CEL:

Szkolenie przygotowuje do wykonania analizy ryzyka w ochronie danych, a także oceny skutków dla ochrony danych w podmiotach publicznych i prywatnych.

ADRESACI:

Inspektorzy Ochrony Danych (IOD) i audytorzy wewnętrzni w podmiotach publicznych i medycznych, szkołach, instytucjach kultury, a także w innych organizacjach, w których wymagane jest powołanie IOD; Administratorzy Danych Osobowych, którzy są̨ zobowiązani do przeprowadzenia analizy ryzyka i oceny skutków dla ochrony danych; wszyscy którzy chcą pogłębić swoją wiedzę na temat szacowania analizy ryzyka.

PROWADZĄCY:

Audytor wiodący System Zarządzania Bezpieczeństwem Informacji wg normy ISO/IEC 27001, praktykujący jako Inspektor Ochrony Danych i audytor w podmiotach leczniczych. Trener i wykładowca Wyższej Szkoły Ekonomii i Informatyki w Krakowie z zakresu przedmiotów bezpieczeństwa informacji i audytu w ochronie danych. Cyklicznie prowadzi kurs dla osób przygotowujących się do pełnienia funkcji Inspektora Ochrony Danych w podmiotach publicznych i prywatnych.

Program szkolenia:

Moduł I. Analiza ryzyka zgodnie z ISO 27005.

Uczestnicy otrzymują wskazówki i przykłady do wykonania analizy ryzyka w systemie ochrony danych.

1. Podejście oparte na ryzyku. Wymagania Ogólnego rozporządzenia o ochronie danych (RODO) w kontekście zarządzania ryzykiem.

2. Analiza ryzyka w ochronie danych. Dobre praktyki w zarządzaniu ryzykiem w bezpieczeństwie informacji zgodnie z normą ISO 27005.

3. Role i odpowiedzialności w opracowaniu analizy ryzyka w organizacji.

4. Przygotowanie do przeprowadzenia analizy ryzyka w organizacji – kontekst organizacji, niezbędne zasoby.

5. Kryteria oceny ryzyka i akceptowania ryzyka przez Administratora Danych Osobowych.

6. Identyfikacja aktywów, ryzyk i podatności.

7. Szacowanie skutków i prawdopodobieństwa. Macierz ryzyka.

8. Warianty postępowania z ryzykiem.

9. Opracowanie planu postępowania z ryzykiem w bezpieczeństwie informacji.

10. Monitorowanie i przegląd ryzyk przez Administratora Danych Osobowych.

11. Case study – ćwiczenia grupowe dot. analizy ryzyka.

Moduł II. Ocena skutków dla ochrony danych zgodnie z ISO 29134.

1. Podmioty zobowiązane do dokonania oceny skutków dla ochrony danych.

2. Odpowiedzialność za przeprowadzenie oceny skutków.

3. Omówienie wytycznych Grupy Roboczej art. 29 ds. ochrony danych w zakresie oceny skutków.

4. Omówienie wykazu rodzajów operacji przetwarzania wymagających oceny skutków opublikowany przez Prezesa Urzędu Ochrony Danych Osobowych.

5. Dobre praktyki w ocenie skutków zgodnie z normą ISO 27005.

6. Proces oceny wpływu na prywatność.

7. Plan postępowania z ryzykiem dla ochrony prywatności osób.

8. Raport z oceny skutków dla ochrony danych.

9. Publikowanie oceny skutków dla ochrony danych.

10. Case study – ćwiczenia grupowe dot. oceny skutków.

Moduł III. Zasada rozliczalności i podejście oparte na ryzyku w pozostałych aspektach działania.

1. Privacy by default.

2. Privacy by design.

Moduł IV. Podsumowanie szkolenia i rozdanie zaświadczeń ukończenia szkolenia.

1. Podsumowanie szkolenia.

2. Rozdanie zaświadczeń o ukończeniu szkolenia.