Polityki / Procedury

Polityka bezpieczeństwa informacji to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej wewnątrz organizacji. Należy zaznaczyć, że zgodnie z ustawą o ochronie danych osobowych polityka bezpieczeństwa, o której mowa w rozporządzeniu powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w § 36 Ustawy o ochronie danych osobowych.

Integralną częścią Polityki Bezpieczeństwa Informacji jest Instrukcja Zarządzania Systemem Informatycznym, określająca sposób zarządzania systemem informatycznym, służącym do przetwarzania danych. W treści instrukcji powinny być zawarte ogólne informacje o systemie informatycznym i zbiorach danych, które są przy ich użyciu przetwarzane, zastosowane rozwiązania techniczne, jak również procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych.

Aktualizujemy lub tworzymy od podstaw pełną dokumentację polityki bezpieczeństwa informacji i ochrony danych osobowych zgodną z obowiązującymi przepisami, m. in. zgodną z:

  • Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO)
  • Ustawą o ochronie danych osobowych obowiązującą od 25 maja 2018 r.
  • Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2012 poz. 526).
  • Normą PN-ISO/IEC 27001:2013 standaryzującą systemy zarządzania bezpieczeństwem informacji.
  • Rekomendacją „D” Komisji Nadzoru Finansowego dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Wydaną na podstawie art. 137 pkt 5 ustawy z dnia 29 sierpnia 1997 r.Prawo bankowe (Dz. U. z 2012 r. poz. 1376 j.t. z późn. zm.).
  • Wszelkimi innymi dokumentami, aktami, ustawami czy rozporządzeniami, które stanowią podstawę prawną dla działania danej organizacji.