Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Kompleksowe zarządzanie bezpieczeństwem informacji MATERIAŁ INFORMACYJNY dla MATERIAŁ INFORMACYJNY dla KIEROWNICTWA Szpital …………………………… Autor: Jarosław.

Podobne prezentacje


Prezentacja na temat: "Kompleksowe zarządzanie bezpieczeństwem informacji MATERIAŁ INFORMACYJNY dla MATERIAŁ INFORMACYJNY dla KIEROWNICTWA Szpital …………………………… Autor: Jarosław."— Zapis prezentacji:

1 Kompleksowe zarządzanie bezpieczeństwem informacji MATERIAŁ INFORMACYJNY dla MATERIAŁ INFORMACYJNY dla KIEROWNICTWA Szpital …………………………… Autor: Jarosław J. FELIŃSKI Główny ekspert ds. ODO TUV NORD POLSKA

2 Rozdział 5 – UODO Rozdział 5 – UODO Zabezpieczenie danych osobowych – obowiązki i odpowiedzialność Administratora Danych Art. 36 Art. 36 Administrator danych [KJO – DYREKTOR / PREZES] jest obowiązany: Administrator danych [KJO – DYREKTOR / PREZES] jest obowiązany: >> zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych >>> odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. >> zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych >>> odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.PBI Odpowiedzialność KJO

3 Odpowiedzialność kierownictwa Zaangażowanie kierownictwa Kierownictwo powinno zapewnić świadectwo swojego zaangażowania w ustanowienie, wdrożenie, eksploatację, monitorowanie, przegląd, utrzymanie i doskonalenie SZBI przez: ustanowienie polityki SZBI; zapewnienie, że cele i plany SZBI zostały ustanowione; zapewnienie, że cele i plany SZBI zostały ustanowione; określenie ról i zakresów odpowiedzialności w odniesieniu do bezpieczeństwa informacji; określenie ról i zakresów odpowiedzialności w odniesieniu do bezpieczeństwa informacji; informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informacji i zgodności z polityką bezpieczeństwa informacji, swojej odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia; informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informacji i zgodności z polityką bezpieczeństwa informacji, swojej odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia; zapewnienie wystarczających zasobów do ustanowienia, wdrażania, eksploatacji monitorowania, przeglądów, utrzymania i doskonalenia SZBI; zapewnienie wystarczających zasobów do ustanowienia, wdrażania, eksploatacji monitorowania, przeglądów, utrzymania i doskonalenia SZBI; podejmowanie decyzji o kryteriach akceptacji ryzyka i akceptowalnym poziomie ryzyka; podejmowanie decyzji o kryteriach akceptacji ryzyka i akceptowalnym poziomie ryzyka; zapewnienie przeprowadzania wewnętrznych audytów SZBI; zapewnienie przeprowadzania wewnętrznych audytów SZBI; przeprowadzanie przeglądów SZBI realizowanych przez kierownictwo przeprowadzanie przeglądów SZBI realizowanych przez kierownictwo PBI

4 Zakres działania ABI Zakres działania ABI Uprawnienia Administratora Bezpieczeństwa Informacji: Uprawnienia Administratora Bezpieczeństwa Informacji: Nadzór i realizacja postanowień polityki bezpieczeństwa informacji, ocena zagrożeń, analiza i koordynowanie działań zabezpieczających dane osobowe, Nadzór i realizacja postanowień polityki bezpieczeństwa informacji, ocena zagrożeń, analiza i koordynowanie działań zabezpieczających dane osobowe, Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz kontrola przebywających w nich osób, Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz kontrola przebywających w nich osób, Określenie stopnia poziomu zabezpieczeń informacji, Określenie stopnia poziomu zabezpieczeń informacji, Określenie zasad i sposobów przechowywania kluczy do pomieszczeń, w których znajdują się newralgiczne elementy sieci komputerowych, Określenie zasad i sposobów przechowywania kluczy do pomieszczeń, w których znajdują się newralgiczne elementy sieci komputerowych, Organizacja szkoleń użytkowników przetwarzających dane osobowe, Organizacja szkoleń użytkowników przetwarzających dane osobowe, Nadzór nad działaniami od momentu otrzymania zgłoszenia o naruszeniu bezpieczeństwa systemu ochrony danych osobowych i przekazanie zgłoszenia o naruszeniu ADO, Nadzór nad działaniami od momentu otrzymania zgłoszenia o naruszeniu bezpieczeństwa systemu ochrony danych osobowych i przekazanie zgłoszenia o naruszeniu ADO,PBI

5 Analiza statusu i prawa miejscowego Szpitala Analiza statusu i prawa miejscowego SzpitalaPBI WYPADKOWA DZIAŁAŃ

6 * centralizacja i decentralizacja procesów zabezpieczenia informacji uprawnia do stosowania przez administratorów innych rozwiązań organizacyjnych np. lokalne zakresy odpowiedzialności ADMINISTRATOR DANYCH (KJO) Administrator Bezpieczeństwa Informacji (ABI) Administrator Systemu Informatycznego (ASI)

7 PBI Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz. U. Nr 100, poz. 1024) (Dz. U. Nr 100, poz. 1024) Na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285) zarządza się, co następuje: Na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285) zarządza się, co następuje: § 1 § 1 Rozporządzenie określa: Rozporządzenie określa: sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. Odpowiedzialność KJO

8 PBI § 3 § 3 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej "instrukcją". 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej "instrukcją". 2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej. 2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej. 3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych. 3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych. Dokumentacja PBI Zarządzenie Zarządzenie Instrukcje [ PBI, IZSI oraz dodatkowe uregulowania ] Instrukcje [ PBI, IZSI oraz dodatkowe uregulowania ] ============================================= ============================================= Upoważnienia Upoważnienia Oświadczenia Oświadczenia Wykaz/ewidencja Wykaz/ewidencja ============================================= ============================================= Notatki poaudytowe Notatki poaudytowe Raporty Raporty Analizy i opinie Analizy i opinie Plany szkoleń Plany szkoleń Sprawdziany/wyniki Sprawdziany/wyniki Zapotrzebowania na środki finansowe Zapotrzebowania na środki finansowe Odpowiedzialność KJO

9 Kompleksowe zarządzanie bezpieczeństwem informacji Dziękuję za uwagę Opracował……………………….. Jarosław J. Feliński Główny ekspert ds. ODO TÜVNORD POLSKA TÜV NORD POLSKA


Pobierz ppt "Kompleksowe zarządzanie bezpieczeństwem informacji MATERIAŁ INFORMACYJNY dla MATERIAŁ INFORMACYJNY dla KIEROWNICTWA Szpital …………………………… Autor: Jarosław."

Podobne prezentacje


Reklamy Google