Usługa obejmuje opracowanie dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami ust. 1 i 2 § 20 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012r w sprawie Krajowych Ramach Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012r. poz. 526)
Etap 1
Audyt zerowy
Przeprowadzenie audytu zerowego na zgodność z obowiązującymi przepisami.
Zapoznanie się z dokumentacją Podmiotu i jej systemami informatycznymi
Etap 2
Inwentaryzacja aktywów
- Przeprowadzenie wywiadów w organizacji, gdzie występują dokumenty i systemy informatyczne
- Dokonanie spisu aktywów (dokumentów i systemów informatycznych)
Etap 3
Analiza ryzyka
- Proces zarządzania ryzykiem
- Wyliczenie ryzyk w arkuszu analizy ryzyka
- Opracowanie planu postępowania z ryzykiem
Etap 4
Dokumentacja SZBI
- Opracowanie deklaracji polityki bezpieczeństwa
- Opracowanie polityki bezpieczeństwa informacji (w tym Instrukcji Zarządzania Systemem Informatycznym)
Etap 5
Opracowanie procedur bezpieczeństwa osobowego
- Procedura zatrudniania i zwalniania pracowników
- Procedura przeprowadzania Szkoleń
- Oświadczenia i upoważnienia
Opracowanie procedur bezpieczeństwa fizycznego
- Procedura zabezpieczania pomieszczeń i przyznawania dostępu do pomieszczeń
- Wykaz budynków i pomieszczeń wraz z zabezpieczeniami, gdzie przetwarzane są aktywa
- Procedura dostępu osób trzecich
Opracowanie procedur zarządzania systemami informatycznymi
- Procedura nadawania/odbierania uprawnień
- Procedura korzystania z systemu informatycznego
- Procedura korzystania z komputerów przenośnych
- Procedura zarządzania nośnikami wymiennymi
- Procedura zarządzania hasłami
- Procedura korzystania z poczty email
- Procedura korzystania z internetu
- Procedura czystego ekranu
- Procedura korzystania z systemu zdalnej pracy (VPN)
- Procedura wymiany i przekazywania informacji z systemu informatycznego
- Procedura korzystania z zabezpieczeń kryptograficznych
- Procedura archiwizacji
- Procedura przeglądu i konserwacji systemu informatycznego
- Procedura monitorowania systemuProcedura aktualizacji i instalacji poprawek i nowych wersji programów
Etap 6
Opracowanie dokumentacji systemowej – Procedury systemowe i szablony
Opracowanie procedur:
- nadzoru nad dokumentami i zapisami
- reagowania na incydenty
- przeprowadzania audytów
- działań korygujących i zapobiegawczych
- przeglądów SZBI
- plany awaryjne
Etap 7
Wdrożenie systemu
- Szkolenie świadomościowe pracowników z obowiązków wynikających przestrzegania SZBI
- Wprowadzenie klauzul poufności, oświadczeń o zachowaniu poufności, upoważnień do pomieszczeń i korzystania z systemów informatycznych, gdzie przetwarzane są aktywa
- Zaprowadzenie rejestru incydentów
- Zapisy w dziale IT
- Wyszkolenie audytorów i przeprowadzenie audytów systemu
- Ponowna analiza ryzyka z uwzględnieniem wdrożonych zabezpieczeń
- Zaprowadzenie rejestru działań korygujących i zapobiegawczych
- Przeprowadzenie przeglądu zarządzania