Audyt bezpieczeństwa

Kategoria: Systemy
Dodany przez: Agnieszka Wróbel

Skierowany do:

Jednostki samorządu terytorialnego

Wybrane zagadnienia

Zakres audytu będzie obejmował:

  • Analizę dokumentacji organizacyjnej i bezpieczeństwa;
  • Weryfikację procesu systematycznego szacowania ryzyka;
  • Analizę procesu zarządzania incydentami;
  • Weryfikację stosowanych środków technicznych i organizacyjnych minimalizujących poziom ryzyka;
  • Weryfikację wdrożenia rozwiązań dla eksploatacji systemu informacyjnego pod kątem bezpieczeństwa;
  • Analiza stosowanych rozwiązań w zakresie ciągłości dostaw usług;
  • Analizę funkcjonowania systemu monitorowania systemów informacyjnych w trybie ciągłym;
  • Weryfikację stosowanych środków łączności umożliwiających prawidłową i bezpieczną komunikację
  • Wizje lokalne i wywiady audytowe na terenie organizacji
  • Zestaw testów penetracyjnych infrastruktury IT
  • Badanie aplikacji webowych

Produktem audytu jest raport zawierający:

  • Opis metodyki audytu, przebieg audytu, opis materiału dowodowego
  • Wnioski z przeprowadzonego audytu;
  • Rekomendacje dotyczące zidentyfikowanych nieprawidłowości oraz obszarów, które wymagają poprawy
  • Przygotowany arkusz oceny wymagany przez NASK

Podstawy prawne  audytu (wyciag)

  • Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych ((Dz.U. z 2019 poz. 700)),
  • Rozporządzenie Parlamentu Europejskiego 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, tzw. RODO.
  • Ustawa z dnia 10 maja 2018r. o ochronie danych osobowych (t.j. Dz. 2019 r. poz. 1781z zm )
  • Ustawa z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2020 poz. 1369)
  • Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U.2020r., poz.346)

Podstawy normatywne audytu (wyciag)

  1. PN ISO/IEC 27001 Systemy zarządzania bezpieczeństwem informacji – Wymagania
  2. PN-EN ISO 22301 Bezpieczeństwo powszechne -- Systemy zarządzania ciągłością działania -- Wymagania.
  3. PN-ISO/IEC 20000-1 Technika informatyczna. Zarządzanie usługami. Część 1: Wymagania dla systemu zarządzania
  4. Norma PN-EN ISO 19011:2017 „Wytyczne dotyczące audytowania systemów zarządzania jakością i/lub zarządzania środowiskowego”
  5. Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego IIA
  6. Standardy Audytu Informatycznego (Information Systems Audit and Control Association) – ISACA
  7. Międzynarodowe Standardy Control Objectives for Information and Related Technology – COBIT
  8. Standardy WGITA Najwyższej Izby Kontroli

 

Zespół audytowy

Posiadamy etatowy 20 osoby, jako doświadczony zespół ekspertów/audytorów z kwalifikowanymi certyfikatami audytorów wiodących ISO 27001, ISO 22301, ISO 20000, oraz  ISO 37001, ISO 27701, wielu ukończyło studia podsypkowe lub kursy z bezpieczeństwa informacji lub  ochrony danych osobowych, będąc także czynnymi. Przeprowadziliśmy skutecznie audyt bezpieczeństwa w ponad 300 jednostkach finansówi) publicznych i komercyjnych m.in. w   szpitalach, administracji rządowej (ministerstwa, centralne ośrodki decyzyjne), jednostkach samorządowych, sądach, lotniskach, bankach i podmiotach komercyjnych.  Firma posiada akredytowany certyfikat bezpieczeństwa ISO 27001 w zakresie przeprowadzania audytów i wdrożeń systemów SZBI. Przygotowujemy do certyfikacji systemów zarzadzania. Prowadzimy szkolenia. Posiadamy ubezpieczenie AC, zaplecze prawne i techniczne.