PrzybornikPublikacjeŚwiatWieści

Samoocena bezpieczeństwa danych osobowych

Dane osobowe i wrażliwe zasługują na ochronę

Ważne
  • W życiu sieciowym (internetowym) przekazujemy coraz więcej danych i informacji o sobie. Czasami jest to niezbędne do wykonania określonych czynności, czasami ulegamy presji operatorów witryn i portali a czasami, z własnej i nie przymuszonej woli, narażamy się na spore ryzyko. Na spore ryzyko również narażają się te podmioty, które gromadzą dane osobowe i prywatne.

Dzisiaj zaglądamy do Kanady.

Pod koniec 2020 roku, trzy kanadyjskie instytucje rządowe, tj.:

  1. Office of the Information and Privacy Commissioner of Alberta
  2. Office of the Information and Privacy Commissioner for British Columbia
  3. Office of the Privacy Commissioner of Canada

opublikowały wspólny, niespełna 20-stronicowy dokument zatytułowany : Securing personal information: A self-assessment for public bodies and organizations.

Organizacje powinny pamiętać, że ryzyko danych osobowych (danych wrażliwych / prywatnych) wiąże się nie tylko z samym procesem gromadzenia i przechowywania danych osobowych ale również z niepowołanym dostępem, niewłaściwym wykorzystaniem, bezprawnym ujawnieniem, powieleniem, modyfikacją, sprzedażą lub zniszczeniem.

Jak zaznaczono w publikacji, jest to dokument przeznaczony zarówno dla podmiotów prywatnych jak i publicznych. Zawiera on nie mniej ni więcej tylko zestaw pytań (listę kontrolną), pozwalającą organizacjom przeprowadzić samoocenę poziomu (zakresu i stanu) ochrony danych i informacji osobowych.

Przywoływana publikacja może być przydatna zarówno dla osób bezpośrednio odpowiedzialnych za bezpieczeństwo danych osobowych ale i za nadzór nad działaniami mającymi zapewnić to bezpieczeństwo. Również jednostki audytu wewnętrznego mogą wykorzystać tę publikację nie tylko do oceny procesów zarządzania bezpieczeństwem ale i do planowania działań i programów badań (audytów). Tym bardziej, że ostatnia kategoria (zgodność) zawiera pytania odnoszące się wprost do procesu audytu.

Pytania (a jest ich ponad 200) zgrupowano w 16 głównych kategoriach (podzielonych na podkategorie):

  1. Zarządzanie ryzykiem
  2. Zasady / polityki
  3. Zarządzanie zapisami
  4. Bezpieczeństwo personelu
  5. Bezpieczeństwo fizyczne
  6. Bezpieczeństwo systemów
  7. Bezpieczeństwo sieci
  8. Łączność bezprzewodowa
  9. Bezpieczeństwo baz danych
  10. Bezpieczeństwo poczty elektronicznej i faksu
  11. Integralność i ochrona danych
  12. Kontrola dostępu
  13. Zakup, rozwój i utrzymanie systemów
  14. Zarządzanie incydentami
  15. Planowanie ciągłości działania
  16. Zgodność

Zajrzyjmy do publikacji, w obszarze pierwszym – zarządzania ryzykiem – lista pytań zaczyna się następująco:

1.1 Czy Twoja organizacja określiła, jakie zasoby danych osobowych są przechowywane i jaki jest poziom ich wrażliwości?

1.2 Czy Twoja organizacja udokumentowała swoje zasoby danych osobowych, miejsce ich przechowywania oraz ich wrażliwość (na przykład w rejestrze danych osobowych)?

1.3 Czy Twoja organizacja przeanalizowała, oceniła i udokumentowała wpływ na działalność, który może wynikać z awarii mechanizmów bezpieczeństwa danych osobowych i biorąc pod uwagę konsekwencje utraty poufności, integralności lub dostępności informacji?

1.4 Czy Twoja organizacja przeprowadza ocenę wpływu na prywatność (Privacy Impact Assessment – PIA), która polega na analizie, ocenie i udokumentowaniu  wpływu na prywatność klientów i pracowników, gdyby doszło do złamania bezpieczeństwa informacji?

Jak widać, pytania nie mają charakteru szczegółowych pytań technicznych sięgających poziomu bitów i bajtów. Koncentrują się raczej na sferze zarządczej i organizacyjnej zapewniania bezpieczeństwa danych.

Zgrabna publikacja …

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus. >>> W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły