Věříme v jiný způsob řízení
567 309 136

Město Blansko provedlo audit bezpečnosti dat a informací

V závěru loňského roku byl firmou GORDIC proveden audit bezpečnosti dat v rámci informačního systému Městského úřadu Blansko. Výsledky auditu prošly připomínkovým řízením a jeho finální podoba byla v těchto dnech odprezentována zpracovatelem zástupcům města.

Účelem auditu bylo identifikovat hrozby a rizika, která mohou ovlivnit činnost městského úřadu v případě diskreditace, zničení nebo poškození těchto dat, dále pak posoudit stav informační bezpečnosti s požadavky uvedenými v normě ČSN ISO/IEC 27001, rozklíčovat hlavní datové toky v organizaci a v neposlední řadě navrhnout i ochranná opatření, která budou eliminovat a snižovat hrozby a zvýší tak informační bezpečnost dotčených dat a informací.

V rámci auditu byla posuzována zejména dostatečnost technologických i procesních aspektů bezpečnosti, byla provedena interview se zástupci vybraných uživatelů MěÚ Blansko, uživateli a správcem informačního systému.
bezpecnostni-audit.jpg

Účelem auditu bylo identifikovat hrozby a rizika, která mohou ovlivnit činnost IS a dále pak posoudit stav informační bezpečnosti s požadavky uvedenými v normě ČSN ISO/IEC 27001, konstatovat míru shody s touto normou, konstatovat naplnění požadavků na informační bezpečnost podle zákona č. 101/2000 Sb. (Ochrana osobních údajů) a doporučit formu zabezpečení s cílem ji kvalitativně zvýšit.

V rámci auditu byla posuzována zejména dostatečnost technologických i procesních aspektů bezpečnosti a bylo provedeno interview s náhodně vybranými uživateli informačního systému s cílem odhalit neshody jak v objektivní, tak v subjektivní rovině. Hlavním zdrojem informací pro auditora pak byla existující bezpečnostní dokumentace MěÚ Blansko (míněno ve vztahu k informační a nikoli obecné bezpečnosti) a interview s pracovníky, odpovědnými za provoz informačního systému MěÚ Blansko.

Jako základní bezpečnostní etalon auditu byla vybrána bezpečnostní norma ČSN ISO/IEC 27001. Auditor posuzoval bezpečnost informačního systému podle této normy z toho důvodu, že její časová prověřenost a struktura nejlépe odpovídá pravidlům provozu bezpečného informačního systému. MěÚ Blansko se v nejbližší době nehodlá ucházet o certifikaci informačního systému podle této normy, takže drobná pochybení oproti ní lze v současnosti přijmout jako akceptované riziko v oblasti bezpečnosti bez dalších dopadů. V dlouhodobém horizontu by se však provoz IS MěÚ měl přibližovat požadavkům normy, neboť je to právě její odnož, norma ISO/IEC 27002, která definuje soupis bezpečnostních požadavků na kritický informační systém podle zákona č. 181/2014 Sb. (O kybernetické bezpečnosti) a sním souvisejících předpisů (viz schéma rozsahu zákonných požadavků).

Zpracovaný materiál byl předložen zástupcům města s doporučeními dalšího postupu a návrhům eliminace případných rizik. Materiál bude dále sloužit jako základ pro realizaci konkrétních opatření schválených vedením města i jako podkladový materiál dalších rozsáhlejších projektů vybrané oblasti.

Zprávy GORDIC

Zobrazení dle typu:
  • Aktualizace software
  • Metodologie
  • Zprávy vlastní
  • Zprávy cizí
  • Řešení
Potvrdit výběr