Co si představit pod povinností přijmout vhodná technická a organizační opatření? Zejména se jedná o posouzení každého procesu zpracování, jaké údaje zpracováváme, kam je ukládáme elektronicky a fyzicky a jaká případná rizika ze ztráty, znehodnocení anebo zneužití musíme řešit. Asi se ptáte – jak moc, a vyplatí se to vůbec?
Otázka ovšem nezní, zda nastane problém se zabezpečením, ale kdy nastane.
Když se takto zbavíme mylné představy, že se nás to nemůže týkat, můžeme již racionálně uvažovat o tom, jak s problémem, se kterým se jednoduše dříve či později musíme setkat, naložit.
Mezinárodní standardy ISO 2700X komplexně řeší, jak nastavit interní předpisy, politiky, pracovní postupy za účelem nastavení efektivního rámce bezpečnosti informací. Dále poskytuje postupy, jak identifikovat a kvantifikovat jednotlivá rizika a ošetřit je.
Audit systému řízení bezpečnosti informací (ISMS) zajistí objektivní vyhodnocení přiměřenosti, efektivnosti a účinnosti přijatých opatření za účelem ochrany údajů. Audit je možné provádět v organizaci anebo také u třetích stran, zejména zpracovatelů. Cílem auditu je identifikovat potencionální rizika a vyhodnotit možnost, kdy situace nastane, kvantifikovat dopady na společnost a navrhnout opatření pro odstranění/snížení negativního dopadu na společnost. Naším posláním je, ve spolupráci se společností, vytvořit jasný postup pro neustálé zlepšování procesů a tím přispívat k efektivní ochraně osobních údajů.
Tato norma navazuje na zjištění auditu dle ISO 27001 a pomáhá zajistit kontinuální a systematický přístup k řešení rizik identifikovaných auditem (ISRM – Information Security Risk Management). Společným postupem vytvoříme účinný systém řízení rizik implementujících možnosti klienta, pokud jde o rozsah finanční náročnosti a lidských zdrojů.
Poslední nezbytnou normou, kterou právě stávající hygienická opatření prověřily, je kontinuita podnikání. Jde o rozsah efektivních opatření pro případ přírodních katastrof, ale i nepředvídaných situací, jakými je např. COVID-19.
ISO 2700X jsou dozorovými úřady považovány za zlatý standard ochrany osobních údajů a dat celkově (CNIL, ICO). Nicméně ISO není jen seznam doporučení co dělat, když..., ale vezměme to popořádku.
Na začátku
- správně a reálně nastavíme rozsah implementace, aby odpovídala Vašim cílům
- společně stanovíme metodu hodnocení rizik, abychom zjistili zranitelná místa a hrozby
- zaměříme se na snížení rizik anebo zmírnění hrozeb na akceptovatelnou úroveň
- plán přizpůsobíme Vašim finančním i organizačním možnostem
- proškolíme personál
- provážeme bezpečnostní postupy s GDPR compliance
Stejně jako Vy ani my nechceme rychlé a drahé řešení, ale efektivní nastavení procesu postupného zlepšování zabezpečení informací, protože jedině tak lze udržet rizika v rozumné rovnováze se stále se objevujícími novými bezpečnostními výzvami. Povinnost dokumentovat přijatá opatření můžeme pomoci splnit nejjednodušším způsobem (papírově – směrnice, postupy, politiky), anebo ještě jednodušším s vhodnou mírou automatizace (například pomocí modulu OneTrust či obdobným řešením dle Vaší volby) pro usnadnění dokladování compliance, a tudíž i snížení rizika trestní odpovědnosti.
A co pak?
A pokud přeci jen nastane pátek třináctého, můžete se spolehnout, že jsme Vám k dispozici:
- pomoc při investigaci (odhalení příčin, zajištění důkazního materiálu)
- notifikace dozorovému úřadu nebo subjektům údajů
- asistence při komunikaci s médii a veřejností
