Η πολιτική ασφαλείας μπορεί να είναι είτε ενιαία, ώστε να καλύπτει όλα τα πληροφοριακά συστήματα και τις διαδικασίες που άπτονται της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, είτε να αποτελείται από τμήματα όπου το κάθε ένα να αναφέρεται σε κάποιο υπο-σύστημα επεξεργασίας δεδομένων προσωπικού χαρακτήρα ή επιμέρους τομέα ασφαλείας (όπως επιμέρους πολιτική για τη διαχείριση αντιγράφων ασφαλείας, για τη διαχείριση περιστατικών παραβίασης της ασφάλειας, κ.λπ).
Στη δεύτερη περίπτωση, οι επιμέρους πολιτικές αποτελούν παραρτήματα της γενικότερης πολιτικής ασφαλείας και μνημονεύονται σε αυτή.
Επίσης, πρέπει να είναι απόλυτα σαφής ώστε να μην παρουσιάζονται δυσκολίες στην κατανόηση και εφαρμογή της. Προς τούτο, πρέπει να είναι απαλλαγμένη από εξειδικευμένους τεχνικούς όρους και αναφορές, οι οποίοι ενδεχομένως να καθιστούν δύσκολη την εφαρμογή της και να την εξαρτούν από συγκεκριμένες τεχνολογικές επιλογές.
Η πολιτική ασφαλείας δεν πρέπει να τροποποιείται συχνά.
Πέραν των τακτικών αναθεωρήσεών της, δύναται να τροποποιείται στις περιπτώσεις που συμβαίνουν σημαντικές αλλαγές σε κάποιο τουλάχιστον από τα εξής:
α) στην οργανωτική δομή του υπευθύνου επεξεργασίας,
β) στα πληροφοριακά συστήματα,
δ) στις τεχνολογικές εξελίξεις,
ε) στο είδος ή/και στην επεξεργασία των προσωπικών δεδομένων.
Η πολιτική ασφαλείας μπορεί επίσης να μεταβάλλεται κατόπιν διενέργειας εσωτερικού ή εξωτερικού ελέγχου, ο οποίος καταδεικνύει μη επαρκή ή/και μη αποτελεσματικά μέτρα ως προς την ασφάλεια, ή κατόπιν περιστατικού παραβίασης της ασφάλειας.
Τέλος, σημειώνεται ότι μια πολιτική ασφαλείας οφείλει να είναι γενικεύσιμη, υπό την έννοια ότι η εφαρμογή της σε μελλοντικά συστήματα που ενδεχομένως ενταχθούν στο πληροφοριακό σύστημα του οργανισμού να είναι δυνατή χωρίς να απαιτούνται μεγάλες τροποποιήσεις σε μικρά χρονικά διαστήματα.
Τα αναγραφόμενα στην πολιτική ασφαλείας Έντυπο-(Ε01.05_ΒΑΣΙΚΕΣ_ΟΔΗΓΙΕΣ_ΓΙΑ_ΕΡΓΑΖΟΜΕΝΟΥΣ) πρέπει να είναι δεσμευτικά Έντυπο-(Ε01.01_ΣΥΓΚΑΤΑΘΕΣΗ_ΕΡΓΑΖΟΜΕΝΩΝ_ΠΡΟΣΩΠΙΚΩΝ_ΔΕΔΟΜΕΝΩΝ_V01.) & Έντυπο-(Ε01.02_ΡΗΤΡΑ_ΕΜΠΙΣΤΕΥΤΙΚΌΤΗΤΑΣ_GDPR_V4). για όλο το προσωπικό που χειρίζεται καθ’ οιονδήποτε τρόπο προσωπικά δεδομένα, ενώ επίσης πρέπει να είναι και σε συμφωνία με τη σχετική κείμενη νομοθεσία
Εγγραφείτε για να λαμβάνετε με e-mail
τα τελευταία νέα, σχετικά με το insTech
Θα σας στείλουμε Newsletter όταν δημοσιεύονται νέα άρθρα σχετικά με αυτό το θέμα.
Σχετικά με τους συγγραφείς
Konstantinos Paterakis
(I write about tech, cyber & finance)
Insurance Risk Management Analyst, CyRM
Co-Founder & Μέλος Δ.Σ. cluster Panormos