GoldenLine
Zaloguj się
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Tak już mi jakiś czas po głowie chodzi ten temat. Nawet myślałem konferencję zrobić, ale czasu nigdy dość. Może na któreś internetowe, ale to pomału. W sumie łączy się z poprzednimi.

Otóż, zgodnie z art 68 ustawy o finansach publicznych (UOFP), obowiązkiem jednostek tego sektora jest prowadzenie analiz ryzyka, dla działalności. Z kolei dane osobowe powinny być chronione w sposób adekwatny do zagrożeń.

I tak sobie myślę, bo zintegrowanie tych dwóch działań do jednego, da dwie pieczenie. I spełniony wymóg dla ryzyk prawnych dla organizacji (skutek - sankcje karne, utrata kierującego jednostka, brak możliwości realizacji wszystkich zadań jednostki) oraz podstawa do tworzenia systemu zarządzania bezpieczeństwem danych osobowych.

Niestety, czy stety, jak miałem kontakty z administracją publiczną, to ryzyka jedyne jakie były, to własnie prawne, z kluczowymi sankcjami z UODO. Ale przecież ryzyka związane są też z otoczeniem, czy ludźmi. A ryzyka materializować się mogą w wyniku wystąpienia innych czynników.

Ot pożar, zalanie, włamanie (zniszczenie lub kradzież) etc.

Pytanko - czy ma to sens, żeby pobawić się w mechanizm który zaimplementuje ocenę ryzyk technicznych, sił natury i działania człowieka, do szacowania ryzyka zgodnego z art 68 UOFP? Praca trochę naukowa, trochę metodyczna, ale w Instytucie rozwinięci jesteśmy z ryzykami i metodykami oceny, więc dla nas kilka dni pracy. A całość, tak jak metodyka audytu byłaby dostępna za free (to ten nasz cel ze strategii - kształtowanie świadomości).
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Grzegorz,

Myślę, że temat jest warty podjęcia. Często mówimy o analizie ryzyka w bezpieczeństwie informacji, ale warto byłoby powiązać to jeszcze z analizą wpływu danego zagrożenia na funkcjonowanie jednostki i jakie straty może ponieść organizacja w przypadku ich zmaterializowania się. Poszedłbym nawet dalej poza ryzyka prawne i techniczne. Uważam, że warto się nad tym pochylić.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

My standardowo robimy operacyjne - czyli z działalności. Przyznaję bez bicia, że obiecałem wystąpienie Jarkowi na spotkaniu internetowym, ale się wycofałem z braku czasu.

Jako, że podobnie będzie pół roku najbliższe wyglądać, a godzina i dzień wyjątkowo mi nie pasują, bo to "biznesowy środek tygodnia" (od wtorku do czwartku), to tak sobie myślę pociągnąć.

Zarys tego co maiło być na wystąpieniu, czyli kilka rozważań.

Chronimy dane osobowe na:
zabór (sankcja karna)
zniszczenie (sankcja karna)

BCM (ciągłość działania na razie odpuszczę).

Dla zaboru - czegokolwiek, to jest system bezpieczeństwa fizycznego, czyli ochrona realizowana przez koncesjonowane podmioty zajmujące się ochroną osób i mienia. Komenda Główna Policji, wydaje takie coś, co się nazywa Metodyką uzgadniania planów ochrony, obiektów, obszarów i urządzeń podlegających obowiązkowej ochronie. Jednym z chronionych zasobów są informacje prawnie chronione - a więc również dane osobowe. Niestety mało który plan zawiera szczegóły na ten temat, a już dane osobowe tam odnaleźć - to jak kwitnącą paproć znaleźć.

Natomiast co ciekawe - system ochrony fizycznej i zabezpieczenia technicznego - to ten system, który jest wymagany w opisie we wniosku rejestracyjnym... Ciekawostka, bo ABI często się boryka z wyborem szaf, kaset, zamków, drzwi, systemów sygnalizacji włamania, telewizji przemysłowej, a ma pod bokiem speca od tego. Gdzieś w grupie już wrzuciłem podstawowy zestaw norm.

Niemniej, jaka rola analizy zagrożeń w tym wszystkim. Czy dokładniej - szacowania i oceny ryzyka.

Na wstępie moim zdaniem powinna być ocena prawdopodobieństwa nieuprawnionego wejścia na teren obiektu (dostęp do obszaru przetwarzania przez osobę nieuprawnioną). Jak jest, to trzeba postawić system kontroli dostępu - niezależnie od chronionych dóbr (nie tylko informacje).

Do tego, jeśli nadal ryzyko będzie na tyle duże, że przekracza akceptowalne, wtedy warto by przygotować system złożony z pracowników ochrony i zabezpieczenia technicznego. Działać to powinno w ten sposób, że jak zabezpieczenie techniczne daje opór np 60 minut przy działaniu narzędziem prostym (szczegóły w normie branżowej i pojęcia jednostki oporowej), to w ciągu tych 60 minut powinien się pojawić patrol. W sumie w ciągu 45 minut, bo to gwarantuje "utrzymanie" drzwi, zamka, przegrody, które bronią (pasywnie) dostępu do pomieszczeń w których są dane osobowe. Oczywiście mówimy o strefie zewnętrznej, czy strefie II, bo strefa I chronionych zasobów, to szafa, która tez posiada swoje opory. A na zewnątrz, obrysem płotu, czy ścian obiektu - strefa III, czasem zwana administracyjną. Zależy czy ABW to wymyśliło, czy MON.

Tyle mniej więcej mówią zasady i standardy w ochronie fizycznej osób i mienia, niestety, wymuszenie stosowania zapisów Metodyki KGP jest możliwe tylko w obiektach obowiązkowej ochrony, gdzie plan podlega uzgodnieniu. Reszta to "plaża", niemniej warto chyba wiedzieć, że takie obszary ochrony fizycznej istnieją i można je wykorzystać.

Drugie zagrożenie - to zniszczenie danych - wszak ADO zobowiązany jest do zabezpieczenia przed zniszczeniem. Zagrożenia tzw miejscowe, to już domena strażaków. I tu może nam z pomocą przyjść instrukcja bezpieczeństwa pożarowego, która jest obowiązkowa. I tam znajdziemy ważne informacje, czyli charakterystyka procesu technologicznego (podobnie jak w przypadku fizycznej - rozdział I). I co najważniejsze, są zagrożenia pożarowe, zagrożenia wybuchem.

Po polsku - jak się zakłada spali, czy wyleci w powietrze, również zostaną zniszczone dane na serwerach, czy tradycyjne. I tu jest całkiem fajna sprawa, bo w bezpieczeństwie pożarowym stosuje się tzw strefy pożarowe. W skrócie - między strefami są odgrodzenia ppoż, które mają za zadanie "utrzymać" się określony czas.

I tu analogia do systemu zabezpieczenia technicznego w fizycznej. Tam zabezpieczenie techniczne "utrzymuje" przed wtargnięciem do czasu patrolu lub przybycia grupy interwencyjnej, tak w pożarówce, utrzymuje do czasu przybycia jednostek ratowniczo-gasniczych.

To tak w zarysie...

Jarku, Leszku, jak chcecie wykorzystać jako materiał, to w zamian za nieprzygotowanie na spotkanie ABI, można to jako artykuł. Tylko prosiłbym o autoryzację.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Do tego złodzieja i ognia z praktyki dodałbym jeszcze:
- Wodę (łączy się często z ogniem) i to dla danych w formie fizycznej (papierowych) jak i elektronicznej (zalany serwer jest tyle samo wart co spalony). Niestety norm na to chyba nie ma ale wbrew pozorom zagrożenie całkiem realne.
- Prąd. Elektronika jest nadal wrażliwa zarówno na zanik prądu jak i marną jakość. Tu parę norm by się znalazło.
Chyba pod zniszczenie by to się kwalifikowało a często o tym się zapomina.

W przypadku dużych centrów danych dodałbym jeszcze chłodzenie i gryzonie. Może to śmieszne ale o kilku przypadkach unieruchomionych centrów przetwarzania danych z powodu zjedzenia kabli przez gryzonie słyszałem. A jak mówi prawo MURPHY'EGO wszystko co nie możliwe na pewno się zdarzy. Natomiast co do chłodzenia to kolega po fachu stał się jego ofiarą (dokładnie jego krytyczny serwer). A i z wodą ma on nieco wspólnego. Tu już ja sam raz o mało nie stałem się ofiarą wody z systemu chłodzącego a drugi raz awarii klimatyzatora.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Panie Romanie, pan nas nie docenia ;-))))

Woda z:
Zalanie - siły natury
Zalanie - siły natury/czynnik ludzki (ktoś okna nie zamknął)
Zalanie - siły natury/technika (deszcz a ktoś dachu nie naprawił. W sumie nieco człowieka z tym)
Zalanie - technika (instalacje wod - kan, woda techniczna)
Zalanie - człowiek (czajnik, napój, ... rozmach strażaków - ci topią wszystko ;-)))

To takie główne. A zabezpieczenia... nie w polityce tylko w regulaminie pracy (zamykanie okien) zasadach zarządzania budynkiem (przegląd budowlany zależny od powierzchni), instalacji (tryskacze z przepisów, a reszta jak się uda ;-))) Materiałów do oceny zagrożeń i sposobu postępowania z nimi jest masa, trzeba to tylko identyfikować.

Prąd - jak najbardziej, ale to zarządzane. przepisy stanowią. Pytanie, czy robione, czy też "Reksio" (pamiętacie czołówkę - pieczątki walił aż dudniło). Ale ogólnie jest.

Możemy jeszcze pomiary pojemności odgromów (jak już tak przy prądzie i siłach natury).

Pomiary wydajności hydrantów (jak mamy mocną pożarówkę)

Strefy zagrożenia wybuchem (bo jak rąbnie, to nie będzie patrzeć czy zmiecie też dane osobowe gromadzone w zbiorach tradycyjnych).

Żeby do brzegu. Macierz, nad jaką pracujemy, z ekspozycją, czyli czynniki inicjujące oraz to jak silnie narażone dają nam 1152 typowe kombinacje. Plus nietypowe. ;-)))
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Panie Grzegorzu,

Nie doceniłem. Tylko z tym prądem to wbrew pozorom nie wszystko przepisy regulują. A nawet to co regulują dotyczy w większości wypadków bezpieczeństwa ludzi niż elektroniki ale spierać się nie będę bo i tak jestem pod wrażeniem.

Co do wybuchu to bomba o ile jest mało prawdopodobna to gazu już bym nie lekceważył choć to pewnie będzie w ppoż.

Natomiast co do matrycy to pewnie będzie większa ale zrobiłbym ją raczej trój a nie dwu wymiarową. Łatwiej będzie znaleźć przypadki o znikomym lub bardzo małym prawdopodobieństwie.
Link do wypowiedziLink
Konrad Śliwa

Konrad Śliwa radca prawny, ochr.
informacji

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

formułując zasady kontroli zarządczej w praktyce (i słusznie) praktykuje się odesłania do już funkcjonujących wcześniej regulacji, w tym np. co do ochrony danych osobowych

jeśli w danej instytucji nie ma prowadzonej analizy ryzyka dla zasobów informacyjnych, to celowym może być powiązanie ochrony DO z kontrolą zarządczą i w jej ramach przeprowadzenie analizy ryzyka w tej mierze - dotyczyć to może nie tylko DO, ale także innych zasobów

w praktyce znanych mi urzędów, jak najbardziej bierze się pod uwagę ryzyka pozaprawne - pożary, zalania itp.

ogólne moje zdanie o kontroli zarządczej w urzędach jest z kolei takie - że jej założenia są grubo przerośnięte w stosunku do realiów i tworzy się kłopotliwą, niezrozumiałą w swojej istocie i niczym nieuzasadnioną biurokrację - ale to już taka moja prywatna opinia
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

temat dla mnie fajny ponieważ spina wiele moich kompetencji.
Ja w pewien sposób kontrole zarządczą czuje jako planowanie działań wynikających z przepisów prawa w różnych obszarach - w tym również szeroko pojętego bezpieczeństwa mienia osób danych oraz działalności operacyjnej. Dobrze jest wiadomo jak czasem jest z przestrzeganiem przepisów rożnej maści w tym prawo budowlane, ustawa o finansach, zmówienia publiczne prawo energetyczne, informacje niejawne, dane osobowe, kodeks pracy i można tak długo - bywa z tym rożnie i bardzo często kierownik jednostki tak naprawdę sam dobrze nie wie co do jego kompetencji należny - a kontrola zarządcza w jednym miejscu ma to wszystko spiąć. A że temat jest strasznie szeroki i tak naprawdę mało jest jednostek które to ogarną w jednym miejscu to inny temat. Jaka trzeba posiadać wiedzę aby to ogarnąć - ja z wykształcenia jestem ekonomistą, gdzieś po drodze skończone zarządzanie, bhp, jestem członkiem komisji energetycznej, mam uprawnienia budowlane, zajmuje się danymi osobowymi i informacją niejawna - i mogę stwierdzić że jednoosobowo trudno jest objąć aż tyle tematów które powinny być w kontroli zarządczej - jako całościowy dokument służący działaniu a nie zaliczeniu dokumentu - czyli odfajkowania obowiązku. Analiza ryzyka - w tym zagadnieniu musi obejmować dużo więcej obszarów niz tylko bezpieczeństwo i dane - ale również naruszenie dyscypliny finansów publicznych, samego zarządzania ale i takich "prozaicznych" tematów - jak terminowe odpowiedzi, czy nawet wizerunek firmy
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Bardzo słuszne spostrzeżenia. Myślę, że tutaj można więcej elementów zintegrować wspólnie. Bardzo dużo elementów wspólnych określonych w standardach dla kontroli zarządczej znajdziemy w wymaganiach dla systemów zarządzania. Jeżeli w organizacji istnieje dobrze zaplanowany system zarządzania jakością, bezpieczeństwem informacji (w tym danych osobowych) to możemy w nich znaleźć wiele cech wspólnych. Dodatkowo wymagany element audytu wewnętrznego w ramach systemów zarzadzania można rozszerzyć własnie również o elementy kontroli zarządczej. Takie elementy, które są określone w systemach zarządzania jak podejście procesowe do zarządzania organizacją, określanie celów i mierników dla realizacji procesów, monitorowanie, ciągłe doskonalenie realizacji procesów, audyty, przeglądy zarządzania można przecież idealnie połączyć z wymaganiami dla kontroli zarzadczej.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Roman Janas:
Panie Grzegorzu,

Nie doceniłem. Tylko z tym prądem to wbrew pozorom nie wszystko przepisy regulują. A nawet to co regulują dotyczy w większości wypadków bezpieczeństwa ludzi niż elektroniki ale spierać się nie będę bo i tak jestem pod wrażeniem.

Co do wybuchu to bomba o ile jest mało prawdopodobna to gazu już bym nie lekceważył choć to pewnie będzie w ppoż.

Natomiast co do matrycy to pewnie będzie większa ale zrobiłbym ją raczej trój a nie dwu wymiarową. Łatwiej będzie znaleźć przypadki o znikomym lub bardzo małym prawdopodobieństwie.


Jako, że gdzieś w przelotach byłem, a teraz chwila luzu na tarasie przy piwku.

Panie Romanie, kombinując 17 lat z zagrożeniami udało mi się w pewnym momencie opamiętać. I wrócić do tego, co nasi i nie tylko nasi przodkowie sobie ustalili. I te zagrożenia to zgodnie ze starochińskimi chyba żywiołami:
woda
powietrze
ogień
ziemia

I czynnikami inicjującymi wystąpienie tego typu zagrożenia (materializacja ryzyka) może być:
Człowiek
Natura
Technika (instalacje)

Istota analizy zagrożeń dla człowieka jako czynnika inicjującego za chwilę.
Istota zagrożeń i ich natężenie z sił natury - IMGW, straż pożarna,
Istota zagrożeń technicznych - identyfikacja instalacji technicznych występujących na obiekcie w obszarze zarówno mediów jak i ich wykorzystania. I tu po wiedzę należy udać się do instrukcji bezpieczeństwa pożarowego jako dokumentu oraz utrzymania ruchu - działu, wydziału, kierownika, mistrza.
No i istota zagrożeń z człowieka już nam po tych dwóch elementach wyjdzie, ale jeszcze trzeba dodać inne:
człowiek jako czynnik inicjujący to co wyżej (4 żywioły potrafi uwolnić) oraz dodatkowo działanie celowe lub zaniechanie działania, czego skutkiem mogą być naruszenia określone w przepisach karnych UODO.

To tak pokrótce.

Trzeci wymiar... tak, przy rozwiniętych systemach oceny, ale znowu nie wywalam otwartych drzwi, tylko sięgam do scoringu z BHP. Dokładam natężenie. Natężenie na wodę - może byc małe (zawilgocenie) średnie (okresowe zalania, np pani Krysia zachlapie dokument albo kompa) oraz ciągłe powyżej 24 h.

Ale zaznaczam przy zaawansowanych systemach zarządzania bezpieczeństwem. Z bardzo prostej przyczyny. Jak wejdę do firmy i nagle zacznę kombinować z bardzo zaawansowanym systemem, to ludzi przerażę, nie zrozumieją, nie poczują klimatu i będzie jedna wielka kicha. System musi sie rozwijać wraz ze świadomością ludzi.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Konrad Śliwa:
formułując zasady kontroli zarządczej w praktyce (i słusznie) praktykuje się odesłania do już funkcjonujących wcześniej regulacji, w tym np. co do ochrony danych osobowych

I całkiem słusznie moim zdaniem. Z tym, że niektóre regulacje powinny również zostać zmienione po wdrożeniu kontroli zarządczej.
jeśli w danej instytucji nie ma prowadzonej analizy ryzyka dla zasobów informacyjnych, to celowym może być powiązanie ochrony DO z kontrolą zarządczą i w jej ramach przeprowadzenie analizy ryzyka w tej mierze - dotyczyć to może nie tylko DO, ale także innych zasobów

Generalnie obecnie idzie się w kierunku oceny ryzyka dla procesu, uwzględniając zasobu niezbędne do jego realizacji. Niby podobnie, ale unika się baboli jakie wynikają przy wartościowaniu zasobów. Innymi słowy, dzięki podejściu procesowym, wartość zasobów jest wyliczona w sposób bardziej adekwatny. Prosty przykład - komputer referenta, który prowadzi sprawy i ma projekty pism. Komputer wart 2 tys, więc strata mizerna. Ale strata dla ciągłości działania potężna, bo się nie zmieści np w terminach KPA.
w praktyce znanych mi urzędów, jak najbardziej bierze się pod uwagę ryzyka pozaprawne - pożary, zalania itp.

Problemem jest to, że wiele urzędów czasem nie do końca potrafi zdefiniować precyzyjnie działalność podstawową, co potem powoduje, że ryzyka nazywane operacyjnymi (działalności) nie potrafią być prawidłowo zdefiniowane.

Zgodnie z poradnikiem z 2004 roku MF-u, wydanym przy okazji jakiegoś tam projektu, ryzyka prawne są klasyfikowane jako jedne z ryzyk operacyjnych, obok właśnie tych związanych z fizycznymi. A druga kategorią są ryzyka nazwane strategicznymi, robione na rozszerzonej analizie PEST. Analizę PEST można znaleźć też w standardzie brytyjskim, dla ich administracji państwowej - The Orange Book. Podejście jest dość podobne.

ogólne moje zdanie o kontroli zarządczej w urzędach jest z kolei takie - że jej założenia są grubo przerośnięte w stosunku do realiów i tworzy się kłopotliwą, niezrozumiałą w swojej istocie i niczym nieuzasadnioną biurokrację - ale to już taka moja prywatna opinia

Pytanie dlaczego? Może dlatego, ze MF walcząc o 68 UFP zapomniał, ze wcześniej MF wydał poradnik dotyczący zarządzania ryzykiem w sektorze publicznym. I potem, jak został zmuszony do wydania wytycznych, walnął lakoniczny komunikat, zapominając, że prawie 6 lat wcześniej wydano ów standard, moim zdaniem na potrzeby administracji publicznej wręcz doskonały, bo mocno wykraczający poza potrzeby.

Tym bardziej to jest smutne, bo RIO organizując do połowy 201o roku szkolenia, nie podpierało się tym standardem, tylko szukali czegoś nie wiadomo gdzie.
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

ogólne moje zdanie o kontroli zarządczej w urzędach jest z kolei takie - że jej założenia są grubo przerośnięte w stosunku do realiów i tworzy się kłopotliwą, niezrozumiałą w swojej istocie i niczym nieuzasadnioną biurokrację - ale to już taka moja prywatna opinia

Pytanie dlaczego? Może dlatego, ze MF walcząc o 68 UFP zapomniał, ze wcześniej MF wydał poradnik dotyczący zarządzania ryzykiem w sektorze publicznym. I potem, jak został zmuszony do wydania wytycznych, walnął lakoniczny komunikat, zapominając, że prawie 6 lat wcześniej wydano ów standard, moim zdaniem na potrzeby administracji publicznej wręcz doskonały, bo mocno wykraczający poza potrzeby.

Tym bardziej to jest smutne, bo RIO organizując do połowy 201o roku szkolenia, nie podpierało się tym standardem, tylko szukali czegoś nie wiadomo gdzie.

Być może dlatego, że ryzyko kojarzy się często z kryzysem z którego wynikają problemy finansowe i tutaj szuka się zabezpieczeń. A przecież kryzys nie ma jedynie odzwierciedlenia w finansach. Z zagrożeniem mamy do czynienia znacznie wcześniej - zanim nastąpią straty finansowe. Problem polega w tym, aby umieć rozpoznać zagrożenie i je minimalizować do poziomu akceptowalnego i potrafić się przed nim zabezpieczyć w momencie, gdy pojawią się już pierwsze jego symptomy. Klęski żywiołowe, nagłe zdarzenia, awarie urządeń mogą być właśnie przyczyną wystąpienia kryzysu dla danej organizacji i zagrażające jej funkcjonowaniu jeżeli wczesniej nie podjeliśmy żadnych środków zaradczych.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Darku - polemika. Każdy kryzys to kasa. Wyliczę ci przy piwie wszystko co chcesz ;-))) Mniej lub bardziej dokładnie, na PML-u.

Tylko czy istotą funkcjonowania administracji publicznej jest KASA?

Tu się częściowo zgodzę (sfalsyfikuję swoją tezę z 1 zdania ;-))), tylko nieco rozwinę. Najpierw cytat z UFP:
Art. 68. 1. Kontrolę zarządcza w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

2. Celem kontroli zarządczej jest zapewnienie w szczególności:

1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi;

2) skuteczności i efektywności działania;

3) wiarygodności sprawozdań;

4) ochrony zasobów;

5) przestrzegania i promowania zasad etycznego postępowania;

6) efektywności i skuteczności przepływu informacji;

7) zarządzania ryzykiem.

Mam wrażenie, że ta oszczędność i efektywność jest nieco na opak rozumiana.
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

No właśnie w sposób zgodny z prawem, efektywny, oszczędny i terminowy. I tak patrząc na ustawę o zarządzaniu kryzysowym "... element kierowania bezpieczeństwem narodowym, którego zadanie polega na zapobieganiu sytuacjom kryzysowym, przygotowaniu do podejmowania nad nimi kontroli w drodze zaplanowanych działań, reagowaniu w przypadku wystąpienia sytuacji kryzysowych oraz na odtwarzaniu infrastruktury lub przywróceniu jej pierwotnego charakteru" i idąc dalej kodeks cywilny - zapisy, które dotyczą zobowiązań, następnie kodeks spółek handlowych - odpowiedzialność zarządu w warunkach utraty zdolności do terminowego regulowania zobowiązań, patrząc dalej prawo budowlane - bezpieczeństwo osób, budynków i infrastruktury, prawo bankowe i wspomniana ustawa o ochronie danych osobowych - dlatego jak najbardziej wskazane jest aby rozpoznać wszystkie wymagania prawne dotyczące danej organizacji i je powiązać razem - a obecnie w większości organizacji jest to dzieło przypadku.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

PEST się kłania. ;-)))

I identyfikacja wymagań prawnych, wraz z przypisaniem ich realizacji na poziomie koordynacji i zarządzania konkretnym komórkom organizacyjnym w urzędach.

Tylko to jest PRZYSZŁOŚĆ.
Link do wypowiedziLink
Przemysław C.

Przemysław C. Trener biznesu,
coach ACC ICF,
ochrona danych
osobowych

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Dla mnie kontrola zarządza jest niczym innym jak prawnym narzuceniem obowiązku dla kierownictwa jednostki co najmniej raz do roku przeglądów zasad prawa, zarządzania, bezpieczeństwa itp funkcjonujących w jednostce - bo ustawodawca zdawał sobie sprawę jak jest w rzeczywistości. Niestety założenie jedno życie drugi.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Myślę, że nieco dalej ustawodawca poszedł. Sama konieczność utrzymywania aktualności dokumentacji wynika często z konkretnych przepisów prawa. Tutaj, wprowadzając oprócz szeregu innych obowiązków, również szacowanie ryzyka wydany został po prostu pewien standard i konieczność zarządzania ryzykiem.

Tylko niestety, mało kto potrafił to przełożyć na działanie (nie wiem jak teraz nieco się oderwałem od administracji).

Na kilku już konferencjach pokazałem, że efektywność, terminowość i obok nich oszczędność, daje spore pole do popisu do walki z najniższą ceną w przetargach.

Szacowanie ryzyka, prawidłowo zrobione, może być wskazaniem dla przetargów i użycia czynnika terminowość jako jednego z kluczowych czynników do oceny przy przetargu, zaraz obok ceny.

Przykład już mocno przeze mnie oklepany ale chyba dość jasno prezentujący. Szkoła, znajdująca się w zarządzie gminy.

Proces główny - edukacja we własnym budynku

Zamówienie - remont szkoły w okresie wakacyjnym

Ryzyko: brak zakończonego remontu.
Skutek materializacji ryzyka - przerwanie procesu głównego.
Klasyfikacja ryzyka: Ryzyko krytyczne.

I pytanie, zgodnie z kontrolą zarządczą, która nakazuje nam nie tylko oszczędnie, ale równorzędnym jest EFEKTYWNIE. Czy możemy opierając się o szacowanie ryzyka jako jednym z istotnych kryteriów oceny dodać parametry, które nam obniżą prawdopodobieństwo materializacji ryzyka nieukończenia remontu przed 1 września? Moim zdaniem jak najbardziej.

Ale jak w przypadku pracy w biznesie, tak i tutaj, sprowadzić to wszystko trzeba do wartości pieniężnej, żeby pokazać że najtaniej, nie znaczy najtaniej.

Innymi słowy - skutek materializacji ryzyka. Pomijam prawny, co się stanie z dyrektorem, czy będzie miał (nie) przyjemność spowiadać się przed rzecznikiem finansów publicznych. Ale w ujęciu finansowym:
zapewnienie innych pomieszczeń do nauki (koszt wynajmu, bo nie zawsze w gminie są puste obiekty gotowe do przyjęcia). Ile kosztuje wynajem całego budynku? 8-10 tys? Jak sie utrzyma przez 3 miesiące- skutek finansowy 30 tys.

trochę odszedłem od tematu wątku.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Kontrola zarządcza a zagrożenia dla danych osobowych

Wrócę do wątku., bo lekko wygasł.

Ci co mieli do czynienia z wdrażaniem kontroli zarządczej, czekali z utęsknieniem na więcej od MF. W tym też w zakresie zarządzania ryzykiem. MF milczał, jakby zapadł na chwilową amnezję...

http://bip.mf.gov.pl/_files_/koordynacja_kontroli_fina...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Czy istnieje instruktaz dla...




Wyślij zaproszenie do
Anuluj