CIS - MIĘDZYNARODOWA JEDNOSTKA CERTYFIKUJĄCA SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Aby otrzymywać najnowsze informacje o naszych szkoleniach, imprezach i konferencjach dołącz do naszej listy mailingowej:

Compliance czyli polityka zgodności w praktyce

Systematyczne wdrażanie planu działania.
Komentarz i porady audytora bezpieczeństwa informacji oddziału jednostki CIS w Liechtensteinie, Romana P. Büchlera.

buechler Działalność menadżerów najwyższego szczebla wymaga znajomości przytłaczającej ilości standardów, ustaw czy dobrych praktyk. Normy regulują ochronę danych osobowych, prawa konkurencji, e-commerce i prawa autorskie. Jeżeli ktoś nie chce zagubić się w tej „dżungli” powinien systematycznie śledzić wszelkie nowości, co pozwoli utrzymać kontrolę i czuwać nad sytuacją.

Warsztaty skutecznym sposobem kontroli

Celem stworzenia i utrzymania „przejrzystego systemu IT”, właściwym krokiem może być wprowadzenie praktyk szkoleń, w formie warsztatów wewnętrznych.
Warsztaty powinny obejmować takie zagadnienia jak:

wymogi prawne a IT,
przegląd aktualnej sytuacji,
zdefiniowanie najważniejszych problemów,
wytyczne dla organizacji (zdefiniować swoje własne),
określenie i identyfikacja podatności,
opracowanie planu działania.

Najistotniejsze elementy warsztatów to zagadnienia takie jak:

zarządzanie ryzykiem – obowiązek prawny,
odpowiedzialność – kto ją ponosi?
zarządzanie zapisami: klasyfikacja, przechowywanie, weryfikacja,
ochrona danych osobowych – polityka prywatności, logi, nadzór
zarządzanie tożsamością.

Warsztaty powinny objąć wszystkich pracowników, którzy aktywnie wpływają oraz wdrażają środki związane z szeroko rozumianym zarządzaniem IT:

prawników wewnętrznych,
pracowników kontroli wewnętrznej,
pracowników ds. zgodności działalności operacyjnej z przepisami (Compliance Officer),
dyrektorów ds. zarządzania ryzykiem korporacyjnym (Corporate Risk Manager)
szefów działu informatyki IT (CIO),
specjalistów bezpieczeństwa IT.

Plan działania: środki pomocne w planowaniu, kwestia odpowiedzialności

Zależnie od wielkości organizacji odpowiedzialność za zgodność z wymogami ustowodawstwa ponoszą jedna lub więcej osób. Punktem wyjściowym dla nich jest lista zawierająca spis wszystkich aktów prawnych powiązanych z tematyką IT, która pomaga ocenić, jakie wymagania zostały spełnione w organizacji, a jakie wymagają dodatkowych prac. Istotne jest także zdefiniowanie obowiązków oraz określenie harmonogramu działania. Jeśli status jest zaktualizowany, plan działań służy jako narzędzie do kontroli zgodności zarządzania i może być również wykorzystywany w celu raportowania.

Zaufanie jest dobre, kontrola jest lepsza

W celu zapewnienia zgodności z systemem konieczne jest monitorowanie zmian. Przykładowo w Szwajcarii przepisy aktualizowane są dwa razy w roku: 1 stycznia i 1 lipca. Istnieją różne sposoby monitorowania zmian:

dział prawny dokonuje zmian, informując o tym organizację, a specjalista ds. polityki zgodności dba o przeprowadzenie aktualizacji,
w organizacji działa komórka, której zadaniem jest śledzenie i informowanie o zmianach. Następnie zostają podjęte wewnętrzne działania korygujące,
organizacja zleca firmie doradczej monitorowanie wszelkich zmian i otrzymuje od niej propozycje odpowiednich działań.

Solidne podstawy w standardach ISO 27001 i ISO 20000

Dotyczy to głównie specjalistów ds. polityki zgodności i IT, a także Menadżerów Bezpieczeństwa Informacji. Najlepszy wybór to systematyczne działanie w zależności od sytuacji, stosowanie odpowiednich zestawów działań ukierunkowanych na oszczędność czasu i kosztów. W przypadku certyfikacji na zgodność z ISO 27001 lub ISO 20000 polityka zgodności jest istotnym warunkiem funkcjonowania systemu.