Napjainkban az adatvédelem egyre nagyobb hangsúlyt kap életünkben. Ez a folyamat annak idején az „ipari” adatok, üzleti titkok védelmével kezdődött, melynek a legismertebb keretrendszere az ISO/IEC 27001-es szabvány. Az ennek megfelelően kialakított, működtetett, folyamatosan fejlesztett információbiztonság-irányítási rendszer az évek, lassan évtizedek alatt bizonyította létjogosultságát – azaz a szolgáltatói, gyártói szektorban is megkerülhetetlen lett.
A személyes adatok kezelésének védelmén nagyot lendített az Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról – azaz a GDPR. Ennek a rendeletnek a mindennapokra való átültetését segíti az ISO/IEC 27701:2019-es szabvány.
Miben könnyíti meg a dolgunkat ez az új követelményszabvány?
-
Alapul veszi az ISO/IEC 27001-es szabványt, ahhoz nagyon hasonló szerkezetben került kialakításra
-
Átvette az ISO/IEC 27002-es szabvány struktúráját is, ami a megvalósítási javaslatok leírását illeti – azaz egyben megtalálható a követelmény és a bevezetési útmutató is
-
A szervezetek ezen szabvány szerinti sikeres audit lefolytatásával tudják bizonyítani azt a képességüket, hogy az érintettek, ügyfelek személyes adatainak védelmében elkötelezettek, azt megvalósítják és folyamatosan fejlesztik – hasonlóan az ISO/IEC 27001 szerinti tanúsításhoz
A képzésen a hallgatók megismerkednek a szabvány által megfogalmazott követelményekkel, auditálási módszerekkel és mindezek gyakorlatba ültetésével.
Kinek ajánljuk?
-
Akik azt szeretnék elsajátítani, hogy hogyan lehet auditálni és értékelni egy szervezet személyes adatkezelési menedzsment rendszerének hatékonyságát, amelynek célja lehet az ISO/IEC 27701: 2019 szabványnak való megfelelés
-
Akik szeretnének elsajátítani olyan, gyakorlatban is alkalmazható technikákat és módszereket, melyek alkalmazhatók a rendszer hatékony belső ellenőrzésére és fenntartására, folyamatos fejlesztésére
-
Ha a már meglévő ISO/IEC 27001 szerint kiépített információbiztonság-irányítási rendszert szeretnék kiegészíteni a személyes adatok kezelésére vonatkozó követelményekkel, gyakorlatokkal
-
Akik szeretnének közös nyelvet beszélni mind az informatikus kollegákkal, mind az adatvédelmi szakjogász kollegákkal.
A tanfolyam bármilyen méretű vagy típusú szervezet képviselőinek ajánlható, akik jelenleg részt vesznek a személyes adatok kezelését szabályozó irányítási rendszer tervezésében, megvalósításában, karbantartásában, és folyamatos fejlesztésében az ISO/IEC 27701: 2019 szabvány szerint.
1. nap: ISO 27001:2013 követelményei
-
AZ ISO/IEC 27001:2013-hoz kapcsolódó személyes adatok védelméhez köthető követelmények
-
Általános rendelkezések
-
A szervezet összefüggései
-
A szervezet és környezetének megértése
-
Külső környezet
-
Belső környezet
-
Szempontok a problémák meghatározásához
-
Az érdekelt felek igényeinek és elvárásainak megértése
-
Az információbiztonsági irányítási rendszer alkalmazási körének meghatározása
-
Információbiztonsági irányítási rendszer
-
Vezetés
-
Vezetés és elkötelezettség
-
Szabályzat
-
Információbiztonsági minta – Adatvédelmi szabályzat
-
Szervezeti szerepek, felelősségek és hatóságok
-
Tervezés
-
A kockázatok és lehetőségek kezelésére irányuló intézkedések
-
Az adatvédelmi és kockázatkezelési folyamatok összefoglalása
-
Kockázatértékelési eszközök
-
Súlyosság / Hatás értékelés
-
Valószínűségi besorolás
-
Információbiztonsági célkitűzések és azok elérésének tervezése
-
Hatókör
-
Tudatosság és képzés
-
Információk dokumentálása / Kötelező dokumentációk
-
Kötelező dokumentációk ellenőrzése
-
Működés
-
Az információbiztonsági kockázatértékelés
-
Fejlesztés
ISO 27002:2013 követelményei
-
AZ ISO/IEC 27002:2013 szabványhoz kapcsolódó személyes adatok védelméhez köthető követelmények
-
Általános rendelkezések
-
Információbiztonsági és adatvédelmi irányelvek életciklusa
-
Információbiztonsági Szervezet
-
Emberi erőforrás biztonsága
-
A bizalom képzése és létrehozása
-
Adatvagyon kezelés
-
Hozzáférésvédelem
-
Kriptográfia
-
Fizikai és környezeti biztonság
-
Kommunikációs biztonság
-
Rendszer beszerzés, fejlesztés és karbantartás
-
Szállítói kapcsolatok
-
Információbiztonsági incidensek kezelése
-
Az üzletmenet-folytonosság kezelésének információbiztonsági vonatkozásai
2. nap: ISO 27701:2019 áttekintése
-
Az ISO/IEC 27701:2019 adatvédelmi információkezelési rendszer áttekintése
-
Bevezetés az ISO/IEC 27701:2019 szabványba
-
Mi az ISO/IEC 27701?
-
Miért fejlesztették ki az ISO/IEC 27701 szabványt?
-
Kinek ajánljuk az ISO/IEC 27701 szabványt?
-
ISO/IEC 27701:2019 Előnyök
-
A GDPR és az ISO/IEC 27701 közötti kapcsolat
-
Az ISO/IEC 27701 és az ISO 27001 közötti kapcsolat
Az ISO/IEC 27701:2019 szabvány felépítése
-
ISO/IEC 27701: 2019 követelmények
-
Általános rendelkezések
-
Személyes adatok védelmi követelményei az ISO/IEC 27001-hez kapcsolódóan
-
Személyes adatok védelmi követelményei az ISO/IEC 27002-höz kapcsolódóan
-
Adatvédelmi tájékoztató tervezése és megvalósítása
-
Irányítási kötelezettségek az ISO/IEC 27701:2019 szerint
-
A különböző irányítási rendszerek hajtóereje és hatása
-
Az ISO/IEC 27701:2019 szabvány alkalmazása
-
Országok, ahol az ISO/IEC 27701 Certificates-t kiadták
-
Átfedések az ISO 27001:2019 és a GDPR között
3. nap: Személyes adatok kezelésével kapcsolatos kötelezettségek
-
ISO/IEC 27701:2013 – További követelmények a személyes adatok kezelésére
-
ISO/IEC 27002:2013 – Útmutató a személyes adatok kezeléséhez
-
Általános rendelkezések
-
A személyes adatok gyűjtésének és feldolgozásának feltételei
-
Az adatfeldolgozókkal, adatkezelőkkel kapcsolatos kötelezettségek
-
A személyes adatok kezelésének feltételei
-
Személyes adatok továbbítása, feldolgozása
-
Adatkezeléssel kapcsolatok kötelezettségek
-
Adatvédelmi tisztviselők jogai és kötelezettségei
-
Adatvédelemhez kapcsolódó dokumentációs környezet kialakítása
-
Kötelező dokumentációk megléte
-
Információbiztonsági dokumentumok
Auditok lefolytatása
-
Adatvédelmi belső ellenőrzés (Internal Audit)
-
Audit lefolytatásának lépései
-
Az ellenőrzéssel kapcsolatos lépései
Auditálás
-
1. lépés – Audittervezés
-
2. lépés – Ellenőrzőlisták fejlesztése
-
3. lépés – Nyitóülés lebonyolítása
-
4. lépés – Az ellenőrzés lefolytatása
-
Interjú- és ellenőrzési technikák
-
A megfelelés bizonyítékainak gyűjtése
-
Objektív bizonyítékok
-
5. lépés – Az audit megállapításainak rögzítése
-
A meg nem felelés azonosítása
-
Észrevételek (bizonyítási lehetőségek)
-
Szabálytalansági jelentés
-
6. lépés – A záróülés lebonyolítása
-
Ellenőrzőlista a záróülés lebonyolításához
-
7. lépés – Ellenőrzési jelentés elkészítése
-
Az auditjelentés tartalma
-
Audit nyomon követése
-
Auditorra vonatkozó követelmények
-
Auditor tulajdonságai
-
Auditorok magatartása
-
Az információgyűjtés és -ellenőrzés folyamatának áttekintése
4. nap: Felkészítési gyakorlat
-
Adatvagyon leltár felvétele
-
Dokumentációs környezet kialakítása (kötelező)
-
ISO 27701:2019 ellenőrző lista
-
Adatvédelmi szabályzat kialakítása
-
Hiányosságok és korrekciós intézkedések
5. nap: Auditálási gyakorlat
-
Belső audit lefolytatása
-
Külső beszállítói audit lefolytatása
MSZ ISO/IEC 27001:2014 vezető auditor végzettség, mely igazolja, hogy a jelentkező a részvételhez szükséges ismeretekkel és tudással rendelkezik.
