ISO 27002

Bezpieczeństwa Informacji

Usługa auditu jest skierowana do organizacji, które chcą zbadać na ile stosowane rozwiązania w zakresie bezpieczeństwa informacji są zgodne z rekomendacjami zdefiniowanymi w standardzie ISO 27002. Jest to wykaz minimalnych zabezpieczeń, które rozsądek i dobra praktyka nakazuje wdrożyć, by mówić o jakiejkolwiek skutecznej ochronie informacji. Audit jest przeprowadzany z wykorzystaniem podobnych procedur i działań jak audity certyfikacyjne systemów zarządzania bezpieczeństwem informacji. Analizowane jest czy zabezpieczenia zostały wdrożone, oraz skuteczność ich implementacji.

Cele auditu

Wykonywany audit powinien dostarczyć wiedzy na temat stanu zabezpieczeń w badanym obszarze. Przede wszystkim czy stosowane zabezpieczenia są skutecznie wdrożone a w przypadku kiedy zabezpieczenia nie są stosowane, czy jest to optymalna decyzja. Audit ten może być traktowany jako wskazanie słabości, potencjałów doskonalenia w zakresie zarządzania bezpieczeństwem informacji.

Jak auditujemy?

Audit przeprowadzany jest zgodnie z wytycznymi zdefiniowanymi w normach PN-EN ISO 19011:2012 oraz ISO/IEC 27006:2011, a więc stosowanymi w przypadku certyfikacji systemów zarządzania bezpieczeństwem informacji. Auditorzy w trakcie auditu pozyskują wiedzę wykorzystując:

  • analizę dokumentów
  • wywiady z kluczowymi osobami
  • praktyczne obserwacje i demonstracje działania konkretnych zabezpieczeń

W trakcie auditu sporządzane są notatki będące podstawą do sporządzenia raportu.

Zespół auditowy

W skład zespołu wchodzą auditorzy oraz eksperci techniczni. Audit przeprowadzają wykwalifikowani auditorzy wiodący TÜV NORD Polska. Są oni osobami uprawnionymi do prowadzenia auditów dla systemów ISO 27001, ISO 20000, ISO 22301 (BS25999), ISO 9001, z dużym doświadczeniem auditowym. Jeżeli jest to konieczne, zespół auditowy uzupełniany jest przez ekspertów, stanowiących wsparcie merytoryczne dla określonych zagadnień.

Przebieg auditu

Audit składa się z dwóch faz, krotko omówionych poniżej:

  • Faza I to przygotowanie do auditu, przygotowanie planu auditu
  • Faza II to przeprowadzenie auditu u klienta, sporządzenie raportu z auditu.

Faza I

To przygotowanie zespołu auditowego do auditu. Zespół wspólnie ustala jakie dokumenty mogą być udostępnione zespołowi w celu zapoznania się obszarem auditowanym. Stosowana jest praktyka przesyłania dokumentacji przez klientów lub jeżeli to konieczne auditorzy zapoznają się z dokumentacją na miejscu u klienta. Efektem tej fazy jest szczegółowy plan auditu, wskazujący jakie jednostki organizacyjne, lub procesy będą badane, jakie zabezpieczenia będą oceniane. Plan zawiera również harmonogram czasowy przebiegu auditu. Plan auditu jest wspólnie uzgadniany z organizacją auditowaną.

Faza II

Są to działania realizowane na miejscu w organizacji auditowanej. Prowadzone są wywiady z pracownikami odpowiedzialnymi za auditowane procesy i zabezpieczenia, analizowane konieczne dokumenty i zapisy. Tam gdzie to jest zasadne przeprowadzane są testy, demonstracje np. potwierdzające poprawność działania zabezpieczeń. Po zakończeniu auditu przygotowywany jest raport podsumowujący wyniki auditu i przekazywany auditowanej stronie. Dostarczenie raportu kończy audit.

W przypadku zainteresowania ofertą prosimy o skontaktowanie się z nami.