Vysoká škola polytechnická Jihlava

2012 - 2012

VŠPJ - Audit bezpečnosti IT a optimalizace nákladů

Kdo je klient

Vysoká škola polytechnická Jihlava (VŠPJ) vznikla v roce 2004 jako první česká veřejná vysoká škola neuniverzitního směru. Je jedinou veřejnou vysokou školou v Kraji Vysočina. VŠPJ je také pevnou součástí systému terciárního vzdělávání.

Klientova východiska

Cílem komplexního bezpečnostního auditu bylo nezávisle posoudit úroveň bezpečnosti IT prostředků VŠPJ, navrhnout opatření k redukci bezpečnostních rizik a nastavit bezpečnostní politiku organizace v IT oblasti. Klient očekával srovnání s normami, oborovými standardy a konečně i impulsy k optimalizaci nákladů a investic.

 

"Jsem rád, že jsme spolupracovali s konzultanty Blue Partners. Problematiku bezpečnosti IT projednali s managementem školy i IT oddělením tak, že všechny strany chápaly, co je cílem auditu a jak k němu dojít."

Ing. Michal Šulc, Ph.D., kvestor VŠPJ

 

Jak audit proběhl

  • Při vstupním pohovoru jsme klienta seznámili s průběhem auditu, timingem a časovými nároky na zúčastněné pracovníky školy.
  • Klient dodal vyžádané vzorky dokumentace.
  • Proběhlo několik řízených pohovorů k ověření skutečného stavu.
  • Zpracovali jsme a předložili draft auditní zprávy.
  • Na základě diskuse byla zpráva upravena a doplněna.
  • Prezentovali jsme konečnou verzi auditní zprávy.
  • Zprávy byla rozčleněna podle požadované struktury:
    • celkové nastavení bezpečnostní politiky organizace v oblasti IT,
    • personální bezpečnosti v oblasti IT,
    • fyzická bezpečnost v oblasti IT a správa aktiv IT,
    • management bezpečnosti počítačů a sítí,
    • zajištění kontinuity provozu,
    • systémový vývoj a údržba,
    • penetrační testování vnitřní a vnější části sítě.
  • Proběhl bezpečnostní test informačního systému (podvržený e-mail odkazoval na podvrženou logovací stránka za účelem zcizení hesla) s uspokojivým výsledkem.
  • Audit probíhal dva měsíce (průběh ovlivnila doba dovolených).

 

Nároky na klienta

  • Čas na pohovory (jednotky hodin u každého z dotazovaných).
  • Čas na shromáždění požadované dokumentace (jednotky člověkohodin).
  • Čas techniků a specialistů pro zajištění přístupu do sítě VŠPJ (jednotky člověkohodin).

 

Klíčové přínosy očima klienta

  • Byla identifikována rizika IT bezpečnosti a určeny priority řešení.
  • Zjištěno, že standardizovaná opatření bývají účinnější a levnější.
  • Zhodnocena kvality dokumentace, proběhla diskuze nad jejím smyslem a strategií.
  • Ověřeno nasazení externích dodavatelů jako pružné řešení problémů s přetížením vlastních kapacit.

 

-----

Audit IT je služba vhodná zejména pro větší státní a veřejnoprávní organizace. Pro subjekty spadající pod zákon o kybernetické bezpečnosti je provádění pravidelných auditů povinné.

Více o službě Audit IT

Audit vyžaduje splnění řady parametrů, které pro komerční subjekty nejsou povinné, nezbytné a často ani účelné. Malým a středním podnikům proto nabízíme pružnější revizi IT zaměřenou na jejich praktické problémy a příležitosti.

Více o službě Efektivní IT