Audyt wewnętrzny bezpieczeństwa informacji – KRI

Zobacz szczegóły

Harmonogram

Audyt obejmuje wskazane w przepisach prawa obszary:

Lp.	PODSTAWA PRAWNA	OBSZAR AUDYTU
1.	§ 15 ust. 1 KRI	Planowanie, wdrażanie nowych systemów teleinformatycznych służących do realizacji zadań oraz ich eksploatacja z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk.
2.	§ 20 ust. 1 KRI	System Zarządzania Bezpieczeństwem Informacji: a) opracowanie i ustanowienie,b) wdrażanie i eksploatacja,c) monitorowanie i przegląd,d) utrzymanie i doskonalenieDziałania zapewniające poufność, dostępność i integralność informacji.
3.	§ 20 ust. 2 pkt 1 KRI	Aktualizacja regulacji wewnętrznych (miedzy innymi: regulaminów, zarządzeń, procedur).
4.	§ 20 ust. 2 pkt 2 KRI	Utrzymanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
5.	§ 20 ust. 2 pkt 3 KRI	Okresowe analizy ryzyka utraty integralności, dostępności lub poufności informacji. Działania minimalizujące ryzyko.
6.	§ 20 ust. 2 pkt 4 i 5 KRI	Działania zapewniające, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych zadań oraz powierzonych obowiązków. Zarządzanie zmianą uprawnień i upoważnień.
7.	§ 20 ust. 2 pkt 6 KRI	Szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.
8.	§ 20 ust. 2 pkt 7 KRI	Ochrona przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami: a) monitorowanie dostępu do informacji, b) czynności zmierzających do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.
9.	§ 20 ust. 2 pkt 8 KRI	Bezpieczna praca przy przetwarzaniu mobilnym i pracy na odległość.
10.	§ 20 ust. 2 pkt 9 KRI	Zabezpieczenie informacji przed nieuprawnionym dostępem modyfikacją, usunięciem lub zniszczeniem.
11.	§ 20 ust. 2 pkt 10 KRI	Podpisywanie umów serwisowych – gwarancje odpowiedniego poziom bezpieczeństwa informacji.
12.	§ 20 ust. 2 pkt 11 KRI	Zasady postępowania zapewniające minimalizację wystąpienia ryzyka kradzieży informacji oraz środków przetwarzania informacji, w tym urządzeń mobilnych.
13.	§ 20 ust. 2 pkt 12 KRI	Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych: a) dbałości o aktualizację oprogramowania, b) minimalizowanie ryzyka utraty informacji w wyniku awarii, c) ochrona przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowanie mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnienie bezpieczeństwa plików systemowych, f) redukcja ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, g) podejmowanie działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontrola zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.
14.	§ 20 ust. 2 pkt 13 KRI	Zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.
15.	§ 20 ust. 2 pkt 14 KRI	Wykonywanie audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.
16.	§ 20 ust. 4 KRI	Dodatkowe zabezpieczenia systemów wynikających z analizy ryzyka.
17.	§ 21 ust. 1 KRI	Rozliczalność w systemach teleinformatycznych – wiarygodne dokumentowanie w postaci elektronicznych zapisów w dziennikach systemu (logach).
18.	§ 21 ust. 2 KRI	Dzienniki systemowe – obligatoryjne odnotowywanie działań użytkowników lub obiektów systemowych polegających na dostępie do: a) systemu z uprawnieniami administracyjnymi, b) konfiguracji systemu, w tym konfiguracji zabezpieczeń, c) przetwarzanych w systemach danych podlegających prawnej ochronie w zakresie wymaganym przepisami prawa.
19.	§ 21 ust. 3 KRI	Dzienniki systemowe – odnotowywanie działań użytkowników lub obiektów systemowych, a także innych zdarzeń związanych z eksploatacją systemu: a) działań użytkowników nieposiadających uprawnień administracyjnych, b) zdarzeń systemowych nieposiadających krytycznego znaczenia dla funkcjonowania systemu, c) zdarzeń i parametrów środowiska, w którym eksploatowany jest system teleinformatyczny.
20.	§ 21 ust. 4 i 5 KRI	Procedury związane z dziennikami systemowymi: – okres przechowywania informacji w dziennikach systemów, – składowanie zapisów dzienników systemów.

Audyt KRI:

– przeprowadzany jest przez zespół ekspertów (audytorów norm ISO), posiadających specjalistyczną wiedzę i doświadczenie w zakresie szeroko rozumianego bezpieczeństwa informacji,

– wykonywany jest na podstawie przepisów prawa, wytycznych Ministra Cyfryzacji, normy ISO, kodeksów dobrych praktyk z dziedziny informatyki i bezpieczeństwa informacji przy jednoczesnym uwzględnieniu RODO, ustawy o ochronie danych osobowych, ustawy o cyberbezpieczeństwie.

Zapraszamy do kontaktu

Szczegóły

Termin	do uzgodnienia
Miejsce	do uzgodnienia
Cena	Cena do uzgodnienia zależna od zakresu, wielkości oraz specyfiki jednostki audytowanej.

<< powrót