Mini paket: varstvo podatkov in zasebnost – ENT

Mini paket: varstvo podatkov in zasebnost – ENT zagotavlja celovit nabor politik, ki zagotavljajo robustno upravljanje in pravno skladnost za občutljive podatke skozi celoten življenjski cikel v velikih organizacijah. Paket je zasnovan za uporabo v podjetjih in naslavlja glavne regulativne okvire, kot so ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA in COBIT 2019. Vključene politike formalizirajo zahteve od razvrščanja podatkov, hrambe podatkov, varstva podatkov, načel zasebnosti podatkov, presoje in upravljanja dobaviteljev ter pomagajo podjetjem dokazovati utemeljene kontrole in pripravljenost na revizijo. Politika razvrščanja in označevanja podatkov (P13) vzpostavlja formalno shemo za kategorizacijo organizacijskih informacijskih sredstev glede na občutljivost, tveganje in regulativne obveznosti. Trajne oznake, usklajenost z nadzorom dostopa in strukturirano upravljanje omogočajo zaupnost, celovitost in razpoložljivost ter podpirajo varno deljenje podatkov, šifriranje in spremljanje. Obvezno razvrščanje ob nastanku ter v vseh formatih in okoljih zagotavlja, da vsako sredstvo prejme ustrezno raven varstva, pri čemer so vloge upravljanja opredeljene za vodjo informacijske varnosti (CISO), lastnike informacij, IT in ekipe za zasebnost podatkov. Povezane politike krepijo upravljanje uporabniškega dostopa, sledljivost sredstev, kriptografske varovalne ukrepe in revizijsko beleženje. Politika hrambe podatkov in varnega odstranjevanja (P14) predpisuje, kako dolgo se podatki hranijo, in zahteva varno, nepovratno uničenje ob koncu življenjskega cikla, s sledljivo dokumentacijo ter usklajenostjo z zakonskimi obveznostmi, poslovnimi potrebami in razvrščanjem podatkov. Uvaja glavni koledar hrambe podatkov, verigo skrbništva za medije ter močne kontrole za sisteme za varnostno kopiranje, arhiviranje in brisanje, kar podpira odziv na presojo, pravice do zasebnosti in regulativne zahteve. Skladnost se uveljavlja prek samodejnih sprožilcev, dokumentiranih potrdil o skladnosti, letnih ciklov pregleda in integracije z odzivom na incidente. Politika maskiranja podatkov in psevdonimizacije (P16) opredeljuje uporabo tehnologij za izboljšanje zasebnosti za zmanjšanje prepoznavnosti podatkov v neprodukcijskih okoljih, testiranju, analitiki in operativnih procesih. Zahteva odobrene tehnike in orodja, prepoveduje uporabo dejanskih osebnih podatkov zunaj produkcijskega okolja brez transformacije ter uveljavlja ocene tveganja ponovne identifikacije. Vse povezane dejavnosti se revizijsko beležijo, spremljajo in testirajo glede učinkovitosti, skladno s členom 4(5) GDPR, kontrolami NIST in standardi zasebnosti podatkov. Upravljanje izjem, zahteve za dobavitelje in povezave politik zagotavljajo dosledno uveljavljanje v vseh sistemih in ekipah. Politika varstva podatkov in zasebnosti (P17) določa obvezne tehnološke in organizacijske ukrepe za zakonito in pregledno zbiranje, obdelavo, deljenje in odstranjevanje osebnih podatkov. Uveljavlja vgrajeno varnost, varno privzeto ravnanje s podatki, izrecno soglasje, pravice posameznikov in skladnost pri čezmejni obdelavi. Vloge in odgovornosti segajo od pooblaščene osebe za varstvo podatkov (DPO), vodje informacijske varnosti (CISO), prava, IT ter vseh zaposlenih/pogodbenih izvajalcev, z rigoroznimi postopki obveščanja o kršitvah in pregleda izjem. Zahtevane so redne presoje skladnosti, register tveganj in integracija z vsemi ključnimi kontrolami varnosti in zasebnosti podatkov. Politika spremljanja presoje in skladnosti (P33) ter Politika varnosti dobaviteljev (P26) dopolnita paket s strogimi protokoli za notranje in zunanje presoje, korektivne in preventivne kontrolne ukrepe, skrbni pregled dobaviteljev ter nadzor skozi življenjski cikel. Sodelovanja s tretjimi osebami zahtevajo pogodbeno uveljavljive varnostne ukrepe, periodične preglede, obveščanje o kršitvah, revizijske dokaze o certifikatih in preverjanje ob postopku izstopa. Struktura programa presoje zahteva poročanje na podlagi revizijskih dokazov, nepristranskost in nenehno izboljševanje, preslikano na standarde ISO. Skupaj te politike tvorijo nabor kontrol na ravni podjetja za podporo certificiranju, regulatornim odzivom, nadzoru dobaviteljev in dokazljivo močnemu upravljanju podatkov. Vse politike so strogo namenjene uvedbi v podjetjih, opredeljujejo specializirane vloge, kot so vodja informacijske varnosti (CISO), pooblaščena oseba za varstvo podatkov (DPO) in notranja revizija, ter niso prilagojene za MSP.