Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Audyt KRI bezpieczeństwa informacji

Audyt KRI bezpieczeństwa informacji.

Audyt KRI bezpieczeństwa informacji. Zagadnienia związane z tematem utrzymania i eksploatacji systemu bezpieczeństwa informacji opisane zostały w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [dalej KRI]

Rola podmiotu realizującego zadania publiczne.

Zgodnie z §20 ust. 1 KRI cyt.:

cyt.: „(…)Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i  eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność(…)”.

Zarządzanie bezpieczeństwem informacji.

Zgodnie z § 20 ust. 2 KRI

cyt.: „(…)Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań (…)”.

Obowiązkowe audyty wewnętrzne bezpieczeństwa.

Zgodnie z §20 ust. 2 pkt. 14) KRI

cyt.: „(…)Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań (…) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok (…)”.

Czy ktoś to kontroluje.

  1. Najwyższa Izba Kontroli (NIK) zgodnie z określonym planem kontroli,
  2. W jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych – właściwy wojewoda,
  3. W podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej – organ administracji rządowej nadzorujący dany podmiot publiczny,
  4. W podmiotach publicznych niewymienionych w lit. 1 i 2 – minister właściwy do spraw informatyzacji

Wyniki przykładowych kontroli.

Dla przykładu raport NIK dot. wdrożenia przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych z 2019r. dokonał analizy stanu faktycznego wskazując wprost na konkretne uchybienia podmiotów, określając przy tym konkretne przepisy ww. Rozporządzenia KRI, których się dopuściły, i na tej podstawie sformułował dalsze zalecenia, wnioski i wszczął adekwatne postępowania pokontrolne. W naszym serwisie Proste to RODO pisaliśmy o tym czytaj więcej >>>

W 2018r. NIK skontrolowała 31 jednostek samorządowych województwa podlaskiego (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), by sprawdzić w jaki sposób były chronione elektroniczne zasoby informacyjne, czytaj więcej >>>

Kto jest uprawniony do wykonania Audytu KRI.

Audytor wewnętrzny z zakresu bezpieczeństwa informacji powinien cechować się przede wszystkim: dobrą znajomością zagadnień IT; zagadnień bezpieczeństwa informacji; zagadnień związanych z ryzykiem oraz umiejętnością współpracy; wyrażania opinii, a ponadto komunikatywnością, dociekliwością i asertywnością.

Doskonale sprawdzą się w roli audytora wewnętrznego z zakresu bezpieczeństwa informacji:

  • informatycy;
  • administratorzy systemów informatycznych;
  • inspektorzy ochrony danych;
  • pracownicy działu audytu i kontroli.

Korzyści płynące z realizacji audytu wewnętrznego bezpieczeństwa informacji:

  • obiektywna ocena wdrożonych w podmiocie polityk bezpieczeństwa informacji oraz funkcjonowania systemu zarządzania bezpieczeństwem informacji,
  • poszerzanie świadomości kierownictwa podmiotu w zakresie ryzyk i podatności systemu bezpieczeństwa informacji,
  • wypełnienie obowiązku wynikającego z przepisu prawa,
  • uzyskanie wytycznych i zaleceń względem stosowanych środków technicznych
    i organizacyjnych dla ochrony danych i informacji,
  • wzmocnienie sytemu ochrony danych osobowych w zgodzie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO),
  • Przygotowanie podmiotu do kontroli organów uprawnionych do wykonywania kontroli w zakresie bezpieczeństwa informacji.

Podstawy prawne.

Szkolenie - Jak prawidłowo wykonać audyt KRI.