Temat: Udostępnianie Polityki Bezpieczeństwa Informacji i...
Anna Pogorzelska:
Miałam podobny dylemat. Stworzyłam oddzielną politykę i instrukcję dla projektów unijnych i tylko to pokazuje podczas kontroli projektów. Jeśli to złe rozwiązanie proszę o wskazówkę jak inaczej to rozwiązać.
A która z nich obowiązuje?
Co do udostępniania czy chronienia informacji i danych myślę, że nieco za daleko. W politykach bezpieczeństwa powinni Państwo mieć informację, kto i do czego może mieć dostęp. Do tego art 39 ust 2- przypadkiem te osoby nie są upoważniane? jeśli nie - zapis ten można rozszerzyć o osoby, które mają dostęp (klasa do odczytu - ale jeśli nie upoważniacie - można inaczej). Plus rejestr osób, które miały dostęp do danych, bo gdzieś to trzeba mieć.
Kolejna metoda - 266 Kodeksu Karnego. Znowu - osoby te zapoznają się z informacjami prawnie chronionymi w związku z wykonywaną pracą. Można przypomnieć treść.
Kolejne, dla prywatnych - ustawa o zwalczaniu nieuczciwej konkurencji - art 11 ust 4 i zapis w regulaminie, czy uchwale - "wszystkie dokumenty, organizujące bezpieczeństwo, w tym w szczególności plan ochrony, polityka bezpieczeństwa danych osobowych... (...) stanowią tajemnicę przedsiębiorstwa o charakterze organizacyjnym"
Sankcja - 266 KK (po spełnieniu wymaganych działań)
Dla organizacji adm. publicznej - może warto w niejawne pójść i niektóre dokumenty zrobić zastrzeżonymi. Zwłaszcza po tym, jak zmieniła się ustawa o dostępie do informacji publicznej.
Resumując. Nie wiem i nie znam istoty oraz celu takiego trzymania w ścisłej tajemnicy dokumentów które w większości firm są dokumentacją pomocniczą dla głównego procesu. Bo takim procesem jest bezpieczeństwo. Ale moim zdaniem nie można popadać w paranoję, zwłaszcza w zakresie dostępu do informacji, które i tak są chronione i tak - właśnie 266 KK jako początek. Ważne - informacja dla tych, co tak chcą grzebać, plus dokumentacja, że udostępnić trzeba było.