ABI – Metoda Audytu Bezpieczeństwa Informacji

Metodą Audytu Bezpieczeństwa Informacji przeprowadzanego przez Agencję Informatyczną jest:

  • Badanie zgodności z normą PN-ISO/IEC 27001:2017, przy jednoczesnym spełnieniu wymagań § 20 ust. 3 Rozporządzenia dotyczących ustanawiania zabezpieczeń, zarządzania ryzykiem oraz audytowania (Audyt Zgodności).
  • Weryfikacja ocen nadawanych przez Respondentów Audytu zgodności z normą w tych obszarach bezpieczeństwa zdefiniowanych w normie PN-ISO/IEC 27001:2017, których Audyt legalności oprogramowania dotyczył.
  • Respondenci dokonują oceny obszarów, kategorii i zabezpieczeń za pomocą (automatycznie wygenerowanych przez system) plików Excel, jest to duże uproszczenie dla osób oceniających, gdyż nadanie samej oceny wymaga jedynie wskazania konkretnej oceny z listy możliwych.

Kierując się powyższymi ustaleniami, dla celów przeprowadzenia Audytu Bezpieczeństwa Informacji ustala się:

  • Strukturę przedmiotową zagadnień bezpieczeństwa informacji zgodną z normami PN-ISO/IEC 27001:2017 i PN-ISO/IEC 27002 (zachowującą oryginalne oznaczenia poszczególnych obiektów bezpieczeństwa), składającą się z trzech poziomów podstawowych, tzn.:
    • obszarów bezpieczeństwa;
    • kategorii bezpieczeństwa;
    • zabezpieczeń.
  • Wagę (ważność, wartość) każdego z zagadnień (obiektów) bezpieczeństwa określoną jako liczba dedykowanych mu (przez normę PN-ISO/IEC 27002) zabezpieczeń.
  • Pięciostopniową skalę ocen stopnia spełniania wymagań Norm, każdej wartości przypisując odpowiednio liczbę z przedziału [0;1], określającą (subiektywnie) prawdopodobieństwo wystąpienia zdarzenia zagrażającego bezpieczeństwu informacji:
    • Całkowicie – 0 %
    • W znacznym stopniu – 25 %
    • Częściowo – 50 %
    • W niewielkim stopniu – 75 %
    • Niespełnione – 100%
  • Nadawanie ocen na poziomie drugim (kategorii) i trzecim (zabezpieczeń).

Zastosowanie w przeprowadzonym audycie powyżej opisanej metody umożliwia:

  • Kontynuację podjętych działań w kierunku opracowania i wdrożenia Systemu zarządzania bezpieczeństwem informacji na podstawie Polskiej Normy PN-ISO/IEC 27001:2017 i przy wypełnieniu wszystkich wymagań dotyczących takiego wdrożenia, sprecyzowanych w Rozporządzeniu.
  • Weryfikowanie i/lub zastępowanie subiektywnie nadawanych ocen, ocenami bazującymi na rachunku prawdopodobieństwa i statystyce, w oparciu pozyskane faktyczne dane.
  • Włączenie zdefiniowanej struktury przedmiotowej oraz struktury ocen do systemu zarządzania ryzykiem jednostki.