Audyt procesu analizy ryzykaAudyt BRC7
Klient:firma sektora ICT, jeden z 4 wiodących dostawców usług w swoim sektorze.
- Kraj/region: Polska
- Zasięg działania: Polska (globalny przez produkty)
O audycie
Data:2017
Typ audytu:bezpieczeństwa (systemowy)
Branża:ICT
Kryteria audytu: główne
- ISO 27005,
- ISO 27001,
Kryteria audytu: dodatkowe
- przepisy prawa o ochronie danych,
- przepisy prawa o tajemnicy przedsiębiorstwa,
- przepisy prawa o tajemnicy negocjacji.
zadanie
Ocena procesu szacowania i oceny ryzyka na zgodność z wymaganiami normy i efektywność dla systemu zarządzania bezpieczeństwem informacji (SZBI).
realizacja
Audyt prowadzony był w większości z wykorzystaniem metod zdalnych w tym aktywnych (z interakcją) i pasywnych (bez interakcji). W toku oceny stwierdzono, że proces wykonywany jest w sposób pozorny, a więc etapy są zachowane, jednak źródła informacji o zagrożeniach oraz potencjalnych skutkach nie pochodzą od ekspertów, a od powołanego zespołu. Osoby w zespole nie legitymowały się przygotowaniem zawodowym ani doświadczeniem w badanym obszarze.
efekt
Klient zbudował zespół ekspercko-doradczy oparty o ekspertów dziedzin niezbędnych do dostarczenia informacji osobom wykonującym ocenę ryzyka. Na podstawie tych informacji opracowana została wewnętrzna procedura wykonywania analizy ryzyka, obejmująca aspekty bezpieczeństwa fizycznego i IT, a sam proces został zrealizowany w sposób poprawny.