Mini pakiet: Ochrona danych i prywatność - ENT

Mini pakiet: Ochrona danych i prywatność - ENT dostarcza kompleksowy zestaw polityk, które zapewniają solidne zarządzanie i zgodność prawną dla danych wrażliwych w całym cyklu życia w dużych organizacjach. Pakiet został przygotowany do zastosowań enterprise i obejmuje główne ramy regulacyjne, takie jak ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA oraz COBIT 2019. Zawarte polityki formalizują wymagania dotyczące klasyfikacji danych, retencji, ochrony, zasad prywatności, audytu oraz zarządzania dostawcami, pomagając przedsiębiorstwom wykazać możliwe do obrony zabezpieczenia i gotowość do audytu. Polityka klasyfikacji i etykietowania danych (P13) ustanawia formalny schemat kategoryzacji aktywów informacyjnych organizacji zgodnie z wrażliwością, ryzykiem oraz obowiązkami regulacyjnymi. Trwałe etykiety, powiązanie z kontrolą dostępu oraz ustrukturyzowane zarządzanie wspierają poufność, integralność i dostępność, umożliwiając bezpieczne udostępnianie danych, szyfrowanie oraz monitorowanie. Obowiązkowa klasyfikacja przy tworzeniu oraz we wszystkich formatach i środowiskach zapewnia, że każde aktywo otrzymuje odpowiedni poziom ochrony, a role zarządcze są zdefiniowane dla Dyrektora ds. bezpieczeństwa informacji (CISO), właścicieli informacji, IT oraz zespołów ds. prywatności. Powiązane polityki wzmacniają zarządzanie dostępem użytkowników, identyfikowalność aktywów, zabezpieczenia kryptograficzne oraz rejestrowanie audytowe. Polityka retencji i utylizacji danych (P14) określa, jak długo dane są przechowywane, oraz nakazuje bezpieczne, nieodwracalne zniszczenie na końcu cyklu życia, wraz z możliwą do prześledzenia dokumentacją i powiązaniem z obowiązkami prawnymi, potrzebami biznesowymi oraz klasyfikacją danych. Wprowadza główny harmonogram retencji danych, łańcuch dowodowy dla nośników oraz silne zabezpieczenia dla systemów kopii zapasowych, archiwizacji i usuwania, wspierając odpowiedzi na audyt, prawa do prywatności oraz wnioski regulacyjne. Zgodność jest egzekwowana poprzez zautomatyzowane procesy, udokumentowane poświadczenia, coroczne cykle przeglądów oraz integrację z reagowaniem na incydenty. Polityka maskowania danych i pseudonimizacji (P16) definiuje wykorzystanie technologii zwiększających prywatność w celu ograniczenia identyfikowalności danych w środowiskach nieprodukcyjnych, testach, analizach oraz procesach operacyjnych. Wymaga zatwierdzonych technik i narzędzi, zabrania używania rzeczywistych danych osobowych poza środowiskiem produkcyjnym bez transformacji oraz wymusza oceny ryzyka ponownej identyfikacji. Wszystkie powiązane działania są rejestrowane, monitorowane oraz testowane pod kątem skuteczności, zgodnie z art. 4(5) GDPR, zabezpieczeniami NIST oraz standardami prywatności danych. Zarządzanie wyjątkami, wymagania wobec dostawców oraz powiązania polityk zapewniają spójne egzekwowanie w systemach i zespołach. Polityka ochrony danych i prywatności (P17) ustanawia obowiązkowe zabezpieczenia techniczne i organizacyjne dla zgodnego z prawem i przejrzystego zbierania, przetwarzania, udostępniania oraz utylizacji danych osobowych. Wymusza privacy-by-design, bezpieczne domyślne postępowanie z danymi, wyraźną zgodę, prawa osób, których dane dotyczą, oraz zgodność transgraniczną. Role i odpowiedzialności obejmują Inspektora Ochrony Danych (DPO), Dyrektora ds. bezpieczeństwa informacji (CISO), prawo i zgodność, IT oraz cały personel/wykonawców, wraz z rygorystycznymi procedurami powiadamiania o naruszeniach i przeglądu wyjątków. Wymagane są regularne audyty zgodności, rejestr ryzyk oraz integracja ze wszystkimi kluczowymi zabezpieczeniami bezpieczeństwa i prywatności. Polityka monitorowania audytu i zgodności (P33) oraz Polityka bezpieczeństwa dostawców (P26) uzupełniają pakiet o ścisłe protokoły audytów wewnętrznych i zewnętrznych, działań korygujących i zapobiegawczych, due diligence dostawców oraz nadzoru w cyklu życia. Współpraca ze stronami trzecimi wymaga umownie egzekwowalnych środków bezpieczeństwa, okresowych przeglądów, powiadamiania o naruszeniach, dowodów certyfikacji oraz weryfikacji offboardingu. Struktura programu audytu wymaga raportowania opartego na dowodach, bezstronności oraz ciągłego doskonalenia mapowanego do norm ISO. Łącznie polityki te tworzą zestaw zabezpieczeń klasy enterprise wspierający certyfikację, reakcję regulacyjną, nadzór nad dostawcami oraz wykazywalnie silny ład danych. Wszystkie polityki są przeznaczone wyłącznie do wdrożeń enterprise, definiują wyspecjalizowane role, takie jak Dyrektor ds. bezpieczeństwa informacji (CISO), DPO oraz audyt wewnętrzny, i nie są dostosowane do MŚP.