Audyt dostawców ICT

Audyt Dostawców ICT w ramach zapewnienia zgodności z DORA to usługa wspierająca organizacje w zapewnieniu pełnej zgodności z wymaganiami Digital Operational Resilience Act (DORA). Głównym celem audytu jest ocena stopnia zgodności Dostawcy ICT z wymaganiami DORA, RTS (Regulatory Technical Standards) oraz ITS (Implementing Technical Standards).

Zrealizowane projekty: Pracowaliśmy m.in. dla banków, domów maklerskich, firm leasingowych, energetycznych, telekomunikacyjnych, produkcyjnych oraz e-commerce.

Dowiedz się więcej

Kluczowe cechy usługi audyt dostawców ICT:

  • W ramach audytu oferujemy: 1) analizę procedur operacyjnych i infrastruktury IT organizacji, 2) zapewnienie zgodności dostawców ICT z DORA oraz przygotowanie organizacji na incydenty związane z bezpieczeństwem, 3) szczegółowy raport z rekomendacjami do wdrożenia w celu poprawy zgodności.
  • Audyt obejmuje weryfikację: 1) praktyk zarządzania ryzykiem – sprawdzamy, czy organizacja dostawcy ICT ma odpowiednie mechanizmy identyfikacji, oceny i reagowania na zagrożenia, zgodne z wymaganiami DORA, 2) dokumentacji, wywiadów, obserwacji oraz sprawdzenie działania mechanizmów bezpieczeństwa w organizacji.
  • Na podstawie przeprowadzonej analizy, audyt pozwala zidentyfikować obszary wymagające poprawy w zakresie odporności cyfrowej, aby organizacja mogła sprostać regulacyjnym wymogom DORA.
  • Końcowy raport zawiera: 1) zidentyfikowane luki i braki w systemach i procesach, 2) precyzyjne rekomendacje dotyczące poprawy procesów, systemów IT i dokumentacji w celu zapewnienia pełnej zgodności z wymaganiami DORA.
  • Wyniki audytów stanowią informacje wejściowe dla procesów zarządzania ryzykiem oraz incydentami bezpieczeństwa w organizacji.
  • Audyty realizowane przez ekspertów z certyfikatami, m.in. Audytora Wiodącego ISO 27001, 22301, CISA, CISM, CISSP i doświadczeniem we wdrażaniu systemu zarządzania bezpieczeństwem informacji.
Sprawdź, co zyskujesz »

Korzyści

Usprawnienie procesów bezpieczeństwa

Optymalizacja i poprawa istniejących procedur ochrony danych oraz zarządzania ryzykiem w organizacji.

Podniesienie poziomu bezpieczeństwa przetwarzania danych

Zwiększenie ochrony danych w systemach IT, zapewniając ich bezpieczeństwo w trakcie przetwarzania i przechowywania.

Spełnienie wymagań regulacyjnych

Pomagamy w dostosowaniu organizacji do obowiązujących przepisów i norm, takich jak DORA, co zapewnia pełną zgodność z regulacjami.

Podwyższenie odporności na ataki

Zwiększenie zdolności organizacji do reagowania na ataki i minimalizowania ich wpływu na działalność.

Pozyskanie wiedzy w zakresie bezpieczeństwa / ataków

Dzięki audytowi organizacja zdobywa wiedzę na temat potencjalnych zagrożeń oraz sposobów ich wykrywania i neutralizowania.

Szybsze wykrywanie podatności

Audyt pozwala na szybsze zidentyfikowanie słabych punktów w systemach IT, co przyspiesza wdrażanie działań naprawczych.

Pełna zgodność regulacyjna

Pomagamy organizacjom dostosować się do standardów DORA, co zapewnia bezpieczeństwo operacyjne i gotowość na cyberzagrożenia.

Optymalizacja procesów zarządzania ryzykiem

Audyt identyfikuje luki w procedurach zarządzania ryzykiem i proponuje efektywne środki naprawcze, zwiększając bezpieczeństwo organizacji.

Zwiększenie odporności cyfrowej

Dzięki rekomendacjom z audytu organizacja może skutecznie podnieść swoją odporność na zagrożenia cyfrowe i zminimalizować ryzyko operacyjne.

Gwarantujemy szczegółowy raport z rekomendacjami

Dostarczamy pełny raport z audytu, który zawiera konkretne zalecenia do wdrożenia, aby organizacja spełniła wymagania regulacyjne i poprawiła swoją odporność na zagrożenia.

Kompleksowa analiza procedur operacyjnych i IT

Przeprowadzamy dokładną analizę procedur operacyjnych i systemów IT, oferując praktyczne rekomendacje, które zmniejszają ryzyko i zwiększają bezpieczeństwo organizacji.

Sprawdź nasze podejście »

Przemyślany plan działania

PL

EN

DE

Zobacz raport »

Masz pytania?

Skorzystaj z BEZPŁATNEJ KONSULTACJI

Zapisz się już teraz!

Raport

Wynikiem będzie szczegółowy raport z wynikami testów oraz praktycznymi rekomendacjami, obejmujący:

  • Streszczenie dla Zarządu, obejmujące:
    • Cel i zakres wykonanych prac;
    • Zastosowane podejście;
    • Podsumowanie wyników;
    • Datę sporządzenia raportu;
    • Wersję dokumentu.
  • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
    • Zakres audytu;
    • Sposób realizacji audytu;
    • Datę realizacji audytu;
    • Opis założeń przyjętych do audytu;
    • Zestawienie zidentyfikowanych kwestii, co najmniej:
      • Nazwę kwestii,
      • Opis kwestii,
      • Opis wpływu kwestii / opis ryzyka,
      • Poziom ryzyka w skali:
        • KRYTYCZNY/Critical,
        • WYSOKI/High,
        • ŚREDNI/Medium,
        • NISKI/Low,
        • INFORMACYJNY/Info.
    • Rekomendacje – opis praktycznych działań, jakie należy podjąć w celu eliminacji zidentyfikowanych podatności lub minimalizacji ryzyka z nich wynikającego oraz uwzględniający specyfikę działania Klienta wraz z określeniem sposobu ich wdrożenia.

Najczęściej zadawane pytania

Jakie metodyki wykorzystujecie Państwo do audytu?

Autorska metodyka Optima Partners oparta jest o międzynarodowe normy (DORA, RTS, ITS) i standardy takie jak:

    • ISO/IEC 27000, 27001 – Systemy zarządzania bezpieczeństwem informacji (Information security management systems)
    • ISO/IEC 27002 – Techniki bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem informacji (Information technology — Security techniques — Code of practice for information security controls)
    • ISO/IEC 27003 – Wytyczne dotyczące wdrażania ISMS (Information technology — Security techniques — Guidance for the implementation of an information security management system)
    • ISO/IEC 27004 – Monitorowanie, pomiar, analiza i ocena bezpieczeństwa informacji (Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation)
    • ISO/IEC 27005 – Technika informatyczna — Techniki bezpieczeństwa — Zarządzanie ryzykiem w bezpieczeństwie informacji (Information technology — Security techniques — Information security risk management)
    • ISO/IEC 27007 – Wytyczne dotyczące audytowania ISMS (Information technology — Security techniques — Guidelines for information security management systems auditing)
    • ISO/IEC 27008 – Ocena środków bezpieczeństwa informacji (Information technology — Security techniques — Guidelines for the assessment of information security controls)
    • ISO/IEC 27009 – Zastosowanie ISO/IEC 27001 w określonych sektorach (Information technology — Security techniques — Sector-specific application of ISO/IEC 27001)
    • ISO/IEC 27010 – Zarządzanie bezpieczeństwem informacji w komunikacji międzysektorowej i międzyorganizacyjnej (Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications)
    • ISO/IEC 27011 – Zarządzanie bezpieczeństwem informacji w sektorze telekomunikacyjnym (Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002)
    • ISO/IEC 27014 – Zarządzanie bezpieczeństwem informacji – Ład korporacyjny (Information technology — Security techniques — Governance of information security)
    • ISO/IEC 27016 – Zarządzanie bezpieczeństwem informacji – Aspekty ekonomiczne (Information technology — Security techniques — Organizational economics)
    • ISO/IEC 27017 – Wytyczne dotyczące kontroli bezpieczeństwa informacji dla usług w chmurze (Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
    • ISO/IEC 27018 – Ochrona danych osobowych w chmurze publicznej (Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)
    • ISO/IEC 27019 – Zarządzanie bezpieczeństwem informacji w sektorze energetycznym (Information technology — Security techniques — Information security controls for the energy utility industry)
    • ISO/IEC 27701 – Rozszerzenie ISMS o zarządzanie informacjami prywatnymi (PIMS) (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines)
    • ISO/IEC 27031 – Wytyczne dotyczące gotowości ICT na potrzeby ciągłości działania (Information technology — Security techniques — Guidelines for ICT readiness for business continuity)
    • ISO/IEC 27035 – Zarządzanie incydentami bezpieczeństwa informacji (Information technology — Security techniques — Information security incident management)
    • ISO/IEC 22301 – Bezpieczeństwo i odporność — Systemy zarządzania ciągłością działania (Security and resilience — Business continuity management systems)
Czy posiadacie Państwo certyfikaty potwierdzające kwalifikacje zespołu związane z bezpieczeństwem IT?

Tak, posiadamy certyfikaty potwierdzające kwalifikacje zespołu takie, jak:

  1. CIA (Certified Internal Auditor),
  2. CISA (Certified Information Security Auditor),
  3. CISM (Certified Information Security Manager),
  4. Audytor Wiodący ISO 27001,
  5. Audytor Wiodący ISO 22301
  6. CRISC (Certified in Risk and Information Systems Control),
  7. CBCP – Certified Business Continuity Professional (DRII),
  8. Certified ISO 31000 Risk Manager (PECB),
  9. ITIL Foundation,
  10. ITIL Intermediate,
  11. Prince2 Practitioner.

i wiele więcej…

Jak liczny zespół mają Państwo do dyspozycji?

Posiadamy zespół:

5 audytorów bezpieczeństwa posiadających m.in. następujące certyfikaty: Audytor Wiodący ISO 27001, Audytor Wiodący ISO 22301 – szczegółowy opis posiadanych certyfikatów znajduje w odpowiedzi na pytanie na stronie głównej.

Jaki jest potencjalny czas trwania audytu zgodności z DORA, włącznie z opracowaniem wyników i zaleceń po ich zakończeniu?

W zależności od złożoności organizacji audyt może trwać od 3 do 8 tygodni.

Jak wygląda proces raportowania wyników audytu? Czy dostarczacie Państwo szczegółowy raport?

Wynikiem naszych prac jest raport z niezależną oceną zgodności z DORA, który może być zaprezentowany zainteresowanym stronom (udziałowcom, kontrahentom, klientom) wraz z praktycznymi rekomendacjami.

Jak wygląda komunikacja podczas realizacji projektu? Czy istnieje możliwość bezpośredniego kontaktu z audytorami lub liderem projektu?

Na bieżąco komunikujemy się z Klientem w czasie projektu. Do realizacji projektu dedykujemy:

  • Audytora Wiodącego, z którym można się na bieżąco kontaktować w sprawach dotyczących realizacji audytu, zidentyfikowanych kwestii, itp.
  • Project Managera, z którym można się na bieżąco kontaktować w sprawach dotyczących zarządzania projektem, terminów, problemów, ryzyk, itp.
Czy przewidujecie Państwo wsparcie po zakończeniu audytu w zakresie usuwania wykrytych niezgodności i ponownego audytu?

Tak, zakres naszych prac obejmuje:

  1. wsparcie w zakresie usuwania wykrytych niezgodności
  2. re-audyt
  3. konsultacje i szkolenia w zakresie usuwania niezgodności.
Czy oferujecie Państwo rabaty lub korzystniejsze warunki w przypadku podpisania długoterminowej umowy na cykliczne audyty?

Tak.

Jak zabezpieczacie Państwo dane i raporty związane z audytem?

Stosujemy m.in. następujące zabezpieczenia zgodne z ISO 27001:

  • Kontrola dostępu do serwerowni, serwerów, zasobów sieciowych, na których składowane są dane i raporty.
  • Szyfrowanie dysków twardych.
  • Szyfrowanie plików za pomocą PGP.
  • Szyfrowanie załączników przesyłanych emailem za pomocą PGP.
  • Szyfrowanie treści emaili.
  • Ciągłe monitorowanie dostępu do danych i raportów.
  • Itp.
Czy oferujecie Państwo dodatkowe usługi związane z DORA i bezpieczeństwem?

Tak, oferujemy wdrożenia DORA, testy penetracyjne aplikacji webowych, mobilnych, desktopowych, infrastruktury, chmury, szkolenia z bezpieczeństwa, testy socjotechniczne i inne.

Jakie ubezpieczenie posiada Optima Partners?

Optima Partners posiada odpowiednie ubezpieczenia zgodne z wymaganiami DORA.