Minden cégnél a beszállítói munkának a megrendelő által is ellenőrizhető folyamatok mentén kell működnie, ezért a megrendelő felkérésére e folyamatokat vizsgáljuk, auditáljuk információbiztonsági szempontok alapján.
Az audit célja
Feladatunk, hogy a megrendelő üzleti folyamatait áttekintsük és rávilágítsunk a külső partnerrel való együttműködés beszállítói oldali információbiztonsági hiányosságaira. A feltárt problémákra minden esetben megoldási javaslatot készítünk a megrendelő és a beszállító részére egyaránt.
Módszertan
A vizsgálatokat a megrendelő és a beszállító biztonsági szabályzatai, nemzetközi biztonsági szabványok, jogszabályok és a KÜRT Zrt. több éves ez irányú tapasztalatai alapján hajtjuk végre. Az átvilágítást csak a beszállítók azon területein hajtjuk végre, melyek kapcsolatban állnak a megrendelői feladatokkal. Az átvilágítás elvégzése során a KÜRT Zrt. kizárólag az információbiztonsághoz kapcsolódó kérdésekre tér ki, melyek befolyásolhatják a megrendelő üzleti folyamatainak biztonságát.
Az audit fő vizsgálati területi
- Információbiztonsági szabályzatok vizsgálata,
- kockázatkezelés szabályozása,
- adatkezelés és adatosztályozás szabályai,
- jogosultságkezeléssel kapcsolatos folyamatok biztonsága,
- a szerződött partnerekkel kapcsolatos szabályozás,
- a megrendelő szabályzatainak ismerete, használata, betartatása,
- a megrendelő informatikai rendszerihez kapcsolódó alkalmazások és ezekkel kapcsolatos előírások, (például ticketing, helpdesk rendszerek)
- vírusvédelem és határvédelem,
- informatikai rendszerek biztonsági besorolásai,
- a megrendelő folyamatait érintő beszállítói folyamatok biztonsági vizsgálata
- a szoftverfejlesztés biztonsági kérdései (csak a fejlesztéssel foglalkozó cégekre vonatkozik),
- HR folyamatok, oktatások és titoktartás,
- szerződések kezelése.
Az audit módszertan lépései
- Az első fázisában átolvasunk minden megrendelő által készített és
kiadott, érvényes információbiztonsági szabályzatot.
- A második fázisban audittervet készítünk a vizsgálat pontos lépéseiről, időrendjéről és funkcióiról.
- A harmadik fázisban összeállítjuk az audit elvégzéséhez szükséges, a beszállítóktól bekért dokumentumok listáját.
- A negyedik fázisban a beszállítói dokumentumvizsgálat történik.
- Az ötödik fázisban lefolytatjuk az audit interjúkat.
- A hatodik fázisban kidolgozzuk a hiányosságokat bemutató dokumentumokat és átadjuk a megrendelő részére. A feltárt hiányosságok priorizálását a kockázatoknak megfelelően végezzük el.
A KÜRT több mint 20 éves információbiztonsági projekttapasztalattal, munkatársaink pedig a legmagasabb szintű vezető auditori vizsgával és ISO 27001:2014 oklevéllel rendelkeznek