GoldenLine
Zaloguj się
Robert Owczarczyk

Robert Owczarczyk sp. ds. informatyki
ABI

Temat: ASI i ABI

Pytanie
Czy jest gdzieś napisane że ASI nie może być ABI ??
Link do wypowiedziLink

konto usunięte

Temat: ASI i ABI

Poszukaj na forum, ktoś już o tym wspominał..
Wojciech R. Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych - ABI i ASI w jednej osobie
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: ASI i ABI

Czy jest napisane to nie wiem, ale na pewno dochodzi do konfliktu interesów. W praktyce ASI chce, aby wszystko śmigało... ABI, aby było to bezpieczne :D Te osoby patrzą na system przetwarzania często z różnych perspektyw.
Link do wypowiedziLink

konto usunięte

Temat: ASI i ABI

Ewelina P.:
Poszukaj na forum, ktoś już o tym wspominał..
Wojciech R. Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych - ABI i ASI w jednej osobie
Pan WR Wiewiórowski był GIODO, teraz jest:

http://czasopismo.legeartis.org/2015/04/edyta-bielak-j...
Link do wypowiedziLink

konto usunięte

Temat: ASI i ABI

ABI pełni rolę nadzorczą nad ASI - więc muszą to być dwa oddzielne byty, tak samo ABI nie powinien być Prezesem np. Banku.

Jak jest inaczej to proszę o korektę z podaniem podstawy prawnej.
Link do wypowiedziLink

konto usunięte

Temat: ASI i ABI

Adamie czy gdzieś w ustawie jest ujęte, że ABI i ASI nie mogą być jedną osobą??
Bo z tego co mi się wydaje ta decyzja należy do ADO.
Jest sprawą oczywistą, że jeśli jedna osoba będzie pełniła obie te funkcję to nie do końca będzie utrzymana nad tym kontrola, natomiast nie ma też podstawy prawnej, w której jedna osoba nie mogła by pełnić tych obu funkcji.

Jeśli się mylę to proszę mnie poprawić.
Link do wypowiedziLink

konto usunięte

Temat: ASI i ABI

Powierzenie obu roli (funkcji ABI i ASI) jednej osobie może skutkować brakiem nadzoru nad prawidłową realizacją zadań w sferze bezpieczeństwa danych osobowych. Jako audytor będę zatem zawsze wskazywał na ryzyko związane z brakiem nadzoru wykazując zagrożenie dla bezpieczeństwa przetwarzanych danych osobowych. W praktyce właśnie tak to wygląda, że nadzór nad realizacją zadać sprowadza się do kontroli wykonywanych przez tę osobę działań. Poprawnie to zastosowanie dodatkowych środków kontrolnych (mechanizmy kontrolne) np. w postaci rejestrowania wszystkich czynności technicznych i administracyjnych wykonywanych przez taką osobę oraz okresowej ich weryfikacji przez administratora danych lub np. przez niezależnego audytora – polecam swoje usługi.

Moje stanowisko podziela Pan Wojciech R. Wiewiórowski (IV i V kadencji GIODO)
Link do wypowiedziLink

konto usunięte

Temat: ASI i ABI

Jak najbardziej zgadzam się z tą opinią,natomiast ustawa nie określa tego, że jedna osoba nie może pełnic obu tych funkcji. Pan Wojciech Wiewiórski pisał również o tym, że ta decyzja należy do ADO.

Przepraszam z błedy ale odp z tel. Pozdrawiam.
Link do wypowiedziLink

konto usunięte

Temat: ASI i ABI

Audytor nie ogranicza się do przepisów GIODO - bada o wiele szerzej - więcej rzeczy jak kwalifikacje pracowników, politykę bezpieczeństwa informacji i ocenia ryzyka. Sam ADO bez audytora może popełniać błędy , więc decyzja musi być zatem podejmowana świadoma po ocenie ryzyka. (czytaj. bez ASI)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: ASI i ABI

Chwila, jak to audytor ocenia ryzyko?

Ocena ryzyka jest elementem systemu, zaraz po inwentaryzacji i składa się z identyfikacji zagrożeń, podatności i po tym określenia skutku oraz z drugiej strony - prawdopodobieństwa. Jako takie ryzyko stanowi podstawę - po akceptacji przez zarządzających, do określenia zakresu i kształtu systemu zarządzania bezpieczeństwem danych osobowych.

Co do ryzyka, audytor na bazie zebranych dowodów może/powinien:
ocenić jakość wykonanej analizy ryzyka
ocenić skuteczność stosowanych zabezpieczeń (np wskazane cele stosowania zabezpieczeń) ocenić skuteczność przyjętych

Gdyby przyjąć, że audytor ocenia ryzyko, oznaczałoby to dokładnie taki sam błąd jak powierzenie funkcji ASI i ABI jednej osobie. Z jednej strony byłby współtwórcą systemu (wskazując poziomy i definiując ryzyka) a z drugiej oceniałby własną pracę - czyli czy przyjęty model oceny jest właściwy.

Co do zakazu łączenia stanowisk - ustawa wprost nie posługuje się katalogiem stanowisk nie dozwolonych do łączenia, a sam przepis wskazuje że dodatkowe funkcje nie mogą wpływać na wykonywanie funkcji ABI. Połączenie z ASI - który jest jednym z wykonawców systemu zarządzania bezpieczeństwem danych osobowych w mojej ocenie jest błędem i kwalifikuje się właśnie jako stanowisko które uniemożliwia właściwe wykonywanie zadań.

Idąc dalej - w organizacjach w których wdrożono systemy antyfraudowe (przeciwdziałania nadużyciom) wprost jest przyjęte, że nie można mieć osoby wykonującej i nadzorującej na jednym stanowisku.
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: ASI i ABI

Krótko... Na mocy obowiązującego prawa ABI i ASI może być ta sama osoba. Przy czym należy pamiętać, że wymagania co do powołąnia ABI reguluje UODO.

Żadna kontrola, w której uczestniczyłem nie podważyła tego rozwiązania, nawet w formie, że prezes powołał siebie na ABI oraz upoważnił się do pełnienia funkcji ASI. Spotykam taką strukturę najczęściej w szkołach. Dyrektor, który jest ADO, pełni funkcję ABI, a sam powołuje siebie na ASI - gdyż jest nauczycielem informatyki i nie ma komu zlecić wypełniania zadań ASI.

Jeśli rozpatrujemy tę kwestię, w oparciu o rzeczywiste bezpieczeństwo oraz na przykład zgodność z normą ISO 27001:2013, wtedy ASI i ABI w jednej osobie jest niezgodnością. Narusza zasady kontrolingu oraz zaburza cykl Deminga.

Na koniec... Jeśli mamy problem, że zastanawiamy się czy ABI i ASI może być jedną osobą, to najprawdopodobniej rozwiązaniem jest zaniechanie powoływania ABI :)
Link do wypowiedziLink

konto usunięte

Temat: ASI i ABI

Niezależny audytor wykaże ryzyko związane z łączenia funkcji ABI i ASI w jednej osobie. Zlecający audyt na podstawie otrzymanego raportu pokontrolnego może otrzymać w nawiązaniu do art. 37 ustawy o ochronie danych osobowych i bezpieczeństwa informacji ryzyko z tym związane. Audytor faktycznie zweryfikuje czy "wybrana osoba dawała (nadal daje) rękojmie prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych."

W myśl dobrych praktyk Audytor IT nigdy nie ogranicza się do przepisów UODO wręcz przeciwnie - powinien umieć ocenić ryzyko wskazujące na ryzyko związane z "czynnikiem ludzkim".Ten post został edytowany przez Autora dnia 29.05.15 o godzinie 12:42
Link do wypowiedziLink
Piotr K.

Piotr K. Ochrona danych
osobowych,
Bezpieczeństwo
informacji, Inte...

Temat: ASI i ABI

Mateusz R.:
Krótko... Na mocy obowiązującego prawa ABI i ASI może być ta sama osoba. Przy czym należy pamiętać, że wymagania co do powołąnia ABI reguluje UODO.

Panie Mateuszu,
Nie zgodzę się. W obecnym stanie mamy w UoODO art. 36a 2. i 4. W mojej opinii wykonywanie obowiązków ABI i ASI przez jedną osobę jest sprzeczne z zapisem mówiącym o tym, że wykonywanie innych obowiązków nie naruszy prawidłowego wykonywania zadań o których mowa w pkt. 2.
Jeżeli ABI i ASI to jedna osoba, to gdzie rozliczalność?
Taka sama sytuacja będzie w przypadku pełnomocnika ISO powołanego jako ABIi ta nieprawidłowość będzie dotyczyć większej ilości obszarów.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: ASI i ABI

Wskazać ryzyko w raporcie, a oceniać ryzyko, to moim zdaniem zupełnie inne działania.

Z rzeczonego przypadku może wskazać potencjał doskonalenia, który wymaga rozdzielenia funkcji. Potencjał, bo nie ma wymagania wprost, a jest zapis. I interpretacja, mimo, ze w pełni się zgadzam, nadal jest interpretacją. Niestety...

Ale jak już zapiszemy w Polityce konkretne stanowiska, których nie wolno łączyć, to będzie już niezgodność jak byk. I raczej w tym kierunku bym szedł mówiąc o działaniach audytora. Audytor poszukuje zgodności i potencjału doskonalenia.
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: ASI i ABI

Panie Piotrze, ja się zgadzam w pełni, że nie jest to dobre rozwiązanie i nigdy takiego nie zalecam. Zawsze zwracam uwagę na ryzyka z tym związane. Jednak... O jakiego typu naruszeniach Pan mówi konkretnie?

Jeśli wchodzimy na bardziej szczegółową dyskusję to musimy doprecyzować o jakim typie podmiotu rozmawiamy. Jednak nie doszukujmy się w UODO odpowiedzi na wszystkie pytania. Moje stanowisko podtrzymuje, że w ustawie nie znajduje się zakaz by funkcję ABI mógł pełnić również informatyk (ASI). Rozliczalność można realizować w inny sposób.
Piotr K.:
Mateusz R.:
Krótko... Na mocy obowiązującego prawa ABI i ASI może być ta sama osoba. Przy czym należy pamiętać, że wymagania co do powołąnia ABI reguluje UODO.

Panie Mateuszu,
Nie zgodzę się. W obecnym stanie mamy w UoODO art. 36a 2. i 4. W mojej opinii wykonywanie obowiązków ABI i ASI przez jedną osobę jest sprzeczne z zapisem mówiącym o tym, że wykonywanie innych obowiązków nie naruszy prawidłowego wykonywania zadań o których mowa w pkt. 2.
Jeżeli ABI i ASI to jedna osoba, to gdzie rozliczalność?
Taka sama sytuacja będzie w przypadku pełnomocnika ISO powołanego jako ABIi ta nieprawidłowość będzie dotyczyć większej ilości obszarów.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

ABI informatykiem, prawniki...




Wyślij zaproszenie do
Anuluj