Warsztaty Inspektorów Ochrony Danych

Warsztaty Inspektorów Ochrony Danych

I DZIEŃ

Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie metodyki przeprowadzenia zajęć oraz pracy podczas ćwiczeń.

Blok I: Wprowadzenie

1.   Podstawy prawne

a) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679.

b) Ustawa o ochronie danych osobowych – obecnie i projekt.

c) Inne przepisy.

2.   Normy, standardy i dobre praktyki

a) ISO 27001:2014 – szeroki model SZBI.

b) ISO 27005: – analiza ryzyka.

c) Cobit 5.

d) Dobre praktyki PUODO.

e) Certyfikaty i Kodeksy Postępowania.

3.   Administrator Bezpieczeństwa Informacji vs Inspektor Ochrony Danych

a) Rola, zakres obowiązków i usytuowanie w strukturze organizacji.

b) Powołanie ABI i prawidłowe zgłoszenie do rejestru GIODO.

4.   Przypomnienie podstawowych definicji i nowe pojęcia z zakresu ochrony       danych osobowych

a) Dane osobowe.

b) Przetwarzanie danych osobowych.

c) Zbiór danych osobowych.

d) Dane osobowe wrażliwe i zwykłe.

e) Dane biometryczne.

f) Pseudonimizacja.

g) Profilowanie.

Przykładowe ćwiczenia:

1. Budowanie słownika pojęć i definicji na potrzeby dokumentacji

przetwarzania.

2. Identyfikacja Administratora Danych Osobowych.

3. Precyzyjne określenie zakresu obowiązków ADO, IOD oraz osób

zaangażowanych w proces przetwarzania.

4. Zgłoszenie IOD, zgłoszenie ABI do rejestru – różnice i praktyka.

Przerwa kawowa

Blok II: System Zarządzania Bezpieczeństwem Informacji

1.   Model PDCA.

a) Dane biometryczne.

2.   Zasady tworzenia i dystrybucji Dokumentacji Przetwarzania

w organizacji.

a) Wymagania UODO i RODO.

b) Konstrukcja dokumentacji.

c) Zatwierdzenie dokumentacji.

d) Osoby odpowiedzialne.

e) Zakres obowiązywania.

f) Struktura i forma dokumentacji.

g) Dystrybucja procedur.

3.   Odpowiedzialność w SZBI.

4.   Podstawowe wymagania dot. funkcjonalności SI.

a) Definicja Systemu Informatycznego.

b) Privacy by design.

c) Privacy by default.

d) Kontrola dostępu do danych.

e) Poziomy wymaganych zabezpieczeń.

f) Obowiązek informacyjny (§ 7 ust. 1 pkt 4.).

Przykładowe ćwiczenia:

1. Dyskusja otwarta na bazie doświadczeń uczestników warsztatów,

określenie metod dystrybucji najlepszych dla organizacji, które

reprezentują.

2. Planowanie działań z użyciem modelu PDCA.

3. Zakres obowiązków ADO, ABI (IOD), ASI (opcjonalnie LASI) oraz osób

upoważnionych.

4. Projektowanie wdrożenia zabezpieczeń aplikacji z uwzględnieniem wymagań RODO w oparciu o studium przypadku.

Przerwa obiadowa

Blok III: Podejście oparte na ryzyku (Risk Based Approach)

1.   Szacowanie ryzyka

a) Przegląd procesu zarządzania ryzykiem w bezpieczeństwie informacji.

b) Dostępne narzędzia.

c) Czym jest Risk Based Approach w rozumieniu RODO.

2.   Analiza ryzyka w praktyce

a) Identyfikacja aktywów podstawowych.

– Zbiory danych osobowych

– Proces profilowania.

b) Identyfikacja zasobów i wdrożonych zabezpieczeń.

– Systemy IT w procesie przetwarzania.

– Modele współpracy systemów informatycznych ze zbiorami danych.

– Struktura i przepływ danych.

c) Identyfikacja zagrożeń i podatności.

d) Metoda jakościowa – szacowanie prawdopodobieństwa, wyznaczanie

poziomu ryzyka.

e) Postępowanie z ryzykiem.

Przykładowe ćwiczenia:

1. Identyfikacja zbiorów danych osobowych w oparciu o studium przypadku.

2. Omówienie podstaw prawnych do przetwarzania danych osobowych

w rozpoznanych zbiorach.

3. Zapoznanie się z katalogami potencjalnych zagrożeń – uzupełnienie

przykładów w oparciu o dyskusję.

4. Zapoznanie się z katalogiem przykładowych podatności.

5. Przykłady zidentyfikowanych aktywów – sesja „burzy mózgów”.

6. Przykłady typowych zagrożeń.

7. Analiza przypadku oszacowania ryzyka jakościowego dla potrzeb

bezpieczeństwa systemu teleinformatycznego, w którym przetwarzane

są dane osobowe wrażliwe.

Przerwa kawowa

Blok IV: Monitorowanie, utrzymanie i doskonalenie systemu bezpieczeństwa

1.   Rejestracja i procedowanie naruszeń

a) Raportowanie incydentów.

b) Instrukcja alarmowa.

c) Dzienniki zdarzeń.

d) Zgłaszanie naruszeń do organu nadzorczego (72h).

e) Automatyzacja procesu.

2.   Ocena skutków przetwarzania

a) Mechanizmy kontroli ryzyka.

b) Kontrole inspektorów GIODO (PUODO).

Przykładowe ćwiczenia:

1. Praca w grupie, opracowanie i omówienie przykładowych zdarzeń

stanowiących incydenty bezpieczeństwa

Podsumowanie pierwszego dnia warsztatów. Dyskusja.

II DZIEŃ

Powitanie uczestników, krótkie podsumowanie poprzedniego dnia szkolenia

Blok V: Opracowanie i wdrożenie polityk ochrony danych

1.   Bezpieczeństwo osobowe

a) W trakcie rekrutacji, podczas i po ustaniu zatrudnienia.

b) Szkolenia osób upoważnionych.

c) Upoważnienie do przetwarzania danych osobowych.

d) Oświadczenie o zachowaniu tajemnicy i właściwej realizacji

przepisów.

e) Umowy z podmiotami zewnętrznymi.

f) Udostępnianie danych.

2.   Bezpieczeństwo fizyczne i środowiskowe

a) Środki ochrony budowlane i mechaniczne.

3.   Codzienne zadania IOD

a) Rejestr Czynności Przetwarzania.

Przykładowe ćwiczenia:

1. Analiza treści upoważnienia oraz oświadczenia osób upoważnionych

2. Przygotowanie upoważnień adekwatnych do zakresu obowiązków

pracownika – analiza przypadku

3. Przygotowanie ewidencji osób upoważnionych do przetwarzania danych

osobowych

4. Ewidencja a rejestr zbiorów – różnice.

5. Analiza przypadku udostępnienia danych osobowych na wniosek

6. Analiza przypadku powierzenia danych osobowych

7. Analiza przypadku zgłoszenia zbioru danych osobowych

Przerwa kawowa

Blok VI: Opracowanie i wdrożenie procedur bezpieczeństwa IT

1.   Wstęp – przypomnienie definicji i podstawowych pojęć

2.   Tworzenie procedur

a) Czym są procedury i jaki jest cel ich tworzenia.

b) Praca z procedurami – czyli co, kto i kiedy.

c) Uproszczony proces pisania procedury.

3.   Bezpieczeństwo eksploatacji systemów informatycznych

a) Bezpieczeństwo użytkowników i stacji roboczych.

b) Profilaktyka antywirusowa.

c) Kopie zapasowe.

d) Kryptografia.

4.   Zarządzanie bezpieczeństwem sieci

a) Usługi sieciowe – zabezpieczenie i dostęp.

b) Szyfrowanie ruchu sieciowego.

c) Poczta elektroniczna.

5.   Współpraca z firmami zewnętrznymi

a) Udostępnianie danych osobowych.

b) Nadzorowanie prac.

Przykładowe ćwiczenia:

1. Prawidłowe i nieprawidłowe procedury wykonywania kopii zapasowych

– analiza przypadków.

2. Przygotowanie procedury – praca w zespołach.

3. Zarządzanie hasłami.

Przerwa obiadowa

Blok VII: Wewnętrzny audyt zgodności

1.   Obowiązek zapewnienia okresowego audytu

a) Podstawy prawne.

b) Wybór osób lub podmiotów prowadzących audyt.

2.   Metody audytowania

3.   Cel, zakres i kryteria audytu

4.   Proces audytu

a) Przygotowanie działań.

b) Przeprowadzenie działań.

c) Przygotowanie raportu.

d) Zakończenie.

e) Działania po audytowe.

5.   Sprawozdania i raporty

a) Plan i zakres sprawdzenia.

b) Sprawozdanie ze sprawdzenia (dla GIODO, dla ADO).

Przykładowe ćwiczenia:

1. Przygotowanie planu audytu

2. Przygotowania planu, programu i sprawozdania ze sprawdzenia

3. Przygotowanie dokumentów roboczych

4. Pobieranie dowodów z audytu – w oparciu o dostarczone scenariusze

audytowe oraz wywiad z prowadzącym szkolenie

Przerwa kawowa.

Blok VIII: Podsumowanie

1.   Podsumowanie zagadnień omawianych w trakcie warsztatów

2.   Dyskusja, pytania

3.   Wydanie certyfikatów ukończenia szkolenia

Blok VIII: Egzamin kompetencji ABI/IOD

1.   Wprowadzenie, uwagi techniczne do egzaminu.

2.   Egzamin

a) Część teoretyczna – test: czas 20 minut.

b) Część praktyczna – zadania: czas 40 minut.

Więcej informacji na stronie organizatora.

Cena szkolenia: 1299 zł W cenie szkolenia:
  • Materiały szkoleniowe
  • Materiały poszkoleniowe
  • Lunch
  • Przerwa kawowa
  • Certyfikat udziału
Data: 2017-10-19 Adres:

Pomorskie
Gdańsk
ul. Czarny Dwór 4

Wyślij zapytanie do organizatora
Tytuł
Treść
Twój e-mail
Zabezpieczenie antyspamowe