Audyt bezpieczeństwa systemów IT
Zgodnie z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, wprowadzone zostały nowe obowiązkowe wymagania dla:
- rejestrów publicznych
- wymiany informacji w postaci elektronicznej
- systemów teleinformatycznych.
Każdy podmiot realizujący zadania publiczne musi dostosować swój system informatyczny tak, aby spełniał on minimalne wymagania określone ww. rozporządzeniu. Dotyczy to zwłaszcza:
- specyfikacji formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym,
- sposobów zapewnienia bezpieczeństwa przy wymianie informacji,
- standardów technicznych zapewniających wymianę informacji z udziałem podmiotów publicznych z uwzględnieniem wymiany transgranicznej,
- sposobów zapewnienia dostępu do zasobów informacji podmiotów publicznych dla osób niepełnosprawnych.
Rozporządzenie wprowadza również obowiązek okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji – nie rzadziej niż raz na rok. Więcej o przepisach rozporządzenia.
- przeprowadzenie audytu wewnętrznego, o którym mowa w rozporządzeniu;
- pomoc we wdrożeniu odpowiednich rozwiązań – w formie doradztwa;
- przeszkolenie osób zaangażowanych w proces przetwarzania informacji oraz osób odpowiedzialnych za okresowe audyty.
W przypadku doradztwa zakres i formuła współpracy zależy od Państwa potrzeb. Chętnie pomożemy Państwu w zidentyfikowaniu ewentualnych obszarów wymagających udoskonalenia. W przypadku audytu Państwo proponujecie zakres, ale my dokonujemy oceny jego zasadności, tak aby audyt mógł zostać przeprowadzony profesjonalnie.
Każdy audyt wykonujemy zgodnie z międzynarodowymi standardami audytu, zachowując obiektywizm i niezależność.
Niezależnie od formuły współpraca nasza praca zazwyczaj dotyczy takich obszarów jak:
- weryfikacja aktualności:
- regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
- inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
- przeprowadzenie analizy:
- ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
- czy osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
- dokonanie oceny, czy:
- zapewniona jest ochrona przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami,
- ustanowione zostały podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
- informacja jest zabezpieczona w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie,
- w zawieranych w umowach serwisowych podpisanych ze stronami trzecimi znajdują się zapisy gwarantujące odpowiedni poziom bezpieczeństwa informacji,
- ustalono zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
- zapewniono odpowiedni poziom bezpieczeństwa w systemach teleinformatycznych.
Zachęcamy do zapoznania się z naszymi atutami, metodami pracy i zasadami. Jeśli mają Państwo jakieś pytania lub wątpliwości, zapraszamy do kontaktu telefonicznego lub za pośrednictwem elektronicznego formularza (oddzwonimy).