Plán auditu souladu - SMK, EMS, GDPR

2.2.126

Plán auditu souladu – SMK, EMS, GDPR

Ing. Monika Becková

Metody použité při auditu:

• Posouzení dokumentovaných informací

• Pohovory se zaměstnanci

• Pozorování při auditu na místě

• Obchůzky (místní šetření ve firmě)

• Použití checklistu

1. O auditu:

Dne xx-xx-xx byl v prostorách organizace SOVA s.r.o. proveden úvodní audit souladu zpracování osobních údajů s požadavky GDPR. Audit byl zaměřen na zpracování osobních údajů a jejich zabezpečení. Audit byl zároveň zaměřen na související problematiku systému managementu kvality a systému environmentálního managementu (EMS), zjištění související přímo s požadavky těchto norem jsou předmětem samostatné zprávy.

2. Prověřovaná organizační místa a osoby:

Předmětem auditu byly následující organizační místa/útvary/osoby:

• Jednatel společnosti SOVA

• Asistentka jednatele

• Představitel vedení společnosti SOVA

• Vedoucí provozu

• Vedoucí ekonomického úseku a personálního oddělení

• Externí mzdová účetní (dodavatel = zpracovatel OÚ pro správce SOVA s.r.o.)

3. Zjištění:

3.1 Osobní údaje

Organizace SOVA s.r.o. je správcem i zpracovatelem osobních údajů (dále jen OÚ) o zaměstnancích, zákaznících a dodavatelích, součástí jsou i citlivé OÚ (zvláštní kategorie OÚ ve smyslu GDPR), např. záznamy o zdravotním stavu zaměstnanců.

3.2 Síť

Počítačová síť je tvořena propojením (kabeláží) počítačů tzv. "pracovní skupina" se sdílenými složkami a tiskárnami. Do sítě je zapojen NAS server s připojeným krátkodobým zdrojem energie UPS.

Na NAS (a rovněž na flash disk – bez zabezpečení) je prováděna záloha PC. WiFi je mimo PC síť, přístup na WiFi je zabezpečen prostřednictvím WPA2.

Navrhovaná opatření:

• stanovit pravidla pro případnou manipulaci/likvidaci poškozených disků NAS serveru

• vést přehled hesel – pro přístup do PC/NTB a IS, tento přehled uchovávat např. v zalepené obálce v trezoru

• zpracovat a dokumentovat pravidla pro řízení přístupu do sítě (tvorbu a používání přístupového hesla, vytvoření/změna/zrušení přístupových práv)

• vést záznamy o bezpečnostních událostech

• stanovit povinnosti a pravidla pro provádění aktualizace/správu firmware (router, WiFi, Firewall)

• zvážit vhodnost monitorování komunikace z/do sítě (na routeru, WiFi)

• školení uživatelů sítě – význam ochrany informací, pravidla pro přístup do PC sítě, pravidla pro komunikaci v rámci i vně sítě.

3.3 Uživatelé výpočetní techniky

Vstup do PC/NTB je prostřednictvím přihlašovacího jména a hesla. Je používán antivir ESET.

PC nemají krátkodobý záložní zdroj energie tzv. UPS.

Vzhledem k tomu, že jsou využívány notebooky (dále jen NTB) i mimo stálé pracoviště, je potenciální riziko vzniku bezpečnostního incidentu.

Na některých PC je nainstalován OS Windows 7, upozorňuji, že se blíží konec rozšířené podpory (14.1.2020).

Navrhovaná opatření:

• zpracovat pravidla pro tvorbu a používání přístupového hesla

• zvážit šifrování vybraných složek v NTB přímo operačním systémem (tj. těch složek, v nichž jsou vedeny osobní údaje)

• omezit uživatelům PC/NTB provádět instalaci SW

• stanovit pravidla zabezpečení PC/NTB v případě, že uživatel přestane na PC pracovat (např. automatické odhlášení po pěti minutách nečinnosti)

• k ochraně proti malware používat i další vhodný SW např. jednorázové aplikace

• vést zálohu osobních údajů vedených v el. formě i mimo budovu

• stanovit pravidla pro používání a ochranu NTB mimo stálé pracoviště

• prověřit smlouvy z pohledu bezpečnosti informací s poskytovatelem elektronické pošty/webových služeb

• stanovit pravidla pro užívání el. pošty, tj. zejména výmaz nepotřebné pošty

• stanovit pravidla pro používání komunikačních služeb např. internetu

• zpracovat pravidla pro používání externích datových nosičů (např. identifikace schválených "flešek" pro pracovní účely, manipulace s nimi, co lze na nich uchovávat, jak zabezpečit data, jak vymazat údaje, likvidace poškozených/vyřazovaných nosičů)

• provést…