Technická a organizační opatření (TOM) společnosti Arthrex
1. Kontrola vstupu do objektů
Pojem „kontrola vstupu“ se vztahuje na fyzický přístup osob do budov a objektů, v nichž jsou provozovány a používány IT systémy používané pro zpracování osobních údajů. Mohou to být například datová centra, kde jsou provozovány webové servery, aplikační servery, databáze, sálové počítače a úložné systémy, a kancelářské místnosti, kde zaměstnanci používají stolní počítače.
Technická opatření
|
Organizační opatření
|
• Jsou přijata vhodná technická opatření (např. systémy detekce vniknutí, bezpečnostní vstupní systémy pro jednu osobu a uzamykací systémy) k zabezpečení bezpečnostních prostor a jejich vstupních míst. |
• Požadavek na ochranu budovy nebo místnosti se určuje na základě systémů zpracování dat, které se v ní nacházejí. • Je vymezena skupina osob s obecným oprávněním ke vstupu a oprávnění ke vstupu do bezpečnostně významných prostor je omezeno na nezbytně nutnou míru („zásada minimálního oprávnění“); vstup je odepřen všem osobám bez oprávnění. • Byl zaveden postup pro podávání žádostí, schvalování, vydávání, správu a přijímání vrácení vstupních prostředků nebo odnímání vstupních práv (včetně správy klíčů, vizuálních průkazů, transpondérů, čipových karet apod.); všechny klíče jsou registrovány. • Byl zaveden postup pro řízení vstupu osob mimo společnost, jako jsou hosté a dodavatelé; externí návštěvníci jsou registrováni; v případě potřeby zvýšené ochrany jsou pracovníci mimo společnost během výkonu své práce doprovázeni a pod dohledem. |
2. Řízení přístupu k hardwaru
Opatření k zabránění přístupu neoprávněných osob k hardwaru používanému ke zpracování osobních údajů nebo k jeho používání:
Technická opatření
|
Organizační opatření
|
• Přístup k systémům zpracování dat, v nichž jsou data zpracovávána, je možný pouze po identifikaci a úspěšné autentizaci oprávněné osoby (např. pomocí uživatelského jména a hesla nebo čipové karty / PIN), a to za použití nejmodernějších bezpečnostních opatření. • Silné ověření je vždy založeno na více (nejméně 2) faktorech, například na něčem, co uživatel vlastní, na něčem, co zná, nebo na jednorázovém faktoru, který je specifický pro uživatele (obvykle biometrické procesy); příklady zahrnují:
• Čipová karta s certifikáty a PIN
• Jednorázová hesla (generátor OTP, SMS TAN, čipové TAN) a uživatelské heslo
• Bezpečnostní otázky
• Všechny úspěšné i zamítnuté pokusy o přístup jsou zaznamenány (ID uživatele, počítač, použitá IP adresa) a archivovány ve formuláři pro audit shody po dobu 1 roku; pro odhalení nesprávného použití se provádí pravidelné vyhodnocování prostřednictvím výběru vzorků. • Ověřovací údaje (například ID uživatele a heslo) se nikdy nesmí přenášet po síti nechráněné. • Přístup je zablokován po opakovaných nesprávných pokusech o ověření; byl vytvořen postup pro resetování nebo odblokování zablokovaných přístupových ID; uživatelská ID, která se delší dobu nepoužívají • (maximálně 180 dní) jsou automaticky blokována nebo nastavena jako neaktivní.
|
• Skupina osob oprávněných k přístupu do IT systémů musí být omezena na naprosté minimum, které je nezbytné k plnění konkrétních povinností nebo funkcí dané osoby v rámci probíhajícího provozu organizace. • Hesla musí splňovat příslušná minimální pravidla (např. minimální délku a složitost hesla); hesla musí být v pravidelných intervalech měněna; počáteční hesla musí být okamžitě změněna; provádění požadavků na délku, složitost a platnost hesla je zajištěno technickým nastavením |
3. Řízení přístupu k datům (omezený přístup)
3.1. Omezená přístupová práva
Opatření zajišťující, že přístup k systémům a datům je omezen na oprávněné pracovníky jednající v rámci svého oprávnění:
Technická opatření
|
Organizační opatření
|
• Osoba oprávněná k přístupu k údajům se musí rovněž identifikovat a autentizovat v systému zpracování údajů na základě jedinečných, ověřitelných faktorů, jako je ID a heslo. • Všechny obrazovky počítače a zařízení jsou nastaveny do automatického režimu spořiče obrazovky chráněného heslem. • Pokud jsou údaje více stran uloženy ve stejné databázi nebo jsou zpracovávány stejným systémem zpracování dat, jsou stanovena logická omezení přístupu, která jsou zaměřena výhradně na zpracování údajů pro dotyčnou stranu (víceuživatelské prostředí). • Další opatření podle výše uvedených sekcí |
• Koncepce autorizace (uživatelská a administrátorská práva) zajišťuje, že přístup k datům v systému je umožněn pouze v rozsahu nezbytném pro splnění příslušného úkolu uživatelem podle interního rozdělení úkolů a rozdělení funkcí uživatele; jsou definována pravidla a postupy pro vytváření, změnu a rušení autorizačních profilů a uživatelských rolí v souladu s pravidly ochrany údajů; jsou upraveny odpovědnosti. • Přístupová práva jsou omezena na několika úrovních na základě požadavku nezbytnosti znalostí podle písemných zásad přístupových práv. • Bez ohledu na technická omezení jsou zaměstnanci poučeni, že nesmí přistupovat k údajům, které nejsou potřebné pro jejich funkci. • Hesla musí splňovat příslušná minimální pravidla (např. minimální délku a složitost hesla); hesla musí být v pravidelných intervalech měněna; počáteční hesla musí být okamžitě změněna; provádění požadavků na délku, složitost a platnost hesla je zajištěno technickým nastavením. • Data a soubory jsou pravidelně ničeny nebo odstraňovány v souladu s politikou uchovávání a dat takovým způsobem, že jejich rekonstrukce není možná nebo není možná bez vynaložení nepřiměřeného úsilí; o ničení a odstraňování jsou vedeny protokoly; tyto protokoly neobsahují osobní údaje, ale pouze odkazy na doklady nebo soubory. • Další opatření podle výše uvedených sekcí |
3.2. Řízení datových médií
Opatření k zabránění neoprávněnému přístupu k datovým médiím:
Technická opatření
|
Organizační opatření
|
• Údaje jsou při přepravě šifrovány nebo chráněny heslem, citlivé údaje jsou rovněž šifrovány nebo chráněny heslem při používání. • Další opatření podle výše uvedených sekcí |
• Existují záznamy všech datových médií. • Datová média jsou mimo pracovní dobu uložena v uzamčených skříních. • Datová média jsou přepravována bezpečně. • Datová média a dokumenty jsou likvidovány v souladu s normou DIN 66399 interně nebo prostřednictvím certifikovaného poskytovatele služeb. • Další opatření podle výše uvedených sekcí |
3.3. Řízení změn
Opatření k zabránění neoprávněnému přístupu k údajům nebo jejich zpracování:
Technická opatření
|
Organizační opatření
|
• Přístup k údajům je zaznamenáván; vzorové soubory protokolů jsou pravidelně kontrolovány. • Další opatření podle výše uvedených sekcí |
Zaznamenává se následující: • Změny hesel / přístupových práv / rolí • Zápis přístupu s následujícími údaji: uživatel, údaje, soubor a software
• U citlivých údajů také přístup ke čtení
• Existují písemné zásady týkající se rozsahu a povahy protokolování a uchovávání a kontroly protokolů • Další opatření podle výše uvedených sekcí
|
3.4. Řízení exportu
Opatření proti neoprávněnému exportu údajů z informačních systémů:
Technická opatření
|
Organizační opatření
|
• Vnitřní síť je zabezpečena implementací bezpečnostních bran v bodech přenosu sítě (např. brány firewall, ochrana proti virům a detekce narušení (IDS)). • Údaje jsou přenášeny pouze e-mailem nebo šifrovaně (VPN, SSL). • E-maily jsou protokolovány bezpečným způsobem. • Další opatření podle výše uvedených sekcí |
• Používání cloudů nebo jiných zpracovatelských služeb vyžaduje, aby byla uzavřena zpracovatelská smlouva a zpracovatel byl auditován. • Další opatření podle výše uvedených sekcí |
4. Řízení přenosu a přepravy
Je třeba zajistit, aby osobní údaje nemohly být neoprávněně čteny, kopírovány, měněny nebo odstraňovány během elektronického přenosu nebo přepravy nebo během záznamu na nosiče dat. Dále aby bylo možné zjistit a zkontrolovat, kterým subjektům mají být osobní údaje předávány pomocí zařízení pro přenos údajů.
4.1. Řízení přenosu
Opatření k zajištění toho, aby byli zaznamenáni příjemci všech exportů údajů:
Technická opatření
|
Organizační opatření
|
• Další opatření podle výše uvedených sekcí |
• Všechna přístupová práva a přenosy jsou zdokumentovány v záznamech o činnostech zpracování. • Další opatření podle výše uvedených sekcí |
4.2. Řízení přepravy
Opatření k zajištění ochrany údajů při přenosu a přepravě:
Technická opatření
|
Organizační opatření
|
• Pokud jsou osobní údaje přenášeny do externích systémů, je bezpodmínečně nutné šifrování. • Další opatření podle výše uvedených sekcí |
• Další opatření podle výše uvedených sekcí |
5. Protokoly o zpracování
Opatření, která zajistí, že každý záznam nebo změna osobních údajů je protokolována:
Technická opatření
|
Organizační opatření
|
• Další opatření podle výše uvedených sekcí |
• Další opatření podle výše uvedených sekcí |
6. Řízení souladu zpracovatele s předpisy
Opatření k zajištění toho, aby zpracovatelé nebo další zpracovatelé zpracovávali údaje pouze v souladu s pokyny správce:
Technická opatření
|
Organizační opatření
|
• Fyzické nebo logické oddělení údajů • Další opatření podle výše uvedených sekcí |
• Školení zaměstnanců, zaměstnanci musí podepsat formální závazek • Písemná dokumentace pokynů • Výběr (dílčích) zpracovatelů a vypracování (dílčích) smluv s náležitou péčí; počáteční a pravidelný audit technických a organizačních opatření • Externí poskytovatelé služeb musí při práci na IT systémech podléhat průběžnému dohledu. • Další opatření podle výše uvedených sekcí |
7. Řízení škod
7.1. Řízení dostupnosti
Opatření k zajištění ochrany údajů před zničením nebo ztrátou:
Technická opatření
|
Organizační opatření
|
• Všechny serverové místnosti mají klimatizaci, detekci kouře a hasicí přístroje; pravidelně se kontroluje teplota a vlhkost. • Všechny servery jsou vybaveny nepřerušitelným zdrojem napájení (UPS) a jsou chráněny proti elektrickému přetížení; všechny servery jsou nakonfigurovány tak, aby se automaticky vypnuly v případě delšího výpadku proudu. • Další opatření podle výše uvedených sekcí |
• Denně se kontroluje ochrana zálohování a obnovení, uživatelé, soubory protokolů a antivirová kontrola serverů. • Pravidelně se kontroluje: zdroj nepřerušitelného
napájení (UPS), zámky v serverové místnosti.
• Existuje plán obnovy po havárii a kontinuity provozu, který umožňuje pokračovat v činnosti v případě předvídatelné nepříznivé události (elektřina, požár, voda atd.). • Další opatření podle výše uvedených sekcí
|
7.2. Obnovení systému
Opatření k zajištění rychlé obnovy systémů po nežádoucí události:
Technická opatření
|
Organizační opatření
|
• Všechna data podléhají pravidelnému zálohování. • Důležité zálohy jsou uloženy mimo pracoviště. • Další opatření podle výše uvedených sekcí |
• Existuje písemné zásady zálohování, které specifikují rozsah, intervaly a metody zálohování, počet generací, datová média, přenos a ukládání, jakož i interní povinnosti týkající se postupů zálohování. • Zálohy jsou pravidelně kontrolovány • Další opatření podle výše uvedených sekcí |
7.3. Spolehlivosty
Opatření zajišťující správné fungování všech systémů a odhalování chyb:
Technická opatření
|
Organizační opatření
|
• Systémy provádějí automatické kontroly věrohodnosti a integrity (např. postupy kontrolních součtů), aby odhalily chyby. • Chyby systémového protokolu a přetížení aplikací (např. problémy s úložištěm nebo přerušené procesy) • Další opatření podle výše uvedených sekcí |
• Veškerý software je před instalací zkontrolován a schválen oddělením IT. • Probíhá pravidelný proces ruční kontroly systémů, atributů dat a informací o procesech, jakož i dalších konfigurací materiálů s cílem odhalit chyby. • Jsou zavedeny zásady, které vyžadují, aby byly hlášeny všechny chyby IT nebo komunikačních systémů a aby byly vykázány a zdokumentovány (s výjimkou chyb zjištěných a opravených automaticky systémy). • Jsou zavedeny zásady, které stanoví, že chyby mohou opravovat pouze pracovníci IT a že hlavní změny jsou před zavedením testovány v sandboxu. • Další opatření podle výše uvedených sekcí |
7.4. Integrita dat
Opatření, která zajistí, že údaje nebudou poškozeny poruchami systému:
Technická opatření
|
Organizační opatření
|
• Kontroly integrity údajů jsou zahrnuty a povoleny ve výchozím nastavení podle strategie zálohování a sady nástrojů. • Jsou prováděny penetrační testy a bezpečnostní audity. • Další opatření podle výše uvedených sekcí |
• Zavedené bezpečnostní zásady a postupy • Školení pro zaměstnance zahrnující pravidla pro zadávání a uchovávání údajů • Další opatření podle výše uvedených sekcí |
8. Kontrola oddělení
Opatření k zajištění jasného oddělení údajů shromážděných pro různé účely:
Technická opatření
|
Organizační opatření
|
• Fyzické nebo logické oddělení údajů • Firemní soubory jsou odděleny na základě vyhrazeného umístění úložiště, a to jak v prostorách firmy, tak v cloudu. • Úložiště jsou viditelná a/nebo přístupná pouze osobám s oprávněním k přístupu k příslušným údajům. • Další opatření podle výše uvedených sekcí |
• Zavedené bezpečnostní zásady a postupy • Další opatření podle výše uvedených sekcí |
9. Obecná organizace
- V rozsahu požadovaném zákonem byl jmenován pověřenec pro ochranu osobních údajů. Jedna nebo více osob ve vedení nebo přímo podřízených vedení převzaly odpovědnost za ochranu údajů a dodržování bezpečnosti údajů. Jedna nebo více osob v rámci oddělení IT převzaly odpovědnost za provádění všech technických a organizačních opatření včetně průběžné údržby příslušných zásad. V rámci oddělení IT existují jasné předpisy týkající se příslušných odpovědností.
- Existuje písemné, zdokumentované posouzení rizik a stanovení vhodných opatření s ohledem na ochranu údajů (včetně ochrany soukromí již od návrhu) a zabezpečení údajů pro všechny systémy a systémy a procesy.
- Kromě výše uvedených požadavků existují písemně zdokumentované zásady a předpisy, které zajišťují, že veškeré zpracování je v souladu se zásadami zákonnosti, korektnosti a transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení ukládání a integrity a důvěrnosti zpracování. Zpracovatel dodržuje všechny zákonné požadavky na odpovědnost a/nebo dokumentaci.
- Všichni zaměstnanci byli poučeni a proškoleni o základních požadavcích na ochranu a zabezpečení údajů a zavázali se je dodržovat.
- Existují písemně zdokumentované postupy, které zajišťují, že a) subjekty údajů mohou uplatňovat svá zákonná práva týkající se jejich údajů a b) incidenty nebo porušení jsou neprodleně hlášeny.
- Oddělení IT ve spolupráci s pověřencem pro ochranu osobních údajů pravidelně (nejméně jednou ročně) provádí úplnou analýzu rizik a bezpečnosti všech technických a organizačních opatření a předkládá písemnou zprávu vedení. Vedení může v případě potřeby nařídit další audity. V případě zjištění nesouladu jsou rovněž zdokumentována opatření k jeho vyřešení.