych c. Zachowanie w tajemnicy danych osobowych d. Prowadzenie dokumentacji e. Zabezpieczenie danych przed zabraniem, uszkodzeniem lub zniszczeniem 2. Wymogi rozporządzenia a. Podstawowe wymogi dot. systemów informatycznych b. Poziomy bezpieczeństwa systemów informatycznych Poziom podstawowy Poziom podwyższony Poziom wysoki 3. Przykłady zabezpieczeń danych osobowych a. Zabezpieczenia techniczne b. Zabezpieczenia organizacyjne 4. Skutki naruszenia obowiązku zabezpieczenia danych osobowych BLOK VIII REJESTRACJA ZBIORÓW DANYCH OSOBOWYCH 1. Zgłoszenie a rejestracja zbiorów danych osobowych 2. Kiedy nie rejestrować zbiorów? 3. Jakie informacje powinno zawierać zgłoszenie? 4. Formy zgłoszenia zbiorów a. Forma tradycyjna b. Forma elektroniczna (platforma e-giodo) 5. Weryfikacja zgłoszenia i usunięcie braków formalnych 6. Rejestracja zbioru lub odmowa rejestracji 7. Aktualizacja zgłoszenia 8. Wykreślenie zbioru z rejestru GIODO 9. Skutki braku zgłoszenia zbiorów danych osobowych BLOK IX KONTROLE GIODO 1. Uprawnienia kontrolne GIODO 2. Kompetencje egzekucyjne GIODO 3. Procedura kontrolna GIODO 4. Jak przygotować się do kontroli? 5. Skutki utrudniania wykonywania czynności kontrolnych BLOK X UNIJNA REFORMA PRZEPISÓW 1. Ochrona danych osobowych w grupie kapitałowej 2. Prawo do bycia zapomnianym 3. Prawo przenoszenia danych do innych podmiotów 4. Powszechny obowiązek zgłaszania naruszeń 5. Szerszy obowiązek informacyjny 6. Warunki wyrażania zgody 7. Nowy system kar 15:45 16:00 ZAKOŃCZENIE PIERWSZEGO DNIA SZKOLENIA.

6 II DZIEŃ 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I POWOŁANIE I ZGŁOSZENIE ABI DO GIODO 1. Czy powołanie Administratora Bezpieczeństwa Informacji jest obowiązkowe? 2. Jakie są korzyści wynikające z powołania i zgłoszenia ABI? 3. ABI wewnętrzny czy zewnętrzny zalety i wady. 4. Wymagania wobec Administratora Bezpieczeństwa Informacji. 5. Odrębność organizacyjna Administratora Bezpieczeństwa Informacji. 6. Zgłoszenie powołania ABI do rejestracji GIODO. a. Kiedy należy zgłosić powołanie ABI-ego? b. Jakie informacje powinno zawierać zgłoszenie? c. Jak zgłosić ABI-ego? forma papierowa; forma elektroniczna (epuap oraz epk). d. Weryfikacja zgłoszenia oraz usunięcie ew. braków formalnych. e. Zaświadczenie o zarejestrowaniu ABI-ego. f. Błędy w zgłoszeniach 7. Jawny rejestr Administratorów Bezpieczeństwa Informacji. 8. Zgłoszenie zmian do rejestru GIODO 9. Odwołanie ABI i wykreślenie z rejestru GIODO. 10. Ponowne zgłoszenie ABI-ego do rejestracji. 11. Warunki powołania zastępców Administratora Bezpieczeństwa Informacji. 12. Obowiązki Administratora Bezpieczeństwa Informacji. BLOK II SPRAWDZENIA ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI 1. Rodzaje sprawdzeń. a. Sprawdzenie planowe. b. Sprawdzenie doraźne. c. Sprawdzenie na wniosek GIODO. 2. Plan sprawdzeń. a. Co powinien zawierać plan sprawdzeń? b. Jak przygotować plan sprawdzeń? 3. Jak przeprowadzić sprawdzenie? a. Przygotowania przed sprawdzeniem. b. Dokumentowanie dowodów w trakcie sprawdzenia. c. Czego nie wolno robić? 4. Sprawozdania ze sprawdzeń. a. Elementy sprawozdania. b. Jak przygotować sprawozdanie ze sprawdzeń. 5. Terminy przekazania sprawozdań. 10:30-10:45 PRZERWA KAWOWA

7 10:45-12:45 BLOK III NADZOROWANIE OPRACOWANIA I AKTUALIZACJI DOKUMENTACJI 1. Kto może przygotować dokumentację? 2. Jak opracować Politykę Bezpieczeństwa Danych Osobowych? a. Ewidencja obszarów przetwarzania. b. Ewidencja zbiorów danych osobowych. c. Opis struktury zbiorów danych osobowych. d. Opis sposobów przepływu danych między systemami informatycznymi. e. Opis środków technicznych i organizacyjnych. 3. Jak opracować Instrukcję Zarządzania Systemem Informatycznym? a. Procedury nadawania uprawnień w systemach IT. b. Stosowane metody i środki uwierzytelniania. c. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie IT. d. Procedury tworzenia kopii zapasowych. e. Sposób, miejsce i czas przechowywania elektronicznych nośników i kopii zapasowych. f. Sposób zabezpieczenia systemu IT przed działalnością oprogramowania "złośliwego". g. Sposób odnotowywania informacji o odbiorcach danych. h. Procedury wykonywania przeglądów i konserwacji systemów IT. 4. Pozostała dokumentacja. a. Upoważnienia do przetwarzania danych osobowych. b. Ewidencja osób upoważnionych do przetwarzania danych osobowych. c. Oświadczenie dot. zapewnienia przestrzegania przepisów. 12:45-13:30 PRZERWA OBIADOWA 13:30-15:45 BLOK IV SZKOLENIA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH 1. Jak często szkolić? 2. Kto powinien szkolić? 3. Formy szkoleń. 4. Zakres tematyczny szkoleń. BLOK V PROWADZENIE REJESTRU ZBIORÓW DANYCH OSOBOWYCH PRZEZ ABI 1. Kiedy należy prowadzić rejestr zbiorów? 2. Formy prowadzenia rejestru. a. Papierowa. b. Elektroniczna. 3. Struktura rejestru zbiorów. BLOK VI ODPOWIEDZIALNOŚĆ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI 1. Odpowiedzialność karna. 2. Odpowiedzialność cywilna. 3. Odpowiedzialność pracownicza. BLOK VII ABI W NOWYM ROZPORZĄDZENIU UE 1. Administrator Bezpieczeństwa Informacji czy Inspektor Ochrony Danych? 2. Status Inspektora Ochrony Danych. 3. Kiedy należy powołać Inspektora Ochrony Danych? 4. Zadania Inspektora Ochrony Danych. 15:45 16:00 ZAKOŃCZENIE DRUGIEGO DNIA SZKOLENIA.

8 III DZIEŃ 8:00-8:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie metodyki przeprowadzenia zajęć oraz pracy podczas ćwiczeń. 8:15-10:45 BLOK I WPROWADZENIE 1. Podstawy prawne a. Ustawa o ochronie danych osobowych oraz akty wykonawcze b. Ustawa o świadczeniu usług drogą elektroniczną 2. Normy, standardy i dobre praktyki a. Certyfikacja w informatyce b. ISO 27001: szeroki model SBI c. Publikacje GIODO i PKN 3. Administrator Bezpieczeństwa Informacji a. Rola, zakres obowiązków i usytuowanie w strukturze organizacji b. Powołanie ABI i prawidłowe zgłoszenie do rejestru GIODO 4. Przypomnienie podstawowych definicji i pojęcia z zakresu ochrony danych osobowych a. Dane osobowe b. Przetwarzanie danych osobowych c. Zbiór danych osobowych d. Dane osobowe wrażliwe i zwykłe 5. System Zarządzania Bezpieczeństwem Informacji w Praktyce a. Ustanawianie i wdrażanie SZBI wskazówki praktyczne Przykładowe ćwiczenia: 1. Budowanie słownika pojęć i definicji na potrzeby dokumentacji PBI i IZSI 2. Identyfikacja ADO 3. Precyzyjne określenie zakresu obowiązków ADO, ABI, ASI oraz osób Upoważnionych 4. Powołanie ABI, powołanie zastępcy/ów ABI, powołanie ASI i LASI 5. Wypełnienie zgłoszenia ABI do rejestru GIODO 6. Przyporządkowanie poszczególnych działań, takich jak np. zarządzanie ryzykiem i wykrywanie incydentów do właściwych etapów modelu PDCA 1. Słownik pojęć Polityki Bezpieczeństwa 2. Zakres obowiązków ADO, ABI, ASI (opcjonalnie LASI) oraz Osób Upoważnionych 3. Powołanie ABI 4. Zgłoszenie powołania ABI do rejestracji GIODO 5. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w który przetwarzane są dane osobowe 10:30-10:45 PRZERWA KAWOWA

9 10:45 12:45 BLOK II DOKUMENTACJA PRZETWARZANIA 1. Zasady wytwarzania i dystrybucji dokumentacji ODO w organizacji a. Zatwierdzenie dokumentacji b. Osoby odpowiedzialne c. Zakres obowiązywania d. Struktura i forma dokumentacji e. Dystrybucja procedur 2. Polityka bezpieczeństwa przetwarzania danych osobowych a. Cel i wymagana przepisami prawa zawartość dokumentu 3. Instrukcja zarządzania systemem informatycznym a. Zakres opracowania b. Wymagane procedury 4. Bezpieczeństwo danych osobowych w Systemie Informatycznym a. Definicja Systemu Informatycznego b. Podział wymaganych zabezpieczeń na poziomy Podstawowy Podwyższony Wysoki c. Podstawowe wymagania dot. funkcjonalności SI Zapewnienie bezpieczeństwa Kontrola dostępu do danych System uwierzytelniania Obowiązek informacyjny ( 7 ust. 1 pkt 4 rozporządzenia). Przykładowe ćwiczenia: 1. Dyskusja otwarta na bazie doświadczeń uczestników warsztatów, określenie metod dystrybucji najlepszych dla organizacji, które reprezentują 1. Lista kontrolna dokumentacji wymaganej przepisami prawa 2. Dokument bazowy (szkieletowy) Polityka Bezpieczeństwa Danych Osobowych 3. Dokument bazowy (szkieletowy) Instrukcja Zarządzania Systemem Informatycznym BLOK III IDENTYFIKOWANIE ZBIORÓW DANYCH OSOBOWYCH ORAZ SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO ICH PRZETWARZANIA 1. Inwentaryzacja zbiorów danych osobowych a. Identyfikacja zbiorów danych osobowych w organizacji b. Weryfikacja zgodności przetwarzania danych osobowych: z zasadami o których mowa w art i art ustawy; z zasadami zabezpieczenia danych osobowych; z zasadami przekazywania danych osobowych; z obowiązkiem zgłoszenia zbioru danych osobowych do rejestracji i jego aktualizacji 2. Inwentaryzacja systemów informatycznych a. Modele współpracy systemów informatycznych ze zbiorami danych b. Struktury zbiorów danych osobowych c. Przepływ danych pomiędzy poszczególnymi systemami Przykładowe ćwiczenia: 1. Identyfikacja zbiorów danych osobowych w oparciu o studium przypadku 2. Omówienie podstaw prawnych do przetwarzania danych osobowych w rozpoznanych zbiorach 3. Zapoznanie się z katalogami potencjalnych zagrożeń uzupełnienie przykładów w oparciu o dyskusję 4. Zapoznanie się z katalogiem przykładowych podatność 1. Wykaz zbiorów danych osobowych 2. Opis struktury zbiorów danych 3. Opis sposobu przepływu danych pomiędzy poszczególnymi systemami

10 12:45-13:30 PRZERWA OBIADOWA 13:30 15:00 BLOK IV ANALIZA RYZYKA 1. Przegląd procesu zarządzania ryzykiem w bezpieczeństwie informacji 2. Szacowanie ryzyka a. Identyfikowanie Aktywów (wprowadzenie zidentyfikowanych aktywów z BLOKU III) Zagrożeń Podatności Zabezpieczeń a. Analiza i ocena 3. Postępowanie z ryzykiem 4. Analiza ryzyka w praktyce a. Metoda jakościowa Przykładowe ćwiczenia: 1. Przykłady zidentyfikowanych aktywów sesja burzy mózgów 2. Przykłady podatności 3. Przykłady typowych zagrożeń 4. Analiza przypadku oszacowania ryzyka jakościowego dla potrzeb bezpieczeństwa systemu 5. teleinformatycznego w którym przetwarzane są dane osobowe wrażliwe 1. Macierz ryzyka 2. Szablon zapisu wyników sesji burzy mózgów w celu identyfikacji ryzyka 3. Kwestionariusz identyfikacji ryzyka 4. Szablon punktowej oceny ryzyka 5. Szablon rejestru ryzyka 6. Lista mechanizmów kontrolnych ryzyka 15:00-15:15 PRZERWA KAWOWA 15:15-16:45 BLOK V MONITOROWANIE, UTRZYMANIE I DOSKONALENIE SYSTEMU BEZPIECZEŃSTWA 1. Przeglądy okresowe a. Zakres i odpowiedzialność 2. Incydenty bezpieczeństwa a. Zgłaszanie incydentów 3. Kontrole zewnętrzne a. Kontrole inspektorów GIODO 4. Zarządzanie wiedzą a. Szkolenia wewnętrzne b. Dystrybucja wiedzy w organizacji c. Zgodność z przepisami prawa Przykładowe ćwiczenia: 1. Praca w grupie, opracowanie i omówienie przykładowych zdarzeń stanowiących incydenty bezpieczeństwa 1. Procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji 2. służących do przetwarzania danych 3. Protokół zniszczenia nośników komputerowych 4. Dziennik Administratora Systemu Informatycznego 5. Instrukcja Alarmowa 6. Raport z incydentu 16:45-17:00 ZAKOŃCZENIE TRZECIEGO DNIA SZKOLENIA

11 IV DZIEŃ 8:00-8:15 8:15-10:30 POWITANIE UCZESTNIKÓW. KRÓTKIE PODSUMOWANIE POPRZEDNIEGO DNIA SZKOLENIA. BLOK VI WDROŻENIE I EKSPLOATACJA POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH 1. Bezpieczeństwo osobowe a. W trakcie rekrutacji, podczas i po ustaniu zatrudnienia b. Szkolenia osób upoważnionych c. Upoważnienie do przetwarzania danych osobowych d. Oświadczenie o zachowaniu tajemnicy i właściwej realizacji przepisów e. Umowy z podmiotami zewnętrznymi f. Udostępnianie danych 2. Bezpieczeństwo fizyczne i środowiskowe a. Środki ochrony budowlane i mechaniczne 3. Codzienne zadania a. Wewnętrzny rejestr ADO b. Zgłoszenie zbiorów Przykładowe ćwiczenia: 1. Analiza treści upoważnienia oraz oświadczenia osób upoważnionych 2. Przygotowanie upoważnień adekwatnych do zakresu obowiązków pracownika analiza 3. przypadku 4. Przygotowanie ewidencji osób upoważnionych do przetwarzania danych osobowych 5. Ewidencja a rejestr zbiorów - różnice 6. Analiza przypadku udostępnienia danych osobowych na wniosek 7. Analiza przypadku powierzenia danych osobowych 8. Analiza przypadku zgłoszenia zbioru danych osobowych 1. Upoważnienia i oświadczenia osób upoważnionych 2. Ewidencja osób upoważnionych do przetwarzania danych osobowych 3. Ewidencja udostępniania danych osobowych 4. Wewnętrzny rejestr zbiorów danych osobowych 5. Wzory umowy powierzenia oraz klauz zawartych w umowach o zachowaniu poufności 6. Ewidencja podmiotów którym powierzono dane osobowe 7. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 10:30-10:45 PRZERWA KAWOWA 10:45-12:45 BLOK VII WDROŻENIE I EKSPLOATACJA INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM 1. Wstęp przypomnienie definicji i podstawowych pojęć 2. Tworzenie procedur a. Czym są procedury i jaki jest cel ich tworzenia. b. Praca z procedurami czyli co, kto i kiedy. c. Uproszczony proces pisania procedury 3. Bezpieczeństwo eksploatacji systemów informatycznych a. Bezpieczeństwo użytkowników i stacji roboczych b. Profilaktyka antywirusowa c. Kopie zapasowe d. Kryptografia 4. Zarządzanie bezpieczeństwem sieci a. Usługi sieciowe zabezpieczenie i dostęp b. Szyfrowanie ruchu sieciowego c. Poczta elektroniczna 5. Współpraca z firmami zewnętrznymi a. Udostępnianie danych osobowych b. Nadzorowanie prac

12 10:45-12:45 Przykładowe ćwiczenia: 1. Prawidłowe i nieprawidłowe procedury wykonywania kopii zapasowych analiza przypadków 2. Przygotowanie procedury rozpoczynania, zawieszenia i zakończenia pracy w systemie informatycznym praca w zespołach 1. Procedura nadawania uprawnień do przetwarzania danych i rejestrowanie tych uprawnień w systemie informatycznym 2. Imienna ewidencja uprawnień 3. Procedura wykonywania kopii zapasowych zbiorów danych osobowych 4. Rejestr nośników zawierających dane osobowe 5. Stosowane metody i środki uwierzytelniania 6. Metryka haseł administratora 12:45-13:30 PRZERWA OBIADOWA 13:30 15:30 BLOK VIII WEWNĘTRZNY AUDYT ZGODNOŚCI 1. Obowiązek zapewnienia okresowego audytu a. Podstawy prawna b. Wybór osób lub podmiotów prowadzących audyt 2. Metody audytowania 3. Cel, zakres i kryteria audytu 4. Proces audytu a. Przygotowanie działań b. Przeprowadzenia działań c. Przygotowania raportu d. Zakończenie e. Działania po audytowe 5. Sprawozdania i raporty a. Plan i zakres sprawdzenia b. Sprawozdanie ze sprawdzenia (dla GIODO, dla ADO) Przykładowe ćwiczenia: 1. Przygotowanie planu audytu 2. Przygotowania planu, programu i sprawozdania ze sprawdzenia 3. Przygotowanie dokumentów roboczych 4. Pobieranie dowodów z audytu - w oparciu o dostarczone scenariusze audytowe oraz wywiad z prowadzącym szkolenie 1. Plan audytu 2. Dowody z obserwacji 3. Raport z audytu 4. Sprawozdanie ze sprawdzenia 5. Plan sprawdzenia 6. Listy kontrolne 7. Listy przykładowych pytań 15:00-15:15 ZAKOŃCZENIE SZKOLENIA. 15:30-17:00 EGZAMIN KOMPETENCYJNY

13 FORMULARZ ZGŁOSZENIA na SZKOLENIE Wybierz miejsce i datę szkolenia: KATOWICE - 27 II -2 III 2017 r. ŁÓDŹ III 2017 r. KRAKÓW III 2017 r. WROCŁAW IV 2017 r. WARSZAWA IV 2017 r. KATOWICE 9-12 V 2017 r. KRAKÓW V 2017 r. ŁÓDŹ V 2017 r. POZNAŃ 30 V - 2 VI 2017 r. DANE ZGŁASZAJĄCEGO: LP. Imię i nazwisko Telefon 1. Uczestnicy szkolenia: LP. Imię i nazwisko Telefon DANE PODMIOTU ( DO FAKTURY ): PEŁNA NAZWA PODMIOTU: ADRES: KOD POCZTOWY: MIEJSCOWOŚĆ: NUMER NIP: WARUNKI ZGŁOSZENIA: 1. Formularz należy wypełnić, podpisać i wysłać na adres. 2. Odbiór zgłoszenia na szkolenie zostanie potwierdzony drogą mailową, na adres wskazany w zgłoszeniu. 3. Zgłoszenie uczestnictwa w szkoleniu należy przesłać najpóźniej na 5 dni roboczych przed rozpoczęciem wybranych zajęć. Ilość miejsc jest ograniczona, decyduje data wpłynięcia zgłoszenia. 4. Rezygnacja z uczestnictwa niezgłoszona na 5 dni roboczych przed rozpoczęciem szkolenia nie zwalnia od zapłaty. W takim wypadku Zamawiający zobowiązuje się do poniesienia opłaty w wysokości 100% ceny szkolenia. 5. Zamawiający przesyłając zgłoszenie udziału w szkoleniu, akceptuje warunki określone w Regulaminie Szkoleń zamieszczonym na stronie. DATA I CZYTELNY PODPIS ZGŁASZAJĄCEGO: PIECZĄTKA FIRMY: Wyrażam zgodę na otrzymywanie informacji handlowych drogą elektroniczną. TAK Uprzejmie informujemy, iż podane w formularzu dane osobowe będą przetwarzane przez firmę z siedzibą w Krakowie,, zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 roku, poz. 922) w celach związanych z organizacją szkoleń oraz w celu informowania o innych szkoleniach organizowanych przez w przyszłości. Informujemy także o prawie dostępu do treści swoich danych oraz ich poprawiania. Podanie danych jest dobrowolne, ale niezbędne do realizacji szkolenia. NIE

14 KIM JESTEŚMY? Jesteśmy firmą doradczo - szkoleniową, której nadrzędnym celem jest zapewnienie bezpieczeństwa danych osobowych w organizacjach. W tym zakresie oferujemy kompleksową obsługę firm i instytucji w oparciu o najwyższe standardy, aktualnie obowiązujące normy i przepisy prawa. Realizujemy projekty audytorsko - wdrożeniowe dla podmiotów prywatnych i publicznych oraz autorskie programy szkoleniowe w zakresie ochrony danych osobowych. Wyróżnia nas dbałość o szczegóły, indywidualne podejście do Klienta oraz doświadczony zespół Specjalistów, łączących wiedzę z zakresu ochrony danych osobowych, prawa oraz informatyki. Współpraca z nami gwarantuje bezpieczeństwo, stabilność i ciągłość funkcjonowania systemu ochrony danych osobowych. Dotychczas mogli przekonać się o tym nasi Klienci - małe i średnie przedsiębiorstwa oraz instytucje administracji samorządowej, a wśród nich najbardziej rozpoznawalne: Międzynarodowy Port Lotniczy im. Jana Pawła II Kraków-Balice Sp. z o.o., Fundacja Anny Dymnej "Mimo Wszystko", Białostocki Ośrodek Sportu i Rekreacji, Luxottica Poland Sp. z o.o., Urząd Miejski w Kościanie, Bieszczadzki Park Narodowy, Narodowe Centrum Nauki, Oddział Zabezpieczenia Żandarmerii Wojskowej, Stowarzyszenie Rodzin Adopcyjnych i Zastępczych "PRO FAMILIA", Zakłady Przemysłu Cukierniczego "SKAWA" S.A., Górnośląskie Przedsiębiorstwo Wodociągów S.A., Związek Komunalny "Komunikacja Międzygminna" w Chrzanowie, Neptis S.A., Kompania Węglowa S.A. Oddział KWK Pokój, Zespół Opieki Zdrowotnej w Świętochłowicach Sp. z o.o., Getin Holding S.A., Koleje Śląskie Sp. z o.o., Hispano-Suiza Polska Sp. z o.o., Centrozłom Wrocław S.A. Polski Związek Motorowy, Sanatorium Uzdrowiskowe "Przy Tężni w Inowrocławiu.