Raport z audytu bezpieczeństwa informacji – co powinien zawierać?
Audyt bezpieczeństwa informacji sprawdza poziom bezpieczeństwa systemu zarządzania bezpieczeństwem informacji (SZBI). Na koniec prac przygotowywany jest raport z podsumowaniem, który uwzględnia m.in. stwierdzone niezgodności, luki, a także rekomendacje. Dowiedz się, co jeszcze powinno znaleźć się w raporcie z audytu.
Każda organizacja powinna opracować i wdrożyć system zarządzania bezpieczeństwem informacji. Dotyczy to zwłaszcza podmiotów realizujących zadania publiczne – zgodnie z ustawą o Krajowych Ramach Interoperacyjności zobowiązane są do stałego monitorowania, kontroli, utrzymywania i doskonalenia systemu, aby zapewnić poufność, dostępność i integralności informacji. Bezpieczeństwo informacji jest kwestią niezwykle ważną w kontekście każdego działania biznesowego, dlatego i inne organizacje powinny zadbać nie tylko o procedury i polityki bezpieczeństwa, ale też o systematyczne audyty. Rezultatem prac audytorskich jest raport, który wskazuje nieprawidłowości oraz sposoby ich naprawy.
Po co wykonuje się audyt bezpieczeństwa informacji?
Międzynarodowym standardem systemu zarządzania bezpieczeństwem informacji jest ISO/IEC 27001. Norma ta określa wymagania i zasady odnoszące się do poprawy zarządzania bezpieczeństwem informacji w organizacji wraz z najlepszymi praktykami. Rolą audytu jest weryfikacja poprawności stosowanych zabezpieczeń w odniesieniu do założonych wymagań. Sam audyt jest procesem, prowadzonym przez niezależną jednostkę, która gromadzi i ocenia materiały funkcjonujące w organizacji i bada je pod kątem zgodności z ustalonymi kryteriami (np. przepisami prawa, normami czy politykami bezpieczeństwa).
Z jednej strony audyt bezpieczeństwa informacji daje odpowiedź na pytanie, czy organizacja spełnia obowiązki formalne, a z drugiej analizuje wymogi techniczne dotyczące systemów informatycznych, przy pomocy których informacje są przetwarzane. W tym celu stosuje się rozmaite narzędzia. Przykładowo w PBSG badamy dokumentację (w tym dotyczącą przetwarzania danych osobowych), przeprowadzamy wywiady, ankiety listy kontrolne i wykonujemy testy. Na koniec weryfikujemy zebrane dane, aby ostatecznie przygotować wnioski z audytu. Przeprowadzamy też spotkanie zamykające audytu, na którym przedstawiamy raport wraz z rekomendacjami.
Co znajdziesz w raporcie z audytu bezpieczeństwa?
Każdy audyt kończy się raportem, w którym oprócz wskazania luk i braków zamieszcza się również propozycję działań naprawczo-korygujących. W praktyce raport podzielony jest na dwie części – pierwsza część zawiera sumaryczne zestawienie wyników audytu w odniesieniu do wymagań bezpieczeństwa informacji, a druga – wytyczne do doskonalenia i zakres prac, które zwiększą poziom bezpieczeństwa informacji. Niezwykle ważne jest, aby sam audyt, jak i rekomendacje, dostosowane były do branży i specyfikacji organizacji, a także do już funkcjonujących procedur.
Raport zawiera wnioski z analiz dotyczących m.in.:
- dokumentacji pod kątem ich zgodności z przepisami, efektywności oraz aktualności
- procedur i sposobu przetwarzania danych osobowych
- wymogów technicznych dotyczących systemów informatycznych
- zabezpieczeń techniczno-organizacyjnych
- fizycznych środków bezpieczeństwa, np. zabezpieczenia pomieszczeń, ochrona przeciwpożarowa, urządzenia zabezpieczające przed utratą zasilania itd.
- wiedzy pracowników nt. procedur bezpieczeństwa zarządzania informacją
Analiza wyników poszczególnych elementów audytu i ich zależności daje pełny obraz sytuacji zastanej i możliwych problemów. To z kolei pozwala dobrać stosowne zalecenia i w konsekwencji zwiększyć efektywność procesów zachodzących w jednostce.
Jeśli chodzi o aspekty formalne, to raport powinien zawierać takie informacje jak:
- opis działania
- imię i nazwisko audytora (wraz z nr upoważnienia) lub nazwa firmy audytującej
- cel audytu
- podmiotowy i przedmiotowy zakres audytu (np. ocena stanu zgodności i przygotowania organizacji do certyfikacji ISO 27001)
- podjęte czynności i zastosowane techniki (np. testy przeglądowe, listy kontroli, przegląd dokumentacji, wywiady)
- opis działań jednostki w badanym obszarze (krótka charakterystyka organizacji i wymagań, jakie musi lub chce spełnić)
- data wykonania audytu
- data sporządzenia raportu
Dodajmy, że dobrą praktyką jest wykonywanie audytów bezpieczeństwa co rok – mówi o tym zarządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności. Wprawdzie zalecenie dotyczy organizacji publicznych, ale warto przełożyć to na inne profile działalności, ponieważ kwestia bezpieczeństwa informacji jest istotna z punktu widzenia biznesowego – pomaga utrzymać pozycję rynkową, wyniki i wizerunek.
Podsumowanie
Raport z audytu bezpieczeństwa informacji to dokument, który daje odpowiedź na pytanie, czy organizacja spełnia normy i standardy dotyczące bezpieczeństwa informacji. Bardzo ważne jest, aby był przygotowany w sposób przejrzysty i minimalistyczny – biurokracja powinna być ograniczona do minimum, znacznie cenniejszy jest tu aspekt praktyczny. Tak właśnie działamy w PBSG. Po zakończeniu audytu otrzymasz od nas kompletny raport wraz z rekomendacjami. Uzyskasz obiektywne i niezależne informacje oraz oceny spełnienia kryteriów, które pomogą Ci udoskonalić obszary powiązane z zarządzaniem informacją. Na tym nasza rola się nie kończy – oferujemy również działania poaudytowe obejmujące wsparcie przy wdrożeniu wskazanych w raporcie działań naprawczych, jeśli takowe zostaną stwierdzone.
Tutaj znajdziesz więcej informacji o usłudze: Audyt SZBI.
O Autorze
