Jak przeprowadzić audyt bezpieczeństwa systemu informacyjnego?
Ustawa nakłada na operatorów obowiązek przeprowadzenia, raz na dwa lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
Audyt może przeprowadzić:
jednostka oceniająca zgodność, akredytowana we właściwym zakresie [Akredytacji jednostek oceniających zgodność, w tym w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych, dokonuje Polskie Centrum Akredytacji (PCA)];
sektorowy zespół cyberbezpieczeństwa [Na dzień dzisiejszy (grudzień 2018) nie ustanowiono żadnego sektorowego zespołu cyberbezpieczeństwa. Należy sprawdzać na bieżąco, czy w danym sektorze organ właściwy powołał taki zespół];
co najmniej dwóch audytorów o określonych kompetencjach.
Zespół dwóch audytorów powinien posiadać certyfikaty określone we właściwym rozporządzeniu lub posiadać odpowiednią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych (tzn. co najmniej trzyletnią praktykę bez wykształcenia kierunkowego lub co najmniej dwuletnią praktykę oraz dyplom ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych).
