Niniejszy artykuł jest fragmentem mojej najnowszej Administrator bezpieczeństwa informacji / Inspektor ochrony danych. Kompetencje, obowiązki i odpowiedzialność. Poradnik praktyka z wzorami dokumentów, zapraszam do lektury.
Przygotowanie harmonogramu sprawdzeń.
Przed przystąpieniem do sprawdzenia ABI powinien przygotować harmonogram poszczególnych czynności składających się na sprawdzenie. W praktyce chodzi wyznaczenie osób do wywiadów osobowych, określenie przedziału czasowego potrzebnego na przeprowadzenie wizji lokalnej, jak również czasu na analizę dokumentów. Aspekt ten jest szczególnie istotny dla ABI będących pracownikami, gdyż istnieje znaczne ryzyko, że czynności sprawdzające mogą wykraczać poza standardowe godziny pracy. Przygotowanie harmonogramu ma na celu uporządkowanie i zamknięcie w ramach czasowych wszystkich czynności, które mają zostać przeprowadzone.
Przygotowanie list kontrolnych – wywiad osobowy.
Przygotowanie narzędzi ABI do prowadzenia wywiadu osobowego jest czynnością, którą się stale doskonali. Pierwotna wersja listy pytań dedykowanych do poszczególnych obszarów organizacji powinna być stale weryfikowana i uzupełniana o kolejne obszary. Aspekt ten wynika z ciągłych zmian wprowadzanych w poszczególnych procesach, często regulowanych aktami prawnymi lub po prostu zmianami faktycznymi.
Przykładowo pytanie kierowane do przedstawiciela działu kadr odnośnie przechowywania w aktach osobowych kopi dokumentów tożsamości, nie wynika wprost z żadnego przepisu prawa, a z wytycznej GIODO. Podobnie pytanie kierowane do działu marketingu o proces pobierania danych osobowych potencjalnych klientów ma na celu ustalenie czy dane te są opatrzone odpowiednią klauzulą zgody, czyli pytanie dotyczy stanu faktycznego. Innymi słowy przygotowanie list pytań czy zagadnień o które ABI powinien się zapytać jest znacznie szersza niż zakres określony w planie sprawdzeń. W trakcie wywiadu osobowego z jedną osobą powinno średnio padać od 30 do 70 pytań kierowanych przez ABI. Tylko przy takim tempie gromadzenia informacji ABI jest w stanie zgromadzić większość informacji o konkretnym procesie. Oczywiście jeżeli przeznaczymy więcej czasu na wywiady osobowe liczba pytań może się zmniejszyć jednak z reguły pracownicy udzielający wywiadu osobowego są zbyt zapracowani by poświęcić więcej czasu dla ABI.
Warto pamiętać o tym, że każde z pytań może prowokować kolejne pytania. Z tego też względu powinniśmy jak najczęściej zadawać pytania tzw. otwarte, czyli nie sugerujące odpowiedzi. W ten sposób zgromadzimy najwięcej informacji. Tworząc listę pytań powinniśmy sugerować się nie tylko wymogami prawa, ale również wytycznymi GIODO, które są opublikowane i posegregowane po sektorach na stronie internetowej GIODO . Dodatkowo warto korzystać ze stron internetowych publikujących informacje o wyciekach danych osobowych oraz lukach w systemach informatycznych . Im więcej zgromadzimy informacji przed samym wywiadem osobowym tym szybciej i dokładniej zbadamy wszystkie procesy w organizacji. Prowadząc wywiady osobowe ABI również uczy się od osób z poszczególnych działów jak w praktyce one funkcjonują. Jest to swoista wartość dodana wywiadów osobowych, gdyż w razie wystąpienia incydentu w konkretnym procesie osoba odpowiedzialna za proces nie będzie musiała tłumaczyć ABI jak wygląda proces, a będzie mogła się skupić na samym incydencie. Wywiady osobowe są również bardzo dobrą okazją dla ABI by zweryfikować poziom świadomości osób przetwarzających dane osobowe w zakresie bezpieczeństwa informacji.