РАЗРАБОТВАНЕ И ВНЕДРЯВАНЕ НА СИСТЕМИ ЗА УПРАВЛЕНИЕ И GDPR

Услугата по разработване и внедряване на системи за управление, включва внедряване на системи за управление  на качеството според изискванията на  международния стандарт ISO 9001, провеждане на семинари и специализирани фирмени обучения по изискванията на евро стандартите и Европейското техническо законодателство, квалификационни обучения по качеството и вътрешни одитори на системите за управление.

"Профи Трейд" ЕООД предлага разработване и внедряване на системи за управление на околната среда по изискванията на международния стандарт ISO 14001, здравето и безопасността при работа по OHSAS 18001, управление безопасността на храните по ISO 22000, както и система за управление на информационната сигурност по ISO 27001 и социалната отговорност по SA 8000.

Предлагаме консултации по следните международно признати стандарти:

  • Стандарти за качество: ISO 9001, ISO/IEC 20000-1, EN 15038:2006, IATF 16949:2016, TL 9000, ISO 13485, ISO/TR 14969:2004, ISO 15001, ISO 15189, ISO 22716
  • Стандарти за околна среда: ISO 14001, EMAS, ISO 50001
  • Стандарти за безопасност: BS OHSAS 18001, ISO 22000, FSSC 22000, HACCP, IFS, BRC, Global gap
  • Стандарти за сигурност: ISO/IEC 27001, ISO 28000, ISO 31000, ISO 22301:2012, ISO 18788:2015
  • Стандарти за социална отговорност: SA 8000 / ISO 26000
  • Интегрирани системи на основата на избрани стандарти.

 

 

 

КОНСУЛТИРАНЕ И ВНЕДРЯВАНЕ НА GDPR

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година

относно защитата на физическите лица във връзка с обработването на лични данни и относно

свободното движение на такива данни (GENERAL DATA PROTECTION REGULATION)

 ЗАЯВИ КОНСУЛТАЦИЯ


 

КОНСУЛТИРАНЕТО ПО GDРR ИЗИСКВАНИЯТА МОГАТ УСЛОВНО ДА БЪДАТ РАЗДЕЛЕНИ НА СЛЕДНИТЕ ЕТАПИ:

- GAP анализ и оценка на текущото ниво на съответствие;

- Изготвяне на правила и процедури за изпълнение на изискванията на GDРR;

- Съдействие при внедряване на правилата и процедурите за изпълнение на изискванията на GDРR и привеждане в пълно съответствие с регламента;

- Наблюдение и мониторинг на съответствието на GDРR.

 

GAP анализ:

По време на GAР анализa се извършва оценка на текущото ниво на съответствие на процесите в организацията към изискванията на GDРR. Нашите консултанти участват както в извършването на оценка на действащите процеси, свързани с обработка и администриране на лични данни на физически лица, така и на извършваната обработка на такива данни с помощта на ИТ средства. Критериите за оценка са както изискванията на РЕГЛАМЕНТ (ЕС) 2016/679, така и използването на контролни механизмии добри практики, заложени в ISO 27001 и ISO 27002. GAP анализа цели да се установи дали възприетите практики и използваните ИТ средства осигуряват правото на собствениците на личните данни да:

- Получават навременна информация относно използването на данните;

- Преглеждат и коригират личните си данни;

- Получават правото да бъдат "забравени" (изтриват личните си данни от регистър/система/архив и т.н.);

- Ограничават обработката на личните си данни;

- Бъдат уведомявани при компрометиране (нерегламентиран достъп, използване, променяне или изтриване) на личните им данни или ограничаване на тяхното обработване;

- Изискват пренасяне на данните си към друг администратор на лични данни - Възразяват при несъгласие с начина на обработка/използване на техните данни;

- Могат да спрат вземането на решения, основаващи се единствено на автоматизирано обработване, включващо профилиране.

 

Конкретните анализи и оценки, които се извършват са преди всичко в областта на:

- Организацията и отчетността при обработката и използването на лични данни;

- Степента на централизация на защитата на данни;

- Нивата на защита на данните;

- Нивото на съгласуваност на данните;

- Правата при управление на данните;

- Механизмите за известяване при компрометиране на данните;

- Действията при международни трансфери на данни;

- Ролите и отговорностите по защита на данните;

- Общото ниво на съответствие с GDРR.

 

Подготовка на правила и процедури относно изпълнението на изискванията на GDPR.

На база на извършения GAP анализ, консултантският екип:

- Предлага необходимите промени в бизнес процесите, свързани със събиране и обработка на лични данни;

- Предлага необходимите промени в ИТ средата (мрежи, системи, бази данни и т.н.) за обработка

на данни;

- Предлага подходящи контролни механизми при работа с данните;

- Разработва необходимия набор от правила и процедури в съответствие с GDРR, които да бъдат внедрени в организацията;

- Разработва механизми за отчетност и известяване.

При разработване на правилата и процедурите се спазват изискванията на РЕГЛАМЕНТ (ЕС) 2016/679, както и добри практики, залегнали в ISO 27001 и ISO 27002.

Съдействие при внедряване на правилата и процедурите за изпълнение на изискванията

на GDРR и привеждане в пълно съответствие с регламента:

По време на внедряване на правилата и процедурите за изпълнение на изискванията на GDPR, консултантите извършват:

- Обучение – на ключови служители, ангажирани с процеса на внедряване и изпълнение на новите изисквания;

- Консултиране – помощ при внедряване на новите/променени бизнес процеси, вътрешните контроли, организацията на работа и отчетност;

На този етап участието на консултанта може да намали чувствително вложените усилия, да повиши нивото на разбиране и прилагане и да съкрати времето за изпълнение, както и да даде реална предварителна оценка на резултатите от завършения процес по внедряване на GDPR.

Наблюдение и мониторинг на съответствието на GDPR

Успешното внедряване на изискванията на GDPR може да бъде установено чрез провеждането на вътрешен одит на бизнес процесите, свързани с обработка и администриране на лични данни. Одитът се провежда на извадков принцип, като се проследява целия жизнен цикъл на произволно избрани лични данни.

Гаранция за успешното поддържане на изискванията е внедряването на процедура за постоянен мониторинг и наблюдение на процесите по управление на личните данни. В рамките на годишната програма за одити трябва да се добавят дейности по анализ и оценка на дизайна и изпълнението на всички дейности и контролни механизми, свързани с поддържането на GDPR. В зависимост от дейността и структурата на организацията, при планиране на одита се обхващат в една или друга степен следните области:

- Лични данни – идентификация, поверителност, собственици, покритие;

- Характер и обхват на дейността – администратор, териториални единици;

- Законово основание за администриране на лични данни – обем, характер;

- Прозрачност на процеса по обработка и администриране;

- Ниво на защита на данните и отчетност;

- Спазване на правата на собственика на лични данни;

- Ниво на сигурност на данните;

- Мониторинг и реакция при пробив (изтичане, промяна, изтриване) на данни;

- Практики при международен трансфер на данни извън ЕС;

- Използване на подизпълнители при администрирането.

 

СИСТЕМИ ЗА УПРАВЛЕНИЕ НА СИГУРНОСТТА НА ИНФОРМАЦИЯТА

Системата за управление на сигурността на информацията (ISMS) е подход за управление на чувствителната за организацията информация по начин, който гарантира запазването на нейната сигурност. Тази информация може да бъде фирмена - ноу-хау, лични данни, както и собственост на клиента.

Международният стандарт ISO 27001 поставя изисквания към Системите за управление на сигурността на информацията (ISMS).

ISO 27001 е приложим за всякакви видове организации: търговски, нетърговски, правителствени и неправителствени.

Предимствата от внедряването на Система за управление на информационната сигурност:

- определяне на изискванията и целите на сигурност;

- гарантиране, че организациите изпълняват законодателството и други регулативни изисквания;

- гарантиране, че информационният риск се управлява ефективно, от гледна точка на средства;

- определяне на нови процеси за управление на информационната сигурност;

- оценяване на съществуващите процеси за управление на информационната сигурност;

- установяване на съответствие от вътрешни и външни одитори в организациите с политиките, нормативната уредба и приложимите стандарти;

- предоставяне на клиентите на съответната информация за информационната сигурност.

 

За да съхрани информацията си, организацията трябва да предприеме следните стъпки:

- дефинира политика по информационната сигурност;

- да идентифицира и оцени рисковете за сигурността;

- да определи и внедри подходящи контроли за сигурността на информацията.

 

Стандарт ISO 27001 изисква стриктно спазване на съответните законови, подзаконови и договорни задължения свързани със сигурността на информацията, оптимизирано използване на наличните ресурси, както и периодични вътрешни проверки на системата с цел непрекъснато усъвършенстване.

 

ЗАЯВИ КОНСУЛТАЦИЯ

 

Новини