Temat: Polityki i instrukcje w organizacji?
Tego pytania to ja akurat nie rozumiem ;-)))
PN-ISO/IEC 27001:2007
Rozdział 4.2.1. punkt b podpunkt 2.
Tam chyba jasno wskazane, że musisz wziąć pod uwagę wymagania prawne o charakterze regulacyjnym. UODO jest wymaganiem prawnym, ma również charakter regulacyjny odnoszący się do konkretnego zakresu przetwarzanych danych i informacji.
Problem w tym tylko, ze zarówno polityka bezpieczeństwa jak i instrukcja zarządzania systemem, jakich żądać będzie GIODO muszą być zbudowane według wytycznych z Rozporządzenia.
Ale nie jest to problem prawny, czy bezprawny, a problem organizacyjny. Swego czasu agencje rządowe otrzymały wytyczne z pewnych organów Unii, żeby wprowadziły systemy zarządzania bezpieczeństwem informacji, a ISO 27001 był jednym z dopuszczalnych standardów. Dodam, że ta konkretna, dla której konsultacje robiłem wybrała ISO, a do tego jeszcze przetwarzała dane osobowe (masę tych danych).
I jakoś daje się pogodzić.