MATERIAŁY

SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

ISO/IEC 27001

NADZOROWANIE

AUDYTOWANIE

DZIEŃ 1.
WPROWADZENIE DO PROBLEMATYKI
WYMAGANIA PRAWNE
WYMAGANIA NORMY ISO/IEC 27001
ANALIZA RYZYKA

1
Wprowadzenie
KORZYŚCI STOSOWANIA TECHNOLOGII INFORMACYJNYCH I KOMUNIKACYJNYCH
(PRZYKŁADY)

 Poszerzenie asortymentu towarów oferowanych klientom, co wynika z

możliwości nawiązania współpracy z organizacjami na całym święcie, dzięki
publikacjom informacji o firmach na portalach gospodarczych, posiadaniu przez
firmy własnych stron internetowych, poczty elektronicznej, niezależnych
systemów komunikacji z kontrahentami (sieć INTRANET).
 Zwiększenie ilości sprzedaży produktów i usług oraz zasięgu terytorialnego
rynku dzięki tańszej reklamie własnych produktów i/lub usług na portalach
użytkowanych przez potencjalnych klientów, pozycjonowaniu własnej strony
internetowej w wyszukiwarkach internetowych itp.
 Udostępnienie pełnej informacji o produktach, usługach, działaniach
gwarancyjnych, promocyjnych oraz kontakt z klientami poprzez bazę
teleadresową (nr telefonów, adresów poczty elektronicznej) i publikację
informacji o produkcie na stronie internetowej,

Wprowadzenie
KORZYŚCI STOSOWANIA TECHNOLOGII INFORMACYJNYCH I KOMUNIKACYJNYCH
(PRZYKŁADY)

 Zwiększenie tempa operacji i wydajności stanowisk roboczych działów

sprzedaży w ramach operacji handlowych z każdego miejsca z dostępem do
sieci INTERNET,
 realizacja produkcji w sposób bezobsługowy w przypadku automatyzacji
produkcji – zdalnego sterowania maszynami i urządzeniami z każdego miejsca z
dostępem do sieci INTERNET i INTRANET,
 zwiększenie tempa transakcji bankowych poprzez ich automatyczną
realizację (np. zlecenia stałe) z każdego miejsca z dostępem do sieci INTERNET
lub sieci telefonicznej operatora, u którego wykupiono abonament, itp.

2
Wprowadzenie
ZAGROŻENIA ZWIĄZANE ZE STOSOWANIEM TECHNOLOGII
INFORMACYJNYCH I KOMUNIKACYJNYCH (PRZYKŁADY)

 Duża bezwładność organizacyjna w sytuacjach kryzysowych, tj. pojawienia

się nierozpoznanych jeszcze problemów, które charakteryzują się wieloma
zmiennymi zależnymi, znacznie spowalniającymi realizację czynności (często
ich automatyzacja jest bardzo utrudniona),
 Duże tempo rozprzestrzeniania się potencjalnie niekorzystnej informacji
o firmie, skutkującej dużą dynamiką spadku sprzedaży w krótkim czasie.
Przedłużenie się okresu trwania niepożądanej sytuacji może prowadzić do
utraty płynności finansowej,
 trudności w identyfikacji informacji istotnych dla organizacji przy dostępie
do dużych zasobów informacji,
 niewystarczająca sprawność przetwarzania zebranych informacji na
własne potrzeby,
 trudności w podejmowaniu decyzji na podstawie nadmiernej ilości
zmiennych,

Wprowadzenie
ZAGROŻENIA ZWIĄZANE ZE STOSOWANIEM TECHNOLOGII
INFORMACYJNYCH I KOMUNIKACYJNYCH (PRZYKŁADY)

 Duże prawdopodobieństwo manipulacji informacją w bezpośrednim

otoczeniu konkurencyjnym przedsiębiorstw.
 Szybkie tempo zmian w otoczeniu gospodarczym utrudniające skuteczne
planowanie działań w organizacji.
 Szybkie tempo zmian w przepisach prawa jako reakcja na zmiany w
otoczeniu gospodarczym – obserwuje się zaostrzanie wymagań wobec
przedsiębiorstw, szczególnie w kwestiach związanych z zapewnieniem jakości i
bezpieczeństwa produktów, ale także standardów dotyczących warunków
produkcji.
 Wysokie wymagania przedsiębiorstw wobec kontrahentów, szczególnie w
zakresie jakości i bezpieczeństwa produktów oraz wobec standardów
współpracy.

3
Wprowadzenie
PODEJŚCIE PROCESOWE

 Celem spełnienia wymagań standardów jakości i bezpieczeństwa oferowanego

produktu, także podniesienia standardów współpracy, stale popularne jest
podejście procesowe w organizacji i podejmowanie decyzji na podstawie
danych zwrotnych o wynikach działania procesów.
 Takie podejście do zdarzeń gospodarczych ułatwia identyfikację strumienia
przepływu dóbr oraz zarządzanie towarzyszącą mu informacją, szczególnie w
bardzo zmiennym otoczeniu zewnętrznym, ale także wewnętrznym
przedsiębiorstwa.

Wprowadzenie
PODEJŚCIE PROCESOWE

 Przedsiębiorstwa produkcyjne o liczącej się pozycji rynkowej, posiadające

systemy jakościowe i bezpieczeństwa celem zapewnienia bezpiecznego
produktu, identyfikują w zależności od znaczenia, charakterystyki i rodzaju
wpływu na inne procesy, następujące ich grupy:
 procesy zarządcze – dotyczące działań decydujących o skuteczności
i prawidłowym przebiegu pozostałych procesów w firmie, np. ustalanie
celów, angażowanie personelu, koordynacja działań, w tym działań
istotnych dla funkcjonowania organizacji itp. W tej grupie procesów
można wyróżnić:
 Zarządzanie firmą (zarządzanie strategią)
 Prowadzenie księgowości i zarządzania finansami
 Zarządzanie personelem
 Zapewnienie komunikacji
 Zarządzanie sytuacjami kryzysowymi (w kontekście bezpieczeństwa
produktów i personelu)
 Ciągłe doskonalenie

4
Wprowadzenie
PODEJŚCIE PROCESOWE

 procesy główne – dotyczące działań bezpośrednio związanych z podstawową

działalnością przedsiębiorstwa,... . W tej grupie wyróżniamy:
 Marketing i obsługę Klienta
 Projektowanie
 Zakupy
 Realizację produkcji
 Magazynowanie i/ lub dystrybucję
 Sprzedaż i obsługę po sprzedaży
 procesy wspomagające – dotyczące działań wspierających realizację procesów
głównych i zarządczych, umożliwiając ich funkcjonowanie, np.
 Utrzymanie infrastruktury w sprawności technicznej i prowadzenie
inwestycji
 Kontrolę jakości produktów
 Transport wewnętrzny
 Utrzymanie warunków higienicznych i parametrów w produkcji.

Wprowadzenie
PROCESY A OBIEG INFORMACJI

 Interesującym jest fakt, że do procesów, których przedmiot działań dotyczy

głównie przetwarzania dokumentacji (informacji z wykorzystaniem różnych
nośników) należy 10 z 16 (62%) zidentyfikowanych w zakładach procesów, w
tym:
 Zarządzanie firmą (zarządzanie strategią)
 Prowadzenie księgowości i zarządzania finansami
 Zarządzanie personelem
 Zapewnienie komunikacji
 Zarządzanie sytuacjami kryzysowymi (w kontekście bezpieczeństwa
produktów i personelu)
 Ciągłe doskonalenie
 Marketing i obsługa Klienta
 Projektowanie (przy wykorzystaniu nowoczesnych technologii)
 Zakupy (fizyczny obrót materiałami jest realizowany w innym procesie)
 Sprzedaż i obsługa po sprzedaży (poza usługami serwisowymi w zakresie
naprawy; dystrybucja należy do innego procesu),
 a w pozostałych procesach (wyszczególnionych w powyżej) dokumentacji
można przypisać coraz większe znaczenie.

5
Wprowadzenie
PRZYKŁADY SYSTEMÓW, W KTÓRYCH DUŻE ZNACZENIE PRZYPISUJE SIĘ
DOKUMENTACJI

 Standardy jakościowe w wielu branżach przemysłu stały się obligatoryjne.

 Rozpoznawalnym przez klientów jest system HACCP w przypadku branży
spożywczej oraz oznakowanie CE na innych wyrobach, którego umieszczenie na
produkcie informuje Klienta o spełnieniu wymagań prawnych w zakresie
bezpieczeństwa związanego z jego użytkowaniem. Ze stosowaniem
oznakowania CE związane jest działanie w zakładach wewnętrznych systemów
zapewniania jakości.
 współpraca z kontrahentami jest bardzo często determinowana koniecznością
wdrożenia standardów jakościowych i bezpieczeństwa w zakresie produkcji
wyrobów, np.:
 standard ISO 22716 Cosmetics – System zarządzania jakością dla branży
kosmetycznej,
 Międzynarodowy Standard Żywności BRC,
 Międzynarodowy Standard Żywności IFS
 ISO 22 000 – Wymagania dotyczące bezpieczeństwa żywności
International Food Standard.

Wprowadzenie
SYSTEMY ZARZĄDZANIA A SYSTEMY INFORMATYCZNE

 Trend towarzyszący nowym wydaniom standardów jakościowych i

bezpieczeństwa jest zazwyczaj związany ze zwiększeniem ilości dokumentacji
w następstwie spełnienia wymagań względem warunków produkcji i sposobu
nadzoru nad produkcją.
 Rozwój technologii informacyjnych i komunikacyjnych oraz idące za nim zmiany
w wymaganiach prawnych i otoczenia konkurencyjnego przyczyniły się do
powstania i doskonalenia wielu systemów informatycznych w
przedsiębiorstwach (implementowanych jako gotowe lub przygotowane na
zamówienie) mających na celu poprawienie sprawności wykonywanych
czynności związanych z produkcją i obrotem produktami.

6
Wprowadzenie
SYSTEMY ZARZĄDZANIA A SYSTEMY INFORMATYCZNE

 Do przykładowych systemów informatycznych, których podstawą jest podejście

procesowe do zarządzania, należą:
 CRM – Customer Relationship Management
 ERP – Enterprise Resource Planning,
 SCM – Supply Chain Management
 CAD – Computer Aided Design
 CIM – Computer Integrated Manufacturing
 CAM – Computer Aided Manufacturing
 MIS – Management Information System
 stanowiące składowe systemu zintegrowanego (np. SAP)., Systemy te są
przygotowywane przez wiele firm na bazie różnych rozwiązań
informatycznych.

Wprowadzenie
SYSTEMY ZARZĄDZANIA A SYSTEMY INFORMATYCZNE

 Gotowe systemy informatyczne lub przygotowywane na zamówienie

przechodzą burzliwy rozwój w dużych przedsiębiorstwach. W małych firmach
sytuacja wygląda mniej optymistycznie, mimo, że wymagania środowiska
konkurencyjnego w przypadku wszystkich są takie same.
 Wobec panującej sytuacji w środowisku gospodarczym, nie bez znaczenia
pozostają kwestie samego zarządzania bezpieczeństwem informacji zarówno w
kontekście systemu zarządzania bezpieczeństwem informacji, jak i wymagań
infrastrukturalnych stanowiących niewątpliwie podstawę tego systemu.

7
Wprowadzenie
BEZPIECZEŃSTWO INFORMACJI W MAŁYCH FIRMACH (Stosowanie wymagań normy ISO
27001 zamieszczonych w załączniku A na podstawie danych z 50 firm

 Na podstawie badań ustalono, że jedynie 8% firm spełnia w 60%, a 80%

badanych przedsiębiorstw nie przekracza 50% stopnia wdrożenia wymagań
zamieszczonych w normie ISO 27 001.
 Przedstawiciele organizacji nie deklarują potrzeby wdrażania systemu w
większym zakresie, a aktualny poziom spełnienia wymagań bezpieczeństwa
informacji jest następstwem obowiązujących przepisów lub częściej jest
sutkiem podpisanych umów z klientami.
 Wszystkie z przedsiębiorstw poddanych analizie nie przeprowadziły w
momencie badań analizy ryzyka związanej z bezpieczeństwem informacji, a
wymagania zawarte w normie ISO 27 001 od pkt. 4 do 8. nie zostały wdrożone,
pomimo posiadanych w tym względzie narzędzi systemowych.
 Używane w firmach procedury systemowe nie odnosiły się swoim zakresem do
bezpieczeństwa informacji (poza kwestiami związanymi z nadzorowaniem
dokumentacji, jako jednym z elementów wspólnych większości systemów
zarządzania, bądź zapewnienia jakości)!

Wprowadzenie
BEZPIECZEŃSTWO INFORMACJI W MAŁYCH FIRMACH (Stosowanie wymagań normy ISO
27001 zamieszczonych w załączniku A na podstawie danych z 50 firm

 Funkcjonowanie wybranych elementów systemu zarządzania bezpieczeństwem

informacji wynikała ze spełnienia wymagań zamieszczonych w załączniku A
(załączniku normatywnym) do normy ISO 27 001. Stosowanie się firm do tej
grupy wymagań wynika z faktu:
 występowania elementów wspólnych stosowanych systemów zarządzania
jakością i normy ISO 27 001,
 zastosowania wymaganych rozwiązań w momencie wdrażania kupionego
oprogramowania lub nabycia usług informatycznych od dostawców.

8
Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH

 brak sformułowanego dokumentu o tytule polityki w zakresie bezpieczeństwa

informacji, tym samym prawidłowego jej przeglądu przez kierownictwo pod
względem adekwatności,
 szczątkowo spisane deklaracje o charakterze polityki, identyfikowane nie w
jednym, lecz w różnych dokumentach firmowych,
 brak udokumentowania lub niepełny zakres sformułowania odpowiedzialności
dotyczącej bezpieczeństwa,
 brak niezależnych przeglądów w obszarze bezpieczeństwa,
 brak identyfikacji ryzyk związanych ze stronami zewnętrznymi (np.
kontrahentami),
 niepełne dyspozycje w zakresie bezpieczeństwa informacji w kontaktach z
klientami oraz w umowach ze stronami trzecimi,
 brak wymaganych klauzul w zakresie bezpieczeństwa informacji w umowach
zawartych z pracownikami,

Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH

 niewystarczająco określoną odpowiedzialność pracownika co do naruszeń

bezpieczeństwa danych oraz jego obowiązków w tym zakresie. Najczęściej nie
ustanawia się postępowania dyscyplinarnego w przypadku naruszenia
bezpieczeństwa,
 bardzo rzadko przeprowadzane szkolenia o tematyce bezpieczeństwa
informacji lub prowadzone w bardzo wąskim (szczątkowym) zakresie
tematycznym,
 w nieodpowiedni sposób egzekwowany zwrot aktywów (dokumentów i
danych) po zakończeniu codziennej pracy lub w sytuacji zwolnień
pracowników. Przedstawiciele organizacji mają trudności z ustaleniem liczby
dokumentów tworzonych przez pracowników jako następstwo pracy w domu
prowadzonej w nienadzorowany sposób,
 brak lub niepełne dyspozycje w zakresie zapewnienia funkcjonowania
organizacji podczas zdarzeń kryzysowych - wstrzymujących jej normalną pracę
(np. podczas awarii systemów informatycznych). Użytkowane dokumenty
dotyczące postępowania w sytuacjach kryzysowych nie zawierają
szczegółowych wytycznych, są trudne do walidacji (testowania i stosowania), a
ich skuteczność może być niska.

9
Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH
 delegowanie, przez 98% firm, procesu zarządzanie własną stroną
INTERNETOWĄ, specjalistycznym firmom zewnętrznym,
 fizyczne umieszczone na serwerach nadzorowanych przez firmy zewnętrzne
zawartości strony internetowej przedsiębiorstwa i aplikacji do obsługi
procesów, przy czym zaobserwowano, że pracownicy usługodawców,
szczególnie w sytuacji częstych rotacji na stanowiskach pracowniczych,
posiadają niewielką wiedzą na temat zabezpieczenia znajdujących się tam
informacji,
 niską świadomość kierownictwa co do treści umów podpisywanych z
dostawcami usług informatycznych. Zarządzający pytani o bezpieczeństwo
informacji w Internecie oraz dysków sieciowych obsługiwanych przez serwery
zewnętrzne najczęściej odpowiadali, że reguluje to umowa ze specjalistyczną
firmą, przy czym zazwyczaj nie byli świadomi znaczenia klauzul umownych,

Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH

 brak w umowach z dostawcami usługi serwerowych wielu kryteriów

stanowiących podstawę zapewnienia bezpieczeństwa danych,
 brak postanowień o bezpieczeństwie danych w sieci w umowach outsourcingu
procesów firmom zewnętrznym pracującym na specjalistycznym
oprogramowaniu współpracującym z siecią Internet. Aż 63% firm zleca
realizację procesu księgowości oraz 50% firm prowadzenie spraw kadrowych
firmom zewnętrznym,
 niepełne dyspozycje dla elektronicznego obiegu dokumentacji, który w praktyce
jest podstawą  jest wzorcem dla dokumentu na tradycyjnym (papierowym)
nośniku,
 stosowanie nieaktualnych treści, lub formułowanie dyspozycji w niezrozumiały
sposób,

10
Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH

 indywidualne (niezatwierdzone systemowo) zasady nadzoru nad dokumentami

(taka dokumentacja jest przydatna jedynie dla pracownika danego stanowiska,
ponadto trudna do nadzorowania z uwagi na bezpieczeństwo danych),
 brak ustalonych zasad posługiwania się nośnikami elektronicznymi.
Powszechne jest używanie wielu egzemplarzy i kopi dokumentów –
elektronicznych umieszczonych na dyskach komputerów, serwerach, w
niezależnych aplikacjach (w poczcie elektronicznej, bazach danych, systemie
informatycznym, itp.), w wersjach papierowych (w oryginałach i w postaci tzw.
kser). Właściwie w żadnym przypadku nie zaobserwowano ustalonych zasad
obchodzenia się z nośnikami danych, dyskami zewnętrznymi, natomiast ich
użycie przez pracowników jest powszechne,
 stosowanie oprogramowania antywirusowego i zabezpieczeń przed złośliwym
oprogramowaniem, ocenianych w gronie ekspertów jako średniej skuteczności,
 brak ustalonych zasad dotyczących wykorzystywania poczty elektronicznej do
przesyłania informacji ważnych dla organizacji,

Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH

 brak ustalonego priorytetu ważności, pilności sprawy, tym samym priorytetu

bezpieczeństwa przekazywanej informacji (jeśli dokument - informacja na
nośniku, dla danego działu jest ważny, pilny, to dla innego, w którym dokument
przebywa, może nie być tak istotny),
 trudności z ustaleniem w szybkim czasie kompletu nadzorowanych
dokumentów, szczególnie występujących na różnych nośnikach i w wielu
wersjach,
 niewystarczające dyspozycje dotyczące zmian w dokumentach i nadzorowania
nieaktualnych dokumentów, które mogą być doskonałą bazą informacyjną
o mechanizmach funkcjonowania organizacji,
 przyzwoicie funkcjonujące zabezpieczenia dostępu jak: kontrola dostępu do
sieci, kontrola dostępu do systemów operacyjnych, kontrola dostępu do
aplikacji skutkująca posługiwaniem się hasłami dostępu do komputera i
koniecznością logowania do zakładowego systemu. Jednak pomimo
stosowanych zabezpieczeń znaczna część pracowników nie ma nawyku
wygaszania systemu przy opuszczaniu stanowisk pracy „tzw. polityki czystego
ekranu monitora”, toteż dostęp do komputera innych osób jest w tym momencie
nieograniczony.

11
 Wprowadzenie

PODSTAWOWE NORMY STOSOWANE W OBSZARZE BEZPIECZEŃSTWA INFORMACJI

 PN-ISO/IEC 27001:2014 Technika informatyczna -- Techniki bezpieczeństwa --

Systemy zarządzania bezpieczeństwem informacji – Wymagania
 PN-ISO/IEC 27002:2014-12, Technika informatyczna -- Techniki
bezpieczeństwa -- Praktyczne zasady zabezpieczania informacji,
 PN-E-08390-14:1993 Systemy alarmowe - Wymagania ogólne - Zasady
stosowania
 PN-EN 50131-1:2009 Systemy alarmowe -- Systemy sygnalizacji włamania
i napadu -- Część 1: Wymagania systemowe
 PN-EN 50131-1:2009/A1:2010, Systemy alarmowe -- Systemy sygnalizacji
włamania i napadu -- Część 1: Wymagania systemowe

Wprowadzenie

PODSTAWOWE AKTY PRAWNE W OBSZARZE OCHRONY DANYCH OSOBOWYCH

 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

(t.j. Dz. U. z 2016 r., poz. 922 z późn. zm.)
 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia
2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.
1024).
 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia
2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu
Inspektorowi Danych Osobowych (Dz. U. Nr 229, poz. 1536)
 Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków
bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych
(Dz. U. z 2012 r., poz. 683)

12
Wprowadzenie

PODSTAWOWE AKTY PRAWNE W OBSZARZE OCHRONY DANYCH OSOBOWYCH

 Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r.

w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa
informacji (Dz. U. z 2014 r., poz. 1934)
 Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie
trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów
o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.
U. z 2015 r., poz. 745)

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

(UE) 2016/679

z dnia 27 kwietnia 2016r.) w sprawie ochrony osób fizycznych w związku

z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

(ogólne rozporządzenie o ochronie danych)

25 maja 2018r.  START

13
 ISO/IEC 27 001
SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI - WYMAGANIA

Główne punkty normy:

0. Wprowadzenie
1. Zakres normy
2. Powołania normatywne
3. Terminy i definicje

4. Kontekst organizacji
5. Przywództwo
6. Planowanie
7. Wsparcie
8. Działania operacyjne
9. Ocena wyników
10. Doskonalenie

Informacje ogólne o normie ISO/IEC 27 001

 Dyspozycje konieczne do spełnienia zamieszczono w powyższej normie w

punktach od 4. do 10. Obejmują one wymagania:
 dotyczące Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) –
przedstawione w ogólnym ujęciu, w których określono kryteria
ustanowienia i zarządzania systemem bezpieczeństwa informacji, w tym:
ustanowienia, wdrożenia, eksploatacji, przeglądu, utrzymania i
doskonalenia SZBI oraz zamieszczono wymagania dotyczące dokumentacji,
 w zakresie odpowiedzialności kierownictwa, w tym jego zaangażowania,
zarządzania i zapewnienia zasobów, potrzeby uświadamiania
pracowników m.in. poprzez szkolenia oraz wymagań w zakresie ich
kompetencji pracowniczych,
 w zakresie planowania, przeprowadzania, dokumentowania działań
związanych z audytami wewnętrznymi,
 w obszarze przeglądu systemu zarządzania bezpieczeństwem informacji
wykonywanych przez kierownictwo,
 w dziedzinie doskonalenia systemu zarządzania bezpieczeństwem
informacji (SZBI), w tym ciągłego doskonalenia, działań korygujących i
zapobiegawczych.

14
Informacje ogólne o normie ISO/IEC 27 001

 Wymaganymi dokumentami w systemie zarządzania na zgodność z normą ISO

27001 są:
 udokumentowane deklaracje polityki SZBI i cele,
 zakres SZBI,
 procedury i zabezpieczenia wspomagające SZBI,
 opis metody szacowania ryzyka,
 raport z procesu szacowania ryzyka
 plan postępowania z ryzykiem,
 udokumentowane procedury potrzebne organizacji do zapewnienia
efektywnego planowania, eksploatacji i sterowania procesami
bezpieczeństwa informacji (BI) i opis pomiaru efektywności zabezpieczeń,
 zapisy wymagane postanowieniami normy,
 deklarację stosowania.
 Do procedur, których udokumentowanie jest bezwzględnie wymagane w SZBI
należą: nadzór nad dokumentami, audyty wewnętrzne, działania korygujące i
działania zapobiegawcze.

3. Terminy i definicje

 Aktywa – wszystko, co ma wartość dla organizacji

 Dostępność – właściwość bycia dostępnym i użytecznym na żądanie
upoważnionego podmiotu
 Poufność – właściwość, że informacja nie jest udostępniana lub wyjawiana
nieupoważnionym osobom, podmiotom lub procesom
 Bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności
informacji; dodatkowo, mogą być brane pod uwagę inne własności, takie jak
autentyczność, rozliczalność, niezaprzeczalność i niezawodność
 Zdarzenie związane z bezpieczeństwem informacji – zdarzenie związane z
bezpieczeństwem informacji jest określonym stanem systemu, usłgi lub sieci,
który wskazuje na możliwe przełamanie polityki bezpieczeństwa informacji,
błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana
z bezpieczeństwem

15
3. Terminy i definicje

 Incydent związany z bezpieczeństwem informacji – incydent związany z

bezpieczeństwem informacji jest to pojedyncze lub seria niepożądanych lub
niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które
stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i
zagrażają bezpieczeństwu informacji
 System zarządzania bezpieczeństwem informacji ISMS – ta część całościowego
systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego,
odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania,
utrzymywania i doskonalenia bezpieczeństwa informacji (system zarządzania
zawiera strukturę organizacyjną, polityki, planowane działania,
odpowiedzialności, zasady, procedury, procesy i zasoby)
 Integralność – właściwość zapewnienia dokładności i kompletności aktywów
 Ryzyko szczątkowe – ryzyko pozostające po procesie postępowania z ryzykiem

3. Terminy i definicje

 Akceptowanie ryzyka – decyzja, aby zaakceptować ryzyko

 Analiza ryzyka – systematyczne wykorzystanie informacji do zidentyfikowania
źródeł i oszacowania ryzyka
 Szacowanie ryzyka – całościowy proces analizy i oceny ryzyka
 Ocena ryzyka – proces porównywania oszacowanego ryzyka z określonymi
kryteriami w celu określenia znaczenia ryzyka
 Zarządzanie ryzykiem – skoordynowane działanie kierowania i zarządzania
organizacją w uwzględnieniem ryzyka
 Postępowanie z ryzykiem – proces wyboru i wdrażania środków
modyfikujących ryzyko (zabezpieczenie – środek bezpieczeństwa)
 Deklaracja stosowania – dokument, w którym opisano cele stosowania
zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w
ISMS danej organizacji (cele stosowania zabezpieczeń i zabezpieczenia oparte
są o rezultaty i wnioski wynikające z procesów szacowania i postępowania z
ryzykiem, wymagań prawnych lub wymagań nadzoru, zobowiązań
kontraktowych wymagań biznesowych organizacji w odniesieniu do
bezpieczeństwa informacji)

16
 4. Kontekst organizacji

4.1. WYMAGANIA OGÓLNE

4.1. Zrozumienie organizacji i jej kontekstu

 Organizacja powinna określić czynniki zewnętrzne i wewnętrzne istotne

dla celu jej działania i takie, które wpły- wają na zdolność organizacji do
osiągnięcia zamierzonego(-ych) wyniku(-ów) działania systemu
zarządzania bezpieczeństwem informacji.

 UWAGA Określenie tych czynników odnosi się do ustanowienia

zewnętrznego i wewnętrznego kontekstu organizacji, omówionych w ISO
31000:2009[5], Rozdział 5.3.

4. Kontekst organizacji

4.1. WYMAGANIA OGÓLNE

4.2. Zrozumienie potrzeb i oczekiwań stron zainteresowanych

 Organizacja powinna określić:

 a) strony zainteresowane, istotne dla systemu zarządzania
bezpieczeństwem informacji; oraz
 b) wymagania tych stron zainteresowanych, istotne dla bezpieczeństwa
informacji.

 UWAGA Wymagania stron zainteresowanych mogą obejmować

wymagania prawne i wymagania regulacyjne oraz zobowiązania
wynikające z umów.

17
4. Kontekst organizacji

4.1. WYMAGANIA OGÓLNE

4.3. Określenie zakresu systemu zarządzania bezpieczeństwem informacji

• Organizacja powinna określić granice i możliwości zastosowania systemu

zarządzania bezpieczeństwem in- formacji w celu ustanowienia jego zakresu.

• Przy określaniu zakresu organizacja powinna rozważyć:

• a) czynniki zewnętrzne i wewnętrzne, o których mowa w 4.1;
• b) wymagania, o których mowa w 4.2; oraz
• c) interfejsy i zależności między działaniami wykonywanymi przez tę
organizację i wykonywanymi przez inne organizacje.

• Zakres systemu powinien być dostępny w formie udokumentowanej informacji.

4. Kontekst organizacji

4.1. WYMAGANIA OGÓLNE

4.4. System zarządzania bezpieczeństwem informacji

Organizacja powinna ustanowić, wdrożyć, utrzymywać i ciągle doskonalić system

zarządzania bezpieczeństwem informacji, zgodnie z wymaganiami niniejszej
Normy Międzynarodowej.

18
 PDCA – Koło Deminga

Plan
A P Do
Check
C D Action

5. Przywództwo

5.1. Przywództwo i zaangażowanie

Najwyższe kierownictwo powinno wykazywać przywództwo i zaangażowanie w odniesieniu do

systemu zarzą- dzania bezpieczeństwem informacji poprzez:
a) zapewnienie, że polityka bezpieczeństwa informacji oraz cele bezpieczeństwa informacji są
ustanowione i zgodne z kierunkiem strategicznym organizacji;
b) zapewnienie zintegrowania wymagań systemu zarządzania bezpieczeństwem informacji z
procesami or- ganizacji;
c) zapewnienie dostępności zasobów potrzebnych w systemie zarządzania bezpieczeństwem
informacji;
d) komunikowanie znaczenia skutecznego zarządzania bezpieczeństwem informacji i
zgodności z wymaga- niami systemu zarządzania bezpieczeństwem informacji;
e) zapewnienie, że system zarządzania bezpieczeństwem informacji osiąga zamierzony(-e)
wynik(i);
f) kierowanie i wspieranie osób przyczyniających się do osiągnięcia skuteczności systemu
zarządzania bez- pieczeństwem informacji;
g) promowanie ciągłego doskonalenia; oraz
h) wspieranie innych właściwych członków kierownictwa w wykazywaniu przywództwa
odpowiednio do ob- szarów ich odpowiedzialności.

19
 5.2. Polityka

Najwyższe kierownictwo powinno ustanowić politykę bezpieczeństwa informacji,

która:
a) odpowiada celowi istnienia organizacji;
b) zawiera cele bezpieczeństwa informacji (patrz 6.2) lub tworzy ramy do
c) ustanowienia celów bezpieczeństwa informacji;
d) zawiera zobowiązanie do spełnienia mających zastosowanie wymagań
dotyczących bezpieczeństwa in- formacji; oraz
e) zawiera zobowiązanie do ciągłego doskonalenia systemu zarządzania
bezpieczeństwem informacji.

Polityka bezpieczeństwa informacji powinna być:

a) dostępna jako udokumentowana informacja;
b) zakomunikowana w organizacji; oraz
c) dostępna dla stron zainteresowanych, jeśli jest to właściwe.

5.3. Role, odpowiedzialność i uprawnienia

Najwyższe kierownictwo powinno zapewnić, aby odpowiedzialność i uprawnienia dla

osób pełniących istotną rolę w zapewnieniu bezpieczeństwa informacji zostały
przydzielone i zakomunikowane.

Najwyższe kierownictwo powinno przydzielić odpowiedzialność i uprawnienia w

zakresie:

a) zapewnienia zgodności systemu zarządzania bezpieczeństwem informacji z

wymaganiami niniejszej Normy Międzynarodowej; oraz
b) przedstawiania najwyższemu kierownictwu wyników działania systemu
zarządzania bezpieczeństwem informacji.

UWAGA Najwyższe kierownictwo może również przydzielić odpowiedzialność i uprawnienia w

zakresie informowania o wynikach działania systemu zarządzania bezpieczeństwem informacji
w organizacji.

20
6. Planowanie

6.1. Działania odnoszące się do ryzyk i szans

6.1.1. Postanowienia ogólne

Planując system zarządzania bezpieczeństwem informacji, organizacja powinna

rozważyć czynniki, wymienione w 4.1 oraz wymagania, podane w 4.2, a także
określić ryzyka i szanse, do których należy się odnieść w celu:

• a) zapewnienia, że system zarządzania bezpieczeństwem informacji może

osiągnąć zamierzony(-e) wynik(i);
• b) zapobieżenia wystąpieniu niepożądanych skutków lub ich zredukowania;
oraz
• c) ciągłego doskonalenia.

Organizacja powinna zaplanować:

• d) działania odnoszące się do określonych ryzyk i szans;
• e) sposób:
• ich zintegrowania i wdrożenia w procesach składających się na system
zarządzania bezpieczeństwem informacji; oraz
• oceny ich skuteczności.

6.1.2. Szacowanie ryzyka w bezpieczeństwie informacji

Organizacja powinna opracować i wdrożyć proces szacowania ryzyka w

bezpieczeństwie informacji, który:
• a)ustanawia i utrzymuje kryteria ryzyka w bezpieczeństwie informacji
obejmujące:
• kryteria akceptacji ryzyka; oraz
• kryteria szacowania ryzyka w bezpieczeństwie informacji;
• b) zapewnia spójne, poprawne i porównywalne wyniki w kolejnych szacowaniach
ryzyka;
• c) identyfikuje ryzyka w bezpieczeństwie informacji:
• stosuje proces szacowania ryzyka w bezpieczeństwie informacji do
zidentyfikowania ryzyk związanych z utratą poufności, integralności i
dostępności informacji będących w zakresie systemu zarządzania
bezpieczeństwem informacji; oraz
• identyfikuje właścicieli ryzyka;

21
 6.1.2. Szacowanie ryzyka w bezpieczeństwie informacji

• d) analizuje poszczególne ryzyka w bezpieczeństwie informacji:

• szacuje potencjalne następstwa zmaterializowania się ryzyk
zidentyfikowanych w 6.1.2 c) 1);
• realistycznie szacuje prawdopodobieństwo wystąpienia ryzyk
zidentyfikowanych w 6.1.2 c) 1); oraz
• określa poziomy ryzyka;
• e) ocenia ryzyka w bezpieczeństwie informacji:
• porównuje wyniki analizy ryzyka z kryteriami określonymi w 6.1.2 a); oraz
• nadaje analizowanym ryzykom priorytety dla celów postępowania z
ryzykiem.

Organizacja powinna zachować udokumentowane informacje o procesie

szacowania ryzyka w bezpieczeństwie informacji.

6.1.3. Postępowanie z ryzykiem w bezpieczeństwie informacji

Organizacja powinna opracować i wdrożyć proces postępowania z ryzykiem w

bezpieczeństwie informacji, w celu:
• a)wyboru odpowiednich opcji postępowania z ryzykiem w bezpieczeństwie
informacji, z uwzględnieniem wyników szacowania ryzyka;
• b) określenia wszystkich zabezpieczeń niezbędnych do wdrożenia wybranej (-
ych) opcji postępowania z ryzy- kiem w bezpieczeństwie informacji;
• UWAGA: Organizacje mogą zaprojektować zabezpieczenia odpowiednie dla swoich potrzeb lub wybrać
je z dowol- nego źródła.
• c) porównania zabezpieczeń określonych w 6.1.3 b) z tymi w Załączniku A oraz
sprawdzenia, czy żadne wymagane zabezpieczenia nie zostały pominięte;

• UWAGA 1 W Załączniku A zamieszczono obszerny wykaz celów stosowania zabezpieczeń i

zabezpieczeń. Użytkownicy niniejszej Normy Międzynarodowej powinni skorzystać z Załącznika A, aby
upewnić się, że nie pominęli żadnego potrzebnego zabezpieczenia.

• UWAGA 2 Cele stosowania zabezpieczeń są wpisane w zabezpieczenia. Lista celów stosowania

zabezpieczeń i zabezpieczeń w Załączniku A nie stanowi pełnego wykazu i może być konieczne ich
uzupełnienie.

22
 6.1.3. Postępowanie z ryzykiem w bezpieczeństwie informacji

• d) opracowania Deklaracji Stosowania zawierającej wykaz niezbędnych

zabezpieczeń (patrz 6.1.3 b) i c)) oraz uzasadnienie ich wyboru, niezależnie od
tego czy są one wdrożone czy nie, a także uzasadnienie pominięcia
zabezpieczeń z Załącznika A;
• e) sformułowania planu postępowania z ryzykiem w bezpieczeństwie informacji;
oraz
• f) uzyskania zgody właścicieli ryzyka na plan postępowania z ryzykiem w
bezpieczeństwie informacji oraz ich akceptacji dla rezydualnych ryzyk w
bezpieczeństwie informacji.

Organizacja powinna zachować udokumentowane informacje o procesie

postępowania z ryzykiem w bezpie- czeństwie informacji.

UWAGA Proces szacowania ryzyka oraz postępowania z ryzykiem w bezpieczeństwie informacji w

niniejszej Normie Międzynarodowej odpowiada zasadom i ogólnym wytycznym wprowadzonym przez ISO
31000[5].

METODY QFD
agań klienta
Pr z e gl ą d

FTA, ETA, CCA

Metoda "co - gdy"

OCENY PHA
ym

Burza mózgów
w

RYZYKA FTA, ETA, CCA Diagram przebiegu procesu

anie

Punktowy diagram korelacji

Projektow

Metoda Delficka
Diagram Ishikawy

FMEA QFD

Karta kontrolna

Diagram Ishikawy
Zakupy

Arkusz analityczny

Diagram Pareto-Lorenza

FMEA

Diagram Pareto-Lorenza FMEA

Produkcja

Karta kontrolna
Histogram
Arkusz analityczny

FTA, ETA, CCA Metoda Delficka

Eksploatacja

FTA, ETA, CCA Diagram Pareto-Lorenza

Histogram FMEA

23
 Metoda FMEA
 Metoda o charakterze prewencyjnym, wykorzystywaną przez
przedsiębiorstwa przy zapobieganiu i niwelowaniu skutków wad,
jakie mogą wystąpić w procesach projektowania i produkcji.
 Metodą FMEA, można:
 oszacować ryzyko pojawienia się w wyrobie lub procesie wad
(niezgodności, błędów),
 ocenić konsekwencje wad i zidentyfikować przyczyny
niedoskonałości,
 zaproponować rozwiązania prewencyjne lub korygujące.
 Wykorzystanie wyników analizy metodą FMEA umożliwia:
 konsekwentne i trwałe eliminowanie wad wyrobu lub procesu oraz
 unikanie wystąpienia rozpoznanych, jak również jeszcze nieznanych wad
dla nowych wyrobów i procesów.

Metoda FMEA - Zakres stosowania

metody FMEA
METODA FMEA
 przy powstawaniu koncepcji nowego wyrobu - aby sprawdzić, czy wszystkie
wymagania klienta są ujęte w tej koncepcji,
 w sytuacji wystąpienia nowych warunków wykorzystywania wyrobu lub
otwarcia się nowych możliwości jego zastosowania,
 w przypadku konieczności zapewnienia warunków bezpieczeństwa np.
bezpieczeństwa zdrowotnego wyrobu spożywczego (gdy nie jest dopuszczalne
wystąpienie jakichkolwiek wad),
 przy definiowaniu wyrobu - aby sprawdzić czy projekty, obsługa, dostawy są
ZAKRES STOSOWANIA odpowiednie i zagwarantowane w odpowiednim czasie,
 podczas prac nad nowymi wyrobami i procesami lub ich modyfikacjami,
 przy procesie wytwarzania i zastosowania - w celu sprawdzenia realizacji
specyfikacji przygotowanych przez technologów,
 przy organizacji serwisu - aby sprawdzić, czy wyrób lub usługa odpowiadają
oczekiwaniom klienta,
 w odniesieniu do poważnych inwestycji – gdy należy sprawdzić wielkość
kosztów produkcji przez zainwestowaniem lub czy inwestycja odpowiada
wymaganym kryteriom.

24
 Metoda FMEA - etapy
postępowania przy wdrożeniu

Metoda FMEA - wady, zalety

ZALETY WADY
 zwiększenie efektywności działań na rzecz poprawy  kontrowersyjność przy przypisywaniu liczb R,
jakości wyrobu (metoda FMEA ma działanie ex ante), W i Z,
 poprawa jakości wyrobu, bezpieczeństwa wyrobu  konieczność posiadania obszernych informacji o
 lepsze dostosowanie się do wymagań klienta, analizowanym obiekcie, aby właściwie
 kreowanie atmosfery współpracy w firmie (integracja (obiektywnie) oszacować wskaźniki R, W i Z,
zespołów ludzkich przy wspólnym rozwiązywaniu  pracochłonność i czasochłonność,
problemów),  kosztowność.
 osiągnięcie funkcjonalności procesu,
 poprawa efektywności i bezpieczeństwa procesu,
 wzrost wydajności i obniżenie kosztów produkcji,
 zmniejszenie kosztów niezgodności (zmniejszenie
liczby braków i reklamacji),
 definiowanie ryzyka (istotne w kontekście
odpowiedzialności za wyrób),
 powstanie banku danych, który umożliwia
uporządkowanie problemów i dokonanie
kompleksowych analiz niezbędnych do realizacji
podstawowych funkcji przedsiębiorstwa,
 wzrost wiedzy fachowej (świadomości) uczestników,
 określenie skutecznych metod podejmowania działań
korygujących i zapobiegawczych,
 uniwersalność i elastyczność.

25
 Wzorzec dla przyjmowania wartości wskaźnika Z

Kryterium
Skala Z- Poziom wrażliwości informacji

PD - Informacja publicznie dostępna dla wszystkich

1
PD - Informacja publicznie dostępna interesariuszy

2
PD - Informacja publicznie dostępna dla pracowników
3-4
5-6 W - Informacja wewnętrzna wrażliwa
W - Informacja wewnętrzna bardzo wrażliwa
7-8
PC - Informacja prawnie chroniona wrażliwa
9
PC - Informacja prawnie chroniona bardzo wrażliwa
10

Wzorzec dla przyjmowania wartości wskaźnika R

Kryterium
R – Punktowa ocena stosowanych zabezpieczeń
Skala
Utrata nadzoru nad bezpieczeństwem (w tym incydenty) - niemożliwa – nie występuje. (DPMO* < 5)
1
Utrata nadzoru nad bezpieczeństwem (w tym incydenty) jest prawie niemożliwe. Stan otoczenia,
zastosowane urządzenia ich stan techniczny i działanie wykluczają wystąpienie utraty nadzoru nad
2
bezpieczeństwem. Ludzie zajmują się wyłącznie obsługą urządzeń, proces jest zautomatyzowany. (DPMO
>5)
Utrata nadzoru nad bezpieczeństwem (w tym incydenty) zdarza się rzadko, błąd urządzenia zdarza się
rzadko i jest wynikiem złego działania jego podzespołów lub oprogramowania. Utrata nadzoru nad
3
bezpieczeństwem ujawniająca się w wyniku błędu pracownika może mieć miejsce, ale jest czymś
wyjątkowym. (DPMO > 100)
Utrata nadzoru nad bezpieczeństwem ujawnia się przeciętnie. Proces, w którym DPMO >500
4 błąd człowieka zdarza się dość często i jest wynikiem nadmiaru czynności do
jednoczesnego wykonania, bądź niskimi kwalifikacjami pracowników.
5 DPMO >2 000

6 DPMO > 10 000

7 Utrata nadzoru nad bezpieczeństwem (w tym incydenty) ujawniają się często, DPMO >50 000
pracownicy posiadają niskie kwalifikacje i niskie zaangażowanie, a źródłem
8 błędów jest przede wszystkim pracownik DPMO >100 000

Utrata nadzoru nad bezpieczeństwem (w tym incydenty) prawie pewna, stan DPMO >300 000
otoczenia, zastosowane urządzenia ich stan techniczny i praca oraz personel
9
sprzyjają powstawaniu niezgodności w obszarze bezpieczeństwa.

10 DPMO >500 000

*DPMO (Defects per Milion Opportunities) – Liczba niezgodności/wad/przyczyn wad na milion możliwości
Źródło: opracowanie własne na podstawie Hamrol A., Zarządzanie jakością z przykładami,
Wydawnictwo Naukowe PWN, Warszawa 2005, s. 334-335

26
 Wzorzec dla przyjmowania wartości wskaźnika W
Kryterium W – Punktowa ocena skuteczności wykrywalności potencjalnej utraty nadzoru nad bezpieczeństwem (w tym
Skala incydentów)
Bardzo wysoka - Stosowane środki kontroli i nadzorowania dają prawie Przykład: Skuteczność wykrywalności**
pewność wykrycia utraty nadzoru nad bezpieczeństwem (w tym (od 96% do 100%)
1
incydentów).
Przykład: Skuteczność wykrywalności (od
91% do 95%)
2
Wysoka – Stosowane środki kontroli i nadzorowania dają dużą szansę Przykład: Skuteczność wykrywalności (od
wykrycia utraty nadzoru nad bezpieczeństwem (w tym incydentów). 86% do 90%)
3
Przykład: Skuteczność wykrywalności (od
81% do 85%)
4
Przeciętna – stosowane środki kontroli i nadzorowania dają dużą szansę lub Przykład: Skuteczność wykrywalności
wykrycia utraty nadzoru nad bezpieczeństwem (w tym incydentów), jednak (od 71% do 80%)
5
ze względu na ograniczone możliwości kontroli 100% są one ograniczone.
lub Przykład: Skuteczność wykrywalności
(od 61% do 70%)
6
Niska – Jest bardzo prawdopodobne, że stosowane środki kontroli Przykład: Skuteczność wykrywalności (od
i nadzorowania nie wykryją utraty nadzoru nad bezpieczeństwem (w tym 51% do 60%)
7
incydentów).
Przykład: Skuteczność wykrywalności (od
41% do 50%)
8
Bardzo niska – z dużą pewnością można sądzić, że przy pomocy Przykład: Skuteczność wykrywalności
stosowanych środków kontroli nie zostaną wykryte: utrata nadzoru nad (poniżej 41%)
9 bezpieczeństwem (w tym incydenty).
Niemożliwa – nie są znane środki kontroli i nadzorowania umożliwiające wykrycie utraty nadzoru nad bezpieczeństwem
10 (w tym incydentów).
Źródło: Źródło: opracowanie własne na podstawie Hamrol A., Zarządzanie jakością z przykładami, Wydawnictwo
Naukowe PWN, Warszawa 2005, s. 334-335.

*Skuteczność wykrywalności

Liczba wykrytych
Skuteczność przyczyn wad
wykrywalności = X 100
[%] Liczba ujawnionych
przyczyn wad ogółem

27
 Sposób wyznaczania wartości progowej WPR

Wartość graniczna
Wskaźnik Wartość Opis dla wartości wskaźnika
(WPR)
Z 9 PC - Informacja prawnie chroniona wrażliwa

i odpowiadające jej wartości pozostałych wskaźników progowych

WPR = Z x R x W
R 3 Utrata nadzoru nad bezpieczeństwem (w tym incydenty) zdarza się rzadko, błąd
urządzenia zdarza się rzadko i jest wynikiem złego działania jego podzespołów lub
oprogramowania. Utrata nadzoru nad bezpieczeństwem ujawniająca się w wyniku
błędu pracownika może mieć miejsce, ale jest czymś wyjątkowym. (DPMO > 100)

W 3 Wysoka – Stosowane środki kontroli i nadzorowania dają dużą szansę wykrycia

utraty nadzoru nad bezpieczeństwem (w tym incydentów).
WPR = 81
Przykład: Skuteczność wykrywalności (od 86% do 90%)

Źródło: opracowanie
własne.

6.2. Cele bezpieczeństwa informacji i planowanie ich osiągnięcia

Organizacja powinna ustanowić cele bezpieczeństwa informacji dla odpowiednich
funkcji i szczebli.

Cele bezpieczeństwa informacji powinny:

• a) być spójne z polityką bezpieczeństwa informacji;
• b) być mierzalne (jeżeli jest to wykonalne);
• c) uwzględniać mające zastosowanie wymagania bezpieczeństwa informacji,
wyniki szacowania ryzyka i po- stępowania z ryzykiem;
• d) zostać zakomunikowane; oraz
• e) być aktualizowane, jeśli jest to właściwe.
Organizacja powinna zachować udokumentowane informacje dotyczące celów
bezpieczeństwa informacji.
Organizacja, planując jak osiągnąć cele bezpieczeństwa informacji, powinna
określić:
• f) co ma być zrobione;
• g) jakie zasoby będą wymagane;
• h) kto będzie odpowiedzialny;
• i) kiedy będzie to zakończone; oraz
• j) jak będą oceniane wyniki

28
Cechy prawidłowo formułowanych celów

USTALANIE CELÓW:
S ZCZEGÓŁOWY Precyzyjne, zrozumiałe, z określonym
rezultatem

M IERZALNY Kryteria sukcesu, identyfikacja

ograniczeń, wymagań

A KCEPTOWALNY Uzgodniony na podstawie konsensusu

Osiągalny, ale stanowiący wyzwanie,

R EALISTYCZNY ambitny

Jednoznacznie określone ramy czasowe

T ERMINOWY

7. Wsparcie

7.1. Zasoby

Organizacja powinna określić i zapewnić zasoby potrzebne do ustanowienia,

wdrożenia, utrzymywania i ciągłego doskonalenia systemu zarządzania
bezpieczeństwem informacji.

7.2. Kompetencje

Organizacja powinna:

• a) określić niezbędne kompetencje osoby (osób) wykonującej(-ych) pod jej

nadzorem pracę mającą wpływ na wyniki dotyczące bezpieczeństwa informacji;
• b) zapewnić, aby te osoby były kompetentne, dzięki odpowiedniemu
wykształceniu, szkoleniu lub doświad- czeniu;
• c) tam, gdzie ma to zastosowanie, podjąć działania w celu uzyskania
niezbędnych kompetencji i ocenić sku- teczność podjętych działań; oraz
• d) zachować odpowiednie udokumentowane informacje jako dowód
kompetencji.
UWAGA Stosownymi działaniami mogą na przykład być: zapewnienie szkoleń, mentoring, przeniesienie
pracowników do innych zadań, lub przyjęcie do pracy lub zawarcie innej umowy z osobami kompetentnymi.

29
 Zadania

Kompetencje

Odpowiedzialność

Zadania

Kompetencje

Odpowiedzialność

Zadania

Kompetencje

Odpowiedzialność

7.3. Uświadamianie

Osoby pracujące pod nadzorem organizacji powinny być świadome:

• a) polityki bezpieczeństwa informacji;
• b) ich wkładu w skuteczność systemu zarządzania bezpieczeństwem informacji,
w tym korzyści z doskonalenia wyników dotyczących bezpieczeństwa informacji;
oraz
• c) konsekwencji niezgodności z wymaganiami systemu zarządzania
bezpieczeństwem informacji.

7.4. Komunikacja

Organizacja powinna określić potrzeby w zakresie komunikacji wewnętrznej i

zewnętrznej dotyczącej systemu zarządzania bezpieczeństwem informacji, w tym:
• a) co ma być komunikowane;
• b) kiedy ma być komunikowane;
• c) z kim należy się komunikować;
• d) kto powinien się komunikować; oraz
• e) procesy, w ramach których komunikowanie powinno się odbywać.

30
 7.5. Udokumentowane informacje

7.5.1. Postanowienia ogólne

System zarządzania bezpieczeństwem informacji w organizacji powinien zawierać:
• a) udokumentowane informacje wymagane przez niniejszą Normę
Międzynarodową; oraz
• b) udokumentowane informacje, określone przez organizację jako niezbędne dla
skuteczności systemu zarządzania bezpieczeństwem informacji.
• UWAGA Zakres udokumentowanych informacji w systemie zarządzania
bezpieczeństwem informacji może być różny dla różnych organizacji, ze
względu na:
• wielkość organizacji i rodzaj jej działań, procesów, wyrobów i usług;
• złożoność procesów i oddziaływań między nimi; oraz
• kompetencje osób.

7.5.2. Opracowywanie i aktualizowanie

Opracowując i aktualizując udokumentowane informacje organizacja powinna
zapewnić:
• a) odpowiednią identyfikację i opis (np. tytuł, data, autor lub numer referencyjny);
• b) właściwy format (np. język, wersję oprogramowania, grafikę) i nośnik (np.
papierowy, elektroniczny); oraz
• c) przegląd i zatwierdzenie pod kątem przydatności i adekwatności.

7.5. Udokumentowane informacje

7.5.3. Nadzór nad udokumentowanymi informacjami

Udokumentowane informacje wymagane przez system zarządzania bezpieczeństwem
informacji i niniejszą Normę Międzynarodową powinny być nadzorowane, aby zapewnić,
że:
• a) są one dostępne i nadają się do zastosowania, tam, gdzie są potrzebne i wtedy,
gdy są potrzebne; oraz
• b) są odpowiednio chronione (np. przed utratą poufności, niewłaściwym użyciem, lub
utratą integralności).

W celu nadzoru nad udokumentowanymi informacjami organizacja powinna uwzględnić

następujące działania, jeśli ma to zastosowanie:
• c) dystrybucję, dostęp, wyszukiwanie i wykorzystywanie;
• d) przechowywanie i zabezpieczanie, łącznie z zapewnieniem czytelności;
• e) nadzorowanie zmian (np. kontrola wersji); oraz
• f) zachowywanie i likwidację.

Udokumentowane informacje pochodzące spoza organizacji, uznane przez nią za

niezbędne do planowania i operacyjnego działania systemu zarządzania
bezpieczeństwem informacji powinny być odpowiednio ozna- czone i nadzorowane.

UWAGA Dostęp oznacza decyzję dotyczącą zezwolenia tylko na wgląd do udokumentowanych

informacji lub zezwolenia i uprawnienia do wglądu i zmiany udokumentowanych informacji, itp.

31
Dokumentacja

o Egzemplarze w innych aplikacjach elektronicznych

o Elektroniczny egzemplarz wzorcowy

 Dokumentacja organizacyjna (egzemplarz na I I

tradycyjnym nośniku):
o Dokumenty rejestrowe,
o Regulamin organizacyjny,
o dokumentacja definiująca system zarządzania,
o Księga jakości, …

II II II II
o Egzemplarze w innych aplikacjach elektronicznych
o Elektroniczny egzemplarz wzorcowy K ie ru nek zwięks zan ia stopn ia
uszcze góławiania dys pozycji
 Zarządzenia, zamie szczonych w
 Regulaminy, poszczeg ólnych dokumentach
 Kodeksy
 Procedury
 itp. III III III III
Egzemplarz na tradycyjnym nośniku

III III III III

o Egzemplarze w innych aplikacjach elektronicznych
o E lektroniczny egzemplarz wzorcowy
 Instrukcje,
 opisy działań, …
Egzemplarz na tradycyjnym nośniku

IV IV IV IV IV IV
o Egzemplarze w innych aplikacjach elektronicznych
o Elektroniczny egzemplarz wzorcowy
 Zapisy, IV IV IV IV IV
IV
 oznaczenia,
 formularze, Rysunek . Układ hierarchiczny
 tabele informacyjne, ….
E gzemplarz na tradycyjnym nośniku dokumentacji systemowej
Poziomy hierarchii d okumen ta cji ora z ich rela cje
Źródło: opracowanie własne.

8. Działania operacyjne

8.1. Planowanie i nadzór nad działaniami operacyjnymi

Organizacja powinna zaplanować, wdrożyć i nadzorować procesy potrzebne do

spełnienia wymagań dotyczą- cych bezpieczeństwa informacji oraz wdrożyć
działania określone w 6.1. Organizacja powinna również wdrożyć plany osiągnięcia
celów bezpieczeństwa informacji określonych w 6.2.

Organizacja powinna zachować udokumentowane informacje w zakresie

pozwalającym na uzyskanie zaufania, że procesy zostały zrealizowane tak jak
planowano.

Organizacja powinna nadzorować zaplanowane zmiany i poddawać przeglądom

następstwa niezamierzonych zmian, podejmując działania celem zmniejszenia
jakichkolwiek niekorzystnych efektów, jeśli jest to niezbędne.

Organizacja powinna zapewnić określenie i nadzorowanie procesów zleconych na

zewnątrz.

32
 8.2. Szacowanie ryzyka w bezpieczeństwie informacji

Organizacja powinna szacować ryzyko w bezpieczeństwie informacji w

zaplanowanych odstępach czasu lub wtedy, gdy proponowane jest wprowadzenie
istotnych zmian, a także wtedy, gdy wystąpią istotne zmiany, z uwzględnieniem
kryteriów określonych w 6.1.2 a).

Organizacja powinna zachować udokumentowane informacje o wynikach szacowania

ryzyka w bezpieczeń- stwie informacji.

8.3. Postępowanie z ryzykiem w bezpieczeństwie informacji

Organizacja powinna wdrożyć plan postępowania z ryzykiem w bezpieczeństwie

informacji.

Organizacja powinna zachować udokumentowane informacje na temat wyników

postępowania z ryzykiem w bezpieczeństwie informacji.

9. Ocena wyników

9.1. Monitorowanie, pomiary, analiza i ocena

Organizacja powinna ocenić wyniki działań na rzecz bezpieczeństwa informacji

oraz skuteczność systemu zarządzania bezpieczeństwem informacji.

Organizacja powinna określić:

• a) co należy monitorować i mierzyć, włączając w to procesy związane z
bezpieczeństwem informacji i zabez- pieczenia;
• b) metody monitorowania, pomiaru, analizy i oceny, stosownie do potrzeb, w
celu zapewnienia poprawności wyników;

UWAGA Aby wybrane metody zostały uznane za poprawne, ich wyniki powinny być porównywalne i
powtarzalne.

• c) kiedy należy monitorować i wykonywać pomiary;

• d) kto powinien monitorować i wykonywać pomiary;
• e) kiedy należy analizować i oceniać wyniki monitorowania i pomiarów; oraz
• f) kto powinien analizować i oceniać te wyniki.

Organizacja powinna zachować odpowiednie udokumentowane informacje jako

dowód wyników monitorowania i pomiarów.

33
 9.2. Audyt wewnętrzny

Organizacja powinna przeprowadzać audyty wewnętrzne w zaplanowanych

odstępach czasu, w celu dostarczenia informacji o tym, czy system zarządzania
bezpieczeństwem informacji:
• a) jest zgodny z
• własnymi wymaganiami organizacji dotyczącymi systemu zarządzania
bezpieczeństwem informacji; oraz
• wymaganiami Normy Międzynarodowej;
• b) jest skutecznie wdrożony i utrzymywany.

Organizacja powinna:
• c) zaplanować, ustanowić, wdrożyć i utrzymywać program (programy) audytów, w tym
częstość audytów, metody, odpowiedzialność, wymagania dotyczące planowania oraz
raportowanie. Program (programy) audytów powinien (powinny) uwzględniać
znaczenie procesów objętych audytem oraz wyniki poprzednich audytów;
• d) zdefiniować kryteria audytu i zakres każdego audytu;
• e) wybierać audytorów i prowadzić audyty w sposób zapewniający obiektywność i
bezstronność procesu audytu;
• f) zapewnić przedstawianie wyników audytów właściwym członkom kierownictwa;
• g) zachować udokumentowane informacje jako dowód realizacji programu
(programów) audytów i wyników audytów.

9.3. Przegląd zarządzania

Najwyższe kierownictwo powinno przeprowadzać przegląd systemu zarządzania

bezpieczeństwem informacji w organizacji w zaplanowanych odstępach czasu, w celu
zapewnienia jego stałej przydatności, adekwatności i skuteczności.

Przegląd zarządzania powinien uwzględniać:

• a) stan działań podjętych w następstwie wcześniejszych przeglądów zarządzania;
• b) zmiany czynników zewnętrznych i wewnętrznych, istotnych dla systemu zarządzania
bezpieczeństwem informacji;
• c) informacje zwrotne o wynikach działań na rzecz bezpieczeństwa informacji, w tym
trendach w zakresie:
• niezgodności i działań korygujących;
• wyników monitorowania i pomiarów;
• wyników audytów; oraz
• spełniania celów bezpieczeństwa informacji.
• d) informacje zwrotne od stron zainteresowanych;
• e) wyniki szacowania ryzyka i stan planów postępowania z ryzykiem; oraz
• f) możliwości ciągłego doskonalenia.

Dane wyjściowe z przeglądu zarządzania powinny zawierać decyzje związane z

możliwościami ciągłego do- skonalenia i potrzebami dotyczącymi zmian w systemie
zarządzania bezpieczeństwem informacji.

Organizacja powinna zachować udokumentowane informacje jako dowód wyników

przeglądów zarządzania.

34
10. Doskonalenie

10.1. Niezgodność i działania korygujące

W sytuacji gdy wystąpi niezgodność, organizacja powinna:

• a) zareagować na niezgodność i, jeżeli ma to zastosowanie:
• podjąć działania mające na celu objęcie jej nadzorem i skorygowanie; oraz
• zająć się następstwami;
• b) ocenić potrzebę działań eliminujących przyczyny niezgodności, celem
uniknięcia jej ponownego wystąpienia w tym samym lub innym miejscu, poprzez:
• dokonanie przeglądu niezgodności;
• ustalenie przyczyn niezgodności; oraz
• ustalenie czy występują lub czy mogłyby wystąpić podobne niezgodności;
• c) wdrożyć wszelkie niezbędne działania;
• d) dokonać przeglądu skuteczności podjętych działań korygujących; oraz
• e) wprowadzić zmiany w systemie zarządzania bezpieczeństwem informacji, jeśli
są konieczne.
Działania korygujące powinny być dostosowane do skutków stwierdzonych
niezgodności.
Organizacja powinna zachować udokumentowane informacje jako dowód:
• f) charakteru niezgodności i wszelkich podjętych w ich następstwie działań; oraz
• g) wyników działań korygujących.

10. Doskonalenie

10.2. Ciągłe doskonalenie

Organizacja powinna ciągle doskonalić przydatność, adekwatność i skuteczność

systemu zarządzania bezpieczeństwem informacji.

35
 DZIEŃ 2.
WYMAGANIA NORMY ISO/IEC 27001
AUDYTOWANIE
WYMAGANIA PRAWNE

Załącznik A
(normatywny)
Wzorcowy wykaz celów stosowania zabezpieczeń i zabezpieczenia

A.5 Polityki bezpieczeństwa informacji

A.5.1 Kierunki bezpieczeństwa informacji określane przez kierownictwo
A.6 Organizacja bezpieczeństwa informacji
A.6.1 Organizacja wewnętrzna
A.6.2 Urządzenia mobilne i telepraca
A.7 Bezpieczeństwo zasobów ludzkich
A.7.1 Przed zatrudnieniem
A.7.2 Podczas zatrudnienia
A.7.3 Zakończenie i zmiana zatrudnienia
A.8 Zarządzanie aktywami
A.8.1 Odpowiedzialność za aktywa
A.8.2 Klasyfikacja informacji
A.8.3 Postępowanie z nośnikami
A.9 Kontrola dostępu
A.9.1 Wymagania biznesowe wobec kontroli dostępu
A.9.2 Zarządzenie dostępem użytkowników
A.9.3 Odpowiedzialność użytkowników
A.9.4 Kontrola dostępu do systemów i aplikacji

36
 Załącznik A
(normatywny)
Wzorcowy wykaz celów stosowania zabezpieczeń i zabezpieczenia

A.10 Kryptografia
A.10.1 Zabezpieczenia kryptograficzne
A.11 Bezpieczeństwo fizyczne i środowiskowe
A.11.1 Obszary bezpieczne
A.11.2 Sprzęt
A.12 Bezpieczna eksploatacja
A.12.1 Procedury eksploatacyjne i odpowiedzialność
A.12.2 Ochrona przed szkodliwym oprogramowaniem
A.12.3 Kopie zapasowe
A.12.4 Rejestrowanie zdarzeń i monitorowanie
A.12.5 Nadzór nad oprogramowaniem produkcyjnym
A.12.6 Zarządzanie podatnościami technicznymi
A.12.7 Rozważania dotyczące audytu systemów informacyjnych
A.13 Bezpieczeństwo komunikacji
A.13.1 Zarządzanie bezpieczeństwem sieci
A.13.2 Przesyłanie informacji

Załącznik A
(normatywny)
Wzorcowy wykaz celów stosowania zabezpieczeń i zabezpieczenia

A.14 Pozyskiwanie, rozwój i utrzymanie systemów

A.14.1 Wymagania związane z bezpieczeństwem systemów informacyjnych
A.14.2 Bezpieczeństwo w procesach rozwoju i wsparcia
A.14.3 Dane testowe
A.15 Relacje z dostawcami
A.15.1 Bezpieczeństwo informacji w relacjach z dostawcami
A.15.2 Zarządzanie usługami świadczonymi przez dostawców
A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji
A.16.1 Zarządzanie incydentami związanymi z bezpieczeństwem informacji
oraz udoskonaleniami
A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością
działania
A.17.1 Ciągłość bezpieczeństwa informacji
A.17.2 Nadmiarowość
A.18 Zgodność
A.18.1 Zgodność z wymaganiami prawnymi i umownymi
A.18.2 Przeglądy bezpieczeństwa informacji

37
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY
(UE) 2016/679

z dnia 27 kwietnia 2016r.) w sprawie ochrony osób fizycznych w związku

z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

(ogólne rozporządzenie o ochronie danych)

25 maja 2018r.  START

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

(UE) 2016/679

Kryteria nowych regulacji w zakresie bezpieczeństwa danych osobowych:

> Jednolite klauzule prawne

> Wymagania adekwatne do rodzaju przedsiębiorstwa

> Sankcje karne – większa skuteczność respektowania prawa

> Składanie skarg do GIODO (ułatwienia)

> Ochrona prywatności – działania zamierzone

> Inspektor Ochrony Danych (zastępstwo dla ABI)

38
 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY
(UE) 2016/679

Kryteria nowych regulacji w zakresie bezpieczeństwa danych osobowych:

> Ocena skutków przetwarzania

> Nowe obowiązki i ograniczenia dla podwykonawców (procesorów)

> Administratorzy i grupy organizacji

> Sprawozdania do GIODO w następstwie naruszeń

> Dane wrażliwe – dane szczególnych kategorii

> Działania związane z „profilowaniem”

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

(UE) 2016/679

Kryteria nowych regulacji w zakresie bezpieczeństwa danych osobowych:

> Obowiązki informacyjne wobec osób fizycznych

> Przetwarzanie danych osobowych dzieci

39
 SANKCJE KARNE – WIĘKSZA SKUTECZNOŚĆ
RESPEKTOWANIA PRAWA

> Rozporządzenie wprowadza nowe sankcje za naruszanie przepisów.

> Obecnie kary za nieprzestrzeganie przepisów są względnie niskie – ich

egzekwowanie jest mało skuteczne – grzywna ma zastosowanie za permanentne
uchylanie się od usuwania niezgodności (niska szkodliwość społeczna zachęcała
do nieprzestrzegania prawa).

> Rozporządzenie RODO przewiduje maksymalne kary do 20 mln EURO (do 4%

rocznego światowego obrotu dla firmy – zastosowanie ma kwota wyższa) za
naruszenie istotnych przepisów ochrony danych osobowych

> Rozporządzenie RODO przewiduje kary do 10 mln EURO (do 2% rocznego

światowego obrotu dla firmy – zastosowanie ma kwota wyższa) za naruszenie
przepisów mniejszej rangi.

SANKCJE KARNE – WIĘKSZA SKUTECZNOŚĆ

RESPEKTOWANIA PRAWA

> Każdy przypadek naruszenia będzie rozpatrywany indywidualnie przez GIODO

przy uwzględnieniu:

- skali naruszenia przepisu,

- przesłanek wskazujących na umyślność działania,
- działań podjętych celem ograniczenia negatywnych skutków względem osób,
których dane dotyczą,
- częstotliwości naruszania przez organizację przepisów, rodzaju danych
osobowych,
- warunków współpracy organizacji z GIODO.

40
 OCHRONA PRYWATNOŚCI – DZIAŁANIA ZAMIERZONE

> Ochrona danych ma być atrybutem wpisywanym w systemy już na etapie

projektowania.

> Powinna być właściwością „domyślną” bez konieczności inicjowania działań

przez osoby, których dane dotyczą.

> Działania związane ze spełnieniem wymagań prawnych można wykazać między

innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji.

> Za nieprzestrzeganie przepisów na etapie projektowania Rozporządzenie RODO

przewiduje kary do 10 mln EURO (do 2% rocznego światowego obrotu dla firmy
– zastosowanie ma kwota wyższa).

INSPEKTOR OCHRONY DANYCH

> Zamiast ABI powołuje się IOD

IOD należy wyznaczyć gdy:

- przetwarzania dokonują organ lub podmiot publiczny,(z wyłączeniem sądów);

- podstawowa działalność administratora lub podmiotu przetwarzającego dotyczy

operacji przetwarzania, a charakter, zakres danych lub cele działań wymagają
regularnego monitorowania podmiotów danych na dużą skalę;

- podstawowa działalność administratora lub podmiotu przetwarzającego polega na

przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii
np.: danych wrażliwych.

41
 INSPEKTOR OCHRONY DANYCH

> Wyznaczenie IOD, w niektórych przypadkach będzie dotyczyć również

podwykonawców (procesorów).

> IOD kontaktuje się z osobami, których dane dotyczą.

> IOD podlega zarządowi Administratora lub jednostki przetwarzającej.

> Grupa podmiotów może powołać wspólnego IOD.

> Za niepowołanie IOD przewiduje się kary do 10 mln EURO (do 2% rocznego
światowego obrotu dla firmy – zastosowanie ma kwota wyższa).

> Administrator i procesor musi zagwarantować procesorowi zasoby

niezbędne do utrzymania jego wiedzy fachowej.

OCENA SKUTKÓW PRZETWARZANIA

> Rozporządzenia określa, że jeżeli dany rodzaj przetwarzania z uwagi na

charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może
powodować wysokie ryzyko naruszenia prawa, administrator dokonuje
oceny skutków przetwarzania.

> Oceny skutków należy zawsze dokonywać, gdy:

- stosuje się profilowanie,

- przetwarza się dane wrażliwe na dużą skalę,
- monitoruje się na dużą skalę miejsca publiczne,
- przetwarza się dane określone przez GIODO podlegające koniczności
oceny skutków naruszenia danych.

42
 OCENA SKUTKÓW PRZETWARZANIA

> Na ocenę skutków składa się:

- opis planowanych operacji przetwarzania i ich celów,

- ocena adekwatności operacji przetwarzania w stosunku do celów,
- ocena zagrożenia dla prawa i wolności osób,
- ocenę środków ograniczających zagrożenia i mających chronić dane
osobowe.

> Ocena skutków często wymaga wiedzy eksperckiej, ponieważ w przypadku

wątpliwości administrator powinien skonsultować się z GIODO.

> Za naruszenie obowiązku oceny skutków przewiduje się kary do

10 mln EURO (do 2% rocznego światowego obrotu dla firmy –
- zastosowania ma kwota wyższa).

NOWE OBOWIĄZKI I OGRANICZENIA

DLA PODWYKONAWCÓW (PROCESORÓW)

> Zakaz podzlecania podwykonawcom przetwarzania danych osobowych bez

zgody administratora.

> Procesor rejestruje wszystkie kategorie czynności przetwarzania danych

osobowych dokonywanych w imieniu administratora (rejestr czynności).

> Obowiązek informowania administratora przez procesora w przypadku

naruszenia bezpieczeństwa.

> Obowiązek podpisania umowy administratora z procesorem przed

przekazaniem uprawnień.

43
 ADMINISTRATORZY I GRUPY ORGANIZACJI

> Administratorzy ustalający wspólne cele  współadministratorzy.

> Osoba, której dane dotyczą może egzekwować prawa od każdego

z administratorów i przeciwko każdemu z nich.

> Grupa przedsiębiorstwa  przedsiębiorstwa kontrolujące i kontrolowane.

> Współadministratorzy mogą dzielić odpowiedzialność i uprawnienia.

> Grupa przedsiębiorstw może wyznaczyć jednego IOD.

SPRAWOZDANIA DO GIODO W NASTĘPSTWIE NARUSZEŃ

> Naruszenie ochrony danych osobowych skutkujące prawdopodobnym ryzykiem

naruszenia praw lub wolności osób fizycznych zgłasza się do GIODO bez
zbędnej zwłoki – ale nie później niż w ciągu 72 godzin (3 dni).

> Jeśli ryzyko jest duże, należy informować również właściciela danych – wysoki
koszt procedury i ryzyko utraty wizerunku.

> Jeśli ADO nie ma obowiązku poinformowania GIODO o naruszeniu to i tak musi
prowadzić rejestr naruszeń.

> Sposób informowania o naruszeniu ma wpływ na wysokość kary.

> Konieczne w tym przypadku będzie tworzenie planów awaryjnych –

ciągłość działania (ISO/IEC 27001).

44
 DANE WRAŻLIWE – DANE SZCZEGÓLNYCH KATEGORII

> Zabrania się przetwarzania danych osobowych ujawniających:

- pochodzenie rasowe lub etniczne,

-poglądy polityczne,
-przekonania religijne lub światopoglądowe,
-przynależność do związków zawodowych,

DANE WRAŻLIWE – DANE SZCZEGÓLNYCH KATEGORII

> Zabrania się przetwarzania danych osobowych ujawniających:

- danych genetycznych,
-danych biometrycznych (nowość) w tym:

a) geometria (kształt) twarzy, rozkład punktów charakterystycznych

(oczy, usta) lub temperatur na twarzy,
b) geometria (kształt) ucha,
c) kształt linii zgięcia wnętrza dłoni,
d) kształt twarzy, rozkład punktów charakterystycznych (oczy, usta)
lub temperatur na twarzy,
e) geometria (kształt) ucha,
f) układ naczyń krwionośnych na dłoni lub przegubie ręki,

45
 DZIAŁANIA ZWIĄZANE Z „PROFILOWANIEM”

> „Profilowanie - dowolna forma zautomatyzowanego przetwarzania danych

osobowych, które polega na wykorzystaniu tych danych do oceny niektórych
czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy
aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej,
zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania,
lokalizacji lub przemieszczania się”.

DZIAŁANIA ZWIĄZANE Z „PROFILOWANIEM”

> Osoba, której dane dotyczą ma prawo by nie podlegać decyzji opartej na
podstawie czynności związanej z profilowaniem – jeśli wywiera skutki prawne
lub wpływa na nią.

> Powyższe nie ma zastosowania, jeśli jest to niezbędne do podpisania umowy

lub osoba wyraziła na to zgodę.

> Zakaz wykorzystywania do profilowania danych wrażliwych chyba, że osoba

wyraziła zgodę, lub działania wpływają na ważny interes publiczny.

O profilowaniu informujemy na etapie zbierania danych osobowych oraz na

wniosek osoby.

46
 OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH

Dodatkowe kryteria:

>Informacja o inspektorze ochrony danych (IOD),

> Nazwa i dane kontaktowe przedstawiciela (jeżeli ma zastosowanie),

> Prawne podstawy przetwarzania,

> Uzasadnienie interesu administratora  jeśli stanowi podstawę

przetwarzania,

> Dane państwa trzeciego  jeżeli ma zastosowanie,

> Okres przechowywania danych (kryteria ustalenia długości okresu),

OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH

Dodatkowe kryteria:

> Informacja o działaniach związanych z profilowaniem,

> Informacja o prawie złożenia skargi do organu nadzorczego,

> Podanie skutków niepodania danych – jeśli istnieje obowiązek ujawnienia

danych,

47
 OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH

Dodatkowe kryteria:

> Prawa osoby, której dane dotyczą, w tym:

- usunięcia danych,
- ograniczenia przetwarzania,
- prawo przenoszenia danych,
- prawo do cofnięcia zgody (jeśli wcześniej wyraziła zgodę na
przetwarzanie danych).

PRZETWARZANIE DANYCH OSOBOWYCH DZIECI

> Zgodę może wyrazić dziecko, które ukończyło 16 lat.

> Konieczna weryfikacja - czy zgodę wyraziło dziecko, rodzic lub prawny
opiekun – wymagane wdrożenie racjonalnych rozwiązań weryfikacyjnych.

> Zgoda nie jest konieczna w przypadku informacji profilaktycznych, czy

doradczych oferowanych bezpośrednio dziecku.

> Komunikaty muszą być napisane prostym językiem.

48
 AUDYTOWANIE SYSTEMÓW ZARZĄDZANIA
wg ISO 19011

Przeprowadzenie auditów

Audit - systematyczny, niezależny i udokumentowany proces

uzyskiwania dowodu z auditu oraz jego obiektywnej oceny w celu
określenia stopnia spełnienia kryteriów auditu.

Kryteria auditu – zestaw polityk, procedur lub wymagań

stosowanych jako odniesienie

Zakres auditu – zasięg i granice auditu

49
 Audit wewnętrzny składa się z następujących etapów:

1. Opracowanie programu auditów wewnętrznych (Przedstawiciel

kierownictwa).
2. Określenie i analiza odnośnych dokumentów (auditor wiodący).
3. Opracowanie listy kontrolnej (auditorzy).
4. Spotkanie otwierające (auditor wiodący).
5. Badania praktyczne (auditorzy).
6. Dokumentowanie niezgodności (auditorzy).
7. Spotkanie zamykające (auditor wiodący).
8. Opracowanie raportu z auditu (auditor wiodący).
9. Dystrybucja raportu (Przedstawiciel kierownictwa).

Ad. 3. Opracowanie listy pytań auditowych

•Najczęściej przy auditach wykorzystuje się funkcjonalną listę pytań kontrolnych.

•Tworząc taką listę pytań posługujemy się metodą „trzech kroków”.

50
 Krok pierwszy
PYTANIA DOTYCZĄCE SKUTECZNOŚCI PROCESU

• Jaki jest cel procesu – co ma osiągnąć?

• W jaki sposób proces współdziała z innymi procesami?
• Jakie są istotne kroki w procesie?
• Jakie są wejścia/wyjścia procesu?
• W jaki sposób mierzy się proces/monitoruje?
• Jakie są założone cele dla doskonalenia procesu?

Krok drugi
PYTANIA DOTYCZĄCE:

• wymagań poszczególnych punktów normy, które mają

zastosowanie w procesie,
• wymagań normy, mających zastosowanie do wszystkich
procesów.

51
 Krok trzeci
PYTANIA WYNIKAJĄCE Z:

• z przeglądu dokumentów odnoszących się do danej

funkcji/działalności (np. procedury),
• z wymagań klienta,
• z wymagań prawnych.

Ad. 6, Dokumentowanie niezgodności

NIEZGODNOŚĆ WYSTĘPUJE GDY POSIADAMY TRZY JEDNOZNACZNIE STWIERDZONE ELEMENTY:

• Wymaganie
• Błąd
• Dowód

52
 Wymagania – mogą pochodzić z różnych źródeł np.:

• norma systemu jakości,

• księga jakości,
• procedura,
• instrukcja,
• zamówienie klienta,
• przepisy prawa

Błąd – musi mieć miejsce inaczej brak niezgodności.

Dowód – powinien być obiektywny (np.: zapis, brak zapisu,

dokument, brak dokumentu, nienadzorowany dokument,
wypowiedź, obserwacja ale potwierdzona przez świadka).

53
 Zachowanie podczas auditu – znaczenie gestów

GŁOWA I RAMIONA

• Uniesione ramiona = Rezerwa

• Opuszczona głowa = Napięcie
• Usta wygięte w dół = Negacja, Wrogość
• Głowa uniesiona = Otwartość, zaufanie, zainteresowanie,
kontrola
• Głowa opuszczona = Wątpliwość, obrona , pogarda,
niezadowolenie, lęk, niepewność

 Głowa przechylona na bok = Zainteresowanie, ciekawość, flirt

 Potrząsanie głową = niedowierzanie, brak akceptacji
 Potakiwanie głową = akceptacja przekazanej wiadomości lub
faktów
 Uśmiechnięty = zadowolenia, przyjemność; chcę być dla ciebie
miły, a ty dla mnie; tak, mamy ten sam problem!
 Drapanie się po nosie = nerwowość
 Drapanie się w tył głowy = stoję wobec zagadki, zastanawiam
się

54
 Postawa

• Prosta = kontrola, zgodność myśli i słów, żadnych ukrytych

motywów
• Odchylona do tyłu = gest obrony, małomówność
• Pochylona do przodu = dominacja, gwałtowność,
naleganie/nacisk, dyscyplinowanie
• Ciało zgięte do przodu = osoby wysokie świadome swojego
wzrostu, ospałość, brak zainteresowania
• Prosto, brzuch/klatka piersiowa wypięte = niski – chcę się
wydawać wyższy, oficjalny

Oczy

• Unikanie kontaktu wzrokowego = oznaka podstępu/

nieśmiałości

Generowanie działań korygujących

KROKI PROCESU „DZIAŁANIA KORYGUJĄCE”

1. Wystawienie karty działań korygujących (kierownik działu),

2. Rejestracja karty działań korygujących (kierownik działu,
Przedstawiciel kierownictwa),
3. Analiza niezgodności (kierownik działu, zespół),
4. Określenie działań korygujących (kierownik działu, zespół),
5. Realizacja działań (odpowiedzialni za realizację działań,
zespół),
6. Ocena skuteczności działań (Przedstawiciel kierownictwa,
kierownik działu).

55