Poszukiwanie „otwartych drzwi” w systemach zarządczych opierających się na podejściu
procesowym
Również w normie PN-ISO/IEC 27001:2014 można znaleźć zalecenia
związane z ochroną danych dotyczących możliwych do zidentyfikowania osób fizycznych. W załączniku A – stanowiącym wzorcowy wykaz celów stosowania zabezpieczeń i zabezpieczenia, w sekcji A.18.1.4 wskazano, że należy zapewnić prywatność i ochronę danych identyfikujących osobę stosownie do odpowiednich przepisów prawa i regulacji.
Zagadnienie to zostało rozwinięte między innymi w sekcji 18.1.4
(koncentrującej się właśnie na prywatności i ochronie danych identyfikujących osobę) normy PN-ISO/IEC 27002:2014. Zaleca się w niej zapewnienie prywatności i ochrony danych osobowych adekwatnie do obowiązujących przepisów. Wskazano również, że często najlepsze rezultaty osiąga się powołując osobę odpowiedzialną taką jak ABI (IOD), której zaleca się dostarczanie odpowiednich informacji dla kierownictwa, użytkowników i dostawców usług na temat odpowiedzialności i procedur, których przestrzeganie jest zalecane. Według normy odpowiedzialność za przetwarzanie tych informacji należy przypisać zgodnie z obowiązującymi przepisami. Jako dodatkowe źródło wiedzy w tym zakresie wskazano normę ISO/IEC 29100. Norma PN-ISO/IEC 27002:2014 porusza między innymi kwestie bezpieczeństwa w porozumieniach z dostawcami (Sekcja 15.1.2). We wskazówkach dotyczących wdrożenia zalecono włączenie do porozumień między innymi wymagań prawnych i regulacji w tym ochrony danych identyfikujących osobę oraz zapisów, w jaki sposób zapewnić ich przestrzeganie. Jest to niezwykle ważne ze względu na regulację tych zagadnień w art. 28 RODO o czym będzie jeszcze mowa w dalszej części rozdziału. Wymagania w tym zakresie znajdują się również w sekcji 0.2 „Wymagania bezpieczeństwa informacji”. Jako pierwsze z trzech głównych źródeł wymagań związanych z bezpieczeństwem wymieniono przepisy prawne, regulacje, zobowiązania umowne jakie organizacja, jej partnerzy i kontrahenci oraz dostawcy usług mają wypełnić.
Normy rodziny ISO 29100 w zasadzie całkowicie koncentrują się na
informacjach dotyczących ryzyka dla prywatności związanego z
121 Bezpłatna kopia do użycia wyłącznie w serwisie Scribd.com.
Treść poradnika w postaci pliku PDF dostępna jest na stronie konsilo.pl/szkolenia.