Zastanawiasz się co to jest polityka bezpieczeństwa i jak ją napisać? Jeśli Twoja odpowiedź jest twierdząca to w tym wpisie wytłumaczę krok po kroku co powinno się znaleźć w polityce bezpieczeństwa.

Podstawa prawna

Polityka Bezpieczeństwa, jest dokumentem, którego wdrożenie obciąża administratora danych. W poniżej wymienionych przepisach jest uregulowana ( w sposób ogólny) polityka bezpieczeństwa:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 2 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych  (Dz. U. 2004 nr 100 poz. 1024)
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. 2015 nr 0 poz. 719)
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. 2015 nr 0 poz. 745)

Polityka bezpieczeństwa jako dokument

Posiadanie przez firmę polityki bezpieczeństwa wynika z przepisami ustawy o ochronie danych osobowych (dalej: ustawa). Zgodnie z art. 36 par. 1  ustawy:

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Polityka bezpieczeństwa jest dokumentem opisującym, jakie zostały wprowadzone zasady bezpieczeństwa informacji w firmie uwzględniając wymagania wywodzące się ze strategii biznesowej, przepisów prawa oraz umów.

Polityka bezpieczeństwa zawiera co najmniej:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • informacje na temat sposobu przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Polityka bezpieczeństwa nie powinna mieć charakteru zbytnio abstrakcyjnego. Chodzi o realnie wdrożone lub zaplanowane systemy ochrony danych i zarządzania nimi, a nie o ideały, które nie mają żadnego odzwierciedlenia w funkcjonowaniu firmy.

 

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.

Myślę, że ten punkt jest w miarę czytelny. W ramach niego należy określić pomieszczenia, w których przetwarzane są dane osobowe, jak również miejsca, gdzie przechowuje się nośniki zawierające dane osobowe, np. szafy z dokumentami papierowymi, czy kopie zapasowe, pomieszczenia gdzie składuje się uszkodzony sprzęt komputerowy.

Przykład: Dane osobowe są przetwarzane w siedzibie firmy …..znajdującej się w …., tj. w pokoju nr …- sekretariat oraz nr …-pomieszczenie przedstawicieli handlowych.

 

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

Obowiązek administratora danych jest wskazanie jakie programy są wykorzystywane do przetwarzania danych osobowych, tj. jaki program do wysyłki newslettera, pobierania płatności za towar itp.

Istotne jest, aby wymienić wszystkie programy wykorzystywane do przetwarzania danych osobowych niezależenie od tego, czy nimi zarządza administrator danych czy też nie.

Przykład: Dane gromadzone, przechowywane i przetwarzane są w formie elektronicznej, w ramach systemu mailingowego ………….. na serwerze należącym do …………… Administrator posiada dostęp do systemu mailingowego, ale nie posiada dostępu do serwera. Administrator uzyskuje dostęp do systemu mailingowego za pośrednictwem Internetu, logując się do niego z wykorzystaniem zdefiniowanych przez siebie nazwy użytkownika oraz hasła.

 

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

Opisy poszczególnych pól w sposób jednoznaczny powinny wskazywać jakie kategorie danych są przetwarzane.

Przykład: Dane adresowe klienta – identyfikator klienta, imię i nazwisko, adres, e-mail, telefon. Zamówienie klienta – identyfikator zamówienia, identyfikator klienta, nazwa towaru, ilość towaru.

Informacje na temat sposobu przepływu danych pomiędzy poszczególnymi systemami

W tej części należy opisać sposób współpracy między rożnymi systemami informatycznymi oraz relacje, jakie istnieją pomiędzy danymi zgromadzonymi w zbiorach, do których systemy te są wykorzystywane. Przykładem może być przepływ między systemami kadrowym i płacowym oraz systemami służącymi do rozliczeń z ZUS.

 

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

Ostatnia część polityki bezpieczeństwa powinna zawierać wykaz środków technicznych i organizacyjnych, które zostały zastosowane przez administratora danych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych, a także dla zagwarantowania poufności, integralności i rozliczalności przetwarzanych danych osobowych.

Należy tutaj uwzględnić podatność systemu na zagrożenia, tj. włamania, awarie, utrata poufnych danych.

Przykład: Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie. Dostęp do danych osobowych mają wyłącznie osoby do tego upoważnione.

 

Czy polityka bezpieczeństwa jest dokumentem jawnym?

Nie. Polityka bezpieczeństwa jest dokumentem wewnętrznym firmy, a co za tym idzie nie powinna być udostępniana na stronie www. Gdyby było inaczej zupełnie bezsensowne okazałoby się uregulowanie w niej zastosowanego systemu zabezpieczeń, jeżeli każdy mógłby sobie o nich poczytać.

Należy ją jednak okazać podmiotom kontrolującym daną firmę np. inspektorom GIODO.