Jaki rodzaj danych znajduje się na elektronicznych nośnikach informacji?

Pierwszym krokiem, jaki należy podjąć, aby właściwie oszacować ryzyko przetwarzania danych z użyciem elektronicznych nośników danych, jest określenie, jakie dane osobowe są przechowywane na tego typu urządzeniach.

Administrator danych powinien zatem zacząć od inwentaryzacji swoich zasobów dotyczących wykorzystania nośników informacji. Należy bowiem ustalić, gdzie i w jakich procesach w organizacji wykorzystuje się nośniki danych. Dodatkowo należy ustalić, iloma takimi nośnikami dysponuje organizacja, gdzie są one przechowywane, kto i na jakich zasadach ma do nich dostęp.

W drugiej kolejności trzeba ustalić, jakie kategorie danych osobowych są przetwarzane z użyciem elektronicznych nośników informacji.

Dzięki tak przeprowadzonej inwentaryzacji administrator danych zyska informacje o ryzyku i zagrożeniach, jakie występują w jego organizacji, w zakresie, w jakim wykorzystuje ona do przetwarzania danych elektroniczne nośniki danych.

Wskazówka!

Rzetelne przeprowadzenie wskazanej wyżej inwentaryzacji pozwoli administratorowi danych ustalić także, czy wykorzystanie elektronicznych nośników informacji do przetwarzania danych w jego organizacji jest w ogóle
konieczne.

Może się bowiem okazać, że np. pracownicy wykorzystują pendrive’y do zapisywania projektów, które są anonimowe, a dane osobowe są na tych nośnikach zapisywane sporadycznie.

W takiej sytuacji wydaje się, że warto zakazać używania elektronicznych nośników danych do przechowywania danych osobowych. Wtedy ewen­tualna ich utrata nie będzie wiązała się z naruszeniem bezpieczeństwa danych osobowych.

Jednak nawet w takim przypadku warto zadbać o zabezpieczenie tych nośników, bowiem może się okazać, że pomimo iż nie ma na nich danych osobowych, są tam inne informacje, które mogą stanowić tajemnicę przedsiębiorstwa.

Zabezpieczenia fizyczne i organizacyjne

Po przeprowadzeniu inwentaryzacji i analizy ryzyka administrator danych wdraża zabezpieczenia, które okazały się konieczne. W pierwszej kolejności są to zabezpieczenia fizyczne oraz odpowiednie procedury organizacyjne. W ramach tych procedur należy określić, gdzie przechowywane będą elektroniczne nośniki informacji, np. zamykana szafka, kasetka, gdzie będą przechowywane klucze do nich, kto będzie wydawał klucze, kto będzie wydawał te nośniki danych. Wydawanie kluczy i nośników danych powinno być odnotowane w dokumentacji, tak aby w razie zgubienia/kradzieży nośnika lub danych, które się na nim znajdowały, można było ustalić, kto i kiedy z niego korzystał.

Dodatkowo warto w wewnętrznych procedurach szczegółowo określić, którzy pracownicy mogą korzystać z elektronicznych nośników danych, zwłaszcza jeśli w wyniku przeprowadzonej analizy administrator danych ustalił, że nie wszyscy pracownicy w toku wykonywania powierzonych im czy...

Dalsza część jest dostępna dla użytkowników z wykupionym planem