GoldenLine
Zaloguj się

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Trochę szerszy niż ustawa odo

Tajemnice przedsiębiorstwa, tajemnica handlowa (w trakcie negocjacji) informacje o źródle i informatorze do utworu (własność intelektualna), czasem niejawne, osobowe, patentowe, własność przemysłowa, tajemnica dziennikarska.

Czasem jeszcze specyficzne konkretnej grupy zawodowej, zależy od klienta.
Link do wypowiedziLink
Barbara Pióro

Barbara Pióro ABI, Prezes Zarządu,
Global Information
Security Sp. z o.o.

Temat: Polityki i instrukcje w organizacji?

Moim zdaniem polityka bezpieczeństwa informacji zgodna z normą ISO/IEC 27001;2007 i polityka bezpieczeństwa, o której mowa w usatwie o ochronie danych osobowyc to dwa różne dokumenty i nie należy ich łączyć. Powinny zostać opracowane dwa oddzielne dokumenty. Oczywiście w polityce zgodnej z normą może, a nawet powinno być odwołanie do polityki z ustawy.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

W sumie jakby nie patrzeć, są to dwa odrębne standardy. Niemniej, jednak kusiłbym się, żeby nie układać bezpieczeństwa w firmie przez pryzmat informacji, co w działaniu oznacza jednak konieczność zintegrowania.

Oczywiście pod warunkiem, że ISO 27001 będzie traktowana jako wiodąca metodyka przy tworzeniu bezpieczeństwa informacji (wszystkich ważnych w firmie).
Link do wypowiedziLink
Michał Koralewski

Michał Koralewski ISMS Lead Auditor,
Trener, Konsultant,
IOD, POIN

Temat: Polityki i instrukcje w organizacji?

Rozumiem, że bez względu na to w jaki sposób zostanie rozwiązany przeze mnie temat polityk będzie on zgodny z prawem i nikt nie zarzuci mi, że połączyłem lub nie te dwa dokumenty.

Oczywiście zakładam, że ISO 27001 będzie wiodącą metodyką przy organizacji bezpieczeństwa.
Link do wypowiedziLink

konto usunięte

Temat: Polityki i instrukcje w organizacji?

Tego pytania to ja akurat nie rozumiem ;-)))

PN-ISO/IEC 27001:2007
Rozdział 4.2.1. punkt b podpunkt 2.

Tam chyba jasno wskazane, że musisz wziąć pod uwagę wymagania prawne o charakterze regulacyjnym. UODO jest wymaganiem prawnym, ma również charakter regulacyjny odnoszący się do konkretnego zakresu przetwarzanych danych i informacji.

Problem w tym tylko, ze zarówno polityka bezpieczeństwa jak i instrukcja zarządzania systemem, jakich żądać będzie GIODO muszą być zbudowane według wytycznych z Rozporządzenia.

Ale nie jest to problem prawny, czy bezprawny, a problem organizacyjny. Swego czasu agencje rządowe otrzymały wytyczne z pewnych organów Unii, żeby wprowadziły systemy zarządzania bezpieczeństwem informacji, a ISO 27001 był jednym z dopuszczalnych standardów. Dodam, że ta konkretna, dla której konsultacje robiłem wybrała ISO, a do tego jeszcze przetwarzała dane osobowe (masę tych danych).

I jakoś daje się pogodzić.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Relacje z dostawcami, a bez...




Wyślij zaproszenie do
Anuluj