Sprawozdanie z audytu zgodności SZBI z KRI

Prawo

dane

Kategoria

sprawozdanie

Klucze

audyt wewnętrzny, krajowe ramy interoperacyjności, kri, norma iso/iec 2700, procedury ochrony informacji, rekomendacje, sprawozdanie z audytu, szbi, zgodność

Sprawozdanie z audytu zgodności Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) z Krajowymi Ramami Interoperacyjności (KRI) ma na celu ocenę zgodności wdrażania wymagań bezpieczeństwa informacji. W dokumentacji znajdziesz analizę zgodności, identyfikację ewentualnych niezgodności oraz rekomendacje dotyczące dalszych działań w celu poprawy poziomu bezpieczeństwa informacji.

Sprawozdanie z audytu zgodności z KRI

Nazwa i adres podmiotu: CyberSafe Sp. z o.o., ul. Kwiatowa 12, 00-123 Warszawa

Cel audytu: Ocena stanu zgodności wewnętrznych procedur dotyczących ochrony informacji z wymaganiami przepisów Krajowych Ram Interoperacyjności

Zakres audytu:1 • Środki techniczne • Środki organizacyjne • Dokumentacja ochrony danych • Sposób realizowania obowiązków przez osoby upoważnione • Sposób realizowania obowiązków przez osoby odpowiedzialne za nadzór nad bezpieczeństwem informacji

Podjęte czynności:2 • Przegląd dokumentacji • Oględziny obszarów przetwarzania • Uzyskiwanie wyjaśnień od osób upoważnionych • Uzyskiwanie wyjaśnień od osób odpowiedzialnych za nadzór nad bezpieczeństwem informacji • Weryfikacja realizowania zasad określonych w SZBI

Audytor: Jan Kowalski

Okres przeprowadzania audytu: 01.03.2024 - 31.03.2024

Data przekazania sprawozdania: 15.04.2024

Najważniejsze wnioski i Liczba stwierdzonych: zalecenia:3 1) zgodności ............................ 2) obserwacji ............................ 3) drobnych niezgodności .............................. 4) poważnych niezgodności ............................ Najważniejsze rekomendacje w celu zapewnienia zgodności: ..................................................................................................

Ocena zgodności SZBI z Krajowymi Ramami Interoperacyjności

Wymóg wynikający z KRI Ocena zgodności Zalecenia

SZBI został opracowany na W przypadku spełnienia tego podstawie normy warunku, uznaje się spełnienie PN-ISO/IEC 2700, a wymagań KRI w zakresie 1 Wskazać ogólnie zakres audytu 2 Wskazać czynności zrealizowane przez audytora 3 Sprawozdania z audytów są zazwyczaj dość obszernymi dokumentami, a ich analiza może trwać kilka dni. Zdecydowanym ułatwieniem dla kierownictwa, a także przejawem profesjonalizmu audytora jest wyróżnienie na początku sprawozdania najważniejszych wniosków i zaleceń.

ustanawianie zabezpieczeń, ustanowienia i zarządzania zarządzanie ryzykiem oraz SZBI. Dalsza weryfikacja audytowanie odbywa się na zgodności z KRI nie jest podstawie Polskich Norm związanych z tą normą, w tym PN-ISO/IEC 27002 - w konieczna – podmiot powinien odniesieniu do ustanawiania przeprowadzać wewnętrzne zabezpieczeń oraz audyty zgodnie z normą PN-ISO/IEC 27005 - w ISO27001. odniesieniu do zarządzania ryzykiem Zapewnienie aktualizacji SZBI w zakresie dotyczącym zmieniającego się otoczenia Zapewnienie i utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji Inwentaryzacja sprzętu i oprogramowania obejmuje ich rodzaj i konfigurację Okresowe przeprowadzanie analizy ryzyka utraty integralności, dostępności lub poufności informacji Podejmowanie działań minimalizujących ryzyka dla bezpieczeństwa informacji, stosownie do wyników przeprowadzonej analizy Osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia Osoby upoważnione uczestniczą w procesach przetwarzania w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji Uprawnienia są zmieniane niezwłocznie w przypadku zmiany zakresu upoważnienia Zapewniono okresowe szkolenia osób zaangażowanych w proces przetwarzania informacji Zakres szkoleń dla personelu obejmuje: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich Zapewnienie technicznej oraz organizacyjnej ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami Zapewnienie monitorowania dostępu do informacji Wdrożenie rozwiązań służących wykryciu nieautoryzowanych działań związanych z przetwarzaniem informacji Zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji Ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość Zabezpieczenie informacji w sposób uniemożliwiający osobie nieuprawnionej jej ujawnienie, modyfikacje, usunięcie lub zniszczenie Zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji Ustalenie zasad postępowania z informacjami, zapewniającymi minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, adekwatnych do ryzyk i zagrożeń

Podsumowując, audyt zgodności SZBI z KRI pozwolił na identyfikację istotnych obszarów wymagających uwagi i ewentualnych działań korygujących. Wdrożenie rekomendacji zawartych w sprawozdaniu może przyczynić się do zwiększenia poziomu bezpieczeństwa informacji oraz spełnienia aktualnie obowiązujących standardów bezpieczeństwa.