SMERNICA REVIDIRANJU INFORMACIJSKIH SISTEMOV ZASEBNOST

1. SMERNICA REVIDIRANJU INFORMACIJSKIH SISTEMOVZASEBNOST Dokument G31 Darko Dolinar, januar 2006 darko.dolinar@bsi.si

2. Agenda • Splošno o ISACA standardih • Zgradba smernic • Smernica G31 – Zasebnost

3. Splošno o ISACA standardih • Standardi (Sn) • Revizorji informacijskih sistemov • Poslovodstvo • Vsi nosilci CISA certifikata • Smernice (Gn) • Postopki (Pn)

4. Zgradba smernic

5. Smernica G31 – Zasebnost • Ozadje • Revizijska ustanovna listina • Neodvisnost • Strokovna etika in standardi • Pristojnost • Načrtovanje • Izvajanje revizijskega dela • Poročanje • Datum pričetka veljave • Viri

6. Smernica G31 1. Ozadje • Povezava s standardi (S1, S5, S6) • Povezava s Cobit • PO8, Zagotavljanje usklajenosti z zunanjimi zahtevami • PO8.4, Zasebnost, intelektualna lastnina in tok podatkov • Sklicevanje na Cobit (procesi) • Primarni (PO8, DS5) • Sekundarni (PO7, DS1, DS2, DS10, DS11, DS13, M1, M2, M3, M4) • Informacijska sodila za pregled zasebnosti • Primarna – uspešnost, usklajenost, zaupnost, celovitost • Sekundarna – zanesljivost, razpoložljivost

7. Smernica G31 1. Ozadje (2) • Namen smernice • Uvajanje smernice • Opredelitev zasebnosti • Zasebnost • Osebni podatki • Odgovornost revizorja IS • Revidiranje politike o zasebnosti • Revidiranje analize vpliva zasebnosti • Mnenje veščaka • Nadzornik podatkov

8. Smernica G31 2. Revizijska ustanovna listina • Zasebnost v omreženem svetu • Svetovni splet • Elektronska pošta • Globalno razširjanje pravnih aktov

9. Smernica G31 3. Neodvisnost • Viri informacij • Lokalna regulativa • Svetovna regulativa (če je organizacija mednarodna)

10. Smernica G31 4. Strokovna etika in standardi • Potreba po zaščiti osebnih podatkov • Osebni podatki, izpostavljeni nenaslovljenim, lahko povzročijo nepopravljivo škodo posameznikom • Neznana ali nenatančna zakonodaja

11. Smernica G31 5. Pristojnost • Pristop k zaščiti osebnih podatkov, pri tem upoštevati • Upravljanje zasebnosti • Ocenjevanje tveganj • Revizija varnosti • Odstopanje • Organizacija • Osebje (pooblastila, znanja) • Strokovna molčečnost • Fizična varnost

12. Smernica G31 5. Pristojnost (2) • Pristop k zaščiti osebnih podatkov (nadaljevanje) • Zaupnost • Celovitost • Razpoložljivost • Varnostni ukrepi • Varnost napram zunanjim partnerjem • Dokumentacija • Zavedanje in delavnice

13. Smernica G31 6. Načrtovanje • Splošna načela OECD • Omejitev zbiranja • Kakovost podatkov • Natančen opis namena • Omejitev rabe • Varnostne varovalke • Odprtost • Udeležba posameznika (1 – 5) • Odgovornost nadzornika podatkov

14. Smernica G31 6. Načrtovanje (2) • Kontrolni seznam (tabela 2)

15. Smernica G31 7. Izvajanje revizijskega dela • Načrtovanje - pregled praks in postopkov v zvezi z zasebnostjo • Koraki izvajanja • Predhodna ocena zasebnosti • Ugotoviti ali obstajajo ustrezni dokumenti in zaposlenci • Analiza vpliva zasebnosti

16. Smernica G31 7. Izvajanje revizijskega dela (2) • Koraki izvajanja (nadaljevanje) • Dokumentiranje izidov pregleda, kar vključuje: • Pregled tveganj in ukrepov za zmanjševanje le-teh • Izpostavitev prepoznanih slabosti • Nasvet, da se izvedejo popravljalna dejanja • Priporočila za izboljšanje kontrol zasebnosti

17. Smernica G31 8. Poročanje • Regulativa za potrjevanje varnostnih ukrepov • Ključne kontrole • Ponovna uporaba medijev • Urjenje • Nadzorstvo dostopov • Vzdrževanje in podpora • Celovitost podatkov • Nadzorstvo dostopov v prostore • Analiza tveganj

18. Smernica G31 9. Datum pričetka veljave • 1. rožnik 2005.

19. Smernica G31 Viri • “AICPA/CICA Privacy Framework,” American Institute of Certified Public Accountants (AICPA) and Canadian Institute of Certified Accountants (CICA), 2003 • “Guidelines for the Regulation of Computerized Personal Data Files,” Office of the United Nations High Commissioner for Human Rights, 1990 • “The International E-commerce Standard for Security, Privacy and Service (Business to Business),” International Standards • Accreditation Board (ISAB), IES: 2000 (B2B), 2000 • “The International E-commerce Standard for Security, Privacy and Service (Business to Consumer),” International Standards • Accreditation Board (ISAB), IES: 2000 (B2C), 2000 • “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,” Organisation for Economic Co-operation and Development (OECD), 2002, 1980 • “Privacy : Assessing the Risk,” The Institute of Internal Auditors (IIA) Research Foundation, April 2003 • “Safe Harbor Privacy Principles,” US Department of Commerce, USA, 21 July 2000 • “US Department of Commerce Safe Harbor,” US Department of Commerce, USA, www.export.gov/safeharbor

20. Smernica G31 Viri (2) • IS Standards, Guidelines and Procedures for Auditing and Control Professionals, http://www.isaca.org • SIST BS 7799-2:2003, Sistemi za upravljanje varovanja informacij – Specifikacija z napotki za uporabo (Information security management systems – Specification with guidance for use) • ISO/IEC 17799, Information technology – Security techniques – Code of practice for information security management • Dr. I. Turk, Pojmovnik računovodstva, financ in revizije, Slovenski inštitut za revizijo, Ljubljana 2002 • Dr. I. Turk, Pojmovnik uporabniške informatike, Slovenski inštitut za revizijo, Ljubljana 2002