Jakie normy powinna spełniać firma, która przetwarza dane osobowe Klientów?

Firma outsourcingowa (i nie tylko), która dysponuje danymi Klientów, powinna mieć wszystkie niezbędne zabezpieczenia, chroniące przed rozpowszechnianiem danych. To kluczowy aspekt podczas ustalania wszystkich procedur, do których stosuje się każdy pracownik.

Nieupoważnionym wstęp wzbroniony

Aby pracownicy mogli rozpocząć pracę dla Klienta, najpierw należy przygotować zabezpieczenia, dzięki którym do budynku wejdą tylko upoważnione osoby. Najlepiej sprawdzają się elektroniczne zabezpieczenia przy wejściu do budynku oraz do poszczególnych sektorów open space’u. Każdy pracownik otrzymuje kartę wstępu, tzw. przejściówkę, która po przyłożeniu do czytnika, umożliwia otwarcie poszczególnych drzwi. Każdy pracownik powinien mieć dostęp tylko do tych pomieszczeń, w których wykonuje zlecone mu zadania. Są oczywiście pracownicy (np. działu HR), którym należy umożliwić dostęp do wszystkich pomieszczeń.

Cykliczne szkolenia oraz stały dostęp do informacji

Każdy pracownik po przyjęciu do pracy powinien przechodzić szkolenia, na których dowiaduje się, jak chronić dane osobowe Klientów. Takie szkolenia powinny być powtarzane, by przypomnieć i utrwalić wszystkie niezbędne procedury bezpieczeństwa, które określone są w certyfikacie ISO. Konieczne jest udostępnienie tych procedur w miejscu dostępnym dla upoważnionych. Może być to na przykład wydzielony dysk na komputerze, do którego logują się pracownicy na początku każdego dnia pracy. Dzięki temu w przypadku naruszenia którejś zasady bezpieczeństwa, pracownik może szybko zerknąć w procedury i przypomnieć sobie, gdzie może zgłosić nieprawidłowości.

Kto czuwa nad przestrzeganiem procedur bezpieczeństwa?

Każde przedsiębiorstwo posiadające certyfikat bezpieczeństwa ISO 27001 powinno posiadać jednostkę, która jest odpowiedzialna za wdrażanie, przestrzeganie i egzekwowanie najwyższych standardów. Często taka jednostka nazywa się Zewnętrzną Kontrolą Jakości (lub Działem Audytu Wewnętrznego), która odpowiedzialna jest zarówno za szkolenia o bezpieczeństwie danych, jak i za bieżącą kontrolę przeprowadzanych procesów.

Jeśli pracownik działu digitalizacji wprowadza dane z papierowych dokumentów do systemu, pracownicy ZKJ sprawdzają, czy od momentu, kiedy pracownik otrzymał dokument, do momentu zakończenia jego opracowywania, stosował się do procedur. Pracownicy Kontroli Jakości sprawdzają również, czy dokument dotarł do firmy w bezpieczny sposób oraz co się z nim stało po przepisaniu danych do systemu.

Jak powinien zachować się pracownik, który znajdzie przypadkową kartę dostępu?

Każdy, kto znajdzie nie swoją przejściówkę, powinien to zgłosić swojemu bezpośredniemu przełożonemu, pracownikowi lub kierownikowi Zewnętrznej Kontroli Jakości, który natychmiast blokuje kartę. Pracownik, który ją zgubił, powinien zgłosić się do swojego przełożonego i wspólnie powinni udać się do działu kontroli, by wyjaśnić zaistniałą sytuację (upewnić się, że karta nie trafiła w ręce nieupoważnionej osoby) oraz odebrać odblokowaną kartę.

To tylko przykład incydentu bezpieczeństwa informacji, ale daje on obraz, jak funkcjonują zabezpieczenia w firmie, w której przetwarzane są dane wrażliwe.