Temat: Polityka bezpieczeństwa - wątpliwości

Witam

mam 2 pytania odnośnie polityki bezpieczeństwa:

1) sposób przepływu danych pomiędzy poszczególnymi systemami:

jeśli dane osobowe (np. kontrahenta) wprowadzane są w hurtowni do odpowiedniego programu sprzedażowego i te same dane są dostępne dla pracownika księgowości w centrali (posiada login i hasło do tegoż programu), to czy ten "przepływ" powinien być opisany w polityce bezpieczeństwa?

Czy te dane nie są przesyłane w ramach tego samego systemu?

2) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

Mamy zbiór danych kadrowych, który jest przetwarzany przez program kadrowy (dział kadr). Kierownik sklepu ma w swoim biurze dostęp do informacji kadrowych o pracownikach, w tym samym zakresie co kadry w centrali, ale "na papierze".

- Czy to są 2 odrębne zbiory?Mnie się wydaje, że 1
- Rozumiem, że w PB muszę wskazać pola informacyjne w programie kadrowym, ale czy muszę też wskazywać, zakres danych tego zbioru przechowywany w formie papierowej?
- Czy miałoby to znaczenie gdyby w sklepie kierownik miał dostęp do węższego zakresu danych niż dział kadr?

Dzięki

Temat: Polityka bezpieczeństwa - wątpliwości

Michał P.:
jeśli dane osobowe (np. kontrahenta) wprowadzane są w hurtowni do odpowiedniego programu sprzedażowego i te same dane są dostępne dla pracownika księgowości w centrali (posiada login i hasło do tegoż programu), to czy ten "przepływ" powinien być opisany w polityce bezpieczeństwa?

Jeżeli jest to jeden system informatyczny, który obsługuje kilka obszarów działania firmy (np. hurtownia, kadry, płace, księgowość), to nie jest wymagane definiowanie przepływu, gdyż te dane nie przepływają (są w ramach jednego systemu). Jeżeli natomiast posiada Pan dwa odrębne systemy informatyczne (jeden do obsługi hurtowni, a drugi do Kadr), które są ze sobą zintegrowane (wymieniają określone dane), to należy zdefiniować przepływ danych między tymi systemami, opisując dokładnie jakie dane są wymieniane oraz czy jest to wymiana w jedną stronę czy obie strony.

Spotkałem się również z sytuacją w której jest jeden system (o budowie modułowej), gdzie określano przepływ danych między modułami. Ma to sens, gdy jeden system obsługuje kilka zbiorów danych osobowych.

Mamy zbiór danych kadrowych, który jest przetwarzany przez program kadrowy (dział kadr). Kierownik sklepu ma w swoim biurze dostęp do informacji kadrowych o pracownikach, w tym samym zakresie co kadry w centrali, ale "na papierze".
- Czy to są 2 odrębne zbiory?Mnie się wydaje, że 1

Jest to jeden zbiór danych osobowych, przetwarzany zarówno elektronicznie jak i papierowo, oraz w dodatku w sposób rozproszony - informacja o tym powinna znaleźć się w PB.

- Rozumiem, że w PB muszę wskazać pola informacyjne w programie kadrowym, ale czy muszę też wskazywać, zakres danych tego zbioru przechowywany w formie papierowej?

Zakres zbioru danych osobowych (pola/rekordy) w PB powinien obejmować w całości zarówno wersję elektroniczną jak i papierową. Najczęściej w PB odrębnie opisuje się przetwarzanie danych osobowych w papierze i elektronicznie.

- Czy miałoby to znaczenie gdyby w sklepie kierownik miał dostęp do węższego zakresu danych niż dział kadr?

Przy definiowaniu zbiorów, systemów i przepływów w PB nie jest konieczne jeszcze definiowanie grup uprawnień. Uprawnienia (węższy zakres dostępu do danych) definiowany jest indywidualnie dla poszczególnych pracowników za pomocą "upoważnienia do przetwarzania danych osobowych". Tak więc w PB mamy opisany cały zbiór/system a zakres przetwarzania dla określonych pracowników określa "upoważnienie do do przetwarzania danych osobowych".

Temat: Polityka bezpieczeństwa - wątpliwości

Bardzo dziękuje za wyczerpującą odpowiedź.