W ostatnim wpisie na blogu pisaliśmy, jak ważną rolę odgrywa System Zarządzania Bezpieczeństwem Informacji w FORDATA, oraz o wdrożeniu przez firmę normy ISO 27001:2013. Dzisiejszy temat poświęcony jest tematyce audytu przeprowadzonego w firmie FORDATA w ostatnim czasie przez firmę BSI Group Polska.
Terminy audytu: 19/04/2017 – 21/04/2017
Lokalizacja audytu: Poznań
Audytor: BSI Group Polska
Normy audytu: ISO/IEC 27001:2013
Uczestnicy audytu: Członkowie Zarządu, Managerowie Działów: IT, Sprzedaży i Obsługi Klienta
Celem audytu było przeprowadzenie audytu re-certyfikacji bieżącej rejestracji. W ramach audytu zweryfikowano, czy wszystkie elementy zakresu certyfikacji oraz wszystkie obszary normy są skutecznie objęte przez system zarządzania firmy. Zakres audytu obejmował udokumentowany system zarządzania w stosunku do wymogów ISO 27001.
Audyt został przeprowadzony w następujących siedmiu obszarach:
W wyniku przeprowadzonego audytu, nie zarejestrowano niezgodności w żadnym z powyższych obszarów.
W raporcie z Audytu czytamy, że procesy związane z obszarem Kierownictwo funkcjonują prawidłowo, a Zarząd ma świadomość znaczenia bezpieczeństwa informacji i monitoruje w sposób ciągły skuteczność zabezpieczeń SZBI (ISMS). Badania audytowe w obszarze Serwerownie przeprowadzone bezpośrednio w serwerowniach i centrach kolokacyjnych potwierdziły realizację procesów w warunkach nadzorowanych, zgodnie z zasadami bezpieczeństwa informacji. Krytyczne systemy IT FORDATA hostowane są w zewnętrznej serwerowni, gwarantującej należytą ochronę przed zagrożeniami zewnętrznymi i środowiskowymi, takimi jak np. pożar, zalanie, trzęsienie ziemi czy wybuch.
W obszarze Kadry, audytor podkreślił, że personel zna, rozumie i stosuje zasady bezpieczeństwa informacji, a umowy z pracownikami zawierają odpowiednie klauzule o poufności. Dodatkowo w obszarze Pełnomocnik audyt wykazał, że procesy związane z utrzymaniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), monitorowaniem skuteczności, doskonaleniem zabezpieczeń i działań systemowych są zgodne z wymaganiami normy. Mechanizmy zarządzania incydentami bezpieczeństwa, prowadzenie odpowiednich rejestrów oraz przygotowywanie okresowych raportów zostało zdefiniowane i udokumentowane.
W zakresie Procesy Klienta procesy związane z klientem skutecznie objęto Systemem Zarządzania Bezpieczeństwem Informacji. Przed przyznaniem klientom dostępu do systemu VDR wprowadza się zidentyfikowane zabezpieczenia w umowach, identyfikuje się osoby oraz ustala się zakresy uprawnień w zakresie dostępu do usługi VDR.
Audyt wykazał, że System Zarządzania Bezpieczeństwem Informacji zaimplementowany w FORDATA jest utrzymywany zgodnie z wymaganiami normy ISO 27001:2013.
Polityka deklaruje spełnienie wymagań klientów, wymagań prawnych, technologicznych, innych stron zainteresowanych oraz doskonalenie Systemu Bezpieczeństwa Informacji. Cele bezpieczeństwa są realne, monitorowane i osiągane. SZBI został oparty o racjonalną analizę ryzyka, zastosowanie odpowiednich zabezpieczeń, które zostały opisane w Deklaracji Stosowania. Nie wyłączono żadnego zabezpieczenia co jest uzasadnione i potwierdzono to w trakcie audytu. Organizacja ustanowiła i nadzoruje niezbędną dokumentację do planowania, prowadzenia, sprawdzania oraz doskonalenia procesów, realizacji usług, funkcjonowania SZBI. Wymagane i ustanowione zapisy bezpieczeństwa potwierdzają spełnienie wymagań prawa oraz SZBI. Organizacja utrzymuje skuteczny, właściwy System Zarządzania Bezpieczeństwem Informacji.
Konsultacja – Pełnomocnik ds. Bezpieczeństwa FORDATA (zachęcamy do zapoznania się z wywiadem z naszym Pełnomocnikiem TUTAJ).
Zdjęcie główne – Fotolia.com