Co oferujemy?
Jeżeli Twoja organizacja realizuje zadania publiczne, niezwykle ważne jest, aby opracowała i wdrożyła system zarządzania bezpieczeństwem informacji. Na tym jej odpowiedzialność się nie kończy – zgodnie z ustawą o Krajowych Ramach Interoperacyjności zobowiązany jesteś stale monitorować, kontrolować, utrzymywać i doskonalić system, aby zapewnić poufność, dostępność i integralności informacji. W tym pomogą Ci eksperci PBSG!
Przeprowadzimy audyt KRI, który sprawdzi bezpieczeństwo informacji i systemów informatycznych. Sprawdzimy, czy Twój system zarządzania informacją spełnia wymagania normy ISO/IEC 27001. Rezultatem naszej pracy będzie raport wraz z rekomendacjami. Zapewniamy, że przekazane wnioski i wskazówki będą zgodne ze specyfikacją i dziedziną, w której działasz, a rozwiązania dostosujemy do posiadanych już standardów i procedur. Dzięki audytowi KRI zwiększysz prestiż instytucji i zagwarantujesz swoim petentom bezpieczeństwo pozostawionych danych.
Skorzystaj z naszego doświadczenia i podnieś standardy zarządzania bezpieczeństwem informacji.
Jak działamy?
1. Przygotowanie do audytu
Wyznaczymy zespół audytujący, który będzie współpracować z Twoim personelem. Określimy procedury audytu, aby zapewnić płynny obieg informacji i dokumentów. Audyt KRI dopasowujemy do potrzeb konkretnej jednostki, zatem możesz liczyć, że zastosujemy narzędzia odpowiadające charakterowi Twojej organizacji. Zadbamy też o to, aby cały proces przebiegł sprawnie i pomyślnie, tak aby nie zakłócać bieżącej pracy Twojej organizacji.
2. Wykonanie audytu KRI
Przed przystąpieniem do pracy zaprezentujemy zespół audytujący, jego rolę, przedstawimy cele audytu i model komunikacji. Przyjrzymy się aktualnej sytuacji oraz wykonamy audyt na z pomocą ustalonych narzędzi, np. analiza dokumentacji, specyfikacji, instrukcji, wywiady i listy kontrolne. Dokonamy analizy m.in. sposobów zapewnienia bezpieczeństwa przy wymianie informacji, standardów technicznych oraz protokołów komunikacyjnych i szyfrujących.
3. Raport z rekomendacjami
Otrzymasz od nas raport z zaleceniami. Zależy nam, aby Twoi pracownicy zyskali wymaganą wiedzę z zakresu bezpieczeństwa informacji i praktycznych rozwiązań, dlatego też zadbamy o jego formę – dokument będzie przejrzysty, ograniczony do minimum i napisany przyjaznym językiem. Stawiamy na komunikację i partnerstwo, dlatego odpowiemy na wszelkie pytania i wytłumaczymy kwestie niejasne.
4. Działania poaudytowe
Chcemy być Twoim partnerem, na którego doświadczenie i wsparcie możesz liczyć na każdym etapie współpracy. Nasz audyty KRI jest dokładny, szczegółowy i solidny, ponadto możesz liczyć na nasze dalsze wsparcie, na przykład przy wdrożeniu systemu bezpieczeństwa informacji lub zastosowaniu zadań naprawczych wskazanych w raporcie. Zależy nam na Twojej satysfakcji i bezpieczeństwa działania Twojej organizacji, dlatego nasi audytorzy i koordynatorzy są do Twojej dyspozycji.
Porozmawiajmy o Twoim projekcie! Wypełnij formularz
Co jeszcze oferujemy?
Pomożemy wdrożyć w Twojej organizacji pełny System Zarządzania Bezpieczeństwem Informacji lub jego poszczególne elementy. Sprawdź ofertę na inne usługi związane z System Zarządzania Bezpieczeństwem Informacji.
Kompleksowe wdrożenie SZBI
Poznaj zakres usługiAudyt Bezpieczeństwa Informacji
Poznaj zakres usługiAnaliza ryzyka Bezpieczeństwo Informacji
Poznaj zakres usługiAudyt zgodność z ISO 27001
Poznaj zakres usługiWdrożenie ISO 27001
Poznaj zakres usługiDokumentacja SZBI
Poznaj zakres usługiCertyfikacja ISO 27001
Poznaj zakres usługiAudyt zgodności z rekomendacją D
Poznaj zakres usługiSzkolenia Bezpieczeństwa Informacji
Poznaj zakres usługiWdrożenie Tisax
Poznaj zakres usługiDlaczego my?
Wiedza i doświadczenie
Indywidualne podejście
Dogodne warunki
Biznesowe podejście
Wybrane realizacje
Zobacz, jak pomogliśmy ambitnym klientom osiągnąć niezwykłe rezultaty.
Zaufali nam
Najważniejsze pytania o audyt KRI
Czym jest Audyt KRI?
KRI to skrót od Krajowych Ram Interoperacyjności. Wymagania w zakresie zarządzania bezpieczeństwem informacji zostały sprecyzowane w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Zgodnie z zapisami aktu podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali System Zarządzania Bezpieczeństwem Informacji (SZBI) zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Jednocześnie rozporządzenie wymusza egzekwowanie szeregu działań zapewniających odpowiedni poziom bezpieczeństwa informacji. Audyt KRI to nic innego jak analiza czy wymagania z ustawy zostały spełnione.
Ile kosztuje audyt KRI?
Koszt audytu KRI zależy od wielu czynników takich jak wielkość organizacji, specyfiką jej działalności, otoczenie rynkowe, regulacje i złożoność procesów, które w niej zachodzą. Istotna jest również liczba lokalizacji i oczekiwany czas realizacji projektu, co przekłada się na strukturę kosztów i cenę ostateczną. Każdy audyt wyceniany jest przez nas indywidualnie zgodnie z zakresem potrzeb i preferowanym harmonogramem.
Ile trwa audyt KRI?
Audyt KRI trwa zazwyczaj do kilku miesięcy i jest uzależniony wielkością organizacji i specyfiką projektu. Harmonogram dostosowujemy do indywidualnych oczekiwań Twojej organizacji.
Jaki jest zakres działań przy audycie KRI?
- Audyt organizacyjny:
- Regulacje w obszarze zarządzania bezpieczeństwem teleinformatycznym;
- Odpowiedzialność za bezpieczeństwo teleinformatyczne i koordynacja prac związanych z zarządzaniem bezpieczeństwem teleinformatycznym;
- Dokumentacja z zakresu ochrony danych osobowych oraz innych aktywów informacyjnych;
- Współpraca i zasady wymiany informacji z podmiotami trzecimi;
- Inwentaryzacja aktywów, przypisanie aktywów do właścicieli, dopuszczenie do wykorzystania aktywów;
- Klasyfikacja informacji
- Zarządzanie incydentem bezpieczeństwa teleinformatycznego;
- Rozliczanie pracowników odchodzących z organizacji (zwrot aktywów, odebranie praw dostępu);
- Rozliczanie pracowników zmieniających stanowisko w ramach organizacji;
- Zarządzanie ciągłością działania.
- Audyt fizyczny i środowiskowy:
- Weryfikacja granic obszaru bezpiecznego;
- Sprawdzenie zabezpieczeń wejścia/wyjścia;
- Weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń;
- Sprawdzenie bezpieczeństwa okablowania strukturalnego;
- Weryfikacja systemów chłodzenia;
- Sprawdzenie systemów alarmowych.
- Audyt teleinformatyczny:
- Weryfikacja istniejących procedur zarządzania systemami teleinformatycznymi;
- Sprawdzenie ochrony przed oprogramowaniem szkodliwym;
- Weryfikacja procedur zarządzania kopiami zapasowymi;
- Sprawdzenie procedur związanych z rejestracją błędów;
- Weryfikacja procedur dostępu do systemów operacyjnych, w tym zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania;
- Sprawdzenie zabezpieczeń stacji roboczych i nośników danych w szczególności tych, na których przetwarzane są dane osobowe;
- Weryfikacja haseł (ich stosowanie, przyjęta polityka ich tworzenia oraz zmiany, mechanizmy ich przechowywania);
- Analiza i ocena mechanizmów zarządzania aktualizacjami.
Kiedy i jak przeprowadzić audyt KRI?
Audyt KRI to rodzaj niezależnej kontroli, która analizuje między innymi dokumentację, specyfikacje, instrukcje i inne dokumenty funkcjonujące w firmie. Oprócz tego korzysta się z takich narzędzi jak wywiady i listy kontrolne. Obowiązek przeprowadzania audytu wewnętrznego reguluje rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI). Zgodnie z nim podmioty realizujące zadania publiczne mają obowiązek przeprowadzania audytu co najmniej raz w roku. Warto z tego korzystać, zwłaszcza że czas potrzebny do wdrożenia ewentualnych zmian wynosi od 1 do 3 miesięcy, w zależności od stopnia uporządkowania spraw i wielkości organizacji.
Kto może przeprowadzić audyt KRI?
Audyt możesz przeprowadzić samodzielnie pod warunkiem spełnienia wymagań, które określa rozporządzenie i norma ISO/IEC 27001. Zadanie to powinno być powierzone niezależnym ekspertom, bo tylko wtedy zyskasz gwarancję, że kontrola jest przeprowadzona prawidłowo i w jak najbardziej obiektywny sposób.
Co zawiera dokumentacja KRI?
W ramach usługi audytu KRI otrzymasz raport z zaleceniami zmian i ewentualnych poprawek. W PBSG stawiamy na przejrzystość i konkretne informacje, zatem otrzymasz od nas dokument z opisem praktycznych rozwiązań i rekomendacji. Co więcej, możesz skorzystać z usługi opracowania i wdrożenia dokumentacji systemu zarządzania bezpieczeństwem informacji na zgodność z wymaganiami rozporządzenia o KRI. Jest to o tyle ważne, że rozporządzenie o KRI określa około 70 wymagań dotyczących systemu informacyjnego, zdefiniowanych w 15 obszarach, oraz około 40 wymagań dotyczących dokumentacji – warto upewnić się, że zadbało się o każdy aspekt systemu bezpieczeństwa.
Jakie są korzyści z audytu KRI?
Celem przeprowadzenia audytu KRI jest weryfikacja bezpieczeństwa danych i optymalizacja procesów w zakresie teleinformatyki. Przynosi to szereg korzyści dla organizacji, począwszy od aktualizacji systemu bezpieczeństwa, przez podniesienie bezpieczeństwa informacji i danych, a na dostosowaniu systemu do przepisów prawa skończywszy. Wysoki poziom bezpieczeństwa, zapewniony przez regularne audyty KRI, gwarantuje ochronę zasobów organizacji, a także zwiększa efektywność pracy. To z kolei przekłada się na podniesienie zaufania opinii publicznej.