Procedura testowania, mierzenia i oceny skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzania

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

Testy bezpieczeństwa

Sprawdzają poprawność i skuteczność funkcjonowania zabezpieczeń fizycznych, technicznych i organizacyjnych zastosowanych w celu ochrony danych osobowych przetwarzanych w systemie IT.
Zakres testowanych zabezpieczeń systemu IT obejmuje kontrolę ustawień zabezpieczeń systemu, jak również kontrolę poprawności utworzonych w systemie kont użytkowników i praw do obiektów systemu nadanych użytkownikom. Kontroluje się także zgodność sprzętu i oprogramowania systemu z zapisami dokumentacji bezpieczeństwa, jak również poprawność instalacji i eksploatacji sprzętu.

Za prowadzenie testów bezpieczeństwa w systemie IT odpowiedzialny jest administrator systemu, który wykonuje testy przy współudziale inspektora ochrony danych osobowych. W związku z tym inspektor może żądać od pracowników departamentu IT związanych z pracą zabezpieczeń systemu (w szczególności od administratora systemu) wglądu do ustawień zabezpieczeń w celu kontroli zgodności zaimplementowanych zabezpieczeń z dokumentacją bezpieczeństwa systemu.

Testy bezpieczeństwa przeprowadza się na etapie wdrażania, a następnie na etapie eksploatacji. Testy przeprowadza się okresowo, nie rzadziej niż co 360 dni, lub w przypadku zaistnienia incydentu bezpieczeństwa.
Fakt przeprowadzenia testów bezpieczeństwa każdorazowo odnotowywany jest w raporcie z przebiegu testów. W przypadku wykrycia niezgodności ustawień zabezpieczeń systemu z wartościami określonymi w dokumentacji bezpieczeństwa systemu jest to odnotowywane w raporcie, a administrator systemu w trakcie testów ustawia wartości pożądane.

Testom bezpieczeństwa powinny podlegać wszystkie możliwe do przetestowania zagadnienia związane z bezpieczeństwem systemu.

Raport z testów zabezpieczeń opracowany przez administratora systemu jest jedną z części raportu z audytu wewnętrznego systemu.