Audyt Systemu Zarządzania Ochroną Dowodów Cyfrowych ISO 27037:2016
Cel Audytu
Celem audytu jest wykonanie zewnętrznej, niezależnej oceny danej organizacji, a konkretnie jej systemu zarządzania identyfikacją, gromadzeniem, nabywaniem i ochroną dowodów cyfrowych w odniesieniu do międzynarodowej normy ISO/IEC 27037:2016.
Cele audytu:
1. Uzyskanie Certyfikatu ISO/IEC 27037:2016.
2. Potwierdzenie zgodności posiadanego Systemu Zarządzania Identyfikacją, Gromadzeniem, Nabywaniem i Ochroną Dowodów Cyfrowych z normą ISO/IEC 27037:2016.
3. Przygotowanie do wdrożenia Systemu Zarządzania Identyfikacją, Gromadzeniem, Nabywaniem i Ochroną Dowodów Cyfrowych z normą ISO/IEC 27037:2016.
4. Opracowanie Systemu Zarządzania ISO/IEC 27037:2016 zgodnego z:
- Rozporządzenie Ministra Sprawiedliwości z dn. 24 stycznia 2005r. w sprawie Biegłych Sądowych,
- Rozporządzeniem Rady Ministrów w sprawie KRI (Dz. U. z 2012r. poz. 526),
- Normą PN ISO/IEC 27037:2016,
- Dz.U. 28 czerwca 2016r. Poz. 922 obwieszczenie Marszałka Sejmu RP z dn. 13 czerwca 2016r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych,
- Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Zgodnie z powyższą normą uwzględniane są polityki i procedury wewnętrzne, standardy międzynarodowe, przepisy prawa krajowego oraz prawa międzynarodowego.
Wynikiem audytu jest raport poaudytowy zawierający:
- ocenę poziomu zgodności z normą ISO/IEC 27037:2016,
- ocenę poziomu bezpieczeństwa informacji,
- poziom zachowana integralności, poufności i niezawodności informacji,
- zidentyfikowane niezgodności z normą ISO/IEC 27037:2016,
- określenie możliwych przyczyny niezgodności,
- ocenę potrzeby podjęcia działań przeciwdziałających wystąpieniu niezgodności,
- wskazanie potrzebnych działań korygujących,
- wytyczne i zalecenia służące dostosowaniu do normy ISO/IEC 27037:2016 oraz poprawieniu Systemu Zarządzania Identyfikacją, Gromadzeniem, Nabywaniem i Ochroną Dowodów Cyfrowych.
Zakres i program audytu
Audyt oparty na wytycznych normy ISO/IEC 27037:2016 obejmuje, m.in.:
Kontekst do zbierania dowodów cyfrowych:
- Zasady dowodów cyfrowych,
- Wymagania dotyczące obsługi dowodów cyfrowych – zasady ogólne: weryfikowalność, powtarzalność, odtwarzalność i zasadność,
- Proces obsługi dowodów cyfrowych: przegląd, identyfikacja, gromadzenie, nabycie i ochronę dowodów cyfrowych.
Kluczowe elementy identyfikacji, gromadzenia, nabywania i ochrona dowodów cyfrowych:
- Łańcuch dowodowy,
- Środki ostrożności w miejscu wypadku: zasady ogólne, kadry, potencjał dowodów cyfrowych,
- Zadania i obowiązki w tym DEFR i DES,
- Kompetencje,
- Należyta staranność,
- Dokumentacja,
- Przygotowanie – zasady ogólne: specyficzne dowody cyfrowe, personel – specyficzne, incydenty w czasie rzeczywistym, pozostałe informacje – odprawa,
- Klasyfikowanie gromadzenie i nabycie,
- Konserwacja potencjalnych dowodów cyfrowych: przegląd, zachowanie potencjalnych dowodów cyfrowych, opakowanie – urządzenia cyfrowe i potencjalne dowody cyfrowe, transport potencjalnych dowodów cyfrowych.
Przypadki identyfikacji, gromadzenia, nabywania i ochrona:
- Komputery, urządzenia peryferyjne i cyfrowe nośniki danych: identyfikacja, gromadzenie, nabycie, ochrona,
- Urządzenia sieciowe: identyfikacja, gromadzenie, pozyskiwanie i przechowywanie,
- CCTV zbiór, pozyskiwanie i przechowywanie.
Minimalne wymagania dotyczące dokumentacji dla transferu dowodów.
Kryteria audytu
Aktualne wydania dokumentów odniesienia stosowanych przez zespół audytorów:
- ISO/IEC 17799:2007,
- ISO/IEC 22301:2014,
- ISO/IEC 27000:2017,
- ISO/IEC 27002:2017,
- ISO/IEC 27001:2017,
- ISO/IEC 27037:2016,
- ocena dokumentacji wchodzącej w System Zarządzania ISO 27037,
- ocena instrukcji postępowania z informacjami stanowiącymi tajemnicę,
- ocena instrukcji zarządzania systemem informacyjnym oraz inne dokumenty powiązane,
- zgodność z ustawą o ochronie danych osobowych z dn. 29.08.1997r. z późn. zmianami;
- zgodność z Rozporządzeniem UE w zakresie przetwarzania danych osobowych,
- zgodność z rozporządzeniem MSWiA z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
Czas i koszt audytu
- ustalany indywidualnie,
- przygotowanie oferty wymaga określenia celu audytu, doboru kryteriów audytowych oraz zebrania podstawowych informacji o posiadanej dokumentacji oraz infrastrukturze organizacji.
- ofertę wraz z kosztorysem audytu przedstawiamy niezwłocznie po otrzymaniu powyższych informacji.
Zapisy
Zapisania na szkolenie można dokonać za pośrednictwem FORMULARZA ZGŁOSZENIOWEGO. Po dokonaniu prawidłowego zgłoszenia termin realizacji, miejsce oraz forma są ustalane z zgłaszającym.