Audyt systemu informatycznego w kontekście obowiązujących standardów CYBERBEZPIECZEŃSTWA (praca zdalna, bezpieczeństwo informacji, outsorcing usług)
Firma ATFIDE Sp. z o.o., dzięki odpowiednio dobranemu, profesjonalnemu zespołowi specjalistów ds. bezpieczeństwa i ochrony informacji, opracowała dla Państwa ofertę, w zakresie przeprowadzenia niezależnego audytu bezpieczeństwa systemu zarządzania bezpieczeństwem informacji przetwarzanych przy użyciu systemu IT w Państwa organizacji.
Przypominamy, że spoczywa na Państwu obowiązek zapewnienia okresowych przeglądów i audytów wewnętrznych w zakresie bezpieczeństwa informacji i danych osobowych w kontekście RODO / KRI.
Proponowany zakres usługi audytu:
Zakres usługi:
- Ocena procedur i regulacji wewnętrznych uwzględniających wymagania bezpieczeństwa informacji.
a) Przeprowadzenie ogólnej analizy stanu bezpieczeństwa informacji / weryfikacja przyjętych procedur i
zasad bezpieczeństwa danych, zapobiegająca osobom nieuprawnionym ich ujawnienie, modyfikacje,
usunięcie lub zniszczenie oraz umożliwiających szybkie podjęcie działań korygujących,
b) Analiza procedur bezpieczeństwa w kontekście określenia zabezpieczeń technicznych i organizacyjnych
przetwarzanych informacji w systemie IT,
c) Analiza wymagań dotyczących klasyfikacji naruszeń i sprawdzenie procedury zgłaszania naruszeń
ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO,
d) Sprawdzenie procedury na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko
naruszenia praw i wolności osób – art. 34 RODO,
e) Sprawdzenie dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust
5 RODO,
f) Analiza planu/ów ciągłości działania systemu– art. 32 ust 1 pkt b RODO,
g) Analiza procedur odtwarzania systemu po awarii, i ich testowania – art. 32 ust 1 pkt c i d RODO, - Analiza stosowanych zabezpieczeń techniczno-informatycznych, adekwatnych do zidentyfikowanych zagrożeń cyberzagrożeń,
a) Ocena stosowanych zabezpieczeń informacji przetwarzanych przy użyciu systemu IT, przed ich kradzieżą,
nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, w szczególności poprzez zapewnienie
środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług
sieciowych i aplikacji,
b) Analiza procedur ochrony przed oprogramowaniem szkodliwym, w szczególności jego instalacji i
aktualizacji. Badanie procedur archiwizacji i zarządzania kopiami archiwalnymi.
c) Badanie procedur związanych z rejestracją i przetwarzaniem błędów funkcjonowania oprogramowania
i sprzętu IT.
d) Analiza polityki zarządzania hasłami, licencjami, aktualizacjami i wykorzystaniem urządzeń mobilnych.
e) Weryfikacja zabezpieczeń wybranych stacji roboczych i nośników informacji.
f) Analiza architektury dołączenia sieci lokalnej do Internetu;
g) Badanie skuteczności zastosowanych mechanizmów ochronnych na ataki różnych typów, w tym;
✓ Wykrywanie i przejęcie usług sieciowych dostarczanych przez sieć lokalną;
✓ Wykrywanie i ewentualne wykorzystanie luk w wykorzystywanym; oprogramowaniu systemowym,
narzędziowym, aplikacyjnym;
✓ Analityczne przedstawienie zaleceń mających na celu usunięcie wykrytych luk;
✓ Wdrożenie zaleceń-poprawki systemu;
Wyniki realizacji usługi audytu:
Opracowanie raportu dokumentującego jego przebieg wraz z informacjami o spostrzeżeniach i uchybieniach w odniesieniu do spełnienia wymagań obowiązujących przepisów prawa, stanowiących podstawę do podjęcia przez Administratora działań przywracających zgodności z wymaganiami. Raport zawiera w szczególności uwagi, wnioski, zalecenia i wytyczne w celu rozpoznania i ograniczenia zidentyfikowanych ryzyk, zagrożeń i podatności obszarów oraz wskazanie działań mających na celu jak najszybsze ich wyeliminowanie.
Koszt realizacji usługi (do uzgodnienia)
