W ramach jednego z zamówień naszych Klientów, niezbędne było przeprowadzenie kompleksowego audytu informatycznego organizacji obejmującego m.in. analizę stosowanych rozwiązań w zakresie zarządzania infrastrukturą teleinformatyczną oraz bezpieczeństwem informacji, w tym z uwzględnieniem wymagań ustawy o ochronie danych osobowych. Ponadto, na podstawie przeprowadzonego audytu, konieczne było wskazanie obszarów wymagających doskonalenia, możliwych zagrożeń dla sprawnego i bezpiecznego funkcjonowania systemu teleinformatycznego oraz opracowanie spójnej krótko i długoterminowej wizji jego rozwoju.
PN standard, w ramach prac objętych przedmiotem zamówienia, wykonała m.in.:
1) inwentaryzację środków przetwarzania informacji, obejmującą zarówno sprzęt jak i stosowane oprogramowanie; szczególną uwagę poświęcono legalności stosowanego oprogramowania, w tym dokonano spisu istniejących dowodów legalności, oraz porównano ilość wykorzystywanego oprogramowania z ilością posiadanych licencji; wskazano także urządzenia, które nie spełniają przyjętych kryteriów w zakresie ich wydajności;
2) analizę przydatności i poziomu wykorzystania posiadanego oprogramowania oraz określono działania optymalizacyjne w tym zakresie;
3) analizę wdrożonych polityk, procedur i środków bezpieczeństwa informacji pod kątem ich zgodności z wymaganiami normy ISO/IEC 27001:2013;
4) analizę zgodności postępowania personelu z obowiązującym w organizacji regulacjami w zakresie zarządzania systemami informatycznymi i bezpieczeństwa informacji;
5) analizę skuteczności wdrożonych środków bezpieczeństwa informacji, w tym technicznych, fizycznych i organizacyjnych;
6) analizę zgodności systemów przetwarzania oraz stosowanych polityk, procedur i środków bezpieczeństwa informacji z wymaganiami ustawy o ochronie danych osobowych;
Wyniki prac zostały przedstawione zamawiającemu w postaci raportów zawierających m.in.:
1) wykazy zinwentaryzowanego oprogramowania i urządzeń, w tym wynik porównania sporządzonych wykazów i dokumentacji księgowej;
2) wyniki porównania udokumentowanego stanu legalności oprogramowania ze stanem faktycznym;
3) stwierdzone podczas audytu nieprawidłowości, w tym w zakresie sposobu zarządzania infrastrukturą teleinformatyczną oraz bezpieczeństwem informacji, wraz z proponowanymi działaniami mającymi na celu ich usunięcie;
Dodatkowo, uwzględniając wyniki przeprowadzonych prac audytowych, opracowano spójną wizję rozwoju systemu teleinformatycznego organizacji określającą m.in. obszary wymagające doskonalenia, ze wskazaniem możliwych działań krótko i długoterminowych w tym zakresie oraz proponowane kierunki rozwoju systemu teleinformatycznego organizacji, z uwzględnieniem obecnych wymagań, jak również ogólnie funkcjonujących trendów i powszechnie stosowanych dobrych praktyk i norm w dziedzinie zarządzania usługami teleinformatycznymi i bezpieczeństwem informacji.