iSecure logo
Audyt bezpieczeństwa informacji i testy penetracyjne

Audyt zgodności z normą PN-ISO/IEC 27001:2007

Informacje, procesy, systemy teleinformatyczne od dawna stanowią kluczowe zasoby niemal każdej organizacji. Z tego też powodu są one narażone na zagrożenia, które wynikają z bardzo różnych źródeł, włączając w to m.in. oszustwa komputerowe, szpiegostwo, sabotaż, wandalizm, ogień i powódź. 

Norma ISO 27001 to konkretne wytyczne, które pozwalają stworzyć system zarządzania bezpieczeństwem informacji (SZBI), dzięki któremu – poprzez stosowanie procesu zarządzania ryzykiem – zapewnia się tym zasobom poufność (informacja nie jest udostępniana ani ujawniana nieautoryzowanym osobom), integralność (zapewnienie kompletności i dokładności informacji) i dostępność (dostępność i użyteczność informacji na żądanie autoryzowanego podmiotu).

Twoja organizacja może mieć różne motywy, żeby przeprowadzić audyt zgodności z normą ISO 27001, wśród których można wymienić:

  • chęć zbudowania SZBI, a następnie przystąpienia do certyfikacji na zgodność z ww. normą,
  • sprawdzenie skuteczności wdrożonego SZBI,
  • wymogi przepisów prawa,
  • identyfikację obszarów wymagających podjęcia działań korygujących.

 

Bez względu na to, co Cię motywuje, audyt zgodności z wymogami ISO 27001 obejmuje następujące działania:

  • przeprowadzenie inwentaryzacji oraz analizy aktywów,
  • zdefiniowanie podejścia do szacowania ryzyka oraz przeprowadzenie analizy i oceny ryzyka w obszarze bezpieczeństwa informacji,
  • zdefiniowanie relacji z dostawcami,
  • analizę zarządzania incydentami związanymi z bezpieczeństwem informacji,
  • opracowanie planów ciągłości działania,
  • określenie ról, odpowiedzialności i uprawnień związanych z bezpieczeństwem informacji,
  • określenie sposobów mierzenia skuteczności zabezpieczeń.

 

Szczególnie istotnym etapem jest planowanie audytu (stworzenie jego programu), ponieważ wymaga on dokładnego przygotowania. Zupełnie inaczej wygląda to w małej firmie, a jeszcze inaczej w dużej organizacji, która oprócz centrali obejmuje również oddziały i terenowe biura sprzedaży. Jednak istnieje pewien wspólny mianownik w postaci konkretnych informacji, które na etapie przygotowania audytu należy uzgodnić, w szczególności zaś:

  • zdefiniować cel audytu, czyli wskazać motywacje, o której była mowa wcześniej,
  • wskazać zakres, czas trwania (harmonogram) audytu, co ma ogromne znaczenie dla audytowanej organizacji, ponieważ każdy audyt w jakimś stopniu dezorganizuje pracę personelu skierowanego do współpracy z audytorami,
  • określić procedury audytu, co obejmuje m.in. sposób składania raportów do kierownictwa np. w przypadku wykrycia krytycznej niezgodności,
  • doprecyzować kryteria audytu, czyli punkt odniesienia, dla którego określana jest zgodność np. zgodność z wewnętrznymi procedurami, z wymogami prawa (ma to także przełożenie na sposób opisywania niezgodności w raporcie z audytu),
  • określić metody audytu np. wywiady audytowe, wypełnianie list kontrolnych, przegląd dokumentacji, próbki,
  • wyznaczyć zespół audytujący, czyli wskazać audytora wiodącego i członków zespołu audytowego na podstawie kompetencji oraz podziału zadań i ról,
  • wskazać niezbędne zasoby po stronie audytowanej organizacji np. wyznaczenie osoby koordynatora, udostępnienie pomieszczenia, itp.,
  • potwierdzić zasady dotyczące zachowania poufności.

 

Gdy etap planowania mamy już za sobą, zespół dedykowanych audytorów iSecure przystępuje do następujących działań:

  • przygotowanie działań audytowych np. przeprowadzenie przeglądu dokumentacji, analiza schematu organizacyjnego, analiza materiałów dostępnych na stronie (stronach) www, podział zadań, opracowanie list kontrolnych,
  • przeprowadzenie właściwych działań audytowych, które obejmują spotkanie otwierające (wprowadzenie do audytu poprzez przedstawienie planu, celu, kryteriów, itd.), szczegółowy przegląd dokumentacji, zbieranie i weryfikacja informacji (np. poprzez wskazanie źródła informacji oraz dowodu z audytu), opracowanie ustaleń z audytu (wskazanie niezgodności), przygotowanie wniosków z audytu np. przygotowanie rekomendacji, spotkanie zamykające, czyli przedstawienie ustaleń oraz wniosków z audytu,
  • przygotowanie i dystrybucja raportu.

 

Jak widać, nasi audytorzy, planując i realizując audyt u klienta kierują się w pełni wytycznymi zawartymi w normie ISO 19011. Jest on przeprowadzany na poziomie szczegółowości opisanej w normie ISO 27001 (nie obejmuje zatem kontroli poprawności konfiguracji sprzętu informatycznego i oprogramowania oraz testów penetracyjnych). 

 

Istotnym elementem jest również precyzyjne opisanie klasyfikacji niezgodności. Raport, który otrzymasz będzie zawierał następujące opisy niezgodności:

  • niezgodność duża – niezgodność o krytycznym znaczeniu, mogąca wywołać istotne konsekwencje w przypadku jej materializacji np. poważne straty finansowe,
  • niezgodność średnia – niezgodność o średnim znaczeniu, mogąca wywołać konsekwencje o dużym znaczeniu w przypadku jej materializacji,
  • niezgodność mała – niezgodność o małym znaczeniu, niewywołująca znaczących konsekwencji dla organizacji.

 

Korzyści z audytu zgodności z normą ISO 27001:

  • możliwość przystąpienia do certyfikacji wg. ww. normy,
  • identyfikacja niezgodności i ich eliminacja,
  • obniżenie ryzyka związanego z naruszeniem zasad poufności, integralności i dostępności informacji,
  • dobra baza do wdrożenia wymogów wynikających z RODO,
  • wzrost świadomości bezpieczeństwa informacji wśród personelu.
Kontakt
Maria Lothamer
Wiceprezes Zarządu
Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki