Audit sistem informatic în vederea respectării regulamentului de protecţie a datelor personale
SEAPIDStare
DA22780165
Data08 Aprilie 2019
Valoare12.500 RON
Oferta acceptata
Autoritatea contractantaLocalitateOradea, Bihor
FurnizorTipul contractuluiFurnizare
Cod CPVDescriere:Audit sistem informatic în vederea respectării regulamentului de protecţie a datelor personale
Achizitii12.500 RON
Cantitate: 1
Unitate masura: bucata
Audit sistem informatic în vederea respectării regulamentului de protecţie a datelor personale
''Audit sistem informatic în vederea respectării regulamentului de protecţie a datelor personale”
Regulamentul general privind protecția datelor (GDPR) este noua lege privind protecția datelor din Uniunea Europeană a intrat în vigoare pe 25 mai 2018, așa că este momentul ca toate organizațiile să înceapă să se pregătească pentru conformarea cu cerințele acestuia.
În linii mari, conformitatea cu noul Regulament (GDPR) presupune acțiunea operatorilor de date cu caracter personal pe două mari paliere:
- Implementarea detaliilor juridice ale GDPR în special la nivelul analizei de business și a fluxurilor de lucru operaționale din interiorul organizației (identificarea datelor cu caracter personal necesare business-ului, definirea modalităților de informare a clientului asupra drepturilor pe care le are din punctul de vedere al GDPR, cererea consimțământului clientului cu privire la colectarea și prelucrarea datelor cu caracter personal ale acestuia, retenția consimțământului clientului într-o formă adecvată, contractele și SLA-urile dintre operatori și procesatori de date cu caracter personal, etc.) și
- Aplicarea în practică a celor mai bune practici și/sau a standardelor de securitate a informației astfel încât operatorul de date cu caracter personal să fie în măsură să demonstreze că asigură protecția datelor la un nivel adecvat scopului și mijloacelor de business. Deoarece datele cu caracter personal fac parte din datele generale ale companiei și în majoritatea cazurilor aceste date cu caracter personal care se doresc protejate de GDPR nu pot fi (sau pot fi foarte greu) separate fizic sau logic de restul datelor/informațiilor companiei, orice efort de conformitate cu GDPR presupune definirea și implementarea unor procese specifice domeniului securității informației (sau InfoSEC).
Serviciile de audit ale ABC Technology Solutions, firma certificată ISO 9001 și ISO 27001, în vederea implementării cerințelor noului Regulament UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (GDPR) constau în următorii pași:
1. Auditarea inițială a proceselor organizației în ceea ce privește protecția datelor cu caracter personal. Evaluarea inițială a fluxurilor operaționale specifice organizației client își propune să:
a. Identifice datele cu caracter personal specifice fiecărui flux operațional din cadrul proceselor de business ale organizației client;
b. Să evalueze dacă structura sau formatul datelor cu caracter personal solicitate de la client sunt conforme cu cerințele GDPR – sunt solicitate doar acele date cu caracter personal strict necesare pentru oferirea produselor sau serviciilor oferite clienților;
c. Procesul de colectare a datelor cu caracter personal respectă cerințele GDPR – clientul este informat corespunzător asupra drepturilor pe care le are cu privire la datele sale cu caracter personal, colectarea datelor cu caracter personal se face doar în urma consimțământului informat al persoanei vizate, respectivul consimțământ are structură, format și procedee de retenție în conformitate cu cerințele noului Regulament UE 2016/679 (GDPR);
d. Identificarea metodelor și mijloacelor de procesare a datelor cu caracter personal – dacă partea de procesare efectivă se realizează la sediul operatorului sau daca aceste servicii sunt externalizate către un procesator extern organizației. În acest caz se vor evalua contractele și SLA-urile din punctul de vedere al garanțiilor oferite în ceea ce privește protecția datelor la prelucrare, cât și eventualele aspecte privitoare la transferul internațional de date cu caracter personal.
e. Identifice procesele specifice securității informației și în cazul în care acestea există să evalueze eficacitatea acestor procese InfoSEC prin prisma cerințelor de securitate a informației specifice GDPR.
Evaluarea inițială va genera un livrabil sub formă de raport unde se vor specifica explicit toate aspectele descoperite și se vor accentua clar atât aspectele pozitive cât și cele negative identificate în cadrul procesului de evaluare a fluxurilor operaționale în ceea ce privește securitatea datelor/informațiilor în general cât și protecția datelor cu caracter personal în special.
2. Recomandarea de acțiuni de urmat. În urma formalizării concluziilor părții de evaluare inițiale consultanții ABC Technology Solutions vă vor recomanda toate acțiunile necesare de a fi făcute pentru a ajunge la un nivel de protecție a datelor care să asigure entității auditate un grad suficient de conformitate cu cerințele GDPR. Faza de furnizare de recomandări va genera un livrabil, capitol separat evidențiat dinstictiv în cuprinsul raportului de audit, unde se vor specifica explicit și cu toate detaliile necesare toate aspectele acțiunilor necesare de a fi întreprinse (ca exemple ar fi procesele de Analiză de Risc, Managementul Incidentelor de Securitate sau Managementul Vulnerabilităților, toate aceste procese fiind cerute explicit de GDPR, cât și descrierea detaliată a matricei relaționale interprocese), astfel încât în urma lecturării acestui raport de audit, angajații entității auditate vor ști ce au de facut în continuare pentru pentru conformitatea cu GDPR. Echipa de audit a ABC Technology Solutions pentru “Audit sistem informatic în vederea respectării regulamentului de protecţie a datelor personale” este formata din doi auditori cu experiență în infosec conform cv atasate la oferta tehnică.
Din punctul de vedere a graficului de desfășurare a auditului:
- auditul începe cu ședința de deschidere, prezentarea planului de audit precum și o succintă prezentare a ceea ce se dorește prin Regulamentul UE 679/2016; auditatea serviciilor și persoanelor implicate în lanțul prelucrării datelor cu caracter personal ale operatorului de date cu caracter personal precum și punerea la dispoziția auditorilor, pentru studiu, a procedurilor și documentatiei existente
- partea a doua este elaborare raport