Formální IT audit pro potřeby ISO, ZoKB, finanční audit apod.
Publikováno: 10.5.2022
Ověřte, zda jsou IT procesy ve vaší organizaci řízeny podle předepsaných standardů a metod best practices. Slouží k prověření a certifikaci IT především u větších společností a organizací veřejné správy.
Audit IT vedeme v souladu s normou ISO 27001, jejíž naplnění požaduje i zákon o kybernetické bezpečnosti.
Formální IT audit lze také objednat jako součást hlavní služby Audity a testy.
Kdy potřebujete audit IT?
- Nejste spokojeni s výkonem vašeho IT.
- Organizace spadá pod ZoKB nebo potřebuje ISO certifikát ISO27001 (nejsme certifikační autorita, ale můžeme vám připravit potřebnou dokumentaci a zajistit certifikační autoritu, s kterou spolupracujeme).
- Pochybujete o přiměřenosti výdajů a investic do IT.
- Nevíte, jak jsou definovány a dokumentovány služby IT.
- Máte obavy ze ztrát hrozících v případě výpadku.
Na co audit IT odpoví?
- Je dostatečně definována strategie řízení IT.
- Zda je vaše organizace připravena na certifikaci IT systémů.
- Jsou-li klíčové systémy dostatečně popsány v katalogu služeb IT či v jiné dokumentaci.
- Je-li zajištěna kontinuita činností organizace při havárii nebo jiném neplánovaném výpadku IT.
- Jsou-li k dispozici zálohovací plány.
- Jak jsou vyřizovány požadavky na IT.
- Existují-li bezpečností směrnice pro IT.
Obsah služby
Náležitosti dokumentace odpovídají normě ISO 27001:
- Formulace politiky bezpečnosti informací
Určí se směr a vyjádří podpora bezpečnosti IT ze strany vedení. - Organizace bezpečnosti informací
Audit IT nastaví systém řízení bezpečnosti informací uvnitř organizace i při použití mobilních zařízení. - Bezpečnost lidských zdrojů
Zaměstnanci i smluvní strany budou znát své povinnosti při zachovávání bezpečnosti informací. Na jednotlivé pozice budou vybíráni vhodní kandidáti. Ochrana zájmů organizace bude zajištěna během změn i po ukončení jejich pracovního poměru. - Řízení aktiv
Identifikují se aktiva a definuje odpovědnost za jejich přiměřenou ochranu. Zajistí se ochrana informací s úrovní odpovídající jejich významu. - Řízení přístupu
Nastaví se pravidla odpovědnosti a přístupu uživatelů k informacím, systémům a aplikacím. - Kryptografie
Zajistí se efektivní používání kryptografických prostředků (šifrování) pro ochranu informací. - Fyzická bezpečnost a bezpečnost prostředí
Zavedou se preventivní opatření vůči neautorizovanému přístupu k informacím nebo vybavení, vůči ztrátě, poškození, krádeži nebo kompromitaci aktiv nebo vůči narušení činnosti organizace. - Bezpečnost provozu
Audit zajistí provozní postupy a odpovědnost za zálohování, monitoring, záznam logů, ochranu proti malwaru apod. - Bezpečnost komunikací
Zajistí se zabezpečení dat v počítačových sítích a při jejich přenosu mimo organizaci. Posuzuje se riziko úniku dat. - Akvizice, vývoj a údržba systémů
Zajistí se bezpečnost informací v rámci informačních systémů, včetně vývoje aplikací. - Dodavatelské vztahy
Audit IT zajistí ochranu aktiv organizace, ke kterým mají přístup dodavatelé. Nastaví se pravidla pro monitoring, přezkoumávání a řízení změn ve službách dodavatelů. - Řízení incidentů bezpečnosti informací
Zajistí se efektivní postup při zvládnutí mimořádných bezpečnostních událostí, posílení slabých míst apod. - Řízení kontinuity činností organizace z hlediska bezpečnosti dat
Zajistí se kontinuita činností organizace i v případě mimořádných událostí. - Soulad s požadavky
Audit zajistí soulad všech aktivit se zákony, normami, předpisy nebo smlouvami. Bezpečnost dat bude implementována a provozována v souladu s bezpečnostní politikou organizace (nezávislá přezkoumání, pravidelné přezkoumávání shody).
Výstupy auditu
- Základní informace o souladu řízení IT a normy ISO 27001.
- Připravenost organizace na certifikaci IT systémů dle zákona o kybernetické bezpečnosti.
- Popis rizik vyplývající z nedostatečné nebo chybějící dokumentace.
- Doporučení nápravných opatření s prioritami a odhadem časové a finanční náročnosti.
Výhody auditu
Kybernetická bezpečnost
Provedením auditu podle ISO 27001 si zákazník ověří, že je dostatečně připraven čelit kybernetickým hrozbám. Audit je také výhodou pro naplnění zákona o kybernetické bezpečnosti, který z uvedené normy vychází.
Úspora na nepřiměřených technologiích a ceně
Audit zjistí, zda a jak jsou definována a klasifikována aktiva a zda použité technologie nejsou předražené, nebo naopak poddimenzované. Je silným argumentem v obhajobě efektivního a transparentního hospodaření organizace.
Cena služby
Náklady na audit určuje velikost organizace a požadovaná podrobnost auditu. Podrobnou cenovou nabídkou obdržíte po zmapování požadavků před zahájením samotné práce.
Proč si audit IT objednat u nás
- Orientujeme se na potřeby konkrétního zákazníka a nezvyšujeme zbytečně formální zátěž (papírování).
- Naším cílem není auditovat, ale zvyšovat efektivitu a bezpečnost vašeho IT.
- Máme 10 let praxe s bezpečnostními, penetračními, procesními a výkonnostními audity pro významné klienty.
- Audit provádějí zkušení a diskrétní zaměstnanci prověření více jak 10letou firemní kariérou.
Garance
- Konečnou cenu a závazný termín ukončení auditu budete znát před podpisem smlouvy.
- Naše společnost je vlastníkem ISO 27001 a držitelem osvědčení NBÚ č. 001683 Důvěrné (vznik).
Časté otázky
Jak často a kdy je vhodné audit dělat?
Celkový audit je vhodné dělat jednou za dva roky. V mezičase doporučujeme provést hlubší audit zaměřený na problematické části. Audit je vhodné provést také vždy po reorganizaci, či jiné významnější změně.
Není audit IT vyhazováním peněz (daňových poplatníků)?
Audit není formálním cílem, ale praktickým prostředkem optimalizace nákladů a investic směřujících do IT. Správně provedený audit vždy nachází příležitosti k lepšímu hospodaření, takže peníze spíš šetří, než utrácí. Pro zodpovědné pracovníky je audit klíčovým dokumentem, kterým dokládají správnost svého konání.
Obáváme se, že audit bude zaujatý.
Princip auditu je z podstaty věci nezaujatý. Prováděcí směrnice je volně dostupná.
Jak začít
Kontaktujte nás. Na úvod budeme chtít, abyste svou organizaci krátce charakterizovali a popsali důvody, které vás k auditu vedou. Setkáme se s vámi a navrhneme scénář auditu tak, aby co nejlépe vyhovoval vašim potřebám. Vždy budete vědět, co se děje a jaké kroky vás čekají.