Usługa polega na przeprowadzeniu audytu bezpieczeństwa Danych Osobowych na zgodność z wymaganiami Ustawy o Ochronie Danych Osobowych.
Audyt obejmuje ocenę aspektów prawnych, organizacyjno-technicznych i informatycznych ochrony danych.
Zakresem audytu objęte są obszary fizyczne oraz systemy informatyczne, gdzie przetwarzane są dane osobowe w formie zbiorów i dokumentów w wersji papierowej i elektronicznej.
Ocena spełnienia wymagań prawnych U.O.D.O:
- Badanie przesłanek legalności przetwarzania danych osobowych w zbiorach
- Badanie zakresu i celu przetwarzania danych, poprawności i adekwatności danych w zbiorach i dokumentach oraz czasu ich przechowywania
- Ocena spełnienia obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane
- Badanie poprawności identyfikacji zbiorów danych osobowych i ich ewentualnej rejestracji wewnętrznej
- Ocena poprawności realizacji procedury przekazywania danych do państwa trzeciego
- Przegląd umów powierzenia przetwarzania danych osobowych
Ocena poprawności stosowania środków organizacyjnych i informatycznych wymaganych przez Urząd Ochrony Danych Osobowych:
- Ocena stosowania zabezpieczeń organizacyjnych
- Ocena kompletności i aktualności Polityki bezpieczeństwa i Instrukcji zarządzania
- Sprawdzenie poprawności podstawowych dokumentów systemowych: oświadczeń, upoważnień, ewidencji osób dopuszczonych do przetwarzania Danych Osobowych, Szkoleń użytkowników, Monitorowania systemu Ochrony Danych Osobowych
Ocena poprawności stosowania zabezpieczeń fizycznych:
- obiektów, systemy kontroli dostępu, systemy alarmowe i przeciwpożarowe, zamykanie pomieszczeń i obiektów, zabezpieczenie okien, procedury przeglądów
- zabezpieczeń nośników, zbiorów papierowych, elektronicznych (sejfy, szafy, archiwa, klimatyzacja pomieszczeń)
Ocena poprawności stosowania zabezpieczeń informatycznych:
- Ocena poziomu bezpieczeństwa
- Sprawdzenie kompletności wykazu programów służących do przetwarzania danych osobowych
- Sprawdzenie struktury pól informacyjnych wraz z powiązaniami
- Sprawdzenie przepływ danych pomiędzy systemami / zbiorami
- Sprawdzenie procedury nadawania uprawnień
- Sprawdzenie procedury uwierzytelniania
- Sprawdzenie procedury tworzenia kopii bezpieczeństwa
- Sprawdzenie procedury zabezpieczania i przechowywania nośników
- Sprawdzenie systemu informatycznego pod kątem spełnienia obowiązku informacyjnego oraz pozostałych wymagań dot. systemu zawartych w § 7 rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
- Sprawdzenie procedury zabezpieczeń antywirusowych i antywłamaniowych (antyhackerskich)
- Sprawdzenie procedury Przeglądów i konserwacji systemów
Wyniki audytu:
Po przeprowadzonym audycie przedstawiciel audytowanego podmiotu otrzymuje raport końcowy dokumentujący jego przebieg wraz z informacjami o spostrzeżeniach i uchybieniach w odniesieniu do spełnienia wymagań U.O.D.O., stanowiących podstawę do podjęcia przez organizację działań przywracających zgodność z wymaganiami ustawowymi.