Audyt systemu IT – w jakim zakresie i dlaczego go przeprowadzać

RODO nie obliguje wprost do audytowania systemu IT. Nie znaczy to jednak, że o audycie tym można zapomnieć. Wręcz przeciwnie, jest on zalecany, gdyż powinien pomóc w wyborze adekwatnych środków bezpieczeństwa danych. Sprawdź, dlaczego warto przeprowadzić audyt systemu IT i co powinien on obejmować.

Po co audyt systemu IT

Audyt systemu IT, jak już wskazano nie jest obligatoryjny. Niemniej jednak jego przeprowadzenie jest zalecane w kontekście obowiązku przeprowadzania ogólnej analizy ryzyka. Można sformułować 5 celów audytu. Otóż ma on służyć:

przeanalizowaniu, jakie oprogramowanie wykorzystuje administrator do przetwarzania danych i czy jest to oprogramowanie z ważnymi umowami licencyjnymi;
analizie luk w zabezpieczeniach oprogramowania prowadzących do ryzyka wycieku danych osobowych; chodzi tu nie tyle o luki w oprogramowaniu (wówczas audyt miałby charakter działań z zakresu informatyki śledczej, a to zupełnie inne koszty i zakres prac), ile o wskazanie, co w korzystaniu z oprogramowania można poprawić (np. że należy zmienić funkcję automatycznego tworzenia kopii zapasowej, tak aby kopia ta była tworzona częściej);
ocenie skuteczności stosowanych zabezpieczeń technicznych (np. antywirusów, firewalli, IDS) i ich adekwatności do kategorii i ilości przetwarzanych danych osobowych;
wskazaniu źródeł potencjalnych zagrożeń wycieku danych: brak zabezpieczeń fizycznych serwerów, niewystarczająca kontrola dostępu do infrastruktury sieciowej IT, osoby trzecie mające dostęp do sprzętu i oprogramowania (np. serwisanci), sposób pracy pracownika (np. notoryczne pozostawianie pendrive’a bez opieki na biurku w salonie sprzedaży, gdzie są klienci);
poinformowaniu audytowanego o najlepszych obecnie praktykach IT – zwłaszcza jeżeli ich zastosowanie w danej sytuacji audytor uważa za wysoce wskazane.

Co w raporcie

Przepisy nie regulują też treści dokumentacji audytowej. Niemniej jednak z uwagi na regułę rozliczalności (art. 5 RODO) oczywiste jest, że przeprowadzenie audytu należy udokumentować np. raportem. Dokument taki może zawierać

opis stanu prawnego obowiązującego u administratora, w tym lista regulacji wewnętrznych wraz z oznaczeniem ich wersji,
opis zastanego stanu faktycznego w zakresie systemów IT,
wnioski po audycie.

Co objąć audytem

W praktyce odpowiednio przeprowadzony audyt powinien objąć nie tylko sam system IT ale także urządzenia ale i sam personel administratora.

Zakres przedmiotowy audytu systemu IT
Urządzenia i oprogramowanie uczestniczące w obiegu danych osobowych	komputery stacjonarne i serwery
	laptopy
	nośniki pamięci masowych
	aparaty fotograficzne
	drukarki
	niszczarki
Ruch sieciowy	wyjścia sieciowe (w tym sposób skonfigurowania usług chmurowych, filtracja ruchu przychodzącego)
	Konfiguracja usługi katalogowej Active Directory
	ustawienia polis (polices)
	uprawnień do zasobów sieciowych
	weryfikacja tożsamości użytkowników
	polityka zmiany haseł
Systemy bezprzewodowe	kwestie dotyczące zastosowanego szyfrowania i dostępu gości (np. udostępniania sieci osobom czasowo przebywającym w siedzibie administratora)
Poczta elektroniczna	ochrona antyphishingowa i antyspamowa
	sprawdzenie, na czym polega zastosowanie podwyższonych środków bezpieczeństwa (w przypadku danych szczególnej kategorii)
Social engineering	testy na pracownikach administratora dotyczące ich podatności na oddziaływanie socjologiczne
Sytuacje awaryjne	zapewnienie ciągłości działania systemów informatycznych, zwłaszcza w kontekście awarii zasilania
Sytuacje awaryjne	wydajność użytkowanego sprzętu, zwłaszcza w przypadku chwilowych obciążeń szczytowych

Uwaga

Jeśli chcesz przeczytać więcej ciekawych artykułów, załóż konto testowe i ciesz się bezpłatnym dostępem do wszystkich treści przez 24h!

Kliknij tutaj >>>

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 24, art. 32.

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Wyszukaj na stronie:

Wyszukaj na stronie:

Wyszukaj na stronie:

Audyt systemu IT – w jakim zakresie i dlaczego go przeprowadzać

Autor: Marcin Sarna

Po co audyt systemu IT

Co w raporcie

Co objąć audytem

Autor: Marcin Sarna

Słowa kluczowe:

Zmiany w zakresie doręczeń elektronicznych – co na to RODO

Zgubienie sprzętu z danymi osobowymi – jak zareagować

CZYTAJ PODOBNE »

WIDEOSZKOLENIA »

Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody »

Nagrody i wyróżnienia»

Tematyka

Narzędzia

Przewodnik

O nas

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

Audyt systemu IT – w jakim zakresie i dlaczego go przeprowadzać

Autor: Marcin Sarna

Po co audyt systemu IT

Co w raporcie

Co objąć audytem

Autor: Marcin Sarna

Słowa kluczowe:

Zmiany w zakresie doręczeń elektronicznych – co na to RODO

Zgubienie sprzętu z danymi osobowymi – jak zareagować

CZYTAJ PODOBNE »

WIDEOSZKOLENIA »

Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody »

Nagrody i wyróżnienia»

Tematyka

Narzędzia

Przewodnik

O nas

24-h bezpłatny test portalu! Zyskaj pełen dostęp do bazy porad i aktualności!

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!