Wykorzystanie zaawansowanych rozwiązań w procesie zgodności z GDPR - safesqr | we make your cybersec

Artykuł archiwalny

Wykorzystanie zaawansowanych rozwiązań w procesie zgodności z GDPR

Artykuł archiwalny

Ogólne rozporządzenie o ochronie danych osobowych RODO (GDPR) przyniesie zmiany dla wszystkich podmiotów przechowujących dane osobowe obywateli państw członkowskich Unii Europejskiej.

udostępnijudostępnij
Two,Diverse,Confident,Business,Man,And,Woman,Shaking,Hands,In

Wymagania nakładane na firmy

GDPR nakłada zobowiązania wobec organizacji przechowujących i przetwarzających dane osobowe obywateli państw UE. Między innymi są to:

  • Przyjęcie wewnętrznych polityk i procedur w celu udokumentowania, że dane osobowe są przechowywane zgodnie z rozporządzeniem
  • Stworzenie i utrzymywanie dokumentacji wszystkich operacji przetwarzania
  • Ocena bezpieczeństwa fizycznegoi elektronicznego oraz ryzyka przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieupoważnionego dostępu lub udostępnienia danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych
  • Wdrożenie odpowiednich kontroli technicznych i organizacyjnych celem zapewnienia poziomu bezpieczeństwa odpowiadającemu poziomowi ryzyka
  • Wdrożenie procedur mających na celu ocenę skuteczności działań kontrolnych zgodnych z oceną ryzyka
  • Ustanowienie procedur przeprowadzania testów kontrolnych
  • Przeprowadzenie oceny ochrony danych przed planowanym przetwarzaniem danych wrażliwych
  • Prowadzenie komunikacji z obywatelami Państw unijnych w momencie gromadzenia informacji o nich, udzielanie szczegółowych informacji i odpowiedzi na ewentualne pytania
  • Powołanie Inspektora Danych Osobowych odpowiedzialnego za zapewnienie zgodności organizacji z GDPR

GDPR wymaga aby organizacje wykorzystywały podejście oparte na ocenie ryzyka i zgodności. Aby wykazać zgodność, organizacje muszą dokumentować m.in:

  • Procesy i infrastrukturę organizacji w której przetwarzane są dane osobowe mieszkańców UE
  • Ocenę ryzyka tych procesów i infrastruktury
  • Kontrole i zasady egzekwowaniaprzepisów oraz procedury zapewniające, że dane osobowe są przetwarzane zgodnie z rozporządzeniem
  • Wyniki testów kontrolnych
  • Status kwestii nierozstrzygniętych i plany naprawcze

Sankcje za niezgodność z GDPR mogą obejmować:

  • Pisemne ostrzeżenie
  • Okresowe kontrole
  • Grzywny do 10 milionów euro lub do 2% rocznego światowego obrotu z poprzedniego roku finansowego w zależności, która z kwot jest wyższa
  • Grzywny do 20 milionów euro lub do 4% rocznego światowego obrotu z poprzedniego roku finansowego w zależności, która z kwot jest wyższa.

GDPR wymaga podejścia holistycznego. Umożliwia lepsze zrozumienie ryzyka związanego z bezpieczeństwem informacji i zachowania zgodności. Pomaga przyjąć priorytetowe zarządzanie ryzykiem i szybciej reagować na zidentyfikowane luki w ramach kontroli bezpieczeństwa informacji. Konsolidacja tych działań zapewnia zespołowi wykonawczemu, organom regulacyjnym i zarządowi dokładny obraz stanu zgodności z GDPR w całej organizacji, a także potwierdzenie, że organizacja wypełniła obowiązki regulacyjne. Samo zarządzanie zgodnością z GDPR nie jest łatwe, ale można cały proces usprawnić korzystając z dedykowanych narzędzi informatycznych.

RSA Archer i GDPR

Architektura RSA Archer pozwala organizacji na dokumentowanie i ocenę infrastruktury, zasad, procedur, ryzyka, zagrożeń, kontroli, osób trzecich, planów naprawczych w zakresie GDPR. Informacje te, po skonsolidowaniu, pozwalają stworzyć trwały, powtarzalny i łatwo zarządzany program zgodności z GDPR. Dzięki odpowiednim narzędziom można określić priorytety działań spełniających wymogi rozporządzenia i uzyskać jasny obraz zgodności z GDPR.

Zarządzanie problemami

Zarządzanie incydentami poprzez Archer może stanowić podstawę działań związanych z dostosowaniem do RODO (GDPR), dla prowadzenia aktywności wynikłych z oceny ryzyka, kontroli i audytów. Pozwala stworzyć skonsolidowany workflow zarządzający wynikami, planami naprawczymi i wyjątkami, które w większych organizacjach z pewnością wystąpią. Zarządznie incydentami pozwala stworzyć również hierarchię biznesową i ustalić strukturę firmy pod kątem  odpowiedzialności i ryzyka. Dzięki zdefiniowanej polityce zarządzania zdarzeniami biznesowymi otrzymuje się informacje na temat zaistniałych lub potencjalnych zagrożeń i działań zaradczych pozwalających likwidować ryzyko w odpowiednim czasie. Powyższa filozofia zarządzania przedsiębiorstwem pozwala skutecznie zarządzać zaistniałymi zdarzeniami i je rozwiązać w ustrukturyzowany sposób. To również szybsza reakcja na ujawnione niezgodności i bardziej proaktywne środowisko przy jednoczesnym obniżeniu kosztów przestrzegania regulacji GDPR.

 

Zarządzanie ryzykiem IT

Istotnym podmiotem bez którego nie da się wdrożyć i zarządzać ryzykiem w biznesie jest dział IT. Podejście takie pozwala wybrać optymalne narzędzie jak RSA Archer, pozwalające kompleksowo hierarchizować struktury organizacyjne, procesy biznesowe i zasoby IT zaangażowane w obsługę, przetwarzanie, przechowywanie i przekazywanie danych osobowych obywateli państw UE. Dzięki temu otrzymujemy workflow zapewniający wszystkim pracownikom firmy udokumentowany i zrozumiany we właściwym kontekście obowiązków regulacyjny dotyczący monitorowania i reagowania na naruszenia poziomu ryzyka IT w rejestrze zagrożeń. Zaplanowane oceny ryzyka IT, metodologia oceny zagrożeń oraz repozytorium kontroli IT umożliwi dokumentowanie i ocenę projektu oraz skuteczność kolejnych kontroli. Powiązanie pomiędzy ryzykiem, a kontrolami wewnętrznymi ułatwia komunikację i zgodność z wymaganiami w zakresie kontroli IT, poprawiając strategie ograniczania ryzyka i zmniejszając luki w wymaganiach GDPR.

Zarządzanie politykami bezpieczeństwa

W myśl nowego prawa firmy zobowiązane są do zapewnia ram umożliwiających stworzenie skalowalnego i elastycznego środowiska do dokumentowania i zarządzania polityką oraz procedurami organizacji w celu spełnienia wymogów RODO (GDPR). Obejmuje to dokumentowanie zasad i standardów, przypisywanie własności i mapowanie kluczowych obszarów działalności, celów i kontroli. Umożliwia skuteczne zarządzanie całym procesem zgodności z RODO (GDPR)

Osoby trzecie i zarządzanie ryzykiem

RSA Archer pozwala ocenić ewentualne ryzyko w stosunku do osób trzecich w kontekście regulacji  RODO (GDPR). Archer posiada szereg kwestionariuszy oceny ryzyka, do wypełnienia przez stronę trzecią, pozwalających ocenić wewnętrzne środowisko kontroli kooperanta w nawiązaniu do RODO (GDPR). Pozwala to na zgromadzenie odpowiedniej dokumentacji będącej punktem wyjścia do dalszej analizy. Wyniki umożliwiają określenie ryzyka w różnych kategoriach, w tym zgodności, postępowania sądowego, bezpieczeństwa finansowego, bezpieczeństwa informacji, reputacji, odporności, strategii, trwałego rozwoju i ryzyka dla poszczególnych osób trzecich. Wyniki prezentowane są dla każdego przypadku, a zwielokrotnienie w sposób „zagregowany” odzwierciedlając ogólne ryzyko dla osoby trzeciej. Ponadto można oceniać zawierane umowy, w celu upewnienia się, że spełniają zobowiązania osób trzecich w ramach RODO (GDPR).

Zobacz, jak możemy wesprzeć Twoją organizację w rozwoju

skontaktuj się z nami
następny wpis

Zapoznaj się z innymi wyzwaniami w obszarze:

Bezpieczeństwo urządzeń mobilnych w 6 krokach
Bezpieczeństwo urządzeń mobilnych w 6 krokach
sprawdź
O luce w zabezpieczeniach, którą lekceważysz i o tym jak ją załatać z MobileIron
O luce w zabezpieczeniach, którą lekceważysz i o tym jak ją załatać z MobileIron
sprawdź
SOAR, czyli wyższy poziom SOC
SOAR, czyli wyższy poziom SOC
sprawdź