Skierowany do:

Jednostki samorządu terytorialnego

Wybrane zagadnienia

Zakres audytu będzie obejmował:

• Analizę dokumentacji organizacyjnej i bezpieczeństwa;
• Weryfikację procesu systematycznego szacowania ryzyka;
• Analizę procesu zarządzania incydentami;
• Weryfikację stosowanych środków technicznych i organizacyjnych minimalizujących poziom ryzyka;
• Weryfikację wdrożenia rozwiązań dla eksploatacji systemu informacyjnego pod kątem bezpieczeństwa;
• Analiza stosowanych rozwiązań w zakresie ciągłości dostaw usług;
• Analizę funkcjonowania systemu monitorowania systemów informacyjnych w trybie ciągłym;
• Weryfikację stosowanych środków łączności umożliwiających prawidłową i bezpieczną komunikację
• Wizje lokalne i wywiady audytowe na terenie organizacji
• Zestaw testów penetracyjnych infrastruktury IT
• Badanie aplikacji webowych

Produktem audytu jest raport zawierający:

• Opis metodyki audytu, przebieg audytu, opis materiału dowodowego
• Wnioski z przeprowadzonego audytu;
• Rekomendacje dotyczące zidentyfikowanych nieprawidłowości oraz obszarów, które wymagają poprawy
• Przygotowany arkusz oceny wymagany przez NASK

Podstawy prawne  audytu (wyciag)

• Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych ((Dz.U. z 2019 poz. 700)),
• Rozporządzenie Parlamentu Europejskiego 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, tzw. RODO.
• Ustawa z dnia 10 maja 2018r. o ochronie danych osobowych (t.j. Dz. 2019 r. poz. 1781z zm )
• Ustawa z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2020 poz. 1369)
• Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U.2020r., poz.346)

Podstawy normatywne audytu (wyciag)

1. PN ISO/IEC 27001 Systemy zarządzania bezpieczeństwem informacji – Wymagania
2. PN-EN ISO 22301 Bezpieczeństwo powszechne -- Systemy zarządzania ciągłością działania -- Wymagania.
3. PN-ISO/IEC 20000-1 Technika informatyczna. Zarządzanie usługami. Część 1: Wymagania dla systemu zarządzania
4. Norma PN-EN ISO 19011:2017 „Wytyczne dotyczące audytowania systemów zarządzania jakością i/lub zarządzania środowiskowego”
5. Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego IIA
6. Standardy Audytu Informatycznego (Information Systems Audit and Control Association) – ISACA
7. Międzynarodowe Standardy Control Objectives for Information and Related Technology – COBIT
8. Standardy WGITA Najwyższej Izby Kontroli

Zespół audytowy

Posiadamy etatowy 20 osoby, jako doświadczony zespół ekspertów/audytorów z kwalifikowanymi certyfikatami audytorów wiodących ISO 27001, ISO 22301, ISO 20000, oraz  ISO 37001, ISO 27701, wielu ukończyło studia podsypkowe lub kursy z bezpieczeństwa informacji lub  ochrony danych osobowych, będąc także czynnymi. Przeprowadziliśmy skutecznie audyt bezpieczeństwa w ponad 300 jednostkach finansówi) publicznych i komercyjnych m.in. w   szpitalach, administracji rządowej (ministerstwa, centralne ośrodki decyzyjne), jednostkach samorządowych, sądach, lotniskach, bankach i podmiotach komercyjnych.  Firma posiada akredytowany certyfikat bezpieczeństwa ISO 27001 w zakresie przeprowadzania audytów i wdrożeń systemów SZBI. Przygotowujemy do certyfikacji systemów zarzadzania. Prowadzimy szkolenia. Posiadamy ubezpieczenie AC, zaplecze prawne i techniczne.