Audyt systemu zarządzania bezpieczeństwem informacji to niezwykle skuteczne narzędzie służące do oceny bezpieczeństwa funkcjonowania danej jednostki organizacyjnej. Właściwie przeprowadzony cechuje się niezależnością i bezstronnością. Jeśli audyt wykazuje nieprawidłowości w funkcjonowaniu poddawanego kontroli systemu, jednostka organizacyjna jest zobowiązana do wprowadzenia w nim niezbędnych poprawek i skorygowania stosowanych zabezpieczeń oraz protokołów.
Kto może przeprowadzić audyt systemu zarządzania bezpieczeństwem informacji?
Audyt systemu zarządzania bezpieczeństwem informacji w jednostce organizacyjnej może przeprowadzić posiadający odpowiednie kwalifikacje audytor ISO 27001, określany mianem audytora bezpieczeństwa informacji. Pełniąca tę funkcję osoba musi posiadać wiedzę z zakresu informatyki i najnowszych technologii, a także systemów wykorzystywanych w procesie gromadzenia, przetwarzania i ochrony informacji. Od audytora ISO 27001 wymaga się ponadto umiejętności zarządzania projektami i rozumienia oraz właściwego interpretowania przepisów regulujących postępowanie w tej dziedzinie. Uprawnienia do przeprowadzania audytu systemu zarządzania bezpieczeństwem informacji można otrzymać poprzez ukończenie specjalistycznych kursów przeprowadzanych przez profesjonalne ośrodki szkoleniowe, takie jak Bureau Veritas, i uzyskanie odpowiedniego certyfikatu.
Kiedy przeprowadzany jest audyt systemu zarządzania bezpieczeństwem informacji?
Audyt systemu zarządzania bezpieczeństwem informacji przeprowadzany jest w celu potwierdzenia jego zgodności z wymogami stawianymi przez normę ISO 27001. Wszystkie instytucje publiczne muszą wykonać go nie rzadziej niż raz na rok, co wynika z artykułu 20 ust. 2 pkt 14 Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności z dnia 12 kwietnia 2012 roku.
Przebieg audytu systemu zarządzania bezpieczeństwem informacji
Audyt systemu zarządzania bezpieczeństwem informacji ma na celu zapoznanie się ze strukturą organizacyjną jednostki i ogólnie przyjętymi w niej praktykami związanymi z eksploatacją systemów informatycznych. Pozwala określić zakres odpowiedzialności kluczowych stanowisk związanych z bezpieczeństwem i rozpoznać stosunek jednostki organizacyjnej do wymogów prawnych i norm z zakresu bezpieczeństwa informacji. Audyt systemu zarządzania bezpieczeństwem informacji w firmie przebiega w dwóch etapach.
- Audyt systemu zarządzania bezpieczeństwem informacji – etap pierwszy
W pierwszym etapie audytor dokonuje przeglądu dokumentacji ISO 27001 w firmie, wstępnie ocenia zgodność systemu zarządzania bezpieczeństwem informacji z wymaganiami normy i przeprowadza wizję lokalną procesów, infrastruktury oraz organizacji systemu. Jeżeli na tym etapie zostaną stwierdzone uchybienia, poddawana kontroli jednostka organizacyjna otrzymuje czas na podjęcie niezbędnych działań korygujących.
- Audyt systemu zarządzania bezpieczeństwem informacji – etap drugi
Na drugim etapie audytu ocenie podlegają sposoby wdrożenia wymaganych procedur i zastosowania narzędzi kontroli, a także ich zgodność z wymogami certyfikacji.
W sytuacji, gdy audytor stwierdzi zgodność systemu zabezpieczeń z normą ISO 27001, poddawana kontroli jednostka organizacyjna otrzymuje stosowny certyfikat, który zachowuje ważność przez okres trzech lat od jego wystawienia.
Dokumenty sprawdzane podczas audytu systemu zarządzania bezpieczeństwem informacji
Podczas audytu systemu zarządzania bezpieczeństwem informacji sprawdzana jest dokumentacja dotycząca zasad:
- bezpiecznego przetwarzania informacji przez pracowników,
- zabezpieczania stacji roboczych,
- publikacji informacji,
- klasyfikacji informacji,
- postępowania z informacjami klasyfikowanymi,
- zarządzania dostępem do informacji – nadawania, modyfikacji, odbierania uprawnień i ich przeglądu,
- postępowania z nośnikami informacji – ich składowania, wymiany oraz usuwania zapisanych na nich informacji,
- wprowadzania zmian w przetwarzaniu informacji,
- zarządzania dostępem do usług informatycznych,
- zarządzania mechanizmami uwierzytelniającymi,
- wymiany danych – wewnętrznej i z podmiotami zewnętrznymi,
- utrzymania dokumentacji zabezpieczeń i systemów informatycznych,
- kontroli bezpieczeństwa informacji,
- postępowania w sytuacji naruszenia bezpieczeństwa informacji,
- zarządzania oprogramowaniem, kopiami zapasowymi i archiwalnymi,
- aochrony przed złośliwym oprogramowaniem,
- zarządzania mechanizmami kryptograficznymi,
- konserwacji i serwisowania systemów informatycznych oraz zabezpieczeń technicznych,
- monitorowania bezpieczeństwa infrastruktury informatycznej,
- wycofywania urządzeń IT z użycia,
- przygotowania urządzeń IT do ponownego użycia,
- bezpiecznego korzystania z urządzeń mobilnych,
- bezpiecznej pracy zdalnej.
W trakcie audytu systemu zarządzania bezpieczeństwem informacji w firmie sprawdzane są również dokumenty zawierające wytyczne w zakresie ochrony fizycznej i technicznej, a także ustalenia dotyczące bezpiecznej współpracy z podmiotami zewnętrznymi, świadczenia usług związanych z przetwarzaniem informacji oraz bezpieczeństwa osobowego w procesach rekrutacji i zarządzania personelem.