Članak 24 GDPR
Izrada politika informacijske sigurnosti

Kada su potrebne

Kada priroda, opseg, kontekst i svrhe obrade, kao i rizici različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca traže, pored izrade pravilnika o zaštiti podataka, još implementaciju politika informacijske sigurnosti

Što uključuju

  • definiranje opsega ISMS
    (poslovni aspekt, organizacija, lokacije, sredstva, tehnologija),
  • razvoj informacijske i pravne metodologije rizik
    (razmatranje informacijskih rizika u smislu povjerljivosti, integriteta i dostupnosti podataka, definiranje postupanja s informacijskim rizicima u poslovnim i pomoćnim procesima, definiranje informacijskih sredstava, prepoznavanje prijetnji i ranjivosti informacijskih sredstava, definiranje postupanja s informacijskim i pravnim rizicima)
  • provedba analize informacijskih i pravnih rizika
    (identifikacija rizika poslovnog / pomoćnog procesa u smislu povjerljivosti, integriteta i dostupnosti podataka, identificiranje značajnih informatičkih sredstava koja se koriste u istom procesu, odabir odgovarajućih prijetnji i ranjivosti informacijskih sredstava, određivanje informacijskih rizika za svako informacijsko sredstvo u smislu povjerljivosti, integriteta i dostupnosti)
  • provedba postupaka ublažavanja rizika
    (odabir odgovarajućih mjera, prihvaćanje rizika, izbjegavanje pojedinačnih rizika, prijenos rizika na druge strane)
  • implementacija dokumentiranog sustava upravljanja informacijskom sigurnošću (ISMS)
    (provođenje GAP analize za postojeće postupke informacijske sigurnosti, pregled i ažuriranje postojeće dokumentacije, izrada nedostajuće dokumentacije, izrada listova podobnosti za SOA)
  • podizanje svijesti zaposlenika i ugovornih partnera (obrazovanje, komunikacija o promjenama)
  • priprema i provođenje internih revizija i revizija uprave
  • provedba drugih mjera određenih zakonodavstvom ili zahtjevima ISO / IEC 27001 ili sličnim