RODO nie wystarczy

Po wejściu w życie nowych przepisów dotyczących ochrony danych osobowych (RODO, nowa ustawa o ochronie danych osobowych) wiele podmiotów publicznych zmieniło podejście do zasad bezpieczeństwa informacji. Główna uwaga została skupiona wyłącznie na danych osobowych, a pozostałe kwestie związane z przetwarzanymi informacjami zeszły na dalszy plan.

NIK
Żródło: Najwyższ Izba Kontroli – Informacja o wynikach kontroli ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI W JEDNOSTKACH SAMORZĄDU TERYTORIALNEGO

Potwierdza to Najwyższa Izba Kontroli, która przeprowadziła kontrolę w urzędach jednostek samorządu terytorialnego kontroli bezpieczeństwa informacji oraz działań związanych z zapewnieniem wdrożenia niektórych wymogów RODO. W toku kontrolki negatywnie oceniła wykonywanie zadań związanych z zapewnieniem bezpieczeństwa przetwarzania informacji przez blisko 70% skontrolowanych podmiotów. W 61% skontrolowanych urzędów brak było systemowego podejścia dla zapewnienia bezpieczeństwa informacji.

 

Warto przypomnieć, że pomimo przepisów RODO, nadal obowiązują również zasady wynikające np. z:

  • rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz
  • ustawy o krajowym systemie cyberbezpieczeństwa.

Zapewnienie bezpieczeństwa przetwarzania informacji w urzędzie jest jednym z najistotniejszych wyzwań stojących przed administracją publiczną. Niewłaściwe zarządzanie bezpieczeństwem informacji może doprowadzić do wycieku, utraty lub sfałszowania danych posiadanych przez urząd.

Jeżeli potrzebujecie Państwo wsparcia w w/w zakresie świadczymy usługi związane z:

  • wdrożeniem systemu zarządzania bezpieczeństwem informacji;
  • audytem wewnętrznym w zakresie bezpieczeństwa informacji;
  • wymaganym przez przepisy prawa audytem dotyczącym krajowych ram interoperacyjności (KRI);
  • przeprowadzaniem okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  • zapewnieniem szkolenia osób zaangażowanych w proces przetwarzania informacji.