top of page
Szukaj

Działania naprawcze po otrzymaniu raportu z KRI

Analiza raportu KRI i identyfikacja problemów, opracowanie planu działań naprawczych, wdrażanie zmian w praktyce i sprawdzenie skuteczności tych działań.

Analiza raportu KRI i identyfikacja problemów, opracowanie planu działań naprawczych, wdrażanie zmian w praktyce i sprawdzenie skuteczności tych działań.
Kontrola zgodności z Krajowymi Ramami Interoperacyjności (KRI) w jednostce oświatowej to ważny element dbałości o bezpieczeństwo informacji, w tym danych osobowych uczniów (wychowanków), rodziców i pracowników.

Otrzymany raport z przeprowadzonego audytu, wg kryteriów określonych w KRI nie powinien być traktowany wyłącznie jako wykaz błędów, ale jako narzędzie rozwoju i usprawnienia organizacji pracy placówki  w zakresie bezpieczeństwa informacji i cyfryzacji.

Analiza raportu i identyfikacja problemów

Po otrzymaniu raportu z KRI, dyrektor wraz z zespołem odpowiedzialnym za bezpieczeństwo informacji (najczęściej inspektorem ochrony danych, administratorem IT i sekretarzem czy kierownikiem gospodarczym) dokonuje dokładnej analizy wniosków i zaleceń.

Najczęściej wskazywane w jednostkach niezgodności dotyczą:


  • braku lub nieaktualności wewnętrznych regulacji dotyczących bezpieczeństwa informacji,

  • niepełnych procedur wykonywania kopii zapasowych danych lub całkowitego zaniechania ich realizacji

  • braku udokumentowanej procedury obsługi incydentów,

  • braku przeszkolenia wszystkich pracowników w zakresie ochrony danych osobowych i cyberbezpieczeństwa,

  • nieprawidłowego zabezpieczenia sprzętu komputerowego (np. brak właściwych haseł, korzystanie z prywatnych urządzeń w celach służbowych).


Na tym etapie warto opracować listę niezgodności i przypisać im priorytety, które wymagają natychmiastowej reakcji, a które można wdrożyć w dłuższej perspektywie.

 

Opracowanie planu działań naprawczych

Po analizie raportu placówka powinna opracować plan działań naprawczych. Dokument ten powinien być prosty, przejrzysty i możliwy do wdrożenia.

Poniżej przedstawiono przykładową tabelę planu:

Obszar niezgodności

Działanie naprawcze

Osoba odpowiedzialna

Brak aktualnej Polityki bezpieczeństwa informacji

Opracowanie i zatwierdzenie nowej wersji dokumentu

Dyrektor, IOD

Brak szkoleń z RODO i cyberbezpieczeństwa dla pracowników

Organizacja szkolenia dla nauczycieli i obsługi administracyjnej

IOD lub podmiot zewnętrzny

Brak procedury tworzenia kopii zapasowych

Wdrożenie harmonogramu backupu i dokumentacji kopii

Administrator IT

Brak planu reagowania na incydenty

Opracowanie i omówienie planu reagowania na incydenty bezpieczeństwa

Dyrektor, IOD

Niewłaściwe zabezpieczenia komputerów

Wprowadzenie obowiązku stosowania haseł i blokady ekranu

Administrator IT

*Do każdej z pozycji warto dodać termin realizacji i status, by lepiej kontrolować postępy prac. 

Wdrażanie zmian w praktyce

Działania naprawcze nie mogą pozostać jedynie na papierze. Szczególnie ważne jest, by zmiany były zrozumiałe i czytelne dla całego personelu - nauczycieli, wychowawców, pracowników sekretariatu, a nawet obsługi technicznej.

Przykładowe działania wdrożeniowe:

  • przeprowadzenie krótkich szkoleń wewnętrznych z zasad bezpiecznego korzystania z komputera i poczty e-mail,

  • wyznaczenie osoby odpowiedzialnej za regularne sprawdzanie aktualizacji systemu i oprogramowania,

  • wprowadzenie prostych procedur - np. formularza zgłaszania incydentów,

  • umieszczenie w pokoju nauczycielskim instrukcji postępowania z dokumentami zawierającymi dane osobowe.

 

Sprawdzenie skuteczności działań

Po wdrożeniu planu należy dokonać wewnętrznego przeglądu lub audytu - np. z udziałem IOD lub zewnętrznego specjalisty. Celem takiego przeglądu jest potwierdzenie, że:

  • wprowadzone procedury faktycznie działają,

  • personel zna swoje obowiązki,

  • dokumentacja jest aktualna i dostępna,

  • system informatyczny jest odpowiednio zabezpieczony.

Dobrą praktyką jest również przygotowanie raportu z realizacji działań naprawczych, który może być przedstawiony jakiemukolwiek podmiotowi uprawnionemu do przeprowadzania kontroli w obszarze bezpieczeństwa informacji.

 

Utrzymanie zgodności i doskonalenie systemu

Zachowanie zgodności z KRI to proces ciągły. Po wdrożeniu działań naprawczych jednostka oświatowa powinna regularnie:

  • aktualizować dokumentację bezpieczeństwa informacji,

  • szkolić nowo zatrudnionych pracowników,

  • monitorować zmiany w przepisach dotyczących KRI i RODO,

  • prowadzić okresowe przeglądy zabezpieczeń technicznych i organizacyjnych poprzez przeprowadzanie analizy ryzyka (zalecane co dwa lata) oraz prowadzenie bazy konfiguracji CMDB.

Zaleca się również powołać zespół ds. bezpieczeństwa informacji, który będzie dbał o systematyczne doskonalenie rozwiązań i reagował na nowe zagrożenia, a także korzystać z pomocy zewnętrznych podmiotów, wyspecjalizowanych w realizacji audytów i szkoleń.

 

Podsumowanie

Przeprowadzenie audytu wewnętrznego bezpieczeństwa informacji, którego efektem jest sprawozdanie, nie powinno być źródłem obaw, lecz impulsem do usprawnienia organizacji pracy i zwiększenia bezpieczeństwa danych. Dobrze zaplanowane i udokumentowane działania naprawcze pozwalają nie tylko uniknąć sankcji, ale przede wszystkim budują kulturę odpowiedzialności i świadomości cyfrowej wśród pracowników.

 


Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych oraz innych ważnych tematach dla oświaty. Jeżeli masz pytanie lub ciekawe tematy na POSTY, wyślij do nas taką informację - opublikujemy odpowiedź na BLOGU.



Dodatkowe informacje:

 
 

Chcesz otrzymywać bezpłatne aktualności - Zarejestruj się

bottom of page