PRZEPROWADZENIE KOMPLEKSOWEGO AUDYTU oceniającego spełnienie wymagań ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Podstawy prawne:

  1. ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w SPRAWIE KRAJOWYCH RAM INTEROPERACYJNOŚCI, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych,
  1. USTAWA Z DNIA 29 SIERPNIA 1997 r. O OCHRONIE DANYCH OSOBOWYCH, (DZ. U. 2015. poz. 2135 z późn. zm.),
  1. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Szczegółowy opis prac:

  1. ANALIZA DOKUMENTACJI
W szczególności analizie mają zostać poddane:
  • regulaminy organizacyjne
  • stosowana metodyka analizy ryzyka i klasyfikacji informacji
  • procedury i instrukcje związane z przetwarzaniem danych osobowych w organizacji
  • procedury zarządzania systemami informatycznymi, w szczególności reguły tworzenia kopii zapasowych, nadawania uprawnień oraz definiowania wymagań dla nowych systemów
  • umowy z kluczowymi dostawcami materiałów i usług, umowy powierzenia
  • Politykę Bezpieczeństwa Informacji (wraz z załącznikami) i Instrukcję Zarządzania Systemem Informatycznym – służącym do przetwarzania danych osobowych zgodnej z wymogami Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
  • wzór upoważnień
  • ewidencja osób upoważnionych do przetwarzania danych osobowych oraz oświadczenia pracowników o zachowaniu poufności oraz o zapoznaniu się z obowiązującymi procedurami;
  • formularze służące wypełnianiu przez administratora danych osobowych ustawowego obowiązku informacyjnego wobec osób, których dane dotyczą
  • procedury postępowania w przypadku naruszeń bezpieczeństwa danych
  • opis prawnych, fizycznych oraz organizacyjnych zabezpieczeń danych wymaganych przepisami
  • opis obszaru, w którym przetwarzane są dane osobowe
  • opis struktury zbiorów danych osobowych
  • opis sposobu przepływu danych osobowych pomiędzy poszczególnymi systemami informatycznymi
  • sprawdzenie i dostosowanie umowy z kontrahentami/partnerami
  • ustalenie poziomu bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych.
  1. PRZEPROWADZENIE AUDYTÓW BEZPIECZEŃSTWA W POSZCZEGÓLNYCH KOMÓRKACH ORGANIZACYJNYCH.
Podczas audytu badaniu mają zostać poddane w szczególności następujące obszary organizacji:
  • struktura zarządzania i odpowiedzialności związane z bezpieczeństwem informacji,
  • nadzór nad firmami, mającymi wpływ na bezpieczeństwo informacji (np. podwykonawcy),
  • zgłaszanie i postępowanie z incydentami naruszenia bezpieczeństwa,
  • zarządzanie awaryjne (w tym aktualność i znajomość procedur awaryjnych)
  • rozmieszczenie i zabezpieczenie stref bezpieczeństwa, sprawdzenia fizyczne,
  • zarządzanie sprzętem teleinformatycznym,
  • zarządzanie upoważnieniami i uprawnieniami,
  • zgodność procedur z wymogami Ustawy o ochronie danych osobowych z 29.08. 1997 roku.
  1. PRZEPROWADZENIE AUDYTU INFRASTRUKTURY IT
Podczas audytu badaniu mają zostać poddane w szczególności:
  • niezależne określenie stanu bezpieczeństwa sieci LAN.
  • wykrycie naruszeń bezpieczeństwa sieci LAN.
  • wskazanie możliwych rozwiązań zwiększających bezpieczeństwo sieci LAN.
  • pogłębienie wiedzy z zakresu bezpieczeństwa administratorów odpowiedzialnych za LAN .
  • umożliwienie trwałej i efektywnej ochrony sieci lokalnej.
  • trwałe zwiększenie bezpieczeństwa IT w firmie.
  • analiza topologii sieci
  • weryfikacja podziału LAN na strefy sieciowe (w tym wykorzystanie firewalli oraz VLAN/PVLAN)
  • poszukiwanie podatności w kilku wybranych podsieciach
  • weryfikacja dostępu do Internetu z LAN
  • wskazanie potencjalnych, dodatkowych metod ochrony sieci.
  • testy szczelności systemów klasy firewall.
  • skanowanie portów (kilka technik) – próby wykrycia usług sieciowych udostępnionych do Internetu
  • określenie wykorzystanych mechanizmów uwierzytelniania stron (na podstawie przekazanych przez Klienta danych dostępowych).
  • wykrycie luk zabezpieczeń
  • redukcja czasu naprawy systemów, pozwalająca na lepsze wykorzystanie zasobów pracowników IT
  1. PRZEPROWADZENIE AUDYTU FIZYCZNEGO I ŚRODOWISKOWEGO
Zamawiający wymaga przeprowadzenia audytu fizycznego i środowiskowego, którego celem jest weryfikacja skutecznej ochrony fizycznej i środowiskowej zasobów. Audyt powinien zostać wykonany w następujących obszarach:
  • weryfikacja skutecznej ochrony fizycznej i środowiskowej zasobów
  • weryfikacja granic obszaru bezpiecznego
  • weryfikacja zabezpieczeń wejścia/wyjścia
  • weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń
  • weryfikacja bezpieczeństwa okablowania strukturalnego
  • weryfikacja systemów chłodzenia
  • weryfikacja systemów alarmowych i przeciwpożarowych.

Raport z audytu:

Po przeprowadzonym audycie Administrator Danych Osobowych otrzymuje raport końcowy. Przedstawione etapy działania uzupełniane są o informacje dotyczące praktyki kontrolnej GIODO i rekomendacje co do sposobu usunięcia systemowych i prawnych uchybień w przetwarzaniu danych osobowych. Raport pozwala na późniejsze działania tj. aktualizowanie lub opracowanie Polityki Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym, procedur, regulaminów i rejestrację nowych zbiorów danych.
Akceptuję Politykę cookies
chat.svg