Audit bezpečnosti IS
Ako je zabezpečený majetok vašej organizácie? Chránite automobily imobilizérom, priestory alarmom, ukladáte cennosti v trezore? A viete ako je zabezpečený váš informačný systém, služby ktoré poskytuje a údaje v ňom uložené? Práve služby Gordiasu v oblasti auditu bezpečnosti IS vám podajú v podrobnej a pritom zrozumiteľnej forme odpoveď na všetky otázky ohľadne bezpečnosti IS.
Pri realizácii auditu postupuje Gordias podľa overených medzinárodných štandardov, odporúčaní a osvedčených postupov (z angl. best practices). Audit zvyčajne zodpovedá zameraním norme ISO/IEC 27002, zohľadňuje celosvetovo akceptovanú metodiku COBIT (Control Objectives for Information and Related Technology) ako aj profesionálne štandardy pre internú kontrolu a audit (štandardy organizácie ISACA). Dôležité je tiež zohľadňovanie špecifických legislatívnych prvkov záväzných pre vašu organizáciu – napr. zákon č. 95/2019 Z. z. o informačných technológiách verejnej správy, zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, nariadenie GDPR a súvisiaci zákon č. 18/2018 Z. z. o ochrane osobných údajov.
Dlhoročné skúsenosti v oblasti auditu bezpečnosti IS sú zárukou vysokej kompetencie a odbornosti nášho tímu, už v roku 1997 sme získali certifikát CISA (Certified Information Systems Auditor), zamestnanci aktívne pôsobia v profesijných organizáciách (ISACA Slovensko, AKB) a aktívne spolupracujú pri tvorbe národnej legislatívy v oblasti informačnej bezpečnosti.
Audit bezpečnosti môže komplexne pokrývať existujúce IS, procesy spojené s ich vývojom, prevádzkou a administráciou, technologickú platformu, prostredie, v ktorom sú IS prevádzkované, súvisiacu legislatívu a ďalšie okruhy špecifické pre prostredie vašej organizácie. V prípade implementácie novej aplikácie alebo nového IS sa audit vykonáva priebežne, od úvodných analytických prác dodávateľa IS a špecifikáciu požiadaviek na IS až po záverečné testovanie a nasadenie do prevádzky. V prípade potreby môže priebežný audit projektu implementácie IS pokryť okrem bezpečnosti IS aj ďalšie okruhy (napr. sledovanie parametrov kvality implementácie nového IS, rizík projektu, napĺňania požiadaviek).
Gordias vám ponúka v oblasti auditu bezpečnosti IS napr. nasledujúce služby:
- komplexný audit bezpečnosti IS (podľa požiadaviek ISO/IEC 27001, ISO/IEC 27002),
- priebežný audit implementácie nového IS alebo jeho podstatného rozšírenia,
- audit zhody s bezpečnostnou politikou resp. procesmi ISMS,
- audit bezpečnosti IS podľa požiadaviek legislatívy (napr. zákon č. 95/2019 Z. z. o informačných technológiách verejnej správy, zákon č. 69/2018 Z. z. o kyberneticke bezpečnosti, nariadenie GDPR a súvisiaci zákon č. 18/2018 Z. z. o ochrane osobných údajov),
- audit bezpečnosti služieb, informácií a dát podľa špecifických požiadaviek organizácie alebo zmluvných záväzkov,
- audit systému riadenia kontinuity činností / havarijného plánovania,
- audit bezpečnosti správy a riadenia prístupových oprávnení,
- audit systému zálohovania údajov.
Gordias vám už počas priebehu auditu poskytne priebežné konzultácie a odporučí konkrétne opatrenia a kroky s cieľom minimalizovať zistené riziká a nedostatky. Konečným výstupom auditu bude „Záverečná správa auditu IS“ vypracovaná štandardne v dvoch variantoch – prehľadová je určená pre vedenie organizácie a podrobná pre vašich špecialistov IT a vnútorný audit/kontrolu.
Záverečná správa bude identifikovať a hodnotiť z hľadiska bezpečnosti najmä:
- používané technologické platformy a subsystémy vrátane ich vzájomných závislostí,
- oblasti, ktoré sú outsourcované,
- procesy a postupy spojené s administráciou a prevádzkou IS,
- používané a poskytované služby IS,
- dáta a dátové toky,
- sieťovú infraštruktúru,
- organizačné a personálne zabezpečenie,
- fyzické zabezpečenie systému a jeho pripravenosť na havarijné situácie,
- aktuálny stav a možnosti zvyšovania informačnej bezpečnosti v organizácii.
Profesionálny audit IS od Gordiasu vám podá komplexnú informáciu o stave bezpečnosti vašich IS a bude slúžiť ako optimálne východisko na ceste k zvyšovaniu bezpečnosti nielen samotných IS, ale aj celkového prostredia vašej organizácie.