Professional Documents
Culture Documents
Nowe Rodzina 27XXX
Nowe Rodzina 27XXX
2023-03-23; MSTeams
Michał Gałecki
Auditor Wiodący
www.prs.pl
Program certyfikacji ISMS
Program certyfikacji ISMS to:
- Zasady certyfikacji
- PCS-02 – kompetencje auditorów
- PCS-03 – przegląd wniosku i określenie czasu trwania auditu
- PCS-01/QMS łącznie z PCS-01/ISMS – zasady postępowania przy ocenie zgodności SZBI Organizacji z
wymaganiami normy ISO/IEC 27001
PN-EN ISO/IEC 27001:2017-06 (wyd. 2018-01-10) - Technika informatyczna -- Techniki bezpieczeństwa --
Systemy zarządzania bezpieczeństwem informacji – Wymagania
(wprowadza: EN ISO/IEC 27001:2017 [IDT], ISO/IEC 27001:2013/Cor 2:2015 [IDT], ISO/IEC 27001:2013/Cor 1:2014
[IDT], ISO/IEC 27001:2013 [IDT)
ISO/IEC 27001:2022-10 (wyd. 2022-10-25) - Information security, cybersecurity and privacy protection —
Information security management systems — Requirements
www.prs.pl 2
Wymagania norm dot. certyfikacji ISMS
Wymagania dotyczące SZBI (normy serii ISO/IEC 27000)
PN-EN ISO/IEC 27001:2017-06 - Technika informatyczna -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji
-- Wymagania <wydanie 2018-01-10>
ISO/IEC 27001:2022-10 - Information security, cybersecurity and privacy protection — Information security management systems —
Requirements <wyd. 2022-10-25>
Wymagania dotyczące oceny zgodności (ISO/IEC 17021):
PN-EN ISO/IEC 17021-1:2015-09 (E) - Ocena zgodności -- Wymagania dla jednostek prowadzących audity i certyfikację systemów
zarządzania -- Część 1: Wymagania <wydanie 2015-09-23>
PN-EN ISO/IEC 17000:2020-12 (E) – Ocena zgodności –Terminologia i ogólne zasady <wydanie: 2020-12-14>
PN-EN ISO/IEC 27006:2021-05 (E) - Technika informatyczna -- Techniki bezpieczeństwa -- Wymagania dla jednostek prowadzących
audyt i certyfikacje systemów zarządzania bezpieczeństwem informacji <wydanie: 2021-05-12>
Wymagania dotyczące auditowania
PN-EN ISO 19011:2018-08 (E) - Wytyczne dotyczące auditowania systemów zarządzania <wydanie 2019-10-08>
PN-EN ISO/IEC 27007:2022-06 (E) - Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności -- Wytyczne dotyczące
audytu systemów zarządzania bezpieczeństwem informacji <wydanie 2022-06-13>
Wymagania branżowe w tym wymagania prawne
www.prs.pl 3
ISO/IEC 27001
ISO/IEC 27011:2016
specjalistyczne
dla systemów
www.prs.pl 4
Zmiany w ISO/IEC 27001:2022
1. Główne zmiany:
•Zmiana tytułu:
ISO/IEC 27001:2013
Information technology — Security techniques — Information security management systems — Requirements.
PN-EN-ISO/IEC 27001:2017-06
Technika informatyczna -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji – Wymagania
•ISO/IEC 27001:2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements
Tytuł polski (norma jeszcze nie ma wydania polskiego) – określony na podstawie PN-EN ISO/IEC 27002:2023-01
Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – System zarządzania bezpieczeństwem informacji
- Wymagania
www.prs.pl 5
Zmiany w ISO/IEC 27001:2022
1. Główne zmiany:
Załącznik A:
•
odnosi się do zabezpieczeń i zawiera informacje o nazwach kategorii zabezpieczeń i samych zabezpieczeniach, a także cele
dla tych zabezpieczeń
www.prs.pl 6
ISO/IEC ISO/IEC
27002:2022 27002:2013 Nazwa zabezpieczenia
Lp. Identyfikator Identyfikator
1. 5.1 05.1.1, 05.1.2 Polityka w zakresie bezpieczeństwa informacji
2. 5.2 06.1.1 Role i obowiązki w zakresie bezpieczeństwa informacji
3. 5.3 06.1.2 Podział obowiązków
4. 5.4 07.2.1 Obowiązki w zakresie zarządzania
5. 5.5 06.1.3 Kontakt z władzami
6. 5.6 06.1.4 Kontakt z grupami szczególnego zainteresowania
7. 5.7 Nowy Wywiad o zagrożeniach
8. 5.8 06.1.5, 14.1.1 Bezpieczeństwo informacji w zarządzaniu projektami
9. 5.9 08.1.1, 08.1.2 Inwentaryzacja informacji i innych powiązanych aktywów
10. 5.10 08.1.3, 08.2.3 Akceptowalne wykorzystanie informacji i innych powiązanych aktywów
11. 5.11 08.1.4 Zwrot aktywów
12. 5.12 08.2.1 Klasyfikacja informacji
13. 5.13 08.2.2 Oznaczanie informacji
14. 5.14 13.2.1, 13.2.2, 13.2.3 Przekazywanie informacji
www.prs.pl 7
Zmiany w ISO/IEC 27001:2022
2. Uzupełnienia:
w rozdziale 8 użyto sformułowania „dostarczane z zewnątrz procesy, wyroby i usługi” zamiast „podzlecane procesy” i
usunięto termin „podzlecanie”,
nadano tytuły podrozdziałom w rozdziałach 9.2 – Audit wewnętrzny i 9.3 – Przegląd zarządzania oraz zmieniono ich
kolejność
www.prs.pl 8
Dokumentowanie auditów wg programu ISMS
- „Powołanie zespołu auditorów na audit NC-…”
- „Informacja dotycząca organizacji”
- Form. 3/PCS-01/QMS – „Program auditów NC-…”
- Form. 4W/PCS-01/QMS – „Plan auditu-1etap-NC-…/W…”
- Form. 5/PCS-01/QMS – „Kwestionariusz auditu NC-…”
- Form. 1A/PCS-01/ISMS – „Kwestionariusz auditu ISMS NC-…”
- Form. 1B/PCS-01/ISMS – „Kwestionariusz auditu ISMS NC-…”
- Załącznik nr 1 do Form. 5/PCS-01/QMS – „Załącznik do kwestionariusza auditu NC-…”
- Form. 6/PCS-01/QMS – „Ustalenia z auditu NC-…”
- Form. 1/PCS-01/QMS – „Raport z 1 etapu auditu NC-…”
- Form. 6/PCS-01/QMS – „Informacja dotycząca certyfikacji NC-…”
- Form. 4/PCS-01/QMS – „Plan auditu NC-…”
- Form. 7/PCS-01/QMS – „Raport z auditu NC-…”
www.prs.pl 9
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 1/9
Data edycji: 2023-02-27
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 2/9
Data edycji: 2023-02-27
5 Organizacja i auditor zgadzają się na przeprowadzenie auditu zdalnego- (poprzez słowne oświadczenia). +
Organizacja została poinformowana o zagrożeniach związanych z ochroną danych i je zaakceptowała.
6 Organizacja i auditor akceptując formę auditu zdalnego, akceptują zagrożenia związane z taką formą pro- +
wadzenia auditu, tj.:
- utratę danych ze względu na złą jakość transmisji (np. połączenie z internetem),
- zależność od informacji udostępnianych przez organizację z powodu braku dostępu do innych źródeł
informacji, inaczej niż przypadku auditu na miejscu;
- inne zagrożenia właściwe dla auditu zdalnego.
7 Zagwarantowano bezpieczeństwo i poufność informacji, w tym zgodnie z KOMUNIKATEM- ZASADY PRO- +
WADZENIA AUDITÓW PRZY WYKORZYSTANIU TECHNOLOGII INFORMACYJNO KOMUNIKACYJNYCH (ICT),
TZW. AUDITÓW ZDALNYCH, W NAWIĄZANIU DO AKTUALNEJ SYTUACJI EPIDEMICZNEJ, z dnia 2020-10-27.
8 Zastosowanie technik auditu zdalnego do: +
- sprawdzenia i oceny udokumentowanej informacji (dokumentów i zapisów);
- prowadzenia rozmów z personelem Organizacji;
- obchodów/wizji lokalnej;
- inne, zgodnie z uwarunkowaniami auditu i Organizacji: ............................................
9 Audit zdalny nie obejmuje/ obejmuje procesy realizowane w środowisku fizycznym (magazynowanie, pro- +
dukcja, itp.).
10 Inne:
Oświadczenia:
1. Powyższe zasady zostały omówione w ramach spotkania otwierającego auditu zdalnego i stosowane (przestrzegane) w trakcie
prowadzonego auditu.
2. Powyższe kryteria zostały ocenione w ramach spotkania otwierającego audit zdalnego i pozwalają stwierdzić, że można przepro-
wadzić audit zdalny w zakresie uzgodnionego planu auditu.
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 3/9
Data edycji: 2023-02-27
2 Stosowanie umowy o certyfikację, w tym stosowanie znaków certyfikacji, aktualizacja wymaganych dokumen-
tów SZ
Wymagane dokumenty są przekazywane do Biura Certyfikacji Systemów Zarządzania.
Znaki certyfikacji są stosowane/nie są stosowane, jeżeli są to np. …………
Weryfikacja informacji dotyczącej organizacji ze względu na informacje szczegółowe : TAK/NIE (ocena informacji ze
względu na normy odniesienia - informacje dodatkowe zawarte w załączniku do Wniosku i weryfikowane na podsta-
wie informacji dotyczącej organizacji).
Umowa o certyfikację, w tym zasady stosowania znaków certyfikacji są przestrzegane.
2Ustalenia: O- obserwacje, M- niezgodności, D- duża niezgodność, S- silna strona; Braku wpisu w kolumnie „ustalenia” oznacza potwierdzenie
zgodności. Numeracja nie jest konieczna w kwestionariuszu. AW numeruje ustalenia w trakcie formalnego opracowywania ustaleń z auditu.
Uwaga:
W przypadku stwierdzenia ustalenia należy je szerzej opisać (sytuację uzasadniającą zapisanie ustalenia)- szczególnie dotyczy to obserwacji.
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 4/9
Data edycji: 2023-02-27
5 Ocena poziomu integracji ZSZ Organizacji: TAK (nie ma uwag), NIE- …...
Ocena poziomu integracji (kryteria oceny):
Element Zintegrowanego Systemu Zarządzania: Tak Nie
- zbiór zintegrowanej dokumentacji, w tym instrukcje robocze x
- przeglądy zarządzania, w których uwzględnia się ogólną strategię biznesową x
- zintegrowane podejście do auditów wewnętrznych x
- zintegrowane podejście do polityki i celów x
- zintegrowane podejście do procesów systemów x
- zintegrowane podejście do mechanizmów doskonalenia (działania korygujące i zapobiegawcze; pomiary i ciągłe
x
doskonalenie
- zintegrowane wsparcie i odpowiedzialność kierownictwa x
6 Ocena strony internetowej pod względem: stosowania znaków, informacji o zakresie certyfikacji i zakresu dzia-
łalności: TAK (nie ma uwag), NIE- …...
8 Inne:
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 5/9
Data edycji: 2023-02-27
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 6/9
Data edycji: 2023-02-27
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 7/9
Data edycji: 2023-02-27
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 8/9
Data edycji: 2023-02-27
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 9/9
Data edycji: 2023-02-27
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1A/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 1/12
(nazwa organizacji)
Zespół auditorów:
Auditor: ..................................
Auditor: ..................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 2/12
Nr
Auditowany obszar/proces: Przedstawiciel auditowanego obszaru:
p-tu
(zgodnie z planem): (imię, nazwisko, stanowisko)
planu
Uwaga:
1) Przy ocenie zabezpieczeń należy stosować oznaczenia:
W – zabezpieczenie wyłączone
A – zabezpieczenie nie było audytowane (poza planem auditu)
+ – zabezpieczenie poprawnie określone i wdrożone
O – obserwacja – wskazanie potencjału do doskonalenia w „Ustaleniach z auditu” (Form. 6/PCS-01/QMS)
M – niezgodność mała wymagająca podjęcia działań doskonalących, odnotowana w „Ustaleniach z auditu” (Form. 6/PCS-01-QMS)
D – niezgodność duża wymagająca podjęcia działań doskonalących oraz wskazuje na potrzebę ponownej oceny (auditu specjalnego)
obszaru w którym została stwierdzona, odnotowana w „Ustaleniach z auditu” (Form. 6/PCS-01-QMS)
2) Przy wypełnianiu kolumn: zabezpieczenie i rodzaj badania należy stosować oznaczenia:
X – wskazuje kwalifikację np. zabezpieczenie techniczne, badanie kontrola wzrokowa
− – nie ma zastosowania
„Zabezpieczenie techniczne”, „Zabezpieczenie organizacyjne” wynika z zastosowanych rozwiązań organizacyjnych (np. regulaminy czy
instrukcje) lub technicznych (np. system alarmowy czy monitoring). Dowody działania zabezpieczeń organizacyjnych można uzy-
skać w wyniku przeglądu zapisów z funkcjonowania zabezpieczeń, wywiadów, obserwacji i „kontroli wzrokowej”. Dowody działania
zabezpieczeń technicznych można uzyskać poprzez testowanie systemu lub zastosowanie wyspecjalizowanych narzędzi (np. opro-
gramowania do audytu systemu informatycznego czy raporty z systemu)
„Testowanie systemu” oznacza bezpośredni przegląd systemów (np. przegląd ustawień lub konfiguracji systemu). Odpowiedzi na pytania
auditora można uzyskać, wykorzystując konsolę systemową albo oceniając wyniki narzędzi testujących. Jeżeli organizacja klienta
wykorzystuje narzędzie komputerowe znane auditorowi, może być ono użyte do wsparcia auditu. Można również przeglądać wyni-
ki oceny wykonanej przez Organizację (lub jej dostawców usług)
„Kontrola wzrokowa” oznacza, że te zabezpieczenia zwykle wymagają kontroli wzrokowej na miejscu w celu oceny ich skuteczności.
Oznacza to, że nie wystarczy przejrzenie odpowiedniej dokumentacji w wersji papierowej lub wywiady – audytor powinien spraw-
dzić zabezpieczenie w miejscu, w którym jest ono zastosowane
3) Dowody z auditu
Podstawą do oceny zgodności jest „Deklaracja stosowania” audytowanej Organizacji – ocena dotyczy zgodności (poprawności w tym
skuteczności) stosowania zabezpieczeń wskazanych w deklaracji.
Najlepszej jakości dowody auditowe uzyskuje się poprzez obserwacje auditora (np. drzwi, które mają być zamknięte, są zamknięte, ludzie
podpisali umowę o zachowaniu poufności, wykaz aktywów istnieje i zawiera zaobserwowane aktywa, ustawienia systemu są odpowied-
nie itp.).
Dowody można zbierać:
- oglądając wyniki działania zabezpieczeń (np. wydruki praw dostępu nadanych ludziom podpisane przez właściwą autoryzowaną osobę,
zapisy z rozwiązywania incydentów, upoważnienia do przetwarzania podpisane przez właściwą autoryzowaną osobę, protokoły ze
spotkań kierownictwa (lub innych) itp.),
- wykonując bezpośrednie (lub powtórne) testowanie zabezpieczeń przez lub z udziałem auditora (np. próba wykonania zadań, które są
określone jako zakazane przez zabezpieczenia, ustalenie, czy oprogramowanie do ochrony przed złośliwym kodem jest zainstalowane i
uaktualniane, czy prawa dostępu są nadawane po sprawdzeniu przez zwierzchnika itp.),
- przeprowadzając wywiady z pracownikami/wykonawcami na temat procesów i zabezpieczeń oraz stwierdzając, czy rzeczywiście są
poprawne.
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 3/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.5 Polityki bezpieczeństwa informacji
A.5.1 Kierunki bezpieczeństwa informacji określane przez kierownictwo
Polityki bezpieczeństwa
A.5.1.1
informacji
Przegląd polityk bezpie-
A.5.1.2
czeństwa informacji
A.6 Organizacja bezpieczeństwa informacji
A.6.1 Organizacja wewnętrzna
Role i odpowiedzialność
A.6.1.1 za bezpieczeństwo in-
formacji
Rozdzielanie obowiąz-
A.6.1.2
ków
Kontakt z organami wła-
A.6.1.3
dzy
Kontakt z grupami zain-
A.6.1.4 teresowanych specjali-
stów
Bezpieczeństwo infor-
A.6.1.5 macji w zarządzaniu pro-
jektami
A.6.2 Urządzenia mobilne i telepraca
Polityka stosowania
A.6.2.1
urządzeń mobilnych
Telepraca
A.6.2.2
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 4/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.7.2 Podczas zatrudnienia
Odpowiedzialność kie-
A.7.2.1
rownictwa
Uświadamiania, kształ-
A.7.2.2 cenie i szkolenie z zakre-
su BI
Postępowanie dyscypli-
A.7.2.3
narne
A.7.3 Zakończenie i zmiana zatrudnienia
Zakończenie zatrudnienia
A.7.3.1 lub zmiana zakresu obo-
wiązków.
A.8 Zarządzanie aktywami
A.8.1 Odpowiedzialność za aktywa
Inwentaryzacja aktywów
A.8.1.1
Własność aktywów
A.8.1.2
Postępowanie z akty-
A.8.2.3
wami
A.8.3 Postępowanie z nośnikami
Zarządzanie nośnikami
A.8.3.1
wymiennymi
Wycofywanie nośników
A.8.3.2
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 5/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Przekazywanie nośników
A.8.3.3
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 6/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Używanie uprzywilejo-
A.9.4.4 wanych programów na-
rzędziowych
Kontrola dostępu do ko-
A.9.4.5 dów źródłowych pro-
gramów
A.10 Kryptografia
A.10.1 Zabezpieczenia kryptograficzne
Polityka stosowania za-
A.10.1.1 bezpieczeń kryptogra-
ficznych
Zarządzanie kluczami
A.10.1.2
Bezpieczeństwo okablo-
A.11.2.3
wania
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 7/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Konserwacja sprzętu
A.11.2.4
Wynoszenie aktywów
A.11.2.5
Bezpieczeństwo sprzętu
A.11.2.6
i aktywów poza siedzibą
Bezpieczne zbywanie lub
A.11.2.7 przekazywanie do po-
wtórnego użycia
Pozostawianie sprzętu
A.11.2.8
użytkownika bez opieki
Polityka czystego biurka
A.11.2.9
i czystego ekranu
A.12 Bezpieczeństwo eksploatacji
A.12.1 Procedury eksploatacyjne i odpowiedzialność
Dokumentowanie proce-
A.12.1.1
dury eksploatacyjnych
Zarządzanie zmianami
A.12.1.2
Zarządzanie pojemnością
A.12.1.3
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 8/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Ochrona informacji
A.12.4.2
w dziennikach zdarzeń
Rejestrowanie działań
A.12.4.3 administratorów i opera-
torów
Synchronizacja zegarów
A.12.4.4
Bezpieczeństwo usług
A.13.1.2
sieciowych
Rozdzielanie sieci
A.13.1.3
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 9/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Wiadomości elektronicz-
A.13.2.3 ne
Umowy o zachowaniu
A.13.2.4
poufności
A.14 Pozyskiwanie, rozwój i utrzymanie systemów
A.14.1 Wymagania związane z bezpieczeństwem systemów informacyjnych
Analiza i specyfikacja
A.14.1.1 wymagań bezpieczeń-
stwa informacji
Zabezpieczenia usług apli-
A.14.1.2 kacyjnych w sieciach pu-
blicznych
Ochrona transakcji usług
A.14.1.3
aplikacyjnych
A.14.2 Bezpieczeństwo w procesach rozwoju i wsparcia
Polityka bezpieczeństwa
A.14.2.1
prac rozwojowych
Procedury kontroli zmian
A.14.2.2
w systemach
Przegląd techniczny apli-
A.14.2.3 kacji po zmianach w plat-
formie produkcyjnej
Ograniczenia dotyczące
A.14.2.4 zmian w pakietach opro-
gramowania
Zasady projektowania
A.14.2.5
bezpiecznych systemów
Bezpieczne środowisko
A.14.2.6
rozwojowe
Prace rozwojowe zlecane
A.14.2.7 podmiotom zewnętrz-
nym
Testowanie bezpieczeń-
A.14.2.8
stwa systemu
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 10/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Testy akceptacyjne sys-
A.14.2.9
temów
A.14.3 Dane testowe
Ochrona danych testo-
A.14.3.1 wych
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 11/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Reagowanie na incyden-
A.16.1.5
ty związane z BI
Wyciąganie wniosków
A.16.1.6 z incydentów związanych
z BI
Gromadzenie materiału
A.16.1.7
dowodowego
A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
A.17.1 Ciągłość bezpieczeństwa informacji
Planowanie ciągłości
A.17.1.1 bezpieczeństwa Informa-
cji
Wdrożenie ciągłości
A.17.1.2 bezpieczeństwa Informa-
cji
Weryfikowanie, przegląd
A.17.1.3
i ocena ciągłości BI
A.17.2 Nadmiarowość
Dostępność środków
A.17.2.1
przetwarzania informacji
A.18 Zgodność
A.18.1 Zgodność z wymaganiami prawnymi i umownymi
Określenie stosownych wy-
A.18.1.1 magań prawnych i umow-
nych
Prawa własności intelek-
A.18.1.2
tualnej
A.18.1.3 Ochrona zapisów
Prywatność i ochrona danych
A.18.1.4
identyfikujących osobę
Regulacje dotyczące za-
A.18.1.5 bezpieczeń kryptogra-
ficznych
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 12/12
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.18.2 Przeglądy bezpieczeństwa informacji
Niezależny przegląd bez-
A.18.2.1
pieczeństwa Informacji
Zgodność z politykami
A.18.2.2 bezpieczeństwa i stan-
dardami.
Sprawdzanie zgodności
A.18.2.3
technicznej
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 1
Indeks: Form. 1B/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 1/7
(nazwa organizacji)
Zespół auditorów:
Auditor: ..................................
Auditor: ..................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 1
Indeks: Form. 1B/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 2/7
Nr
Auditowany obszar/proces: Przedstawiciel auditowanego obszaru:
p-tu
(zgodnie z planem): (imię, nazwisko, stanowisko)
planu
Uwaga:
1) Przy ocenie zabezpieczeń należy stosować oznaczenia:
W – zabezpieczenie wyłączone
A – zabezpieczenie nie było audytowane (poza planem auditu)
+ – zabezpieczenie poprawnie określone i wdrożone
Uwagi konieczne do odnotowania w „Ustaleniach z auditu” (Form. 6/PCS-01/QMS
O – obserwacja – wskazanie potencjału do doskonalenia
M – niezgodność mała wymagająca podjęcia działań doskonalących,
D – niezgodność duża wymagająca podjęcia działań doskonalących oraz wskazuje na potrzebę ponownej oceny (auditu specjalnego)
obszaru, w którym została stwierdzona.
2) Przy wypełnianiu kolumn: zabezpieczenie i rodzaj badania należy stosować oznaczenia:
X – wskazuje kwalifikację np. zabezpieczenie techniczne, badanie kontrola wzrokowa
− – nie ma zastosowania
„Zabezpieczenie techniczne”, „Zabezpieczenie organizacyjne” wynika z zastosowanych rozwiązań organizacyjnych (np. regulaminy czy
instrukcje) lub technicznych (np. system alarmowy czy monitoring). Dowody działania zabezpieczeń organizacyjnych można uzy-
skać w wyniku przeglądu zapisów z funkcjonowania zabezpieczeń, wywiadów, obserwacji i „kontroli wzrokowej”. Dowody działania
zabezpieczeń technicznych można uzyskać poprzez testowanie systemu lub zastosowanie wyspecjalizowanych narzędzi (np. opro-
gramowania do audytu systemu informatycznego czy raporty z systemu)
„Testowanie systemu” oznacza bezpośredni przegląd systemów (np. przegląd ustawień lub konfiguracji systemu). Odpowiedzi na pytania
auditora można uzyskać, wykorzystując konsolę systemową albo oceniając wyniki narzędzi testujących. Jeżeli organizacja klienta
wykorzystuje narzędzie komputerowe znane auditorowi, może być ono użyte do wsparcia auditu. Można również przeglądać wyni-
ki oceny wykonanej przez Organizację (lub jej dostawców usług)
„Kontrola wzrokowa” oznacza, że te zabezpieczenia zwykle wymagają kontroli wzrokowej na miejscu w celu oceny ich skuteczności.
Oznacza to, że nie wystarczy przejrzenie odpowiedniej dokumentacji w wersji papierowej lub wywiady – audytor powinien spraw-
dzić zabezpieczenie w miejscu, w którym jest ono zastosowane
3) Dowody z auditu
Podstawą do oceny zgodności jest „Deklaracja stosowania” audytowanej Organizacji – ocena dotyczy zgodności (poprawności w tym
skuteczności) stosowania zabezpieczeń wskazanych w deklaracji.
Najlepszej jakości dowody auditowe uzyskuje się poprzez obserwacje auditora (np. drzwi, które mają być zamknięte, są zamknięte, ludzie
podpisali umowę o zachowaniu poufności, wykaz aktywów istnieje i zawiera zaobserwowane aktywa, ustawienia systemu są odpowied-
nie itp.).
Dowody można zbierać:
- oglądając wyniki działania zabezpieczeń (np. wydruki praw dostępu nadanych ludziom podpisane przez właściwą autoryzowaną osobę,
zapisy z rozwiązywania incydentów, upoważnienia do przetwarzania podpisane przez właściwą autoryzowaną osobę, protokoły ze
spotkań kierownictwa (lub innych) itp.),
- wykonując bezpośrednie (lub powtórne) testowanie zabezpieczeń przez lub z udziałem auditora (np. próba wykonania zadań, które są
określone jako zakazane przez zabezpieczenia, ustalenie, czy oprogramowanie do ochrony przed złośliwym kodem jest zainstalowane i
uaktualniane, czy prawa dostępu są nadawane po sprawdzeniu przez zwierzchnika itp.),
- przeprowadzając wywiady z pracownikami/wykonawcami na temat procesów i zabezpieczeń oraz stwierdzając, czy rzeczywiście są
poprawne.
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 1
Indeks: Form. 1B/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 3/7
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.5 Zabezpieczenia organizacyjne
A.5.1 Polityka bezpieczeństwa in-
formacji
A.5.2 Role i obowiązki w zakresie
bezpieczeństwa informacji
A.5.3 Podział obowiązków
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 1
Indeks: Form. 1B/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 4/7
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.5.20 Uwzględnianie bezpieczeń-
stwa informacji w umowach
z dostawcami
A.5.21 Zarządzanie bezpieczeń-
stwem informacji w łańcu-
chu dostaw ICT
A.5.22 Monitorowanie, przegląd
i zarządzanie zmianami
w usługach dostawców
A.5.23 Bezpieczeństwo informacji
w zakresie korzystania
z usług w chmurze
A.5.24 Planowanie i przygotowanie
zarządzania incydentami
bezpieczeństwa informacji
A.5.25 Ocena i podejmowanie de-
cyzji dotyczących zdarzeń
związanych z bezpieczeń-
stwem informacji
A.5.26 Reagowanie na incydenty
bezpieczeństwa informacji
A.5.27 Wyciąganie wniosków z in-
cydentów bezpieczeństwa
informacji
A.5.28 Gromadzenie dowodów
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 1
Indeks: Form. 1B/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 5/7
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.5.36 Zgodność z polityką, przepi-
sami i normami dotyczącymi
bezpieczeństwa informacji
A.5.37 Udokumentowane procedu-
ry operacyjne
A.6 Zabezpieczenia osób
A.6.1 Postępowanie sprawdzające
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 1
Indeks: Form. 1B/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 6/7
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.7.10 Nośniki danych
A.7.11 Obsługa mediów
A.7.12 Zabezpieczenie okablowa-
nia
A.7.13 Konserwacja sprzętu
A.7.14 Bezpieczne usuwanie lub
ponowne wykorzystywanie
sprzętu
A.8 Zabezpieczenia technologiczne
A.8.1 Urządzenia punktów koń-
cowych użytkowników
A.8.2 Uprzywilejowane prawa do-
stępu
A.8.3 Ograniczenie dostępu do in-
formacji
A.8.4 Dostęp do kodu źródłowe-
go
A.8.5 Bezpieczne uwierzytelnia-
nie
A.8.6 Zarządzanie pojemnością
A.8.7 Ochrona przed złośliwym
oprogramowaniem
A.8.8 Zarządzanie podatnościami
technicznymi
A.8.9 Zarządzanie konfiguracją
A.8.10 Usuwanie informacji
A.8.11 Maskowanie danych
A.8.12 Zapobieganie wyciekom
danych
A.8.13 Tworzenie kopii zapaso-
wych informacji
A.8.14 Redundancja urządzeń
przetwarzających informa-
cje
A.8.15 Rejestrowanie danych
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 1
Indeks: Form. 1B/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 7/7
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.8.17 Synchronizacja zegara
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 1/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
NR NC - /
0 Spis treści
1 Wprowadzenie
2 Cele i zakres auditu
3 Poufność
4 Zakres certyfikacji
5 Ocena systemu zarządzania
6 Wniosek i rekomendacje
7 Załączniki
8 Rozdzielnik
1
Stosowane w treści raportu przywołanie normy ISO, np. ISO 9001 oznacza zarówno normę ISO 9001 jak i polską normę PN-EN ISO 9001.
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 2/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
1 Wprowadzenie
Audit został przeprowadzony zgodnie z dokumentami Biura Certyfikacji Systemów Zarządzania PRS S.A., w tym m.in.:
Zasadami certyfikacji (patrz strona internetowa www.prs.pl) oraz procedurami certyfikacji systemu zarządzania
PCS-01, na zasadzie próbkowania działań Organizacji związanych z zakresem certyfikacji i zakresem auditu.
Nie stwierdzenie niezgodności z wymaganiami kryteriów auditu nie oznacza, że niezgodności nie występują.
Niniejszy raport zawiera wyniki auditu przeprowadzonego w Organizacji:
Nazwa Organizacji:
Adres:
Przedstawiciel Organizacji:
⎯⎯⎯⎯⎯⎯⎯⎯⎯ - auditor
Auditory zewnętrzni
/Obserwator Polskiego Centrum Akredytacji: ⎯⎯⎯⎯⎯⎯⎯⎯⎯
3 Poufność
Wszelkie informacje uzyskane podczas auditu i wyniki auditu nie będą ujawnione stronie trzeciej bez zgody
auditowanej Organizacji. Niniejszy Raport z auditu i związane z nim dokumenty mogą być przedstawione Jednostce
Akredytującej w trakcie okresowych auditów w Biurze Certyfikacji Systemów Zarządzania PRS S.A. Jednostka
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 3/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Akredytująca jest również zobowiązana do zachowania poufności. Po wydaniu certyfikatu nazwa certyfikowanej
organizacji, jej adres i zakres certyfikacji mogą zostać opublikowane.
4 Zakres certyfikacji
4.1. Zakres certyfikowanej działalności
Wymagania normy ISO 9001: 2015, które nie mają zastosowania: …………………………………………………..
Wyłączenia wymagań normy ISO 13485: ……………………………….
Wyłączenia Załącznika A ISO/IEC 27001: ……………………………
Wymagania normy IATF 16949, które nie mają zastosowania: ..............................
Wymagania normy ISO 37001:2016, które nie mają zastosowania: …………………………………………………..
Uzasadnienie: niezastosowanie wymagań/wyłączenia jest/są uzasadnione specyfiką działania Organi-
zacji.
Wymaganie w Systemie Zarządzania Energią – ISO 50001: Przywołany powyżej zakres systemu zarządza-
nia energią obejmuje następujące rodzaje energii: …………………………………………………………. (Dotyczy auditu
SZE: biorąc pod uwagę, że zgodnie z normą ISO 50003 oraz ISO 50001:2018 pkt. 4.3 organizacja nie może
wyłączyć jakiegokolwiek rodzaju energii w tym miejscu powinny znaleźć się informacje o stosowanych
przez Organizację rodzajach energii np. energia elektryczna, olej opałowy, węgiel, koks itp.)
Audit był przeprowadzony w siedzibie głównej. Organizacja nie posiada oddziałów i innych lokalizacji.
Audit był przeprowadzony w siedzibie głównej oraz w lokalizacjach przywołanych w informacji dotyczącej organi-
zacji, zgodnie z Planem auditu.
Audit był przeprowadzony w siedzibie głównej oraz w oddziałach przywołanych w informacji dotyczącej organiza-
cji, zgodnie z Planem auditu.
Audit był przeprowadzony w siedzibie głównej oraz w miejscach realizacji usług dla klienta, zgodnie z Planem au-
ditu.
Uwaga: należy wybrać zdanie i/ lub dostosować do danego auditu.
5.1. Ocena realizacji powołania zespołu auditorów na audit oraz planu auditu
Warunki wykonania auditu określone w powołaniu zespołu auditorów na audit zostały spełnione (jeżeli nie to
proszę wyjaśnić dlaczego, np. zmiana terminu). Uzgodniony plan auditu został zrealizowany w pełni.
W czasie wykonywania auditu, w planie auditu nie nastąpiły istotne zmiany/ nastąpiły następujące zmiany,
uzgodnione z Organizacją. Zmiany zostały wprowadzone z powodu:……………
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 4/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
5.4. Ocena wyników funkcjonowania systemu zarządzania w auditach aktualnego cyklu certyfikacji
(tylko dla ponownej certyfikacji, oceniamy cykl C2 lub Ox oraz Py i Pz)
Ocena nie ma zastosowania w tym audicie.
W ostatnim cyklu certyfikacji stwierdzono:
audit P..: .. niezgodności; ..obserwacji;
audit P..: .. niezgodności; ..obserwacji;
audit O..: .. niezgodności; ..obserwacji.
Na podstawie oceny wyników auditów z ostatniego cyklu certyfikacji stwierdzono że system zarządzania Organi-
zacji działa zgodnie z wymaganiami normy/norm odniesienia. Stwierdzone w tym okresie niezgodności stanowiły
podstawę do doskonalenia systemu zarządzania Organizacji. Wyniki funkcjonowania systemu zarządzania w cyklu
certyfikacji pokazują że Organizacja stosuje skuteczny system zarządzania.
Dotyczy tylko ABMS: W 3- letnim cyklu certyfikacji nie stwierdzono żadnego przypadku korupcji w realizowanych
transakcjach, projektach, działaniach, a także w relacjach z partnerami biznesowymi oraz z personelem lub wpisać
liczbę przypadków korupcji oraz ich trend.
5.5. Ocena skuteczności systemu zarządzania, w tym ocena zdolności do realizacji ustanowionej
polityki i osiągania celów
System zarządzania Organizacji działa skutecznie, realizuje założone cele oraz zapewnia realizację założonej poli-
tyki/polityk. Dla zwiększenia skuteczności systemu zarządzania podejmowano liczne działania doskonalące.
Dowodem na to jest osiągnięcie zaplanowanych celów określonych w …………………………………
5.7. Ocena poziomu integracji systemu zarządzania organizacji (ma zastosowanie wyłącznie dla zintegrowa-
nych systemów zarządzania)
Określony poziom integracji systemu zarządzania organizacji w ramach przeglądu wniosku jest określony właści-
wie. W przypadku rozszerzonego podejścia: Wyniki sesji planowania są zgodne z rzeczywistością.
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 5/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Nr
WYMAGANIA NORMY Numer niezgodności/obserwacji,
punktu Ocena
ISO/IEC 27001 uwagi
normy
4 Kontekst Organizacji
5 Przywództwo
5.2 Polityka
6 Planowanie
7 Wsparcie
7.1 Zasoby
7.2 Kompetencje
7.3 Uświadamianie
7.4 Komunikacja
8 Eksploatacja
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 6/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Nr
WYMAGANIA NORMY Numer niezgodności/obserwacji,
punktu Ocena
ISO/IEC 27001 uwagi
normy
9.3 Przegląd zarządzania
10 Doskonalenie
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.5 Polityki bezpieczeństwa informacji
A.6.2.2 Telepraca
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 7/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.8.2 Klasyfikacja informacji
A.10 Kryptografia
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 8/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.11.2 Sprzęt
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 9/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.13.2.2 Porozumienia dotyczące przesyłania informacji
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 10/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
A.17.2 Nadmiarowość
A.18 Zgodność
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.5 Zabezpieczenia organizacyjne
A.5.1 Polityka BI
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 11/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.5.17 Informacje uwierzytelniające
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 12/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.7.9 Ochrona zasobów poza siedzibą firmy
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 13/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.8.33 Informacje o testach
6 Wnioski i rekomendacje
6.1. Wnioski ogólne:
Audit dostarczył dowodów, że System Zarządzania Organizacji jest wdrożony/utrzymywany
i doskonalony, zgodnie z wymaganiami normy/norm odniesienia oraz innymi mającymi zastosowa-
nie wymaganiami, z wyjątkiem obszarów, w których stwierdzono niezgodności. W audicie nie
stwierdzono niezgodności. Zapisane w Ustaleniach z auditu obserwacje wskazują potencjalne ob-
szary do doskonalenia systemu zarządzania. (należy dostosować w zależności od wyniku auditu).
6.2. Silne strony Organizacji:
• ..................
• ..................
• ..................
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 14/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
Wydać certyfikat:
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Dokumenty certyfikacyjne w programie ISMS
www.prs.pl 10
Kompetencje Auditorów ISMS
Norma ISO/IEC 27006:2020 wymaga od auditorów:
a) ma wykształcenie zawodowe lub przeszedł szkolenie na poziomie równoważnym wykształceniu wyższemu,
b) co najmniej 4 lata pracował na pełnym etacie w instytucjach zajmujących się techniką informatyczną
z czego co najmniej 2 lata pełnił (wykonywał) funkcje związane z BI,
c) ukończyli 5 dniowe szkolenie, którego zakres obejmował audyt SZBI i zarzadzanie audytem,
d) ma doświadczenie w zakresie całego procesu oceny BI uzyskane poprzez udział
w co najmniej 1 dwuetapowy audit początkowej certyfikacji SZBI oraz minimum 1 audit nadzoru; czas
przeprowadzenia auditów (na miejscu) wynosi 10 audito-dni (realizacja stażu nie może przekroczyć 5 lat);
udział w audicie powinien obejmować przegląd dokumentacji i analizę (szacowanie ryzyka), ocenę
wdrożenia, kwestionariusz i raport z auditu,
e) ma odpowiednie doświadczenie
f) na bieżąco uaktualnia swoją wiedzę i umiejętności w zakresie BI i prowadzenia auditu.
www.prs.pl 11
Kompetencje Auditorów ISMS
1. Wymagania ogólne
Jednostka certyfikująca powinna zapewnić kryteria weryfikacji profesjonalnego
doświadczenia, specjalistycznych szkoleń lub instruktaży członków zespołu auditującego,
które gwarantują co najmniej:
a) wiedzę w zakresie BI,
b) wiedzę techniczną na temat działalności będącej przedmiotem auditu,
c) wiedzę na temat systemów zarzadzania,
d) wiedzę w zakresie auditowania (ISO 19011; ISO/IEC 27007),
e) wiedzę na temat monitorowania, pomiarów analizy i oceny SZBI (ISO/IEC 27002).
www.prs.pl 12
Kompetencje Auditorów ISMS
2. Terminologia, zasady, praktyki i techniki dot. ZBI
Wszyscy członkowie zespołu auditujacego powinni mieć wiedzę
w zakresie:
a) struktury, hierarchii i wzajemnego powiązania pomiędzy dokumentami specyficznymi dla
SZBI,
b) narzędzi, metod i technik ZBI oraz ich zastosowania (ISO/IEC 27004),
c) szacowania ryzyka w BI i zarzadzania ryzykiem (ISO 31000; ISO/IEC 27005),
d) procesów mających zastosowanie w SZBI (ISO/IEC 27003),
e) aktualnego stanu techniki, który może mieć związek z BI lub może stanowić dla niego
istotne zagadnienie.
www.prs.pl 13
Edycja nr: 8A
Indeks: Form. 7/PCS-01/QMS Strona: 15/15
Data edycji: 2023-02-27
RAPORT Z AUDITU
6.7.7 Organizacja jest zobowiązana do informowania Biura Certyfikacji Systemów Zarządzania PRS S.A.
o znaczących zmianach w systemie zarządzania, w szczególności do przesyłania aktualnych wymaganych
dokumentów systemu zarządzania (np. Księgi Jakości).
7 Załączniki
Program auditów Form. 3/PCS-01/QMS (plik doc),
Plan auditu Form. 4/PCS-01/QMS (plik pdf),
Kwestionariusz auditu Form. 5/PCS-01/QMS (plik pdf - x plików),
(pliki kwestionariuszy oznaczone są inicjałami audytorów, np. kwestiona-
riusz_NC_XXXXp3_INi.pdf)
Kwestionariusz z auditu ISMS Form. 1/PCS/ISMS (plik pdf - x plików),
(pliki kwestionariuszy oznaczone są inicjałami audytorów, np. kwestiona-
riusz_NC_XXXXp3_ISMS_INi.pdf).
Załącznik 1 do kwestionariusza auditu Zał. 1 Form. 5/PCS-01/QMS (plik pdf),
Ustalenia z auditu Form. 6/PCS-01/QMS (plik pdf i kopia papierowa przekazana Organizacji w
trakcie auditu),
8 Rozdzielnik
Raport z auditu otrzymuje Organizacja (plik w formacie PDF) bez Kwestionariusza auditu oraz Programu auditów).
Raport jest własnością Biura Certyfikacji Systemów Zarządzania PRS S.A.
Uwagi:
1 Do niniejszego Raportu i/lub przebiegu auditu przysługuje Organizacji prawo zgłaszania uwag. Brak zgło-
szenia uwag, w terminie 10 dni od otrzymania raportu, uznane będzie za przyjęcie treści Raportu.
2 Sformułowania w rekomendacji typu „wydać certyfikat” są równorzędne pojęciu „udzielić certyfikacji”.
Uwaga dla auditora (do usunięcia): z formularza można usuwać tylko treści oznaczone kolorem zielonym. Treści
oznaczone kolorem niebieskim należy dopasować do aktualnego auditu. Opracowany raport ma zawierać wyłącz-
nie czarne czcionki (Crt + Alt + czarna czcionka) !!!
2
dokument jest autoryzowany przez auditora wiodącego w formie wpisu imienia i nazwiska.
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Kompetencje Auditorów ISMS
3. Normy i dokumenty normatywne dot. SZBI
Auditorzy zaangażowani do auditowania SZBI powinni mieć wiedzę
w zakresie:
a) wszystkich wymagań zamieszczonych w ISO/IEC 27001,
b) wszystkich zabezpieczeń podanych w ISO/IEC 27002 (i jeśli uznano to za konieczne,
również w normach dotyczących danego sektora oraz ich wdrożenia).
www.prs.pl 14
Kompetencje Auditorów ISMS
4. Zasady zarządzania działalnością biznesową
Auditorzy zaangażowani w auditowania SZBI powinni mieć wiedzę
w zakresie:
a) dobrych praktyk BI w różnych sektorach i procedur BI,
b) polityki i wymagań biznesowych dot. BI,
c) ogólnych koncepcji zarzadzania działalnością biznesową, zasad
i wewnętrznych zależności między polityką, celami i wynikami,
d) procesów zarządzania i związanej z nimi terminologii.
Uwaga:
Powyższe obejmuje również zarzadzanie zasobami ludzkimi, wewnętrzną i zewnętrzną komunikację oraz inne odpowiednie procesy
www.prs.pl 15
Kompetencje Auditorów ISMS
5. Sektor działalności biznesowej Organizacji
Auditorzy zaangażowani w auditowanie SZBI powinni mieć wiedzę
w zakresie:
a) wymagań prawnych i regulacyjnych dot. poszczególnych obszarów BI, geograficznych i
prawodawstwa,
(nie implikuje to wszechstronnego wykształcenia prawniczego)
b) ryzyka BI w odniesieniu do całego sektora biznesowego,
c) ogólnej terminologii, procesów i technologii związanych
z sektorem biznesowym Organizacji,
d) zasad istotnych w tym sektorze biznesowym.
www.prs.pl 16
DZIĘKUJĘ ZA UWAGĘ!
THANK YOU FOR YOUR ATTENTION
Michał Gałecki
Telefon: +48 605228910, e-mail: Michal.Galecki@prs.pl
www.prs.pl