1 / 20

SMERNICA REVIDIRANJU INFORMACIJSKIH SISTEMOV ZASEBNOST

SMERNICA REVIDIRANJU INFORMACIJSKIH SISTEMOV ZASEBNOST. Dokument G31 Darko Dolinar, januar 2006 darko.dolinar@bsi.si. Agenda. Splošno o ISACA standardih Zgradba smernic Smernica G31 – Zasebnost. Splošno o ISACA standardih. Standardi ( S n ) Revizorji informacijskih sistemov Poslovodstvo

orlando-jones
Télécharger la présentation

SMERNICA REVIDIRANJU INFORMACIJSKIH SISTEMOV ZASEBNOST

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SMERNICA REVIDIRANJU INFORMACIJSKIH SISTEMOVZASEBNOST Dokument G31 Darko Dolinar, januar 2006 darko.dolinar@bsi.si

  2. Agenda • Splošno o ISACA standardih • Zgradba smernic • Smernica G31 – Zasebnost

  3. Splošno o ISACA standardih • Standardi (Sn) • Revizorji informacijskih sistemov • Poslovodstvo • Vsi nosilci CISA certifikata • Smernice (Gn) • Postopki (Pn)

  4. Zgradba smernic

  5. Smernica G31 – Zasebnost • Ozadje • Revizijska ustanovna listina • Neodvisnost • Strokovna etika in standardi • Pristojnost • Načrtovanje • Izvajanje revizijskega dela • Poročanje • Datum pričetka veljave • Viri

  6. Smernica G31 1. Ozadje • Povezava s standardi (S1, S5, S6) • Povezava s Cobit • PO8, Zagotavljanje usklajenosti z zunanjimi zahtevami • PO8.4, Zasebnost, intelektualna lastnina in tok podatkov • Sklicevanje na Cobit (procesi) • Primarni (PO8, DS5) • Sekundarni (PO7, DS1, DS2, DS10, DS11, DS13, M1, M2, M3, M4) • Informacijska sodila za pregled zasebnosti • Primarna – uspešnost, usklajenost, zaupnost, celovitost • Sekundarna – zanesljivost, razpoložljivost

  7. Smernica G31 1. Ozadje (2) • Namen smernice • Uvajanje smernice • Opredelitev zasebnosti • Zasebnost • Osebni podatki • Odgovornost revizorja IS • Revidiranje politike o zasebnosti • Revidiranje analize vpliva zasebnosti • Mnenje veščaka • Nadzornik podatkov

  8. Smernica G31 2. Revizijska ustanovna listina • Zasebnost v omreženem svetu • Svetovni splet • Elektronska pošta • Globalno razširjanje pravnih aktov

  9. Smernica G31 3. Neodvisnost • Viri informacij • Lokalna regulativa • Svetovna regulativa (če je organizacija mednarodna)

  10. Smernica G31 4. Strokovna etika in standardi • Potreba po zaščiti osebnih podatkov • Osebni podatki, izpostavljeni nenaslovljenim, lahko povzročijo nepopravljivo škodo posameznikom • Neznana ali nenatančna zakonodaja

  11. Smernica G31 5. Pristojnost • Pristop k zaščiti osebnih podatkov, pri tem upoštevati • Upravljanje zasebnosti • Ocenjevanje tveganj • Revizija varnosti • Odstopanje • Organizacija • Osebje (pooblastila, znanja) • Strokovna molčečnost • Fizična varnost

  12. Smernica G31 5. Pristojnost (2) • Pristop k zaščiti osebnih podatkov (nadaljevanje) • Zaupnost • Celovitost • Razpoložljivost • Varnostni ukrepi • Varnost napram zunanjim partnerjem • Dokumentacija • Zavedanje in delavnice

  13. Smernica G31 6. Načrtovanje • Splošna načela OECD • Omejitev zbiranja • Kakovost podatkov • Natančen opis namena • Omejitev rabe • Varnostne varovalke • Odprtost • Udeležba posameznika (1 – 5) • Odgovornost nadzornika podatkov

  14. Smernica G31 6. Načrtovanje (2) • Kontrolni seznam (tabela 2)

  15. Smernica G31 7. Izvajanje revizijskega dela • Načrtovanje - pregled praks in postopkov v zvezi z zasebnostjo • Koraki izvajanja • Predhodna ocena zasebnosti • Ugotoviti ali obstajajo ustrezni dokumenti in zaposlenci • Analiza vpliva zasebnosti

  16. Smernica G31 7. Izvajanje revizijskega dela (2) • Koraki izvajanja (nadaljevanje) • Dokumentiranje izidov pregleda, kar vključuje: • Pregled tveganj in ukrepov za zmanjševanje le-teh • Izpostavitev prepoznanih slabosti • Nasvet, da se izvedejo popravljalna dejanja • Priporočila za izboljšanje kontrol zasebnosti

  17. Smernica G31 8. Poročanje • Regulativa za potrjevanje varnostnih ukrepov • Ključne kontrole • Ponovna uporaba medijev • Urjenje • Nadzorstvo dostopov • Vzdrževanje in podpora • Celovitost podatkov • Nadzorstvo dostopov v prostore • Analiza tveganj

  18. Smernica G31 9. Datum pričetka veljave • 1. rožnik 2005.

  19. Smernica G31 Viri • “AICPA/CICA Privacy Framework,” American Institute of Certified Public Accountants (AICPA) and Canadian Institute of Certified Accountants (CICA), 2003 • “Guidelines for the Regulation of Computerized Personal Data Files,” Office of the United Nations High Commissioner for Human Rights, 1990 • “The International E-commerce Standard for Security, Privacy and Service (Business to Business),” International Standards • Accreditation Board (ISAB), IES: 2000 (B2B), 2000 • “The International E-commerce Standard for Security, Privacy and Service (Business to Consumer),” International Standards • Accreditation Board (ISAB), IES: 2000 (B2C), 2000 • “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,” Organisation for Economic Co-operation and Development (OECD), 2002, 1980 • “Privacy : Assessing the Risk,” The Institute of Internal Auditors (IIA) Research Foundation, April 2003 • “Safe Harbor Privacy Principles,” US Department of Commerce, USA, 21 July 2000 • “US Department of Commerce Safe Harbor,” US Department of Commerce, USA, www.export.gov/safeharbor

  20. Smernica G31 Viri (2) • IS Standards, Guidelines and Procedures for Auditing and Control Professionals, http://www.isaca.org • SIST BS 7799-2:2003, Sistemi za upravljanje varovanja informacij – Specifikacija z napotki za uporabo (Information security management systems – Specification with guidance for use) • ISO/IEC 17799, Information technology – Security techniques – Code of practice for information security management • Dr. I. Turk, Pojmovnik računovodstva, financ in revizije, Slovenski inštitut za revizijo, Ljubljana 2002 • Dr. I. Turk, Pojmovnik uporabniške informatike, Slovenski inštitut za revizijo, Ljubljana 2002

More Related