Servicii specifice de resurse umane, instruire personal
INSTRUIRI DE PERSONAL: GDPR, CIM, EGR, responsabili: RMC, RMM, RMSI, CESA, DPO, in vederea conformarii cu cerintele Ordinului SGG Nr.600 din 20 aprilie 2018, Cod Admnistrativ, Regulamentul UE 679/2016, standarde ISO: 9001, 14001, 27001, 22000/HACCP;
Potrivit GDPR, datele personale sunt informații critice pe care toate organizațiile trebuie să le protejeze.
Sisteme de management al securității informației.
Cerințe cuprinde cerințele pentru stabilirea, implementarea, întreținerea și îmbunătățirea continuă a unui sistem de management al securității informației în contextul organizației.
Sistemul de management al securității informației păstrează confidențialitatea, integritatea și disponibilitatea informațiilor prin aplicarea unui proces de management al riscului și conferă încredere părților interesate că riscurile sunt gestionate corespunzător.
Desigur, există cerințe UE privind GDPR care nu sunt acoperite în mod direct de SR EN ISO/IEC 27001, cum ar fi susținerea drepturilor subiecților de date cu caracter personal: dreptul de a fi informați, dreptul la ștergerea datelor și transferabilitatea datelor. Dar, dacă implementarea standardului SR EN ISO/IEC 27001 identifică datele personale ca fiind un element de securitate a informațiilor, o mare parte a cerințelor GDPR va fi acoperită.
SR EN ISO/IEC 27001 este un cadru pentru protecția informațiilor.
De asemenea, prezentul standard internațional include cerințele pentru evaluarea și tratarea riscurilor de securitate a informației potrivit nevoilor organizației.
SR EN ISO/IEC 27002:2018, Tehnologia informației. Tehnici de securitate.
Cod de bună practică pentru managementul securității informației și furnizează linii directoare pentru standardele de securitate a informației și practicile de management al securității informației ale organizației, inclusiv alegerea, implementarea și managementul mijloacelor de control, cu luarea în considerare a mediului(iilor) de risc de securitate a informației.
Recomandările standardului ISO/IEC 27002:
Conform ISO/IEC 27001:2005 informațiile trebuie clasificate în funcție de valoare, cerințe
legale, importanță și nivel critic pentru organizație. Recomandările standardului ISO/IEC
27002 pentru clasificarea informațiilor pot fi sintetizate în următoarele cerințe:
- Clasificarea informației trebuie să țină cont de necesitățile obiective de protejare a
informației rezultate din specificul organizației și de impactul pe care divulgarea,
utilizarea neautorizată sau distrugerea unui tip de informație îl poate avea asupra sa.
- Nivelul de protecție al informației trebuie analizat în contextul profilului CID
(Confidențialitate, Integritate, Disponibilitate) asociat.
- Regulile de manevrare și măsurile de control al securității informației trebuie stabilite
pe baza clasificării informației.
- Conducerea organizației trebuie să revizuiască periodic clasificarea informaţiei în
conformitate cu politicile de acces stabilite. Cu această ocazie conducerea organizației
poate decide schimbarea încadrării într-o altă categorie a unei de informații care
datorită trecerii timpului nu mai este critică.
- Responsabilitatea pentru modul de încadrare a unei informații într-o anumită categorie,
și pentru revizuirea periodică a modului de încadrare a unei informații într-o anumită
categorie, se află în sarcina proprietarului desemnat al informației.
- Clasificarea trebuie să țină cont de efectul de agregare, care face ca o cantitate mare
de informații cu nivel de risc mic să producă prin agregare un risc de nivel superior.
- Atunci când sunt partajate informaţii cu terţe organizaţii, trebuie stabilite măsuri de
eliminare a unor posibile confuzii de manipulare datorate unor etichete cu denumire
similară dar semnificaţie diferită în cadrul fiecăreia dintre organizații.
- Proprietarii de informație vor urmări ca operarea informațiilor din fiecare categorie de
clasificare, să fie făcute astfel încât să acopere, după caz, următoarele tipuri de
prelucrări: creare/modificare, copiere, stocare, transmiterea prin poştă, fax şi poştă
electronică, transmiterea verbală, incluzând cea prin telefon mobil, mesagerie vocală,
robot telephonic, declasificare, distrugere.
- Încadrarea resurselor de informație cu cerințe de securitate similare în categoriile de
clasificare este recomandabilă pentru ușurarea procesului de clasificare.
Concluzii:
Pentru implementarea unui model de clasificare a informației, pentru fiecare categorie, este
necesară stabilirea regulilor pentru etichetarea, salvarea, transmiterea, eliminarea, protejarea
integrității informației precum și drepturile de acces și de divulgare a acesteia.
Sistemul de control intern managerial al oricărei entităţi publice operează cu o diversitate de procedee, mijloace, acţiuni, dispoziţii, care privesc toate aspectele legate de activităţile entităţii, fiind stabilite şi implementate de conducerea entităţii pentru a-i permite deţinerea unui bun control asupra funcţionării entităţii în ansamblul ei, precum şi a fiecărei activităţi/operaţiuni în parte.
Instrumentarul de control intern managerial poate fi clasificat în şase grupe mari: obiective; mijloace (resurse); sistem informaţional; organizare; proceduri; control.
Etapele ce trebuiesc parcurse in punerea in aplicare a unui sistem de control intern managerial sunt marcate de documente :
- Decizie de constituire a Comisiei de Monitorizare sau după caz, ordin de ministru, act administrativ de decizie etc.
- Program de dezvoltare a sistemului de control intern managerial
- Program de pregătire profesională a personalului în domeniul sistemului de control intern managerial
- Regulament de Organizare și Funcționarea al Comisiei de Monitorizare
- Formular de alertă la risc (FAR)
- Registru de riscuri la nivelul compartimentului
- Registru de riscuri la nivelul entității
- Profilul de risc și limita de toleranță la risc la nivelul entității
- Plan de implementare a măsurilor de control la nivelul entității publice
- Fișa de urmărire a riscului (FUR)
- Raport (raportare) privind procesul de gestionare a riscurilor la nivelul compartimentului
- Informare privind desfășurarea procesului de gestionare a riscurilor la nivelul entității publice
- Situația obiectivelor generale, specifice și activităților (document sau documente de management, planificare strategică instituţională, program etc)
- Situația activităților procedurale
- Situația procedurilor (codificare)
- Managementul documentelor (registru, condică etc)
- Sistem de monitorizare a indicatorilor de performanță
- Autoevaluarea realizării obiectivelor și activităților
- Proceduri de sistem (generale)
- Proceduri operaționale (de lucru)
- Raportare anuală privind monitorizarea indicatorilor de performanță la nivelul compartimentului; după caz aceasta poate fi inclusă în Raportul periodic de activitate, conform prevederilor Hotărârii nr.478/2016 pentru modificarea si completarea Normelor metodologice de aplicare a Legii nr.544/2001 privind liberul acces la informatiile de interes public sau alt document de raportare
- Situaţie sintetică a rezultatelor autoevaluării la nivelul entității publice
- Situație centralizatoare privind stadiul implementării și dezvoltării sistemului de control intern managerial: ”Informații generale”, respectiv ”Stadiul implementării standardelor de control intern managerial, conform rezultatelor autoevaluării la data de 31 decembrie
- Raport asupra sistemului de control intern managerial la data de 31 decembrie
Managementul riscului – proces care vizează identificarea, evaluarea, gestionarea (inclusiv tratarea și constituirea unui plan de măsuri de atenuare a riscurilor), revizuirea periodică, monitorizarea și stabilirea responsabilităţilor.
Materializarea riscului – translatarea riscului din domeniul incertitudinii (posibilului) în cel al certitudinii (al faptului împlinit); riscul materializat se transformă dintr-o amenințare posibilă în problemă, dacă riscul reprezintă un eveniment negativ sau într-o situaţie favorabilă, dacă riscul reprezintă o oportunitate.
Managementul riscului:
- Aprobă Profilul de risc și limita de toleranță a riscurilor;
- Aprobă Planul de implementare a măsurilor de control;
Managementul riscului:
- Aprobă Registrul de riscuri pe entitate;
- Avizează Profilul de risc și limita de toleranță a riscurilor;
- Avizează Planul de implementare a măsurilor de control;
- Aprobă Informarea privind desfășurarea procesului de gestionarea riscurilor;
Managementul riscului:
- Analizează Registrele de riscuri pe compartimente;
- Elaborează Registrul de riscuri pe entitate;
- Propune Profilul de risc și limita de toleranță a riscurilor;
- Elaborează Planul de implementare a măsurilor de control (prin centralizarea măsurilor primite de la compartimente) și îl transmite la compartimente (aprobat) în vederea aplicării acestuia;
- Elaborează Informarea privind desfășurarea procesului de gestionare a riscurilor;
Documente specifice managementului riscului:
- Formular de alertă la risc (FAR);
- Registru de riscuri la nivelul compartimentului;
- Registru de riscuri la nivelul entității;
- Profilul de risc și limita de toleranță la risc la nivelul entității;
- Plan de implementare a măsurilor de control la nivelul entității publice;
- Fișa de urmărire a riscului (FUR);
- Raport (raportare) privind procesul de gestionare a riscurilor la nivelul compartimentului;
- Informare privind desfășurarea procesului de gestionare a riscurilor la nivelul entității publice;
Responsabilul cu managementul calității, al mediului, a unui sistem integrat de management, conducator al echipei de siguranta alimentara (RMC, RMM, RMSI, CESA) va dobandi competente care sa-i asigure in cadrul entitatii:
- implementarea strategiilor şi obiectivelor referitoare la managementul calităţii, mediului, sigurantei alimentare, etc. declarate de conducerea instituției;
- coordonarea, proiectarea, documentarea, implementarea, menținerea, îmbunătățirea și raportarea Sistemului de Management al Calității, Mediului, Sigurantei alimentare, etc. în concordanță cu cerințele standardelor ISO și cu obiectivele stabilite de conducerea instituției;
- promovarea în instituție Sistemul de Management conform cerințelor standardelor ISO în vederea realizării serviciilor conforme de către personalul implicat;
- reprezintă instituția în relatiile externe în domeniul managementul calității;
- coordonarea, întocmirea, revizuirea, distribuirea controlată, menținerea reviziilor Manualului Calității, Manualul de Control al Calității, Mediului, Sigurantei alimentare, etc., procedurilor de sistem, procedurilor operaționale, instrucțiunilor generale, instrucțiunilor de lucru specifice fiecărei activități, structuri, precum și a altor documente specifice pentru asigurarea calității;
- coordonarea, actualizarea pt. toate documentele de asigurare a calității, în funcție de dinamica structurii organizatorice și funcționale și a cerințelor specifice;
Instruirea periodica a personalului entitatii in vederea conformarii cu cerintele Ordinului SGG Nr. 600/2018 va include:
- Programul anual de dezvoltare a CIM – planificarea activităților ;
- Monitorizarea și evaluarea procesului de implementare a CIM;
- Definirea obiectivelor generale:
- obiective cu privire la economicitatea, eficacitatea si eficienta functionarii – cuprind obiectivele legate de scopurile entitatii publice si de utilizarea, incluzand si obiectivele privind protejarea resurselor entitatii publice de utilizare inadecvata sau de pierderi, precum si identificarea corecta si gestionarea pasivelor;
- obiective cu privire la fiabilitatea informatiilor externe si interne – includ obiectivele legate de tinerea unei contabilitati adecvate, de calitatea informatiilor utilizate in entitatea publica sau difuzate catre terti, precum si de protejarea documentelor impotriva a doua categorii de fraude: disimularea fraudei si distorsionarea rezultatelor;
- obiective cu privire la conformitatea cu legile, regulamentele si politicile interne – cuprind obiectivele legate de asigurarea ca activitatile sa se desfasoare in conformitate cu obligatiile impuse de legi si de regulamente, precum si cu respectarea politicilor publice de dezvoltare.
- Definirea obiective specifice:
- organizarea și funcționarea Comisiei pentru monitorizarea, coordonarea și îndrumarea metodologică a implementării și dezvoltării CIM în entitate;
- definirea activităților și a indicatorilor de performanta pentru fiecare compartiment din cadrul entității publice;
- inventarierea documentelor create la nivelul fiecărui compartiment ,diagrame, fluxuri de date si informați identificate în interiorul entitatii, comunicare cu mediul extern;
- elaborarea / asumarea procedurilor formalizate pentru procesele sau activităţile derulate în cadrul entităţii.