Baza wiedzy

Administrator Bezpieczeństwa Informacji „na etacie” - czyli o możliwości łączenia funkcji ABI z innymi obowiązkami służbowymi [CZĘŚĆ 2]

Autor: Jakub WezgrajData dodania: Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe

W poprzedniej części artykułu (dostępnej TUTAJ) przedstawiłem dwie pierwsze grupy czynników jakie moim zdaniem należy brać w szczególności pod uwagę przy ocenie, czy w ramach konkretnego etatu pracy możliwe jest połączenie funkcji Administratora Bezpieczeństwa Informacji z realizacją również innych obowiązków służbowych. W tej części artykułu przedstawię kolejne dwie grupy czynników jakie warto brać pod uwagę przy tego typu ocenie.

Przyjęty sposób i schemat realizacji ustawowych zadań spoczywających na ABI

Osoba pełniąca funkcję Administratora Bezpieczeństwa Informacji powinna w swoich szacunkach brać również pod uwagę przewidywane zaangażowanie w realizację poszczególnych obowiązków ustawowych. Analizując ten aspekt powinna jednak mieć na względzie, że obowiązujące przepisy prawa dają pewien „luz decyzyjny” umożliwiający nieco indywidualne podejście do częstotliwości i sposobu wykonywania wybranych zadań, a to z kolei może wpłynąć na realny zakres zaangażowania ABI w wykonywane prace.

Jako przykład może posłużyć przeprowadzanie sprawdzeń planowych, do których jest zobligowany Administrator Bezpieczeństwa Informacji, a które odbywają się na podstawie opracowanego przez ABI planu sprawdzeń. Plan sprawdzeń z kolei musi określać przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania.

Plan sprawdzeń stanowi więc narzędzie służące Administratorowi Bezpieczeństwa Informacji do zaplanowania swoich prac, a tym samym umożliwia przynajmniej wstępne oszacowanie ich czasochłonności i wymaganego zaangażowania. Sam plan sprawdzeń z kolei opracowywany jest przez ABI na okres nie krótszy niż kwartał i nie dłuższy niż rok, przy czym każdy plan musi obejmować co najmniej jedno sprawdzenie. W praktyce oznacza to, że Administrator Bezpieczeństwa Informacji musi przeprowadzić co najmniej jedno sprawdzenie planowe w skali roku (przy założeniu, że opracował plan sprawdzenia obejmujący najdłuższy możliwy okres – rok, a sam plan obejmuje tylko jedno sprawdzenie).

Również zakres i ilość czynności podlegających realizacji w ramach konkretnego sprawdzenia planowego zasadniczo podlega ustaleniu przez Administratora Bezpieczeństwa Informacji. Musi on brać jednak pod uwagę obowiązki ustawowe, których poziom spełnienia powinien być objęty weryfikacją oraz zasadę, zgodnie z którą wszystkie zbiory danych osobowych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na 5 lat.

Jeżeli więc Administrator Bezpieczeństwa Informacji planować będzie przeprowadzenie tylko jednego sprawdzenia planowego rocznie, łącznie 5 sprawdzeń będzie musiało gwarantować objęcie weryfikacją wszystkich zasobów administratora danych. Alternatywą więc jest przeprowadzanie częstszych sprawdzeń planowych, obejmujących weryfikacją każdorazowo węższe zakresy.

Charakter prac / zadań jakie dodatkowo w ramach etatu realizuje osoba pełniąca funkcję ABI (poza zadaniami z zakresu ochrony danych osobowych)

W przypadku łączenia w ramach jednego etatu funkcji Administratora Bezpieczeństwa Informacji z zadaniami służbowymi innego typu ważne jest również to, czy te "inne" zadania mają zbliżony charakter do zadań realizowanych w ramach funkcji ABI (bądź też czy ich realizacja odbywa się w sposób zbliżony do realizacji zadań ABI).

O małej skuteczności łączenia funkcji ABI w ramach etatu z innymi obowiązkami służbowymi najczęściej można mówić w przypadku, gdy do pełnienia funkcji Administratora Bezpieczeństwa Informacji zostaje wyznaczony pracownik na co dzień zatrudniony w komórce organizacyjnej, która ze względu na swój zakres zadań i charakterystykę nie ma większego wpływu na funkcjonowanie innych komórek organizacyjnych (w sensie „decyzyjności”). Takimi komórkami są np. dział kadr, czy też działy związane z obsługą klienta. Działy te zazwyczaj mają bardzo silnie ustrukturyzowany zakres zadań i choć ich działanie ma silny wpływ na zachowanie "ciągłości biznesowej" całej organizacji, to w sensie merytorycznym nie wpływają aż tak bardzo na sposób funkcjonowania innych komórek.

W szczególności obszar kadrowy zaliczany jest do tzw. obszaru administracyjnego (tzw. backoffice), który odpowiedzialny jest za zapewnienie ciągłości funkcjonowania organizacji (zapewnienie odpowiednich zasobów ludzkich), ale nie wpływa merytorycznie na zasady funkcjonowania pozostałych obszarów (takich jak sprzedaż i obsługa klienta, reklamacje, windykacja należności, obsługa prawna). Jednocześnie specyfika i odrębność funkcjonowania tego typu komórki jest tak silna, że w przypadku gdy do pełnienia funkcji ABI wyznaczony jest jej pracownik, trudno mu „wyjść” poza obszar własnej komórki i pełnić rolę Administratora Bezpieczeństwa Informacji na rzecz całej organizacji. Wyjątek od tej reguły mogą stanowić przedsiębiorstwa produkcyjne, które ze względu na swoją specyfikę pracy (fabryki, magazyny) głównie przetwarzają dane osobowe pracowników (a nie np. indywidualnych klientów). W takim wypadku może okazać się, że komórka kadrowa znajduje się „w sercu” procesów związanych z przetwarzaniem i ochroną danych osobowych.

Zazwyczaj jednak komórkami organizacyjnymi mającymi z racji swojej specyfiki i zakresu kompetencji wgląd do wszelkich obszarów zarządzanych przez danego administratora danych są te związane z kontrolą i audytem wewnętrznym, obsługą prawną, bezpieczeństwem informacji, Compliance, wdrożonymi normami ISO (np. pełnomocnik ds. ISO).

Komórki te już z racji na sam sposób codziennie realizowanych funkcji, mają realny wpływ na funkcjonowanie pozostałych komórek organizacyjnych (np. poprzez realizację funkcji doradczej, audytowej czy też kontrolnej). Jednocześnie pracownicy w niej zatrudnieni są zazwyczaj bardziej predestynowani do sprawowania funkcji nadzorczych z perspektywy całej organizacji, tak więc już na samym „starcie” mogą wykazywać się lepszymi predyspozycjami do pełnienia funkcji Administratora Bezpieczeństwa Informacji. W takim wypadku istnieje również mniejsze prawdopodobieństwo, iż realizacja ich codziennych obowiązków będzie utrudniała lub wyłączała możliwość realizacji ustawowych zadań ABI (gdyż pod względem sposobu realizacji wiele z tych działań może mieć zbliżony kształt). Ewentualnym czynnikiem, który negatywnie może wpływać na realizację obowiązków ABI, jest realna ilość i czasochłonność realizowanych "innych zadań" (a więc mówiąc wprost brak czasu na realizację obowiązków Administratora Bezpieczeństwa Informacji).

Przykłady stanowisk pracy

Przykłady stanowisk pracy, które mogą dobrze "łączyć się" z realizacją funkcji ABI:

  • audytor wewnętrzny
  • specjalista ds. compliance \ Compliance Officer
  • prawnik \ specjalista ds. prawnych
  • pełnomocnik ds. bezpieczeństwa informacji (w ramach wdrożonych norm z rodziny ISO 27000)
  • pełnomocnik ds. ochrony informacji niejawnych

Uwaga:

w przypadku gdy w konkretnej organizacji powyższe stanowiska funkcjonują w ramach wieloosobowych komórek organizacyjnych, funkcję ABI powinna pełnić osoba która kieruje daną komórką (a nie podległy jej pracownik), która jednocześnie podlega najwyższej kadrze kierowniczej w danym podmiocie (np. zarządowi w przypadku spółki z o.o.).

Związane jest to z wymogiem art. 36a ust. 7 ustawy o ochronie danych osobowych, zgodnie z którym Administrator Bezpieczeństwa Informacji powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej. W przypadku pracowników, którzy w ramach konkretnej komórki organizacyjnej mają jeszcze nad sobą przełożonego (kierownika danej komórki), trudno mówić o faktycznej bezpośredniej podległości takiej osoby wobec najwyższej kadry kierowniczej, która zarządza danym podmiotem (jednostką organizacyjną).

A co z informatykami?

Wyznaczanie do pełnienia funkcji ABI informatyków, w szczególności takich, którzy jednocześnie pełnią funkcję Administratorów Systemów Informatycznych może w praktyce okazać się bardzo kłopotliwe, na co wskazywał wielokrotnie Generalny Inspektor Ochrony Danych Osobowych.

Temat ten jest jednak na tyle skomplikowany i niejednoznaczny, że zostanie mu poświęcony odrębny artykuł.

Zadaj pytanie  lub  Zadzwoń: 600 677 026

Wróć

Do góry