Audyt bezpieczeństwa informacji

Uwaga! W 2017 roku została zaktualizowana polska norma PN-ISO/IEC 27001, która zastąpiła wersję z 2014 roku. Zachęcamy do zapoznania się z krótką informacją co oznacza ta zmiana dla obecnych systemów zarządzania bezpieczeństwem informacji.

Bezpieczeństwo informacji jest kwestią niezwykle ważną w kontekście działań biznesowych. Firmy skupiają się na zabezpieczanie sprzętu komputerowego, serwerów, sieci, lecz bez szerszego kontekstu jest to tylko zabezpieczenie pudełek.

Każdy zarząd, kierownik jednostki czy właściciel firmy powinien sobie zadać pytania:

  1. Czy mogę powiedzieć, że mam wdrożony system zarządzania bezpieczeństwem informacji? Wiem jak on działa i mam wszystkie niezbędne procedury chroniące informację oraz aktywa mające wartość dla mojej firmy? (umowy, dokumenty niepubliczne, dane pracowników, sprzęt informatyczny)
  2. Czy dobrze chronię dane przetwarzanie w swojej jednostce? Czy mogę powiedzieć, że kontroluję wypływ danych z firmy? Wdrożyłem procesy, które regulują relacje z partnerami biznesowymi i dostosowałem model IT do modelu biznesowego w firmie?
  3. Czy użytkownicy są szkoleni wewnętrznie? Czy są świadomi zagrożeń, które mogą pojawić się w poczcie elektronicznej? Czy są świadomi metod ataków socjotechnicznych?

Jeżeli na większość z tych pytań pada odpowiedź negatywna – jest to znak, że system zarządzania w organizacji nie jest optymalny (jeśli w ogóle funkcjonuje) a osobom kierującym firmą powinna w tym momencie zaświecić się pomarańczowa lampka gdyż stąd już tylko krok od poważnych incydentów bezpieczeństwa.

Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w oparciu o normę PN-ISO/IEC 27001:2017, pozwala na zachowanie odpowiedniego poziomu poufności, integralności i dostępności informacji wraz z zapewnieniem zgodności z regulacjami prawnymi. Skuteczność funkcjonowania SZBI w organizacji badana jest za pomocą obiektywnych audytów, mających na celu weryfikację poprawności stosowanych zabezpieczeń w odniesieniu do założonych wymagań.

Szczegółowy opis projektu.

Nasi audytorzy przeprowadzą w Państwa organizacji proces auditu, t.j. przeprowadzą wewnętrzny audit inwentaryzacyjny pod kątem dojrzałości procesów mających wpływ na bezpieczeństwo informacji w organizacji w zakresie spełnienia wymagań normy PN-ISO/IEC 27001:2017 wraz z udokumentowaniem wyników procesu audytu. Open Audit:

  1. Przygotuje w ramach realizacji umowy plan auditu, w którym zostanie przedstawiony szczegółowy zakres działań w strukturze organizacyjnej Klienta.
  2. W procesie auditu zostaną uwzględnione wymagania wskazane w normie ISO/IEC 19011:2011, t.j dotyczące:
    1. Kompetencji audytora;
    2. Dowodów auditu;
    3. Kryteriów auditu;
    4. Obowiązków audytora.
    5. W procesie auditu zostanie poddane przeglądowi 11 obszarów, t.j.:
      1. Polityka bezpieczeństwa;
      2. Organizacja bezpieczeństwa informacji;
      3. Zarządzanie aktywami;
      4. Bezpieczeństwo zasobów ludzkich;
      5. Bezpieczeństwo fizyczne i środowiskowe;
      6. Zarządzanie systemami i sieciami;
      7. Kontrola dostępu;
      8. Zarządzanie ciągłością działania;
      9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
      10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
      11. Zgodność z wymaganiami prawnymi i własnymi standardami.
    6. Dokumenty, które w pkt. 3 zostaną poddane przeglądowi w pierwszej kolejności:
      1. Dokumentacje procesów działających w organizacji mających wpływ na bezpieczeństwo informacji;
      2. Zarządzenia, decyzje i inne dokumenty zarządcze;
      3. Decyzje osób kierujących poszczególnymi pionami administracyjnymi w organizacji;
      4. Dokumenty dotyczące bezpieczeństwa informacji w organizacji;
    7. Kwalifikacje członków zespołu są potwierdzone odpowiednimi szkoleniami, kursami, certyfikatami lub odpowiednim doświadczeniem (minimum 1 rok doświadczenia) w zależności od posiadanej roli w procesie audytu.
    8. Dokument „Raport z audytu inwentaryzacyjnego pod kątem zgodności z wymaganiami normy PN-ISO/IEC 27001:2017”, zawiera co najmniej następujący zakres informacji:
      1. Ogólny opis procesu audytu przeprowadzonego w organizacji Zamawiającego;
      2. Opis wymagań normy PN-ISO/IEC 27001:2017 oraz sposób ich spełnienia lub nie spełnienia, zgodnie ze stanem na dzień sporządzenia raportu;
      3. Uwzględnienie Załącznika A normy PN-ISO/IEC 27001:2017 w przeglądzie systemu zarządzania bezpieczeństwem informacji (przegląd zabezpieczeń);
      4. Odniesienie do wymagań normy ISO/IEC 27002: 2017 w obszarach poddanych audytowi.
    9. Audytowe czynności operacyjne są prowadzone w siedzibie klienta.