AUDYT BEZPIECZEŃSTWA INFORMACJI
Audyt bezpieczeństwa informacji stanowi niezależną ocenę aktualnie działającego systemu informatycznego firmy wraz z jego infrastrukturą sprzętową, systemową i sieciową.
Oferujemy usługi naszych ekspertów, którzy w ramach audytu przeprowadzą analizę aspektów technicznych, informatycznych, prawnych i organizacyjnych w Państwa firmie. Pozwoli to zweryfikować prawidłowość procedur zarządzania systemami IT i stan systemu informatycznego oraz poziom ich zgodności z obowiązującymi normami i standardami. Realizowane przez nas działania audytowe są przeprowadzane w odniesieniu do obiektywnych uwarunkowań firmy zgodnie ze wskazaniami normy ISO/IEC 27001 i obowiązującymi przepisami prawa oraz wg aktualnego stanu technologii.
W myśl standardu Systemu Zarządzania Bezpieczeństwem Informacji w ramach obowiązującej normy ISO/IEC 27001 nasi eksperci zbadają 11 obszarów mających wpływ na bezpieczeństwo informacji. Są nimi:
- polityka bezpieczeństwa
- organizacja bezpieczeństwa informacji
- zarządzanie aktywami
- bezpieczeństwo zasobów ludzkich
- bezpieczeństwo fizyczne i środowiskowe
- zarządzanie systemami i sieciami
- kontrola dostępu
- zarządzanie ciągłością działania
- pozyskiwanie, rozwój i utrzymanie systemów informatycznych
- zarządzanie incydentami związanymi z bezpieczeństwem informacji
- zgodność z wymaganiami prawnymi i własnymi standardami
W czasie audytu bardzo wnikliwie weryfikowane jest bezpieczeństwo proceduralne i informatyczne - o ile w firmie takie procedury obowiązują - przeprowadzane są również testy oprogramowania systemowego oraz infrastruktury informatycznej. Do testów penetracyjnych używamy profesjonalnego oprogramowania, które na bieżąco jest aktualizowane o najnowsze konfiguracje sprzętowe, dzięki któremu mamy jasny obraz stanu technicznego infrastruktury.
Po przeprowadzeniu audytu sporządzamy poufny RAPORT identyfikujący zagrożenia – podatności w dotychczas funkcjonującym systemie bezpieczeństwa. Raport będzie zawierał również nasze rekomendacje w zakresie rozwiązań mających zapewnić bezpieczeństwo IT oraz zalecenia do procedur i dokumentacji, jeżeli takie funkcjonują w firmie.
Zlecający otrzymuje dokładny opis problemu oraz sugerowane rozwiązanie, jakie należy wprowadzić, aby zniwelować występujący problem.
Nasz zespół to wysokiej klasy specjaliści, z ponad 30-letnim doświadczeniem w dziedzinie szeroko pojętej technologii IT, znający zagadnienia systemów bezpieczeństwa.
W skład zespołu wchodzą doświadczeni audytorzy posiadający m.in. Certyfikat Audytora Wiodącego Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001.
Szczegółowy zakres usługi Audyt IT:
- Analiza procesów zarządzania IT i bezpieczeństwem.
- Przegląd dokumentacji.
- Weryfikacja ochrony danych osobowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2016 r., poz. 922.).
- Zbadanie zgodności konfiguracji systemów z założeniami polityki bezpieczeństwa.
- Przegląd zabezpieczeń systemu informatycznego funkcjonującego w firmie.
- Przeprowadzenie testów oprogramowania systemowego.
- Przeprowadzenie testów penetracyjnych infrastruktury informatycznej.
- Identyfikacja słabych punktów infrastruktury IT (w tym w systemach i urządzeniach).
- Analiza potrzeb w zakresie zabezpieczenia systemu.
- Dostarczenie informacji odnośnie przestrzegania norm i procedur bezpieczeństwa.
- Analiza bezpieczeństwa fizycznego i środowiskowego.
- Weryfikacja założeń dotyczących kontroli dostępu.
- Szkolenie i transfer wiedzy, w razie potrzeby.
- Konsultacje poaudytowe.
W czasie audytu na życzenie Klienta możemy przeanalizować i zasugerować rozwiązania, dzięki którym zarządzanie bezpieczeństwem informacji stanie się łatwiejsze. Wszystkie propozycje przed ich zastosowaniem należy rozważyć biorąc pod uwagę zasadę proporcjonalności. Mała firma – małe przedsiębiorstwo niekoniecznie musi stosować wzorce z dużych organizacji.
Zarządzanie infrastrukturą:
- Wykaz systemów informatycznych/komponentów infrastruktury;
- Określenie krytycznych zasobów i dostawców IT;
- Dziennik administratora systemu/Rejestr uprawnień/Rejestr kont serwisowych i administracyjnych;
- Rejestr wejść do pomieszczeń szczególnie chronionych;
- Dziennik sporządzania kopii/ Harmonogram testów;
- Procedura ponownego rozpoczęcia działalności firmy w przypadku awarii systemu informatycznego;
- Wykaz planów ciągłości działania oraz planów awaryjnych;
- Protokoły z testów warunków skrajnych oraz testów ciągłości działania;
- Lista kontaktowa osób i firm, które należy zawiadomić w przypadku wystąpienia sytuacji kryzysowych;
- Rejestr incydentów związanych z bezpieczeństwem informacji.