Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.
Data publikacji: 04-02-2021 | Autor: | Tomasz Cygan |
Język informatyczny nasycony jest różnymi skrótami. Niektóre z nich opisują cyberzagrożenia (DDoS, APT), inne dotyczą używanych rozwiązań informatycznych (WLAN, LAN), inne z kolei są związane ze stosowanymi zabezpieczeniami (VPN, UPS). Część doczekała się statusu pojęć z zakresu języka prawniczego wykorzystywanego w umowach czy regulaminach. Spośród nich kluczowe znaczenie ma SLA.
Z godnie z definicją ITIL Service Level Agreement (pol. umowa o gwarantowanym poziomie świadczenia usług) jest to umowa zawierana pomiędzy dostawcą usług informatycznych a ich odbiorcą. Umowa SLA w szczególności opisuje usługę informatyczną, dokumentuje docelowy poziom świadczenia usługi, określa obowiązki dostawcy usług informatycznych i odbiorcy. Pojedyncza umowa SLA może dotyczyć wielu usług informatycznych lub wielu klientów. Z kolei według terminologii COBIT 4.1. SLA jest to umowa, najlepiej w formie dokumentu, zawierana pomiędzy dostawcą usług a klientem/użytkownikiem (klientami/użytkownikami), która określa minimalną docelową wydajność usługi oraz sposób jej pomiaru.
W praktyce obok rozwiązań z zakresu SLA spotkać można umowy OLA (ang. Operational Level Agreement). COBIT 4.1 definiuje ją jako umowę dotyczącą poziomu technicznego usług; wewnętrzna umowa o świadczeniu usług, która stanowi podstawę do świadczenia usług przez dział IT. Z kolei według ITIL OLA jest umową pomiędzy dostawcą usług informatycznych a inną częścią tej samej organizacji. Ma ona wspierać dostawcę usług informatycznych w świadczeniu usług klientom i definiuje dobra i usługi, które mają być dostarczone, oraz obowiązki obu stron, np.:
Warunki umów SLA przekładają się na zapisy w umowach OLA dostawcy usług informatycznych, jak również w umowach z poddostawcami usług.
> SLA w świetle prawa
Umowa o gwarantowanym poziomie świadczenia usług nie została wprost uregulowana w przepisach prawa. Nie wspominają o niej żadne akty prawne dotyczące umów, jak choćby kodeks cywilny, ani akty prawne regulujące zagadnienia informatyczne (rodo, ustawa o krajowym systemie cyberbezpieczeństwa). Niemniej pewnych elementów SLA można doszukać się w art. 32 rodo w zakresie, w jakim wymaga on wdrożenia takich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, w tym m.in. w stosownym przypadku zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Także art. 28 rodo zawiera pewne wskazówki dotyczące umów SLA. W szczególności dotyczy to nałożonego na podmiot przetwarzający obowiązku podejmowania wszelkich środków wymaganych na mocy art. 32 rodo, przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego oraz pomagania administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 rodo.
Z kolei ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa zawiera pewne elementy umów o gwarantowanym poziomie świadczenia usług wśród obowiązków operatora usług kluczowych, w szczególności jako element wdrożonego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniającego:
Na gruncie przepisów o cyberbezpieczeństwie SLA ma także znaczenie w przypadku korzystania z usług podmiotów świadczących usługi z zakresu cyberbezpieczeństwa. Znajdą wówczas zastosowanie wymagania zawarte w rozporządzeniu Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Przepisy te wskazują obszary do objęcia przez SLA, w szczególności w zakresie wdrożonych zabezpieczeń adekwatnych do przetwarzanych informacji na podstawie przeprowadzonego szacowanego ryzyka, a także wykorzystywania dobrych praktyk w celu:
[...]
Adwokat, inspektor ochrony danych, wykładowca, publicysta, audytor wewnętrzny normy PN-ISO/IEC 27001:2014-12. Ukończył kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology oraz kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Transmisje online zapewnia: StreamOnline