Na czym polega audyt bezpieczeństwa informacji i dlaczego warto go wykonywać?

Audyt bezpieczeństwa informacji to systematyczny i kompleksowy przegląd procedur i polityki bezpieczeństwa. Taki audyt wiąże się z realną i wymierną oceną, czy organizacja stosuje skuteczne działania prewencyjne chroniące m.in. przed wyciekiem danych i cyberatakami. Na koniec prac przygotowywany jest raport, w którym wypisane są stwierdzone niezgodności, a także wskazówki, co zrobić, aby system bezpieczeństwa informacji był szczelny i odporny na zagrożenia.

Zapewnienie bezpieczeństwa informacji jest kwestią bardzo ważną nie tylko dla podmiotów publicznych, ale i mniejszych organizacji. Każda firma narażona jest na ataki z zewnątrz, które mogą narazić ją na utratę zaufania i ogromne straty finansowe. Dlatego też każda organizacja powinna mieć wprowadzone procedury i polityki bezpieczeństwa, które powinny być cyklicznie sprawdzane – tylko wtedy zyskamy pewność, że stosowane zabezpieczenia są poprawne i adekwatne do założonych wymagań. Jednym z najbardziej skutecznych narzędzi do takiej weryfikacji jest audyt bezpieczeństwa informacji. Powinna wykonać go jednostka zewnętrzna, aby zyskać gwarancję rzetelnej, bezstronnej i miarodajnej oceny.

Na czym polega audyt bezpieczeństwa?

Audyt bezpieczeństwa informacji jest usługą skierowaną do firm wszystkich branż, instytucji samorządowych, jednostek administracji publicznej i ochrony zdrowia oraz innych organizacji, które potrzebują niezależnej ekspertyzy stosowanych rozwiązań bezpieczeństwa. Dodajmy, że podmioty realizujące zadania publiczne zobowiązane są do stałego monitorowania, kontroli, utrzymywania i doskonalenia systemu bezpieczeństwa informacji, aby zapewnić poufność, dostępność i integralności informacji (zgodnie z ustawą o Krajowych Ramach Interoperacyjności).

W ramach audytu bezpieczeństwa informacji profesjonalni konsultanci przeprowadzają szeroki zakres prac przy wykorzystaniu narzędzi dopasowanych do specyfiki organizacji. W zależności od potrzeb mogą to być wywiady audytowe, listy kontrolne, analiza dokumentacji lub testy.

Podczas audytu bezpieczeństwa informacji sprawdzane są między innymi:

  • zgodność z obowiązującymi normami
  • bezpieczeństwo procesów związanych z przepływem informacji, infrastruktury i oprogramowania
  • bezpieczeństwo informacji w relacjach z dostawcami
  • bezpieczeństwo systemów informacyjnych
  • zarządzanie aktywami
  • zarządzanie ciągłością działania
  • kontrola dostępu
  • bezpieczeństwo komunikacji

Audyt bezpieczeństwa informacji pomaga uzyskać wiedzę, czy stosowane zabezpieczenia, procesy i procedury są zgodne z odpowiednimi ustawami i przepisami, a przy tym skutecznie wdrożone i utrzymywane. Kryteria audytu, jego zakres i metody oceny są odpowiednio zdefiniowane. Na koniec opracowywany jest raport z podsumowaniem prac, stwierdzonymi niezgodnościami i lukami, a także zaleceniami naprawczo-korygującymi.

Jak przeprowadzić audyt bezpieczeństwa informacji?

Audyt definiuje się jako systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów i ich obiektywnej oceny w celu określenia stopnia spełnienia założonych kryteriów. Wprawdzie taki audyt można wykonać własnymi siłami (przez pracowników), ale zdecydowanie lepiej jest powierzyć to zadanie niezależnej i bezstronnej jednostce. Po pierwsze, gwarantuje to obiektywność audytu. Po drugie, firma audytująca ma niezbędne narzędzia oraz wiedzę o obowiązujących normach.

Warto wspomnieć, że międzynarodowym standardem systemu zarządzania bezpieczeństwem informacji jest ISO/IEC 27001. Norma ta nie tylko określa wymagania i zasady inicjowania, wdrażania, utrzymywania i poprawy zarządzania bezpieczeństwem informacji, ale też najlepsze praktyki odnoszące się do stosowania zabezpieczeń.

Jak wygląda taki audyt? Możemy napisać na podstawie własnych doświadczeń. Najpierw odbywa się spotkanie otwierające z zespołem audytującym, w skład którego wchodzą konsultanci PBSG oraz wskazani pracownicy organizacji. Na spotkaniu przedstawiamy założenia audytu, jego cel i sposób komunikacji. Omawiamy również role członków zespołów i wyznaczamy zadania. Następnie przechodzimy do audytu, tj. badamy dokumentację, zbieramy wywiady, przeprowadzamy listy kontrolne i niezbędne testy. Zebrane dane są analizowane i zebrane w raport z wnioskami i rekomendacjami, który omawiamy na spotkaniu zamykającym.

Ile kosztuje audyt bezpieczeństwa informacji?

Audyt bezpieczeństwa informacji jest aktywnym procesem, który sprawdza istniejące zabezpieczenia i procedury oraz analizuje ich funkcjonalność. Koszt takiego audytu jest zależny od organizacji. Wszystko zależy od branży, wielkości organizacji, zakresu prac, harmonogramu, dokumentacji i obszarów do zbadania. Wpływ na cenę ma również charakter dalszej współpracy, na przykład w PBSG proponujemy działania poaudytowe, które obejmują wsparcie przy wdrożeniu rekomendacji i działań naprawczych, jeśli takie zostaną stwierdzone.

Tutaj sprawdzisz, jak wygląda raport z takiego audytu: Co powinien zawierać raport z audytu bezpieczeństwa informacji?

O Autorze

Maciej Klichowski
Absolwent kierunku Zarządzanie, Uniwersytetu Ekonomicznego w Poznaniu, ze specjalizacją handel i marketing. Specjalista z kilkuletnim doświadczeniem w pracy jako sales manager. Ze sprzedażą związany od zawsze. W PBSG pracuje jako account manager, gdzie dalej rozwija swoje umiejętności handlowe. Nerd i sportowiec w jednej osobie. Od najmłodszych lat związany z konińskim klubem sportowym. Prywatnie aktywność sportowa i rozwój osobisty to to co go pochłania. Obecnie mieszka w Poznaniu, do którego przyjechał po opuszczeniu rodzinnego miasta – Konina.