Administrator Bezpieczeństwa Informacji (ABI) to osoba nadzorujące przestrzeganie stosowania środków organizacyjnych i technicznych, które zapewniają ochronę przetwarzanych danych osobowych. Taki zawód wykonywać może tylko osoba fizyczna upoważniona do wykonywania zadań przez administratora danych osobowych w danej firmie.
Rola i funkcje ABI zostały opisane w Ustawie z roku 1997 o ochronie danych osobowych. Administratorem Bezpieczeństwa Informacji jest osoba pełniąca obowiązki pełnomocnika Administratora Danych. Administratorem Danych jest z kolei podmiot bądź osoba decydująca o celach oraz środkach przetwarzania danych osobowych.
ABI zajmuje się więc przede wszystkim nadzorowaniem wykorzystywanych środków technicznych i organizacyjnych, które mają zapewnić ochronę przetwarzanych danych osobowych. Osoba wykonująca ten zawód musi więc dbać o to aby dane osobowe przetwarzane w danej firmy nie zostały udostępnione osobom do tego nieupoważnionym. Nie mogą także ulec uszkodzeniu bądź zniszczeniu. Dodatkowo Administrator Bezpieczeństwa Informacji powinien prowadzić stosowną dokumentację, w której opisane będą sposoby przetwarzania danych osobowych oraz wdrożone środki zapobiegawcze przeciw ich nadużyciu.
Do głównych zadań ABI zalicza się więc zazwyczaj:
- opracowywanie i wprowadzanie w życie Polityki Bezpieczeństwa Ochrony Danych Osobowych, czyli swoistego zestawu regulacji i zasad, które opisują mechanizm przetwarzania danych w określonej instytucji. Celem dokumentacji jest analiza tego jak dana organizacja realizuje zlecone jej cele w zakresie ochrony danych osobowych. Należy to robić bez względu na to czy zbiory danych podlegają rejestracji w GIODO czy nie.
- wydawanie oraz odbieranie upoważnień od pracowników danej organizacji, a także prowadzenie rejestru, który umożliwia rzetelny nadzór nad systemem określającym dostęp poszczególnych pracowników do zbiorów danych.
- nadzorowanie i kontrolowanie technicznych elementów systemu ochrony danych osobowych – administracja hasłami użytkowników, a także nadzór nad przestrzeganiem wszystkich procedur, które określają zasady ich zmiany. Pilnowanie, aby komputery pracownicze, na których przetwarzane są dane osobowe były zabezpieczone odpowiednimi hasłami i nie miały do nich dostępu osoby do tego nieupoważnione.
Administratorem Bezpieczeństwa Informacji może być jedynie osoba fizyczna, tak wynika bowiem z interpretacji ustawy o ochronie danych osobowych przez GIODO. Nie musi być to jednak osoba zatrudniona przez Administratora Danych. Jest to częste rozwiązanie przede wszystkim w przypadku mniejszych podmiotów prawnych. Pozwala to bowiem znacznie obniżyć koszty wdrożenia systemu zapewnienia przetwarzania danych osobowych przy jednoczesnym zachowaniu wysokiego poziomu jakości.
Ustawia ściśle nie określa kwalifikacji osób wykonujących zawód ABI. Powinna to być jednak raczej osoba posiadająca przynajmniej podstawową wiedzę z dziedziny informatyki oraz bezpieczeństwa systemów informatycznych. Dobrze jeśli zna także ustawę o ochronie danych osobowych.
