Program: |
Rámcový obsah „teoretické“ části semináře:
Úvodní představení účastníků, jejich předpokládaná role v problematice GDPR na městském úřadu a co očekávají od semináře
Představení lektora a programu semináře
Vymezení ochrany osobních údajů v informační a kybernetické bezpečnosti
Obecné nařízení o ochraně osobních údajů (Nařízení EU č. 2016/679) a související předpisy, zejména porovnání povinností dle zákona 101/2000 Sb. a Nařízení GDPR;
Základní přehled norem ISO 27k ve vztahu k řízení bezpečnosti informačních systémů veřejné správy
Jak se připravit na GDPR procesně a technicky
-
Jak postupovat při analýze současného stavu správy, zpracování, nakládání s osobními údaji
-
Analýza rizik jako nástroj informační bezpečnosti:
-
Úvod do problematiky provádění analýzy rizik, vysvětlení její podstaty a jejího postavení v systému řízení informační bezpečnosti.
-
Vysvětlení základních pojmů „aktivum, hodnota aktiva, hrozba, zranitelnost, riziko, protiopatření“ a jejich vzájemných vazeb.
-
Přehled základních technik pro provádění analýzy rizik (metoda kvantitativní a kvalitativní) a způsobu získávání vstupních informací.
-
Přehled základních bezpečnostních rizik (hrozby, zranitelnosti a protiopatření)
-
Základní přehled bezpečnostních rizik od banálních až po sofistikované hrozby a z nich plynoucí rizika
-
Dopady jednotlivých rizik na aktiva z hlediska jednotlivých atributů bezpečnosti (důvěrnost, dostupnost, integrita) a popis základních protiopatření s komentářem k jejich účinnosti.
-
Zranitelnost mobilních zařízení a aktuální bezpečnostní hrozby.
-
Bezpečnostní politika úřadu
-
Návrh základní struktury dokumentů bezpečnostní politiky úřadu, reflektující informace získané z předcházejících modulů, v souladu koncepcí ISMS dle normy ISO 27k ve vztahu k řízení bezpečnosti informačních systémů veřejné správy
-
Jednotlivé oblasti bezpečnostní politiky a „best practises“ při její tvorbě.
-
Nová vnitřní směrnice organizace v návaznosti na účinnost GDPR.
-
Organizační opatření: praktická účinnost a vymahatelnost.
-
Shrnutí a dotazy
Rámcový obsah praktické části semináře - workshopu:
-
Informace z měst o způsobu zavedení GDPR na úřadě (vlastními silami, externě) včetně úlohy IA
-
Informace o současném stavu prací - praktická ukázky výstupů, formuláře …
-
Informace u Tábora, jak pokračuje pilotní projekt MV ČR analýzy rizik v jejich městě
-
Přehled dostupných metodik, stanovisek MV ČR, ÚOOÚ, MŠMT, MZ
-
S využitím popisu procesů na jednotlivých odborech MěÚ navrhujeme kolektivně zpracovat (a dle doporučení z národní konference v Brně sumarizovat) vzorové analýzy rizik pro procesy:
-
ve státní správě řešené v:
-
Registrech, v centrálních SW ministerstev
-
našich SW (Vita, Gordic, Vema, atd.) + SSL
-
v listinné podobě (matrika) + SSL
-
Útvar krizového řízení
-
odbor sociálních věcí: nezletilí, narkomani – citlivé údaje
-
naše SW (v Říčanech TAS)
-
operativní evidence typu excel vedené pomocně zaměstnanci (excel tabulka v uzavírání řádných smluv ke smlouvám budoucím, smlouvy k budoucí kanalizaci s přípojkám)
-
listinné podklady (právní odbor příruční vlastní kartotéka rozpracovaných případů - soudní spory, dohody o narovnání)
-
dopravní přestupky: radary – automatizované zpracování OÚ
-
správa bytového fondu
-
Městská policie: kamery, radary, pokutové bloky a jejich režim
-
Útvar krizového řízení
-
uzavírání smluv (nákup / prodej / nájem majetku se subjekty údajů)
-
účetní SW
-
spisovka
-
personální a mzdová agenda
-
režim flash disků: jak zabránit úniku dat, logování do programů
-
smart city: hlášení závad, „Řídím Říčany“
-
zveřejňování fotek na webu města
-
GPS v autech
-
služební telefony
|