GoldenLine
Zaloguj się
Marcin W.

Marcin W.
TI/IT/VM/HT/PC/XP/AD
/SE/XL/XE/AS/TB/CP/J
S/JV

Temat: Wnioski poaudytowe

Witam, nadszedł u mnie w firmie czas rozpoczęcia audytów wewnętrznych...

Jeśli rozumiem, protokół pokontrolny wędruje zawsze do ADO, który prowadzi dokumentację w tym zakresie, a kopię zatrzymuje ABI - czy wnioski poaudytowe ABI powinien kierować na ADO, czy do konkretnej komórki, którą kontrolował ? Co (jak) należałoby w takich wnioskach ująć ?Marcin MaW W. edytował(a) ten post dnia 11.05.09 o godzinie 12:07
Link do wypowiedziLink
Marcin W.

Marcin W.
TI/IT/VM/HT/PC/XP/AD
/SE/XL/XE/AS/TB/CP/J
S/JV

Temat: Wnioski poaudytowe

Czy mam wskazać zaniedbania, wytyczyć czas naprawy, napisać "tak i tak robić", zlecić wykonanie, czy odesłać do Polityki Bezpieczeństwa ? (obawiam się, że raz za razem kończyło by się wszystko na odsyłaniu do polityki bezpieczeństwa)
Link do wypowiedziLink
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: Wnioski poaudytowe

O ile mnie pamięć nie myli, to UODO nic nie wspomina o audycie wewnętrznym i zaleceniach dla niego.
Generalnie jeśli już jesteś ABI to reprezentujesz ADO i powinieneś mieć dostateczne umocowanie w organizacji aby wnioski kierować bezpośredni do „winnych” zaniedbań.
Do ADO posłałbym tylko notkę jakie niezgodności zidentyfikowano i jakie podjęto działania naprawcze.
Co do bycia ABI i audytorem to powinny być to rozdzielne funkcje w ramach obszaru ochrony danych osobowych. Najbezpieczniej byłoby wziąć audytora z zewnątrz organizacji, bądź dedykowanego audytora wewnętrznego. ABI, który prowadzi audyt tak naprawdę kontroluje sam siebie.

Pozdr.
A.D.
Link do wypowiedziLink

konto usunięte

Temat: Wnioski poaudytowe

Zależy co jest przedmiotem audytu. Jeśli stan realizacji polityki bezpieczeństwa i instrukcji + zasady dot. bezpieczeństwa przetwarzanych danych to moim zdaniem ABI jak najbardziej powinien mieć możliwość prowadzenia audytów i nie będzie to kontrola własnej pracy. Z praktyki wiem, że zwykli użytkownicy są bardzo oporni przy wprowadzaniu zmian wynikających z uodo (np. 8 znakowe hasła, wymuszanie zmian etc.) i w tym zakresie audyt mógłby być doskonałym narzędziem dla ABI, żeby egzekwować pewne działania. Dodatkowo możliwość przekazywania informacji pokontrolnej do ADO (osoby go reprezentującej np. prezesa) oraz do kierownika audytowanej komórki organizacyjnej sprawi, że użytkownik będzie czuł, że musi stosować się do zaleceń ABI.

Marcin - w informacji poaudytowej wpisywałbym wszystko to co wskazałeś w swoim drugim poście (w miarę możliwości ze wskazaniem czego dot. zaniedbanie i pokazania że tak nie wolno ponieważ pkt. taki i taki polityki zakazuje etc.)
Link do wypowiedziLink
Michał Koralewski

Michał Koralewski ISMS Lead Auditor,
Trener, Konsultant,
IOD, POIN

Temat: Wnioski poaudytowe

Witam,

Marcinie, z tego co widzę jesteś informatykiem i ABI w jednej osobie - szczerze współczuję. Jest to totalnie sprzeczne ze sobą gdyż sam sobie patrzysz na ręce. Generalnie ABI jest oddzielną jednostką kontrolującą całą organizację w zakresie UODO. A w szczególności informatyków.
Co do tematu zgodzę się w pełni z Michałem. Audyty co trzy miesiące, wnioski do ADO, we wnioskach proponuje się posiłkować normami ISO 27001 i 17799. Na ich podstawie przygotowywać checklisty i punkt po punkcie audytować i budować świadomość wśród pracowników. Audyt jest odbierany jako kontrola. Po części tak, ale audyt ma na celu również uświadamiać i uczyć. Staraj się nie zrazić do siebie pracowników, opowiadaj anegdoty, wydaj wewnętrzny biuletyn, gazetkę i nieprzerwanie uświadamiaj wszystkich bez wyjątku. Mam na myśli również kierownictwo i sprzątaczki. Przygotuj plan szkoleń, podziel kadrę na grupy, zaproś specjalistę od UODO i razem całą firmę przeszkolcie. Podstawowa zasada, pewnie jedna z wielu - nie możesz od nikogo nic wymagać jeżeli wcześniej nie przeszkoliłeś.

Pozdrawiam
Michał
Link do wypowiedziLink
Marcin W.

Marcin W.
TI/IT/VM/HT/PC/XP/AD
/SE/XL/XE/AS/TB/CP/J
S/JV

Temat: Wnioski poaudytowe

Nie, nie jestem informatykiem - jestem konsultantem i innowatorem - to ze względu na troszeczkę inne podejście do informatyki niż zastane w firmie ;-). Administrator sieci jest odrębnie Administratorem Systemu i pełni funkcję wykonawczo-nadzorczą, tak jak ma pełnić.

W każdym razie dzięki za rady - podobnie też tłumaczę w firmie: nie mam co wymagać, dopóki nie będzie przeprowadzonych odpowiednich szkoleń. M.in. z tego też powodu wnioskowałem o 3-miesięczny okres przejściowy, który i tak okazuje się za krótki.Marcin MaW W. edytował(a) ten post dnia 13.05.09 o godzinie 10:27
Link do wypowiedziLink
Michał Koralewski

Michał Koralewski ISMS Lead Auditor,
Trener, Konsultant,
IOD, POIN

Temat: Wnioski poaudytowe

3 miesiące trochę mało. Z mojego doświadczenia pierwsze owoce pracy nad świadomością w zakresie bezpieczeństwa przychodzą po 6-7 miesiącach:) Pozdrawiam i życzę powodzenia.
Link do wypowiedziLink
Michał Koralewski

Michał Koralewski ISMS Lead Auditor,
Trener, Konsultant,
IOD, POIN

Temat: Wnioski poaudytowe

Oczywiście w zależności od wielkości organizacji.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj