Temat: Instrukcja zarządzana Systemem Informatycznym - procedury

Witam, mam ogromny zgryz z ASO - mianowicie postuluje o to, by w Instrukcji podawać tylko "regulują wewnętrzne procedury postępowania" w pozycjah dotyczących m.in. postępowania w przypadku naruszenia bezpieczeństwa, czy też najprostszej - logowania - i nie wpisywać (załączać) samych procedur do Instrukcji.

Jak radzicie ? Przystać na to ? Z mojego doświadczenia wynika, że jakakolwiek kontrola czuje się usatysfakcjonowana, jeżeli dostaje czarno na białym treść wprowadzonych procedur, więc czy wpiszemy procedury bezpośrednio do instrukcji, czy też podamy że regulują je wewnętrzne przepisy, to i tak należało by je zawrzeć w postaci papierowej i mieć udostępnione na potrzeby kontroli.

Temat: Instrukcja zarządzana Systemem Informatycznym - procedury

U mnie procedury są w Instrukcji [ew. w załącznikach Instrukcji], zgadzam się z tym iż lepiej [dla uzytkownika] jeśli wszystko jest czarno na białym, zebrane w jednym miejscu.

§ 5. naszego ulubionego rozporządzenia

Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8) procedury wykonywania przeglądów

Instrukcja ma zawierać procedury a nie informacje iż takowe istnieją, takie jest moje zdanie.Wojciech Kogut edytował(a) ten post dnia 24.06.09 o godzinie 10:48

Temat: Instrukcja zarządzana Systemem Informatycznym - procedury

Wszystko zależy od organizacji. Jeśli organizacja ma już dobrze „poukładane” IT (zdefiniowane i wdrożone procedury regulujące zarządzanie systemami IT) to moim zdaniem w dokumentacji dot. przetwarzania danych osobowych powołać się na nie niż je przepisywać. Dwa dokumentu do nadzorowania to zdecydowanie o jeden za dużo ;-)

Nie zgadzam się z twierdzeniem, że dla użytkowników będzie wygodniej gdy będzie to jeden dokument. Gdy przeciętny użytkownik zobaczy opasły dokument, zawierający mnóstwo mu nieprzydatnych rzeczy (Np. zasady wykonywania kopii zapasowych, opis struktury bazy danych etc.) to raczej nie uzna tego dokumentu za „przyjazny”.

W samym rozporządzeniu nie ma nic na temat formy dokumentacji (poza tym że musi być „w formie pisemnej”). Niemniej GIODO w swojej publikacji „ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych” (http://www.giodo.gov.pl/data/filemanager_pl/1057.pdf) pisze: „Pojecie ‘polityka bezpieczeństwa’ użyte w rozporządzeniu należy rozumieć – jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji3.” W tej samej publikacji przy okazji omawiania wymagań dla procedury tworzenia kopii zapasowych zbiorów danych:

Fragment instrukcji dotyczący wykonywania kopii zapasowych, gdy procedury ich wykonywania są złożone, może się odwoływać do procedur szczegółowych przypisanych poszczególnym zbiorom danych czy też systemom informatycznym. Procedury takie powinny być wówczas załączone do instrukcji zarządzania.

O samej „Instrukcji zarządzania…” natomiast:
Zawarte w niej procedury i wytyczne powinny być przekazane osobom odpowiedzialnym w jednostce za ich realizację stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności. Np. zasady i procedury nadawania uprawnień do przetwarzania danych osobowych czy też sposób prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych powinny być przekazane osobom zarządzającym organizacją przetwarzania danych; sposób rozpoczęcia i zakończenia pracy, sposób użytkowania systemu czy też zasady zmiany haseł – wszystkim osobom będącym jego użytkownikami; zasady ochrony antywirusowej, a także procedury wykonywania kopii zapasowych – osobom zajmującym się techniczną eksploatacją i utrzymaniem ciągłości pracy systemu.

Nie bardzo wyobrażam sobie sytuacje, gdzie najpierw „sklejamy” kilka dokumentów w jedna instrukcję, a potem znowu ją „kroimy” w celu przekazania fragmentów odpowiednim osobom.

Podsumowując, ja jestem zdania że dokumentacja ma przede wszystkim 1) zapewniać bezpieczeństwo danych osobowych oraz 2) (w sumie) opisywać wszystkie wymagane prawem elementy. Aby możliwe było 1), dokumentacja musi być łatwa zarówno do utrzymania, jak i przyjazna w codziennym użytkowaniu. A tego - moim zdaniem – w większości organizacji nie da się osiągnąć publikując jedną dużą, kompleksową „Instrukcje zarządzania…”

Ciekawy jestem jakie jest zdanie innych uczestników grupy. A może ktoś zetknął się z tym problemem podczas kontroli GIODO?

Pozdrawiam,
Jakub