AUDYT BEZPIECZEŃSTWA INFORMACJI

W dzisiejszych czasach nie wystarczy już tylko zbudowanie w miarę sprawnego i bezpiecznego systemu informatycznego. Wprowadzenie do sieci firewalla zabezpieczającego firmowe serwery i desktopy, używanie stale aktualizowanego oprogramowania antywirusowego oraz instalowanie aktualizacji do posiadanego oprogramowania to tylko nieliczne podstawowe i oczywiste czynności administracyjne.
Jak wskazały badania przeprowadzone przez firmy RSA i Verisgn (uznane autorytety w dziedzinie bezpieczeństwa IT) aż 80% incydentów związanych z infrastrukturą IT ma miejsce wewnątrz firmy. 70% przypadków naruszenia zasad bezpieczeństwa danych wynika z zaniedbania pracownika firmy – często są to działania wynikające z braku świadomości istniejących zagrożeń.

System Zarządzania Bezpieczeństwem Informacji wymaga stosowania i działania zgodnie z ustalonymi i powszechnie dostępnymi normami. Normy PN-ISO/IEC 27001:2007 oraz PN-ISO/IEC 17799:2007 są uznawanym standardem w zakresie bezpieczeństwa informatycznego. Normy zawierają wskazówki, rekomendacje oraz obszerny zestaw najlepszych praktyk. Normy te służą również jako podstawowy punkt odniesienia podczas budowy Systemu Zarządzania Bezpieczeństwem Informatycznym w dowolnym przedsiębiorstwie – bez względu na jego działalność, branżę i skalę działania.

Zakres audytu bezpieczeństwa informacji realizowany jest w 11 obszarach, które audytowane są przy wykorzystaniu uznanych metodyk. Obszary te to m.in.:

1. Polityka bezpieczeństwa;
2. Organizacja bezpieczeństwa informacji;
3. Zarządzanie aktywami;
4. Bezpieczeństwo zasobów ludzkich;
5. Bezpieczeństwo fizyczne i środowiskowe;
6. Zarządzanie systemami i sieciami;
7. Kontrola dostępu;
8. Zarządzanie ciągłością działania;
9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
11. Zgodność z wymaganiami prawnymi i własnymi standardami.