GDPR

CONSULTANTA, ASISTENTA TEHNICA SI SUPORT IN VEDEREA CONFORMARII CU CERINTELE GDPR (REGULAMENT UE 679/2016) prin:

– evaluarea, identificarea amenintarilor si a vulnerabilitatilor, emiterea de recomandari si masuri corective, elaborarea unui Plan de conformare;

– gestionarea/monitorizarea modului de accesare, utilizare și prelucrare a datelor cu caracter personal,

– monitorizarea implementarii de masuri de securitate pentru a preveni, detecta și răspunde la breșele de securitate identificate in cadrul entitatii;

Detaliere:

Evaluare si audit de sistem in scopul identificarii nivelului de conformare cu cerintele GDPR(inclusiv evaluarea si auditarea retelei  IT si a securitatii acesteia) efectuat in conformitate cu cerintele GDPR / SR ISO/CEI 27001:2018(securitatea informatiei) / alte referentiale convenite de parti, prezentarea unui raport de audit, a vulnerabilitatilor identificate, emiterea de recomandari si masuri corective;

Auditul de sistem este procesul de evaluarea a infrastructurii  si proceselor /activitatilor desfasurate in mod current in cadrul unei organizatii si reprezinta primul pas ce trebuie facut pentru a stabili legatura intre nevoile entitatii si starea infrastructurii pe care o foloseste, avand ca scop crearea unui echilibru intre acestea.

Procesul de audit implica si verificarea inventarului IT, a configuratiilor, procedurile si politicile legate de exploatarea echipamentelor IT si software-ului aferent.

Auditul IT poate determina existenta unor zone de vulnerabilitate,  riscuri de efractie, utilizare neconforma, pierdere sau modificarea informatiilor, intrerupere a accesului la bazele de date, alte amenintari la adresa securitatii datelor.

Beneficiile unui audit:

–     identificarea situatiei actuale din institutie, din punct de vedere a riscurilor care pot ameninta performanta si dezvoltarea activitatii;

–     obtinerea unui raport detaliat despre securitatea informatiei la accesul din interiorul si exteriorul institutiei;

–     furnizarea unor recomandari de remediere si de imbunatatire a functionarii sistemelor informatice si a securitatii datelor;

–     reducerea si optimizarea costurilor pentru viitoarele investitii in infrastructura, bazate pe

informatii relevante, obtinute in urma auditului IT;

–     asigurarea unui avantaj competitiv si cresterea perspectivelor de bussines, prin implementarea  unor solutii IT eficiente.

Rezultatul auditului IT este un document ce rezuma configuratia actuala(hardware si software), cu plusurile si minusurile acesteia la care se adauga si propunerea de solutii pentru fiecare problema descoperita

–     identificati deficiente ale sistemului IT;

–     realizati o analiza a licentelor existente in institutie/companie ;

–     evaluati riscul IT la nivel de institutie/companie ;

–     identificati cele mai bune practici de investitie in IT asa incat sa beneficiati de intregul potential al sistemului;

–     dezvoltati un plan strategic de dezvoltare al infrastructurii IT;

–     alegerea unei metode de a proteja informatiile existente in carul entitatii;

–     organizati managementul si monitorizarea departamentului IT;

–     dezvoltarea unui plan de upgrade si troubleshooting al retelei;

–     realizati o strategie de legalizare a licentelor software;

 

SR ISO/CEI 27001:2018 – Sistemul de Management al Securitatii Informatiei          

Standardul stabileste cerintele pentru un Sistem de Management al Securitatii Informatiei. Certificarea unui sistem de management al securitatii informatiei are caracter voluntar.

Implementarea cerintelor standardului ajuta la identificarea, managementul si minimizarea amenintarilor care afecteaza de obicei informatia.

Standardul include urmatoarele:

  • formularea cerintelor de securitate si a obiectivelor;
  • asigurarea ca riscurile de securitate sunt “stapanite” din punct de vedere al costului;
  • asigurarea unei conformitati cu legislatia si diverse reglementari;
  • identificarea si clarificarea proceselor existente de management al securitatii informatiei;
  • folosinta lui de catre management pentru a determina statusul activitatilor de management al securitatii informatiei;
  • folosinta de catre auditori interni si externi pentru a determina gradul de conformitate cu politicile, directivele si standardele adoptate de catre organizatie;
  • furnizarea de informatii relevante despre politicile de securitatea informatiei, standarde si proceduri, catre partenerii comerciali;
  • furnizarea de informatii relevante despre securitatea informatiei, clientilor societatii

 

Asigurarea unui service IT corectiv si mentenanta pe intrega durata a contractului prin:

  • prezentarea unui raport anual de audit referitor la evaluarea nivelului de securitate a retelei si a informatiei (la accesarea din interiorul si exteriorul institutiei);
  • corectarea vulnerabilitatilor identificate, emitere de recomandari si masuri corective;
  • elaborarea politicilor de securitatea informatiei ;
  • elaborarea unei strategii si a unui Plan strategic de dezvoltare al infrastructurii IT, estimarea costurilor rezultate prin aplicarea acestuia;
  • dezvoltarea unui Plan de upgrade si troubleshooting al retelei din cadrul entitatii

 

Asistenta tehnica si suport in vederea conformarii cu cerintele GDPR (Regulamentul UE 2016/679 ) prin:

  • identificarea datelor cu caracter personal deținute și a localizarii acestora;
  • gestionarea/administrarea modului de utilizare și accesare a datelor cu caracter personal, precum si a datelor /dosarelor medicale ale pacientilor ;
  • protejarea/implementarea de controale de securitate pentru a preveni, detecta și răspunde la vulnerabilităților și breșelor de securitate din sistem;
  • raportarea breșelelor de securitate și păstrarea documentației specifice

 

Elaborarea procedurilor operationale care sa includa:

  • luarea în considerare a protecţiei datelor cu caracter personal încă de la momentul

conceperii procedurilor operationale (privacy by design);

  • aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării (privacy by default);
  • sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui plan de

pregătire și de comunicare cu persoanele care prelucrează date cu caracter personal;

  • soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea

drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora;

  • anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite cazuri,

obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de ore și a persoanelor vizate în cel mai scurt timp;

  • asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri tehnice și

organizatorice adecvate prin :

  1. a) pseudonimizarea și criptarea datelor cu caracter personal;
  2. b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și rezistenţa

continue ale sistemelor și serviciilor de prelucrare;

  1. c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
  2. d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii măsurilor

tehnice și organizatorice pentru a garanta securitatea prelucrării.