Lista kontrolna zgodności z RODO dla sprzętu i systemów IT

Lista kontrola do weryfikacji zgodności z RODO sprzętu i systemów IT

Poniższa lista kontrola ma pomóc ocenić zgodność zastosowanych środków ochrony oraz wykorzystywanych narzędzi przetwarzania z przepisami RODO¹

1. Zabezpieczenie ogólne

Dyski stacji roboczych są szyfrowane

Jest prowadzona ewidencja sprzętu

Jest prowadzona ewidencja oprogramowania

Przypisano sprzęt do poszczególnych użytkowników

Nowe urządzenie jest wydawane w uzgodnionej i udokumentowanej konfiguracji

Użytkownicy mają ograniczone uprawnienia do systemu operacyjnego

Użytkownicy są szkoleni z zasad bezpiecznego korzystania sprzętu

Na wszystkich stacjach roboczych zapewniono oprogramowanie antywirusowe

System operacyjny stacji roboczych oraz ich oprogramowanie aktualizuje się automatycznie (dotyczy też wszystkich przeglądarek)

Jest na bieżąco aktualizowane oprogramowanie serwerów

Oprogramowanie innych elementów infrastruktury IT (switche, routery, itp.) jest aktualizowane regularnie

Dostęp do firmowej sieci wymaga uwierzytelnienia

Zapewniono bezpieczne połączenie w pracy zdalnej

Użytkownicy korzystają z firmowego sprzętu

W przypadku zgody na korzystanie z prywatnego sprzętu, podlega on weryfikacji pod względem zabezpieczeń przez dział IT

Zapewniono możliwość ciągłości działania w przypadku awarii urządzenia, zaszyfrowania serwerów, itp.

Jest udokumentowana konfiguracja sieci i urządzeń (na potrzeby szybkiego odtworzenia)

Wszyscy dostawcy usług IT, zostali zweryfikowani

Dostawcy usług IT są nadzorowani i mają ograniczony dostęp do firmowej infrastruktury

Jest przeprowadzana i uwzględniana analiza ryzyka dla bezpieczeństwa IT

Jest prowadzona ewidencja incydentów IT

Nie ma możliwości korzystania z nieautoryzowanych nośników zewnętrznych (np. pendrive, dysk zewnętrzny)

Autoryzowane nośniki zewnętrzne są zaszyfrowane

2. Zabezpieczenia w systemie Microsoft Exchange (np. poczta e-mail)

Konta użytkownika są tworzone na udokumentowane polecenie, zgodnie z obowiązującą procedurą

Uprawnienia są nadawane, zgodnie z zakresem obowiązków

Konto użytkownika uprzywilejowanego jest tworzone na wyraźne polecenie kierownictwa

Uprawnienia użytkowników podlegają okresowym przeglądom nie rzadziej niż raz na kwartał (np. kwartał)

Użytkownicy pracują na indywidualnych kontach (rozliczalność działań)

Każdy uprzywilejowany użytkownik ma swój indywidualny identyfikator

Użytkownik korzysta z hasła, które ma co najmniej 12 znaków, duże i małe litery, cyfry i znaki specjalne (12 znaków, duże i małe litery, cyfry i znaki specjalne)

Administrator korzysta z hasła, które ma co najmniej 16 znaków, duże i małe litery, cyfry i znaki specjalne (16 znaków, duże i małe litery, cyfry i znaki specjalne)

Dane w systemie są zabezpieczone przed nieuprawnionym dostępem

Dane przesyłane z systemu są zabezpieczone przed „podsłuchaniem” przez szyfrowanie

System odnotowuje działania użytkowników

Zapewniono ciągłość działania systemu w przypadku katastrofy

Z systemu są tworzone kopie zapasowe

Kopie zapasowe są regularnie testowane

Dostęp do systemu przez zewnętrznych serwisantów jest nadzorowany

System umożliwia wygenerowanie kopii danych konkretnej osoby, które są w nim przechowywane

System umożliwia usunięcie danych konkretnej osoby, które są w nim przechowywane

System umożliwia wygenerowanie danych konkretnej osoby, w formie pliku elektronicznego, który można zaimportować do innego systemu (XML, CSV, itp.)

System umożliwia ograniczenie przetwarzania danych, konkretnej osoby w przypadku zgłoszenia przez nią zastrzeżeń

System umożliwia poprawienie / edycję danych konkretnej osoby

3. Zabezpieczenia w systemie Symfonia Kadry i Płace (np. kadrowo-płacowy)

Konta użytkownika są tworzone na udokumentowane polecenie, zgodnie z obowiązującą procedurą

Uprawnienia są nadawane, zgodnie z zakresem obowiązków

Konto użytkownika uprzywilejowanego jest tworzone na wyraźne polecenie kierownictwa

Uprawnienia użytkowników podlegają okresowym przeglądom nie rzadziej niż raz na pół roku (np. kwartał)

Użytkownicy pracują na indywidualnych kontach (rozliczalność działań)

Każdy uprzywilejowany użytkownik ma swój indywidualny identyfikator

Użytkownik korzysta z hasła, które ma co najmniej 12 znaków, duże i małe litery, cyfry i znaki specjalne (12 znaków, duże i małe litery, cyfry i znaki specjalne)

Administrator korzysta z hasła, które ma co najmniej 16 znaków, duże i małe litery, cyfry i znaki specjalne (16 znaków, duże i małe litery, cyfry i znaki specjalne)

Dane w systemie są zabezpieczone przed nieuprawnionym dostępem

Dane przesyłane z systemu są zabezpieczone przed „podsłuchaniem” przez szyfrowanie

System odnotowuje działania użytkowników

Zapewniono ciągłość działania systemu w przypadku katastrofy

Z systemu są tworzone kopie zapasowe

Kopie zapasowe są regularnie testowane

Dostęp do systemu przez zewnętrznych serwisantów jest nadzorowany

System umożliwia wygenerowanie kopii danych konkretnej osoby, które są w nim przechowywane

System umożliwia usunięcie danych konkretnej osoby, które są w nim przechowywane

System umożliwia wygenerowanie danych konkretnej osoby, w formie pliku elektronicznego, który można zaimportować do innego systemu (XML, CSV, itp.)

System umożliwia ograniczenie przetwarzania danych, konkretnej osoby w przypadku zgłoszenia przez nią zastrzeżeń

System umożliwia poprawienie / edycję danych konkretnej osoby

Data i podpis: 2023-10-27

¹ Należy mieć na uwadze, że jest to lista wymagań wynikających z przepisów RODO, jednakże mogą być zalecane wyższe standardy (np. zgodne z normą ISO27001)