GoldenLine
Zaloguj się
Tomasz Fibingier

Tomasz Fibingier Inspektor Ochrony
Danych + IT

Temat: pół serio -> audyt telefoniczny

Witam, z góry przepraszam za wątek nie wnoszący nic merytorycznie, (chyba, ze ku przestrodze) ale nie mogłem się powstrzymać .
o co chodzi ->przeglądając jeden z portali typu ogłoszenia zlecenia trafiłem na zlec. wykonania dokumentacji wymaganej przez GIODO dla sklepu internetowego (PBI, IZSI)

czytam treść jednej ofert do tego zlecenia i tam oferent m.in. pisze, że w skład oferty wchodzi:
"Telefoniczny audyt infrastruktury informatycznej oraz organizacji pracy: Audyt zabezpieczeń stacji roboczych Audyt pomieszczeń w których odbywa się przetwarzanie danych Audyt zabezpieczeń sieci oraz serwerów Audyt zbiorów danych'

Trochę zdębiałem, ciekaw jestem Waszych opinii.
Zastanawiam się nad kupnem takiego super telefonu:) do wykonania audytu wprost z fotela w salonie:)
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: pół serio -> audyt telefoniczny

Przerażające jest to, że prawdopodobnie są osoby, które z takiego audytu skorzystały :]
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: pół serio -> audyt telefoniczny

Biorąc pod uwagę, że taki właściciel sklepiku internetowego, woli wydać każde 500 zł, co ja mówię, każdą stówkę na zatowarowanie swojego sklepu albo na jakąś formę jego reklamy, to i taki telefoniczny audyt jest pewnie lepszy niż jego brak :)

Na szumnie nazwany "system informatyczny" składa się najczęściej hosting lub w sporadycznych przypadkach VPS lub dedyk w znanej lub mniej znanej serwerowni i laptop lub komputer stacjonarny w domu przedsiębiorcy. Serio - co tu audytować?

Niestety, trzeba czasami zejść na ziemię i z naszych wspaniałych ideałów nieco zrezygnować na rzecz praktyki. Bo taki przedsiębiorca wykupi albo wzory dokumentów czy audyt telefoniczno e-mailowy, albo nic nie wykupi, nie spełni żadnych wymogów ani UODO, ani ustawy o prawach konsumenta i nadal będzie działał. Czy nam się to podoba, czy nie...
Link do wypowiedziLink
Tomasz Fibingier

Tomasz Fibingier Inspektor Ochrony
Danych + IT

Temat: pół serio -> audyt telefoniczny

Właściwie ze względów praktyki a nie ideałów ciężko mi się zgodzić z tym co napisał Pan Daniel.

Rozeznanie nawet telefoniczne przed tworzeniem dokumentacji pewnie jest lepsze niż tworzenie jej w ciemno bez żadnej wiedzy o jednostce. Ale to jest zbyt mało żeby zrobić dokumentację która opisuje procesy przetwarzania w jednostce/firmie. Z podobnym skutkiem można by wrzucić polityki i izsi ściągnięte z pierwszego lepszego bipu z neta.

A jeśli właściciel po takiej usłudze jest przekonany że ma już temat załatwiony,działa zgodnie z prawem i nie musi się martwić to jest chyba gorsza sytuacja, niż gdyby wiedział, że tylko pozornie tak jest.

Nawet w przypadku sklepu, moim zdaniem jest co audytować/sprawdzić, np. shared hosting -> ssl? powierzenie, umowy z kontrahentami, kurierami, dostawcami itp. poza tym system takiego sklep nie musi się ograniczać tylko do hostingu -> biuro, sieć lokalna, system fk czy magazynowy, pracownicy, współpracownicy, zabezpieczenie danych kontrola dostępu do SI itp.

Z rozmowy tel. ciężko uzyskać rzetelny i faktyczny obraz tego co się opisuje. Co potem może skutkować na poziom i adekwatność dokumentacji.
Link do wypowiedziLink
Marta Zawieracz

Marta Zawieracz CISA, IOD

Temat: pół serio -> audyt telefoniczny

Sprawozdanie z audytu średnio wychodzi mi na ok. 30 stron. Jak to zrobić telefonicznie? Nie wyobrażam sobie. No chyba, że ograniczy się to do pytania "Czy macie cokolwiek i czy kiedykolwiek stosowaliście jakiekolwiek zabezpieczenia danych osobowych?", a odpowiedź padnie: NIE :)
Link do wypowiedziLink

konto usunięte

Temat: pół serio -> audyt telefoniczny

Zgadzam się i z Danielem i z Tomaszem. Daniel napisał trochę szerzej, wyszedł nieco poza komentowaną ofertę. Odniósł się do pewnych realiów. Są różnej wielkości organizacje pod wieloma względami. Daniel słusznie pisze, że są 1 osobowe działalności gdzie autentycznie jest jeden komputer, hosting, kurier itp. Warto o tym pamiętać, że każdy z tych podmiotów może osiągnąć zgodność z przepisami i mieć wdrożone procedury bezpieczeństwa choć będą one osiągane w różny sposób.

Jeśli zaś chodzi o samą ofertę to zawiera ona nadużycia stąd rozumiem stanowisko Tomasza i je podzielam. Po pierwsze dlatego, że nie istnieje coś takiego jak telefoniczny audyt infrastruktury informatycznej. Można spróbować zrobić go w pewnym zakresie zdalnie - nie telefonicznie -, ale wyraźnie trzeba napisać o jakiego rodzaju testy chodzi w takim przypadku i jaki jest ich zakres. Po drugiego dlatego, że oferta nie wskazuje wprost, że chodzi o zdalne rozpoznanie, które też jest ograniczone z wiadomych względów.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: pół serio -> audyt telefoniczny

P. Beato - dziękuję. Żeby nie było - nie robię "audytów telefonicznych" :) Ale dużo można wykonać zdalnie. Szczególnie, w przypadku działalności prawie w 100% przeniesionej do sieci.
Tomasz F.:
Nawet w przypadku sklepu, moim zdaniem jest co audytować/sprawdzić, np. shared hosting -> ssl? powierzenie, umowy z kontrahentami, kurierami, dostawcami itp.

To wszystko da się zrobić zdalnie.
biuro, sieć lokalna, system fk czy magazynowy, pracownicy, współpracownicy, zabezpieczenie danych kontrola dostępu do SI

To już wygląda na większe przedsięwzięcie, a nie jednoosobowy startup, a do takich była raczej adresowana oferta "telefoniczna". Jasne, że zabezpieczeń fizycznych czy sieci lokalnej nie sprawdzimy telefonicznie. Tu wizyta on-site będzie konieczna.
Z rozmowy tel. ciężko uzyskać rzetelny i faktyczny obraz tego co się opisuje. Co potem może skutkować na poziom i adekwatność dokumentacji.

Tu akurat się nie zgodzę. Jedno i drugie to rozmowa. W kontaktach zdalnych, żeby nie być anonimowym i wyczuć lepiej przekazywane informacje i intencje rozmówcy możemy się wspomóc Skype czy innym narzędziem do wideokonferencji. Skoro obsługę wielkich, wielomilionowych transakcji można przeprowadzać w nowoczesnych kancelariach prawnych prawie całkowicie zdalnie, skoro cały audyt prawny i księgowy spółki można wykonać z drugiego końca świata, to i dużą część dokumentacji przetwarzania danych osobowych da się sporządzić zdalnie.

A co do kwestii cięcia kosztów - to przytoczę anegdotkę z mojego podwórka: pisałem kiedyś ofertę na kompleksowe usługi dla spółki, która miała wejść na Newconnect, przetwarzającej tony informacji wrażliwych. Nie skorzystali z moich usług, ani z usług innych wyspecjalizowanych doradców, argumentując, że dokumenty dotyczące przetwarzania danych przygotuje im najtaniej zaprzyjaźniona firma............. kurierska :)
Link do wypowiedziLink

konto usunięte

Temat: pół serio -> audyt telefoniczny

Zdalnie można przeprowadzić compliance oraz niektóre typy testów teleinformatycznych. Jednak kompleksowego audytu się nie da w taki sposób przeprowadzić. Pomijam już teraz to na co decyduje się firma i na czym jej zależy.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: pół serio -> audyt telefoniczny

Udało mi się odnaleźć tę firmę. W jej kontekście zastanawiam się, na ile etyczne jest posługiwaniem się "GIODO" w nazwie domeny internetowej...

Jeśli chodzi o audyt zdalny, to być może jest to jedynie niefortunne stwierdzienie - być może chodzi o wywiad telefoniczny - nieraz bywało, że klient prosił o przygotowanie dokumentacji a informacje do jej przygotowania trzeba było zebrać kontaktując się z wieloma jednostkami z całego kraju...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Audyt systemów IT




Wyślij zaproszenie do
Anuluj