ISO 27001:2013 – audyt recertyfikacji bieżącej rejestracji

W ostatnim wpisie na blogu pisaliśmy, jak ważną rolę odgrywa System Zarządzania Bezpieczeństwem Informacji w FORDATA, oraz o wdrożeniu przez firmę normy ISO 27001:2013. Dzisiejszy temat poświęcony jest tematyce audytu przeprowadzonego w firmie FORDATA w ostatnim czasie przez firmę BSI Group Polska.

Terminy audytu: 19/04/2017 – 21/04/2017
Lokalizacja audytu: Poznań
Audytor: BSI Group Polska
Normy audytu: ISO/IEC 27001:2013
Uczestnicy audytu: Członkowie Zarządu, Managerowie Działów: IT, Sprzedaży i Obsługi Klienta

Cel, zakres i kryteria audytu

Celem audytu było przeprowadzenie audytu re-certyfikacji bieżącej rejestracji. W ramach audytu zweryfikowano, czy wszystkie elementy zakresu certyfikacji oraz wszystkie obszary normy są skutecznie objęte przez system zarządzania firmy.  Zakres audytu obejmował udokumentowany system zarządzania w stosunku do wymogów ISO 27001.

Wyniki audytu

Audyt został przeprowadzony w  następujących siedmiu obszarach:

  1. Kierownictwo
  2. Serwerownie/zabezpieczenia fizyczne/zasoby IT
  3. System VDR/ciągłość/kopie zapasowe/dostęp
  4. Administracja/zarządzanie dostępem
  5. Kadry
  6. Pełnomocnik
  7. Procesy Klienta

W wyniku przeprowadzonego audytu, nie zarejestrowano niezgodności w żadnym z powyższych obszarów.

W raporcie z Audytu czytamy, że procesy związane z obszarem Kierownictwo funkcjonują prawidłowo, a Zarząd ma świadomość znaczenia bezpieczeństwa informacji i monitoruje w sposób ciągły skuteczność zabezpieczeń SZBI (ISMS). Badania audytowe w obszarze Serwerownie przeprowadzone bezpośrednio w serwerowniach i centrach kolokacyjnych potwierdziły realizację procesów w warunkach nadzorowanych, zgodnie z zasadami bezpieczeństwa informacji. Krytyczne systemy IT FORDATA hostowane są w zewnętrznej serwerowni, gwarantującej należytą ochronę przed zagrożeniami zewnętrznymi i środowiskowymi, takimi jak np. pożar, zalanie, trzęsienie ziemi czy wybuch.

W obszarze Kadry,  audytor podkreślił, że personel zna, rozumie i stosuje zasady bezpieczeństwa informacji, a umowy z pracownikami zawierają odpowiednie klauzule o poufności. Dodatkowo w obszarze Pełnomocnik audyt wykazał, że procesy związane z utrzymaniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), monitorowaniem skuteczności, doskonaleniem zabezpieczeń i działań systemowych są zgodne z wymaganiami normy. Mechanizmy zarządzania incydentami bezpieczeństwa, prowadzenie odpowiednich rejestrów oraz przygotowywanie okresowych raportów zostało zdefiniowane i udokumentowane.

W zakresie Procesy Klienta procesy związane z klientem skutecznie objęto Systemem Zarządzania Bezpieczeństwem Informacji. Przed przyznaniem klientom dostępu do systemu VDR wprowadza się zidentyfikowane zabezpieczenia w umowach, identyfikuje się osoby oraz ustala się zakresy uprawnień w zakresie dostępu do usługi VDR.

Podsumowanie

Audyt wykazał, że System Zarządzania Bezpieczeństwem Informacji zaimplementowany w FORDATA jest utrzymywany zgodnie z wymaganiami normy ISO 27001:2013.

Polityka deklaruje spełnienie wymagań klientów, wymagań prawnych, technologicznych, innych stron zainteresowanych oraz doskonalenie Systemu Bezpieczeństwa Informacji. Cele bezpieczeństwa są realne, monitorowane i osiągane. SZBI został oparty o racjonalną analizę ryzyka, zastosowanie odpowiednich zabezpieczeń, które zostały opisane w Deklaracji Stosowania. Nie wyłączono żadnego zabezpieczenia co jest uzasadnione i potwierdzono to w trakcie audytu. Organizacja ustanowiła i nadzoruje niezbędną dokumentację do planowania, prowadzenia, sprawdzania oraz doskonalenia procesów, realizacji usług, funkcjonowania SZBI. Wymagane i ustanowione zapisy bezpieczeństwa potwierdzają spełnienie wymagań prawa oraz SZBI. Organizacja utrzymuje skuteczny, właściwy System Zarządzania Bezpieczeństwem Informacji.

Konsultacja – Pełnomocnik ds. Bezpieczeństwa FORDATA (zachęcamy do zapoznania się z wywiadem z naszym Pełnomocnikiem TUTAJ).

Zdjęcie główne – Fotolia.com

Udostępnij!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Anna Horowska-Shahin
Communications Manager
Spodobało Ci się?
Udostępnij!
Najczęściej czytane
Obserwuj nas