Kiedy audyt jest audytem a kiedy nie? PURECONFERENCES, WARSZAWA 9/10/2014

Transkrypt

1 Kiedy audyt jest audytem a kiedy nie? PURECONFERENCES, WARSZAWA 9/10/2014

2 Audyt, ocena ryzyka, kontrola Kilka zdań o Instytucie Bezpieczeństwa i Informacji; Kilka zdań o prelegencie; Kilka zdań o wystąpieniu; Audyt Kontrola Okresowe szacowanie i ocena ryzyka Plan postępowania z ryzykiem Strategie postępowania z ryzykiem i mierniki realizacji strategii Procesy bezpieczeństwa i ich mierniki

3 Audyt i moda Audyt zakrętów; Audyt półek (pracy osób odpowiedzialnych za ekspozycję); Audyt zgodnościowy (compliance); Audyt bezpieczeństwa; Audyt bezpieczeństwa informacji; Audyt bezpieczeństwa fizycznego; Audyt bezpieczeństwa pożarowego; Audyt systemu zarządzania bezpieczeństwem; Audyt systemu zarządzania bezpieczeństwem informacji; Audyt systemy zarządzania bezpieczeństwem fizycznym; Audyt zarządzania bezpieczeństwem ppoż;

4 Definicje Systematyczny (1), niezależny (2) i udokumentowany (3) proces uzyskiwania dowodu z audytu oraz jego obiektywnej oceny (4) w celu określenia stopnia spełnienia kryteriów (5) audytu (ISO 19011); Systematyczna i niezależna ocena danej organizacji, systemu, procesu, projektu lub produktu. Przedmiot audytu jest badany na zgodność z określonym punktem odniesienia listą kontrolną, przepisami prawa, normami, standardami lub przepisami wewnętrznymi danej organizacji (polityki, procedury) (Wikipedia)

5 Rodzaje audytu (ISO 19011) Wewnętrzny Wykonywany w celu sprawdzenia zgodności z wymaganiami wewnętrznymi organizacji. Nie ma znaczenia podmiot realizujący audyt istotny jest CEL audytu; Przykłady: audyt systemu zarządzania bezpieczeństwem danych osobowych (polityka bezpieczeństwa, instrukcja faza I zgodność z przepisem, faza II zgodność z politykami i instrukcjami). Zewnętrzny Strony drugiej; Ocena stopnia spełnienia wymagań strony drugiej umowy. Nie ma znaczenia podmiot realizujący audyt, może to być klient (strona druga) lub wynajęty podmiot, działający na rzecz strony drugiej. Istotny jest CEL audytu; Przykłady: audyt systemu zarządzania ryzykiem na zgodność w łańcuchu dostaw, audyt ubezpieczeniowy; Strony trzeciej; Ocena stopnia spełnienia wymagań przez niezależny podmiot. Przykłady: ISO, GIF;

6 Audyt vs przegląd branżowy Audyt Podstawa prawo (w wyjątkowych sytuacjach np. ISPS), rozwiązania organizacyjne Zakres wycinek, próba Kwalifikacje wykonujących - mniej restrykcyjne wymagania Przegląd branżowy (zakresowy) Podstawa najczęściej przepisy prawa Zakres całość, podlegająca pod zakres przeglądu Kwalifikacje wykonujących ściśle określone wymagania

7 Kontrola 4 etapy 7 Ustalenie norm i metod Podjecie działań korygujących Pomiar efektywności Przyrównanie wyniku pomiaru do norm

8 Kontrola czy audyt? Kontrola Ustalenie normy (standard); Pobór próby; Porównanie; Wnioski; Audyt Ustalenie (identyfikacja) kryteriów; Uzyskanie dowodu (systematyczne, niezależne, udokumentowane); Działanie procesowe; W celu oceny stopnia zgodności z kryteriami;

9 Case: admin, admin1 Kontrola Hasła do stron produkcyjnych muszą spełnić określone kryteria długość, brak nazwy użytkownika; Sprawdzenie haseł; Hasła są za krótkie, zawierają nazwę użytkownika; Hasła są nieprawidłowe zmienić na prawidłowe; Audyt Polityka bezpieczeństwa, IZSI; Plan audytu, zawierający terminy, metody i techniki oraz sposób dokumentowania (notatki, wywiady, opisy do obserwacji, dokumentacja foto etc.) Działania zgodne z planem modyfikowanym zgodnie z potrzebami; Brak zgodności z kryteriami (długość hasła, użycie nazwy użytkownika): Analiza 5WHY Ustalenie przyczyny systemowej (brak nadzoru, brak dopuszczenia systemu etc).

10 Audyt - działania Potencjał Niezgodność Samo stwierdzenie ew. nieprawidłowości nie powoduje powstania niezgodności!!!! W przypadku braku wymagania (podstawy prawnej, procedury, regulacji) daną sytuację należy uznać jako potencjał do doskonalenia Niezgodność to niespełnienie wymagania. Aby móc jednoznacznie stwierdzić niezgodność należy ją przyrównać do wymagania!!!!

11 Podsumowanie Audyt jest działaniem systemowym; Audyt może być oparty o kontrolę, jako dowody, jednak celem jest ustalenie przyczyny braku spełnienia wymagań. Np. brak wiedzy w przypadku kontroli wniosek, szkolenia. W przypadku audytu ustalenie, dlaczego szkoleń nie było; Audyt obejmuje nie tylko niezgodności, ale powinien wskazać potencjał doskonalenia systemu (kontrola wykazuje tylko nieprawidłowe działania); Audyt jest niezależny. Badanie nie jest prowadzone przez kierownika (managera, lidera) obszaru (zarządczy, nie kierowniczy);

12 Pytania, uwagi, sugestie DZIĘKUJĘ ZA UWAGĘ