Audyt w urzędzie
Ponieważ urząd musi być przyjazny, kompetentny, zgodny z przepisami i bezpieczny!
Jakie są ramy audytu
w urzędach?
Pracownicy firmy secIO prowadzą audyty bezpieczeństwa informacji firmy w oparciu o odgórnie kryteria, które dla wszystkich urzędów i instytucji realizujących zadania publiczne zostały ustalone w § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Podstawą przy przeprowadzaniu zadań audytowych, tam gdzie to znajduje zastosowanie, są również przepisy i uregulowania zawarte w ustawie z dnia 5 lipca 2018 r o krajowym systemie cyberbezpieczenstwa oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych oraz standardy i normy z rodziny PN-ISO/IEC 27000
W rozporządzeniu jasno przedstawione są wymagania dotyczące systemów teleinformatycznych w których przetwarzane są rejestry publiczne; obliguje to jednostki administracji publicznej do przeprowadzania corocznych audytów swojej infrastruktury informatycznej. W tym zakresie zespół secIO prowadzi samodzielenie audyty oraz profesjonalnie wspiera audytorów zatrudnionych zarówno w urzęach jak również jednostkach zależnych.
Jakie są zasadnicze grupy czynności w ramach audytu?
Rozpoznanie zasobów i dokumentów podczas przygotowanie audytu bezpieczeństwa informatycznego.
Realizację zadań audytowych w określonych zasobach i we wskazanych ramach.
Opracowanie i prezentacja szczegółowego raportu oraz wsparacie we wdrożeniu zaleceń.
Nasze audyty skupiają się na obszarach:
1) dokumentacji dotyczącej Systemu Zarządzania Bezpieczeństwa Informacji wdrożonej i planowanej do wdrożenia, w tym w szczególności w zakresie przetwarzania danych osobowych pod kątem zgodności z RODO,
2) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
3) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację,
4) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
5) podejmowania działań zapewniających, by osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji,
6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji z uwzględnieniem aspektów związanych z bezpieczeństwem informacji
7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami,
8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie,
10) ustalonych zapisów zawieranych w umowach serwisowych gwarantujących odpowiedni poziom bezpieczeństwa informacji,
11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych,
12) zapewnienia odpowiedniego określonego przez KRI poziomu bezpieczeństwa w systemach teleinformatycznych,
13) sposobu postępowania z incydentami związanymi z bezpieczeństwem informacji.
SECio
Adres
- Grunwaldzka 18
- Kolejowa 12
- NIP 8681550549
Kontakt
- tel. +48 50 55 88 963
- formularz kontaktowy