Projekt „Cyberbezpieczny Samorząd” jest kluczowym przedsięwzięciem mającym na celu zwiększenie poziomu bezpieczeństwa informacji w Jednostkach Samorządu Terytorialnego (JST) w Polsce. W dobie rosnących zagrożeń cybernetycznych, szczególnie istotne jest, aby samorządy były wyposażone w odpowiednie narzędzia i wiedzę do skutecznego zapobiegania i reagowania na incydenty bezpieczeństwa.
Celem projektu jest wzmocnienie odporności systemów informacyjnych JST oraz podniesienie poziomu ich gotowości do przeciwdziałania atakom cybernetycznym. Projekt zakłada wsparcie finansowe dla JST w zakresie wdrażania i aktualizacji polityk bezpieczeństwa, zarządzania ryzykiem oraz podnoszenia kompetencji personelu odpowiedzialnego za bezpieczeństwo cyfrowe. Środki mogą być przeznaczone na zakup, wdrożenie i konfigurację systemów oraz urządzeń i usług zwiększających bezpieczeństwo cyfrowe.
W ramach zwiększania bezpieczeństwa cyfrowego, SOFTRONIC oferuje szereg szkoleń, które mogą być szczególnie wartościowe dla JST. Przygotowaliśmy również specjalną promocję, w której oferujemy 20% rabatu na nasze szkolenia, wspierając tym samym rozwój kompetencji niezbędnych do skutecznego zarządzania cyberbezpieczeństwem.
Zapraszamy do skorzystania z naszych usług i wspólnego budowania bezpieczniejszej cyfrowo administracji publicznej!
Poniżej znajdziecie Państwo więcej szczegółów na temat usług kwalifikowanych w ramach grantu.
WYDATKI W OBSZARZE ORGANIZACYJNYM
Nasi audytorzy posiadają wymagane kwalifikacje oraz stosowne certyfikaty uprawniające do przeprowadzania audytów KSC, NIS2, KRI, SZBI według normy ISO/IEC 27001.
AUDYT CYBERBEZPIECZEŃSTWA
W ramach audytu cyberbezpieczeństwa dokonywana jest weryfikacja czy organizacja spełnia wymagania i obowiązki wynikające ze stosownych przepisów oraz rynkowych standardów i dobrych praktyk, np. ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), rozporządzenia w sprawie Krajowych Ram Interoperacyjności (KRI), dyrektywy UE NIS2, wymagań KNF. Analizie podlega dokumentacja i inne dane, w tym dane systemowe, przeprowadzane mogą być wywiady, wykonywane testy i oględziny. Na zakończenie audytu przygotowywany i przedstawiany jest raport z audytu zgodności.
AUDYT BEZPIECZEŃSTWA INFORMACJI WG NORM ISO/IEC 27001
Norma ISO/IEC 27001 to zestaw wymagań dotyczących bezpieczeństwa danych w sieci oraz systemach informatycznych. W trakcie audytu dokonujemy weryfikacji, czy informacje w organizacji są skutecznie chronione. Identyfikujemy potencjalne luki w zastosowanych zabezpieczeniach. Weryfikujemy, czy firma posiada wszelkie wymagane przez normę procedury i polityki, chroniące przed wyciekiem danych oraz cyberatakami. Audyt bezpieczeństwa informacji wg normy ISO/IEC 27001 polega na kompleksowym przeglądzie procedur i polityk bezpieczeństwa firmy oraz analizie ich stosowania w praktyce. Na koniec audytu otrzymują Państwo raport z informacjami o stwierdzonych niezgodnościach oraz wskazówkami co do działań naprawczych. Pomagamy budować od podstaw profesjonalne systemy zarządzania bezpieczeństwem informacji (SZBI) zgodne z normą ISO/IEC 27001, dzięki czemu możemy uniknąć wielu współczesnych zagrożeń oraz pozwalają ubiegać się o Certyfikat ISO/IEC 27001. SZBI to zestaw procedur i polityk, dopasowany do celu i procesów firmy, chroniący dostępność, poufność, integralność i autentyczność przechowywanych danych oraz zapewniający ciągłość działania na wypadek nieprzewidzianych zdarzeń. W ramach wdrożenia SZBI dokonywany jest przegląd struktury organizacyjnej i procesów w firmie oraz przeprowadzana inwentaryzacja i analiza aktywów. Na tej podstawie opracujemy komplet procedur i polityk, wymaganych przez normę ISO/IEC 27001 w stosunku do danej organizacji. W ramach wdrożenia SZBI szkolimy także pracowników. Jeżeli organizacja zdecyduje się wystąpić o Certyfikat ISO/IEC 27001 wydawany przez zewnętrzną akredytowaną jednostkę certyfikującą, asystujemy w tym procesie.
Przykładowy plan audytu:
-
1. Ocena polityk i procedur bezpieczeństwa - analiza dokumentacji dotyczącej polityk, procedur i standardów bezpieczeństwa obowiązujących w organizacji. Weryfikacja, czy są one odpowiednio zdefiniowane, aktualne i przestrzegane.
-
2. Zarządzanie tożsamością i dostępem - analiza procesów zarządzania tożsamością i dostępem do zasobów wewnętrznych. Weryfikacja, czy przydzielane są odpowiednie uprawnienia i czy nadania/odebrania dostępu odbywają się zgodnie z politykami bezpieczeństwa.
-
3. Audyt systemów bezpieczeństwa - ocena zabezpieczeń antywirusowych, zaporowych oraz innych rozwiązań służących ochronie przed złośliwym oprogramowaniem.
-
4. Monitorowanie zdarzeń bezpieczeństwa - weryfikacja czy organizacja ma odpowiednie rozwiązania do monitorowania i reagowania na niepokojące zdarzenia w środowisku IT.
-
5. Szkolenia i świadomość pracowników - ocena działań podejmowanych w zakresie szkoleń z cyberbezpieczeństwa oraz poziomu świadomości pracowników na temat zagrożeń związanych z bezpieczeństwem danych.
-
6. Weryfikacja zabezpieczeń fizycznych - ocena zabezpieczeń fizycznych, takich jak kontrola dostępu do budynków i poszczególnych pomieszczeń, monitorowanie za pomocą kamer.
-
7. Zgodność z przepisami i standardami - sprawdzenie czy organizacja przestrzega odpowiednich przepisów i standardów związanych z bezpieczeństwem danych
-
8. Analiza ryzyka - sprawdzenie skuteczności procesów związanych z analizą ryzyka. Ocena efektywności wdrażanych mechanizmów mitygujących ryzyka.
-
9. Zarządzanie incydentami bezpieczeństwa - ocena skuteczności zarządzania incydentami, pracy zespołów SOC oraz jakości dokumentacji dowodowej.
-
10. Plany BCP I DRP - ocena planów ciągłości działania. Weryfikacja skuteczności przeprowadzanych analiz BIA, testowania procedur BCP oraz komunikacji kryzysowej.
-
11. Zarządzanie dostawcami - ocena skuteczności zarządzania bezpieczeństwem dostawców. Przegląd umów, ocena definiowania, monitorowania i egzekwowania poziomów SLA.
-
12. Środowisko chmurowe - ocena skuteczności zarządzania bezpieczeństwem w środowiskach chmurowych. Analiza scenariuszy zmiany lub wyjścia z środowiska chmurowego. Ocena skuteczności podziału odpowiedzialności, oceny mechanizmów kontrolnych i audytu dostawców chmury.
-
13. Raportowanie i rekomendacje - realizacja audytu zostaje zakończona raportem zawierającym wyniki analizy, wykryte zagrożenia, zalecenia dotyczące ulepszeń oraz priorytety, które powinny zostać podjęte w celu wzmocnienia cyberbezpieczeństwa organizacji. Raport może stanowić uzasadnienie biznesowe do realizacji inwestycji i projektów zwiększających cyberbezpieczeństwo organizacji.
Ofertę cenową przygotowujemy indywidualnie po zapoznaniu się z Państwa oczekiwaniami, zapewniając rozwiązania idealnie dopasowane do specyfiki i potrzeb Państwa organizacji.