Metodą Audytu Bezpieczeństwa Informacji przeprowadzanego przez Agencję Informatyczną jest:
- Badanie zgodności z normą PN-ISO/IEC 27001:2017, przy jednoczesnym spełnieniu wymagań § 20 ust. 3 Rozporządzenia dotyczących ustanawiania zabezpieczeń, zarządzania ryzykiem oraz audytowania (Audyt Zgodności).
- Weryfikacja ocen nadawanych przez Respondentów Audytu zgodności z normą w tych obszarach bezpieczeństwa zdefiniowanych w normie PN-ISO/IEC 27001:2017, których Audyt legalności oprogramowania dotyczył.
- Respondenci dokonują oceny obszarów, kategorii i zabezpieczeń za pomocą (automatycznie wygenerowanych przez system) plików Excel, jest to duże uproszczenie dla osób oceniających, gdyż nadanie samej oceny wymaga jedynie wskazania konkretnej oceny z listy możliwych.
Kierując się powyższymi ustaleniami, dla celów przeprowadzenia Audytu Bezpieczeństwa Informacji ustala się:
- Strukturę przedmiotową zagadnień bezpieczeństwa informacji zgodną z normami PN-ISO/IEC 27001:2017 i PN-ISO/IEC 27002 (zachowującą oryginalne oznaczenia poszczególnych obiektów bezpieczeństwa), składającą się z trzech poziomów podstawowych, tzn.:
- obszarów bezpieczeństwa;
- kategorii bezpieczeństwa;
- zabezpieczeń.
- Wagę (ważność, wartość) każdego z zagadnień (obiektów) bezpieczeństwa określoną jako liczba dedykowanych mu (przez normę PN-ISO/IEC 27002) zabezpieczeń.
- Pięciostopniową skalę ocen stopnia spełniania wymagań Norm, każdej wartości przypisując odpowiednio liczbę z przedziału [0;1], określającą (subiektywnie) prawdopodobieństwo wystąpienia zdarzenia zagrażającego bezpieczeństwu informacji:
- Całkowicie – 0 %
- W znacznym stopniu – 25 %
- Częściowo – 50 %
- W niewielkim stopniu – 75 %
- Niespełnione – 100%
- Nadawanie ocen na poziomie drugim (kategorii) i trzecim (zabezpieczeń).
Zastosowanie w przeprowadzonym audycie powyżej opisanej metody umożliwia:
- Kontynuację podjętych działań w kierunku opracowania i wdrożenia Systemu zarządzania bezpieczeństwem informacji na podstawie Polskiej Normy PN-ISO/IEC 27001:2017 i przy wypełnieniu wszystkich wymagań dotyczących takiego wdrożenia, sprecyzowanych w Rozporządzeniu.
- Weryfikowanie i/lub zastępowanie subiektywnie nadawanych ocen, ocenami bazującymi na rachunku prawdopodobieństwa i statystyce, w oparciu pozyskane faktyczne dane.
- Włączenie zdefiniowanej struktury przedmiotowej oraz struktury ocen do systemu zarządzania ryzykiem jednostki.