AuditSolutions Rozwiązania dla sektora publicznego Bezpieczeństwo Informacji Systemy Teleinformatyczne Wymiana Informacji OFERTA WSPÓŁPRACY
Nowy obowiązek w zakresie przetwarzania informacji szansa czy zagrożenie? Zgodnie z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012r. 1 zostały nowe obowiązkowe wymagania dla: rejestrów publicznych, wymiany informacji w postaci elektronicznej, systemów teleinformatycznych. wprowadzone Każdy podmiot realizujący zadania publiczne musi dostosować swój system informatyczny tak, aby spełniał on minimalne wymagania określone ww. rozporządzeniu. Dotyczy to zwłaszcza: a) specyfikacji formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym, b) sposobów zapewnienia bezpieczeństwa przy wymianie informacji, c) standardów technicznych zapewniających wymianę informacji z udziałem podmiotów publicznych z uwzględnieniem wymiany transgranicznej, d) sposobów zapewnienia dostępu do zasobów informacji podmiotów publicznych dla osób niepełnosprawnych. Rozporządzenie wprowadza również obowiązek okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji - nie rzadziej niż raz na rok. OFERTA AuditSolutions W zależności od Państwa potrzeb możemy: a. Pomóc we wdrożeniu rozwiązań tak, aby wypełnić wymogi rozporządzenia, Zgodnie z rozporządzeniem Rady Ministrów (Rozporządzenie z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych) wprowadzone zostały nowe obowiązkowe wymagania dla: rejestrów publicznych, wymiany informacji w postaci elektronicznej, systemów teleinformatycznych. Każdy podmiot realizujący zadania publiczne musi dostosować swój system informatyczny tak, aby spełniał on minimalne wymagania określone ww. rozporządzeniu. Dotyczy to zwłaszcza: a) specyfikacji formatów danych oraz protokołów komunikacyjnych i szyfrujących, które mają być stosowane w oprogramowaniu interfejsowym, b) sposobów zapewnienia bezpieczeństwa przy wymianie informacji, c) standardów technicznych zapewniających wymianę informacji z udziałem podmiotów publicznych z uwzględnieniem wymiany transgranicznej, d) sposobów zapewnienia dostępu do zasobów informacji podmiotów publicznych dla osób niepełnosprawnych. 1 Rozporządzenie z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych www.auditsolutions.pl str. 2
b. Przeprowadzić na zlecenie audyt wewnętrzny w zakresie bezpieczeństwa informacji, zgodnie z wymogami ww. rozporządzenia, Rozporządzenie wprowadza również obowiązek okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji - nie rzadziej niż raz na rok. W przypadku audytu Państwo proponujecie cele oraz zakres, a my sugerujemy techniki jego przeprowadzenia tak, aby zrealizować Państwa oczekiwania. W szczególności możemy przeprowadzić: audyt oceny skupiający się na ocenie rozwiązań organizacyjnych oraz dokumentacyjnych z punktu widzenia obowiązujących wymogów lub/oraz, audyt techniczny polegający przede wszystkim na testach Każdy audyt wykonujemy zgodnie z międzynarodowymi standardami audytu, zachowując obiektywizm i odpowiednią niezależność. Członkowie naszych zespołów to audytorzy z wieloletnim doświadczeniem, których kwalifikacje potwierdzone zostały międzynarodowymi kwalifikacjami (CISA, CGAP, CIA, ACCA, LA ISO 27001). c. Przygotowywać do realizacji oraz przeprowadzić audyt projektów wdrożeniowych w zakresie informatyki Przedwdrożeniowa analiza i optymalizacja procesów biznesowych Udział na etapie definiowania potrzeb Klienta, Elementy metodyki zarządzania projektami (metodyki kaskadowe oraz zwinne ) Umowne mechanizmy kontrolne, Analizy cost / benefit d. Przeprowadzić doradztwo / coaching / szkolenia dla Państwa audytorów w zakresie przeprowadzenia audytu wewnętrznego, o którym mowa w rozporządzeniu, W przypadku doradztwa zakres i formuła współpracy zależy od Państwa potrzeb, chętnie pomożemy Państwu w zidentyfikowaniu ewentualnych obszarów wymagających udoskonalenia. ODPOWIEDZIALNOŚĆ ZA BEZPIECZEŃSTWO INFORMACJI Za wprowadzenie odpowiednich rozwiązań odpowiada kierownictwo. Należy zapewnić właściwą strukturę danych w rejestrach, właściwe zarządzanie systemami teleinformatycznymi, odpowiednie kodowanie przesyłanej informacji, poprawnie funkcjonujący system zarządzania bezpieczeństwem informacji. System taki musi zapewnić poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. www.auditsolutions.pl str. 3
DLACZEGO AuditSolutions Nasze podejście Nasze usługi zawsze uwzględniają specyfikę organizacji. Bardzo ważne jest, w jakiej branży/sektorze działa organizacja oraz jakie systemy już wdrożyła. Przykładowo możemy się oprzeć o istniejący system ISO 27001 audytu albo przeprowadzić audyt techniczny polegający przede wszystkim na testach penetracyjnych. Takie podejście jest szczególnie istotne w obszarze systemu bezpieczeństwa informacji, który powinien być adekwatny do zidentyfikowanym w tym obszarze ryzyk w danej organizacji. Koniecznym jest uwzględnienie specyficznych celów oraz istniejącego już systemu - często wymagane zmiany wobec istniejącego systemu okazują się być znacznie mniejsze niż pierwotnie oczekiwano, taka analiza może przynieść spore oszczędności. Rozwiązanie informatyczne mają wspomagać organizację w realizacji jej celów. IT jest dla organizacji a nie odwrotnie. IT nie musi być obowiązkowym kosztem, może stać się źródłem wzrostu efektywności pracy. Do analizy obszaru IT podchodzimy całościowo. Szukamy wzajemnie się uzupełniających rozwiązań dla najważniejszych zagadnień związanych z IT i projektami IT: Czy organizacja jest przygotowana by efektywnie wykorzystać dany system, rozwiązanie, aplikację? Czy zostały odpowiednio zdefiniowane procesy, która mają zostać zinformatyzowane? Czy określone zostały odpowiednie wymagania jakościowe w obszarze IT? W przypadku bezpieczeństwa informacji są to parametry: poufność, dostępność, integralności Nasi Klienci O jakości naszych usług najlepiej świadczą podmioty, które nam zaufały. Współpracowaliśmy już z szeregiem instytucji prowadząc projekty o różnej tematyce, m.in.: Parlament Europejski Bank Światowy Sejm RP Kancelaria Prezesa Rady Ministrów Sąd Najwyższy, Prokuratoria Generalna European Institute for Public Administration (EIPA) Ministerstwo Finansów, Ministerstwo Transportu, Ministerstwo Sprawiedliwości, Ministerstwo Pracy i Polityki Społecznej Generalna Dyrekcja Dróg Krajowych i Autostrad, PFRON, ZUS Urząd Regulacji Energetyki Urząd Lotnictwa Cywilnego Polskie LNG wiele innych www.auditsolutions.pl str. 4
Kluczowi członkowie zespołu W zależności od specyfiki danego projektu jesteśmy w stanie zapewnić odpowiedni, dedykowany zespół specjalistów o kwalifikacjach dostosowanych do danego projektu. Dzięki stałej współpracy z kluczowymi ekspertami zapewniamy zgodność każdego projektu z naszą metodologią. Mirosław Stasik. Certyfikowany audytor wiodący systemu zarządzania bezpieczeństwem informacji wg ISO 27001, Certyfikowany Audytor Wewnętrzny (CIA), ACCA (The Association of Chartered Certified Accountants brytyjski odpowiednik polskiego biegłego rewidenta). Współautor książki "Audyt wewnętrzny w praktyce. Audyt finansowy i operacyjny". Audytor z doświadczeniem w sektorze prywatnym (czołowa firma audytorska świata) i sektorze publicznym (wiele lat doświadczenia, wiele zrealizowanych projektów dla różnych instytucji) oraz w audycie wewnętrznym i audycie zewnętrznym, współpracownik renomowanych instytucji szkoleniowych. Dzięki swojemu wykształceniu oraz doświadczeniu doskonale rozumie organizacyjne aspekty systemów IT. Konrad Knedler. Certyfikowany audytor wiodący systemu zarządzania bezpieczeństwem informacji wg ISO 27001, Certyfikowany Audytor Wewnętrzny (CIA) oraz Certyfikowany Audytor Sektora Publicznego (CGAP). Członek Komitetu Audytu Ministerstwa Obrony Narodowej oraz wykładowca SGH. Współautor książki "Audyt wewnętrzny w praktyce. Audyt finansowy i operacyjny" oraz książki "Kontrola Zarządcza ujęcie praktyczne". Uznany wykładowca oraz trener w zakresie audytu wewnętrznego, doświadczony audytor i konsultant. Współautor nowelizacji ustawy o finansach publicznych, wprowadzającej system audytu wewnętrznego w sektorze publicznym, rozporządzenia w sprawie trybu i sposobu przeprowadzania audytu wewnętrznego oraz podręcznika audytu wewnętrznego Ministerstwa Finansów. Piotr Mizia Ossoliński. Certyfikowany audytor wiodący systemu zarządzania bezpieczeństwem informacji wg ISO 27001, Certyfikowany Audytor Wewnętrzny (CIA), Certyfikowany Audytor Systemów Informatycznych (CISA). Doświadczony audytor wewnętrzny oraz trener, obecnie specjalizuje się w sektorze publicznym, w szczególności w obszarze IT. Brał udział w licznych projektach wspomagających wdrożenie audytu wewnętrznego w kraju i za granicą, odpowiedzialny za audyt IT i audyt bezpieczeństwa informacji w Urzędzie Miasta w Krakowie, trener z wieloletnim doświadczeniem. www.auditsolutions.pl str. 5
Kontakt z AuditSolutions Bardziej szczegółowe informacje o naszej firmie można znaleźć na naszej stronie internetowej www.auditsolutions.pl, w razie pytań prosimy o kontakt z Konradem Knedlerem - email: konrad.knedler@auditsolutions.pl. Mamy nadzieję, że nasze propozycje spełnią Państwa oczekiwania. W przypadku dodatkowych pytań prosimy o kontakt z nami. Jednocześnie informujemy, że całość niniejszego dokumentu stanowi tajemnicę handlową. Z poważaniem AuditSolutions Sp. z o. o. www.auditsolutions.pl email: poczta@auditsolutions.pl tel. 696 47 67 97, 608 346 976 www.auditsolutions.pl str. 6