Przykład audytu wymagań dot. wdrożenia ISO 27001:2013 w kontekście wybranej organizacji

1. Przedstawienie Firmy:

Opis zakresu działalności wirtualnej firmy

Firma  AGD.COM Sp. z o.o. istnieje od roku 1999, prowadząc od początku działalność opartą o dystrybucję sprzętu AGD/RTV. Jako jedna z pierwszych firm na naszym rynku wprowadziła zasadę – „TANIO I SOLIDNIE”. AGD.COM jest dużym dystrybutorem sprzętu AGD/RTV, który posiada hale magazynowe o łącznej powierzchni powyżej 600 metrów kwadratowych. Kontakt jak i przyjmowanie zamówień odbywa się zarówno drogą mailową jak i poprzez system zamówień działający na stronie WWW. Ponadto firma posiada zaawansowany system inwentaryzacji z bazą danych o klientach i ich zamówieniach. Aby AGD.COM było firmą o wysokim standardzie, wykorzystuje również profesjonalny komputerowy system księgowy. Ponadto całość firmy nadzorowana jest przez wyspecjalizowany dział IT, który dba o maksymalne bezpieczeństwo w placówce jak i na stronie WWW. 

Prowadzona jest sprzedaż wysokiej klasy sprzętów AGD takich firm jak: Daewoo, Electrolux, Gorenje, Panasonic oraz wszelkich materiałów potrzebnych do zabudowy sprzętu codziennego użytku. 

Wśród urządzeń RTV znajdują się np.: drukarki takich firm jak EPSON, CANON, HP, FUJITSU, OKI, LEXMARK, Samsung, Xerox, czy też telewizory firm Samsung, ChinaLong i Philips. 

W skład firmy wchodzą działy:

  • Backoffice
  • Magazyn
  • Recepcja
  • IT

W firmie oprócz poszczególnych działów występują jednostki osób, jak:

  • Zarząd
  • Liderzy poszczególnych działów
  • Kierownicy poszczególnych działów
  • Managerowie
  • ABI – Administratorzy bezpieczeństwa informacji

Schemat firmy:

  • Pomieszczenie zarządu
  • Pomieszczenie backoffice
  • Hol – recepcja
  • Pomieszczenia magazynowe
  • Serwerownia

2. Objęte obszary polityk i procedur w dokumentacji organizacji:

  • Bezpieczeństwo komunikacji
  • Kontrola dostępu
  • Bezpieczeństwo zasobów ludzkich

3. Analiza aktualnej dokumentacji organizacji

Skonstruowanie listy kontrolnej i przeprowadzenie jej na podstawie polityk i procedur bezpieczeństwa organizacji

  • Polityki i procedury spełniające listę kontrolną:
    • Pełne spełnienie wymagań w dziale: Bezpieczeństwo zasobów ludzkich
    • Pełne spełnienie wymagań w dziale: Kontrola dostępu
  • Niepełne spełnianie polityk i procedur w przeprowadzonej liście kontrolnej:
    • Dział: Bezpieczeństwo komunikacji, braki w podrozdziałach:
      • Bezpieczeństwo usług sieciowych
      • Porozumienia dotyczące przesyłania informacji
      • Wiadomości elektroniczne
      • Umowy o zachowaniu poufności
  • Niepełne spełnianie polityk i procedur w przeprowadzonej liście kontrolnej:
    • Dział: Zarządzanie incydentami związanymi z bezpieczeństwem informacji:
      • Zgłaszanie słabości związanych z bezpieczeństwem informacji
      • Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z bezpieczeństwem informacji
      • Gromadzenie materiału dowodowego
  • Osobne polityki i procedury spełniające wymagania dot. ISO:
    •  Kopie zapasowe

5. Lista kontrolna

  • Lista kontrolna przeprowadzona w organizacji wykazała kompletny brak zagadnień z działów:
    • Polityki bezpieczeństwa informacji
    • Organizacja bezpieczeństwa informacji
    • Zarządzanie aktywami
    • Kryptografia
    • Bezpieczeństwo fizyczne i środowiskowe
    • Bezpieczna eksploatacja
    • Bezpieczeństwo komunikacji
    • Pozyskiwanie, rozwój i utrzymanie
    • Relacje z dostawcami
    • Zarządzanie incydentami związanymi z bezpieczeństwem informacji
    • Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
    • Zgodność

6. Analiza list kontrolnej pozwoliła na sformułowanie następujących wniosków:

  • Brak istniejących polityk bezpieczeństwa zmusza do ich stworzenia i wdrożenia
  • Nowe polityki bezpieczeństwa muszą zostać przetestowane w myśli podejścia procesowego SZBI:
    • planuj
    • wykonuj
    • sprawdzaj 
    • działaj
  • Problem polityk bezpieczeństwa polega na tym – że należy je ciągle udoskonalać – proces Deminga

7. Czynności wymagane do spełnienia wym. dot. ISO

  • Należy wdrożyć metody/polityki bezpieczeństwa niezbędne do tego aby firma mogła funkcjonować zgodnie z istniejącym prawem oraz posiadała zabezpieczenie przed nadużyciami pracowniczymi;
  • Należy monitorować przepływ danych w organizacji;
  • Należy wdrożyć określenie obowiązków i procedur zarządzania urządzeniami sieciowymi 
  • Między sieciami i działaniami komputerów, należy korzystać z rozwiązań kryptograficznych w celu ochrony danych podczas ich przesyłu wewnątrz oraz poza organizacją (np. VPN) 
  • Należy korzystać z rozwiązań służących do monitorowania i rejestrowania wykonanych czynności sieciowych (np. za pomocą systemów wykrywania włamań – IDS) 
  • Dostęp do zasobów sieciowych powinien być ograniczany i podlegać uwierzytelnianiu
  • Należy zaadresować klasyczne metody ochrony informacji, jak również nowe technologie które pozwalają na lepszą ochronę danych w przypadkach losowych (np. systemy biometryczne).
  • Należy zdefiniować iż, w ramach każdego z poruszonych aspektów norm ISO 27001, kluczowym do zachowania zgodności jest ścisłe określenie osób odpowiedzialnych, kontrolujących oraz utrzymujących założenia w ramach organizacji

8. Jak doskonalić dokumentacje, polityki bezpieczeństwa i procedury

W celu doskonalenia polityk bezpieczeństwa należy stosować cykl Deminga:

  • Planuj – cele, procesy i procedury tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
  • Wykonuj – wdrożenie i eksploatacja  zabezpieczeń, procesów i procedur.
  • Sprawdzaj – monitoruj, mierz wydajności procesów, celów i doświadczenia praktycznego oraz dostarczaj raporty kierownictwu do przeglądu.

Działaj – utrzymuj i doskonal, podejmuj działania korygujące i zapobiegawcze na podstawie wyników wewnętrznego audytów i przeglądów realizowanych przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia

Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu