a tré azért ahhoz eléggé jól van összerakva, hogyha valamiért felelős a vezérigazgató, akkor ott meg legyen oldva a mezei melós felelőssége is. ez úgy néz ki a gyakorlatban, hogy más a felelősségük: a vezérnek az a felelőssége, hogy legyen pénz meg támogatás (itt nem külsős cégre gondolok, hanem a vállalati támogatás azt is jelenti, hogyha az it kigondol valamit, egy eljárást, egy szabályzatot, akkor azt a vezér kiadja utasításba), a középvezetőnek az, hogy legyen szabályozás, a beosztottnak meg az, hogy végrehajtsa. a dokumentumok rendszere zárt rendszert kell alkosson, erre megvannak a különböző szabványok és kváziszabványok. hogy a cég helyesen járt-e el adatvédelem terén, azt nem túl bonyolultan auditálni lehet. ilyenkor végignézik az adatvédelemmel kapcsolatos papírokat és meg lehet állapítani, hogy ki/kik hibázott/hibáztak. aki hibázott, azon leverik.
a vállalati utasítás meg a törvényi szabályozás szinte biztosan nem ellentétes, mert a törvény nem olyan mélységben és nem azokról a témákról szól, amiről a vállalati utasítás. a törvény nem mond olyat, amit egy melós meg tud szegni úgy, hogy a vállalati utasításnak közben megfelel. A gdpr például azt mondja, hogy a tudomány aktuális állása szerinti dolgokat meg kell tenned, ha a cégre azok alkalmazhatóak és költségarányosak. De hogy ez konkrétan adott cégre vonatkoztatva mit jelent, az nincs benne a gdpr-ban, nem is lehet, mert európa összes mikro-közép-nagy vállalatát nem lehet egy rendeletben lefedni.
A törvény olyan, hogy előírja, hogy messziről nézve mit kell csinálni. a különböző szintű vezetők meg előírják, hogy azt az elvi célt adott részlegen konkrétan hogyan kell megvalósítani és elérni. Például a törvény előírja, hogy védeni kell a cuccot. A vezérigazgatóra ebből az vonatkozik, hogy legyen ember, aki foglalkozik a kérdéssel, és adjon neki pénzt meg hatáskört. Az ember kitalálja, hogy akkor élőerős vagyonvédelem lesz, magyarul biztonsági őrség, x.y paraméterekkel. A biztonsági őrséget kezelő részleg vezetője pedig meghatározza a bejárási útvonalakat, az ellenőrzési pontokat, a váltásokat, stb. stb. tehát mindenkinek megvan a feladata a saját szintjén.
Azt tudod ellenőrizni, hogy mindenki megtett-e mindent a saját szintjén, a rá vonatkozó előírásoknak. a gdpr-ban nincs benne, hogy az őrségnek a ház északkeleti sarkáig el kell menni gyalog, az a legalsó szintű dokumentumban van benne. tehát nem lehet ütközés, mert nem ugyanaz a téma, így megsérteni sem lehet az egyiket úgy, hogy a másikat betartod.
Az informatikusnak (fenti példában az őrnek) nem kell feltétlenül ismernie az egész gdpr-t. kellenek szakemberek, akik a gdpr elvárásait összevetve a konkrét céggel, levezetik, hogy mit kell tudnia az informatikusnak. ez egy tré méretű cégnél úgy néz ki, hogy minden rendszer rendszergazdája kap egy könyv méretű dokumentumot (tehát nem 2-3 oldalt, hanem százasával), amiben minél több helyzetre le van írva a megoldás. és a megoldás sem olyan, hogy ha ezt a feliratot látod, elszállt a szerver, oldd meg, hogy a szerver működjön, hanem pontosan le van írva, hogy karakterhűen mit kell begépelni a konzolon és milyen választ kaphatsz, nagyjából egy okosabb majom szintjén. Semmilyen találgatásra vagy egyéni kreativitásra sem szükség nincs, sem lehetőség. Azt beírod, amit a kézikönyv mond. pont. ha pont azt beírtad, nincs tovább felelősséged.
Nyilván minél kisebb a cég (vagyis inkább minél kisebb kárt okoz egy információbiztonsági incidens), annál rövidebbek ezek a dokumentumok. de az eszme mögöttük ugyanaz.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis