Audyt bezpieczeństwa informacji to proces oceny zgodności organizacji z wymaganiami regulacyjnymi oraz weryfikacji skuteczności wdrożonych zabezpieczeń technicznych i organizacyjnych. W sektorze publicznym obejmuje on również analizę zgodności z NIS2, UoKSC oraz normą ISO 27001.
Poniższe case study przedstawia realizację kompleksowego audytu bezpieczeństwa informacji dla Państwowej Akademii Nauk Stosowanych w Chełmie.
Kontekst projektu
Państwowa Akademia Nauk Stosowanych w Chełmie przeprowadziła przetarg na realizację audytu bezpieczeństwa informacji oraz infrastruktury IT.
Celem projektu była ocena poziomu zgodności z wymaganiami regulacyjnymi oraz weryfikacja stanu zabezpieczeń środowiska technicznego w organizacji działającej w modelu rozproszonym.
Uczelnia funkcjonuje w 10 lokalizacjach, zatrudnia 115 pracowników i wykorzystuje środowisko obejmujące serwery fizyczne oraz maszyny wirtualne.
Wyzwanie
Projekt zakładał:
- ocenę zgodności z wymaganiami NIS2 i UoKSC
- analizę zgodności z ISO 27001
- przegląd infrastruktury IT i konfiguracji środowiska
- identyfikację niezgodności oraz opracowanie planu działań
Zakres obejmował zarówno warstwę organizacyjną, jak i techniczną.
Zakres prac
Audyt objął:
- analizę dokumentacji bezpieczeństwa, polityk i procedur
- wywiady z pracownikami odpowiedzialnymi za systemy i procesy
- ocenę konfiguracji serwerów fizycznych oraz 17 maszyn wirtualnych
- weryfikację segmentacji sieci, VLAN, firewalli oraz VPN
- analizę mechanizmów kopii zapasowych i procedur odtwarzania
Na zakończenie przygotowano raport zawierający wykaz niezgodności, ocenę poziomu dojrzałości oraz rekomendacje możliwe do wdrożenia w określonym horyzoncie czasowym.
Realizacja audytu
Projekt zrealizował zespół certyfikowanych audytorów spełniających wymagania określone w dokumentacji przetargowej.
Prace zakończono terminowo. Protokół odbioru potwierdza wykonanie usługi bez zastrzeżeń.
Efekt audytu bezpieczeństwa informacji
Państwowa Akademia Nauk Stosowanych w Chełmie otrzymała:
- ocenę zgodności z obowiązującymi regulacjami
- mapę obszarów wymagających poprawy
- rekomendacje organizacyjne i techniczne
- plan działań dostosowany do możliwości operacyjnych jednostki
Projekt umożliwił uporządkowanie obszaru bezpieczeństwa informacji oraz przygotowanie organizacji do dalszych działań związanych z regulacjami i systemowym podejściem do cyberbezpieczeństwa.
Dlaczego audyt bezpieczeństwa informacji jest kluczowy w sektorze edukacji?
Uczelnie przetwarzają dane osobowe, dane badawcze oraz informacje o znaczeniu operacyjnym. Środowiska IT są rozproszone, a użytkownicy korzystają z wielu systemów jednocześnie.
Audyt bezpieczeństwa informacji w instytucji publicznej pozwala:
- zweryfikować zgodność z NIS2 i UoKSC,
- ocenić skuteczność wdrożonego SZBI,
- przygotować organizację do dalszych wymagań regulacyjnych.
W środowisku rozproszonym regularny audyt infrastruktury IT ogranicza ryzyko incydentów oraz wspiera nadzór nad bezpieczeństwem informacji.
