Temat: Planowane sprawdzenie- termin/obowiązek?
Co do zgodności z nowymi przepisami - to powinno być w ramach oceny ryzyka. Jest taka analiza - nazywa się PEST, a u brytoli PESTLE. I składa się z czynników:
P - politycznych
E - ekonomicznych
S - społecznych
T - technologicznych. Uważny czytelnik zauważy, że ów PEST wyczerpuje co najmniej połowę wymagań do określenia kontekstu organizacji z ISO 31000 (czy ISO 27001 - odsyłające do 31000). Jednocześnie tej samej analizy używałem do identyfikacji ryzyka z przepisów prawa w kontroli zarządczej, w tym kawałku o ryzyku.
I to z tego miejsca będziemy mieć wytyczne do monitorowania konkretnych przepisów. Tym bardziej, że ze zgodnością powinniśmy sobie poradzić w czasie vacatio legis, a nie w wyniku sprawdzenia zgodność z przepisami prawa. Dlatego, że w przypadku jeśli sprawdzenie wykonamy załóżmy na 3 miesiące po wprowadzeniu nowych przepisów, może się okazać że po vacatio legis (np. 1 miesiącu) pozostały czas byliśmy niezgodni.
Innymi słowy - to nie to narzędzie.
Co do sprawdzeń - proponuję stosować najlepsze praktyki z zakresu audytu, bo to nic innego jak działania w zakresie audytu wewnętrznego (w rozumieniu ISO nie przepisów prawa). W tym zakresie posługuję się czymś takim, co się nazywa program audytu i jest rozłożeniem na rok konkretnych czynności. Niestety, nie ma tutaj możliwości dodawania linków, a jest to forum więc na prov nie piszę, ale postaram się zobrazować.
W wierszach zapisujemy wymagania. Jak jest dobrze przygotowana polityka i instrukcja to nie będzie z tym problemu. Bo po prostu rozdziałami, czy załącznikami, np:.
1. Zasady nadawania uprawnień
2. Utrzymanie wykazu zbiorów w aktualności
czy z Instrukcji:
1. Zasada czystego biurka i czystego ekranu
A w kolumnach - miesiące. I na przecięciu - krzyżyk, w miejscu w którym dany miesiąc będziemy sprawdzać. Przy większych organizacjach, na przecięciu zamiast krzyżyka - oznaczenie komórki organizacyjnej.
I jest cały plan. Naprawdę nie ma co się szarpać na skomplikowane dokumenty bo nie o to chodzi.
Żeby utrzymać 5 letni okres sprawdzenia, który ja czytam jako sprawdzenie całego systemu, warto sobie rozpisać owe plany roczne już na 5-latkę. I mieć na podorędziu kolejne sprawdzenia. Bo... po co sprawdzać dany zakres? Z dwóch powodów:
1. Bo jeszcze nie był sprawdzany
2. Bo w konkretnym jest najwięcej błędów (czy to z powodu skomplikowania procedur, czy po prostu "młyna" - jak w przypadku upoważnień).
3. Bo nam tak rejestr incydentów podpowiada.
Dla tych, którzy zajmują się ryzykiem - to są działania do wpisania również jako elementy planu postępowania z ryzykiem (czy KRI - które już się przewinęły).
Ad. 1 ryzyko braku zgodności, ze skutkami prawnymi i organizacyjnymi (w sumie cały cel planu)
Ad 2 ryzyko błędów użytkownika, ze skutkami jakie nam wynikają z oceny ryzyka dla działania.
Ad 3 reakcja na ryzyko, bo się zwiększa. jeśli były incydenty, to powinno zmienić się prawdopodobieństwo. A to oznacza, że ryzyko z reguły zmienia klasę.
Jeszcze co do samych sprawdzeń. Warto pilnować jakości dokumentów. Bo wielu ABI teraz płacze, jak strasznym problemem jest ocena zgodności tego co napisali z wymaganiami prawnymi i potem działania - z polityką. Bo... beletrystyka w pisaniu się włączyła. A wystarczyło tylko stosować zapisy techniki prawodawczej i jedną naczelną zasadę, jako najważniejszą. Jedno wymaganie w jednym punkcie. Przykład:
Zamiast:
Upoważnienie wydaje się na wniosek właściwego przełożonego, zgodnie z poziomem dostępu dla zbioru określonego w wykazie zbiorów, z oznaczeniem daty wydania, daty ważności oraz zakresem dostępu.
Można napisać tak:
1. Upoważnienie wydaje się"
a. na wniosek właściwego przełożonego
b. zgodnie z siatką dostępu do zbiorów
c. oznaczając datę wydania
d. wskazując datę ważności
e. określając zakres dostepu
To rozpisanie pozawala na naprawdę fajne i szybkie sprawdzenie zgodności a niezgodności są identyfikowane precyzyjnie.
Ot rozpisałem się- sorry.