Audyt Systemu Zarządzania Ochroną Dowodów Cyfrowych ISO 27037

Audyt Systemu Zarządzania Ochroną Dowodów Cyfrowych ISO 27037:2016

Cel Audytu

Celem audytu jest wykonanie zewnętrznej, niezależnej oceny danej organizacji, a konkretnie jej systemu zarządzania identyfikacją, gromadzeniem, nabywaniem i ochroną dowodów cyfrowych w odniesieniu do międzynarodowej normy ISO/IEC 27037:2016.

Cele audytu:

1. Uzyskanie Certyfikatu ISO/IEC 27037:2016.

2. Potwierdzenie zgodności posiadanego Systemu Zarządzania Identyfikacją, Gromadzeniem, Nabywaniem i Ochroną Dowodów Cyfrowych z normą ISO/IEC 27037:2016.

3. Przygotowanie do wdrożenia Systemu Zarządzania Identyfikacją, Gromadzeniem, Nabywaniem i Ochroną Dowodów Cyfrowych z normą ISO/IEC 27037:2016.

4. Opracowanie Systemu Zarządzania ISO/IEC 27037:2016 zgodnego z:

  • Rozporządzenie Ministra Sprawiedliwości z dn. 24 stycznia 2005r. w sprawie Biegłych Sądowych,
  • Rozporządzeniem Rady Ministrów w sprawie KRI (Dz. U. z 2012r. poz. 526),
  • Normą PN ISO/IEC 27037:2016,
  • Dz.U. 28 czerwca 2016r. Poz. 922 obwieszczenie Marszałka Sejmu RP z dn. 13 czerwca 2016r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych,
  • Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27 kwietnia 2016r.  w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Zgodnie z powyższą normą uwzględniane są polityki i procedury wewnętrzne, standardy międzynarodowe, przepisy prawa krajowego oraz prawa międzynarodowego.

Wynikiem audytu jest raport poaudytowy zawierający:

  • ocenę poziomu zgodności z normą ISO/IEC 27037:2016,
  • ocenę poziomu bezpieczeństwa informacji,
  • poziom zachowana integralności, poufności i niezawodności informacji,
  • zidentyfikowane niezgodności z normą ISO/IEC 27037:2016,
  • określenie możliwych przyczyny niezgodności,
  • ocenę potrzeby podjęcia działań przeciwdziałających wystąpieniu niezgodności,
  • wskazanie potrzebnych działań korygujących,
  • wytyczne i zalecenia służące dostosowaniu do normy ISO/IEC 27037:2016 oraz poprawieniu Systemu Zarządzania Identyfikacją, Gromadzeniem, Nabywaniem i Ochroną Dowodów Cyfrowych.

Zakres i program audytu

Audyt oparty na wytycznych normy ISO/IEC 27037:2016 obejmuje, m.in.:

Kontekst do zbierania dowodów cyfrowych:

  • Zasady dowodów cyfrowych,
  • Wymagania dotyczące obsługi dowodów cyfrowych – zasady ogólne: weryfikowalność, powtarzalność, odtwarzalność i zasadność,
  • Proces obsługi dowodów cyfrowych: przegląd, identyfikacja, gromadzenie, nabycie i ochronę dowodów cyfrowych.

Kluczowe elementy identyfikacji, gromadzenia, nabywania i ochrona dowodów cyfrowych:

  • Łańcuch dowodowy,
  • Środki ostrożności w miejscu wypadku: zasady ogólne, kadry, potencjał dowodów cyfrowych,
  • Zadania i obowiązki w tym DEFR i DES,
  •  Kompetencje,
  • Należyta staranność,
  • Dokumentacja,
  • Przygotowanie – zasady ogólne: specyficzne dowody cyfrowe, personel – specyficzne, incydenty w czasie rzeczywistym, pozostałe informacje – odprawa,
  • Klasyfikowanie gromadzenie i nabycie,
  • Konserwacja potencjalnych dowodów cyfrowych: przegląd, zachowanie potencjalnych dowodów cyfrowych, opakowanie – urządzenia cyfrowe i potencjalne dowody cyfrowe, transport potencjalnych dowodów cyfrowych.

Przypadki identyfikacji, gromadzenia, nabywania i ochrona:

  • Komputery, urządzenia peryferyjne i cyfrowe nośniki danych: identyfikacja, gromadzenie, nabycie, ochrona,
  • Urządzenia sieciowe: identyfikacja, gromadzenie, pozyskiwanie i przechowywanie,
  • CCTV zbiór, pozyskiwanie i przechowywanie.

Minimalne wymagania dotyczące dokumentacji dla transferu dowodów.

 

Kryteria audytu

Aktualne wydania dokumentów odniesienia stosowanych przez zespół audytorów:

  • ISO/IEC 17799:2007,
  • ISO/IEC 22301:2014,
  • ISO/IEC 27000:2017,
  • ISO/IEC 27002:2017,
  • ISO/IEC 27001:2017,
  • ISO/IEC 27037:2016,
  • ocena dokumentacji wchodzącej w System Zarządzania ISO 27037,
  • ocena instrukcji postępowania z informacjami stanowiącymi tajemnicę,
  • ocena instrukcji zarządzania systemem informacyjnym oraz inne dokumenty powiązane,
  • zgodność z ustawą o ochronie danych osobowych z dn. 29.08.1997r. z późn. zmianami;
  • zgodność z Rozporządzeniem UE w zakresie przetwarzania danych osobowych,
  • zgodność z rozporządzeniem MSWiA z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Czas i koszt audytu

  • ustalany indywidualnie,
  • przygotowanie oferty wymaga określenia celu audytu, doboru kryteriów audytowych oraz zebrania podstawowych informacji o posiadanej dokumentacji oraz infrastrukturze organizacji.
  • ofertę wraz z kosztorysem audytu przedstawiamy niezwłocznie po otrzymaniu powyższych informacji.

Zapisy

Zapisania na szkolenie można dokonać za pośrednictwem FORMULARZA ZGŁOSZENIOWEGO. Po dokonaniu prawidłowego zgłoszenia termin realizacji, miejsce oraz forma są ustalane z zgłaszającym.