Nasza Firma przeprowadza profesjonalne Audyty zakresu Systemów Zarządzania Bezpieczeństwem Informacji oraz Ochrony Danych Osobowych.

I. AUDYT Z ZAKRESU OCHRONY DANYCH OSOBOWYCH

Usługa polega na przeprowadzeniu audytu bezpieczeństwa Danych Osobowych na zgodność z wymaganiami nowelizacji Ustawy o Ochronie Danych Osobowych / RODO, oraz Rozporządzenia KRI, obejmuje działania analityczne i wskazuje wytyczne dla ADO celem dalszego postępowania .

Audyt obejmuje ocenę aspektów prawnych, organizacyjnych technicznych i informatycznych ochrony danych. Zakresem audytu objęte są obszary fizyczne oraz systemy informatyczne, gdzie przetwarzane są dane osobowe w formie zbiorów i dokumentów w wersji tradycyjnej i elektronicznej.

Analiza i ocena stanu faktycznego przestrzegania przepisów prawa Ochrony Danych Osobowych w organizacji  - spełnienie warunków organizacyjnych:

  • Weryfikujemy fakt i prawidłowość wdrożonej dokumentacji PBI.
  • Weryfikujemy prawidłowość jej stosowania w oparciu o wytyczne UODO - zasady przetwarzania (przykładowo):
    • Określenie zbiorów Danych Osobowych administrowanych w jednostce, ich identyfikacja i rejestracja.
    • Badanie przesłanek legalności przetwarzania danych osobowych w zbiorach. Zakresu i celu przetwarzania danych, poprawności i adekwatności danych w zbiorach i dokumentach oraz sposobu i czasu ich przechowywania.
    • Weryfikacja, ocena spełnienia obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane (Wnioski, dokumenty, formularze internetowe itp.).
    • Analiza i ocena umów poufności, powierzenia danych osobowych (outsourcing poza jednostkę -wykonawcy usług, inne podmioty).
    • Utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
    • Zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia.

  • Ocena obszaru przetwarzania danych osobowych.
  • Ocena poprawności stosowania zabezpieczeń fizycznych pomieszczeń, zbiorów papierowych, oraz systemów IT
  • Badanie świadomości regulacji ODO u kadry pracowniczej - proces szkolenia, weryfikacja nadanych uprawnień i zakres, rozliczalność, kontrola wytycznych związanych z użytkowaniem sprzętu lokalnie oraz poza siedzibą organizacji, postępowanie z nośnikami elektronicznymi, pocztą.
  • Sposób postępowania z nośnikami danych wycofywanych z obiegu DO - ewidencja, niszczenie itd.

Analiza i ocena stanu faktycznego przestrzegania przepisów prawa Ochrony Danych Osobowych w organizacji  - spełnienie wytycznych technicznych na zgodność z KRI:

  • Analiza zgodna z zakresem podanym w pkt II AUTYD IT Z ZAKRESU SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI.


Audyt zakończony jest przedstawieniem raportu dokumentującego jego przebieg wraz z informacjami o spostrzeżeniach i uchybieniach w odniesieniu do spełnienia wymagań U.O.D.O., stanowiących podstawę do podjęcia przez organizację działań przywracających zgodność z wymaganiami ustawowymi.

Po zakończeniu audytu możemy:

  • przedstawić zmodyfikowaną i uaktualnioną Politykę Bezpieczeństwa Informacji, w świetle znowelizowanych przepisów prawa.
  • zaproponować współpracę w zakresie IOD. 
  • zaproponować szkolenia dla kadry oraz podmiotów pośredniczących w przetwarzaniu Danych Osobowych.

II. AUDYT IT Z ZAKRESU SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI.

Usługa polega na przeprowadzeniu audytu Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami  ust. 1 i 2 § 20 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012r w sprawie Krajowych Ramach Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012r. poz. 526). Obejmuje działania analityczne i wskazuje wytyczne dla ADO celem dalszego postępowania .

Audyt obejmuje ocenę aspektów organizacyjnych, technicznych i informatycznych ochrony danych. Zakresem audytu objęte są systemy informatyczne, oraz obszary fizyczne, w których i gdzie przetwarzane są dane osobowe. Audyt oceni aktualny poziom bezpieczeństwa, oraz wskaże zagrożenia i podatności (techniczne oraz na czynniki ludzkie).

Analiza techniczna infrastruktury IT:

  • zapoznajemy się i analizujemy prawidłowość konfiguracji systemu IT, przykładowo:
    • zakres zastosowanych urządzeń,  aktualizacja ich oprogramowania (np. firmware urządzeń sieciowych)
    • prawidłowość konfiguracji w zakresie możliwości zarządzania urządzeniami biorącymi bezpośredni udział w pracy struktury IT (np. obecność haseł elementów kluczowych infrastruktury, konfiguracja drukarek sieciowych itd.).
    • sposób zarządzania udziałami sieciowymi (po stronie administratora i użytkownika)
    • ogólny stan sieci LAN, WAN, zabezpieczenia fizyczne.
  • Analiza stanu technicznego serwerowni przykładowo:
    • stan elementów kluczowych typu, serwery, nośniki danych, UPS'y (stan wyeksploatowania)
    • sposób zabezpieczenia danych (obecność UPS, NAS, temperatura, czujniki alarmowe, dostęp do pomieszczenia - rozliczalność wejść)
    • opis / schemat infrastruktury
  • Analiza stanu jednostek komputerowych, przykładowo:
    • stan techniczny (wyeksploatowanie)
    • zabezpieczenia dostępu do konfiguracji, aktualizacja bios,
    • blokada napędów, gniazd (w oparciu o nadane uprawnienia użytkownika)
    • zabezpieczenie po stronie zasilania 
    • fizyczne zabezpieczenia przed dostępem do Danych Osobowych (sposób rozmieszczenia jednostek w pomieszczeniach, stosowanie filtrów prywatyzujących itp.)
  • Analiza stosowania zabezpieczeń i poziom wdrożenia systemów zabezpieczeń Danych Osobowych na urządzeniach przenośnych (laptopy, tablety, komórki, dyski przenośne)

Audyt oprogramowania:

  • Wykonujemy audyt legalności oprogramowania zainstalowanego na jednostkach komputerowych
    • Analiza wykazanych (wykupionych) ilości licencji do  faktycznej ilości występujących na stanowiskach (weryfikacja kluczy)
    • Analiza metoryczna licencji (prawidłowość wykorzystywania aplikacji komercyjnie)
    • Legalność licencji (pod względem oryginalności certyfikatów licencyjnych)
  • Analiza stosowanych systemów operacyjnych:
    • wersje instalacyjne (na obecność występowania aktualizacji po stronie producenta, support, bezpieczeństwo, spełnianie wymogów rozporządzenia)
    • konfiguracja (konta użytkowników, hasła, uprawnienia konta itd.)
    • zabezpieczenie softwerowe przed atakami, wirusami itp. monitoring stanu pracy.
  • Oprogramowanie biorące udział przetwarzaniu Danych Osobowych,
    • sprawdzenie zgodności stosowanych aplikacji na zgodność z wytycznymi Rozporządzenia
    • konfiguracja (konta użytkowników, nadane uprawnienia)
    • sposób wykonywania backupu, zabezpieczenie kopii, weryfikacja poprawności
  • oraz pozostałe aplikacje
    • głównie pod względem legalności stosowania

Outsourcing:

  • Weryfikujemy umowy powierzenia i sposoby postępowania w przypadku outsourcingu
    • weryfikujemy sposób dysponowania elementami infrastruktury wydawanymi na serwis (naprawa komputera, kserokopiarki - postępowanie z danymi)
    • weryfikujemy uprawnienia, sposób dostępu do danych w przypadku serwisu oprogramowania (napraw baz danych, aktualizacja, dostęp zdalny itd.)
  • weryfikujemy procedury stosowane w przypadku napraw doraźnych / tymczasowych (bez zawierania stałych umów outsourcingowych)

Monitoring wizyjny CCTV:

  • Analizujemy zakres fizyczny sieci monitoringu (elementy struktury wchodzącej w skład systemu)
  • Analizujemy konfigurację (pod kierunkiem bezpieczeństwa dostępu)
  • Weryfikujemy fakt stosowania regulaminu systemu monitoringu i jego treść
  • weryfikujemy procedury postępowania (obsługa monitoringu, outsourcing, udostepnianie nagrań itd.)
  • Analizujemy czas przechowywania nagrań i sposób przechowywania nagrań

Utylizacja danych:

  • Analizujemy sposób niszczenia danych i przekazanie nośników do utylizacji (weryfikujemy procedury zawarte w PBI)

Audyt zakończony jest przedstawieniem raportu dokumentującego jego przebieg wraz z informacjami o spostrzeżeniach i uchybieniach w odniesieniu do spełnienia wymagań U.O.D.O., oraz KRI, stanowiących podstawę do podjęcia przez organizację działań przywracających zgodność z wymaganiami ustawowymi.

Zakres audytu IT jest dowolnie kreowany podczas wstępnych rozmów Zamawiającego. 

Jesteśmy w stanie (jako profesjonalny serwis komputerowy) wykonać audyt systemu IT "z pominięciem" uwzględniającym wytyczne UODO, wykonując samą analizę czysto informatycznie wszystkich urządzeń występujących w firmie na okoliczność występowania usterek, oraz legalności oprogramowania.

Po zakończeniu audytu:

  • Możemy zaproponować wsparcie IT na zasadzie outsourcingu, pełniąc funkcję ASI.
  • Chętnie pomożemy w serwisowaniu sprzętu
  • Doradzimy rozwiązania
  • Dostarczymy oprogramowanie i podzespoły

FORMY AUDYTU:

  • AUDYT WEWNĘTRZNY
    • Informatyczny, oprogramowania  i ODO
  • AUDYT ZEWNĘTRZNY
    • certyfikowany - dla firm pragnących podbudować swoją renomę i ugruntować pozycję na rynku oraz uzyskać certyfikat systemu zarządzania jakością 

    • również "drugiej strony"  (dostawców, firm z umowami outsourcingu)

 

* Wykonujemy audyty na preferencyjnych warunkach w organizacjach, firmach już z nami współpracujących.

JEŚLI JESTEŚ ZAINTERESOWANY, SKONTAKTUJ SIĘ Z NAMI:
 

Odwiedzin: - 1032