Bezpečnostní audit

Hlavním cílem bezpečnostních auditů je zjistit skutečný stav implementovaných bezpečnostních pravidel a ochranných mechanizmů v rámci organizaci a porovnat je s požadovaným stavem (např. vůči definovanému standardu, interním směrnicím apod.).
V rámci bezpečnostních auditů jsme schopni realizovat následující činnosti:

• posouzení bezpečnostních aspektů auditovaného systému z pohledu požadavků interních dokumentů firmy, mezinárodních norem a doporučení,
• identifikování slabých míst systému pomocí expertní analýzy,
• posouzení a doporučení vhodných bezpečnostních opatření,
• posouzení dokumentace, postupů a procesů spojených s jednotlivými aktivy auditovaného systému a fázemi životního cyklu systému,
• posouzení reálné bezpečnosti systému prostřednictvím penetračních testů.

Hlavními přínosy bezpečnostních auditů jsou:

• nezávislý pohled profesionálů na nastavení úrovně informační bezpečnosti v rámci organizace,
• identifikace kritických míst v prostředí IT/IS,
• naplnění požadavků legislativy, platných standardů a norem,
• získání přehledu shody s mezinárodními standardy.

Telefónica O2 Business Solution disponuje dlouholetými zkušenostmi v oblasti provádění bezpečnostních auditů a nabízí je v několika variantách.

Přehledový bezpečnostní audit

V rámci přehledového auditu je zjišťován celkový stav informační bezpečnosti v rámci organizace. Jedná se především o ucelený pohled na prostředí IT/IS v dané organizaci, který je možno dle potřeb zákazníka přizpůsobit jednotlivým oblastem, jako jsou např. plnění požadavků organizací dotčené legislativy, ochrana know-how, odolnost proti průniku do systému, možnosti havárie systému apod. Přehledový audit není zaměřen pouze na informační systém, ale jeho obsahem mohou být oblasti jako bezpečnost lidských zdrojů, fyzická bezpečnost a bezpečnost prostředí, řízení kontinuity činností organizace atd.

Hlavním cílem přehledového auditu je zjistit bezpečnostní slabiny systému jako celku a navrhnout optimální způsob odstranění zjištěných slabých míst.

Bezpečnostní audit dle norem ISO/IEC

Komplexní a nezávislé prověření zabezpečení provozu informačního systému v souladu s požadavky mezinárodních standardů ISO 27001:2006 a ISO 27002:2008.

Tento typ auditu je vždy přizpůsoben typu a velikosti dané organizace a požadavkům zákazníka.

Hlavním cílem je zjištění souladu aktuálního stavu zavedení ISMS (Information Security Management System) – procesu systému řízení bezpečnosti informací v organizaci (kontinuálního procesu zvládaní rizik) dle norem ISO/IEC, specifikace slabých míst a návrh vhodných bezpečnostních opatření.

Technický bezpečnostní audit

Komplexní prověření a zhodnocení zabezpečení informačního systému na úrovni technické infrastruktury. Výsledkem takto zaměřeného auditu je detailní zhodnocení konfigurace jednotlivých posuzovaných prvků v rámci IS.

Tento typ auditu je prováděn obvykle formou externích a interních penetračních testů, systémových auditů konfigurací serverů, databází a síťových prvků.

Hlavním cílem tohoto auditu je nalézt případná úzká místa v rámci technické infrastruktury informačního systému a navrhnout vhodná protiopatření.