Michał
Koralewski
ISMS Lead Auditor,
Trener, Konsultant,
IOD, POIN
Temat: Polityki i instrukcje w organizacji?
Witam,Obecnie w mojej firmie przegotowuję politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi zgodnie z ustawą o ochronie danych osobowych. Natomiast firma zewnętrzna konsultingowa przygotowuje politykę bezpieczeństwa informacji zgodnie z normą ISO/IEC 27001;2007.
Moje pytania:
1) Jeżeli w mojej firmie istnieje kilka systemów przetwarzających dane osobowe, to czy do każdego systemu muszę tworzyć oddzielnie instrukcje zarządzania systemami informatycznymi? Czy jedna ogólna wystarczy?
2) Czy politykę bezpieczeństwa informacji - dokument jednostronicowy (ISO) i politykę bezpieczeństwa - dokument rozbudowany (UODO) można zawrzeć w jednym dokumencie, czy należy tworzyć dwa oddzielne dokumenty. Jeden odnoszący się do ustawy a drugi do normy ISO?
Pytania zadaję z premedytacją gdyż uważam, że jest to problem powstający na etapie wdrażania dobrych praktyk w firmie dotyczących bezpieczeństwa.
Pozdrawiam
Michał