Usługa dedykowana jest wszystkim instytucjom publicznym, które na mocy Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zobligowane są do spełnienia stawianych wymogów.
UWAGA: Audyt spełnia wymogi wskazane w Rozporządzeniu Ministra Cyfryzacji z dn. 12.10.2018r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu w ramach Konkursu Grantowego CYFROWA GMINA.
Audyty i diagnozy cyberbezpieczeństwa podlegają dofinansowaniu w ramach Konkursu Grantowego CYFROWA GMINA.
Ważne informacje o audycie KRI
- Urzędy miejskie
- Urzędy gminne
- Starostwa powiatowe
- Powiatowe urzędy pracy
- Placówki oświatowe
- Zakład Ubezpieczeń Społecznych
- Kasy Rolniczego Ubezpieczenia Społecznego
- Organy administracji rządowej
- Organy kontroli państwowej i ochrony prawa
- Sądy
- Prokuratury
- oraz wiele innych
- Obiektywna ocena wdrożonych w podmiocie polityk bezpieczeństwa informacji oraz funkcjonowania systemu zarządzania bezpieczeństwem informacji
- Poszerzanie świadomości w zakresie ryzyk i podatności systemu bezpieczeństwa informacji
- Wypełnienie obowiązku wynikającego z przepisów prawa
- Uzyskanie wytycznych i zaleceń względem stosowanych środków technicznych i organizacyjnych dla ochrony danych i informacji
- Wzmocnienie sytemu ochrony danych osobowych w zgodzie z Rozporządzeniem Parlamentu Europejskiego
- Przygotowanie podmiotu do kontroli organów uprawnionych do wykonywania kontroli w zakresie bezpieczeństwa informacji
Poniżej szczegółowa lista zagadnień, które zostaną zbadane podczas przeprowadzonego przez naszą firmę audytu bezpieczeństwa. Ta lista jest odzwierciedleniem wymogów zawartych w KRI (Krajowe Ramy Interoperacyjności)
- Zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
- Utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację,
- Przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy,
- Podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji,
- Bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób,
- Zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
- zagrożenia bezpieczeństwa informacji,
- skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
- stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.
- Zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
- monitorowanie dostępu do informacji,
- czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
- zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.
- Ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
- Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie,
- Zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji,
- Ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych,
- Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
- dbałości o aktualizację oprogramowania,
- minimalizowaniu ryzyka utraty informacji w wyniku awarii,
- ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
- stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
- zapewnieniu bezpieczeństwa plików systemowych,
- redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
- niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
- kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.
- Bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.
Każdy sporządzony przez nas raport zawiera:
- Graficzne przedstawienie poziomu spełnienia wymogów
- Część opisową dla każdego badanego obszaru
- Zestaw dedykowanych zaleceń
Nasze osiągnięcia