Audyt bezpieczeństwa systemów IT

Zgodnie z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, wprowadzone zostały nowe obowiązkowe wymagania dla:

  • rejestrów publicznych
  • wymiany informacji w postaci elektronicznej
  • systemów teleinformatycznych.

Każdy podmiot realizujący zadania publiczne musi dostosować swój system informatyczny tak, aby spełniał on minimalne wymagania określone ww. rozporządzeniu. Dotyczy to zwłaszcza:

  • specyfikacji formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym,
  • sposobów zapewnienia bezpieczeństwa przy wymianie informacji,
  • standardów technicznych zapewniających wymianę informacji z udziałem podmiotów publicznych z uwzględnieniem wymiany transgranicznej,
  • sposobów zapewnienia dostępu do zasobów informacji podmiotów publicznych dla osób niepełnosprawnych.

Rozporządzenie wprowadza również obowiązek okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji – nie rzadziej niż raz na rok. Więcej o przepisach rozporządzenia.

W zależności od Państwa potrzeb proponujemy:

  • przeprowadzenie audytu wewnętrznego, o którym mowa w rozporządzeniu;
  • pomoc we wdrożeniu odpowiednich rozwiązań – w formie doradztwa;
  • przeszkolenie osób zaangażowanych w proces przetwarzania informacji oraz osób odpowiedzialnych za okresowe audyty.

W przypadku doradztwa zakres i formuła współpracy zależy od Państwa potrzeb. Chętnie pomożemy Państwu w zidentyfikowaniu ewentualnych obszarów wymagających udoskonalenia. W przypadku audytu Państwo proponujecie zakres, ale my dokonujemy oceny jego zasadności, tak aby audyt mógł zostać przeprowadzony profesjonalnie.

Każdy audyt wykonujemy zgodnie z międzynarodowymi standardami audytu, zachowując obiektywizm i niezależność.
Niezależnie od formuły współpraca nasza praca zazwyczaj dotyczy takich obszarów jak:

  • weryfikacja aktualności:
    • regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
    • inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  • przeprowadzenie analizy:
    • ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
    • czy osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  • dokonanie oceny, czy:
    • zapewniona jest ochrona przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami,
    • ustanowione zostały podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
    • informacja jest zabezpieczona w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie,
    • w zawieranych w umowach serwisowych podpisanych ze stronami trzecimi znajdują się zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji,
    • ustalono zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
    • zapewniono odpowiedni poziom bezpieczeństwa w systemach teleinformatycznych.

Zachęcamy do zapoznania się z naszymi atutami, metodami pracy i zasadami. Jeśli mają Państwo jakieś pytania lub wątpliwości, zapraszamy do kontaktu telefonicznego lub za pośrednictwem elektronicznego formularza (oddzwonimy).