Mini Bundle: Ochrana údajů a soukromí - ENT

Mini Bundle: Ochrana údajů a soukromí - ENT poskytuje komplexní sadu politik, které zajišťují robustní správu a právní soulad pro citlivá data v průběhu jejich životního cyklu ve velkých organizacích. Tento balíček je určen pro podnikové použití a pokrývá hlavní regulační rámce, jako jsou ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA a COBIT 2019. Zahrnuté politiky formalizují požadavky od klasifikace dat, uchovávání, ochrany údajů, principů ochrany osobních údajů, auditu a řízení dodavatelů a pomáhají podnikům prokázat obhajitelná opatření a připravenost na audit. Politika klasifikace a označování dat (P13) zavádí formální schéma pro kategorizaci informačních aktiv organizace podle citlivosti, rizika a regulačních povinností. Trvalé štítky, sladění s řízením přístupu a strukturovaná správa umožňují důvěrnost, integritu a dostupnost, podporují bezpečné sdílení dat, šifrování a monitorování. Povinná klasifikace při vytvoření a napříč všemi formáty a prostředími zajišťuje, že každé aktivum obdrží odpovídající úroveň ochrany, přičemž jsou definovány role správy pro ředitele informační bezpečnosti (CISO), vlastníky informací, IT a týmy ochrany osobních údajů. Navázané politiky posilují řízení přístupu uživatelů, dohledatelnost aktiv, kryptografická kontrolní opatření a protokolování. Politika uchovávání a likvidace dat (P14) předepisuje, jak dlouho jsou data uchovávána, a na konci životního cyklu nařizuje bezpečné, nevratné zničení s dohledatelnou dokumentací a sladěním s právními povinnostmi, obchodními potřebami a klasifikací. Zavádí hlavní plán uchovávání dat, chain-of-custody pro média a silné kontroly pro záložní systémy, archivaci a výmaz, čímž podporuje reakci na audit, práva na soukromí a regulační požadavky. Soulad je vynucován prostřednictvím automatizovaných pracovních postupů, dokumentovaných osvědčení, každoročních cyklů přezkumu a integrace s reakcí na incidenty. Politika maskování dat a pseudonymizace (P16) definuje používání technologií zvyšujících soukromí ke snížení identifikovatelnosti dat v neprodukčních prostředích, testování, analytice a provozních procesech. Vyžaduje schválené techniky a nástroje, zakazuje používání reálných osobních údajů mimo produkční prostředí bez transformace a vynucuje posouzení rizik opětovné identifikace. Veškeré související činnosti jsou protokolovány, monitorovány a testovány z hlediska účinnosti, v souladu s GDPR čl. 4 odst. 5, kontrolami NIST a standardy ochrany osobních údajů. Správa výjimek, požadavky na dodavatele a vazby na politiky zajišťují konzistentní vynucování napříč systémy a týmy. Politika ochrany údajů a ochrany osobních údajů (P17) stanovuje povinná technická a organizační opatření pro zákonné a transparentní shromažďování, zpracování, sdílení a likvidaci osobních údajů. Vynucuje privacy-by-design, bezpečné výchozí nakládání, výslovný souhlas, práva subjektů údajů a soulad při přeshraničním zpracování. Role a odpovědnosti zahrnují pověřence pro ochranu osobních údajů (DPO), ředitele informační bezpečnosti (CISO), právní a compliance, IT a všechny zaměstnance/dodavatele, s přísnými postupy pro oznamování porušení a přezkum výjimek. Jsou vyžadovány pravidelné audity souladu, registr rizik a integrace se všemi klíčovými bezpečnostními a soukromí kontrolami. Politika monitorování auditu a souladu (P33) a Bezpečnostní politika dodavatelů (P26) doplňují balíček přísnými protokoly pro interní a externí audity, nápravná opatření a preventivní kontroly, prověrku dodavatelů a dohled nad životním cyklem. Zapojení třetích stran vyžaduje smluvně vymahatelná bezpečnostní opatření, pravidelné přezkumy, oznamování porušení, auditní důkazy o certifikacích a ověření výstupního procesu. Struktura auditního programu vyžaduje vykazování založené na auditních důkazech, nestrannost a neustálé zlepšování mapované na normy ISO. Společně tyto politiky tvoří podnikový soubor kontrol pro podporu certifikace, reakce na regulátory, dohled nad dodavateli a prokazatelně silnou správu dat. Všechny politiky jsou určeny výhradně pro podnikové nasazení, definují specializované role, jako jsou ředitel informační bezpečnosti (CISO), DPO, interní audit, a nejsou přizpůsobeny pro SME.