Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Podobne dokumenty
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Maciej Byczkowski ENSI 2017 ENSI 2017

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Ochrona danych osobowych w biurach rachunkowych

PRELEGENT Przemek Frańczak Członek SIODO

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

I. Postanowienia ogólne

Ochrona danych osobowych w biurach rachunkowych

SZCZEGÓŁOWY HARMONOGRAM KURSU

Monitorowanie systemów IT

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Nowe przepisy i zasady ochrony danych osobowych

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści. Wykaz skrótów... Wprowadzenie...

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

PARTNER.

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

rodo. naruszenia bezpieczeństwa danych

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Promotor: dr inż. Krzysztof Różanowski

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

Bezpieczeństwo informacji. jak i co chronimy

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Rola Inspektora Ochrony Danych w zabezpieczeniu systemu informatycznego - podejście oparte na ryzyku

Wprowadzenie do RODO. Dr Jarosław Greser

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Ochrona danych osobowych, co zmienia RODO?

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Polityka prywatności i wykorzystywania plików cookies

System bezpłatnego wsparcia dla NGO

EBIS POLITYKA OCHRONY DANYCH

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

ECDL RODO Sylabus - wersja 1.0

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

ISO bezpieczeństwo informacji w organizacji

RODO. szanse i wyzwania dla działów IT w przedsiębiorstwie. Janusz Żmudziński. Dział Bezpieczeństwa. maj 2017 r.

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: (zwana dalej Umową )

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Imed El Fray Włodzimierz Chocianowicz

Szkolenie otwarte 2016 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Marcin Soczko. Agenda

Kontrola przestrzegania przepisów o ochronie danych osobowych. zasady, zakres, przebieg. Piotr Glen Inspektor ochrony danych

ZAŁĄCZNIK SPROSTOWANIE

Krzysztof Świtała WPiA UKSW

POLITYKA BEZPIECZEŃSTWA

Uchwała wchodzi w życie z dniem uchwalenia.

Transkrypt:

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved.

Tak było Na dokumentację, o której mowa w 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją". W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2

Artykuł 24 Obowiązki administratora 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. 3

ISO 27k 4 Kontekst organizacji 5 Przywództwo 6 Planowanie 7 Wsparcie 8 Eksploatacja 9 Ocena skuteczności 10 Doskonalenie Załącznik A - Wiele zabezpieczeń 4

Artykuł 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. 2.. 3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42. 5

ISO 27k 6 Planowanie 6.1 Działania w zakresie zarządzania ryzykiem i możliwościami 6.1.2 Ocena ryzyka związanego z bezpieczeństwem informacji 6.1.3 Postępowanie z ryzykiem związanym z bezpieczeństwem informacji 6.2 Cele w zakresie bezpieczeństwa informacji i planowanie działań umożliwiających ich osiągnięcie Załącznik A - Wiele zabezpieczeń 6

Artykuł 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 5

ISO 27k 8.2 Ocena ryzyka związanego z bezpieczeństwem informacji Organizacja powinna przeprowadzać procedurę oceny ryzyka związanego z bezpieczeństwem informacji w planowanych odstępach lub gdy zostaną zasugerowane lub przeprowadzone znaczne zmiany, z uwzględnieniem kryteriów ustalonych w p. 6.1.2 a). Organizacja powinna zachować udokumentowaną informację dotyczącą wyników oceny ryzyka związanego z bezpieczeństwem informacji. 8.3 Postępowanie z ryzykiem związanym z bezpieczeństwem informacji Organizacja powinna wdrożyć plan postępowania z ryzykiem związanym z bezpieczeństwem informacji. Organizacja powinna zachować udokumentowaną informację dotyczącą rezultatów postępowania z ryzykiem związanego z bezpieczeństwem informacji. Załącznik A - Wiele zabezpieczeń 8

Co to znaczy odpowiednie środki? Ryzyko? Polityki ochrony danych? Certyfikacja?

ISO/IEC 27001:2013 System zarządzania bezpieczeństwem informacji 1. Zarządzanie ryzykiem 2. 114 zabezpieczeń w grupach: Polityki bezpieczeństwa informacji Organizacja bezpieczeństwa informacji Bezpieczeństwo zasobów ludzkich Zarządzanie aktywami Kontrola dostępu Kryptografia Bezpieczeństwo fizyczne i środowiskowe Bezpieczna eksploatacja Bezpieczeństwo komunikacji Pozyskiwanie, rozwój i utrzymanie systemów Relacje z dostawcami Zarządzanie incydentami bezpieczeństwa informacji Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Zgodność Copyright 2015 BSI. All rights re served. 7

Podobieństwa RODO i ISO z zakresu bezpieczeństwa informacji Bezpieczeństwo dane osobowe = dostępność, autentyczność, integralność i poufność Bezpieczeństwo informacji = dostępność, integralność i poufność 1 1

Normy ISO 27001 i ISO 27002 1 2

Normy dotyczące zarządzania ryzykiem PKN-ISO Guide 73:2012 Zarządzanie ryzykiem - Terminologia PN ISO/IEC 27005:2014 Zarządzanie ryzykiem w bezpieczeństwie informacji PN ISO 31000:2012 Zarządzanie ryzykiem 10

ISO/IEC 27018:2014: Kodeks dobrych praktyk w zakresie ochrony informacji umożliwiających identyfikacje osoby w chmurach obliczeniowych działających w charakterze przetwarzających PII Zmiany w zabezpieczeniach z ISO 27001 i ISO/IEC 27018 związane z przetwarzaniem danych osobowych w chmurze. Dodatkowe zabezpieczenia np.: A11.1 Kontrola położenia geograficznego PII A11.2 Zamierzone miejsce docelowe 14

Ciągłość przetwarzania danych osobowych wg ISO 22301:2012 Analiza BIA Analiza ryzyka Strategia ciągłości działania Plany ciągłości działania Ćwiczenia i testy 15

Ocena, monitorowanie i pomiary skuteczności zabezpieczeń Co należy mierzyć? Skąd czerpać inspirację? Copyright 2015 BSI. All right s reserved. 13

Rodzina norm ISO/IEC 27000 1. ISO 27000 - słownictwo i terminologia (definicje dla wszystkich standardów z tej serii) 2. ISO 27003 Wytyczne dla wdrożenia. 3. ISO 27004 Zarządzanie bezpieczeństwem informacji - wskaźniki i pomiary. 4. ISO/IEC 27032 Guideline for cybersecurity 5. ISO/IEC 27033-x Network security 6. ISO/IEC 27034-x Application security 7. ISO/IEC 27043 Incident investigation 8. ISO 27799 Information security management in health using ISO/IEC 27002 17

Wdrożenie RODO ISO 27001 Bezpieczeństwo fizyczne Bezpieczeństwo IT Bezpieczeństwo osobowe ISO 31000 Identyfikacja zagrożeń i prawdopodobieństwa Ocena ryzyka Postępowanie z ryzykiem ISO 27018 Przetwarzanie DO w Chmurze Zabezpieczenia ISO 18

Pytania? 16

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres