Skierowany do:
Jednostki samorządu terytorialnego
Wybrane zagadnienia
Zakres audytu będzie obejmował:
- Analizę dokumentacji organizacyjnej i bezpieczeństwa;
- Weryfikację procesu systematycznego szacowania ryzyka;
- Analizę procesu zarządzania incydentami;
- Weryfikację stosowanych środków technicznych i organizacyjnych minimalizujących poziom ryzyka;
- Weryfikację wdrożenia rozwiązań dla eksploatacji systemu informacyjnego pod kątem bezpieczeństwa;
- Analiza stosowanych rozwiązań w zakresie ciągłości dostaw usług;
- Analizę funkcjonowania systemu monitorowania systemów informacyjnych w trybie ciągłym;
- Weryfikację stosowanych środków łączności umożliwiających prawidłową i bezpieczną komunikację
- Wizje lokalne i wywiady audytowe na terenie organizacji
- Zestaw testów penetracyjnych infrastruktury IT
- Badanie aplikacji webowych
Produktem audytu jest raport zawierający:
- Opis metodyki audytu, przebieg audytu, opis materiału dowodowego
- Wnioski z przeprowadzonego audytu;
- Rekomendacje dotyczące zidentyfikowanych nieprawidłowości oraz obszarów, które wymagają poprawy
- Przygotowany arkusz oceny wymagany przez NASK
Podstawy prawne audytu (wyciag)
- Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych ((Dz.U. z 2019 poz. 700)),
- Rozporządzenie Parlamentu Europejskiego 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, tzw. RODO.
- Ustawa z dnia 10 maja 2018r. o ochronie danych osobowych (t.j. Dz. 2019 r. poz. 1781z zm )
- Ustawa z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2020 poz. 1369)
- Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U.2020r., poz.346)
Podstawy normatywne audytu (wyciag)
- PN ISO/IEC 27001 Systemy zarządzania bezpieczeństwem informacji – Wymagania
- PN-EN ISO 22301 Bezpieczeństwo powszechne -- Systemy zarządzania ciągłością działania -- Wymagania.
- PN-ISO/IEC 20000-1 Technika informatyczna. Zarządzanie usługami. Część 1: Wymagania dla systemu zarządzania
- Norma PN-EN ISO 19011:2017 „Wytyczne dotyczące audytowania systemów zarządzania jakością i/lub zarządzania środowiskowego”
- Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego IIA
- Standardy Audytu Informatycznego (Information Systems Audit and Control Association) – ISACA
- Międzynarodowe Standardy Control Objectives for Information and Related Technology – COBIT
- Standardy WGITA Najwyższej Izby Kontroli
Zespół audytowy
Posiadamy etatowy 20 osoby, jako doświadczony zespół ekspertów/audytorów z kwalifikowanymi certyfikatami audytorów wiodących ISO 27001, ISO 22301, ISO 20000, oraz ISO 37001, ISO 27701, wielu ukończyło studia podsypkowe lub kursy z bezpieczeństwa informacji lub ochrony danych osobowych, będąc także czynnymi. Przeprowadziliśmy skutecznie audyt bezpieczeństwa w ponad 300 jednostkach finansówi) publicznych i komercyjnych m.in. w szpitalach, administracji rządowej (ministerstwa, centralne ośrodki decyzyjne), jednostkach samorządowych, sądach, lotniskach, bankach i podmiotach komercyjnych. Firma posiada akredytowany certyfikat bezpieczeństwa ISO 27001 w zakresie przeprowadzania audytów i wdrożeń systemów SZBI. Przygotowujemy do certyfikacji systemów zarzadzania. Prowadzimy szkolenia. Posiadamy ubezpieczenie AC, zaplecze prawne i techniczne.