GoldenLine
Zaloguj się
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Załóżmy, że macie możliwość przeprowadzenia wywiadu z właścicielem firmy X. O co go zapytacie by ustalić czy odpowiednio dba o bezpieczeństwo danych? O co warto by zapytał Konsument, decydując się na współpracę z taką z firmą X?
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

O politykę bezpieczeństwa...
Polityka bezpieczeństwa powinna odpowiedzieć na wszystkie pytania Konsumenta.
...
NIe jestem tylko pewien, czy tak można sobie zażyczyć PB do wglądu...

Jeśli nie, to zapytałbym o procedury przetwarzania danych, ze szczególnym naciskiem na przechowywanie i ochronę przed nieuprawnionym dostępem.
Link do wypowiedziLink

konto usunięte

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Wojciech C.:
O politykę bezpieczeństwa...
NIe jestem tylko pewien, czy tak można sobie zażyczyć PB do wglądu...

nie będzie tego problemu, bo większość nie będzie wiedziała o czym mowa i po co to ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

A do czego ci to? ;-)

Pytanie banalne, ale tylko z pozoru. Inaczej wygląda audyt referencyjny (strony drugiej) np przed powierzeniem przetwarzania, inaczej audyt bezpieczeństwa - robiony na rzecz klienta, z wdrożonym systemem, a jeszcze zupełnie inaczej audyt bezpieczeństwa, robiony na rzecz klienta, który chce wdrażać system.

Pozornie wszystko powinno być tak samo, ale po otwarciu jest zupełnie inaczej, bo zagadnienia są mocno zróżnicowane.

Prosty przykład - odpowiednio to jak? Dla kogo odpowiednio?

Dla nas? - zgodnie z art 36 UODO, podstawą będzie NASZE szacowanie i ocena ryzyka oraz ocena wdrożonych rozwiązań, na adekwatność i reakcję na ryzyko, we wszystkich 3 fazach.

Dla naszego Klienta? Nasze przekonania chowamy w buty i wiodąca jest jego OCENA ryzyka, w obszarze apetytu.

I tak dalej mogę. Ogólnie - to czy firma ODPOWIEDNIO dba o bezpieczeństwo danych, zależy od tego jaki mamy apetyt na ryzyko, mając gdzieś tam z tyłu głowy poziom premii za to ryzyko. Dlatego na tak postawione pytanie nie ma prostej odpowiedzi.

Przed audytem po to się uzgadnia kryteria wiodące (najlepiej z poziomem ryzyka akceptowalnego) aby w ramach takiego badania odpowiedzieć - czy dany poziom bezpieczeństwa jest ODPOWIEDNI. Mam nadzieję, że nie zamotałem i jest jasno ;-)
Link do wypowiedziLink
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Grzegorz K.:
A do czego ci to? ;-)
>
Pewnie do CZEK LISTY ;-)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Ja stawiałem na kolejny wpis na blogu, czy inną publikację. ;-)
Link do wypowiedziLink
Katarzyna M.

Katarzyna M. rentierka,
bezrobotna

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Z tego co ja wiem od koleżanek i kolegów, to papiery bardzo często się zgadzają, a rzeczywistość jest inna.
Tylko jak to sprawdzić ?
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Najlepiej audytem...
Tylko jaka firma zgodzi się, żeby konsument robił jakiś audyt?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Ale my nie wiemy, że to ma być konsument. Jest mowa o wywiadzie - czyli jednej z podstawowych technik audytu (oprócz obserwacji czy analizy dokumentacji, już nie mówię o testach, bo nie każdy chce).

I mamy informację, że to z WŁAŚCICIELEM ma być wywiad, a więc może to być zaraz po spotkaniu otwierającym pierwsze wejście ;-)
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...


O co warto by zapytał Konsument, decydując się na współpracę z taką z firmą X?

Chyba wiemy że to konsument:)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

O sorry... ;-)
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

To chyba zależy kto będzie sprawdzał.

W obrocie gospodarczym jest łatwiej - po pierwsze podmiot może w umowie zadeklarować jak będzie dbał o ochronę danych osobowych. Ponadto można (a nawet powinno) zapewnić sobie możliwość przeprowadzenia kontroli - i wyniki kontroli (bezpośredniej bądź wykonanej przez inny podmiot) mogą stanowić potwierdzenie jakości ochrony danych osobowych.

Natomiast konsument niewiele ma możliwości. Może co najwyżej sprawdzić, czy firma zarejestrowała zbiór/zbiory a i to też nie do końca jest wiarygodnia informacja, bo dane osobowe (zwykłe) można przetwarzać po wysłaniu zgłoszenia do GIODO - a proces rejestracji trwa niekiedy miesiącami, w efekcie zbiór nie jest widoczny w rejestrze GIODO (nawiasem mówiąc w lutym wysłałem zgłoszenie aktualizacyjne z danymi wrażliwymi, mamy już październik i wciąż czekam).

Z tego powodu konsumenci powinni (raczej) wybierać podmioty o dobrej reputacji i znanej marce - którym zależy na dbałości o ochronę danych osobowych, bo jeśli coś pójdzie nie tak, to ich marka na tym może ucierpieć - a to przekłada sie na wynik finansowy.
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Bardzo dziękuję za wypowiedzi w temacie :)
Link do wypowiedziLink

konto usunięte

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

najlepiej zarzadac certyfikatu
http://www.pdpcerificates.pl
Link do wypowiedziLink

konto usunięte

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Adam M.:
najlepiej zarzadac certyfikatu
http://www.pdpcerificates.pl

jakiego certyfikatu? Bo raz że http://www.giodo.gov.pl/560/id_art/2652/j/pl/ a dwa, że powyższy link też prowadzi na manowce. Jeśli chodziło o coś w stylu: Practitioner Certificate in Data Protection http://certifications.bcs.org/content/conCertification/8 to przecież to są komptenecje osób, nie zobowiązania podmiotu.
Więc jeśli o coś pytać to poza oczywistymi: regulamin, klauzule, rejestrację zbioru, czy podleganie nadzorom (np. KNF-owi) to o kwestie które są powiązane (czasem luźno) z tematem. Np. o certyfikację zarządzania bezpieczeństwem informacji.
Link do wypowiedziLink
Michał L.

Michał L. Independent Business
Security Consultant

Temat: Jak wg Was można sprawdzić czy firma odpowiednio dba o...

Najpierw sprawdzić czy ma zarejestrowaną bazę w GIODO (a często nie ma lub ma bzdury wpisane ;-) a potem zapytać o to samo + pytania o politykę bezpieczeństwa danych osobowych + parę pytań z instrukcji przetwarzania d.o. (w zasadzie wiele kwestii w instrukcji jest powtarzalnych). Ewentualnie dodatkowo poczytać na forum poświęconym d.o. lub stronie GIODO o różnych problemach w o.d.o. Odpowiedzi + obserwacja zachowania powiedzą czy człowiek zna się na tym praktycznie, czy mądraluje (naczytał się tylko ;-). Ewentualnie wskaże osobę kompetentną (często tak jest).
"Papierów" to może mieć pełno zalegających na półkach aby pokazać w razie audytu, czyli jak powiedziała Katarzyna - "papiery bardzo często się zgadzają, a rzeczywistość jest inna".
"Papiery" OK można wziąć pod uwagę ale ważne zmaczowanie ich z rzeczywistością ;-)
Jeśli wywiad ma być do artykułu, to jak wyżej. Jeśli wywiad przed nawiązaniem kontaktu handlowego, to są wyjątkowe sytuacje (najczęściej duże firmy i duże kontrakty) gdy jest się dopuszczonym "do środka" aby przeprowadzić audyt np. prawne due diligence/badanie compliance.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Zmiana Administratora Danyc...




Wyślij zaproszenie do
Anuluj