Skip to content

Audyt wg RODO i innych przepisów

OFERTA AUDYTOWA I DORADCZA
(audyt wewnętrzny bezpieczeństwa danych w oparciu o RODO nowelizację UODO i Rozporządzenie KRI)

Oferta 1 / AUDYT DIAGNOSTYCZNY – zerowy
Analiza i ocena stanu faktycznego przestrzegania przepisów prawa ochrony danych osobowych w organizacji
Weryfikacja spełnienia warunków organizacyjnych, klasyfikacja przepisów prawa organizacji
Przegląd jednostki organizacyjnej i ocena zgodności – zakres techniczny
Wynik – raport z ocena zgodności

 

Oferta 2 / AUDYT DZIEDZINOWY – problemowy
Wykonywany stosownie do potrzeb Klienta audyt dziedzinowy, obejmujący wskazane obszary:
Procesy przetwarzania
Warunki zabezpieczenia
Obszary funkcjonowania organizacji
Propozycja wsparcia obejmuje działania analityczne oraz wytyczne do dalszego postępowania organizacji.
Klient może dokonać wyboru, jednej z niżej wymienionych operacji, kilku lub zadania kompleksowego:
Audyt przepisów – regulacje wewnętrzne /statut; reg.org.; pracy/
Audyt procesu – udostępniania danych /wnioski i odpowiedzi/
Audyt procesu – powierzania danych /umowy/
Audyt procesu – rekrutacji lub naboru [HR]
Audyt procesu – zabezpieczeń fizycznych [instrukcje]
Audyt procesu – zabezpieczenia i ocena efektywności systemu IT
Audyt procesu CCTV monitoring wizyjny /regulamin CCTV/
Wynik – ocena wybranych procesów w postaci protokołu audytowego

Oferta 3 / AUDYT KOMPLEKSOWY ORGANIZACJI
Szczegółowy opis zadania:

ETAP PIERWSZY:

Sprawdzenie zasad zabezpieczenia danych osobowych – w zakresie zgodności z aktualnym stanem prawnym. Ustalenie aktualnego stanu bezpieczeństwa przetwarzania danych osobowych Zamawiającego w zgodności z regulacjami prawa miejscowego, a także zmian organizacyjno – technicznych.

Zakres przedmiotowy obejmuje:
Sprawdzenie zasad przetwarzania danych – legalność przetwarzania
Sprawdzenie systemów przetwarzających dane tradycyjnie i elektronicznie, w świetle zmian architektury IT
Analiza i ocena umów, z WYKONAWCAMI USŁUG, ETC
Analiza transferu danych pomiędzy jednostką a innymi podmiotami
Analiza rozliczalności użytkowników
Analiza szacowania ryzyka utraty danych
Analiza ciągłości działania systemów IT
Ocena zabezpieczeń pomieszczeń
Ocena zabezpieczeń zbiorów tradycyjnych i archiwalnych
Ocena działania sytemu monitoringu i systemu alarmowego
Kontrola wytycznych związanych z użytkowaniem sprzętu poza siedzibą
– Bezpieczne przekazywanie sprzętu – ewidencja
– Ewidencja i niszczenie nośników
– Weryfikacja poprawności składowania danych elektronicznych
– Ocena procesów szkolenia użytkowników
Wynik – raport z audytu

ETAP DRUGI:

WERYFIKACJA I AKTUALIZACJA POLITYK OCHRONY DANYCH

Po przeprowadzeniu sprawdzenia bezpieczeństwa informacji przedstawiona zostanie zmodyfikowane i uaktualnione Polityki Ochrony Danych w świetle znowelizowanych przepisów prawa na którą składać się będą uzupełnienia m. in. w następujących dokumentach:
Polityka Ochrony Danych Osobowych
Instrukcja Bezpieczeństwa Informatycznego
Upoważnienia do przetwarzania danych osobowych, sposób organizacji
Rejestr upoważnień do przetwarzania danych osobowych, reguły wewnętrzne
Oświadczenia o zachowaniu poufności, w świetle polskiego prawa
Rejestr czynności przetwarzania danych osobowych
Rejestr przetwarzania danych osobowych wg czynności określonych w RODO
Zakres obowiązków Administratora Systemu Informatycznego i współpracy z IODO
Tematyka i plan szkolenia w zakresie bezpieczeństwa danych osobowych
Ocena pracy Inspektora ODO jednostki

Doradzamy i pomagamy określić zakres działań organizacyjno-prawnych i technicznych w świetle
DYREKTYWY PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r.
w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2). Odnosi się ona do rozpoczęcia działań zmierzających do osiągnięcia gotowości na 17 października 2024 r.
 
Parlament Europejski zmodernizował przepisy w odpowiedzi na dynamiczną cyfryzację życia i biznesu oraz rosnący poziom cyberzagrożeń. Celem nowej dyrektywy jest zwiększenie bezpieczeństwa cyfrowego, w tym poprawa odporności i zdolności reagowania na incydenty, podmiotów publicznych i prywatnych, właściwych organów państwowych i całej UE, a przy tym zapewnienie większego bezpieczeństwa odbiorcom świadczonych usług – wszystkim obywatelom UE.
 
Dyrektywa NIS2, czyli właściwy dokument o nazwie „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148” obowiązuje od 16 stycznia 2023 roku.
w motywie 121 [karta 25] wskazano na przepisy o ochronie danych osobowych RODO.
 
Kogo obowiązuje nowa dyrektywa NIS2
Zniknie dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dokument wskazuje obowiązki dla podmiotów kluczowych i podmiotów ważnych. Obowiązki te zostaną określone poprzez implementację NIS2 do porządku krajowego nie później niż na przełomie września i października 2024 roku.