24. člen GDPR
Izdelava politik informacijske varnosti

Kdaj so podjetja zadolžena za izdelavo

Kadar narava, obseg, okoliščine in nameni obdelave, pa tudi tveganja za pravice in svoboščine posameznikov (verjetnost in resnost incidentov) narekujejo, poleg izdelave pravilnika o varovanju podatkov, tudi implementacijo politik informacijske varnosti

Kaj vsebujejo

  • opredelitev obsega SUVI
    (poslovni vidik, organiziranost, lokacije, sredstva, tehnologija),
  • izdelava metodologije informacijskih in pravnih tveganj
    (obravnava informacijskih tveganj z vidika zaupnosti, celovitosti in razpoložljivosti podatkov, opredelitev obravnave informacijskih tveganj poslovno/podpornih procesov, opredelitev informacijskih sredstev, opredelitvi groženj in ranljivosti sredstev, opredelitev obravnave informacijskih in pravnih tveganj)
  • izvedba analize informacijskih in pravnih tveganj
    (opredelitev tveganja poslovno/podpornega procesa z vidika zaupnosti, celovitosti in razpoložljivosti podatkov, določitev pomembnejših informacijskih sredstev, ki so uporabljeni v istem procesu, izbira ustreznih groženj in ranljivosti informacijskih sredstev, določitev informacijskih tveganj za vsako informacijsko sredstvo z vidika zaupnosti, celovitosti in razpoložljivosti)
  • izvedba postopkov za zmanjšanje tveganj
    (izbira ustreznih ukrepov, sprejem tveganj, izogib posameznim tveganjem, prenos tveganj na druge stranke)
  • implementacija dokumentiranega sistema upravljanja varovanja informacij (SUVI)
    (izvedba GAP analize za obstoječe postopke varovanja informacij, pregled ustreznosti in dopolnitev obstoječe dokumentacije, izdelava manjkajoče dokumentacije, priprava liste o primernosti SOA)
  • ozaveščanje zaposlenih in pogodbenih partnerjev (izobraževanje, obveščanje o spremembah)
  • priprava ter izvedba notranjih presoj in vodstvenih pregledov
  • izvedba drugih ukrepov, določenih z zakonodajo ali zahtevami standarda ISO/IEC 27001 ali podobnega