Audyt bezpieczeństwa IT w Zakładach Chemicznych „POLICE” SA

Fot. ZCh Police

Jedna z największych firm chemicznych w Polsce zdecydowała się skorzystać z doradztwa BCC w zakresie zarządzania procesami IT.

Prowadzony od maja br. audyt bezpieczeństwa ma na celu udoskonalenie zarządzania procesami IT. Konsultanci z Zespołu Bezpieczeństwa Informacji BCC prowadzą dogłębną analizę systemu zarządzania procesami IT Polic, w celu zidentyfikowania jego podatności na możliwe zagrożenia i określenia ich wagi. Audyt jest podzielony na 4 etapy.

Pierwszy etap audytu polegał na weryfikacji struktury organizacyjnej Biura Teleinformatyki Zakładów Chemicznych „POLICE” SA, ocenie firm zewnętrznych (dostawców, odbiorców, instytucji obsługujących), oraz warunków prawnych i techniczno-organizacyjnych Biura Teleinformatyki.

W kolejnych etapach konsultanci z Zespołu Bezpieczeństwa Informacji BCC dokonywali oceny procesów IT pod kątem zgodności z normą ISO/IEC 20000, dobrymi praktykami ITIL oraz sprawdzali spójność założeń i dokumentacji z rzeczywistymi praktykami w organizacji (polityka bezpieczeństwa, struktura organizacyjna i odpowiedzialność za procesy, organizacja bezpieczeństwa, klasyfikacja i kontrola aktywów, bezpieczeństwo osobowe, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu do systemu, rozwój i utrzymanie systemu, zarządzanie ciągłością działania). Weryfikacja domen jest realizowana zgodnie z normą ISO/IEC 27001.

Ostatni etap projektu to badanie procesu zarządzania ciągłością działania dla systemów IT (w tym krytycznego dla firmy systemu SAP). Konsultanci BCC wykorzystują do tego standard BS 25999 System Zarządzania Ciągłością Działania.
We wszystkich etapach były wykorzystywane takie narzędzia jak: wywiad, burza mózgów oraz obserwacje. Audyt zostanie zakończony raportem, w którym zostaną zidentyfikowane konkretne zagrożenia, oraz przedstawione zalecenia i rekomendacje dotyczące zarządzania procesami IT.

Zakłady Chemiczne „POLICE” SA są kolejnym klientem, który korzysta z doradztwa BCC w zakresie wdrożenia i rozwoju systemów zarządzania usługami IT ISO/IEC 20000, ITIL oraz systemów zarządzania bezpieczeństwem informacji ISO/IEC 27001. Usługi w tym zakresie stanowią dopełnienie oferty BCC w zakresie outsourcingu i utrzymania systemów IT.

Norma ISO/IEC 20000 – Systemy Zarządzania Usługami Informatycznymi wprowadza podejście procesowe do zarządzania usługami IT, co przekłada się bezpośrednio na jakość i bezpieczeństwo świadczonych usług. Składa się ona z dwóch części: ISO/IEC 20000-1:2005 oraz ISO/IEC 200002:2005. Pierwsza przedstawia wymagania, które system zarządzania musi spełnić, aby mógł być potwierdzony certyfikatem zgodności z normą. Druga część zawiera wytyczne i wskazuje, co należy zrobić, aby sprostać przedstawionym wymaganiom.

Norma ISO/IEC 27001 – Systemy Zarządzania Bezpieczeństwem Informacji obejmuje całość zagadnień związanych z ochroną tworzonych, przechowywanych i przetwarzanych w firmie informacji. Norma ISO/IEC 27001 proponuje zastosowanie podejścia procesowego do ustanowienia, wdrożenia, eksploatacji, monitorowania, utrzymywania i poprawy efektywności SZBI.

Norma BS 25999 – Systemy Zarządzania Ciągłością Działania. Stanowi ona podstawę dla zaplanowania, wdrożenia, rozwoju i doskonalenia ciągłości działania w organizacji i daje pewność w relacjach z innymi firmami i z klientami. Obejmuje też wszechstronny zestaw narzędzi kontroli opartych na najlepszych praktykach BCM (Business Continuity Management).