Audyt według ustawy o KSC
Audyt zgodności Twojej organizacji z wymaganiami ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)
Audyt wg ustawy o KSC jest konsekwencją wejścia w życie 28 sierpnia 2018 r. ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wraz z towarzyszącymi rozporządzeniami. Nakłada ona na podmioty mające kluczowe znaczenie dla utrzymania krytycznej działalności społeczno-gospodarczej państwa (tzw. operatorzy usług kluczowych) szereg obowiązków w zakresie cyberbezpieczeństwa.
Podmioty określone w ustawie jako operatorzy usług kluczowych są zobowiązani do wdrożenia wielu elementów podnoszących ich poziom bezpieczeństwa teleinformatycznego. Jednym z nich jest m.in. wdrożenie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej zgodnej z wymaganiami norm PN-EN ISO/IEC 27001 i PN-EE ISO 22301 oraz oszacowanie ryzyka związanego z cyberbezpieczeństwem i wdrażanie adekwatnych zabezpieczeń.
Kogo dotyczy audyt wg ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)?
Przeprowadzanie audytu KSC wymagane jest w przypadku podmiotu włączonego do systemu o Krajowym Systemie Cyberbezpieczeństwa oraz będącego operatorem świadczącym usługi kluczowe, który:
- został wskazany w załączniku do ustawy,
- świadczy usługę kluczową określoną w rozporządzeniu,
- świadczenie tej usługi zależy od systemów informacyjnych,
- usługa jest świadczona powyżej określonego progu istotności – najczęściej jest to wielkość produkcji, zasięg geograficzny świadczenia usługi albo liczba odbiorców.
Usługi kluczowe wymienione w rozporządzeniu obejmują podmioty państwowe jak i prywatne z następujących sektorów:
- energetyczny (m.in. energia elektryczna, ciepło, ropa i gaz),
- transportowy (z podziałem na wodny, lądowy i powietrzny,
- bankowy i infrastruktura rynków finansowych,
- uzdatnianie wody i odprowadzanie ścieków,
- ochrona zdrowia (w tym szpitale i przemysł farmaceutyczny),
- infrastruktury cyfrowej (DNS, IXP i TLD).
Co zyskuje organizacja z przeprowadzonego audytu wg ustawy o KSC?
Po wykonaniu usługi audytu KSC organizacja będzie w stanie:
- zweryfikować gotowość do spełnienia wymagań i obowiązków wynikających z przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa,
- wdrożyć skuteczne zabezpieczenia przed cyberatakami,
- oszacować ryzyko związane z cyberbezpieczeństwem,
- przekazywać informacje o poważnych incydentach do wyznaczonych organów.
Zakres audytu KSC
Wykonywany audyt KSC przez Ekspertów Agileo.IT obejmuje:
- Przeprowadzanie analizy dokumentacji dotyczącą bezpieczeństwa IT,
- Przeprowadzanie analizy skuteczności funkcjonowania mechanizmów kontrolnych,
- Opracowanie raportu zawierającego opis zidentyfikowanych niezgodności oraz obserwacji wraz z rekomendacjami,
- Opracowanie harmonogramu z szacunkowym kosztem rekomendowanych zmian,
- Prezentację wyników analizy Kierownictwu organizacji.
Dlaczego Agileo.IT?
Nasi Eksperci:
- Posiadają uprawnienia wymagane przez ustawę o Krajowym Systemie Cyberbezpieczeństwa do przeprowadzania oceny bezpieczeństwa systemów informacyjnych,
- Mają wieloletnie doświadczenie w audytowaniu systemów zarządzania bezpieczeństwem informacji wg ISO 27001 oraz norm PN-ISO/IEC 20001 i ISO/IEC 27005,
- Z powodzeniem przeprowadzili wiele audytów zgodności z wymaganiami ustawy o KSC.
Zachęcamy do kontaktu z nami – chętnie odpowiemy na wszelkie Państwa pytania związane z przeprowadzaniem audytu KSC.