Nadzór IOD nad systemem ochrony danych osobowych. Jak skutecznie poprowadzić audyt z elementami krajowych ram interoperacyjności i cyberbezpieczeństwa

Podczas Webinarium zostaną wskazane i omówione przez ekspertów praktyczne sposoby prowadzenia nadzoru nad obszarem przetwarzania danych. Przedstawione zostaną najczęściej popełniane błędy przy audytach wraz z omówieniem sposób ich rozwiązania. Uczestnicy szkolenia zdobędą wiedzę i umiejętności w zakresie sposobów dobierania obszarów do audytu oraz dowiedzą się jaki zakres powinien się znaleźć w obszarze audytowym.

• Omówienie planów audytu oraz sposobów gromadzenia informacji uwzględniając KRI.
• Nabycie umiejętności prowadzenia nadzoru IOD nad systemem ochrony danych oraz wskazanie najczęściej popełnianych błędów.
• Pozyskanie dokumentacji w zakresie realizowanego audytu.
• Zdobycie praktycznych umiejętności prowadzenia audytu z poprawnym zapisem w dokumentacji poaudytowej jak również nabycie umiejętności związanych z wyborem obszarów i zakresu audytu.
• Wskazanie podstawowych zakresów audytu zgodności z krajowymi ramami interoperacyjności.
• Omówienie wymagań dla uczestników programu „Cyberbezpieczny samorząd”.

1. Przygotowanie planu audytu:
a. Ustalenie obszarów i zakresu audytu.
b. Informacja dla działów/osób objętych audytem.
c. Przygotowanie dokumentacji.
2. Sposób gromadzenia informacji:
a. Bezpośrednio od pracowników objętych audytem.
b. Informacje pozyskane na podstawie obserwacji/wizji lokalnej.
3. Umowy z podmiotami zewnętrznymi w tym umowy powierzenia: rejestr umów, poprawność zapisów oraz sposób wyboru podmiotu przetwarzającego.
4. Sprawdzenie regulacji wewnętrznych w zakresie zmieniającego się otoczenia prawnego w tym: regulaminu pracy, regulaminu ZFŚS, regulaminu monitoringu.
5. Ocena prowadzenia rekrutacji w oparciu o KP: zakres gromadzonych danych, obowiązek informacyjny oraz niszczenie CV.
6. Ocena sposobu realizacji praw osób, których dane są przetwarzane w jednostce.
7. Ocena realizacji obowiązku informacyjnego w oparciu o art. 13 14 RODO.
8. Ocena postępowania z naruszeniem:
a. Informowanie ADO, innych osób funkcyjnych.
b. Podejmowane działania z określeniem czasu. 
c. Analiza naruszenia w tym również naruszeń związanych z ceberbezpieczeństwem.
d. Informowanie UODO oraz osób fizycznych których naruszenie dotyczy.
9. Audyt obszaru IT, wybrane zagadnienia:
a. Kopie bezpieczeństwa.
b. Inwentaryzacja sprzętu i oprogramowania z elementami par 20.2.2 rozporządzenia KRI.
c. Zarządzanie uprawnieniami w oparciu o karty uprawnień.
d. Dokumentacji systemu zarządzania bezpieczeństwem informacji (SZBI).
10. Realizacja zadań osób funkcyjnych:
a. Administrator systemów informatycznych.
b. Zespół do utrzymania systemu zarządzania bezpieczeństwem informacji(wymóg zgodny z krajowym systemem cyberbezpieczeństwa oraz KRI).
c. Kierownicy działów.
11. Cyberbezpieczeństwo i zakres nadzoru IOD:
a. Zagrożenia cybernetyczne w samorządzie i jednostkach organizacyjnych.
b. Ataki socjotechniczne – przykłady skutecznych ataków na samorządy.
c. Przykładowe złośliwe oprogramowanie i aplikacje.
d. Podstawowe zasady bezpiecznego funkcjonowania w sieci.
e. Pozyskiwanie informacji poprzez pracę online.
f. Gdzie i jak sprawdzić czy nasze hasła są bezpieczne?
12. Szkolenia pracowników, plany szkoleń wraz z tematami.
13. Realizacja wymogów rozporządzenia ws. krajowych ram interoperacyjności (KRI) uwzględniając program „Cyberbezpieczny samorząd”.
14. Pytania, dyskusja na każdym etapie szkolenia. 
 

Inspektorzy ochrony danych i ich zastępcy, osoby odpowiedzialne za ochronę danych, kierownicy działów organizacyjnych i IT. Członkowie zespołów ds. utrzymania systemu zarządzania bezpieczeństwem informacji, pełnomocnicy ds. SZBI.

Trener 1 - Inspektor ochrony danych w jednostkach budżetowych, audytor wiodący ISO 27001, nieetatowy współpracownik Instytutu studiów Podyplomowych Wyższej Szkoły Nauk Pedagogicznych w zakresie zajęć o tematyce ochrony danych osobowych w jednostkach publicznych, wieloletni prelegent na kursach i szkoleniach z zakresu ochrony danych osobowych.

Trener 2 - audytor wewnętrzny bezpieczeństwa informacji normy IOS27001, absolwent studiów podyplomowych na kierunku Inspektor Ochrony Danych. Aktywny członek stowarzyszenia inspektorów ochrony danych (SABI). Posiada doświadczenie w zakresie współpracy z administracją publiczną pełniąc funkcję inspektora ochrony danych oraz obsługując naruszenia ochrony danych. Prowadzi audyty ochrony danych osobowych, audyty bezpieczeństwa systemów informatycznych oraz szkolenia dla pracowników, których tematyka związana jest z danymi osobowymi, prywatnością a także bezpieczeństwem informacji.