Temat: Pytanie o Politykę Bezpieczeństwa
Tomasz A.:
Dziękuję!
Mam jeszcze 2 pytania :)
1. Czy w polityce powinno się wyszczególnić komputer w którym przetwarzane są dane osobowe, chodzi o przypadek gdy w pokoju jest więcej niż jeden komputer a tylko na jednym zainstalowany program.
W odnośnym Rozporządzeniu mamy określone, że należy wskazać obszar, w którym przetwarzane są dane osobowe. Stąd wskazujemy pokój. Później, w ramach opisu struktury systemu informatycznego można opisać to, o czym Pan wspomina.
2. Czy ABI powinien przeprowadzać kontrole komputerów/pomieszczeń gdzie nie są przetwarzane dane osobowe czy raczej jest to zadanie ASI?
Zależy od współpracy ASI-ABI, i procedur wewnętrznych Spółki, ale w ostatecznym rozrachunku za nadzór odpowiada ABI. Jeśli w ramach tego nadzoru zleca ASI jakieś zadania, to dobrze byłoby mieć to opisane w dokumentacji wewnętrznej spółki.
Z praktycznego punktu widzenia - jeśli ASI jest kimś, kto odpowiada za ustawienia komputera/utrzymanie sieci to raczej do niego należy przygotowanie wszystkiego zgodnie z PBI, a do ABI kontrola. To wynika z prostej zasady, że nikt siebie samego nie powinien sprawdzać.
oraz czy ABI powinien określić jak te komputery powinny być zabezpieczone w PBI.
Tak.