SlideShare une entreprise Scribd logo

Gdpr integralasa ibir-hez

H
HZsolt

Az információmenedzsment és a GDPR adatbiztonság integrálása az irányítási rendszerhez

Business
1  sur  21
Télécharger pour lire hors ligne
AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA AZ IRÁNYÍTÁSI RENDSZEREKHEZ Dr. Horváth Zsolt ISOFÓRUM Tavasz - 2018. Konferencia, 2018.04.20. „A minőségirányítás a vállalati jó működés támogatója.” Ne feledkezzünk meg az információmenedzsmentről és az adatbiztonságról sem!
Mit is vár el a GDPR a szervezetektől? • Követelményeket fogalmaz meg a személyes adatok kezelésével kapcsolatban – Mikor kezelhető egyáltalán (adatkezelés jogalapja) – Milyen alapelvek legyenek betartva (szempontok a kezelés mértékére, módjára, …) – Érintettek jogainak biztosítása és ennek kommunikálása – Elszámoltathatóság (mindig, garantáltan működjön, és ez igazolható is legyen) – Adatbiztonság kellő mértékű megléte (mindig, kockázat-alapú) • De végrehajtási keretet nem ír elő hozzá … – Ránk bízza a végrehajtás módját! 2ISOFÓRUM Tavasz - 2018. Konferencia
Egy követelményrendszer szervezeti szinten, elszámoltathatóan és mindig megbízhatóan akkor működik, ha – (dokumentáltan) szabályozott, – van felelőse, – tervezett, betartott és felügyelt, – folyamatosan aktualizált, – része a szervezet működésének. azaz menedzselt vállalati szinten 3ISOFÓRUM Tavasz - 2018. Konferencia
Akkor mire van szükség? A személyes adatok kezelése vonatkozásában: - Vállalati szabályozási rendszert kell kialakítani, fenntartani, üzemeltetni, felügyelni és fejleszteni (PDCA) … - Vagy ha már van vállalati irányítási rendszer, akkor … ezeket az új követelményeket oda kell beilleszteni! 4ISOFÓRUM Tavasz - 2018. Konferencia
Főbb lépések a személyes adatkezelés rendszerének kiépítéséhez 1. Személyes adatokat tartalmazó adatkörök felmérése 2. Folyamatokban személyes adatok kezelése jelenlegi módjának felmérése 3. Személyes adatok kezelése módjának jogi megfelelési vizsgálata 4. Személyes adatok kezelése módjának biztonsági megfelelési vizsgálata 5. Személyes adatok kezelési folyamatai szabályozásainak (ha vannak) módosítása, szükség esetén kialakítása (megfelelve a vonatkozó GDPR követelményeknek) 6. Ehhez a szükséges szervezet létrehozása, felelősök, feladataik és hatáskörük szabályozása 7. A szükséges adatvédelmi dokumentációk (nyilvántartások, igazolások, …) létrehozása 8. Az adatkezelés rendszere működésének bevezetése, … 5ISOFÓRUM Tavasz - 2018. Konferencia
1. Személyes adatokat tartalmazó adatkörök felmérése • Milyen személyes adatokról van szó egyáltalán? • Milyen személyes adatokat kezel a szervezet? • Kiknek a személyes adatai azok? (alkalmazottak, ügyfelek, ügyfelek ügyfelei, partnerek, stb.) • Milyen tömegű személyes adatokról van szó? • Van-e közöttük különösen érzékeny, illetve különleges adat? 6ISOFÓRUM Tavasz - 2018. Konferencia
2. Folyamatokban személyes adatok kezelése jelenlegi módjának felmérése • Hogyan is történik most a személyes adatok kezelése nálunk? • Milyen folyamataink (tevékenységeink) vannak? • Szabályozott-e azok működése (dokumentáltan)? • Történik-e ezekben a folyamatokban személyes adatok kezelése? • Milyen célból kezeli a folyamat azokat a személyes adatokat? • Hogyan szabályozottak (a folyamaton belül) a személyes adatok kezeléséhez kapcsolódó tevékenységek? • Hol és meddig tároltak a személyes adatok – papíron és elektronikusan? • Hogyan lehet a tárolt személyes adatokhoz hozzáférni papíron, és elektronikusan (fizikailag ill. logikailag)? • Kik férhetnek hozzá a személyes adatokhoz? 7ISOFÓRUM Tavasz - 2018. Konferencia
3. Személyes adatok kezelése módjának jogi megfelelési vizsgálata • Meghatározott-e a folyamatokban minden személyes adat kezelésének a jogi alapja? (Kezelhetjük-e egyáltalán ezeket a személyes adatokat?) • Teljesülnek-e a folyamatokban a személyes adatok kezelésénél a GDPR által meghatározott alapelvek? – És a személyes adatok továbbítása, automatizált döntéshozatalhoz való felhasználása esetében, stb. is teljesülnek a kapcsolódó követelmények, alapelvek? (Kezelhetjük-e így ezeket a személyes adatokat?) • Biztosítottak-e az érintett személyek számára az adatkezelésükkel kapcsolatos jogaik – és tájékoztatottak-e ők ezekről? (Tudják-e az érintettek, hogy mit kezelünk őróluk, és ezzel kapcsolatban hogy ők mit tehetnek?) • Meghatározottak-e a felelősök, és feladataik, felelősségeik? • Igazolhatók-e (dokumentáltan) mindezek folyamatos megléte? (Része-e mindez dokumentáltan szabályozott folyamatnak?) Hiányok megállapítása! 8ISOFÓRUM Tavasz - 2018. Konferencia
4. Személyes adatok kezelése módjának biztonsági megfelelési vizsgálata Meghatározott-e a folyamatokban • minden személyes adat előfordulásának helye? (papíron, egyéb hagyományos adathordozón, elektronikusan /// eredeti és másodpéldányok helye, …) • a személyes adatokat tartalmazó adathordozók tárolása? • az adatokhoz / adathordozókhoz való hozzáférési lehetőségek és jogosultságok? • a jogos adatkezelés számára szükséges rendelkezésre állás biztosítása? • az illetéktelen hozzáférés / módosítás / … általi kár mértéke, azok kockázata? • a magas kockázatok esetére szükséges adatbiztonsági intézkedések? • az (esetleges) incidensek esetén a teendők? Igazolhatók-e (dokumentáltan) mindezek folyamatos megléte? (Része-e mindez dokumentáltan szabályozott folyamatnak?) Hiányok megállapítása! 9ISOFÓRUM Tavasz - 2018. Konferencia
5. Személyes adatok kezelési folyamatai szabályozásainak kialakítása, módosítása A feltárt hiányok pótlása, kijavítása: • adatkezeléshez a jogi alap hiányzik  adat NEM kezelhető! • adatkezelés alapelvei sérülnek, érintettek jogai nem biztosítottak  ezek biztosítása a folyamatban / tevékenységben, adminisztratív vagy technikai intézkedéssel, szabályozottan • érintettek nem tájékoztatottak a jogaikról  érintettek számára elérhető tájékoztatás készítése a jogaikról és azok gyakorlásának lehetőségeiről • adatbiztonsági veszélyek, kockázatok nem ismertek  információbiztonsági fenyegetések és gyengepontok feltárása, kockázatok felmérése • adatbiztonsági intézkedések nincsenek, nem megfelelőek  szükséges adminisztratív vagy technikai intézkedések kidolgozása, bevezetése 10ISOFÓRUM Tavasz - 2018. Konferencia
6. Adatvédelmi szervezet létrehozása, fele- lősök, feladataik és hatáskörük szabályozása • Az adatvédelem szervezetének, felelőseinek létrehozása, a szervezet keretein belül (adatvédelmi tisztviselő) • Az adatvédelem felügyelete, ellenőrzése feladatainak definiálása • Működési (operatív) folyamatok szabályozásában módosítások végrehajtása – a személyes adatok kezelésének szükséges módosításaival • Ezek egységes, dokumentált szabályozása – integrálva a szervezet működési szabályozási rendszerébe • Keretrendszerbe illesztési lehetőségek: – ISO rendszerhez illesztés (ISO 27001, ISO 9001, …) – Magatartási kódex alkalmazása – Adatvédelmi auditon való részvétel 11ISOFÓRUM Tavasz - 2018. Konferencia
7. A szükséges adatvédelmi dokumentációk GDPR által meghatározott, (főképp kifelé is kommunikálandó) nyilvántartások, igazolások létrehozása, fenntartása, aktualizálása • Adatkezelések nyilvántartása (csak megfelelő feltételek teljesülésekor kötelező, de egyébként sem tiltott…) • Érintettek tájékoztatása a személyes adataik kezeléséről, az ezzel kapcsolatos jogaikról és jogaik gyakorlásának lehetőségeiről • Incidensek esetén hatóság és érintettek tájékoztatása • Az adatkezelés megfelelő és szabályozott működését előíró és igazoló dokumentáció (ami ellenőrzéskor bemutatható a Hatóságnak) 12ISOFÓRUM Tavasz - 2018. Konferencia
8. Az adatkezelés rendszere működésének bevezetése És ha mindez elkészült, akkor • hivatalosan életbe kell léptetni, • a felelősöket a feladataikkal meg kell bízni, • a folyamatokban résztvevőket oktatni kell, • az érintetteket tájékoztatni kell, • a folyamatokat működtetni, ellenőrizni, felügyelni kell. 13ISOFÓRUM Tavasz - 2018. Konferencia
… de ez ismerős  IBIR (ISO/IEC 27001)! Mit csinálunk az ISO/IEC 27001 szerinti IBIR (Információ- biztonsági Irányítási Rendszer) kiépítésekor? - Felmérjük a folyamatokban kezelt adatköröket; - Meghatározzuk azok kezelésére vonatkozó (külső és belső) követelményeket; - Felmérjük azok (jelenlegi) kezelési folyamatait, és az alapján azok információbiztonsági kockázatait - Kialakítjuk (létrehozzuk / módosítjuk) kockázatarányosan az adatkezelési folyamatok szabályozásait (ha vannak), – megfelelve az adatkezelési külső és belső követelményeknek. - Létrehozzuk ehhez a szükséges információbiztonsági szervezetet (felelősöket), feladataikat és hatáskörüket szabályozása. - Bevezetjük az IBIR működéshez szükséges nyilvántartásokat, igazolásokat létrehozása, bevezetjük az IBIR-t … 14ISOFÓRUM Tavasz - 2018. Konferencia
… de ez ismerős  IBIR (ISO/IEC 27001)! Mit csinálunk az ISO/IEC 27001 szerinti IBIR (Információ- biztonsági Irányítási Rendszer) kiépítésekor – hogy megfeleljünk a GDPR-nak? - Az IBIR érvényességi területébe vegyük bele a személyes adatokat; - Az IB politika tartalmazza a személyes adatok megfelelő kezelését és a GDPR-nak való megfelelést; - A megfelelési követelmények között jelenjenek meg a GDPR általi elvárások; … és akkor - a személyes adatokra vonatkozó hatásvizsgálatok, kockázati felmérések - az IBIR struktúrájában meghatározott (figyelembe véve az elvárásokat), bevezetett, üzemeltetett, felügyelt és folyamatos karbantartott intézkedések a követelményeknek – azaz a személyes adatok vonatkozásában – a GDPR jogszabálynak fognak megfelelni; 15ISOFÓRUM Tavasz - 2018. Konferencia
Kapcsolatok ISO/IEC 27001:2013 esetén Az ISO/IEC 27001 szerinti Információbiztonsági Irányítási Rendszer (IBIR) célja • a szervezet által kezelt adatok / információk vonatkozásában • azok információbiztonsága (= bizalmassága + sértetlensége + rendelkezésre állása) elvesztése vagy sérülése következtében • lehetséges károk minimalizálására, • a fennálló kockázatokkal arányos mértékben • védelmi intézkedések meghatározása és bevezetése, • majd azok bevonása a szervezet menedzsmentrendszerébe (szabályozottan, PDCA-nak megfelelve). (A személyes adatok is az összes adatok részét képezik.) A védelmi kontrollok: a kockázatok alapján a gyakorlatban működtetettek, valamint segítségképpen csekklista a szabvány „A melléklete”. 16ISOFÓRUM Tavasz - 2018. Konferencia
Egy követelményrendszer szervezeti szinten, elszámoltathatóan és mindig megbízhatóan akkor működik, ha – (dokumentáltan) szabályozott, – van felelőse, – tervezett, betartott és felügyelt, – folyamatosan aktualizált, – része a szervezet működésének. azaz menedzselt vállalati szinten 3ISOFÓRUM Tavasz - 2018. Konferencia
Kapcsolatok ISO 9001:2015 esetén • Megfelelés a vonatkozó jogszabályi követelményeknek (pl. GDPR is) • Tevékenységek folyamat alapú szabályozása, szabályozott működése • Dokumentált információk (adatvagyon) – ismerete és kezelésük szabályozása – fenntartása: benne a bizalmasság, sértetlenség, rendelkezésre állás (= információ biztonsága) követelményeivel • Kockázatok felmérése olyan tényezőkre, amelyek bekövetkezése jelentős kárt jelenthet a szervezetnek (pl. az információk biztonságának sérülése), és magas kockázatok esetén azok kezelésére intézkedések (pl. adatbiztonsági intézkedések) bevezetése • Menedzsmentrendszerben való kezelés, fenntartás, ellenőrzés és fejlesztés (PDCA) 18ISOFÓRUM Tavasz - 2018. Konferencia
Miben segít egy már bevezetett ‚ISO rendszer’? • Adatkezelési tevékenységek felmérése folyamatok mentén  vannak definiált, (dokumentáltan) szabályozott folyamatok • Kezelt személyes adatok azonosítása  ISO 9001 esetén: dokumentált információk azonosítottak, kiindulási alap lehet  ISO 27001 esetén: van módszertan és folyamat adatvagyon azonosítására és osztályozására, adatvagyon (esetleg személyes adatokkal is) már azonosított • Az adatvédelmi kockázatok meghatározása  ISO 9001 esetén: szemlélet a fejlesztések kockázatalapú bevezetése  ISO 27001 esetén: van módszertan és folyamat információbiztonsági fenyegetések, gyengepontok és kockázatok felérésére, ami alkalmazható • Adatvédelmi intézkedések  ISO 27001 esetén már van információbiztonsági intézkedés katalógus, ami kiterjed ezekre a követelményekre is • Adatvédelmi menedzsment keretrendszer meghatározása  már van vállalati menedzsment keretrendszer, ami alkalmazható erre a témára is 19ISOFÓRUM Tavasz - 2018. Konferencia
Keretrendszerbe illesztési lehetőségek ÖNKÉNTESSÉG ISO 9001 (MIR) rendszeren belül – Meglévő folyamatalapúság, menedzsmentrendszer kereteinek használata – Többi szakmai feladatot végig kell csinálni ISO 27001 (IBIR) rendszeren belül – IBIR érvényességi területbe ‚személyes adatok kezelése’ felvétele – IBIR teljes módszertanának alkalmazása – figyelemmel a GDPR elvárások teljesítésére ‚Magatartási kódex’ alkalmazása (még nincs) – Ágazati vagy egyéb jellemző cégcsoportra vonatkozó intézkedés-gyűjtemény, NAIH által elfogadott, külső megfelelési igazolás lehetséges (lesz) – Kódexben meghatározott intézkedések alkalmazása ‚Adatvédelmi audit’-on való részvétel (még nincs) – Bevezetés saját módszerrel, saját erőből – Tanúsítható (lesz), NAH és NAIH által akkreditált tanúsító szervezetek által 20ISOFÓRUM Tavasz - 2018. Konferencia
KÉRDÉSEK? 21ISOFÓRUM Tavasz - 2018. Konferencia

Recommandé

Gdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiGdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiHZsolt
 
Uj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - programUj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - programSystem Media Kft.
 
Isaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergelyIsaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergelyGergely Horvath
 
Adatvedelmi informaciobiztonsagi vezeto
Adatvedelmi informaciobiztonsagi vezetoAdatvedelmi informaciobiztonsagi vezeto
Adatvedelmi informaciobiztonsagi vezetoLogPortál Team
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
06 Rendszerszemlélet az információbiztonságban
06 Rendszerszemlélet az információbiztonságban06 Rendszerszemlélet az információbiztonságban
06 Rendszerszemlélet az információbiztonságbanHZsolt
 
Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben HZsolt
 
Adatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőAdatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőHZsolt
 

Recommandé

Gdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiGdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiHZsolt
 
Uj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - programUj europai adatvedelmi szabalyozas 207-2018 - program
Uj europai adatvedelmi szabalyozas 207-2018 - programSystem Media Kft.
 
Isaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergelyIsaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergelyGergely Horvath
 
Adatvedelmi informaciobiztonsagi vezeto
Adatvedelmi informaciobiztonsagi vezetoAdatvedelmi informaciobiztonsagi vezeto
Adatvedelmi informaciobiztonsagi vezetoLogPortál Team
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
06 Rendszerszemlélet az információbiztonságban
06 Rendszerszemlélet az információbiztonságban06 Rendszerszemlélet az információbiztonságban
06 Rendszerszemlélet az információbiztonságbanHZsolt
 
Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben Információbiztonság lépésről lépésre az egészségügyben
Információbiztonság lépésről lépésre az egészségügyben HZsolt
 
Adatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőAdatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőHZsolt
 
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanDr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanCsaba KOLLAR (Dr. PhD.)
 
Távmunka pandémia idején
Távmunka pandémia idején Távmunka pandémia idején
Távmunka pandémia idején Erzsébet Katona
 
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vAz integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vZoltán Kern
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
 
Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Zoltán Kern
 
ITIL egy cukrászda példáján
ITIL egy cukrászda példájánITIL egy cukrászda példáján
ITIL egy cukrászda példájánCzibula Veronika
 
Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301BNI301
 
Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301BNI301
 
05 ISMS alapok
05 ISMS alapok05 ISMS alapok
05 ISMS alapokHZsolt
 
OfI konferencia 20160127_kz
OfI konferencia 20160127_kzOfI konferencia 20160127_kz
OfI konferencia 20160127_kzZoltán Kern
 
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...bkiktanoszt
 
Tanácsadási módszertan
Tanácsadási módszertan Tanácsadási módszertan
Tanácsadási módszertan Peter Buglavecz
 
Új adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozÚj adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozLajos Golovics
 
Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?
Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?
Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?Zsolt Sándor
 
Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?
Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?
Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?Robert Pinter
 
Adatbányászat
AdatbányászatAdatbányászat
AdatbányászatDaniel Takacs
 
Adatbanyaszati technologiak
Adatbanyaszati technologiakAdatbanyaszati technologiak
Adatbanyaszati technologiakitp
 
A mesterséges intelligencia társadalmi léptékű működése
A mesterséges intelligencia társadalmi léptékű működéseA mesterséges intelligencia társadalmi léptékű működése
A mesterséges intelligencia társadalmi léptékű működéseCsaba KOLLAR (Dr. PhD.)
 
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...MKT Informatikai szakosztály
 
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Agroinform.com
 
Autóipari információbiztonság
Autóipari információbiztonságAutóipari információbiztonság
Autóipari információbiztonságHZsolt
 
23 nmk risk6-h-zs
23 nmk risk6-h-zs23 nmk risk6-h-zs
23 nmk risk6-h-zsHZsolt
 

Contenu connexe

Similaire à Gdpr integralasa ibir-hez

Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanDr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanCsaba KOLLAR (Dr. PhD.)
 
Távmunka pandémia idején
Távmunka pandémia idején Távmunka pandémia idején
Távmunka pandémia idején Erzsébet Katona
 
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vAz integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vZoltán Kern
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
 
Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Zoltán Kern
 
ITIL egy cukrászda példáján
ITIL egy cukrászda példájánITIL egy cukrászda példáján
ITIL egy cukrászda példájánCzibula Veronika
 
Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301BNI301
 
Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301BNI301
 
05 ISMS alapok
05 ISMS alapok05 ISMS alapok
05 ISMS alapokHZsolt
 
OfI konferencia 20160127_kz
OfI konferencia 20160127_kzOfI konferencia 20160127_kz
OfI konferencia 20160127_kzZoltán Kern
 
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...bkiktanoszt
 
Tanácsadási módszertan
Tanácsadási módszertan Tanácsadási módszertan
Tanácsadási módszertan Peter Buglavecz
 
Új adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozÚj adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozLajos Golovics
 
Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?
Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?
Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?Zsolt Sándor
 
Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?
Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?
Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?Robert Pinter
 
Adatbanyaszati technologiak
Adatbanyaszati technologiakAdatbanyaszati technologiak
Adatbanyaszati technologiakitp
 
A mesterséges intelligencia társadalmi léptékű működése
A mesterséges intelligencia társadalmi léptékű működéseA mesterséges intelligencia társadalmi léptékű működése
A mesterséges intelligencia társadalmi léptékű működéseCsaba KOLLAR (Dr. PhD.)
 
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...MKT Informatikai szakosztály
 
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Agroinform.com
 

Similaire à Gdpr integralasa ibir-hez (20)

Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanDr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
 
Távmunka pandémia idején
Távmunka pandémia idején Távmunka pandémia idején
Távmunka pandémia idején
 
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vAz integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
 
Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908
 
ITIL egy cukrászda példáján
ITIL egy cukrászda példájánITIL egy cukrászda példáján
ITIL egy cukrászda példáján
 
Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301
 
Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301Jánosi István előadása - BNI 301
Jánosi István előadása - BNI 301
 
05 ISMS alapok
05 ISMS alapok05 ISMS alapok
05 ISMS alapok
 
OfI konferencia 20160127_kz
OfI konferencia 20160127_kzOfI konferencia 20160127_kz
OfI konferencia 20160127_kz
 
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
14.15 mészáros - kollár - az információbiztonság-tudatosság fejlesztése bki...
 
Tanácsadási módszertan
Tanácsadási módszertan Tanácsadási módszertan
Tanácsadási módszertan
 
Új adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhozÚj adatvédelmi törvény videóhoz
Új adatvédelmi törvény videóhoz
 
Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?
Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?
Mit tegyen az IT, hogy ne Ő legyen a felelős GDPR incidens esetén?
 
Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?
Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?
Adatvezérelt (e)kereskedelem: csak beszélünk róla vagy csináljuk is?
 
Adatbányászat
AdatbányászatAdatbányászat
Adatbányászat
 
Adatbanyaszati technologiak
Adatbanyaszati technologiakAdatbanyaszati technologiak
Adatbanyaszati technologiak
 
A mesterséges intelligencia társadalmi léptékű működése
A mesterséges intelligencia társadalmi léptékű működéseA mesterséges intelligencia társadalmi léptékű működése
A mesterséges intelligencia társadalmi léptékű működése
 
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
 
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
Dr. Bölcskei Krisztián - Mi fán terem a gdpr az EU új általános adatvédelmi r...
 

Plus de HZsolt

Autóipari információbiztonság
Autóipari információbiztonságAutóipari információbiztonság
Autóipari információbiztonságHZsolt
 
23 nmk risk6-h-zs
23 nmk risk6-h-zs23 nmk risk6-h-zs
23 nmk risk6-h-zsHZsolt
 
BCM és Kockázatkezelés IT támogatással
BCM és Kockázatkezelés IT támogatássalBCM és Kockázatkezelés IT támogatással
BCM és Kockázatkezelés IT támogatássalHZsolt
 
Információbiztonság megjelenése
Információbiztonság megjelenéseInformációbiztonság megjelenése
Információbiztonság megjelenéseHZsolt
 
Kockázatkezelés alkalmazási területei
Kockázatkezelés alkalmazási területeiKockázatkezelés alkalmazási területei
Kockázatkezelés alkalmazási területeiHZsolt
 
Integrált kockázatkezelés
Integrált kockázatkezelésIntegrált kockázatkezelés
Integrált kockázatkezelésHZsolt
 
ISO 9004 - kerekasztal
ISO 9004 - kerekasztalISO 9004 - kerekasztal
ISO 9004 - kerekasztalHZsolt
 
Kockázatértékelés kerekasztal
Kockázatértékelés kerekasztalKockázatértékelés kerekasztal
Kockázatértékelés kerekasztalHZsolt
 
IT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanIT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanHZsolt
 
ISO 9004 bemutatása
ISO 9004 bemutatásaISO 9004 bemutatása
ISO 9004 bemutatásaHZsolt
 
ISO 9001 2008 másképp
ISO 9001 2008 másképpISO 9001 2008 másképp
ISO 9001 2008 másképpHZsolt
 
ISO 9001 2008 követelményei
ISO 9001 2008 követelményeiISO 9001 2008 követelményei
ISO 9001 2008 követelményeiHZsolt
 
Távmunka biztonsága
Távmunka biztonságaTávmunka biztonsága
Távmunka biztonságaHZsolt
 
Dokumentaciokezeles
DokumentaciokezelesDokumentaciokezeles
DokumentaciokezelesHZsolt
 
ISO9001 for software development
ISO9001 for software developmentISO9001 for software development
ISO9001 for software developmentHZsolt
 
03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályok03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályokHZsolt
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsokHZsolt
 

Plus de HZsolt (18)

Autóipari információbiztonság
Autóipari információbiztonságAutóipari információbiztonság
Autóipari információbiztonság
 
23 nmk risk6-h-zs
23 nmk risk6-h-zs23 nmk risk6-h-zs
23 nmk risk6-h-zs
 
BCM és Kockázatkezelés IT támogatással
BCM és Kockázatkezelés IT támogatássalBCM és Kockázatkezelés IT támogatással
BCM és Kockázatkezelés IT támogatással
 
Információbiztonság megjelenése
Információbiztonság megjelenéseInformációbiztonság megjelenése
Információbiztonság megjelenése
 
Kockázatkezelés alkalmazási területei
Kockázatkezelés alkalmazási területeiKockázatkezelés alkalmazási területei
Kockázatkezelés alkalmazási területei
 
Integrált kockázatkezelés
Integrált kockázatkezelésIntegrált kockázatkezelés
Integrált kockázatkezelés
 
ISO 9004 - kerekasztal
ISO 9004 - kerekasztalISO 9004 - kerekasztal
ISO 9004 - kerekasztal
 
Kockázatértékelés kerekasztal
Kockázatértékelés kerekasztalKockázatértékelés kerekasztal
Kockázatértékelés kerekasztal
 
IT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanIT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatban
 
ISO 9004 bemutatása
ISO 9004 bemutatásaISO 9004 bemutatása
ISO 9004 bemutatása
 
ISO 9001 2008 másképp
ISO 9001 2008 másképpISO 9001 2008 másképp
ISO 9001 2008 másképp
 
ISO 9001 2008 követelményei
ISO 9001 2008 követelményeiISO 9001 2008 követelményei
ISO 9001 2008 követelményei
 
Távmunka biztonsága
Távmunka biztonságaTávmunka biztonsága
Távmunka biztonsága
 
Dokumentaciokezeles
DokumentaciokezelesDokumentaciokezeles
Dokumentaciokezeles
 
ISO9001 for software development
ISO9001 for software developmentISO9001 for software development
ISO9001 for software development
 
CMMI
CMMICMMI
CMMI
 
03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályok03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályok
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok
 

Gdpr integralasa ibir-hez

  • 1. AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA AZ IRÁNYÍTÁSI RENDSZEREKHEZ Dr. Horváth Zsolt ISOFÓRUM Tavasz - 2018. Konferencia, 2018.04.20. „A minőségirányítás a vállalati jó működés támogatója.” Ne feledkezzünk meg az információmenedzsmentről és az adatbiztonságról sem!
  • 2. Mit is vár el a GDPR a szervezetektől? • Követelményeket fogalmaz meg a személyes adatok kezelésével kapcsolatban – Mikor kezelhető egyáltalán (adatkezelés jogalapja) – Milyen alapelvek legyenek betartva (szempontok a kezelés mértékére, módjára, …) – Érintettek jogainak biztosítása és ennek kommunikálása – Elszámoltathatóság (mindig, garantáltan működjön, és ez igazolható is legyen) – Adatbiztonság kellő mértékű megléte (mindig, kockázat-alapú) • De végrehajtási keretet nem ír elő hozzá … – Ránk bízza a végrehajtás módját! 2ISOFÓRUM Tavasz - 2018. Konferencia
  • 3. Egy követelményrendszer szervezeti szinten, elszámoltathatóan és mindig megbízhatóan akkor működik, ha – (dokumentáltan) szabályozott, – van felelőse, – tervezett, betartott és felügyelt, – folyamatosan aktualizált, – része a szervezet működésének. azaz menedzselt vállalati szinten 3ISOFÓRUM Tavasz - 2018. Konferencia
  • 4. Akkor mire van szükség? A személyes adatok kezelése vonatkozásában: - Vállalati szabályozási rendszert kell kialakítani, fenntartani, üzemeltetni, felügyelni és fejleszteni (PDCA) … - Vagy ha már van vállalati irányítási rendszer, akkor … ezeket az új követelményeket oda kell beilleszteni! 4ISOFÓRUM Tavasz - 2018. Konferencia
  • 5. Főbb lépések a személyes adatkezelés rendszerének kiépítéséhez 1. Személyes adatokat tartalmazó adatkörök felmérése 2. Folyamatokban személyes adatok kezelése jelenlegi módjának felmérése 3. Személyes adatok kezelése módjának jogi megfelelési vizsgálata 4. Személyes adatok kezelése módjának biztonsági megfelelési vizsgálata 5. Személyes adatok kezelési folyamatai szabályozásainak (ha vannak) módosítása, szükség esetén kialakítása (megfelelve a vonatkozó GDPR követelményeknek) 6. Ehhez a szükséges szervezet létrehozása, felelősök, feladataik és hatáskörük szabályozása 7. A szükséges adatvédelmi dokumentációk (nyilvántartások, igazolások, …) létrehozása 8. Az adatkezelés rendszere működésének bevezetése, … 5ISOFÓRUM Tavasz - 2018. Konferencia
  • 6. 1. Személyes adatokat tartalmazó adatkörök felmérése • Milyen személyes adatokról van szó egyáltalán? • Milyen személyes adatokat kezel a szervezet? • Kiknek a személyes adatai azok? (alkalmazottak, ügyfelek, ügyfelek ügyfelei, partnerek, stb.) • Milyen tömegű személyes adatokról van szó? • Van-e közöttük különösen érzékeny, illetve különleges adat? 6ISOFÓRUM Tavasz - 2018. Konferencia
  • 7. 2. Folyamatokban személyes adatok kezelése jelenlegi módjának felmérése • Hogyan is történik most a személyes adatok kezelése nálunk? • Milyen folyamataink (tevékenységeink) vannak? • Szabályozott-e azok működése (dokumentáltan)? • Történik-e ezekben a folyamatokban személyes adatok kezelése? • Milyen célból kezeli a folyamat azokat a személyes adatokat? • Hogyan szabályozottak (a folyamaton belül) a személyes adatok kezeléséhez kapcsolódó tevékenységek? • Hol és meddig tároltak a személyes adatok – papíron és elektronikusan? • Hogyan lehet a tárolt személyes adatokhoz hozzáférni papíron, és elektronikusan (fizikailag ill. logikailag)? • Kik férhetnek hozzá a személyes adatokhoz? 7ISOFÓRUM Tavasz - 2018. Konferencia
  • 8. 3. Személyes adatok kezelése módjának jogi megfelelési vizsgálata • Meghatározott-e a folyamatokban minden személyes adat kezelésének a jogi alapja? (Kezelhetjük-e egyáltalán ezeket a személyes adatokat?) • Teljesülnek-e a folyamatokban a személyes adatok kezelésénél a GDPR által meghatározott alapelvek? – És a személyes adatok továbbítása, automatizált döntéshozatalhoz való felhasználása esetében, stb. is teljesülnek a kapcsolódó követelmények, alapelvek? (Kezelhetjük-e így ezeket a személyes adatokat?) • Biztosítottak-e az érintett személyek számára az adatkezelésükkel kapcsolatos jogaik – és tájékoztatottak-e ők ezekről? (Tudják-e az érintettek, hogy mit kezelünk őróluk, és ezzel kapcsolatban hogy ők mit tehetnek?) • Meghatározottak-e a felelősök, és feladataik, felelősségeik? • Igazolhatók-e (dokumentáltan) mindezek folyamatos megléte? (Része-e mindez dokumentáltan szabályozott folyamatnak?) Hiányok megállapítása! 8ISOFÓRUM Tavasz - 2018. Konferencia
  • 9. 4. Személyes adatok kezelése módjának biztonsági megfelelési vizsgálata Meghatározott-e a folyamatokban • minden személyes adat előfordulásának helye? (papíron, egyéb hagyományos adathordozón, elektronikusan /// eredeti és másodpéldányok helye, …) • a személyes adatokat tartalmazó adathordozók tárolása? • az adatokhoz / adathordozókhoz való hozzáférési lehetőségek és jogosultságok? • a jogos adatkezelés számára szükséges rendelkezésre állás biztosítása? • az illetéktelen hozzáférés / módosítás / … általi kár mértéke, azok kockázata? • a magas kockázatok esetére szükséges adatbiztonsági intézkedések? • az (esetleges) incidensek esetén a teendők? Igazolhatók-e (dokumentáltan) mindezek folyamatos megléte? (Része-e mindez dokumentáltan szabályozott folyamatnak?) Hiányok megállapítása! 9ISOFÓRUM Tavasz - 2018. Konferencia
  • 10. 5. Személyes adatok kezelési folyamatai szabályozásainak kialakítása, módosítása A feltárt hiányok pótlása, kijavítása: • adatkezeléshez a jogi alap hiányzik  adat NEM kezelhető! • adatkezelés alapelvei sérülnek, érintettek jogai nem biztosítottak  ezek biztosítása a folyamatban / tevékenységben, adminisztratív vagy technikai intézkedéssel, szabályozottan • érintettek nem tájékoztatottak a jogaikról  érintettek számára elérhető tájékoztatás készítése a jogaikról és azok gyakorlásának lehetőségeiről • adatbiztonsági veszélyek, kockázatok nem ismertek  információbiztonsági fenyegetések és gyengepontok feltárása, kockázatok felmérése • adatbiztonsági intézkedések nincsenek, nem megfelelőek  szükséges adminisztratív vagy technikai intézkedések kidolgozása, bevezetése 10ISOFÓRUM Tavasz - 2018. Konferencia
  • 11. 6. Adatvédelmi szervezet létrehozása, fele- lősök, feladataik és hatáskörük szabályozása • Az adatvédelem szervezetének, felelőseinek létrehozása, a szervezet keretein belül (adatvédelmi tisztviselő) • Az adatvédelem felügyelete, ellenőrzése feladatainak definiálása • Működési (operatív) folyamatok szabályozásában módosítások végrehajtása – a személyes adatok kezelésének szükséges módosításaival • Ezek egységes, dokumentált szabályozása – integrálva a szervezet működési szabályozási rendszerébe • Keretrendszerbe illesztési lehetőségek: – ISO rendszerhez illesztés (ISO 27001, ISO 9001, …) – Magatartási kódex alkalmazása – Adatvédelmi auditon való részvétel 11ISOFÓRUM Tavasz - 2018. Konferencia
  • 12. 7. A szükséges adatvédelmi dokumentációk GDPR által meghatározott, (főképp kifelé is kommunikálandó) nyilvántartások, igazolások létrehozása, fenntartása, aktualizálása • Adatkezelések nyilvántartása (csak megfelelő feltételek teljesülésekor kötelező, de egyébként sem tiltott…) • Érintettek tájékoztatása a személyes adataik kezeléséről, az ezzel kapcsolatos jogaikról és jogaik gyakorlásának lehetőségeiről • Incidensek esetén hatóság és érintettek tájékoztatása • Az adatkezelés megfelelő és szabályozott működését előíró és igazoló dokumentáció (ami ellenőrzéskor bemutatható a Hatóságnak) 12ISOFÓRUM Tavasz - 2018. Konferencia
  • 13. 8. Az adatkezelés rendszere működésének bevezetése És ha mindez elkészült, akkor • hivatalosan életbe kell léptetni, • a felelősöket a feladataikkal meg kell bízni, • a folyamatokban résztvevőket oktatni kell, • az érintetteket tájékoztatni kell, • a folyamatokat működtetni, ellenőrizni, felügyelni kell. 13ISOFÓRUM Tavasz - 2018. Konferencia
  • 14. … de ez ismerős  IBIR (ISO/IEC 27001)! Mit csinálunk az ISO/IEC 27001 szerinti IBIR (Információ- biztonsági Irányítási Rendszer) kiépítésekor? - Felmérjük a folyamatokban kezelt adatköröket; - Meghatározzuk azok kezelésére vonatkozó (külső és belső) követelményeket; - Felmérjük azok (jelenlegi) kezelési folyamatait, és az alapján azok információbiztonsági kockázatait - Kialakítjuk (létrehozzuk / módosítjuk) kockázatarányosan az adatkezelési folyamatok szabályozásait (ha vannak), – megfelelve az adatkezelési külső és belső követelményeknek. - Létrehozzuk ehhez a szükséges információbiztonsági szervezetet (felelősöket), feladataikat és hatáskörüket szabályozása. - Bevezetjük az IBIR működéshez szükséges nyilvántartásokat, igazolásokat létrehozása, bevezetjük az IBIR-t … 14ISOFÓRUM Tavasz - 2018. Konferencia
  • 15. … de ez ismerős  IBIR (ISO/IEC 27001)! Mit csinálunk az ISO/IEC 27001 szerinti IBIR (Információ- biztonsági Irányítási Rendszer) kiépítésekor – hogy megfeleljünk a GDPR-nak? - Az IBIR érvényességi területébe vegyük bele a személyes adatokat; - Az IB politika tartalmazza a személyes adatok megfelelő kezelését és a GDPR-nak való megfelelést; - A megfelelési követelmények között jelenjenek meg a GDPR általi elvárások; … és akkor - a személyes adatokra vonatkozó hatásvizsgálatok, kockázati felmérések - az IBIR struktúrájában meghatározott (figyelembe véve az elvárásokat), bevezetett, üzemeltetett, felügyelt és folyamatos karbantartott intézkedések a követelményeknek – azaz a személyes adatok vonatkozásában – a GDPR jogszabálynak fognak megfelelni; 15ISOFÓRUM Tavasz - 2018. Konferencia
  • 16. Kapcsolatok ISO/IEC 27001:2013 esetén Az ISO/IEC 27001 szerinti Információbiztonsági Irányítási Rendszer (IBIR) célja • a szervezet által kezelt adatok / információk vonatkozásában • azok információbiztonsága (= bizalmassága + sértetlensége + rendelkezésre állása) elvesztése vagy sérülése következtében • lehetséges károk minimalizálására, • a fennálló kockázatokkal arányos mértékben • védelmi intézkedések meghatározása és bevezetése, • majd azok bevonása a szervezet menedzsmentrendszerébe (szabályozottan, PDCA-nak megfelelve). (A személyes adatok is az összes adatok részét képezik.) A védelmi kontrollok: a kockázatok alapján a gyakorlatban működtetettek, valamint segítségképpen csekklista a szabvány „A melléklete”. 16ISOFÓRUM Tavasz - 2018. Konferencia
  • 17. Egy követelményrendszer szervezeti szinten, elszámoltathatóan és mindig megbízhatóan akkor működik, ha – (dokumentáltan) szabályozott, – van felelőse, – tervezett, betartott és felügyelt, – folyamatosan aktualizált, – része a szervezet működésének. azaz menedzselt vállalati szinten 3ISOFÓRUM Tavasz - 2018. Konferencia
  • 18. Kapcsolatok ISO 9001:2015 esetén • Megfelelés a vonatkozó jogszabályi követelményeknek (pl. GDPR is) • Tevékenységek folyamat alapú szabályozása, szabályozott működése • Dokumentált információk (adatvagyon) – ismerete és kezelésük szabályozása – fenntartása: benne a bizalmasság, sértetlenség, rendelkezésre állás (= információ biztonsága) követelményeivel • Kockázatok felmérése olyan tényezőkre, amelyek bekövetkezése jelentős kárt jelenthet a szervezetnek (pl. az információk biztonságának sérülése), és magas kockázatok esetén azok kezelésére intézkedések (pl. adatbiztonsági intézkedések) bevezetése • Menedzsmentrendszerben való kezelés, fenntartás, ellenőrzés és fejlesztés (PDCA) 18ISOFÓRUM Tavasz - 2018. Konferencia
  • 19. Miben segít egy már bevezetett ‚ISO rendszer’? • Adatkezelési tevékenységek felmérése folyamatok mentén  vannak definiált, (dokumentáltan) szabályozott folyamatok • Kezelt személyes adatok azonosítása  ISO 9001 esetén: dokumentált információk azonosítottak, kiindulási alap lehet  ISO 27001 esetén: van módszertan és folyamat adatvagyon azonosítására és osztályozására, adatvagyon (esetleg személyes adatokkal is) már azonosított • Az adatvédelmi kockázatok meghatározása  ISO 9001 esetén: szemlélet a fejlesztések kockázatalapú bevezetése  ISO 27001 esetén: van módszertan és folyamat információbiztonsági fenyegetések, gyengepontok és kockázatok felérésére, ami alkalmazható • Adatvédelmi intézkedések  ISO 27001 esetén már van információbiztonsági intézkedés katalógus, ami kiterjed ezekre a követelményekre is • Adatvédelmi menedzsment keretrendszer meghatározása  már van vállalati menedzsment keretrendszer, ami alkalmazható erre a témára is 19ISOFÓRUM Tavasz - 2018. Konferencia
  • 20. Keretrendszerbe illesztési lehetőségek ÖNKÉNTESSÉG ISO 9001 (MIR) rendszeren belül – Meglévő folyamatalapúság, menedzsmentrendszer kereteinek használata – Többi szakmai feladatot végig kell csinálni ISO 27001 (IBIR) rendszeren belül – IBIR érvényességi területbe ‚személyes adatok kezelése’ felvétele – IBIR teljes módszertanának alkalmazása – figyelemmel a GDPR elvárások teljesítésére ‚Magatartási kódex’ alkalmazása (még nincs) – Ágazati vagy egyéb jellemző cégcsoportra vonatkozó intézkedés-gyűjtemény, NAIH által elfogadott, külső megfelelési igazolás lehetséges (lesz) – Kódexben meghatározott intézkedések alkalmazása ‚Adatvédelmi audit’-on való részvétel (még nincs) – Bevezetés saját módszerrel, saját erőből – Tanúsítható (lesz), NAH és NAIH által akkreditált tanúsító szervezetek által 20ISOFÓRUM Tavasz - 2018. Konferencia
  • 21. KÉRDÉSEK? 21ISOFÓRUM Tavasz - 2018. Konferencia