Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych



Podobne dokumenty
Informatyka w kontroli i audycie

Szkolenie otwarte 2016 r.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Rodzaje audytu. Artur Sierszeń

Opis przedmiotu zamówienia

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

PROJEKT ZAŁOŻEŃ PROJEKTU USTAWY O ZMIANIE USTAWY O WYROBACH BUDOWLANYCH ORAZ NIEKTÓRYCH INNYCH USTAW

Warszawa, 2 września 2013 r.

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Szczegółowe informacje o kursach

Rozdział 1 Przepisy ogólne

Wymagania prawne dla oprogramowania w świetle przepisów prawa. Marzena Kwaczyńska Dorota Szczęsnowicz-Kocięcka

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Warszawa, dnia 9 lutego 2012 r. Poz. 8

WYMAGANIA DLA JEDNOSTEK OCENIAJĄCYCH W ŚWIETLE ROZPORZĄDZENIA NR 402/2013. dr Magdalena Garlikowska

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

REGULAMIN KOMITETU AUDYTU

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Komunikat nr 115 z dnia r.

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez

Poddziałanie 2.1.2, typ projektu 2. Wykaz usług

Moduł 6. Dokumentacja techniczna stanowiska komputerowego

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

PROGRAM NAUCZANIA KURS ABI

Audyt bezpieczeństwa informacji w pracy placówki edukacyjnej. Oferta dla Placówek Edukacyjnych Miasta Legionowo.

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

INFORMACJA O REALIZACJI ZADAŃ Z ZAKRESU AUDYTU WEWNĘTRZNEGO W ROKU 2016

TRANSPORTOWY DOZÓR TECHNICZNY JEDNOSTKA CERTYFIKUJĄCA TDT-CERT

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Warszawa dnia

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Promotor: dr inż. Krzysztof Różanowski

Rozwój elektronicznej administracji w samorządach województwa mazowieckiego wspomagającej niwelowanie dwudzielności potencjału województwa Projekt EA

AKREDYTOWANY KURS ABI. KOMPLEKSOWE PRZYGOTOWANIE DO PEŁNIENIA FUNKCJI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI)

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Normalizacja dla bezpieczeństwa informacyjnego

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

SZCZEGÓŁOWY HARMONOGRAM KURSU

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

DQS Polska sp. z o.o. Członek grupy DQS UL. Spis treści

Audytowane obszary IT

Wdrożenie, certyfikacja i doskonalenie systemów zarządzania jakością w ochronie zdrowia. Część I wtorek, 02 lutego :16 -

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych

Stowarzyszenie Elektryków Polskich BBJ - Biuro Badawcze ds. Jakości

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Wyroby budowlane Ocena zgodności a ocena właściwości użytkowych. mgr inż. Ewa Kozłowska Gdańsk, r.

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Warszawa, dnia 17 grudnia 2013 r. Poz. 340

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Ocena działalności kontrolnej w aspekcie wymogów standardów kontroli w administracji rządowej

JST uczestniczących w projekcie Lubuski e-urząd. Piotr Gawara GaMP Sp. z o.o. Zielona Góra, dnia 17 grudnia 2010r.

System certyfikacji biomasy na cele energetyczne. Wymagania dla jednostek certyfikujących. Zatwierdzam do stosowania.

ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY 1) z dnia 15 kwietnia 2004 r.

Oznaczenie CE a certyfikacja dobrowolna konkurencja czy synergia

Rozszerzenie zakresu akredytacji Instytutu Kolejnictwa jako jednostki certyfikującej

TRANSPORTOWY DOZÓR TECHNICZNY JEDNOSTKA NOTYFIKOWANA System oceny zgodności w Polsce jak to działa?

Kontrola zarządcza w szkołach i placówkach oświatowych. Ewa Halska, Andrzej Jasiński, OSKKO

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Polityka bezpieczeństwa

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

PolGuard Consulting Sp.z o.o. 1

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

REGULAMIN. organizacji i przetwarzania danych osobowych.

Warsztaty dla ABI i ADO (2-dniowe) tworzenie, wdrażanie i nadzór nad systemem ochrony danych osobowych

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

czynny udział w projektowaniu i implementacji procesów produkcyjnych

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Dyrektywa 2014/34/UE vs. 94/9/WE Formalne i techniczne zmiany wprowadzone przez dyrektywę i badania bezpieczeństwa przeciwwybuchowego

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

Umowa Nr. Zawarta w dniu.. roku w..., pomiędzy... zwanym w dalszej części umowy Zamawiającym reprezentowanym przez:

Transkrypt:

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych Wykładowca mgr prawa i mgr inż. elektronik Wacław Zimny

audyt czy audit? - stosowane obie formy audyt i audytor są poprawne - Praktyczny Słownik Współczesnej Polszczyzny wydawnictwa Kurpisz z 1994 roku. - 4.1.007 audyt zabezpieczenia systemu - dokonanie niezależnego przeglądu i oceny (4.1.044) działania systemu w celu przetestowania adekwatności środków nadzoru systemu, upewnienia się, czy system działa zgodnie z ustaloną polityką zabezpieczenia (4.1.065) i procedurami operacyjnymi oraz w celu wykrycia przełamań zabezpieczenia (4.1.075) i zalecenia wskazanych zmian w środkach nadzorowania, polityce zabezpieczenia oraz procedurach audit (PrPN-I-02000 Technika informatyczna Zabezpieczenia w systemach informatycznych Terminologia 1999r.)

Audyty uregulowane prawnie - FINANSOWY ustanowiony ustawą z dnia 26 listopada 1998 r. o finansach publicznych (Dz. U. z 1998r. Nr 155, poz. 1014) oraz Rozporządzeniem Ministra Finansów z dnia 5 lipca 2002 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego (Dz. U. z 2002r. Nr 111, poz. 973), - ENERGETYCZNY ustanowiony Rozporządzeniem Ministra Infrastruktury z dnia 15 stycznia 2002 r. w sprawie szczegółowego zakresu i formy audytu energetycznego (Dz. U. z 2002r. Nr 12, poz. 114), - EKOZARZĄDZANIA ustanowiony ustawą z dnia 12 marca 2004 r. o krajowym systemie ekozarządzania i audytu (EMAS) (Dz. U. 2004 r. Nr 70, poz.631).

Audyt/audit w rozumieniu potocznym Pojęcie audytu wyszło poza ramy przepisów prawa i zrobiło oszałamiającą karierę w relacjach nieskodyfikowanych. Termin audyt jest obecnie używany nieomal w każdej dziedzinie w znaczeniu kształtowanym zwyczajowo w tych dziedzinach! Cechą wspólną powszechnego użycia pojęcia audytu jest postrzeganie go jako określonej formy badania stanu (kontroli) usługi/produktu audytowanego przez podmiot z odpowiednimi kwalifikacjami, zakończonego zazwyczaj sprawozdaniem.

Czego najczęściej dotyczą nieskodyfikowane audyty? np.: - firmowych podatków, - kadry pracowniczej (audyt personalny lub kompetencyjny) pozwala określić potencjał kadry w przedsiębiorstwie, zbadać potrzeby szkoleniowe, planować ścieżki kariery oraz tworzyć rezerwy kadrowe, - logistyki (pozwala ocenić sprawność i efektywność procesów logistycznych w obszarze magazynowania, zarządzania zapasami, transportu, dystrybucji i zaopatrzenia na poziomie strategicznego zarządzania przedsiębiorstwem), - komunikacji (pomaga m.in. zdefiniować zatory i interferencje komunikacyjne oraz nadmierny szum informacyjny), - IT (działanie prowadzone przez osobę lub grupę osób spoza grona wykonawczego określonego przedsięwzięcia informatycznego), - systemów komputerowych (audytorem powinna być osoba, która nie brała udziału w instalacji systemu, gdyż zakłada się, że administrator instalujący system operacyjny nie jest w stanie sam obiektywnie ocenić jego bezpieczeństwa), - inwentaryzacji, stopnia wykorzystania i legalności posiadanego oprogramowania, - poprawności usług świadczonych drogą elektroniczną, - przedsięwzięć teleinformatycznych, a w tym ochrony danych osobowych.

nie należy mylić auditu z certyfikacją! USTAWA z dnia 30 sierpnia 2002 r. o systemie oceny zgodności (Dz. U. z dnia 7 października 2002 Nr 166, poz. 1360) kreuje : 2) zasady funkcjonowania systemu oceny zgodności z zasadniczymi i szczegółowymi wymaganiami dotyczącymi wyrobów; 3) zasady i tryb udzielania akredytacji oraz autoryzacji; 4) sposób zgłaszania Komisji Europejskiej i państwom członkowskim Unii Europejskiej autoryzowanych jednostek oraz autoryzowanych laboratoriów; 5) zadania Polskiego Centrum Akredytacji; 6) zasady działania systemu kontroli wyrobów wprowadzonych do obrotu. Art. 15. 1. Akredytacja jest udzielana przez Polskie Centrum Akredytacji, na wniosek zainteresowanej jednostki certyfikującej, jednostki kontrolującej, laboratorium lub innego podmiotu przeprowadzającego oceny zgodności lub weryfikacje, po potwierdzeniu, że spełniają wymagania i warunki określone w odpowiednich Polskich Normach, a w przypadku braku PN - w odpowiednich dokumentach organizacji międzynarodowych. Art. 3. System oceny zgodności tworzą: 9) przepisy określające zasadnicze i szczegółowe wymagania dotyczące wyrobów; 10) przepisy oraz normy określające działanie uczestniczących w procesie oceny zgodności. Art. 8. 1. Producent lub jego upoważniony przedstawiciel, który poddał wyrób lub proces jego wytwarzania ocenie zgodności z zasadniczymi wymaganiami i potwierdził ich zgodność, wystawia deklarację zgodności lub umieszcza oznakowanie CE, zgodnie z wymaganiami określonymi w dyrektywach nowego podejścia.

Audyt teleinformatyczny - bezpieczeństwo typowy audyt polityki bezpieczeństwa Audyt polityki bezpieczeństwa - Specyfikacja infrastruktury informatycznej organizacji. - Specyfikacja zastosowanych zabezpieczeń. - Ocena założeń koncepcyjnych stosowanych zabezpieczeń. - Ocena wyboru zastosowanych procedur zabezpieczeń. - Ocena wyboru zastosowanych technik i narzędzi. - Analiza rutynowych procedur obsługi systemu zabezpieczeń. - Analiza procedur reakcji na incydenty. Audyt technicznych aspektów zabezpieczeń - Specyfikacja architektury firewall, komponenty architektury, ich zadania i wzajemne interakcje. - Specyfikacja kontrolowanej przez architekturę firewall komunikacji, określenie komunikacji dozwolonych i zabronionych. - Ocena polityki inspekcji ruchu sieciowego, ocena zgodności zdefiniowanych konfiguracji z polityką inspekcji ruchu. - Specyfikacja konfiguracji zastosowanych serwerów. Ekspertyza systemu operacyjnego, opracowanie zaleceń dotyczących ew. hardeningu systemu. - Analiza bezpieczeństwa wymiany informacji z siecią wewnętrzną. - Analiza bezpieczeństwa wymiany informacji z Internetem. Ekspertyza systemu operacyjnego, opracowanie zaleceń dotyczących ew. hardeningu systemu. - Ocena zabezpieczeń aplikacji / bazy danych.

Poniższe pozycje należy uwzględnić przy samodzielnym audicie bezpieczeństwa przetwarzania danych osobowych Technika informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji PN-ISO/IEC 17799 Systemy zarządzania bezpieczeństwem informacji Specyfikacja i wytyczne do stosowania PN-I-07799-2 Strona internetowa GIODO: www.giodo.gov.pl Ochrona prywatności w systemach teleinformatycznych Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres