DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> ISO 27001 - Audit Diagnostyczny Bezpieczeństwa Informacji na zgodność z rekomendacjami PN-ISO/IEC 17799:2007, ISO/IEC 27002:2007 - TÜV NORD Polska

ISO 27001

Audit Diagnostyczny Bezpieczeństwa Informacji
na zgodność z rekomendacjami
PN-ISO/IEC 17799:2007, ISO/IEC 27002:2007

Opis usługi

Usługa auditu jest skierowana do organizacji, które chcą zbadać na ile stosowane rozwiązania w zakresie bezpieczeństwa informacji są zgodne z rekomendacjami zdefiniowanymi w standardzie ISO 17799/ISO 27002. Jest to wykaz minimalnych zabezpieczeń, które rozsądek i dobra praktyka nakazuje wdrożyć, by mówić o jakiejkolwiek skutecznej ochronie informacji. Audit jest przeprowadzany z wykorzystaniem podobnych procedur i działań jak audity certyfikacyjne systemów zarządzania bezpieczeństwem informacji. Analizowane jest czy zabezpieczenia zostały wdrożone, oraz skuteczność ich implementacji.

Cele auditu

Wykonywany audit powinien dostarczyć wiedzy na temat stanu zabezpieczeń w badanym obszarze. Przede wszystkim czy stosowane zabezpieczenia są skutecznie wdrożone a w przypadku kiedy zabezpieczenia nie są stosowane, czy jest to optymalna decyzja. Audit ten może być traktowany jako wskazanie słabości, potencjałów doskonalenia w zakresie zarządzania bezpieczeństwem informacji.

Realizacja auditu

W trakcie auditu badane są następujące obszary zarządzania bezpieczeństwem informacji zdefiniowane w normie ISO 17799/27002:

A.5 Polityka bezpieczeństwa:
dokumentacja systemu zabezpieczeń, polityki, procedury, instrukcje.

A.6 Organizacja bezpieczeństwa:
podział obowiązków, odpowiedzialności.

A.7 Zarządzanie aktywami:
klasyfikacja ze względu na wrażliwość, zasady postępowania.

A.8 Bezpieczeństwo zasobów ludzkich:
wymagania bezpieczeństwa informacji w procesach rekrutacyjnych, zmiany lub ustania stosunku pracy.

A.9 Bezpieczeństwo fizyczne i środowiskowe:
zabezpieczenia fizyczne, obszary bezpieczne, zasady pracy w obszarach bezpiecznych, zabezpieczenia techniczne.

A.10 Zarządzanie systemami i sieciami:
zarządzanie sieciami i systemami informacyjnymi.

A.11 Kontrola dostępu:
Zasady dostępu do systemów informacyjnych.

A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych:
projektowanie, tworzenie oprogramowania, nadzorowanie zmian w systemach informacyjnych.

A.13 Zarządzanie incydentami bezpieczeństwa informacji.

A.14 Zarządzanie ciągłością działania.

A.15 Zgodność:
stopień odniesienia się do właściwych dla badanego obszaru wymagań prawnych, ochrona własności intelektualnej, ochrona własnych zapisów.
Z powyższych obszarów będą wybierane konkretne zabezpieczenia i badana będzie skuteczność ich implementacji.

Jak auditujemy?

Audit przeprowadzany jest zgodnie z wytycznymi zdefiniowanymi w normach PN-ISO 19011:2003 oraz 27006:2006, a więc stosowanymi w przypadku certyfikacji systemów zarządzania bezpieczeństwem informacji. Auditorzy w trakcie auditu pozyskują wiedzę wykorzystując:

  • analizę dokumentów
  • wywiady z kluczowymi osobami
  • praktyczne obserwacje i demonstracje działania konkretnych zabezpieczeń.

W trakcie auditu sporządzane są notatki będące podstawą do sporządzenia raportu.

Zespół auditowy

W skład zespołu wchodzą auditorzy oraz eksperci techniczni. Audit przeprowadzają wykwalifikowani auditorzy wiodący TÜV NORD Polska. Są oni osobami uprawnionymi do prowadzenia auditów dla systemów ISO 27001, ISO 20000, BS 25999, ISO 9001, z dużym doświadczeniem auditowym. Jeżeli jest to konieczne, zespół auditowy uzupełniany jest przez ekspertów, stanowiących wsparcie merytoryczne dla określonych zagadnień.

Przebieg auditu

Audit składa się z dwóch faz, krotko omówionych poniżej:
Faza I to przygotowanie do auditu, przygotowanie planu auditu
Faza II to przeprowadzenie auditu u klienta, sporządzenie raportu z auditu.

Faza I

przygotowanie zespołu auditowego do auditu. Zespół wspólnie ustala jakie dokumenty mogą być udostępnione zespołowi w celu zapoznania się obszarem auditowanym. Stosowana jest praktyka przesyłania dokumentacji przez klientów lub jeżeli to konieczne auditorzy zapoznają się z dokumentacją na miejscu u klienta. Efektem tej fazy jest szczegółowy plan auditu, wskazujący jakie jednostki organizacyjne, lub procesy będą badane, jakie zabezpieczenia będą oceniane. Plan zawiera również harmonogram czasowy przebiegu audytu. Plan audytu jest wspólnie uzgadniany z organizacją auditowaną.

Faza II

Są to działania realizowane na miejscu w organizacji auditowanej. Prowadzone są wywiady z pracownikami odpowiedzialnymi za auditowane procesy i zabezpieczenia, analizowane konieczne dokumenty i zapisy. Tam gdzie to jest zasadne przeprowadzane są testy, demonstracje np. potwierdzające poprawność działania zabezpieczeń.
Po zakończeniu auditu przygotowywany jest raport podsumowujący wyniki auditu i przekazywany auditowanej stronie. Dostarczenie raportu kończy audit.

Informacje:

Mariusz Klatka Product Manager ds. Bezpieczeństwa Informacji +48 609 670 451 tel. komórkowy +48 32 786 46 23 m.klatka tuv-nord.pl
Przemysław Szczurek Specjalista ds. Bezpieczeństwa Informacji +48 32 786 46 43 +48 605 594 996 p.szczurek tuv-nord.pl
Góra Wydrukuj stronę

Kontakt

w sprawie ISO 27001:

Oferta:

Adam Banasik Kierownik Działu Marketingu +48 32 786 46 21 oferta tuv-nord.pl +48 32 786 46 20 Dział Marketingu +48 32 786 46 02 Fax Dział Marketingu

Informacja:

Mariusz Klatka Product Manager ds. Bezpieczeństwa Informacji +48 32 786 46 23 +48 609 670 451 tel. komórkowy m.klatka tuv-nord.pl
Przemysław Szczurek Specjalista ds. Bezpieczeństwa Informacji +48 32 786 46 43 +48 605 594 996 p.szczurek tuv-nord.pl

Auditorzy wiodący:

Krzysztof Wagner +48 32 786 46 46 Robert Wójcik +48 32 786 46 81 isms tuv-nord.pl