Audyt zgodności
Kompleksowa oferta audytów zgodności (compliance)
Oferujemy szeroki zakres audytów zgodności tzw. compliance.
Audyt zgodności to weryfikacja i ocena czy działania organizacji, tj. jej procedury oraz systemy spełniają wymagania wobec określonych standardów i regulacji prawnych.
Co oferujemy?
1. Dokumentacja formalna i organizacyjna
- Polityka bezpieczeństwa informacji (Information Security Policy).
- Polityka zarządzania ryzykiem (Risk Management Policy).
- Polityka ochrony danych osobowych (jeśli dotyczy RODO/GDPR).
- Procedura zarządzania incydentami bezpieczeństwa (Incident Response Plan).
- Dokumentacja struktury organizacyjnej (np. role i odpowiedzialności dotyczące cyberbezpieczeństwa).
- Rejestr aktywów (Asset Register).
- Rejestr ryzyk związanych z cyberbezpieczeństwem.
- Strategia ciągłości działania (Business Continuity Plan, BCP).
- Plan zarządzania kryzysowego (Crisis Management Plan).
2. Zarządzanie technologią i systemami
- Spis używanych systemów informatycznych i ich klasyfikacja.
- Dokumentacja konfiguracji kluczowych systemów IT.
- Procedury zarządzania zmianą (Change Management Procedures).
- Polityka zarządzania dostępem (Access Control Policy).
- Rejestr logów systemowych i ich analiza (System Logs Management).
- Procedury testowania i audytu zabezpieczeń (np. testy penetracyjne, skany podatności).
- Raporty z poprzednich audytów bezpieczeństwa.`
3. Zarządzanie ryzykiem i zgodnością
- Analiza ryzyk związanych z IT i cyberbezpieczeństwem.
- Mapowanie zgodności z wymaganiami NIS2 (Compliance Mapping).
- Dokumentacja audytów wewnętrznych i zewnętrznych.
- Raporty dotyczące zgodności z innymi regulacjami (np. RODO, ISO 27001).
4. Zarządzanie incydentami i reakcja
- Rejestr zgłoszonych incydentów bezpieczeństwa.
- Raporty z analizy incydentów i ich skutków.
- Procedury zgłaszania incydentów właściwym organom (np. CSIRT).
- Raporty z ćwiczeń symulacyjnych (np. testy incydentowe, tabletop exercises).
5. Dokumentacja operacyjna
- Polityka aktualizacji i zarządzania łatami (Patch Management Policy).
- Procedury backupu i odtwarzania danych (Backup and Recovery Procedures).
- Instrukcje operacyjne dotyczące systemów krytycznych.
- Harmonogramy aktualizacji oprogramowania i sprzętu.
6. Bezpieczeństwo dostawców i łańcucha dostaw
- Polityka zarządzania bezpieczeństwem dostawców (Supplier Security Policy).
- Umowy z dostawcami zawierające klauzule dotyczące bezpieczeństwa (np. SLA, NDA).
- Oceny bezpieczeństwa dostawców i raporty z audytów.
- Procedury zarządzania ryzykiem w łańcuchu dostaw.
7. Szkolenia i podnoszenie świadomości
- Rejestr szkoleń z zakresu cyberbezpieczeństwa dla pracowników.
- Polityka szkoleń i podnoszenia świadomości.
- Raporty z testów socjotechnicznych (np. phishing testy).
8. Wymogi techniczne i zabezpieczenia
- Polityka zarządzania infrastrukturą sieciową (Network Management Policy).
- Dokumentacja dotycząca ochrony końcówek (Endpoint Security Documentation).
- Specyfikacja i konfiguracja systemów SIEM/IDS/IPS.
- Raporty z monitorowania bezpieczeństwa sieci i systemów.
9. Współpraca z organami regulacyjnymi
- Procedury zgłaszania zgodności z NIS2 właściwym organom.
- Raporty z konsultacji z CSIRT i organami nadzoru.
- Dokumentacja procesów komunikacji w przypadku kryzysu cyberbezpieczeństwa.
10. Dowody zgodności
- Certyfikaty (np. ISO 27001, PCI-DSS, SOC 2).
- Wyniki audytów zewnętrznych i wewnętrznych.
- Analizy luk w zakresie zgodności z dyrektywą NIS2.
- Raporty z działań naprawczych podjętych na podstawie audytów.