Articolul 32 (1)(d) – revizie

Am mai scris despre subiectul acesta, dar acum prezint perspectiva auditorului.

Am „construit„ un instrument de lucru (să îi spunem „working program„) (acum în Excel, în curînd în SharePoint) care să mă ajute atunci cînd, în cadrul unei misiuni de audit, ajung și la subiectul „protecția datelor personale„. Abordarea folosită este din teorie (COBIT+BMIS+ISO27701+Ghiduri WP29):

  1. Am luat toate articolele GDPR și le-am împărțit în 4 domenii: Identificare date cu caracter personal; Guvernare și management; Protecție; Raportare. Fiecare domeniu are sub-domenii.
  2. Articolele corespunzătoare fiecăruia dintre domenii le-am circumscris apoi, conform BMIS (vezi imaginea), pe 3 „subiecte„: People-Process-Technology (PPT)

3. Dacă avem „procese„ înseamnă că trebuie să avem și roluri („people„) asociate. Din acest motiv am luat în calcul: top-management, CISO, juridic, conformitate, DPO, HR, IT manager, data center manager manageri operaționali (per proces), marketing, persoana împuternicită….(aici m-am folosit de RACI chart din COBIT)

4. Am construit un set de peste 150 de întrebări împărțite pe subdomenii (aici m-am folosit de ISO27701 și WP29). Fiecărei întrebări i-am asociat articolul/articolele/pargraful/litera din GDPR.

5. Pentru fiecare întrebare la care răspunsul este „Nu„ am asociat o recomandare de tip „PPT„ (aici m-am folosit de Ghidurile WP29)

6. În funcție de numărul de răspunsuri „Da„ am asociat un nivel de maturitate al sub-domeniului revizuit: Inițial, Parțial, Optimizat (o adaptare după maturiy/capability level din COBIT)

2 gânduri despre “Articolul 32 (1)(d) – revizie

  1. Felicitări pentru demers! Ar fi de interes o abordare diferențiatoare între aceasta și lucrarea dlui Ploeșteanu – ”Ghid practic pentru conformare cu Regulamentul General privind Protecția Datelor. Instrument de audit”.

    Dacă pentru pct. 5 de mai sus situația este exemplificativă prin mențiunea recomandărilor WP29, pentru pct. 6 ar fi de interes pentru cititor explicarea algoritmului care permite alocarea nivelului de maturitate menționat (transpunerea respectivelor principii din COBIT în această tematică de audit, care ar presupune o aprofundare a anexelor în cauză din cadrul ISO 27701).

    Apreciază

    • Bună Vlad,
      Mulțumesc pentru feedback.
      Nu am citit cartea profesorului Ploeșteanu&co.
      „Algoritmul„ folosit de mine pentru maturitate este simplificat față de COBIT, dar am păstrat logica de acolo.
      Dacă la întrebarea de bază dintr-un domeniu răspunsul este „DA„, atunci maturitatea este „inițială„. Dacă se mai răspunde afirmativ și la (cel puțin una) alte întrebări, atunci este „parțială„ iar dacă se răspunde afirmativ și la ultima întrebare atunci este „optimizată„.
      Lucrînd la transpunerea instrumentului în SharePoint, am ajuns la concluzia că este la fel de bun și pentru Art. 25.
      (cînd va fi finalizat, accesul va fi public în cadrul modulului deja existent acum tot public)

      Apreciază

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.