facebook

Bezpieczeństwo w aspekcie zarządzania zasobami ludzkimi Drukuj

Jak bezpiecznie zarządzać zasobami ludzkimi?

Wprowadzenie
Zwiń

Wszelkie źródła ,metodyki, badania naukowe zajmujące się analizą zagrożeń czy nawet analizy ankiet wskazują, iż największym zagrożeniem dla wszelakich systemów (informacyjnych czy też informatycznych) jest człowiek.

Biorąc pod uwagę firmy czy organizacje zwykle największy procent przerw w działaniu jakichkolwiek usług wiąże się z zasobami ludzkimi. Konkretnie zauważyć tu można podział wynikający z popełnianych (w tym przypadkowych) błędów, braku dostatecznej wiedzy, bazowania w decydującym stopniu na rutynie, podatności na socjotechnikę ale też chciwość, zazdrość czy celowe działania destrukcyjne.

Wiele lat już minęło od bardzo aktualnych słów Alberta Einstein’a „Dwie rzeczy są nieskończone - Wszechświat i głupota ludzka. Co do tej pierwszej istnieją jeszcze wątpliwości.” Dlatego też obecnie niezaprzeczalnym staje się fakt, iż szczególną wagę należy poświęcić pracownikom.

Oprócz wymagań prawnych wynikających z Kodeksu Pracy bardzo ważne od strony pracodawcy jest zabezpieczenie interesów własnych względem ryzyka jakie nastaje w momencie rozbudowywania własnych zasobów ludzkich.

Aby minimalizować te ryzyka trzeba pamiętać, że nasze zabezpieczenia musimy implementować na każdym obszarze funkcjonowania pracownika w firmie czy organizacji. Takie właśnie spojrzenie prezentują wszelkie najlepsze praktyki wynikające z metodyk zarządzania czy też norm międzynarodowych.

Definicje
Rozwiń
Schemat postępowania
Zwiń

Krok 1. Postępowanie rekrutacyjne

Postępowanie rekrutacyjne winno odbywać się zgodnie z obowiązującym prawem, regulacjami wewnętrznymi regulującymi zasady i tryb zatrudniania pracowników. Zasady te powinny być jawne.

Wszelkie dokumenty powinny być potwierdzone za zgodność z oryginałami jednakże należy dotrzymać szczególnej ostrożności (mając na myśli wszelkie regulacje wynikające z Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) w momencie zbierania danych sensytywnych a przede wszystkim w przypadku tworzenia zbiorów tych danych (np. poprzez powielanie i przechowywanie).

Kandydat do pracy w składa oświadczenie o korzystaniu z pełni praw publicznych oraz winien przedłożyć oświadczenie niekaralności za przestępstwo popełnione umyślnie.

W przypadku gdy postępowanie dotyczy szczególnie wrażliwych stanowisk należy rozważyć wymaganie posiadania Poświadczenia bezpieczeństwa.

Krok 2. Rekrutacja

W przypadku rekrutacji na stanowiska szczególnie wrażliwe dla danej firmy czy organizacji należy rozważyć umieszczenie w komisji rekrutacyjnej CSO.

Krok 3. Rozpoczęcie pracy

Warunki przystąpienia do pracy, w zależności od zakresu obowiązków, uwzględniają następujące aspekty bezpieczeństwa:

- przeprowadzenie szkolenia podstawowego - przeszkolenie pracownika w zakresie tematycznym wynikającym z obowiązków i odpowiedzialności na zajmowanym stanowisku. Szkolenie to prowadzone jest przez pracownika komórki ds. kadrowych lub bezpośredniego przełożonego.

- przeprowadzenie szkolenia z zakresu ochrony danych osobowych, informacji wrażliwych, bezpieczeństwa informacji. Szkolenie to prowadzi CSO lub osoba przez niego delegowana do tego typu zajęć.

Szkolenia przeprowadzane są przed uzyskaniem dostępu do zasobów informacyjnych firmy czy organizacji.

Po odbyciu szkoleń pracownik składa pracodawcy:

- oświadczenie pracownika o zapoznaniu się z odpowiednimi regulaminami, procedurami, zarządzeniami w sprawie bezpieczeństwa informacji. Oświadczenie przyjmuje pracownik komórki ds. kadrowych i przechowuje w teczce akt osobowych pracownika,

- zobowiązanie pracownika do zachowania w poufności informacji prawnie chronionych, również poza siedzibą firmy czy organizacji oraz godzinami pracy a także po ustaniu zatrudnienia bądź zakończeniu wykonywania usług na rzecz firmy czy organizacji.

Administrator Danych wystawia dla każdego pracownika mającego styczność w swojej pracy z danymi osobowymi upoważnienie do przetwarzania danych osobowych.

W przypadku potrzeby dostępu do systemów informatycznych, bezpośredni przełożony wnioskuje o nadanie odpowiednich uprawnień względem danego pracownika zgodnie z regulacjami wewnętrznymi w zakresie zarządzania kontrolą dostępu do systemów teleinformatycznych firmy/instytucji.

Krok 4. Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji w okresie normalnej pracy

Bezpośredni przełożony jest odpowiedzialny za prowadzenie bieżącej kontroli szkoleń i przestrzegania zasad bezpieczeństwa przez podległych pracowników (np. zasad ewakuacji, miejsca zbiórki po ewakuacji itp.).

CSO jest obowiązany do rozpoznawania potrzeb, koordynowania i przygotowywania planów szkoleń z różnych obszarów bezpieczeństwa informacji dla różnych grup odbiorców.

Okresowo szkolenia są powtarzane, ze szczególnym uwzględnieniem:
- zmian przepisów prawa,
- zmian wewnętrznych uregulowań,
- podnoszenia świadomości z zakresu bezpieczeństwa informacji.

Uczestnictwo w szkoleniach z zakresu bezpieczeństwa informacji jest obowiązkowe i dokumentowane.

Krok 5. Proces zmiany uprawnień lub przeniesienia pracownika wewnątrz firmy czy instytucji

Bezpośredni przełożony każdorazowo informuje wszystkich interesariuszy o zmianie komórki/jednostki zatrudnienia przez pracownika (data przeniesienia, nazwa komórki/jednostki, do której zostaje przeniesiony pracownik) oraz wnioskuje do Administratora Systemu o zablokowanie dostępu do systemu i aplikacji nadanych na dotychczasowym stanowisku pracy zgodnie z procedurą.

Komórka ds. kadrowych modyfikuje (jeśli zachodzi taka potrzeba) Upoważnienie do przetwarzania danych osobowych dla danego pracownika.

W związku ze zmianą komórki / jednostki zatrudnienia pracownik jest zobowiązany do rozliczenia się z pracodawcą poprzez uzyskanie odpowiednich wpisów na karcie obiegowej.

Kierujący komórką organizacyjną, do której pracownik został przeniesiony, wnioskuje do Administratora Systemu o przyznanie uprawnień dostępu do systemu i aplikacji, do których pracownik powinien mieć przyznany dostęp zgodnie z nowym zakresem obowiązków.

CSO aktualizuje prowadzone przez siebie rejestry (np. rejestr osób upoważnionych do pobierania kluczy do danych pomieszczeń).

Administrator Systemu modyfikuje macierz uprawnień dostępu do systemów teleinformatycznych dla danego pracownika i przekazuje powyższą macierz do CSO.

Krok 6. Zakończenie zatrudnienia

Bezpośredni przełożony bezzwłocznie informuje wszystkich interesariuszy o terminie rozwiązania stosunku pracy z podległym mu pracownikiem oraz zgodnie ze zdefiniowanymi regulacjami w zakresie zarządzania kontrolą dostępu wnioskuje do Administratora Systemu i CSO o konieczności odebrania wszystkich uprawnień dostępu przyznanych pracownikowi na zajmowanym stanowisku.

Administrator Systemu i CSO blokują dostęp do odpowiednich systemów /aplikacji /zasobów /pomieszczeń zgodnie z informacjami, o których mowa w ust. 6.1.

Pracownik zobowiązany jest do rozliczenia się przed bezpośrednim przełożonym z prowadzonych przez siebie spraw i pism, nad którymi pracował.

Pracownik jest zobowiązany do zwrotu powierzonego mu mienia w momencie zakończenia stosunku pracy i uzyskania stosownego potwierdzenia tego faktu. Potwierdzeniem rozliczenia się z daną komórką organizacyjną jest złożenie podpisu przez kierującego tą komórką na karcie obiegowej.

Kartę obiegową dołącza się do akt osobowych pracownika.

Autor
Rozwiń
Załączniki
Rozwiń