Temat: Jednolite zasady dokumentowania wyników oceny zgodności w...
Witam Panią!
Ocena zgodności w odniesieniu do standardu ISO 27001 nie dotyczy tylko zgodności z wymaganiami prawnymi oraz wewnętrznymi - jak mogę się domyślić - w większości organizacyjnymi. Owszem, jest to jeden z ważnych obszarów będących w rozważaniu tej normy, ale takich obszarów jest więcej i dotyczą innych dziedzin.
Rozumiem, że Pani - jako osoba odpowiedzialna właśnie za zgodność wymaganiami prawnymi, jest zobowiązana do:
1. potwierdzenia - kierownictwu, osobie wyznaczonej przez kierownictwo (pełnomocnik), że ta domena (zgodność z wymaganiami prawnymi) jest monitorowana, zarządzana oraz aktualna?
2. raportowanie odbywa się w cyklu miesięcznym?
3. model/schemat/szablon raportowania oraz sposób pomiaru musi Pani opracować samodzielnie?
4. ocena zgodności dotyczy
a) wszystkich wymogów prawnych (kadry, finanse, księgowość, przepisy branżowe),
b) Pani obszaru (mniemam - umowa/statut firmy, uchwały zarządu, organów firmy, zarządzenia wewnętrzne, polecenia służbowe, kontrakty menadżerskie, komunikacja z organami firmy oraz dokumentacja)?
Jednym z powszechnie stosowanych rozwiązań jest funkcjonowanie w firmie procedury/instrukcji/procesu, wprost dotyczącego zasad zarządzania (aktualizacji, wycofania, rozpowszechniania, udostępniania) dokumentami w organizacji - być może jest w Pani firmie takie odniesienie, które wskazuje na obowiązujące szablony i wzory dokumentów wewnętrznych i zewnętrznych, formatu wiadomości e-mail, wzoru raportu z audytu wewnętrznego, notatek służbowych, etc. powiązany np. z formalnymi/nieformalnymi zasadami komunikacji w organizacji i na zewnątrz organizacji? Takie rozpoznanie może być Pani bardzo pomocne.
Jak Pani słusznie zauważyła, nie sposób monitorować, oceniać i prezentować wyniki oceny z tak szerokiego obszaru, jakim są wymagania prawne w firmie, w dodatku z dość dużą częstotliwością (moim skromnym zdaniem). W każdej firmie są osoby, które z danej dziedziny prawa (np. ustawa o rachunkowości) - z natury rzeczy będą na bieżąco - i ocena zgodności jest tutaj niejako wymuszonym elementem :) (czyli zakres opisany w p. 4a).
Proponowałabym więc wejść w kontakt z takimi osobami (np. z działu kadr, księgowości, audytu, ABI - czyli administrator bezpieczeństwa informacji w rozumieniu ustawy o ochronie danych osobowych, itd.) - które z łatwością mogą Pani potwierdzić (lub nie...) zgodność firmy z wymaganiami prawnymi w zakresie własnych kompetencji.
Dokumentowanie wyników takiej oceny może Pani przeprowadzić zgodnie z przyjętym schematem/modelem dokumentowania/raportowania w Pani firmie.
Nieocenioną pomocą w Pani pracy byłaby z pewnością współpraca z kancelarią radców prawnych - o ile Pani organizacja taką współpracę prowadzi - mam nadzieję, że tak. Kancelaria mogłaby dodatkowo zweryfikować i/lub potwierdzić wyniki przeprowadzonej przez Panią oceny.
Gdyby ocena oraz jej dokumentacja wyników oceny dotyczyła zakresu wymienionego w p. 4b), miałaby Pani ułatwione zadanie - IMHO - wystarczyłby rejestr tych dokumentów i zapisów które Pani prowadzi oraz nadzoruje ich wykonanie - z wykorzystaniem obowiązujących w firmie sposobów raportowania (niekoniecznie musi być to wzór raportu, być może wystarczy wiadomość e-mail ze stosownymi informacjami i wyjaśnieniami).
Mam nadzieję, że mój (nieco obszerny-przepraszam!) post, pomoże Pani w tym niełatwym zadaniu. Proszę dać znać, jak zmierzyła się Pani z tym tematem - wierzę, że poradzi sobie Pani :)
Pozdrawiam i życzę powodzenia!
пропозиції роботи
