Nasza Firma przeprowadza profesjonalne Audyty zakresu Systemów Zarządzania Bezpieczeństwem Informacji oraz Ochrony Danych Osobowych.
I. AUDYT Z ZAKRESU OCHRONY DANYCH OSOBOWYCH
Usługa polega na przeprowadzeniu audytu bezpieczeństwa Danych Osobowych na zgodność z wymaganiami nowelizacji Ustawy o Ochronie Danych Osobowych / RODO, oraz Rozporządzenia KRI, obejmuje działania analityczne i wskazuje wytyczne dla ADO celem dalszego postępowania .
Audyt obejmuje ocenę aspektów prawnych, organizacyjnych technicznych i informatycznych ochrony danych. Zakresem audytu objęte są obszary fizyczne oraz systemy informatyczne, gdzie przetwarzane są dane osobowe w formie zbiorów i dokumentów w wersji tradycyjnej i elektronicznej.
Analiza i ocena stanu faktycznego przestrzegania przepisów prawa Ochrony Danych Osobowych w organizacji - spełnienie warunków organizacyjnych:
- Weryfikujemy fakt i prawidłowość wdrożonej dokumentacji PBI.
- Weryfikujemy prawidłowość jej stosowania w oparciu o wytyczne UODO - zasady przetwarzania (przykładowo):
- Określenie zbiorów Danych Osobowych administrowanych w jednostce, ich identyfikacja i rejestracja.
- Badanie przesłanek legalności przetwarzania danych osobowych w zbiorach. Zakresu i celu przetwarzania danych, poprawności i adekwatności danych w zbiorach i dokumentach oraz sposobu i czasu ich przechowywania.
- Weryfikacja, ocena spełnienia obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane (Wnioski, dokumenty, formularze internetowe itp.).
- Analiza i ocena umów poufności, powierzenia danych osobowych (outsourcing poza jednostkę -wykonawcy usług, inne podmioty).
- Utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
-
Zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia.
- Ocena obszaru przetwarzania danych osobowych.
- Ocena poprawności stosowania zabezpieczeń fizycznych pomieszczeń, zbiorów papierowych, oraz systemów IT
- Badanie świadomości regulacji ODO u kadry pracowniczej - proces szkolenia, weryfikacja nadanych uprawnień i zakres, rozliczalność, kontrola wytycznych związanych z użytkowaniem sprzętu lokalnie oraz poza siedzibą organizacji, postępowanie z nośnikami elektronicznymi, pocztą.
- Sposób postępowania z nośnikami danych wycofywanych z obiegu DO - ewidencja, niszczenie itd.
Analiza i ocena stanu faktycznego przestrzegania przepisów prawa Ochrony Danych Osobowych w organizacji - spełnienie wytycznych technicznych na zgodność z KRI:
- Analiza zgodna z zakresem podanym w pkt II AUTYD IT Z ZAKRESU SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI.
Audyt zakończony jest przedstawieniem raportu dokumentującego jego przebieg wraz z informacjami o spostrzeżeniach i uchybieniach w odniesieniu do spełnienia wymagań U.O.D.O., stanowiących podstawę do podjęcia przez organizację działań przywracających zgodność z wymaganiami ustawowymi.
Po zakończeniu audytu możemy:
- przedstawić zmodyfikowaną i uaktualnioną Politykę Bezpieczeństwa Informacji, w świetle znowelizowanych przepisów prawa.
- zaproponować współpracę w zakresie IOD.
- zaproponować szkolenia dla kadry oraz podmiotów pośredniczących w przetwarzaniu Danych Osobowych.
II. AUDYT IT Z ZAKRESU SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI.
Usługa polega na przeprowadzeniu audytu Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami ust. 1 i 2 § 20 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012r w sprawie Krajowych Ramach Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012r. poz. 526). Obejmuje działania analityczne i wskazuje wytyczne dla ADO celem dalszego postępowania .
Audyt obejmuje ocenę aspektów organizacyjnych, technicznych i informatycznych ochrony danych. Zakresem audytu objęte są systemy informatyczne, oraz obszary fizyczne, w których i gdzie przetwarzane są dane osobowe. Audyt oceni aktualny poziom bezpieczeństwa, oraz wskaże zagrożenia i podatności (techniczne oraz na czynniki ludzkie).
Analiza techniczna infrastruktury IT:
- zapoznajemy się i analizujemy prawidłowość konfiguracji systemu IT, przykładowo:
- zakres zastosowanych urządzeń, aktualizacja ich oprogramowania (np. firmware urządzeń sieciowych)
- prawidłowość konfiguracji w zakresie możliwości zarządzania urządzeniami biorącymi bezpośredni udział w pracy struktury IT (np. obecność haseł elementów kluczowych infrastruktury, konfiguracja drukarek sieciowych itd.).
- sposób zarządzania udziałami sieciowymi (po stronie administratora i użytkownika)
- ogólny stan sieci LAN, WAN, zabezpieczenia fizyczne.
- Analiza stanu technicznego serwerowni przykładowo:
- stan elementów kluczowych typu, serwery, nośniki danych, UPS'y (stan wyeksploatowania)
- sposób zabezpieczenia danych (obecność UPS, NAS, temperatura, czujniki alarmowe, dostęp do pomieszczenia - rozliczalność wejść)
- opis / schemat infrastruktury
- Analiza stanu jednostek komputerowych, przykładowo:
- stan techniczny (wyeksploatowanie)
- zabezpieczenia dostępu do konfiguracji, aktualizacja bios,
- blokada napędów, gniazd (w oparciu o nadane uprawnienia użytkownika)
- zabezpieczenie po stronie zasilania
- fizyczne zabezpieczenia przed dostępem do Danych Osobowych (sposób rozmieszczenia jednostek w pomieszczeniach, stosowanie filtrów prywatyzujących itp.)
- Analiza stosowania zabezpieczeń i poziom wdrożenia systemów zabezpieczeń Danych Osobowych na urządzeniach przenośnych (laptopy, tablety, komórki, dyski przenośne)
Audyt oprogramowania:
- Wykonujemy audyt legalności oprogramowania zainstalowanego na jednostkach komputerowych
- Analiza wykazanych (wykupionych) ilości licencji do faktycznej ilości występujących na stanowiskach (weryfikacja kluczy)
- Analiza metoryczna licencji (prawidłowość wykorzystywania aplikacji komercyjnie)
- Legalność licencji (pod względem oryginalności certyfikatów licencyjnych)
- Analiza stosowanych systemów operacyjnych:
- wersje instalacyjne (na obecność występowania aktualizacji po stronie producenta, support, bezpieczeństwo, spełnianie wymogów rozporządzenia)
- konfiguracja (konta użytkowników, hasła, uprawnienia konta itd.)
- zabezpieczenie softwerowe przed atakami, wirusami itp. monitoring stanu pracy.
- Oprogramowanie biorące udział przetwarzaniu Danych Osobowych,
- sprawdzenie zgodności stosowanych aplikacji na zgodność z wytycznymi Rozporządzenia
- konfiguracja (konta użytkowników, nadane uprawnienia)
- sposób wykonywania backupu, zabezpieczenie kopii, weryfikacja poprawności
- oraz pozostałe aplikacje
- głównie pod względem legalności stosowania
Outsourcing:
- Weryfikujemy umowy powierzenia i sposoby postępowania w przypadku outsourcingu
- weryfikujemy sposób dysponowania elementami infrastruktury wydawanymi na serwis (naprawa komputera, kserokopiarki - postępowanie z danymi)
- weryfikujemy uprawnienia, sposób dostępu do danych w przypadku serwisu oprogramowania (napraw baz danych, aktualizacja, dostęp zdalny itd.)
- weryfikujemy procedury stosowane w przypadku napraw doraźnych / tymczasowych (bez zawierania stałych umów outsourcingowych)
Monitoring wizyjny CCTV:
- Analizujemy zakres fizyczny sieci monitoringu (elementy struktury wchodzącej w skład systemu)
- Analizujemy konfigurację (pod kierunkiem bezpieczeństwa dostępu)
- Weryfikujemy fakt stosowania regulaminu systemu monitoringu i jego treść
- weryfikujemy procedury postępowania (obsługa monitoringu, outsourcing, udostepnianie nagrań itd.)
- Analizujemy czas przechowywania nagrań i sposób przechowywania nagrań
Utylizacja danych:
- Analizujemy sposób niszczenia danych i przekazanie nośników do utylizacji (weryfikujemy procedury zawarte w PBI)
Audyt zakończony jest przedstawieniem raportu dokumentującego jego przebieg wraz z informacjami o spostrzeżeniach i uchybieniach w odniesieniu do spełnienia wymagań U.O.D.O., oraz KRI, stanowiących podstawę do podjęcia przez organizację działań przywracających zgodność z wymaganiami ustawowymi.
Zakres audytu IT jest dowolnie kreowany podczas wstępnych rozmów Zamawiającego.
Jesteśmy w stanie (jako profesjonalny serwis komputerowy) wykonać audyt systemu IT "z pominięciem" uwzględniającym wytyczne UODO, wykonując samą analizę czysto informatycznie wszystkich urządzeń występujących w firmie na okoliczność występowania usterek, oraz legalności oprogramowania.
Po zakończeniu audytu:
- Możemy zaproponować wsparcie IT na zasadzie outsourcingu, pełniąc funkcję ASI.
- Chętnie pomożemy w serwisowaniu sprzętu
- Doradzimy rozwiązania
- Dostarczymy oprogramowanie i podzespoły
FORMY AUDYTU:
-
AUDYT WEWNĘTRZNY
- Informatyczny, oprogramowania i ODO
-
AUDYT ZEWNĘTRZNY
-
certyfikowany - dla firm pragnących podbudować swoją renomę i ugruntować pozycję na rynku oraz uzyskać certyfikat systemu zarządzania jakością
-
również "drugiej strony" (dostawców, firm z umowami outsourcingu)
-
* Wykonujemy audyty na preferencyjnych warunkach w organizacjach, firmach już z nami współpracujących.