Jeżeli jesteś zainteresowany współpracą w ramach programu Cyfrowa gmina – kliknij TU

Open Audit jest specjalistyczną firmą, która praktycznie i profesjonalnie wspiera procesy planowania, wdrażania i monitorowania mechanizmów zabezpieczeń u odbiorców naszych usług. Oferta realizowanych przez nas projektów związana jest ściśle z zagrożeniami związanymi z bezpieczeństwem w procesach biznesowych, bezpieczeństwem danych czy zabezpieczeniami systemów informatycznych (bezpieczeństwo teleinformatyczne).

Nie ograniczamy się do tematyki bezpieczeństwa w procesach IT. Wspieramy naszych klientów w realizacji wymagań prawnych, zarówno na poziomie krajowym (PL) jak i międzynarodowym (UE). Prowadzimy audyty (audit) Systemów Zarządzania Bezpieczeństwem Informacji (ang. Information Security Management System).

Nasze projekty realizujemy zgodnie z metodyką PRINCE2. Dostosowujemy się do istniejących struktur projektowych u Klientów lub budujemy takie struktury dla Klientów uwzględniając w tym procesie udział Open Audit. Najczęściej występujemy w roli Kierownika Projektu (KP) lub Kierownika Zespołu (KZ) działającego na rzecz Głównego Dostawcy (GD) w projekcie. Możemy dostosować się do innej, preferowanej przez naszych klientów metodyki. Przy małych projektach dobieramy metodykę tak, aby nie budowała barier lecz wspierała nas i naszych Klientów w optymalnej ścieżce wytworzenia zamierzonego produktu.

Nasze kompetencje skierowane są na…

obszar wymaganej zgodności prawnej

  • Wsparcie we wszystkich aspektach spełniania wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego potocznie RODO). Rozporządzenie weszło w życie w dniu 26 maja 2018 r.
  • Wsparcie w realizacji zarządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. dotyczącego Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
  • Wsparcie w zapewnieniu zgodności z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000).
  • Wsparcie we wdrożeniu i utrzymaniu wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. 2018 poz. 1560).
  • Wsparcie we wdrożeniu i utrzymaniu wymagań Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach

obszar procesowego zarządzania bezpieczeństwem

  • Organizacja (planowanie) i prowadzenie audytów systemów zarządzania pod kątem zgodności z normami grupy ISO/IEC 27000 (w szczególności ISO/IEC 27001, o takie standardy jak COBIT czy TOGAF wykorzystując (jeżeli zajdzie taka potrzeba) metodykę CISA
  • Przeprowadzanie audytów systemów zarządzania pod kątem zgodności z obowiązującymi regulacjami prawnymi (krajowymi i europejskimi)
  • Projektowanie i budowanie Systemów Zarządzania Bezpieczeństwem Informacji (SZBI / ISMS)
  • Analiza i projektowanie procesów zarządzania bezpieczeństwem w modelu usługowym opartym o:
    • normę ISO/IEC 20000-1 i ISO/IEC 20000-2
    • Information Technology Infrastructure Library (ITIL)
  • Współpraca z zespołami CSIRT i CERT (w tym z krajowym zespołami CSIRT NASK, CSIRT MON oraz CSIRT GOV) w imieniu naszych klientów
  • Analiza incydentów bezpieczeństwa
  • Dogłębna analiza ryzyka w obszarach związanych z bezpieczeństwem informacji oraz ciągłości działania

obszar zabezpieczeń technicznych

  • Wykrywanie podatności w infrastrukturze oraz aplikacjach;
  • Prowadzenie audytów bezpieczeństwa systemów teleinformatycznych pod kątem zgodności z regulacjami międzynarodowymi oraz w wewnętrznej organizacji;
  • Prowadzenie testów penetracyjnych, w których eksperci interfejsem białkowym sprawdzają aplikacje pod kątem podatności na ataki;
  • Prowadzenie sieciowej analizy po włamaniowej do systemów teleinformatycznych;
  • Projektowanie i wdrażania zabezpieczeń sieci, systemów operacyjnych oraz systemów aplikacyjnych opartych na technologiach WEB;
  • Optymalizacja systemów teleinformatycznych w obszarach zabezpieczeń.

obszar analityczny

  • Analizy, projektowania i dokumentowania procesów biznesowych z wykorzystaniem notacji BPMN.
  • Działań konsultacyjnych (consulting) w obszarach wymienionych powyżej, oraz:
    • w czasie opracowywaniu założeń do Specyfikacji Istotnych Warunków Zamówienia. W takiej sytuacji, nasi eksperci pomagają organizacji w przygotowaniu dokumentacji przetargowej. Sami nie bierzemy wówczas udziału w postępowaniu;
    • w czasie negocjacji z dostawcami usług, gdy dochodzi do sytuacji spornych, w których trudno jest wypracować kompromis.

wsparcie dla zespołów bezpieczeństwa

  • Świadczenia profesjonalnej usługi “Secure MX in the cloud aaS”, w ramach której nasi klienci otrzymują dostęp do bezpiecznej bramy SMTP wskazanej w DNS rekordem MX. Systemy będące pierwszą bramą dla poczty firmowej są bardzo często celem ataków. Usługa jest zabezpieczana kwalifikowanym certyfikatem Wildcard SSL.
  • Świadczenia profesjonalnej usługi “Advanced Incident Management System in the Cloud aaS”, w ramach której nasi Klienci otrzymują dedykowaną instancję serwisu internetowego z aplikacją “Request Tracker”, dedykowaną do zarządzania zgłoszeniami użytkowników, w tym również z rozszerzeniem profilującym system do zarządzania incydentami bezpieczeństwa. Usługa jest standardowo zabezpieczana certyfikatem SSL Wildcard.

Współpracujemy na podstawie krótko- i długoterminowych kontraktów. Wizytówką naszych ekspertów w czasie planowania projektów jest wiedza, doświadczenie oraz wysoki poziom kultury osobistej. Naszą misją jest zwiększanie świadomości właścicieli danych na temat zagrożeń, jakie niesie za sobą przetwarzanie danych w sieciach mnie lub bardziej rozległych.

Posiadamy wiedzę potwierdzoną międzynarodowymi certyfikatami (Patrz: zapoznaj się z naszymi kwalifikacjami).

Posiadamy doświadczenie realizując zadania w imieniu naszych klientów:

  • Pełnomocnika ds. bezpieczeństwa cyberprzestrzeni
  • Architekta i wdrożeniowców wymagań Krajowych Ram Interoperacyjności
  • Pojedynczego punktu kontaktu dla zespołów CSIRT i CERT
  • Inspektora ochrony danych (IOD / DPO)