Audit IT

Ověřte, zda jsou IT procesy ve vaší organizaci řízeny podle předepsaných standardů a metod best practices. 
Audit IT vedeme v souladu s normou ISO 27001, jejíž naplnění požaduje i zákon o kybernetické bezpečnosti.
Slouží k prověření a certifikaci IT především u větších společností a organizací veřejné správy.

 

Podnikatelé, děsíte se auditu? Nabízíme vám neformální analýzu IT zaměřenou přesně na vaše potřeby.

Audit IT - graf cyklu vývoje firemního IT Blue Partners

Na co audit IT odpoví?

  • Zda je definována strategie řízení IT
  • Zda je vaše organizace připravena na certifikaci IT systémů.
  • Jsou-li klíčové systémy dostatečně popsány v katalogu služeb IT či v jiné dokumentaci
  • Je-li zajištěna kontinuita činností organizace při havárii nebo jiném neplánovaném výpadku IT
  • Jsou-li k dispozici zálohovací plány
  • Jak jsou vyřizovány požadavky na IT
  • Existují-li bezpečností směrnice pro IT

Obsah služby

Náležitosti dokumentace odpovídají normě ISO 27001:

  • Formulace politiky bezpečnosti informací
    Určí se směr a vyjádří podpora bezpečnosti IT ze strany vedení.

  • Organizace bezpečnosti informací
    Audit IT nastaví systém řízení bezpečnosti informací uvnitř organizace i při použití mobilních zařízení.

  • Bezpečnost lidských zdrojů
    Zaměstnanci i smluvní strany budou znát své povinnosti při zachovávání bezpečnosti informací. Na jednotlivé pozice budou vybíráni vhodní kandidáti. Ochrana zájmů organizace bude zajištěna během změn i po ukončení jejich pracovního poměru.

  • Řízení aktiv
    Identifikují se aktiva a definuje odpovědnost za jejich přiměřenou ochranu. Zajistí se ochrana informací s úrovní odpovídající jejich významu.

  • Řízení přístupu
    Nastaví se pravidla odpovědnosti a přístupu uživatelů k informacím, systémům a aplikacím.

  • Kryptografie
    Zajistí se efektivní používání kryptografických prostředků (šifrování) pro ochranu informací.

  • Fyzická bezpečnost a bezpečnost prostředí
    Zavedou se preventivní opatření vůči neautorizovanému přístupu k informacím nebo vybavení, vůči ztrátě, poškození, krádeži nebo kompromitaci aktiv nebo vůči narušení činnosti organizace.

  • Bezpečnost provozu
    Audit zajistí provozní postupy a odpovědnost za zálohování, monitoring, záznam logů, ochranu proti malwaru apod.

  • Bezpečnost komunikací
    Zajistí se zabezpečení dat v počítačových sítích a při jejich přenosu mimo organizaci. Posuzuje se riziko úniku dat.

  • Akvizice, vývoj a údržba systémů
    Zajistí se bezpečnost informací v rámci informačních systémů, včetně vývoje aplikací.

  • Dodavatelské vztahy
    Audit IT zajistí ochranu aktiv organizace, ke kterým mají přístup dodavatelé. Nastaví se pravidla pro monitoring, přezkoumávání a řízení změn ve službách dodavatelů.

  • Řízení incidentů bezpečnosti informací
    Zajistí se efektivní postup při zvládnutí mimořádných bezpečnostních událostí, posílení slabých míst apod.

  • Řízení kontinuity činností organizace z hlediska bezpečnosti dat
    Zajistí se kontinuita činností organizace i v případě mimořádných událostí.

  • Soulad s požadavky
    Audit zajistí soulad všech aktivit se zákony, normami, předpisy nebo smlouvami. Bezpečnost dat bude implementována a provozována v souladu s bezpečnostní politikou organizace (nezávislá přezkoumání, pravidelné přezkoumávání shody).

Výstupy auditu

  • Základní informace o souladu řízení IT a normy ISO 27001

  • Připravenost organizace na certifikaci IT systémů dle zákona o kybernetické bezpečnosti

  • Popis rizik vyplývající z nedostatečné nebo chybějící dokumentace

  • Doporučení nápravných opatření s prioritami a odhadem časové a finanční náročnosti

Ukázky

Audit IT - ukázka IT dotazníku od Blue Partners 1
Audit IT - ukázka IT dotazníku od Blue Partners 2
Audit IT - ukázka IT dotazníku od Blue Partners 3

Normy a standardy služby

Audit realizujeme naplněním normy ISO 27001. Vždy ho vedeme se zřetelem na detaily, které vás nejvíce zajímají.

Rizika ze zanedbání auditu

  • Zákonné sankce

    Provedením auditu podle ISO 27001 je základní podmínkou naplnění zákona o kybernetické bezpečnosti. Při nesplnění povinnosti hrozí sankce.

  • Nepřiměřené technologie a ceny

    Audit zjistí, zda a jak jsou definována a klasifikována aktiva a zda použité technologie nejsou předražené, nebo naopak poddimenzované. Je silným argumentem v obhajobě efektivního a transparentního hospodaření organizace.

Cena služby

Náklady na audit určuje velikost organizace a požadovaná podrobnost auditu. Podrobnou cenovou nabídkou obdržíte po zmapování požadavků před zahájením samotné práce.

Proč si audit IT objednat u nás

  • Naším cílem není auditovat, ale zvyšovat efektivitu a bezpečnost vašeho IT.

  • Máme 6 let praxe s bezpečnostními, penetračními, procesními a výkonnostními audity pro významné klienty.

  • Audit provádějí zkušení a diskrétní zaměstnanci prověření min. 7letou firemní kariérou.

Garance

  • Konečnou cenu a závazný termín ukončení auditu budete znát před podpisem smlouvy.

  • Naše společnost je vlastníkem ISO 27001 a držitelem osvědčení NBÚ č. 001683 Důvěrné (vznik) a č. 001809 Tajné (seznámení).

Časté otázky

  • Jak často a kdy je vhodné audit dělat?

    Celkový audit je vhodné dělat jednou za dva roky. V mezičase doporučujeme provést nejméně jeden podrobnější audit zaměřený na část problematiky. Audit je vhodné provést vždy, když organizace prošla personální obměnou nebo jinou reorganizací.

  • Není audit IT vyhazováním peněz (daňových poplatníků)?

    Audit není formálním cílem, ale praktickým prostředkem optimalizace nákladů a investic směřujících do IT. Správně provedený audit vždy nachází příležitosti k lepšímu hospodaření, takže peníze spíš vydělává než utrácí. Pro zodpovědné pracovníky je audit klíčovým dokumentem, kterým dokládají správnost svého konání.

  • Obáváme se, že audit bude zaujatý.

    Princip auditu je z podstaty věci nezaujatý. Prováděcí směrnice je volně dostupná.

Jak začít

Kontaktujte nás. Na úvod budeme chtít, abyste svou organizaci krátce charakterizovali a popsali důvody, které vás k auditu vedou. Přijedeme k vám, promluvíme si a navrhneme scénář auditu tak, aby vám co nejlépe vyhovoval. Vždy budete vědět, co se děje a co se bude dít.