Esettanulmány címe:
Az ADAPTO Integrált Irányítási Rendszer szerepe egy GDPR projektben, harmonizálva a megfelelőség támogatását az információbiztonsági feladatok megvalósításával
Az esettanulmányban szereplő ügyfél ágazati besorolása:
villamosenergia-, gáz-, gőzellátás, légkondicionálás
Az esettanulmányban szereplő ügyfél piaci bemutatása - ágazat, cégméret, piaci körülmények, erőforrások:
Az esettanulmányban szereplő ügyfél energetikai vállalat, 500+ munkavállalóval, számottevő piaci részesedéssel. A GDPR rendelet, valamint a NIS tv idei hatályba lépése kapcsán kezdetben pánikszerű tanácstalanság, majd a gyors, költségkímélő felkészülés módjának felkutatása jellemezte a kötelezett szervezetet.
Számtalan képzés, felkészítés, iratminta és szoftver vált elérhetővé, melyek közül a szervezet a témában járatlan tanácsadók útmutatása alapján választott „valamit” a GDPR megfelelőség igazolására, és a projekt szigetszerűen, az integrált irányítási rendszerbe semmilyen módon be nem kapcsolva zajlott anélkül, hogy a vezetőség és az információbiztonsági felelős tényleges bevonásra került volna.
A megoldandó üzleti probléma bemutatása:
Az új projekt célkitűzése, hogy támogassa az információbiztonsági feladatok eredményes megvalósítását, kiemelt figyelemmel a GDPR rendeletnek való megfelelésre. A szervezet célkitűzései közé tartozott az is, hogy a versenyképesség növekedését a stratégiai célokba is szereplő a vállalatot fenyegető különféle kockázatok kezelése útján is biztosítsa.
A GDPR rendeletet nem szankció, hanem feladat szemszögből vizsgálva kiderült, hogy lehetőséget ad - az adatáramlás vizsgálata mentén - a vállalati működés megismerésére és optimalizálására, hiszen a személyes adatok kezelésének illeszkednie kell a vállalatok információbiztonsági rendszerébe, még inkább az integrált irányítási rendszerébe. Így a GDPR megfelelés következetes végigvitele modellként szolgálhatna a vállalat többi kockázatának integrált menedzselésére is.
Az alkalmazott megoldás bemutatása és a bevezetést követően elért üzleti előnyök:
Az ADAPTO szoftverben történő folyamatok és adatvagyon felmérésével részlegesen biztosították a GDPR informatikai követelményeinek teljesítését, majd az információbiztonsági kockázatelemzéssel érik el azt, hogy az adatokat megfelelően védjék és igazolni is tudják a kockázattal arányos védelmi intézkedések meglétét.
A GDPR megfelelés érdekében megtett lépések:
• A folyamatirányítási ismeretek figyelembevételével újra felmérték a legfontosabb folyamataikat. (A többi folyamat felmérésére ütemterv készült)
• Feltérképezték a folyamati erőforrásokat, hogy milyen információs rendszerek kezelik a személyes adatokat a felmért folyamatokban.
• Egységes adatvagyont alakítottak ki, amelyben a kockázatirányítási rendszerben már meglévő adatokat megfeleltették a GDPR projektben azonosított adatokkal.
• A kockázatelemzésben a személyes adatok megfelelő védelmét vizsgálták.
• A kockázatkezelés során léptetik életbe azokat a védelmi intézkedéseket, amelyek segítenek megvédeni a személyes adatokat (is).
• Megfelelőségi nyilatkozatot nem készítenek, de az ISO 27001 szerinti járnak el.
További kézzelfogható előnyök is keletkeztek a cégnél:
• A vezetők elköteleződtek a GDPR projekt mellett;
• Az adatvagyon adatkörönkénti feltérképezésével átláthatóvá és könnyen visszakereshetővé vált az adatok áramlása és a folyamatokkal, szerepkörökkel való összefüggése;
• Ismertté és mérhetővé váltak a GDPR vonatkozású kockázatok és bekerültek az összvállalati kockázatkezelés priorizált rendszerébe;
• Nyitottá váltak az integrált irányítási eszköz más területeken történő bevezetésére is;
• Igazolható a jogszabályszerű működésük, ami fontos a cég piaci hírnevének megőrzése és építése szempontjából.
Vissazjelzésük alapján nemcsak azért kiváló eszköz az ADAPTO szoftver, mert a folyamatszabályozást, az adatvagyonfelmérést, a kockázatkezelést és a megfelelőségeket egy GRC keretrendszerben támogatja, hanem azért is, mert az ADAPTO módszertanával a GDPR projektet következetesen végig tudták vinni.
