Przejdź do treści

Audyty

Audyt organizacji na zgodność z KRI

Szczegółowy opis

Usługa polega na przeprowadzeniu audytu Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami  ust. 1 i 2 § 20 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012r w sprawie Krajowych Ramach Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012r. poz. 526)

 

Zakres Audytu:

  • przeprowadzenie audytu Systemu Zarządzania Bezpieczeństwem Informacji,  wskazanie zagrożeń i podatności oraz ocena aktualnego poziomu bezpieczeństwa
  • przeprowadzenie audytu outsourcingu - sprawdzenie dotrzymywania przez zewnętrznych usługo-dawców warunków umowy na świadczeniu usług hostingowych ( BIP, poczta e-mail itd.) i zgodności poziomu dostarczanej usługi z wymaganiami określonymi w umowach
  • dostarczenie wniosków, zaleceń i rekomendacji w celu dokładnego rozpoznania i redukcji zidentyfikowanych ryzyk, zagrożeń i podatności oraz wskazanie adekwatnych działań mających na celu jak najszybsze ich wyeliminowanie

 

Szczegółowy zakres audytu obejmuje sprawdzenie organizacji pod kątem:

1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;

2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;

4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;

6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:

a) zagrożenia bezpieczeństwa informacji,

b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,

c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;

7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:

a) monitorowanie dostępu do informacji,

b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,

c)  zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

10)  zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;

11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:

a) dbałości o aktualizację oprogramowania,

b)  minimalizowaniu ryzyka utraty informacji w wyniku awarii,

c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,

d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,

e)  zapewnieniu bezpieczeństwa plików systemowych,

f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,

g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,

h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;

13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.

 

Wyniki audytu:

Po przeprowadzonym audycie przedstawiciel audytowanego podmiotu otrzymuje raport końcowy dokumentujący jego przebieg wraz z informacjami o spostrzeżeniach i uchybieniach w odniesieniu do spełnienia wymagań ust. 1 i 2 § 20 Rozporządzenia, stanowiących podstawę do podjęcia przez organizację działań przywracających zgodność z wymaganiami.

 Zontek i Wspólnicy

Spółka komandytowa

 

 ul. F. Płaskowickiej 46/129

02-778 Warszawa

 

tel. 22 406 82 91

tel. 22 406 82 92

fax: 22 37 82 970

biuro@zontekiwspolnicy.pl

 

Copyrights © 2017 Zontek i Wspólnicy Sp.k.