Στην πολιτική ασφαλείας πρέπει, κατ’ ελάχιστο, να αναφέρονται τα εξής:
- Οι βασικές αρχές ασφαλείας που οφείλει να τηρεί ο υπεύθυνος επεξεργασίας, όπως η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων, η απόδοση ευθυνών σε περιπτώσεις λαθών και παραβάσεων, κ.λπ.
- Τα αγαθά (αρχεία σε οποιαδήποτε μορφή ή εξοπλισμός) τα οποία πρέπει να προστατευτούν.
- Ο σκοπός και το πεδίο εφαρμογής της πολιτικής ασφαλείας ως προς τη διαφύλαξη των αγαθών και των βασικών αρχών ασφαλείας.
- Το οργανωτικό πλαίσιο ρόλων, αρμοδιοτήτων, καθηκόντων που αφορούν την ασφάλεια (συμπεριλαμβανομένων αυτών που άπτονται της υλοποίησης, εφαρμογής και επισκόπησης της πολιτικής ασφαλείας), την ενημέρωση του προσωπικού σχετικά με τη συμμόρφωση με αυτή και τις δέουσες ενέργειες σε περίπτωση παραβίασής της.
- Οι επιμέρους τομείς ασφαλείας που αφορά η πολιτική και οι βασικοί κανόνες/διαδικασίες που πρέπει να ακολουθούνται σε καθέναν από τους τομείς αυτούς για την επίτευξη των στόχων που θέτει η πολιτική ασφαλείας.
- Η διαδικασία εσωτερικών ελέγχων, η οποία πρέπει να λαμβάνει χώρα για την επισκόπηση της ορθής εφαρμογής της πολιτικής ασφαλείας και την αποτίμηση της αποτελεσματικότητας των μέτρων ασφαλείας.
Σε περίπτωση που η επεξεργασία προσωπικών δεδομένων γίνεται από εκτελούντες, η πολιτική ασφαλείας πρέπει να αναγράφει επακριβώς το είδος αυτής, με ταυτόχρονη αναφορά στην αντίστοιχη σύμβαση/ρήτρα που υπογράφεται μεταξύ των δύο πλευρών Έντυπο-(Ε05.01-ΣΥΜΒΑΣΗ_ΜΕ_ΕΞΩΤΕΡΙΚΟΥΣ_ΣΥΝΕΡΓΑΤΕΣ_GDPR_V3). Η χρονική διάρκεια της επεξεργασίας πρέπει επίσης να αναφέρεται στην πολιτική ασφαλείας.
Αν τμήμα ή ολόκληρη η επεξεργασία συντελείται αποκλειστικά σε συστήματα που βρίσκονται υπό την αποκλειστική εποπτεία του εκτελούντος την επεξεργασία, τότε αυτό πρέπει να αναγράφεται στην πολιτική ασφαλείας. Το τμήμα της πολιτικής ασφαλείας που αφορά τον εκτελούντα την επεξεργασία πρέπει επίσης να είναι κοινοποιημένο σε αυτόν. Σε αυτή την περίπτωση, το συγκεκριμένο τμήμα της πολιτικής ασφαλείας πρέπει να αναφέρει ρητά την υποχρέωση που βαρύνει τον εκτελούντα την επεξεργασία για την πλήρη υιοθέτηση και εφαρμογή της.
Οι οδηγίες και διαδικασίες που περιλαμβάνονται στην πολιτική ασφαλείας υλοποιούνται με την εφαρμογή των μέτρων προστασίας ή ασφαλείας. Η πολιτική ασφαλείας, μαζί με το σύνολο των μέτρων προστασίας, αποτελούν και το σχέδιο ασφαλείας του οργανισμού.
Εγγραφείτε για να λαμβάνετε με e-mail
τα τελευταία νέα, σχετικά με το insTech
Θα σας στείλουμε Newsletter όταν δημοσιεύονται νέα άρθρα σχετικά με αυτό το θέμα.
Σχετικά με τους συγγραφείς
Konstantinos Paterakis
(I write about tech, cyber & finance)
Insurance Risk Management Analyst, CyRM
Co-Founder & Μέλος Δ.Σ. cluster Panormos