Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałBolesława Grodziński Został zmieniony 11 lat temu
1
Kompleksowe zarządzanie bezpieczeństwem informacji
MATERIAŁ INFORMACYJNY dla KIEROWNICTWA Szpital …………………………… Autor: Jarosław J. FELIŃSKI Główny ekspert ds. ODO TUV NORD POLSKA
2
PBI Odpowiedzialność KJO Rozdział 5 – UODO Zabezpieczenie danych osobowych – obowiązki i odpowiedzialność Administratora Danych Art. 36 Administrator danych [KJO – DYREKTOR / PREZES] jest obowiązany: >> zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych >>> odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
3
Odpowiedzialność kierownictwa
PBI Odpowiedzialność kierownictwa Zaangażowanie kierownictwa Kierownictwo powinno zapewnić świadectwo swojego zaangażowania w ustanowienie, wdrożenie, eksploatację, monitorowanie, przegląd, utrzymanie i doskonalenie SZBI przez: ustanowienie polityki SZBI; zapewnienie, że cele i plany SZBI zostały ustanowione; określenie ról i zakresów odpowiedzialności w odniesieniu do bezpieczeństwa informacji; informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informacji i zgodności z polityką bezpieczeństwa informacji, swojej odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia; zapewnienie wystarczających zasobów do ustanowienia, wdrażania, eksploatacji monitorowania, przeglądów, utrzymania i doskonalenia SZBI; podejmowanie decyzji o kryteriach akceptacji ryzyka i akceptowalnym poziomie ryzyka; zapewnienie przeprowadzania wewnętrznych audytów SZBI; przeprowadzanie przeglądów SZBI realizowanych przez kierownictwo
4
PBI Zakres działania ABI
Uprawnienia Administratora Bezpieczeństwa Informacji: Nadzór i realizacja postanowień polityki bezpieczeństwa informacji, ocena zagrożeń, analiza i koordynowanie działań zabezpieczających dane osobowe, Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz kontrola przebywających w nich osób, Określenie stopnia poziomu zabezpieczeń informacji, Określenie zasad i sposobów przechowywania kluczy do pomieszczeń, w których znajdują się newralgiczne elementy sieci komputerowych, Organizacja szkoleń użytkowników przetwarzających dane osobowe, Nadzór nad działaniami od momentu otrzymania zgłoszenia o naruszeniu bezpieczeństwa systemu ochrony danych osobowych i przekazanie zgłoszenia o naruszeniu ADO,
5
PBI Analiza statusu i prawa miejscowego Szpitala WYPADKOWA DZIAŁAŃ
6
* centralizacja i decentralizacja procesów zabezpieczenia informacji uprawnia do stosowania przez administratorów innych rozwiązań organizacyjnych np. lokalne zakresy odpowiedzialności
7
PBI Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz. U. Nr 100, poz. 1024) Na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285) zarządza się, co następuje: § 1 Rozporządzenie określa: sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. Odpowiedzialność KJO
8
PBI Dokumentacja PBI Zarządzenie
§ 3 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej "instrukcją". 2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej. 3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych. Dokumentacja PBI Zarządzenie Instrukcje [ PBI, IZSI oraz dodatkowe uregulowania ] ============================================= Upoważnienia Oświadczenia Wykaz/ewidencja Notatki poaudytowe Raporty Analizy i opinie Plany szkoleń Sprawdziany/wyniki Zapotrzebowania na środki finansowe Odpowiedzialność KJO
9
Kompleksowe zarządzanie bezpieczeństwem informacji
Dziękuję za uwagę Opracował ……………………….. Jarosław J. Feliński Główny ekspert ds ODO TÜV NORD POLSKA
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.