Audyt jest obiektywnym i niezależnym działaniem, którego celem jest dostarczenie wiarygodnych informacji o stopniu spełnienia pewnych kryteriów. Jest nakierowany na badanie systemowych rozwiązań i na udoskonalenie działalności konkretnej organizacji. Niezależna ocena przeprowadzona przez audytora ma na celu odpowiednie oszacowanie ryzyk wiążących się z istniejącą organizacją danego procesu oraz ewentualnym brakiem zgodności działań faktycznych z ich założonym przebiegiem, a także wskazanie rekomendowanych usprawnień.
Audyt bezpieczeństwa informacji winien być prowadzony w oparciu o jasne i ustalone zasady, jakie wynikają z wewnętrznie przyjętych norm działania (np. na bazie norm ISO, standardów stowarzyszenia ISACA), bądź w określonych przypadkach – wprost z przepisów prawa (np. w odniesieniu do podmiotów publicznych – § 20 ust. 2 pkt 14 Rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych).
Celem audytu bezpieczeństwa informacji jest ocena zakresu zgodności obowiązującego w danej organizacji Systemu Zarządzania Bezpieczeństwem Informacji z kryteriami audytu.
Z kolei kryteriami audytu są wymagania, jakie zostały określone w:
Audyt bezpieczeństwa informacji to narzędzie, które pozwala organizacjom uniknąć nieprzyjemnych konsekwencji o prawnym, finansowym lub wizerunkowym charakterze. Systematyczne przeprowadzanie audytów bezpieczeństwa informacji umożliwia właściwe zarządzanie ryzykiem oraz udoskonalanie zabezpieczeń odpowiednio do zidentyfikowanych zagrożeń. Ponadto ułatwia spełnienie wymogów prawa, do których zalicza się ochrona danych osobowych.
Audyt bezpieczeństwa informacji jest przeprowadzany w celu zidentyfikowania zagrożeń, których skutkiem może być przykładowo utrata poufności albo integralności czy dostępności informacji. Z tego powodu jest on szczególnie dedykowany organizacjom, dla jakich informacja ma charakter krytyczny. Zaliczają się do nich wszystkie firmy, które są w posiadaniu tajnych procedur czy technologii albo danych, od których poufności jest uzależnione powodzenie ich biznesu, lecz także wszelkie organizacje, które w procesie swojej działalności przetwarzają przykładowo dane medyczne bądź też wrażliwe dane osobowe lub finansowe.
Dla publicznych instytucji przeprowadzanie audytu bezpieczeństwa informacji jest wymogiem prawnym, jaki wynika z rozporządzenia dotyczącego Krajowych Ram Interoperacyjności, natomiast jeśli chodzi o instytucje finansowe, konieczność ta wynika bezpośrednio z tak zwanej Rekomendacji D, którą wydała Komisja Nadzoru Finansowego na mocy ustawy Prawo bankowe.
Jednak nawet w tych organizacjach, w których przeprowadzanie audytu bezpieczeństwa informacji nie wynika z przepisów prawa, warto taki audyt przeprowadzać, ponieważ utrata informacji w firmie może mieć bardzo poważne konsekwencje. O tym także mówi jeden z zapisów normy ISO 27001 stanowiący, iż każda firma winna zaplanować, a także wdrożyć oraz utrzymywać program audytów bezpieczeństwa informacji.
Audyt charakteryzuje się niezwykle szerokim zakresem prac, ponieważ samo bezpieczeństwo informacji wpływać może na wiele czynników, począwszy od bezpieczeństwa fizycznego po bezpieczeństwo systemów informatycznych. W normie ISO 27001 zostało zdefiniowanych ponad 100 technicznych oraz organizacyjnych zabezpieczeń, jakich obecność jest konieczna w każdej organizacji celem zagwarantowania informacjom bezpieczeństwa. W zależności od charakteru organizacji zakres audytu może podlegać również indywidualnym ustaleniom.
Źródło: ISecure – eksperci w ochronie danych osobowych
Autor