+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Bezpieczeństwo w sieci

Audyt Bezpieczeństwa Danych Osobowych

Celem audytu bezpieczeństwa danych osobowych jest weryfikacja spełnienia przez badaną organizację wymagań prawnych, związanych z przetwarzaniem danych osobowych.

Prace obejmują:

  • audyt zgodności z wymaganiami prawnymi w zakresie ochrony danych osobowych,
  • weryfikację i ocenę mechanizmów zapewniających ochronę danych osobowych, celu podniesienia poziomu bezpieczeństwa informacji.

Wychodząc naprzeciw Państwa oczekiwaniom, co do poznania aktualnego stanu bezpieczeństwa danych osobowych, pragniemy przedstawić w niniejszej ofercie naszą propozycję realizacji audytu bezpieczeństwa danych osobowych.

Koncepcja realizacji usługi

Przeprowadzenie audytu bezpieczeństwa danych osobowych, ma na celu poznanie struktury organizacyjnej przedsiębiorstwa, zakresów odpowiedzialności kluczowych stanowisk związanych z bezpieczeństwem danych osobowych w odniesieniu do sposobu przestrzegania procedur i ogólnie przyjętych praktyk w zakresie eksploatacji systemów informatycznych (wymagania normatywne i prawne). Proces ten podzielony jest na dwie fazy.

Pierwszą fazę stanowi zebranie informacji o przedsiębiorstwie, analiza dokumentacji organizacyjnej i technicznej dostarczonej przez Zamawiającego. Na podstawie wyników tej analizy przygotowany będzie program i harmonogram audytu (określający ramowy zakres audytu poszczególnych obszarów bezpieczeństwa danych osobowych w odniesieniu do struktury organizacyjnej i lokalizacji). Po zatwierdzeniu harmonogramu zostanie przeprowadzony audyt we wskazanych przez Zamawiającego lokalizacjach - druga faza etapu.

Informacje zebrane podczas audytu posłużą do oceny funkcjonowania poszczególnych obszarów bezpieczeństwa (w odniesieniu do wymagań prawnych). Dokumentem końcowym audytu będzie "Raport z audytu bezpieczeństwa danych osobowych" - zawierający sumaryczne zestawienie wyników audytu w odniesieniu do wymagań.

Faza przygotowania do audytu:

  • zebranie wstępnych informacji nt. audytowanego podmiotu,
    - zakres obowiązków, opisy stanowisk, instrukcje, procedury, akty prawne,
    - dokumentacja regulująca bezpieczeństwo informacji w organizacji,
    - rezultaty audytów wewnętrznych i zewnętrznych,
    - specyfikacje techniczne,
    - procedury eksploatacyjne systemów informatycznych,
    - dokumentacja sieci.
  • analiza dokumentacji,
  • przygotowanie harmonogramu audytu,
  • zatwierdzenie programu i harmonogramu audytu.

Faza przeprowadzenia audytu:

  • spotkanie otwierające audyt,
  • wizje lokalne,
  • wywiady z osobami odpowiedzialnymi za bezpieczeństwo obszarów informacji,
  • ocena zebranych dowodów,
  • spotkanie zamykające audyt - omówienie wyniku audytu,
  • sporządzenie Raportu z audytu (w okresie 2 tyg. od zakończenia działań audytowych).

Sposób pozyskiwania informacji:

  • Analiza wskazanej dokumentacji, (co do zgodności z przepisami prawa, normami i standardami).
  • Wizje lokalne obiektów i pomieszczeń, w których znajdują się i są przetwarzane informacje.
  • Wywiady z osobami odpowiedzialnymi za bezpieczeństwo obszarów informacji.
  • Analiza istniejących rozwiązań IT, konfiguracji urządzeń sieciowych, serwerów i implementacji zabezpieczeń.

Kryteria audytu

Podczas audytu bezpieczeństwa danych osobowych, jako wymagania ujęte będą następujące akty prawne:

1. ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135 z późn. zm.)

2. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Metodyka audytu

Przy opracowywaniu metodyki przeprowadzania audytu i dokumentacji uwzględniono regulacje zawarte w normach dotyczących systemów zarządzania bezpieczeństwa informacji. Do najważniejszych norm i standardów z tego zakresu należą:

W ramach audytu ochrony danych osobowych:

Nasz zespół:

  • to eksperci specjalizujący się w zakresie bezpieczeństwa i ochrony danych
  • to osoby z wieloletnim doświadczeniem w obszarze bezpieczeństwa.
  • to starannie wybrani specjaliści z długoletnim doświadczeniem audytorskim.
  • to osoby posiadające uprawnienia do przeprowadzania audytów ISO 27001 oraz poświadczenia dostępu do informacji niejawnych do poziomu "tajne".
  • biorący udział jako prelegenci na konferencjach.
  • biorący udział w pracach zwiększających bezpieczeństwo kraju na rzecz podmiotów rządowych.
  • w ramach naszego partnera, Fundacji Bezpieczna Cyberprzestrzeń działają na rzecz budowy społeczeństwa świadomego zagrożeń w cyberprzestrzeni.

Konsultanci 4 IT SECURITY uczestniczyli w projektach dot. tworzenia systemów zarządzania bezpieczeństwem informacji i danych osobowych w administracji rządowej, branży informatycznej, branży chemicznej, szpitalach i bankowości.

Zachęcamy do nawiązania kontaktu z naszymi konsultantami, którzy udzielą dodatkowych informacji, poznają oczekiwania oraz przygotują ofertę spełniającą Państwa potrzeby i wymagania.

Jak do nas trafić?

Chętnie podejmiemy dyskusję na tematy związane z bezpieczeństwem IT i ochroną danych, działalnością uświadamiającą oraz ochroną infrastruktury krytycznej. Zapraszamy do kontaktu.

Bądź bezpieczny, czytaj newsletter

Otrzymuj informacje o najnowszych wpisach na blogu, wydarzeniach 4 IT SECURITY