iSecure logo
  • pl
  • en
    • Audyt bezpieczeństwa informacji – wsparcie dla bezpieczeństwa IT

    Audyt zgodności z normą PN-ISO/IEC 27001

    Informacje, procesy, systemy teleinformatyczne od dawna stanowią kluczowe zasoby niemal każdej organizacji. Z tego też powodu są one narażone na zagrożenia, które wynikają z bardzo różnych źródeł, włączając w to m.in. oszustwa komputerowe, szpiegostwo, sabotaż, wandalizm, ogień i powódź. Audyt ISO 27001 przeprowadzany jest w zakresie bezpieczeństwa informacji, aby ocenić zgodność systemu zarządzania bezpieczeństwem informacji z wymaganiami normy oraz zapewnić ochronę poufnych informacji przed nieautoryzowanym dostępem.

    Audyt zgodności z normą ISO IEC 27001 – zakres i korzyści dla organizacji

    Norma ISO 27001 to konkretne wytyczne, które pozwalają stworzyć system zarządzania bezpieczeństwem informacji (SZBI), dzięki któremu – poprzez stosowanie procesu zarządzania ryzykiem – zapewnia się tym zasobom poufność (informacja nie jest udostępniana ani ujawniana nieautoryzowanym osobom), integralność (zapewnienie kompletności i dokładności informacji) i dostępność (dostępność i użyteczność informacji na żądanie autoryzowanego podmiotu).

    Twoja organizacja może mieć różne motywy, żeby przeprowadzić audyt zgodności z normą ISO 27001, wśród których można wymienić:

    • chęć zbudowania SZBI, a następnie przystąpienia do certyfikacji ISO zgodnie z wymogami normy i międzynarodowymi standardami,
    • sprawdzenie skuteczności wdrożonego SZBI i jego zgodności z wymaganiami prawnymi,
    • wymogi przepisów prawa dotyczące ochrony danych osobowych,
    • identyfikację obszarów wymagających podjęcia działań naprawczych oraz ciągłe doskonalenie procesów związanych z bezpieczeństwem informacji.

    Bez względu na to, co Cię motywuje, audyt zgodności z wymogami ISO 27001 obejmuje następujące działania:

    • przeprowadzenie inwentaryzacji oraz analizy zasobów informacyjnych,
    • zdefiniowanie podejścia do szacowania ryzyka oraz przeprowadzenie analizy i oceny ryzyka w obszarze bezpieczeństwa informacji,
    • zdefiniowanie relacji z partnerami biznesowymi i dostawcami,
    • analizę zarządzania incydentami związanymi z bezpieczeństwem informacji i naruszeniem danych,
    • opracowanie polityki bezpieczeństwa informacji oraz planów ciągłości działania,
    • określenie ról, odpowiedzialności i uprawnień związanych z kontrolą dostępu i bezpieczeństwem informacji, w tym środków fizycznych,
    • określenie sposobów mierzenia skuteczności zabezpieczeń oraz monitorowanie ich działania.

    Planowanie i przebieg audytu ISO 27001 – program, metody i raportowanie

    Szczególnie istotnym etapem jest planowanie audytu (stworzenie jego programu), ponieważ wymaga on dokładnego przygotowania. Zupełnie inaczej wygląda to w małej firmie, a jeszcze inaczej w dużej organizacji, która oprócz centrali obejmuje również oddziały i terenowe biura sprzedaży. Jednak istnieje pewien wspólny mianownik w postaci konkretnych informacji, które na etapie przygotowania audytu należy uzgodnić, w szczególności zaś:

    • zdefiniować cel audytu, czyli wskazać motywacje, o której była mowa wcześniej,
    • wskazać zakres, czas trwania (harmonogram) audytu, co ma ogromne znaczenie dla audytowanej organizacji, ponieważ każdy audyt w jakimś stopniu dezorganizuje pracę personelu skierowanego do współpracy z audytorami,
    • określić procedury audytu, co obejmuje m.in. sposób składania raportów do kierownictwa np. w przypadku wykrycia krytycznej niezgodności,
    • doprecyzować kryteria audytu, czyli punkt odniesienia, dla którego określana jest zgodność np. zgodność z wewnętrznymi procedurami, z wymogami prawa (ma to także przełożenie na sposób opisywania niezgodności w raporcie z audytu),
    • określić metody audytu np. wywiady audytowe, wypełnianie list kontrolnych, przegląd dokumentacji, próbki,
    • wyznaczyć zespół audytujący, czyli wskazać audytora wiodącego i członków zespołu audytowego na podstawie doświadczenia, kompetencji oraz podziału zadań i ról,
    • wskazać niezbędne zasoby po stronie audytowanej organizacji np. wyznaczenie osoby koordynatora, udostępnienie pomieszczenia, itp.,
    • potwierdzić zasady dotyczące zachowania poufności i ochrony danych.

    Gdy etap planowania mamy już za sobą, zespół dedykowanych audytorów iSecure przystępuje do następujących czynności audytowych:

    • przygotowanie działań audytowych np. przeprowadzenie przeglądu dokumentacji, analiza schematu organizacyjnego, analiza materiałów dostępnych na stronie (stronach) www, podział zadań, opracowanie list kontrolnych,
    • przeprowadzenie właściwych działań audytowych, które obejmują spotkanie otwierające (wprowadzenie do audytu poprzez przedstawienie planu, celu, kryteriów, itd.), szczegółowy przegląd dokumentacji, zbieranie i weryfikacja informacji (np. poprzez wskazanie źródła informacji oraz dowodu z audytu), opracowanie ustaleń z audytu (wskazanie niezgodności), przygotowanie wniosków z audytu np. przygotowanie rekomendacji, spotkanie zamykające, czyli przedstawienie ustaleń oraz wniosków z audytu,
    • przygotowanie i dystrybucja raportu.

    Jak widać, nasi audytorzy, planując i realizując audyt u klienta kierują się w pełni wytycznymi zawartymi w normie ISO 19011. Jest on przeprowadzany na poziomie szczegółowości opisanej w normie ISO 27001 (nie obejmuje zatem kontroli poprawności konfiguracji systemów informatycznych i oprogramowania oraz testów penetracyjnych).

    Istotnym elementem jest również precyzyjne opisanie klasyfikacji niezgodności. Raport, który otrzymasz będzie zawierał następujące opisy niezgodności:

    • niezgodność duża – niezgodność o krytycznym znaczeniu, mogąca wywołać istotne konsekwencje w przypadku jej materializacji np. poważne straty finansowe,
    • niezgodność średnia – niezgodność o średnim znaczeniu, mogąca wywołać konsekwencje o dużym znaczeniu w przypadku jej materializacji,
    • niezgodność mała – niezgodność o małym znaczeniu, niewywołująca znaczących konsekwencji dla organizacji.

    Korzyści z audytu zgodności systemu zarządzania bezpieczeństwem informacji z normą ISO 27001:

    • możliwość przystąpienia do certyfikatu ISO wg ww. normy,
    • identyfikacja niezgodności i ich eliminacja,
    • obniżenie ryzyka związanego z naruszeniem danych oraz ochronie danych osobowych,
    • dobra baza do wdrożenia wymogów wynikających z RODO i innych wymagań prawnych,
    • wzrost świadomości bezpieczeństwa informacji wśród pracowników dzięki szkoleniu oraz budowanie zaufania klientów i partnerów biznesowych.
    Kontakt
    Maria Lothamer
    Wiceprezes Zarządu
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki