Ma már majd’ mindenkinek és mindennek van világnapja a vadon élő állatoktól kezdve a dj-ken át egészen a boldogságig. Január 28-a az Adatvédelem világnapja. A teljesen hivatalos definíció szerint az adatvédelem a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozásával, és az érintett személyek védelmével foglalkozik. A közkeletű vélekedéssel ellentétben tehát nem elsősorban az adatok megóvásáról van itt szó, hanem azon személyek védelméről, akikkel az adatok összeköthetők.
De mi közöm van nekem, cégvezetőként ehhez az egészhez – teheti fel most Ön is a kérdést.
Nos, mivel az adatvédelem fogalomkörébe minden külső szervezet számára szolgáltatott, illetve egy cég, vállalat saját belső működéséhez szükséges releváns adat védelme beletartozik – nagyon is sok!
Ebben a meghatározásban ugyanis nincs jelentősége se az adathordozónak (CD, DVD, floppy, pendrive stb.), se annak, hogy milyen formátumban állnak rendelkezésre az adatok (adatbázisban, word doksiban, vagy akár egy kockás füzetbe írt táblázatban).
Hogyan kapcsolódik össze az adatvédelem és az ISO 27001?
Az ISO szervezete, a téma súlyát és előretörését idejébe felismerve már 2005-ben megalkotott egy szabványcsoportot az információbiztonsági irányítási rendszerekkel kapcsolatos szabványok egységes jelölése érdekében. Ez a 27000-res számot kapta. Ekkor született meg a tanúsítás alapját képező első szabvány, melynek hazánkban is érvényes változata 2014-es kiadású. A működő irányítási rendszer informatikai vis majorok, adatvesztések, adatlopások ellen ad védelmet. A védelem mellett keretbe foglalja az adatvédelem jogi szabályokon, eljárásokon, és technológiai eszközökön keresztül történő biztosítását egyaránt. Kinek érdemes az adatvédelemmel foglalkozni?
Röviden: minden olyan cégnek, szervezetnek, mely szeretné biztonságban tudni informatikai rendszerét, vagyis túlzás nélkül állíthatjuk: minden cégnek.
A szabvány gyakorlati alkalmazása ugyanis biztosítja, hogy a rendszer vagy rendszerek a kritikus pillanatokban is működőképesek maradnak, és az adatok sértetlensége belső és külső fenyegetettségek mellett is garantált lesz.
A felkészülés során a szervezet valamennyi tagja olyan alapos áttekintést kap a lehetséges veszélyhelyzetekről és a kockázatokról, ami döntő lehet „éles” helyzetekben. Az auditig és a tanúsításig vezető út során a szervezet átértékeli majd az informatikai és információbiztonsági feladatok fontosságát, jelentőségét, továbbá a kapcsolódó valamennyi kockázatot. Mondanunk sem kell, hogy a vevők és ügyfelek, valamint a cég túlélése szempontjából életmentő felismerésekről van itt szó.
Lépésről lépésre
Első körben tisztázni kell a biztonsági alapelvelveket és az információbiztonság szervezési megoldásait. Ezután következhet a témával összefüggő események kezelése, a tárgyi, környezeti és emberi erőforrások biztonsága, a vezetés feladatai, a működtetés mikéntje, valamint az erről szóló kommunikáció.
A szabvány ezen túlmenően keretrendszerbe szervezi a szoftver és hardverelemek beszerzését, a kapcsolódó fejlesztéseket, karbantartásokat, és irányt mutat az üzletmenet folyamatos biztosításához. A szabvány kulcseleme a megfelelőségi vizsgálatokon keresztül történő visszacsatolás.
Mindemellett természetesen itt is fontos lépés a célok és eredmények folyamatos monitorozása és a kockázatok rendszeres elemzése.
