A tanfolyamról
Napjainkban az adatvédelem egyre nagyobb hangsúlyt kap életünkben. Ez a folyamat annak idején az „ipari” adatok, üzleti titkok védelmével kezdődött, melynek a legismertebb keretrendszere az ISO/IEC 27001-es szabvány. Az ennek megfelelően kialakított, működtetett, folyamatosan fejlesztett információbiztonság-irányítási rendszer az évek, lassan évtizedek alatt bizonyította létjogosultságát – azaz a szolgáltatói, gyártói szektorban is megkerülhetetlen lett.
A személyes adatok kezelésének védelmén nagyot lendített az Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról – azaz a GDPR. Ennek a rendeletnek a mindennapokra való átültetését segíti az ISO/IEC 27701:2019-es szabvány.
Miben könnyíti meg a dolgunkat ez az új követelményszabvány?
- Alapul veszi az ISO/IEC 27001-es szabványt, ahhoz nagyon hasonló szerkezetben került kialakításra
- Átvette az ISO/IEC 27002-es szabvány struktúráját is, ami a megvalósítási javaslatok leírását illeti – azaz egyben megtalálható a követelmény és a bevezetési útmutató is
- A szervezetek ezen szabvány szerinti sikeres audit lefolytatásával tudják bizonyítani azt a képességüket, hogy az érintettek, ügyfelek személyes adatainak védelmében elkötelezettek, azt megvalósítják és folyamatosan fejlesztik – hasonlóan az ISO/IEC 27001 szerinti tanúsításhoz
A képzésen a hallgatók megismerkednek a szabvány által megfogalmazott követelményekkel, auditálási módszerekkel és mindezek gyakorlatba ültetésével.
Kinek ajánljuk?
- Akik azt szeretnék elsajátítani, hogy hogyan lehet auditálni és értékelni egy szervezet személyes adatkezelési menedzsment rendszerének hatékonyságát, amelynek célja lehet az ISO/IEC 27701: 2019 szabványnak való megfelelés
- Akik szeretnének elsajátítani olyan, gyakorlatban is alkalmazható technikákat és módszereket, melyek alkalmazhatók a rendszer hatékony belső ellenőrzésére és fenntartására, folyamatos fejlesztésére
- Ha a már meglévő ISO/IEC 27001 szerint kiépített információbiztonság-irányítási rendszert szeretnék kiegészíteni a személyes adatok kezelésére vonatkozó követelményekkel, gyakorlatokkal
- Akik szeretnének közös nyelvet beszélni mind az informatikus kollegákkal, mind az adatvédelmi szakjogász kollegákkal.
A tanfolyam bármilyen méretű vagy típusú szervezet képviselőinek ajánlható, akik jelenleg részt vesznek a személyes adatok kezelését szabályozó irányítási rendszer tervezésében, megvalósításában, karbantartásában, és folyamatos fejlesztésében az ISO/IEC 27701: 2019 szabvány szerint.
Tematika
1. nap: ISO 27001:2013 követelményei
- AZ ISO/IEC 27001:2013-hoz kapcsolódó személyes adatok védelméhez köthető követelmények
- Általános rendelkezések
- A szervezet összefüggései
- A szervezet és környezetének megértése
- Külső környezet
- Belső környezet
- Szempontok a problémák meghatározásához
- Az érdekelt felek igényeinek és elvárásainak megértése
- Az információbiztonsági irányítási rendszer alkalmazási körének meghatározása
- Információbiztonsági irányítási rendszer
- Vezetés
- Vezetés és elkötelezettség
- Szabályzat
- Információbiztonsági minta - Adatvédelmi szabályzat
- Szervezeti szerepek, felelősségek és hatóságok
- Tervezés
- A kockázatok és lehetőségek kezelésére irányuló intézkedések
- Az adatvédelmi és kockázatkezelési folyamatok összefoglalása
- Kockázatértékelési eszközök
- Súlyosság / Hatás értékelés
- Valószínűségi besorolás
- Információbiztonsági célkitűzések és azok elérésének tervezése
- Hatókör
- Tudatosság és képzés
- Információk dokumentálása / Kötelező dokumentációk
- Kötelező dokumentációk ellenőrzése
- Működés
- Az információbiztonsági kockázatértékelés
- Fejlesztés
ISO 27002:2013 követelményei
- AZ ISO/IEC 27002:2013 szabványhoz kapcsolódó személyes adatok védelméhez köthető követelmények
- Általános rendelkezések
- Információbiztonsági és adatvédelmi irányelvek életciklusa
- Információbiztonsági Szervezet
- Emberi erőforrás biztonsága
- A bizalom képzése és létrehozása
- Adatvagyon kezelés
- Hozzáférésvédelem
- Kriptográfia
- Fizikai és környezeti biztonság
- Kommunikációs biztonság
- Rendszer beszerzés, fejlesztés és karbantartás
- Szállítói kapcsolatok
- Információbiztonsági incidensek kezelése
- Az üzletmenet-folytonosság kezelésének információbiztonsági vonatkozásai
2. nap: ISO 27701:2019 áttekintése
- Az ISO/IEC 27701:2019 adatvédelmi információkezelési rendszer áttekintése
- Bevezetés az ISO/IEC 27701:2019 szabványba
- Mi az ISO/IEC 27701?
- Miért fejlesztették ki az ISO/IEC 27701 szabványt?
- Kinek ajánljuk az ISO/IEC 27701 szabványt?
- ISO/IEC 27701:2019 Előnyök
- A GDPR és az ISO/IEC 27701 közötti kapcsolat
- Az ISO/IEC 27701 és az ISO 27001 közötti kapcsolat
Az ISO/IEC 27701:2019 szabvány felépítése
- ISO/IEC 27701: 2019 követelmények
- Általános rendelkezések
- Személyes adatok védelmi követelményei az ISO/IEC 27001-hez kapcsolódóan
- Személyes adatok védelmi követelményei az ISO/IEC 27002-höz kapcsolódóan
- Adatvédelmi tájékoztató tervezése és megvalósítása
- Irányítási kötelezettségek az ISO/IEC 27701:2019 szerint
- A különböző irányítási rendszerek hajtóereje és hatása
- Az ISO/IEC 27701:2019 szabvány alkalmazása
- Országok, ahol az ISO/IEC 27701 Certificates-t kiadták
- Átfedések az ISO 27001:2019 és a GDPR között
3. nap: Személyes adatok kezelésével kapcsolatos kötelezettségek
- ISO/IEC 27701:2013 – További követelmények a személyes adatok kezelésére
- ISO/IEC 27002:2013 – Útmutató a személyes adatok kezeléséhez
- Általános rendelkezések
- A személyes adatok gyűjtésének és feldolgozásának feltételei
- Az adatfeldolgozókkal, adatkezelőkkel kapcsolatos kötelezettségek
- A személyes adatok kezelésének feltételei
- Személyes adatok továbbítása, feldolgozása
- Adatkezeléssel kapcsolatok kötelezettségek
- Adatvédelmi tisztviselők jogai és kötelezettségei
- Adatvédelemhez kapcsolódó dokumentációs környezet kialakítása
- Kötelező dokumentációk megléte
- Információbiztonsági dokumentumok
Auditok lefolytatása
- Adatvédelmi belső ellenőrzés (Internal Audit)
- Audit lefolytatásának lépései
- Az ellenőrzéssel kapcsolatos lépései
Auditálás
- 1. lépés – Audittervezés
- 2. lépés – Ellenőrzőlisták fejlesztése
- 3. lépés – Nyitóülés lebonyolítása
- 4. lépés – Az ellenőrzés lefolytatása
- Interjú- és ellenőrzési technikák
- A megfelelés bizonyítékainak gyűjtése
- Objektív bizonyítékok
- 5. lépés – Az audit megállapításainak rögzítése
- A meg nem felelés azonosítása
- Észrevételek (bizonyítási lehetőségek)
- Szabálytalansági jelentés
- 6. lépés – A záróülés lebonyolítása
- Ellenőrzőlista a záróülés lebonyolításához
- 7. lépés – Ellenőrzési jelentés elkészítése
- Az auditjelentés tartalma
- Audit nyomon követése
- Auditorra vonatkozó követelmények
- Auditor tulajdonságai
- Auditorok magatartása
- Az információgyűjtés és -ellenőrzés folyamatának áttekintése
4. nap: Felkészítési gyakorlat
- Adatvagyon leltár felvétele
- Dokumentációs környezet kialakítása (kötelező)
- ISO 27701:2019 ellenőrző lista
- Adatvédelmi szabályzat kialakítása
- Hiányosságok és korrekciós intézkedések
5. nap: Auditálási gyakorlat
- Belső audit lefolytatása
- Külső beszállítói audit lefolytatása
Kinek ajánljuk
Előfeltételek
MSZ ISO/IEC 27001:2014 vezető auditor végzettség, mely igazolja, hogy a jelentkező a részvételhez szükséges ismeretekkel és tudással rendelkezik.