Član 24 Zakona o zaštiti podataka o ličnosti
Izrada politika informacione sigurnosti

Kada su potrebne

Kada priroda, opseg, kontekst i svrhe obrade, kao i rizici različitih razina verovatnosti i ozbiljnosti za prava i slobode pojedinaca traže, pored izrade pravilnika o zaštiti podataka, još implementaciju politika informacione sigurnosti

Šta uključuju

  • definisanje obima ISMS-a
    (poslovni aspekt, organizacija, lokacije, sredstva, tehnologija),
  • razvoj informacione i pravne metodologije rizik
    (razmatranje informacionih rizika u smislu poverljivosti, integriteta i dostupnosti podataka, definisanje upravljanja informacijskim rizikom u poslovnom i pratećim procesima, definisanje informacionih sredstava, identifikacija pretnji i ranjivosti informacionih sredstava, definisanje informacionih i pravnih rizika upravljanja)
  • sprovođenje analize informacionih i pravnih rizik
    (identifikacija rizika poslovnih / pratećih procesa u smislu poverljivosti, integriteta i dostupnosti podataka, identifikacija značajnih IT sredstava koja se koriste u istom procesu, izbor odgovarajućih pretnji i ranjivosti informacionih sredstava, određivanje informacionih rizika za svako informaciono sredstvo u smislu poverljivosti, integriteta i dostupnosti)
  • sprovođenje postupaka za ublažavanje rizika
    (izbor odgovarajućih mera, prihvatanje rizika, izbegavanje pojedinačnih rizika, prenos rizika na druge strane)
  • Implementacija dokumentovanog sistema upravljanja sigurnošću informacija (ISMS)
    (sprovođenje GAP analize postojećih procedura bezbednosti informacija, pregled i ažuriranje postojeće dokumentacije, kreiranje nedostajuće dokumentacije, kreiranje listova podobnosti za SOA)
  • podizanje svesti zaposlenih i ugovornih partnera (obrazovanje, komunikacija o promenama)
  • priprema i sprovođenje internih i revizija menadžmenta
  • primenu drugih mera utvrđenih zakonodavstvom ili zahtevima ISO / IEC 27001 ili sličnim