Audyty Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)

Weryfikujemy poziom bezpieczeństwa Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w organizacjach oraz wskazujemy rekomendacje i zalecenia

 

Audyty Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) realizowane przez ekspertów Agileo.IT mają na celu identyfikację zagrożeń mogących skutkować utratą poufnych danych lub dostępem do nich. Tego rodzaju audyt dedykowany jest organizacjom (jednostkom publicznym lub firmom komercyjnym) dla których informacja ma krytyczny charakter. Mogą to być np. organizacje przetwarzające wrażliwe dane osobowe, dane finansowe czy medyczne.

 

Cel audytu bezpieczeństwa informacji

Celem audytu bezpieczeństwa informacji jest ocena zakresu zgodności Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) z kryteriami określającymi dane standardy (np. wzorce, przepisy prawa, normy lub polityki bezpieczeństwa lub procedury). Obejmuje ona z jednej strony analizę spełnienia obowiązków formalnych (np. dokumentację, procedury przetwarzania danych osobowych), a z drugiej analizę wymogów technicznych dotyczących systemów informatycznych, przy pomocy których dane osobowe są przetwarzane.

Analiza wyników poszczególnych elementów audytu i zależności między nimi daje pełny obraz problemu, pozwala dobrać stosowne zalecenia i w konsekwencji zwiększyć efektywność procesów zachodzących w jednostce. W zakres audytu wchodzi również analiza fizycznych środków bezpieczeństwa obejmująca m.in. zabezpieczenia pomieszczeń, urządzenia zabezpieczające przed utratą zasilania itp.

Powody przeprowadzenia audytów bezpieczeństwa informacji

Powody wykonania audytów w zakresie Systemu Bezpieczeństwa Informacji wg normy ISO 27001 obejmują m.in.:

  1. Wymaganie standardów np. w związku z normą PN-ISO/IEC 27001 standaryzującej systemy zarządzania bezpieczeństwem informacji.
  2. Wymagania prawne – audyt bezpieczeństwa informacji jest wymogiem prawnym stawianym instytucjom publicznym. Mówi o tym rozporządzenie z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności.
  3. Plan audytów obowiązujący w organizacji.
  4. Występowanie incydentów w obszarze bezpieczeństwa informacji.
  5. Zmiany w organizacji np. zmiana osób odpowiadanych za infrastrukturę IT w organizacji,

 

 

Kryteria wykonania audytów Systemu Zarządzania Bezpieczeństwa Informacji (SZBI)

Audyty SZBI prowadzone są w oparciu o dwa typy kryteriów:

  • zawarte w § 20 ust. 2 rozporządzenia w sprawie Krajowych Ram Interoperacyjności KRI (systemów teleinformatycznych, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych).
  • zawarte w międzynarodowej normie PN-ISO/IEC 27001 standaryzującej systemy zarządzania bezpieczeństwem informacji, w której wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji:
  1. Polityka bezpieczeństwa.
  2. Organizacja bezpieczeństwa informacji.
  3. Zarządzanie aktywami.
  4. Bezpieczeństwo zasobów ludzkich.
  5. Bezpieczeństwo fizyczne i środowiskowe.
  6. Zarządzanie systemami i sieciami.
  7. Kontrola dostępu.
  8. Zarządzanie ciągłością działania.
  9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych.
  10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji.
  11. Zgodność z wymaganiami prawnymi i własnymi standardami.

Czynności wykonywane w ramach audytu Systemu Zarządzania Bezpieczeństwa Informacji

Eksperci Agileo.IT podczas przeprowadzania audytu SZBI wykonują następujące działania:

  • analiza dokumentacji oraz procedur przetwarzania danych osobowych pod kątem ich zgodności z przepisami ,
  • analiza legalności, zakresu, celu przetwarzanych danych osobowych oraz sposobu ich przetwarzania,
  • analiza techniczno-organizacyjna zabezpieczeń dla ochrony danych osobowych,
  • analiza i weryfikacja zabezpieczeń fizycznych i infrastruktury informatycznej,
  • sprawdzenie poziomu zabezpieczeń oraz weryfikacja prawidłowości dla zbiorów danych osobowych,
  • weryfikacja poziomu wiedzy pracowników,
  • analiza dokumentacji pracowniczej (w tym z procesów rekrutacji) pod kątem zgodności z przepisami z zakresu ochrony danych osobowych.

Dla kogo dedykowane jest audyt Systemu Zarządzania Bezpieczeństwa Informacji?

Audyt SZBI dotyczy każdego podmiotu komercyjnego jak i publicznego dla których informacja ma krytyczny charakter np.:

  • firmy oraz osoby prowadzącej jednoosobową działalność posiadające jak i nie posiadające siedziby na terenie Unii Europejskiej, ale które realizują na jej terenie działania,
  • organy władzy publicznej, w tym organy administracji rządowej organy kontroli państwowej i ochrony prawa oraz sądy i trybunały oraz jednostki budżetowe, ZUS, KRUS,
  • jednostki samorządu terytorialnego (JST) oraz ich związki,
  • samodzielne publiczne zakłady opieki zdrowotnej,
  • uczelnie publiczne,
  • państwowe i samorządowe instytucje kultury,
  • inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczy.

Jakie usługi oferujemy związane z zarządzaniem bezpieczeństwa informacji

Nasi eksperci świadczą pełne spektrum, usług związanych z zarządzaniem bezpieczeństwa informacji obejmujące m.in.:

  • Audyt SZBI – sprawdzamy poziom Systemu Zarządzania Bezpieczeństwa Informacji pod kątem rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI) oraz w oparciu o normę PN-ISO/IEC 27001 standaryzującą systemy zarządzania bezpieczeństwem informacji.
  • Wdrożenie SZBI w organizacjidostosowujemy i projektujemy rozwiązania organizacyjne (szkolenia) oraz techniczne (procedury, polityki bezpieczeństwa), których celem jest przystosowanie organizacji Systemu Zarządzania Bezpieczeństwa Informacji do wymogów w zakresie rozporządzenia KRI oraz normy PN-ISO/IEC 27001.
  • Szkolenia w zakresie SZBI – nasi eksperci posiadają wieloletnie doświadczanie w prowadzeniu szkoleń i seminariów poświęconych tematyce tworzenia i zarzadzania systemów zarządzania bezpieczeństwem informacji. Programy szkoleniowe jak i zakres tematyczny zawsze dostosowujemy do indywidulnych preferencji i oczekiwań naszych Klientów.
  • Przejęcie funkcji pełnomocnika ds. bezpieczeństwa informacji (PBI) Nasze działania ma na celu podejmowanie przedsięwzięć zmierzających do podniesienia poziomu bezpieczeństwa informacji oraz inne działania i inicjatywy związane z szeroko rozumianym bezpieczeństwem informacji.

Co zyskuje organizacja ze współpracy z nami?

  • Uzyskanie obiektywnych i niezależnych informacji oraz oceny przygotowana Systemu Zarządzania Bezpieczeństwa Informacji organizacji w związku z wytycznymi rozporządzenia KRI lub do wymogów normy PN-ISO/IEC 27001
  • Minimalizację ryzyka związanego z ewentualnymi nieprawidłowościami wynikającymi z niedostosowaniem organizacji do zapisów rozporządzenia KRI lub do wymogów normy normy PN-ISO/IEC 27001 obejmującego m.in. systemy teleinformatyczne, procedury, dokumentację, polityki, szkolenia i doradztwo.
  • Identyfikację i ocenę ryzyk Systemu Zarządzania Bezpieczeństwa Informacji.
  • Identyfikację zagadnień, które wymagają doskonalenia lub mogą być doskonalone.

Dlaczego Agileo.IT?

Nasi Eksperci:

  • Przeprowadzili kilkadziesiąt audytów systemów teleinformatycznych i systemów zarządzania bezpieczeństwem informacji w podmiotach z różnych branż (firmy komercyjne, jednostki publiczne) wg ISO 27001 oraz norm PN-ISO/IEC 20001, ISO/IEC 27005).
  • Posiadają uprawnienia wymagane przez rozporządzenie dot. KRI, KSC oraz RODO.
  • Z powodzeniem przeprowadzili wiele usług obejmujących pełne spektrum związane z zarządzaniem bezpieczeństwa informacji  – od audytów i wdrożenia SZBI, poprzez szkolenia i usługi doradcze. Pełnimy również funkcje pełnomocnika ds. bezpieczeństwa informacji (PBI).

Zachęcamy do kontaktu z nami – chętnie odpowiemy na wszelkie Państwa pytania związane z audytami Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).