fbpx
Zaznacz stronę

ISO 27001 to międzynarodowa norma systemu zarządzania bezpieczeństwem informacji.


Czy wiesz, że przygotowując się do RODO możesz wdrożyć coś, co nie będzie nic nas kosztować, a może sprawić, że nasza firma (a przede wszystkim, jej pracownicy) będzie podchodzić do bezpieczeństwa danych w sposób świadomy? Choć RODO bywa w wielu sprawach niejednoznaczne i bardzo ogólnikowe, to zachęca przedsiębiorstwa do posiłkowania się także dobrymi praktykami z innych źródeł. Jednym z tych źródeł jest norma ISO 27001, z której pochodzą 3 zasady bezpieczeństwa danych, o których chcę w tym wpisie opowiedzieć.

ISO 27001 to międzynarodowa norma systemu zarządzania bezpieczeństwem informacji, która może być świetnym podręcznikiem dla przedsiębiorców, chcących skutecznie dbać o dane, które przetwarzają. W tej normie, między innymi, mówi się o 3 politykach, które powinny być bezwzględnie przestrzegane w każdej firmie i instytucji. ISO 27001 wylicza tu:

  • Politykę czystego biurka
  • Politykę czystego ekranu
  • Politykę czystego druku

POLITYKA CZYSTEGO BIURKA

Po zakończeniu pracy wszystkie dokumenty zawierające dane osobowe należy odpowiednio zabezpieczyć.


Nie mogą być one dostępne dla osób, które nie są do nich upoważnione. Np. w pokoju kadrowym, dokumenty tam będące muszą być dostępne tylko dla pracowników tego działu. Po zakończeniu pracy pracownicy tego działu mają obowiązek zabezpieczyć te dokumenty przed dostępem do nich osób trzecich poprzez zamykanie ich np. w szufladach lub szafach. Takie dokumenty nie mogą pozostawać bez nadzoru w łatwo dostępnych miejscach (np. na biurku)!

POLITYKA CZYSTEGO EKRANU

Nie powinno się zatem siedzieć tyłem do wejścia.


Powyższa polityka to uniemożliwienie osobom nieupoważnionym dostępu do treści wyświetlanych na ekranie komputera. Powinno się to odbyć przede wszystkim poprzez takie ustawienie monitora, by osoba postronna nie była w stanie odczytać jego zawartości. Nie powinno się zatem siedzieć tyłem do wejścia, ponieważ to sprawia, że ekran monitora jest widoczny dla każdej wchodzącej osoby. Ponadto, podczas odejścia od stanowiska pracy, nawet na krótką chwilę, należy wylogować się z systemu operacyjnego lub przynajmniej skutecznie zablokować  do niego dostęp, używając do tego odpowiedniego (w zależności od używanego systemu) skrótu klawiszowego.

POLITYKA CZYSTEGO DRUKU

Jeżeli drukujemy, kserujemy lub skanujemy dokumenty zawierające dane osobowe to nie wolno zostawiać ich przy urządzeniu drukującym/skanującym. Należy nieustannie obserwować czy nikt inny nie ma dostępu do tych dokumentów. To bardzo ważna zasada, zwłaszcza w biurach wielkopowierzchniowych, gdzie na jednej przestrzeni przebywa duża liczba pracowników, często z różnych działów, a urządzenia drukujące/skanujące są wspólne. W przypadku takich wspólnych urządzeń warto zastosować techniczne ograniczenia dostępu do nich, na przykład przy użyciu kodu PIN per pracownik, lub czytnika kart pracowniczych. Wtedy wszelkie działania na tych urządzeniach są kontrolowane i rejestrowane czyli skutecznie ograniczają ryzyko naruszeń bezpieczeństwa danych osobowych zawartych w dokumentach.

Ciekawostka: bardzo często skanując lub kopiując dokument, jego oryginał pozostawiany jest w urządzeniu, a zabierana tylko kopia. Zawsze należy się upewnić, że oba dokumenty są zabezpieczone!

Powyższe zasady, choć na pierwszy rzut oka wydają się oczywiste, bardzo często (mniej lub bardziej świadomie) są ignorowane w miejscach pracy. Dobrze jest jednak przypilnować, by nawet tak małe kroki były podejmowane w naszej organizacji. Bardzo szybko zauważymy, że poprawieniu ulegnie nie tylko świadomość pracowników w kwestii danych osobowych, ale samo zabezpieczenie tych danych. Jeżeli stosujemy trzy powyższe praktyki w naszej organizacji, warto zamieścić je także w naszych politykach wewnętrznych, opisujących zastosowane u nas środki organizacyjne i techniczne. Im bardziej zadbamy o bezpieczeństwo danych osobowych w naszej organizacji, tym spokojniej będziemy spać.

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!