Views
1 year ago

IT Professional Security - ΤΕΥΧΟΣ 46

Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.

T4608-10.2016 Issue Δράση 7: Έγκριση του Διοικητικού Συμβουλίου. Υποβάλλετε την έκθεση σας στο διοικητικό συμβούλιο της εταιρείας σας με την ανάλυση των στοιχείων που περιλαμβάνει και έναν προϋπολογισμό για τη διαδικασία συμμόρφωσης, για να λάβετε την έγκριση και τα κονδύλια που απαιτούνται για την περαιτέρω ανάπτυξη και τη λειτουργία ενός προγράμματος συμμόρφωσης για την εταιρεία και την πληροφορική. Δράση 8: Υπεύθυνος Κανονιστικής Συμμόρφωσης. Σχεδιάστε και θεσπίστε τα καθήκοντα, τις αρμοδιότητες και το ρόλο του Υπευθύνου Κανονιστικής Συμμόρφωσης (Compliance Officer) και διορίστε ένα πρόσωπο για την εκτέλεση όλων των καθηκόντων της συμμόρφωσης. Επιπλέον, αναθέστε σε ένα άτομο να είναι υπεύθυνο, εάν χρειάζεται, για κάθε ρυθμιστική ή νομική απαίτηση συμμόρφωσης. 3. Συλλέξτε όλα τα στοιχεία που σας αφορούν. Δράση 3: Εσωτερικοί κανόνες. Συλλέξτε όλους τους εσωτερικούς κανόνες, πολιτικές, κανονισμούς και πρότυπα συμμόρφωσης που αφορούν την επιχείρησή σας και για όλες τις λειτουργίες της, συμπεριλαμβανομένης και της πληροφορικής. Δράση 4: Σχεδιασμός εγχειριδίου συμμόρφωσης 1. Σχεδιάστε τις διαδικασίες για την δημιουργία και λειτουργία ενός εγχειρίδιου συμμόρφωσης (Compliance manual) για να διατηρήσετε όλους τους εξωτερικούς και εσωτερικούς κανόνες, οδηγίες, κανονισμούς και πρότυπα συμμόρφωσης που αφορούν την επιχείρησή σας και όλες τις λειτουργίες της, συμπεριλαμβανομένης και της πληροφορικής (από τις προηγούμενες δράσεις). 2. Σχεδιάστε μια βάση δεδομένων ή αποκτήστε ένα μηχανογραφημένο σύστημα για την αποθήκευση και τη διατήρηση όλων αυτών των κανόνων συμμόρφωσης. Δράση 5: Πόροι. Ορίστε τα συστατικά στοιχεία που απαιτούνται από την εταιρεία σας από την άποψη των οικονομικών πόρων, ανθρώπων, δομών διαχείρισης, πολιτικών, συστημάτων, διαδικασιών, τεκμηρίωσης, εγκαταστάσεων, τεχνικών, μεθόδων και εργαλείων που πρέπει να αξιοποιηθούν αποτελεσματικά για την εκτέλεση και εφαρμογή του συνόλου των επιχειρησιακών και πληροφορικών μέτρων συμμόρφωσης. Δράση 6: Ευαισθητοποίηση. Αναλύστε τις πτυχές της επικοινωνίας, της κατάρτισης και της ετοιμότητα της εταιρείας σας όσον αφορά τη συμμόρφωση. Δράση 9: Πολιτικές Συμμόρφωσης Πληροφορικής. Καθιερώστε τις πολιτικές που σχετίζονται με τη συμμόρφωση της πληροφορικής (IT compliance), για την προστασία των δεδομένων, το απόρρητο των δεδομένων, κ.λπ. Ένα ενδεικτικό σύνολο πολιτικών είναι: 1. Πολιτική Προστασίας Προσωπικών Δεδομένων, 2. Πολιτική Κανονιστικής Συμμόρφωσης, 3. Πολιτική Διαβάθμισης Πληροφοριών, 4. Οδηγίες για την ασφάλεια και διαφύλαξη εμπιστευτικών πληροφοριών, 5. Κανόνες Ασφάλειας Πληροφοριακών Συστημάτων και 6. Πολιτική Απόσυρσης Πληροφοριακών Αγαθών. Δράση 10: Σύστημα Συμμόρφωσης 1. Δημιουργήστε και καθιερώστε ένα σύστημα συμμόρφωσης που περιλαμβάνει το εγχειρίδιο συμμόρφωσης (Compliance manual), που έχετε σχεδιάσει στην Δράση 4, και όλους τους εξωτερικούς και εσωτερικούς κανόνες, οδηγίες, κανονισμούς και πρότυπα συμμόρφωσης που αφορούν την επιχείρησή σας και όλες τις λειτουργίες της, συμπεριλαμβανομένης και της πληροφορικής (από τις προηγούμενες δράσεις). 2. Κρατήστε αυτό το σύστημα ενήμερο ανά πάσα στιγμή. 3. Προσθέστε στοιχεία στην βάση δεδομένων), που έχετε σχεδιάσει στην Δράση 4, ή φορτώστε τα απαραίτητα στοιχεία στο μηχανογραφημένο σύστημα (που έχετε σχεδιάσει στην Δράση 4) για την αποθήκευση και τη διατήρηση όλων αυτών των κανόνων συμμόρφωσης. 4. Το σύστημα αυτό διατηρείται κανονικά και διαχειρίζεται από τον υπεύθυνο συμμόρφωσης, και θα περιλαμβάνει, για παράδειγμα: (1) Αντίγραφα όλων των εθνικών νόμων, νομικά και βιο- 38 security

IT Compliance - Ανάλυση και υλοποίηση της Συμμόρφωσης Πληροφορικής στις εταιρείες μηχανικά κανονισμούς και αποφάσεις σχετικά με τη συμμόρφωση, (2) Αντίγραφα όλων των σχετικών εταιρικών πολιτικών και διαδικασιών συμμόρφωσης, όπως: τον Κώδικα Δεοντολογίας, τις οδηγίες συμμόρφωσης προς τους εργαζομένους, τις δηλώσεις σύγκρουσης ενδιαφέροντος, τις δηλώσεις κανονιστικής συμμόρφωσης, το πρόγραμμα συμμόρφωσης, την τεκμηρίωση της διαδικασίας συμμόρφωσης της οργάνωσης που καταδεικνύει την ακεραιότητα και την αποτελεσματικότητά της, κ.λπ., (3) Τις επικοινωνίες, όπως αλληλογραφία, μηνύματα φαξ, μηνύματα ηλεκτρονικού ταχυδρομείου, τα πρακτικά του διοικητικού συμβουλίου σχετικά με θέματα συμμόρφωσης, κ.λπ., (4) Τις ενέργειες συμμόρφωσης που σχετίζονται με την εκπαίδευση, την κατάρτιση, τα περιστατικά και τις ενέργειες επίλυσης, (5) Τα τιμολόγια και αξιώσεις των εργαζομένων από το πρόγραμμα υγειονομικής περίθαλψης, αν δεν συντηρείται από το σύστημα αρχείων των επιχειρήσεων, (6) Τα δεδομένα ελέγχου για την υποστήριξη και την επεξήγηση των εκθέσεων του κόστους, των λοιπών χρηματοπιστωτικών δραστηριοτήτων, καθώς και την παρακολούθηση της συμμόρφωσης, τόσο της εσωτερικής όσο και της εξωτερικής, και (7) Τις δράσεις παρακολούθησης των εκθέσεων συμμόρφωσης. Φάση Β: Δράσεις Εφαρμογής Συμμόρφωσης Δράση 1: Οργάνωση διεύθυνσης κανονιστικής συμμόρφωσης 1. Οργανώστε και στελεχώστε την διεύθυνση κανονιστικής συμμόρφωσης και περιγράψτε τις εργασίες. 2. Στις κύριες αρμοδιότητες της Διευθύνσεως περιλαμβάνονται: 2.1. Ο προγραμματισμός και η διαχείριση της κανονιστικής συμμορφώσεως και η παρακολούθηση εφαρμογής του κανονιστικού πλαισίου. 2.2. Η εκπροσώπηση της εταιρείας ενώπιον των εποπτικών και λοιπών Αρχών και η επικοινωνία με αυτές. 2.3. Η πρόληψη και καταστολή νομιμοποιήσεως εσόδων από παράνομες δραστηριότητες. 2.4. Η διαφύλαξη του απορρήτου. 2.5. Η πρόληψη και καταστολή της απάτης. 3. Η Διεύθυνση Κανονιστικής Συμμορφώσεως είναι διοικητικά ανεξάρτητη και έχει τη δυνατότητα απρόσκοπτης προσβάσεως σε όλα τα στοιχεία και τις πληροφορίες που είναι απαραίτητα για την εκπλήρωση της αποστολής της. 4. Εκπονεί ετήσιο Πρόγραμμα Κανονιστικής Συμμορφώσεως, σύμφωνα με το ισχύον ρυθμιστικό πλαίσιο, καθώς και το πλαίσιο πολιτικής και διαδικασιών Κανονιστικής Συμμορφώσεως της εταιρείας, ενώ συντάσσει ετήσιο προϋπολογισμό, ο οποίος εγκρίνεται από τη Γενική Διεύθυνση, στο πλαίσιο της οικονομικής ανεξαρτησίας της. 5. Συνεργάζεται, μεταξύ άλλων, με τις Διευθύνσεις Εσωτερικού Ελέγχου, Νομικών Υπηρεσιών, Κινδύνων Αγοράς και Λειτουργικών Κινδύνων, για την από κοινού αντιμετώπιση θεμάτων τηρήσεως του κανονιστικού πλαισίου, καθώς και με τις κατά περίπτωση καθ’ ύλην αρμόδιες Διευθύνσεις της εταιρείας’. Δράση 2α: Υλοποίηση διαδικασιών εταιρικής συμμόρφωσης 1. Υλοποιήστε τις εταιρικές δράσεις συμμόρφωσης (βλέπε δράση 4 και δράση 10: Σύστημα Συμμόρφωσης, στην προηγούμενη ενότητα). 2. Υλοποιήστε τις δράσεις εταιρικής συμμόρφωσης, όπως: Τον Κώδικα Ηθικής Συμπεριφοράς, που εφαρμόζεται από όλο το προσωπικό και τα στελέχη της επιχείρησης και της πληροφορικής και που στηρίζεται σε κοινά αποδεκτές αρχές και κώδικες δεοντολογίας, όπως είναι ενδεικτικά η επιμέλεια, η αποτελεσματικότητα, η υπευθυνότητα, η ευπρέπεια στις σχέσεις με το κοινό, η μη αίτηση ή αποδοχή ασυνήθους αξίας ωφελημάτων ή δώρων και η τήρηση επαγγελματικού απορρήτου. 3. Εκτελέστε την εκπαίδευση για όλα τα θέματα συμμόρφωσης σε όλο το προσωπικό της εταιρείας σας. Δράση 2β: Υλοποίηση διαδικασιών συμμόρφωσης πληροφορικής 1. Αναθέστε τα καθήκοντα του υπεύθυνου επεξεργασίας σε ένα εγκεκριμένο στέλεχος της εταιρείας. Ο υπεύθυνος επεξεργασίας οφείλει να τηρεί τις διατάξεις του Ν. 2472/1997 (και 3471/2006 για τις ηλεκτρονικές επικοινωνίες) και ειδικότερα: 1.1. Να συλλέγει τα προσωπικά δεδομένα κατά τρόπο θεμιτό και νόμιμο. 1.2. Να επεξεργάζεται τα απαραίτητα μόνο προσωπικά δεδομένα για τους σκοπούς που έχει γνωστοποιήσει. 1.3. Να φροντίζει τα δεδομένα να είναι ακριβή και ενημερωμένα. 1.4. Να διατηρεί τα δεδομένα μόνο για τη χρονική διάρκεια που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. security 39