Audyt na zgodność z przepisami RODO
Usługa obejmuje audyt (diagnozę) aspektów prawnych, realizacji praw osób, oceny skutków / analizy ryzyka oraz zabezpieczeń organizacyjno – technicznych na zgodność z wymaganiami RODO
Rezultatem audytu jest raport końcowy ze wskazaniem rozbieżności oraz z wytycznymi do opracowania polityk i wykazu zabezpieczeń organizacyjnych, technicznych, informatycznych oraz sporządzenie listy działań do wykonania przez Zleceniodawcę w celu zapewnienia zgodności z przepisami RODO
Aspekty prawne i zabezpieczenia organizacyjne, realizacja praw osób
Identyfikacja danych osobowych w organizacji
Ocena poprawności przeprowadzenia identyfikacji kategorii danych, aktywów, programów, obszarów przetwarzania, osób upoważnionych
Ocena spełnienia wymagań prawnych RODO
- Badanie przesłanek legalności przetwarzania danych osobowych w tym profilowania
- Badanie zakresu i celu przetwarzania danych, poprawności i adekwatności danych oraz czasu ich przechowywania
- Ocena spełnienia obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane
- Ocena poprawności przekazania praw osobom, którym prawa te przysługują (prawo do bycia zapomnianym, prawo do sprostowania, prawo do przenoszenia danych, prawo dostępu do danych, …)
- Badanie rejestru czynności przetwarzania jeśli to ma zastosowanie rejestru kategorii czynności przetwarzania
- Ocena poprawności realizacji procedury przekazywania danych do państwa trzeciego
- Weryfikacja podmiotów z którymi istnieje wymóg posiadania umowy powierzenia
- Przegląd treści umów powierzenia przetwarzania danych osobowych na zgodność z przepisami art 28 RODO
Ocena poprawności stosowania środków organizacyjnych wymaganych przez RODO
- Ocena konieczności przygotowania i wdrożenia Polityk Bezpieczeństwa
- Sprawdzenie poprawności procedur systemowych: oświadczeń o poufności, upoważnień, szkoleń pracowników/użytkowników, audytów, testów penetracyjnych, notyfikacji incydentów
Analiza ryzyka & Ocena skutków
Weryfikacja przeprowadzenia oceny skutków / analizy ryzyka
- Ocena poprawności zastosowanej metodyki analizy ryzyka
- Sprawdzenie wyników analizy ryzyka
- Weryfikacja procesów przetwarzania (kategorii osób) pod kątem wymogu przeprowadzenia oceny skutków
- Gdy wymagane, sprawdzenie poprawności przeprowadzenia oceny skutków
Zabezpieczenia fizyczne i techniczne
Ocena poprawności stosowania zabezpieczeń fizycznych
- Sprawdzenie procedur polityk kontroli dostępu do budynków i pomieszczeń
- Sprawdzenie zabezpieczeń dostępu do pomieszczeń biurowych, serwerowni, archiwum
- Sprawdzenie zabezpieczenia dokumentacji w pomieszczeniach
- Sprawdzenie systemów alarmowych / ochrony obiektu
Ocena poprawności stosowania zabezpieczeń technicznych
- Sprawdzenie systemu kontroli dostępu, zabezpieczenia PPOŻ
- Sprawdzenie monitoringu środowiskowego, wizyjnego, klimatyzacji
- Sprawdzenie utrzymania zasilania UPS
Zabezpieczenia informatyczne
Weryfikacja zgodności oprogramowania z przepisami RODO
- Sprawdzenie rozliczalności operacji, rozliczalności użytkowników i administratorów
- Sprawdzenie realizacji prawa do bycia zapomnianym, ograniczania przetwarzania, privacy by design / by default
Ocena poprawności stosowania zabezpieczeń informatycznych
- Sprawdzenie stosowania systemów antywirusowych i antyspamowych
- Sprawdzenie stosowania kontroli przepływu ruchu
- Sprawdzenie stosowania systemów firewall, NG firewall, UTM , sond IDS / IPS
- Sprawdzenie stosowania systemów monitorowania zużycia, wykrywania słabości i zagrożeń, systemów inwentaryzacyjnych
- Sprawdzenie stosowania szyfrowania
- Sprawdzenie bezpieczeństwa pracy zdalnej
- Sprawdzenie stosowania zabezpieczeń, typu: redundancja zasobów, aktualizacje systemu, kopie bezpieczeństwa, wirtualizacja
- Sprawdzenie stosowania zabezpieczeń nośników i sprzętu wynoszonych poza organizację
- Sprawdzenie procedur korzystania z internetu i poczty elektronicznej
- Sprawdzenie stosowania zabezpieczeń sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych
- Sprawdzanie stosowania procedur utylizacji / usuwania danych / niszczenia nośników
- Sprawdzenie procedur zarządzania uprawnieniami, polityk uwierzytelnienia
- Sprawdzenie procedur napraw w serwisach zewnętrznych
- Sprawdzenie procedur korzystania z ISP, hostingu, cloud
Raport końcowy
Sformułowanie zaleceń do Najwyższego kierownictwa
Przygotowanie raportu końcowego z przeprowadzonego audytu wraz z wytycznymi do poprawy bezpieczeństwa danych osobowych