Audyt zgodności systemów informatycznych

Audyt zgodności to według ISACA “proces gromadzenia i oceniania dowodów w celu określenia, czy systemy informatyczne i związane z nimi zasoby właściwie chronią majątek, utrzymują integralność danych i systemu, dostarczają odpowiednich i wiarygodnych informacji, efektywnie osiągają cele organizacji, oszczędnie wykorzystują zasoby, a także czy w praktyce istnieją mechanizmy kontroli wewnętrznej, które zapewniają, że są osiągane cele operacyjne i kontrolne oraz, że zapobiega się wystąpieniu niepożądanych zdarzeń lub są one na czas wykrywane, a ich skutki korygowane”. Polska norma terminologiczna PN-I-02000:2002 definiuje audyt zgodności bezpieczeństwa jako “niezależny przegląd i sprawdzenie zapisów oraz funkcji systemów przetwarzania danych w celu sprawdzenia prawidłowości kontroli systemowej, zapewnienie zgodności z przyjętą polityką bezpieczeństwa i procedurami działania w celu wykrycia przełamań bezpieczeństwa oraz w celu zalecenia określonych zmian w kontroli, w polityce bezpieczeństwa i w procedurach”. Natomiast audyt zgodności systemu informatycznego objaśnia się jako “sprawdzanie procedur stosowanych w systemie przetwarzania danych w celu oceny ich skuteczności i poprawności oraz w celu zalecenia ulepszeń”.

Audyt zgodności bezpieczeństwa może przeprowadzić spełniająca wymagania prawne jednostka oceniająca zgodność, co najmniej dwóch audytorów mających odpowiednie kompetencje (mogą być one potwierdzone stosownymi certyfikatami, co najmniej trzyletnią praktyką w zakresie audytu bezpieczeństwa systemów informacyjnych lub praktyką dwuletnią, gdy osoba taka legitymuje się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych) lub sektorowy zespół cyberbezpieczeństwa. 

Do tej grupy należą następujące dokumenty: Certified Internal Auditor (CIA); Certified Information System Auditor (CISA); Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001, Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301, Certified Information Security Manager (CISM); Certified in Risk and Information Systems Control (CRISC); Certified in the Governance of Enterprise IT (CGEIT); Certified Information Systems Security Professional (CISSP); Systems Security Certified Practitioner (SSCP); Certified Reliability Professional, a także potwierdzenie uzyskania tytułu ISA/IEC 62443 Cybersecurity Expert.

Nasi audytorzy ukończyli studia podyplomowe w zakresie ochrony danych osobowych oraz posiadają certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001.

Zapraszamy do współpracy!