Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji

Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji

Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji – we współpracy z naszymi ekspertami (Magdalena Waszak, Dominik Spałek) przygotowaliśmy dla Państwa wzorcową dokumentację opisującą zasady zarządzania bezpieczeństwem informacji w organizacji. Poniżej prezentujemy szczegółową listę wraz z krótkim opisem materiałów, jakie opracowaliśmy wspólnie. Powodem dla którego podjęliśmy się tego zadania była chęć udzielenia realnego i praktycznego wsparcia dla podmiotów zobowiązanych do opracowania tego rodzaju dokumentacji. 

Dokumentacja SZBI zgodna z wymogami NIS2 ...

Oczywiście przygotowując Dokumentację SZBI opracowaliśmy ją zgodnie z wymogami jakie wynikają z treści Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa ...

Zgodnie z art. 8 Ustawy KSC

Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniający:

1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,

b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, <br>
e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;

3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:

a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym, <br>
b) dbałość o aktualizację oprogramowania,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;

6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

Projekt nowelizacji Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa ...

Zgodnie z art. 8 Projektu nowelizacji Ustawy KSC

Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez ten podmiot, zapewniający:

1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, w szczególności:

a) polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne,
b) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
c) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
d) bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi z uwzględnieniem związków pomiędzy dostawcą sprzętu lub oprogramowania a podmiotem kluczowym lub podmiotem ważnym,
e) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, oraz planów awaryjnych umożliwiających odtworzenie systemu informacyjnego po katastrofie,
f) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi systemem monitorowania w trybie ciągłym,
g) polityki i procedury oceny skuteczności środków technicznych i organizacyjnych,
h) edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu, w tym podstawowe zasady cyberhigieny,
i) polityki i procedury stosowania kryptografii, w tym szyfrowania;

3) zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi, w tym:

a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) regularne przeprowadzanie aktualizacji oprogramowania, stosownie do zaleceń producenta, z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń;

6) stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, uwzględniających uwierzytelnianie wieloskładnikowe.

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa ...

Zgodnie z §  19 ust. 1 Rozporządzenia KRI

Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Jakie dokumenty tworzą pakiet dokumentów SZBI ...

  1. Terminy stosowane:
    • Definicje, pojęcia
  2. Kontekst Organizacji
    • Kontekst zewnętrzny organizacji
    • Kontekst wewnętrzny organizacji
  3. Deklaracja stosowania:
    • Zabezpieczenia określone w załączniku A normy PN-EN ISO/IEC 27001
    • Opis spełnienia wymagań
  4. Polityka Bezpieczeństwa Informacji
    • Deklaracja Najwyższego Kierownictwa
    • Zasady ogólne
    • Bezpieczeństwo informacji
    • Organizacja bezpieczeństwa informacji
    • Zgodność z wymaganiami prawnymi
    • Przegląd zarządzania
    • Doskonalenie systemu zarządzania bezpieczeństwem informacji
  5. Bezpieczeństwo zasobów ludzkich
  6. Zarządzanie aktywami:
    • Inwentaryzacja aktywów
    • Postępowanie z aktywami – użycie i zwrot aktywów
    • Klasyfikacja i oznaczanie informacji
    • Zarządzanie nośnikami wymiennymi
  7. Kontrola dostępu:
    • Polityka kontroli dostępu
    • Zarządzanie dostępem użytkowników
    • Ograniczenia w dostępie do informacji
    • Procedury bezpiecznego logowania
    • Zarządzanie hasłami
  8. Kryptografia:
    • Polityka kryptografii
  9. Bezpieczeństwo fizyczne i środowiskowe:
    • Wyznaczenie fizycznych obszarów bezpieczeństwa (budynki, pomieszczenia, wejścia i wyjścia)
    • Ochrona przed zagrożeniami zewnętrznymi , w tym środowiskowymi
    • Praca w obszarach bezpiecznych
    • Bezpieczne obszary załadunku
    • Ochrona i konserwacja sprzętu
    • Systemy wspomagające
    • Bezpieczeństwo okablowania
    • Polityka czystego biurka i ekranu monitora
  10. Bezpieczna eksploatacja:
    • Dokumentowanie procedur eksploatacyjnych
  11. Bezpieczeństwo komunikacji
  12. Pozyskiwanie, utrzymanie i rozwój systemów
  13. Relacje z dostawcami:
    • Polityka bezpieczeństwa informacji w relacjach z dostawcami
    • Łańcuch dostaw
    • Monitorowanie i przegląd usług świadczonych przez dostawców
    • Zarządzanie zmianami w procesie usług świadczonych przez dostawców
  14. Zarządzanie incydentami związanymi z bezpieczeństwem informacji:
    • Odpowiedzialność i procedury
    • Zgłaszanie zdarzeń w bezpieczeństwie informacji
    • Zgłaszanie podatności w bezpieczeństwie informacji
    • Ocena i proces podejmowania decyzji przy incydentach w bezpieczeństwie informacji
    • Gromadzenie materiału dowodowego
    • Wnioski ze zdarzeń w bezpieczeństwie informacji
  15. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
    • Planowanie ciągłości bezpieczeństwa informacji
    • Wdrożenie ciągłości bezpieczeństwa informacji
    • Weryfikacja, przegląd i ocena ciągłości bezpieczeństwa informacji

Opcjonalnie dla zainteresowanych organizacji dajemy także możliwość opracowania dokumentacji:

  • procedur i polityk związanych z ochroną danych osobowych,
  • analizy ryzyka w bezpieczeństwie informacji

Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji

Materiały źródłowe