Nowe Rodzina 27XXX

Certyfikacja ISMS
2023-03-23; MSTeams
Michał Gałecki
Auditor Wiodący
www.prs.pl
Program certyfikacji ISMS
Program certyfikacji ISMS to:
- Zasady certyfikacji
- PCS-02 – kompetencje auditorów
- PCS-03 – przegląd wniosku i określenie czasu trwania auditu
- PCS-01/QMS łącznie z PCS-01/ISMS – zasady postępowania przy ocenie zgodności SZBI Organizacji z
wymaganiami normy ISO/IEC 27001
PN-EN ISO/IEC 27001:2017-06 (wyd. 2018-01-10) - Technika informatyczna -- Techniki bezpieczeństwa --
Systemy zarządzania bezpieczeństwem informacji – Wymagania
(wprowadza: EN ISO/IEC 27001:2017 [IDT], ISO/IEC 27001:2013/Cor 2:2015 [IDT], ISO/IEC 27001:2013/Cor 1:2014
[IDT], ISO/IEC 27001:2013 [IDT)
ISO/IEC 27001:2022-10 (wyd. 2022-10-25) - Information security, cybersecurity and privacy protection —
Information security management systems — Requirements
www.prs.pl 2
Wymagania norm dot. certyfikacji ISMS
 Wymagania dotyczące SZBI (normy serii ISO/IEC 27000)
PN-EN ISO/IEC 27001:2017-06 - Technika informatyczna -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji
-- Wymagania <wydanie 2018-01-10>
ISO/IEC 27001:2022-10 - Information security, cybersecurity and privacy protection — Information security management systems —
Requirements <wyd. 2022-10-25>
 Wymagania dotyczące oceny zgodności (ISO/IEC 17021):
PN-EN ISO/IEC 17021-1:2015-09 (E) - Ocena zgodności -- Wymagania dla jednostek prowadzących audity i certyfikację systemów
zarządzania -- Część 1: Wymagania <wydanie 2015-09-23>
PN-EN ISO/IEC 17000:2020-12 (E) – Ocena zgodności –Terminologia i ogólne zasady <wydanie: 2020-12-14>
PN-EN ISO/IEC 27006:2021-05 (E) - Technika informatyczna -- Techniki bezpieczeństwa -- Wymagania dla jednostek prowadzących
audyt i certyfikacje systemów zarządzania bezpieczeństwem informacji <wydanie: 2021-05-12>
 Wymagania dotyczące auditowania
PN-EN ISO 19011:2018-08 (E) - Wytyczne dotyczące auditowania systemów zarządzania <wydanie 2019-10-08>
PN-EN ISO/IEC 27007:2022-06 (E) - Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności -- Wytyczne dotyczące
audytu systemów zarządzania bezpieczeństwem informacji <wydanie 2022-06-13>
 Wymagania branżowe w tym wymagania prawne
www.prs.pl 3
ISO/IEC 27001
Terminologia PN-EN ISO/IEC 27000:2020-07 (E)

Przegląd i terminologia (2020-07-21)
Zapewnia podstawę, terminy i definicje możliwe do stosowania w rodzinie norm SZBI

Wymagania
ogólne
ISO/IEC 27001:2022-10 (E) PN-EN ISO/IEC 27006:2021-05 (E)

Wymagania (2022-10-25) Wymagania dot. jednostek certyfikujących (2021-05-12)
PN-EN ISO/IEC 27002:2023-01 (E) PN-EN ISO/IEC 27007:2022-06 (E)

Praktyczne zasady (2023-01-23) Wytyczne do audytu (2022-06-13)
Wytyczne ogólne
ISO/IEC 27003:2017 PN-ISO 31000:2018-08 (E)

Wytyczne do wdrożenia Zarządzanie ryzykiem (2018-08-28)
(2017-04-12) ISO 31000:2018 (2018-02-14)
PN-ISO/IEC 27004:2017-07 (E)

Monitorowanie, pomiary, analiza i ocena (2017-07-25)
ISO/IEC 27011:2016
specjalistyczne
dla systemów
Firmy telekomunikacyjne (12.2016)

Wytyczne
PN-EN ISO/IEC 27799:2016-10(P) ISO/IEC 27019:2017

Organizacje ochrony zdrowia PN-ISO 27013:2014-01 ISO/IEC 27002 for process
(13.12.2018) ISO/IEC 27013:2021 control systems specific to the
Wytyczne zintegrowanego wdrożenia energy utility industry (10.2017)
ISO/IEC 27001 z ISO/IEC 20000-1 (11.2021)
ISO/IEC 27001
ISO/IEC 27000:2018 Information technology — Security

techniques — Information security management systems —
Overview and vocabulary (2018-02-07)
PN-EN ISO/IEC 27000:2020-07 - wersja angielska (2020-07-21)
Technika informatyczna -- Techniki bezpieczeństwa -- Systemy
zarządzania bezpieczeństwem informacji -- Przegląd i terminologia
ISO/IEC 27001:2022 Information security, cybersecurity and

privacy protection — Information security management systems
— Requirements (2022-10-25)
Technika informatyczna -- Techniki bezpieczeństwa -- Systemy
zarządzania bezpieczeństwem informacji -- Wymagania
ISO/IEC 27001
SO/IEC 27002:2022 Information security, cybersecurity and

privacy protection — Information security controls (2022-02-15)
Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona
prywatności -- Zabezpieczanie informacji

techniques — Information security management systems —
Guidance (2017-04-12)
PN - brak
ISO/IEC 27001

techniques — Information security management — Monitoring,
measurement, analysis and evaluation (2016-12-15)
PN-ISO/IEC 27004:2017-07 - wersja angielska (2017-07-25)
Technika informatyczna -- Techniki bezpieczeństwa -- Zarządzanie
bezpieczeństwem informacji -- Monitorowanie, pomiary, analiza i
ocena
ISO/IEC 27005:2022 Information security, cybersecurity and

privacy protection — Guidance on managing information security
risks (2022-10-25)
PN-ISO/IEC 27005:2014-01 - wersja polska (2014-01-22)
ryzykiem w bezpieczeństwie informacji (wycofana 2021-10-12)
ISO/IEC 27001

techniques — Requirements for bodies providing audit and
certification of information security management systems
(2015-09-30)
ISO/IEC 27006:2015/Amd 1:2020 Information technology —
Security techniques — Requirements for bodies providing audit
and certification of information security management systems —
Amendment 1 (2020-03-27)
PN-ISO/IEC 27006:2021-05 - wersja angielska (2021-05-12)
Technika informatyczna -- Techniki bezpieczeństwa -- Wymagania
dla jednostek prowadzących audyt i certyfikację systemów
zarządzania bezpieczeństwem informacji
PN-ISO/IEC 27006:2016-12 - wersja polska (2016-12-08) Technika
informatyczna -- Techniki bezpieczeństwa -- Wymagania dla
jednostek prowadzących audyt i certyfikację systemów
zarządzania bezpieczeństwem informacji
ISO/IEC 27001
ISO/IEC 27007:2020 Information security, cybersecurity and privacy

protection — Guidelines for information security management systems
auditing (2020-01-21)
PN-EN ISO 27007:2022-06 - wersja angielska (2022-06-13)
Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności
-- Wytyczne dotyczące audytu systemów zarządzania bezpieczeństwem
informacji
ISO/IEC 27011:2016 Information technology — Security techniques —

Code of practice for Information security controls based on ISO/IEC
27002 for telecommunications organizations (2016-11-23)
Technika informatyczna -- Techniki bezpieczeństwa -- Kodeks
postępowania w zakresie kontroli bezpieczeństwa informacji oparty na
ISO/IEC 27002 dla organizacji telekomunikacyjnych
ISO/IEC 27001
ISO/IEC 27007:2020 Information security, cybersecurity and privacy

protection — Guidelines for information security management systems
auditing (2020-01-21)
PN-EN ISO 27007:2022-06 - wersja angielska (2022-06-13)
Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności
-- Wytyczne dotyczące audytu systemów zarządzania bezpieczeństwem
informacji
Code of practice for Information security controls based on ISO/IEC
27002 for telecommunications organizations (2016-11-23)
ISO/IEC 27011:2016/Cor 1:2018 Information technology — Security
techniques — Code of practice for Information security controls based
on ISO/IEC 27002 for telecommunications organizations — Technical
Corrigendum 1 (2018-08-29)
Technika informatyczna -- Techniki bezpieczeństwa -- Kodeks
postępowania w zakresie kontroli bezpieczeństwa informacji oparty na
ISO/IEC 27002 dla organizacji telekomunikacyjnych
ISO/IEC 27001
ISO/IEC 27013:2021 Information security, cybersecurity and privacy protection

— Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC
20000-1 (2021-11-25)
ISO/IEC 27013:2021/CD Amd 1 Information security, cybersecurity and privacy
protection — Guidance on the integrated implementation of ISO/IEC 27001 and
ISO/IEC 20000-1 — Amendment 1 (prace 2023-03-08)
PN-ISO/IEC 27013:2014-01 - wersja polska (2014-01-20) - wycofana

Information security controls for the energy utility industry (2017-11-01)
ISO/IEC 27019:2017/CD Cor 1 Information technology — Security techniques —
Information security controls for the energy utility industry — Technical
Corrigendum 1 (2019-07-09 – usunięto)
ISO/IEC CD 27019 Revision of Information technology — Security techniques —
Information security controls for the energy utility industry (rozpoczęto prace
2023-01-11)
bezpieczeństwem informacji w branży energetycznej
ISO/IEC 27001
ISO 27799:2016 Health informatics — Information security

management in health using ISO/IEC 27002 (2016-07-01)
ISO/AWI 27799 Health informatics — Information security
management in health using ISO/IEC 27002 (w opracowaniu od
2022-02-16)
PN-EN ISO 27799:2016-10 - wersja polska (2018-12-13)
Informatyka w ochronie zdrowia -- Zarządzanie bezpieczeństwem
informacji w ochronie zdrowia z wykorzystaniem ISO/IEC 27002
ISO 31000:2018 Risk management — Guidelines (2018-02-14)

PN-ISO 31000:2018-08 - wersja angielska (2018-08-28)
Zarządzanie ryzykiem -- Wytyczne
Wymagania dot. akredytacji
• Wymagania akredytacyjne:
- DACS-01 (wyd. 11 z 2022-11-28) – AKREDYTACJA JEDNOSTEK CERTYFIKUJĄCYCH SYSTEMY ZARZĄDZANIA
Lista wymagań DACS-01 (wyd.4 z 2021-12-10) – Lista wymagań akredytacyjnych dla jednostek certyfikujących systemy
zarządzania
Załącznik nr 1 do DACS-01 (wyd. 9 z 2022-02-04) – Podział działalności gospodarczej na klastry
Komunikat nr 384 z 2022-12-02 – w sprawie akredytacji jednostek certyfikujących SZBI w odniesieniu do wymagań normy
ISO/IEC 27001:2022
Komunikat nr 397 z 2023-03-20 w sprawie akredytacji jednostek certyfikujących SZBI w odniesieniu do wymagań normy
ISO/IEC 27001:2022
- IAF MD1:2018 (wyd. 2 z 2018-01-29) - Dokument obowiązkowy IAF dotyczący auditu i certyfikacji systemów zarządzania
organizacji wielooddziałowych
- IAF MD2:2017 (wyd. 2 z 2017-06-15) - Dokument obowiązkowy IAF dotyczący przenoszenia akredytowanej certyfikacji
systemów zarządzania
- IAF MD4:2018 (wyd. 2 z 2018-07-04) - Dokument obowiązkowy IAF dotyczący stosowania technologii informacyjno-
komunikacyjnych do celów prowadzenia auditów/ocen
- IAF MD11:2013 (wyd. 1 wer. 2 z 2013-06-25) - Dokument obowiązkowy IAF dotyczący zastosowania normy ISO/IEC 17021 w
auditach zintegrowanych systemów zarządzania
- IAF MD23:2018 (wyd. 1 z 2018-05-08) - Dokument obowiązkowy IAF Nadzór nad podmiotami działającymi w imieniu
akredytowanych jednostek certyfikujących systemy zarządzania
- IAF MD26:2023 (wyd. 2 z 2023-02-15) Wymagania dotyczące przejścia na ISO/IEC 27001:2022
www.prs.pl 4
Zmiany w ISO/IEC 27001:2022
1. Główne zmiany:
•Zmiana tytułu:
ISO/IEC 27001:2013
Information technology — Security techniques — Information security management systems — Requirements.
PN-EN-ISO/IEC 27001:2017-06
Technika informatyczna -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji – Wymagania
•ISO/IEC 27001:2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements
Tytuł polski (norma jeszcze nie ma wydania polskiego) – określony na podstawie PN-EN ISO/IEC 27002:2023-01
Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – System zarządzania bezpieczeństwem informacji
- Wymagania
www.prs.pl 5
1. Główne zmiany:
Załącznik A:
•
odnosi się do zabezpieczeń i zawiera informacje o nazwach kategorii zabezpieczeń i samych zabezpieczeniach, a także cele
dla tych zabezpieczeń
W porównaniu z poprzednim wydaniem,

liczba zabezpieczeń w ISO/IEC 27002:2022 uległa zmniejszeniu
ze 114 zabezpieczeń w 14 rozdziałach do 93 zabezpieczeń w 4 rozdziałach.
Jeśli chodzi o zabezpieczenia w ISO/IEC 27002:2022 to:
11 z nich to nowe zabezpieczenia,
24 powstały w wyniku połączenia dotychczasowych zabezpieczeń,
58 zabezpieczeń zostało zaktualizowanych.
Znowelizowano także strukturę zabezpieczeń poprzez
wprowadzenie „atrybutu” i „celu” dla każdego zabezpieczenia, zaprzestano stosowania „celów” dla grup zabezpieczeń.
www.prs.pl 6
ISO/IEC ISO/IEC
27002:2022 27002:2013 Nazwa zabezpieczenia
Lp. Identyfikator Identyfikator
1. 5.1 05.1.1, 05.1.2 Polityka w zakresie bezpieczeństwa informacji
2. 5.2 06.1.1 Role i obowiązki w zakresie bezpieczeństwa informacji
3. 5.3 06.1.2 Podział obowiązków
4. 5.4 07.2.1 Obowiązki w zakresie zarządzania
5. 5.5 06.1.3 Kontakt z władzami
6. 5.6 06.1.4 Kontakt z grupami szczególnego zainteresowania
7. 5.7 Nowy Wywiad o zagrożeniach
8. 5.8 06.1.5, 14.1.1 Bezpieczeństwo informacji w zarządzaniu projektami
9. 5.9 08.1.1, 08.1.2 Inwentaryzacja informacji i innych powiązanych aktywów
10. 5.10 08.1.3, 08.2.3 Akceptowalne wykorzystanie informacji i innych powiązanych aktywów
11. 5.11 08.1.4 Zwrot aktywów
12. 5.12 08.2.1 Klasyfikacja informacji
13. 5.13 08.2.2 Oznaczanie informacji
14. 5.14 13.2.1, 13.2.2, 13.2.3 Przekazywanie informacji
15. 5.15 09.1.1, 09.1.2 Kontrola dostępu

16. 5.16 09.2.1 Zarządzanie tożsamością
17. 5.17 09.2.4, 09.3.1, 09.4.3 Informacje dotyczące uwierzytelniania
18. 5.18 09.2.2, 09.2.5, 09.2.6 Prawa dostępu
19. 5.19 15.1.1 Bezpieczeństwo informacji w relacjach z dostawcami

20. 5.20 15.1.2 Uwzględnianie bezpieczeństwa informacji w umowach z dostawcami
21. 5.21 15.1.3 Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT
22. 5.22 15.2.1, 15.2.2 Monitorowanie, przegląd i zarządzanie zmianami w usługach dostawców
23. 5.23 Nowy Bezpieczeństwo informacji przy korzystaniu z usług w chmurze
24. 5.24 16.1.1 Planowanie i przygotowanie zarządzania zdarzeniami związanymi z bezpieczeństwem
informacji
25. 5.25 16.1.4 Ocena i podejmowanie decyzji dotyczących zdarzeń związanych z bezpieczeństwem
informacji
26. 5.26 16.1.5 Reagowanie na incydenty związane z bezpieczeństwem informacji
27. 5.27 16.1.6 Wyciąganie wniosków z incydentów bezpieczeństwa informacji
28. 5.28 16.1.7 Gromadzenie dowodów
29. 5.29 17.1.1, 17.1.2, 17.1.3 Bezpieczeństwo informacji podczas zakłóceń
30. 5.30 Nowy Gotowość ICT do zapewnienia ciągłości działania
31. 5.31 18.1.1, 18.1.5 Wymagania prawne, ustawowe, wykonawcze i umowne
32. 5.32 18.1.2 Prawa własności intelektualnej
33. 5.33 18.1.3 Ochrona dokumentacji
34. 5.34 18.1.4 Prywatność i ochrona informacji osobistych
35. 5.35 18.2.1 Niezależny przegląd bezpieczeństwa informacji
36. 5.36 18.2.2, 18.2.3 Zgodność z polityką, zasadami i normami dotyczącymi bezpieczeństwa informacji
37. 5.37 12.1.1 Udokumentowane procedury operacyjne
ISO/IEC ISO/IEC
38. 6.1 07.1.1 Sprawdzanie
39. 6.2 07.1.2 Warunki zatrudnienia
40. 6.3 07.2.2 Świadomość, edukacja i szkolenie w zakresie bezpieczeństwa informacji
41. 6.4 07.2.3 Proces dyscyplinarny
42. 6.5 07.3.1 Obowiązki po rozwiązaniu lub zmianie zatrudnienia
43. 6.6 13.2.4 Umowy o poufności lub nieujawnianiu informacji
44. 6.7 06.2.2 Praca zdalna
45. 6.8 16.1.2, 16.1.3 Zgłaszanie zdarzeń dotyczących bezpieczeństwa informacji
46. 7.1 11.1.1 Granice bezpieczeństwa fizycznego
47. 7.2 11.1.2, 11.1.6 Fizyczne wejście
48. 7.3 11.1.3 Zabezpieczanie biur, pomieszczeń i obiektów
49. 7.4 Nowy Monitorowanie bezpieczeństwa fizycznego
50. 7.5 11.1.4 Ochrona przed zagrożeniami fizycznymi i środowiskowymi
51. 7.6 11.1.5 Praca w bezpiecznych miejscach
52. 7.7 11.2.9 Czyste biurko i czysty ekran
53. 7.8 11.2.1 Rozmieszczenie i ochrona sprzętu
54. 7.9 11.2.6 Bezpieczeństwo aktywów poza siedzibą firmy
55. 7.10 08.3.1, 08.3.2, 08.3.3, Nośniki danych
11.2.5
56. 7.11 11.2.2 Narzędzia pomocnicze
57. 7.12 11.2.3 Bezpieczeństwo okablowania
58. 7.13 11.2.4 Konserwacja sprzętu
59. 7.14 11.2.7 Bezpieczna utylizacja lub ponowne wykorzystanie sprzętu
60. 8.1 06.2.1, 11.2.8 Urządzenia punktów końcowych użytkowników
61. 8.2 09.2.3 Uprzywilejowane prawa dostępu
62. 8.3 09.4.1 Ograniczenie dostępu do informacji
63. 8.4 09.4.5 Dostęp do kodu źródłowego
64. 8.5 09.4.2 Bezpieczne uwierzytelnianie
65. 8.6 12.1.3 Zarządzanie pojemnością
66. 8.7 12.2.1 Ochrona przed złośliwym oprogramowaniem
67. 8.8 12.6.1, 18.2.3 Zarządzanie podatnościami technicznymi
68. 8.9 Nowy Zarządzanie konfiguracją
69. 8.10 Nowy Usuwanie informacji
70. 8.11 Nowy Maskowanie danych
71. 8.12 Nowy Zapobieganie wyciekom danych
72. 8.13 12.3.1 Tworzenie kopii zapasowych informacji
73. 8.14 17.2.1 Nadmiarowość urządzeń do przetwarzania informacji
74. 8.15 12.4.1, 12.4.2, 12.4.3 Rejestrowanie
75. 8.16 Nowy Monitorowanie

ISO/IEC ISO/IEC
76. 8.17 12.4.4 Synchronizacja zegara
77. 8.18 09.4.4 Korzystanie z uprzywilejowanych programów użytkowych
78. 8.19 12.5.1, 12.6.2 Instalacja oprogramowania w systemach operacyjnych
79. 8.20 13.1.1 Bezpieczeństwo sieci
80. 8.21 13.1.2 Bezpieczeństwo usług sieciowych
81. 8.22 13.1.3 Segregacja sieci
82. 8.23 Nowy Filtrowanie stron internetowych
83. 8.24 10.1.1, 10.1.2 Stosowanie kryptografii
84. 8.25 14.2.1 Cykl życia bezpiecznego rozwoju
85. 8.26 14.1.2, 14.1.3 Wymagania dotyczące bezpieczeństwa aplikacji
86. 8.27 14.2.5 Bezpieczna architektura systemu i zasady inżynierii
87. 8.28 Nowy Bezpieczne kodowanie
88. 8.29 14.2.8, 14.2.9 Testy bezpieczeństwa w fazie rozwoju i odbioru
89. 8.30 14.2.7 Rozwój zlecany na zewnątrz
90. 8.31 12.1.4, 14.2.6 Rozdzielenie środowisk rozwojowych, testowych i produkcyjnych
91. 8.32 12.1.2, 14.2.2, 14.2.3, Zarządzanie zmianami
14.2.4
92. 8.33 14.3.1 Informacje o badaniu
93. 8.34 12.7.1 Ochrona systemów informatycznych podczas badań audytowych
Czerwony – nowe zabezpieczenia
Zielony – zabezpieczenia połączone
Czarny – zabezpieczenia zaktualizowane (przeredagowane)

2. Uzupełnienia:
 do uwag w rozdziale 6.1.3 c) wprowadzono zmiany redakcyjne, w tym usunięto cele stosowania zabezpieczeń i użyto
sformułowania „zabezpieczenie bezpieczeństwa informacji” zamiast „zabezpieczenie” (zmiana ta była już uwzględniona
w wydaniu normy PN-EN ISO/IEC 27001:2017-06);
 tekst rozdziału 6.1.3 d) został przeorganizowany w celu wyeliminowania potencjalnej niejednoznaczności (zmiana ta
była już uwzględniona w wydaniu normy PN-EN ISO/IEC 27001:2017-06)
 dodano nowy punkt 4.2 c) dotyczący określenia tych wymagań stron zainteresowanych, które będą spełniane poprzez
system zarządzania bezpieczeństwem informacji (ISMS).
 dodano nowy podrozdział 6.3 – Planowanie zmian, stanowiący, że organizacja powinna przeprowadzać zmiany w ISMS
w sposób zaplanowany
 zachowano spójność w zakresie czasownika używanego w powiązaniu z wyrażeniem „udokumentowane informacje”,
np. w rozdziałach 9.1, 9.2.2, 9.3.3 i 10.2 użyto sformułowania „Powinny być dostępne udokumentowane informacje jako
dowód XXX” – zamiast „organizacja powinna zachować udokumentowane informacje jako dowód”.
www.prs.pl 7
2. Uzupełnienia:
 w rozdziale 8 użyto sformułowania „dostarczane z zewnątrz procesy, wyroby i usługi” zamiast „podzlecane procesy” i
usunięto termin „podzlecanie”,
 nadano tytuły podrozdziałom w rozdziałach 9.2 – Audit wewnętrzny i 9.3 – Przegląd zarządzania oraz zmieniono ich
kolejność
 zmieniono kolejność dwóch podrozdziałów w rozdziale 10 – Doskonalenie

 zaktualizowano wydania dokumentów związanych wymienionych w Bibliografii, takich jak ISO/IEC 27002 i ISO 31000.
www.prs.pl 8
Dokumentowanie auditów wg programu ISMS
- „Powołanie zespołu auditorów na audit NC-…”
- „Informacja dotycząca organizacji”
- Form. 3/PCS-01/QMS – „Program auditów NC-…”
- Form. 4W/PCS-01/QMS – „Plan auditu-1etap-NC-…/W…”
- Form. 5/PCS-01/QMS – „Kwestionariusz auditu NC-…”
- Form. 1A/PCS-01/ISMS – „Kwestionariusz auditu ISMS NC-…”
- Form. 1B/PCS-01/ISMS – „Kwestionariusz auditu ISMS NC-…”
- Załącznik nr 1 do Form. 5/PCS-01/QMS – „Załącznik do kwestionariusza auditu NC-…”
- Form. 6/PCS-01/QMS – „Ustalenia z auditu NC-…”
- Form. 1/PCS-01/QMS – „Raport z 1 etapu auditu NC-…”
- Form. 6/PCS-01/QMS – „Informacja dotycząca certyfikacji NC-…”
- Form. 4/PCS-01/QMS – „Plan auditu NC-…”
- Form. 7/PCS-01/QMS – „Raport z auditu NC-…”
www.prs.pl 9
Edycja nr: 6
Indeks: Form. 5/PCS-01/QMS Strona: 1/9
Data edycji: 2023-02-27
KWESTIONARIUSZ AUDITU NC -….. / …….
SYSTEMU ZARZĄDZANIA NA ZGODNOŚĆ Z WYMAGANIAMI:

ISO 9001:2015
IATF 16949:2016
ISO 14001:2015)
ISO 45001:2018
ISO 22000:2018
ISO/IEC 27001:2013
ISO/IEC 27001:2022
ISO 50001:2018
ISO 22301:2019
ISO 13485:2016 (PN-EN ISO 13485:2016)
Data auditu: rrrr-mm-dd

Auditor: …………………………………
Uwagi (instrukcja wypełniania):
1. Kwestionariusz przygotowuje każdy auditor dla siebie (4 auditorów = 4 kwestionariusze, i 4 należy przywoływać w raporcie z
auditu, przywołując liczbę plików), kwestionariusz wymaga każdorazowo dostosowania do Planu auditu (dla danego audito-
ra), oraz wypełnienia zgodnie z oceną auditową - z formularza należy korzystać elastycznie zgodnie z planem auditu i jego
przebiegiem (zapisy powinny potwierdzać zgodność z wymaganiami, a także kontekst ustaleń z auditu),
2. W kwestionariuszu niebieska czcionka oznacza fragmenty do dostosowania, zielona czcionka to fragmenty do usunięcia (to
także komentarze), czarna czcionka - fragmenty stałe. Po wypełnieniu należy zamienić kolor czcionek na czarny.
3. W kwestionariuszu nie zapisujemy danych osobowych (imion i nazwisk), operujemy nazwą stanowiska osoby, z którą rozma-
wiamy. Ostatecznie można stosować inicjały.
4. Jedynie części oznaczone jako obligatoryjne (dla całego auditu, niekoniecznie dla danego auditora) muszą być wypełniane
dla każdego auditu, pozostałe strony oraz poszczególne punkty należy dopasować dla danego auditu (na podstawie planu au-
ditu), szczególnie dla auditu typu W.
5. Zaleca się, aby każdy auditor przygotował sobie kwestionariusz na dany audit wg planu auditu. Jeżeli w danej pozycji planu au-
ditu (np. dla oceny procesu podstawowego) wystąpi wymaganie systemowe, np. rozdział 4.4 to zaleca się tabelę 14, czyli dla tej
pozycji notatek wpisujemy w kolumnie wymagania rozdział 4.4 (i inne wg planu auditu). Nie zaleca się w tym przypadku stoso-
wać tabeli, którą wypełnia auditor wiodący.
6. Dowody wpisywane w poszczególne wiersze- co najmniej 1, który wyczerpuje potencjał wymagań w danym podrozdziale nor-
my. Np. 7.1 nie może być 1 dowód ponieważ podrozdział dotyczy m.in. infrastruktury czy wyposażenia pomiarowego. Przykła-
dy auditowe nie są tożsame z dowodami auditowymi.
7. Zalecenie – formularz (szczególnie tabele) jest przystosowany przede wszystkim do komputerowego wypełniania formularza.
Należy unikać wypełniania ręcznego. Proszę nie zmieniać numerów tabel.
8. W tabeli 13 wpisujemy pozycje planu auditu dla których dane wymagania/uwagi mają zastosowanie (wg planu auditu). Może
się zdarzyć, że dane wymagania mają zastosowanie dla kilku punktów planu auditu (dotyczy to tabeli na ostatniej stronie). Zależy
to od planowania auditu. Musi być dowód dla każdego wymagania (podrozdziału normy).
9. Dla normy „starego podejścia” (w okresach przejściowych) zaleca się stosowanie wybranych tabel formularza.
10. Nie przewidujemy „elektronizacji” tego formularza ze względu na ograniczone korzyści z tego wynikające i ryzyko niedopasowania
kwestionariusza do warunków danego auditu.
11. Części kwestionariusza z niebieską czcionką należy dostosować do danego auditu.
Biuro Certyfikacji Systemów Zarządzania PRS S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 6
KRYTERIA OCENY/WERYFIKACJI MOŻLIWOŚCI PRZEPROWADZENIA AUDITU ZDALNEGO

(wypełnia auditor, który prowadzi audit zdalny, w przypadku braku auditu zdalnego należy tą część usunąć,
należy zweryfikować i omówić na początku auditu zdalnego)
Lp. Wymagania związane z warunkami przeprowadzenia auditu zdalnego Ocena1:
1 W audicie stosuje się następujące środki ICT: +

- telefon: TAK;
- e-mail: TAK;
- Skype dla firm: TAK;
- Microsoft Teams: TAK
- platforma wymiany plików Organizacji: TAK- (nazwa): ….
- inne, (np. Zoom, ClikMeeting, One Drive)
(należy wpisać te środki ICT, które rzeczywiście były stosowane w realizowanym audicie zdalnym)
2 Wybrane technologie informacyjno-komunikacyjne zapewniają skuteczne przeprowadzenie auditu zdal- +

nego (w tym dostęp do wszystkich wymaganych danych i informacji).
3 Organizacja i auditor posiadają sprawną i odpowiednią infrastrukturę umożliwiającą zastosowanie tech- +

nologii informacyjno-komunikacyjnych (ICT).
4 Przedstawiciele Organizacji i zespół auditorów potrafią obsługiwać urządzenia ICT. +

Przeprowadzono sprawdzenie działania środków ICT.
5 Organizacja i auditor zgadzają się na przeprowadzenie auditu zdalnego- (poprzez słowne oświadczenia). +
Organizacja została poinformowana o zagrożeniach związanych z ochroną danych i je zaakceptowała.
6 Organizacja i auditor akceptując formę auditu zdalnego, akceptują zagrożenia związane z taką formą pro- +
wadzenia auditu, tj.:
- utratę danych ze względu na złą jakość transmisji (np. połączenie z internetem),
- zależność od informacji udostępnianych przez organizację z powodu braku dostępu do innych źródeł
informacji, inaczej niż przypadku auditu na miejscu;
- inne zagrożenia właściwe dla auditu zdalnego.
7 Zagwarantowano bezpieczeństwo i poufność informacji, w tym zgodnie z KOMUNIKATEM- ZASADY PRO- +
WADZENIA AUDITÓW PRZY WYKORZYSTANIU TECHNOLOGII INFORMACYJNO KOMUNIKACYJNYCH (ICT),
TZW. AUDITÓW ZDALNYCH, W NAWIĄZANIU DO AKTUALNEJ SYTUACJI EPIDEMICZNEJ, z dnia 2020-10-27.
8 Zastosowanie technik auditu zdalnego do: +
- sprawdzenia i oceny udokumentowanej informacji (dokumentów i zapisów);
- prowadzenia rozmów z personelem Organizacji;
- obchodów/wizji lokalnej;
- inne, zgodnie z uwarunkowaniami auditu i Organizacji: ............................................
9 Audit zdalny nie obejmuje/ obejmuje procesy realizowane w środowisku fizycznym (magazynowanie, pro- +
dukcja, itp.).
10 Inne:
Oświadczenia:
1. Powyższe zasady zostały omówione w ramach spotkania otwierającego auditu zdalnego i stosowane (przestrzegane) w trakcie
prowadzonego auditu.
2. Powyższe kryteria zostały ocenione w ramach spotkania otwierającego audit zdalnego i pozwalają stwierdzić, że można przepro-
wadzić audit zdalny w zakresie uzgodnionego planu auditu.
1 „+”- spełniono wymagania; „-„- nie spełniono wymagania.
Edycja nr: 6
WYMAGANIA OBLIGATORYJNE DLA KAŻDEGO AUDITU

(wypełnia wyłącznie auditor wiodący niezależnie od programu, pozostali członkowie zespołu auditorów usuwają)
Tabela 1 Punkty planu auditu: …………....

Odpowiedzialni z ramienia Organizacji za udzielenie n/w informacji:
(Stanowisko): ………………………………
Lp. Ocena zmian w Organizacji Ustalenia2
1 Przegląd i ocena zmian w Organizacji:

Istotne zmiany zewnętrzne mające wpływ na System Zarządzania (SZ) Organizacji: ..……
Istotne zmiany wewnętrzne mające wpływ na System Zarządzania (SZ) Organizacji: ..……
Istotne zmiany dokumentów SZ (informacji udokumentowanych): ….
Powyższe zmiany są zgodne z wymaganiami normy/norm odniesienia.
2 Stosowanie umowy o certyfikację, w tym stosowanie znaków certyfikacji, aktualizacja wymaganych dokumen-
tów SZ
Wymagane dokumenty są przekazywane do Biura Certyfikacji Systemów Zarządzania.
Znaki certyfikacji są stosowane/nie są stosowane, jeżeli są to np. …………
Weryfikacja informacji dotyczącej organizacji ze względu na informacje szczegółowe : TAK/NIE (ocena informacji ze
względu na normy odniesienia - informacje dodatkowe zawarte w załączniku do Wniosku i weryfikowane na podsta-
wie informacji dotyczącej organizacji).
Umowa o certyfikację, w tym zasady stosowania znaków certyfikacji są przestrzegane.
3 Ocena działań podjętych w odniesieniu do ustaleń (niezgodności/obserwacji) zidentyfikowanych podczas po-

przedniego auditu:
W poprzednim audicie (O/P…) zapisano: niezgodności- ………….., oraz obserwacje- ……………………..
Wykonano następujące działania doskonalące: …………………………………………………………………….…….
Ocena SZ w odniesieniu do ustaleń w cyklu certyfikacji (dotyczy auditu typu O):
- audit O..- niezgodności: .. obserwacje: …
- audit P..- niezgodności: ..obserwacje: …
- poprzedni audit- jak wyżej.
Powyższe wyniki auditów w cyklu certyfikacji świadczą o skutecznym/nieskutecznym SZ.
4 Weryfikacja zakresu i informacji dotyczącej organizacji

(korelacja certyfikacji z powołaniem i z rzeczywistą działalnością, ocena spełnienia wymagań normy/norm odnie-
sienia jest zawarta w tabeli 2)
Zakres systemu zarządzania objęty certyfikacją:
- kody PKD (wg informacji, powołania oraz KRS lub REGON, a także wg rzeczywistej działalności): TAK (poprawnie
określone), NIE: -
- granice fizyczne ( dla EMS): TAK, określono w ……
- lokalizacje gdzie prowadzona jest działalność (dla BHP i QMS): TAK (poprawnie określone), NIE: -
2Ustalenia: O- obserwacje, M- niezgodności, D- duża niezgodność, S- silna strona; Braku wpisu w kolumnie „ustalenia” oznacza potwierdzenie
zgodności. Numeracja nie jest konieczna w kwestionariuszu. AW numeruje ustalenia w trakcie formalnego opracowywania ustaleń z auditu.
Uwaga:
W przypadku stwierdzenia ustalenia należy je szerzej opisać (sytuację uzasadniającą zapisanie ustalenia)- szczególnie dotyczy to obserwacji.
Edycja nr: 6

(Stanowisko): ………………………………
Lp. Ocena zmian w Organizacji Ustalenia2
- wymagania, które nie mają zastosowania normy ISO 9001*: …
* Przyjętę uzasadnienie przez Organizacje i zaakceptowane przez AW:
Zakres systemu zarządzania jest zgodny z informacją o Organizacji, certyfikatem, powołaniem oraz rzeczywiście
prowadzoną działalnością.
5 Ocena poziomu integracji ZSZ Organizacji: TAK (nie ma uwag), NIE- …...
Ocena poziomu integracji (kryteria oceny):
Element Zintegrowanego Systemu Zarządzania: Tak Nie
- zbiór zintegrowanej dokumentacji, w tym instrukcje robocze x
- przeglądy zarządzania, w których uwzględnia się ogólną strategię biznesową x
- zintegrowane podejście do auditów wewnętrznych x
- zintegrowane podejście do polityki i celów x
- zintegrowane podejście do procesów systemów x
- zintegrowane podejście do mechanizmów doskonalenia (działania korygujące i zapobiegawcze; pomiary i ciągłe
x
doskonalenie
- zintegrowane wsparcie i odpowiedzialność kierownictwa x
6 Ocena strony internetowej pod względem: stosowania znaków, informacji o zakresie certyfikacji i zakresu dzia-
łalności: TAK (nie ma uwag), NIE- …...
7 Aktualne wymagane przez Biuro Certyfikacji Systemów Zarządzania dokumenty Organizacji:

1. Księga (lub inny dokument opisujący system zarządzania) (tytuł, numer i/lub data wydania): …………………
2. Polityka/polityki (tytuł, numer i/lub data wydania)
3. Deklaracja stosowania (dla ISMS) (wydanie, data)
4. Schemat organizacyjny (data wydania)
5. Wykaz (mapa) procesów (dla QMS, BHP i EMS)
6. Inny dokument
Oświadczam, że w/w dokumenty są aktualne na dzień auditu i są w posiadaniu Biura Certyfikacji Systemów Zarzą-
dzania. Jeżeli nie są w posiadaniu Biura- niezwłocznie osobiście je przekażę.
Uwaga:
Każdy auditor w pakiecie z Powołaniem na audit otrzymuje dokumenty Organizacji, które traktowane są jako obowiązkowe w
ramach nadzoru nad SZ Organizacji. Na tej podstawie może zweryfikować aktualność posiadanych przez Biuro dokumentów. Jeżeli
danego dokumentu, np. schematu organizacyjnego nie otrzymał to należy domniemywać, że w Biurze tego dokumentu nie ma.
8 Inne:
Edycja nr: 6
WYMAGANIA OBLIGATORYJNE DLA KAŻDEGO AUDITU

(dla norm „nowego podejścia”- szczególnie ISO 9001, ISO 14001, ISO 45001)
(wypełnia zwykle Auditor Wiodący, ale decyduje plan auditu - w punkcie zarządzania systemem czy zintegrowanym systemem zarządzania), , pozo-
stali członkowie zespołu auditorów – nie stosują)

(Stanowisko): ………………………………
Dowody auditowe
Punkt
(np. Informacje udokumentowane opisujące proces/działanie lub obszar auditowany – nazwa oraz data lub numer edycji, Ustalenia
normy
podstawowe informacje udokumentowane z realizacji procesu wraz z ich datą autoryzacji, ustalenia auditowe)
4.1 Zrozumienie organizacji i jej kontekstu:

Dowody:
4.2 Zrozumienie potrzeb i oczekiwań stron zainteresowanych:
Dowody:
4.3 Określenie zakresu systemu zarządzania:
Dowody: patrz- dowody zawarte w tabeli 1 punkt 4.
Inne dowody:
4.4 System zarządzania i jego procesy:
Inne dowody:
5.1 Przywództwo i zaangażowanie:
Dowody:
5.2 Polityka:
Inne dowody:
5.3 Role, odpowiedzialność i uprawnienia w organizacji:
Inne dowody:
6.1 Działania odnoszące się do ryzyk i szans:
Dowody:
6.2 Cele i planowanie ich osiągnięcia:
Dowody:
Ocena skuteczności SZ pod względem spełnienia celów
Cele za rok (poprzedni): …………………………….
Ocena wykonania: ………………………………………………..
6.3 Planowanie zmian (dotyczy ISO 9001 ISO/IEC 27001:2022 i ISO 22000:2018):
Dowody:
7.5 Udokumentowane Informacje:
Inne dowody dotyczące nadzoru nad dokumentami:
9.1 Monitorowanie, pomiary, analiza i ocena
Dowody:
Edycja nr: 6

(Stanowisko): ………………………………
Dowody auditowe
Punkt
(np. Informacje udokumentowane opisujące proces/działanie lub obszar auditowany – nazwa oraz data lub numer edycji, Ustalenia
normy
podstawowe informacje udokumentowane z realizacji procesu wraz z ich datą autoryzacji, ustalenia auditowe)
9.2 Audit wewnętrzny:

Dowody:
9.3 Przegląd zarządzania:
Dowody:
10.1 Niezgodności i działania korygujące:
10.2 Dowody:
10.3 Ciągłe doskonalenie:
Dowody:
Edycja nr: 6
WYMAGANIA DODATKOWE DLA PROGRAMU ISMS

(wypełnia auditor, który ma przypisane w planie auditu poniższe zagadnienia)

(Stanowisko): ………………………………
Punkt
normy Dowody auditowe
(np. Informacje udokumentowane opisujące proces/działanie lub obszar auditowany – nazwa oraz data lub numer Ustalenia
ISO/IEC
edycji, podstawowe informacje udokumentowane z realizacji procesu wraz z ich datą autoryzacji, ustalenia auditowe)
27001
7.5 Dodatkowe (nie wymienione w tabeli 1 w punkcie 7 formularza) dokumenty opisujące EMS (nazwa, nr edycji
i/lub data edycji):
…………………………………………………………………………………………
Wymagania prawne mające zastosowanie w obszarze ISMS:
…………………………………………………………………………………………
6.1 Działania odnoszące się do ryzyk i szans
6.1.1 Postanowienia ogólne
Organizacja określiła/nie określiła czynniki zewnętrzne i wewnętrzne istotne dla celu działania i takie które wpły-
wają na zdolność Organizacji do osiągnięcia zamierzonego wyniku działania SZBI oraz wymagania zidentyfikowa-
nych stron zainteresowanych istotne dla bezpieczeństwa informacji, a także ryzyka i szanse, do których odniesio-
no się w celu:
- zapewnienia że SZBI może osiągnąć zamierzony wynik
- zapobieżenia wystąpieniu niepożądanych skutków i ich zredukowania
- ciągłego doskonalenia
Organizacja zaplanowała/nie zaplanowała
- działania odnoszące się do określonych ryzyk i szans
- sposób integracji ryzyk i szans w procesach składających się na SZBI w powiązaniu z oceną ich skuteczności
Ocena/Uwagi dot. wykonania: ………………………………………………..
6.1.2 Szacowanie ryzyka w bezpieczeństwie informacji
Organizacja opracowała i wdrożyła proces szacowania ryzyka w bezpieczeństwie informacji, który:
- ustanawia i utrzymuje kryteria ryzyka (kryteria akceptacji ryzyka, kryteria szacowania ryzyka
- zapewnia spójne, poprawne i porównywalne wyniki w kolejnych szacowaniach ryzyka
- identyfikuje ryzyka w bezpieczeństwie informacji (stosuje proces szacowania ryzyka oraz identyfikuje wła-
ścicieli ryzyka)
- analizuje poszczególne ryzyka (analizuje następstwa zmaterializowania się zidentyfikowanych ryzyk, sza-
cuje prawdopodobieństwo wystąpienia ryzyk zidentyfikowanych oraz określa poziom ryzyka)
- ocenia ryzyka (porównuje wyniki analizy z kryteriami oraz nadaje analizowanym ryzykom priorytety dla
celów postępowania z ryzykiem)
Ocena/Uwagi dot. wykonania, przykłady zapisów:
…………………………………………………………..………
6.1.3 Postępowanie z ryzykiem w bezpieczeństwie informacji
Organizacja opracowała i wdrożyła proces postępowania z ryzykiem w BI w celu:
- wyboru odpowiednich opcji postępowania z ryzykiem z uwzględnieniem wyników szacowania ryzyka
- określenia wszystkich zabezpieczeń niezbędnych do wdrożenia wybranych opcji postępowania z ryzykiem
- porównania zidentyfikowanych zabezpieczeń z tymi w Załaczniku A oraz sprawdzenie, czy żadne wyma-
gane zabezpieczenie nie zostało pominięte
- opracowania Deklaracji Stosowania (wykaz niezbędnych zabezpieczeń wraz z uzasadnieniem ich wyboru,
Edycja nr: 6

(Stanowisko): ………………………………
Punkt
normy Dowody auditowe
(np. Informacje udokumentowane opisujące proces/działanie lub obszar auditowany – nazwa oraz data lub numer Ustalenia
ISO/IEC
edycji, podstawowe informacje udokumentowane z realizacji procesu wraz z ich datą autoryzacji, ustalenia auditowe)
27001
a także uzasadnieniem pominięcia zabezpieczeń z Załącznika A)
- sformułowania planu postępowania z ryzykiem
- uzyskania zgody właścicieli ryzyka na plan postępowania z ryzykiem oraz ich akceptacji dla rezydualnych
ryzyk
Ocena/Uwagi dot. wykonania, przykłady zapisów:
…………………………………………………………..………
8.1 Planowanie i nadzór nad działaniami operacyjnymi
Organizacja zaplanowała, wdrożyła i nadzoruje procesy potrzebne do spełnienia wymagań dotyczących BI,
wdrożyła działania odnoszące się do szans i ryzyk oraz plany osiągnięcia celów BI.
Organizacja zachowuje udokumentowane informacje w zakresie pozwalającym na uzyskanie zaufania, że proce-
sy zostały zrealizowane tak jak planowano.
Organizacja nadzoruje zaplanowane zmiany i poddaje przeglądom następstwa niezamierzonych zmian. Stosow-
nie do potrzeb podejmuje działania celem zmniejszenia jakichkolwiek niekorzystnych efektów tych zmian.
Organizacja zapewniła i nadzoruje procesy zlecane na zewnątrz
8.2 Szacowanie ryzyka w bezpieczeństwie informacji
Organizacja szacuje/nie szacuje ryzyka informacji w zaplanowanych odstępach czasu (częstość szacowania wy-
nosi ………….), a także wtedy gdy proponowane jest wprowadzenie istotnych zmian w kryteriach szacowania
ryzyka lub zmiany te wystąpiły.
8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji
Organizacja wdrożyła/nie wdrożyła plan postępowania z ryzykiem w BI.
Organizacja zachowuje/nie zachowuje udokumentowane informacje dot. wyników postępowania z ryzy-
kiem w BI
Edycja nr: 6
WYMAGANIA DODATKOWE WEDŁUG POZYCJI PLANU AUDITU

(wypełnia tylko auditor, który ma przypisane w planie auditu poszczególne procesy/działania w myśl zasady:
jedna tabela dla 1 pozycji w planie auditu -nie dotyczy zagadnień systemowych zawartych w poprzednich tabelach)
Tabela 13 Punkt planu auditu: …………....

(Stanowisko): ……………………………………
Dowody auditowe
Punkty (przykłady wraz z dowodami np. Informacje udokumentowane opisujące proces/działanie lub obszar auditowany – nazwa Ustalenia
normy oraz data lub numer edycji, podstawowe informacje udokumentowane z realizacji procesu wraz z ich datą autoryzacji,
ustalenia auditowe)
ISO 9001: Podstawowe dokumenty normatywne wewnętrzne (pisemne procedury) opisujące proces/działanie (tytuł,
numer wydania i/lub data wydania):
ISO 14001:
………………………………………………………………
ISO 45001: Przykład auditowy (związany z działaniem, częścią procesu):
ISO/IEC …………………………………………………………………………………
27001: Dowody:
……………………………………………………………………….
Przykład auditowy (związany z działaniem, częścią procesu):
…………………………………………………………………………………
Dowody:
………………………………………………………………………………….
Uwaga: przykłady auditowe muszą wyczerpać wymagania przywołane w kolumnie 1.
Załączniki do niniejszego kwestionariusza (do wyboru lub dopisanie innych):

1. Spotkanie otwierające oraz zamykające- lista obecności- Załącznik 1 do formularza 5/PCS-01/QMS.
2. Załącznik A ISO/IEC 27001 – formularz 1/PCS-01/ISMS.
3. Inne: …
Uwagi:
1. Nie występujące załączniki - do usunięcia.
2. Numeracji tabel nie należy zmieniać, ma ona znaczenie porządkowe dla formularza, tzn. może wystąpić np. 5 tabel nr 10. Natomiast komplet-
ność kwestionariusza określamy na podstawie Planu auditu.
Edycja nr: 2
Indeks: Form. 1A/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 1/12
Kwestionariusz auditu ISMS (ISO/IEC 27001:2013) – NC-XXXX/XX
POCZĄTKOWEJ CERTYFIKACJI 2 ETAP

NADZORU
PONOWNEJ CERTYFIKACJI
SPECJALNEGO
systemu zarządzania na zgodność z wymaganiami:

PN-EN ISO/IEC 27001:2017-06 (ISO/IEC 27001:2013)
(nazwa organizacji)
Nr organizacji/symbol auditu: NC –........... / ............
Zespół auditorów:
Auditor wiodący: ..................................
Auditor: ..................................
Auditor: ..................................
Ekspert techniczny: ..................................
Kandydat na auditora: ..................................
Kwestionariusz zawiera: 12 ponumerowanych stron.
Informacje dla auditorów:

1. W celu udokumentowania zastosowania podstawowych wymagań normy ISO/IEC 27001 (rozdziały 4 do 10) należy
stosować „Kwestionariusz auditu” (Form. 5/PCS-01/QMS), a uzupełnieniem zapisów dot. elementów związanych z
zabezpieczeniami w SZBI (Załącznik A normy ISO/IEC 27001) jest „Kwestionariusz auditu ISMS” (Form. 1A/PCS-
01/ISMS).
2. Auditorzy zespołu każdorazowo dostosowują kwestionariusz auditu – wskazane zabezpieczenia do obszarów ujętych
w opracowanym przez Auditora Wiodącego planie auditu.
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Indeks: Form. 1/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 2/12
Nr
Auditowany obszar/proces: Przedstawiciel auditowanego obszaru:
p-tu
(zgodnie z planem): (imię, nazwisko, stanowisko)
planu
Uwaga:
1) Przy ocenie zabezpieczeń należy stosować oznaczenia:
W – zabezpieczenie wyłączone
A – zabezpieczenie nie było audytowane (poza planem auditu)
+ – zabezpieczenie poprawnie określone i wdrożone
O – obserwacja – wskazanie potencjału do doskonalenia w „Ustaleniach z auditu” (Form. 6/PCS-01/QMS)
M – niezgodność mała wymagająca podjęcia działań doskonalących, odnotowana w „Ustaleniach z auditu” (Form. 6/PCS-01-QMS)
D – niezgodność duża wymagająca podjęcia działań doskonalących oraz wskazuje na potrzebę ponownej oceny (auditu specjalnego)
obszaru w którym została stwierdzona, odnotowana w „Ustaleniach z auditu” (Form. 6/PCS-01-QMS)
2) Przy wypełnianiu kolumn: zabezpieczenie i rodzaj badania należy stosować oznaczenia:
X – wskazuje kwalifikację np. zabezpieczenie techniczne, badanie kontrola wzrokowa
− – nie ma zastosowania
„Zabezpieczenie techniczne”, „Zabezpieczenie organizacyjne” wynika z zastosowanych rozwiązań organizacyjnych (np. regulaminy czy
instrukcje) lub technicznych (np. system alarmowy czy monitoring). Dowody działania zabezpieczeń organizacyjnych można uzy-
skać w wyniku przeglądu zapisów z funkcjonowania zabezpieczeń, wywiadów, obserwacji i „kontroli wzrokowej”. Dowody działania
zabezpieczeń technicznych można uzyskać poprzez testowanie systemu lub zastosowanie wyspecjalizowanych narzędzi (np. opro-
gramowania do audytu systemu informatycznego czy raporty z systemu)
„Testowanie systemu” oznacza bezpośredni przegląd systemów (np. przegląd ustawień lub konfiguracji systemu). Odpowiedzi na pytania
auditora można uzyskać, wykorzystując konsolę systemową albo oceniając wyniki narzędzi testujących. Jeżeli organizacja klienta
wykorzystuje narzędzie komputerowe znane auditorowi, może być ono użyte do wsparcia auditu. Można również przeglądać wyni-
ki oceny wykonanej przez Organizację (lub jej dostawców usług)
„Kontrola wzrokowa” oznacza, że te zabezpieczenia zwykle wymagają kontroli wzrokowej na miejscu w celu oceny ich skuteczności.
Oznacza to, że nie wystarczy przejrzenie odpowiedniej dokumentacji w wersji papierowej lub wywiady – audytor powinien spraw-
dzić zabezpieczenie w miejscu, w którym jest ono zastosowane
3) Dowody z auditu
Podstawą do oceny zgodności jest „Deklaracja stosowania” audytowanej Organizacji – ocena dotyczy zgodności (poprawności w tym
skuteczności) stosowania zabezpieczeń wskazanych w deklaracji.
Najlepszej jakości dowody auditowe uzyskuje się poprzez obserwacje auditora (np. drzwi, które mają być zamknięte, są zamknięte, ludzie
podpisali umowę o zachowaniu poufności, wykaz aktywów istnieje i zawiera zaobserwowane aktywa, ustawienia systemu są odpowied-
nie itp.).
Dowody można zbierać:
- oglądając wyniki działania zabezpieczeń (np. wydruki praw dostępu nadanych ludziom podpisane przez właściwą autoryzowaną osobę,
zapisy z rozwiązywania incydentów, upoważnienia do przetwarzania podpisane przez właściwą autoryzowaną osobę, protokoły ze
spotkań kierownictwa (lub innych) itp.),
- wykonując bezpośrednie (lub powtórne) testowanie zabezpieczeń przez lub z udziałem auditora (np. próba wykonania zadań, które są
określone jako zakazane przez zabezpieczenia, ustalenie, czy oprogramowanie do ochrony przed złośliwym kodem jest zainstalowane i
uaktualniane, czy prawa dostępu są nadawane po sprawdzeniu przez zwierzchnika itp.),
- przeprowadzając wywiady z pracownikami/wykonawcami na temat procesów i zabezpieczeń oraz stwierdzając, czy rzeczywiście są
poprawne.
Auditor: ........................................................................
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
wdrożeniem/oceną skuteczności zabezpieczenia.
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.5 Polityki bezpieczeństwa informacji
A.5.1 Kierunki bezpieczeństwa informacji określane przez kierownictwo
Polityki bezpieczeństwa
A.5.1.1
informacji
Przegląd polityk bezpie-
A.5.1.2
czeństwa informacji
A.6 Organizacja bezpieczeństwa informacji
A.6.1 Organizacja wewnętrzna
Role i odpowiedzialność
A.6.1.1 za bezpieczeństwo in-
formacji
Rozdzielanie obowiąz-
A.6.1.2
ków
Kontakt z organami wła-
A.6.1.3
dzy
Kontakt z grupami zain-
A.6.1.4 teresowanych specjali-
stów
Bezpieczeństwo infor-
A.6.1.5 macji w zarządzaniu pro-
jektami
A.6.2 Urządzenia mobilne i telepraca
Polityka stosowania
A.6.2.1
urządzeń mobilnych
Telepraca
A.6.2.2
A.7 Bezpieczeństwo zasobów ludzkich

A.7.1 Przed zatrudnieniem
Postępowanie sprawdza-
A.7.1.1
jące
Warunki zatrudnienia
A.7.1.2
Auditor: ........................................................................
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.7.2 Podczas zatrudnienia
Odpowiedzialność kie-
A.7.2.1
rownictwa
Uświadamiania, kształ-
A.7.2.2 cenie i szkolenie z zakre-
su BI
Postępowanie dyscypli-
A.7.2.3
narne
A.7.3 Zakończenie i zmiana zatrudnienia
Zakończenie zatrudnienia
A.7.3.1 lub zmiana zakresu obo-
wiązków.
A.8 Zarządzanie aktywami
A.8.1 Odpowiedzialność za aktywa
Inwentaryzacja aktywów
A.8.1.1
Własność aktywów
A.8.1.2
Akceptowalne użycie ak-

A.8.1.3
tywów
Zwrot aktywów
A.8.1.4
A.8.2 Klasyfikacja informacji

Klasyfikowanie informa-
A.8.2.1
cji
Oznaczanie informacji
A.8.2.2
Postępowanie z akty-
A.8.2.3
wami
A.8.3 Postępowanie z nośnikami
Zarządzanie nośnikami
A.8.3.1
wymiennymi
Wycofywanie nośników
A.8.3.2
Auditor: ........................................................................
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Przekazywanie nośników
A.8.3.3
A.9 Kontrola dostępu

A.9.1 Wymagania biznesowe wobec kontroli dostępu
Polityka kontroli dostępu
A.9.1.1
Dostęp do sieci i usług

A.9.1.2
sieciowych
A.9.2 Zarządzanie dostępem użytkowników
Rejestrowanie i wyreje-
A.9.2.1 strowywanie użytkowni-
ków
Przydzielanie dostępu
A.9.2.2
użytkownikom
Zarządzanie prawami
A.9.2.3 uprzywilejowanego do-
stępu
Zarządzanie poufnymi in-
A.9.2.4 formacjami uwierzytelnia-
jącymi użytkowników
Przegląd praw dostępu
A.9.2.5
użytkowników
Odbieranie lub dostoso-
A.9.2.6
wywanie praw dostępu
A.9.3 Odpowiedzialność użytkowników
Stosowanie poufnych in-
A.9.3.1 formacji uwierzytelniają-
cych
A.9.4 Kontrola dostępu do systemów i aplikacji
Ograniczenie dostępu do
A.9.4.1
informacji
Procedury bezpiecznego
A.9.4.2
logowania
System zarządzania ha-
A.9.4.3
słami
Auditor: ........................................................................
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Używanie uprzywilejo-
A.9.4.4 wanych programów na-
rzędziowych
Kontrola dostępu do ko-
A.9.4.5 dów źródłowych pro-
gramów
A.10 Kryptografia
A.10.1 Zabezpieczenia kryptograficzne
Polityka stosowania za-
A.10.1.1 bezpieczeń kryptogra-
ficznych
Zarządzanie kluczami
A.10.1.2
A.11 Bezpieczeństwo fizyczne i środowiskowe

A.11.1 Obszary bezpieczne
Fizyczne granice obszaru
A.11.1.1
bezpiecznego
Fizyczne zabezpieczenia
A.11.1.2
wejść
Zabezpieczenie biur, po-
A.11.1.3
mieszczeń i obiektów
Ochrona przed zagrożenia-
A.11.1.4 mi zewnętrznymi i środowi-
skowymi
Praca w obszarach bez-
A.11.1.5
piecznych
Obszary dostaw i zała-
A.11.1.6
dunku
A.11.2 Sprzęt
Lokalizacja i ochrona
A.11.2.1
sprzętu
Systemy wspomagające
A.11.2.2
Bezpieczeństwo okablo-
A.11.2.3
wania
Auditor: ........................................................................
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Konserwacja sprzętu
A.11.2.4
Wynoszenie aktywów
A.11.2.5
Bezpieczeństwo sprzętu
A.11.2.6
i aktywów poza siedzibą
Bezpieczne zbywanie lub
A.11.2.7 przekazywanie do po-
wtórnego użycia
Pozostawianie sprzętu
A.11.2.8
użytkownika bez opieki
Polityka czystego biurka
A.11.2.9
i czystego ekranu
A.12 Bezpieczeństwo eksploatacji
A.12.1 Procedury eksploatacyjne i odpowiedzialność
Dokumentowanie proce-
A.12.1.1
dury eksploatacyjnych
Zarządzanie zmianami
A.12.1.2
Zarządzanie pojemnością
A.12.1.3
Oddzielenie środowisk roz-

A.12.1.4 wojowych, testowych i pro-
dukcyjnych
A.12.2 Ochrona przed szkodliwym oprogramowaniem
Zabezpieczenie przed
A.12.2.1 szkodliwym oprogramo-
waniem
A.12.3 Kopie zapasowe
Zapasowe kopie infor-
A.12.3.1
macji
A.12.4 Rejestrowanie i monitorowanie
Rejestrowanie zdarzeń
A.12.4.1
Auditor: ........................................................................
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Ochrona informacji
A.12.4.2
w dziennikach zdarzeń
Rejestrowanie działań
A.12.4.3 administratorów i opera-
torów
Synchronizacja zegarów
A.12.4.4
A.12.5 Nadzór nad oprogramowaniem produkcyjnym

Instalacja oprogramowania
A.12.5.1 w systemach produkcyj-
nych
A.12.6 Zarządzanie podatnościami technicznymi
Zarządzanie podatno-
A.12.6.1
ściami technicznymi
Ograniczenia w instalo-
A.12.6.2
waniu oprogramowania
A.12.7 Rozważania dotyczące audytów systemów informacyjnych
Zabezpieczenia audytu
A.12.7.1 systemów informacyj-
nych
A.13 Bezpieczeństwo komunikacji
A.13.1 Zarządzanie bezpieczeństwem sieci
Zabezpieczenia sieci
A.13.1.1
Bezpieczeństwo usług
A.13.1.2
sieciowych
Rozdzielanie sieci
A.13.1.3
A.13.2 Przesyłanie informacji

Polityki i procedury prze-
A.13.2.1
syłania informacji
Porozumienia dotyczące
A.13.2.2
przesyłania informacji
Auditor: ........................................................................
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Wiadomości elektronicz-
A.13.2.3 ne
Umowy o zachowaniu
A.13.2.4
poufności
A.14 Pozyskiwanie, rozwój i utrzymanie systemów
A.14.1 Wymagania związane z bezpieczeństwem systemów informacyjnych
Analiza i specyfikacja
A.14.1.1 wymagań bezpieczeń-
stwa informacji
Zabezpieczenia usług apli-
A.14.1.2 kacyjnych w sieciach pu-
blicznych
Ochrona transakcji usług
A.14.1.3
aplikacyjnych
A.14.2 Bezpieczeństwo w procesach rozwoju i wsparcia
Polityka bezpieczeństwa
A.14.2.1
prac rozwojowych
Procedury kontroli zmian
A.14.2.2
w systemach
Przegląd techniczny apli-
A.14.2.3 kacji po zmianach w plat-
formie produkcyjnej
Ograniczenia dotyczące
A.14.2.4 zmian w pakietach opro-
gramowania
Zasady projektowania
A.14.2.5
bezpiecznych systemów
Bezpieczne środowisko
A.14.2.6
rozwojowe
Prace rozwojowe zlecane
A.14.2.7 podmiotom zewnętrz-
nym
Testowanie bezpieczeń-
A.14.2.8
stwa systemu
Auditor: ........................................................................
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Testy akceptacyjne sys-
A.14.2.9
temów
A.14.3 Dane testowe
Ochrona danych testo-
A.14.3.1 wych
A.15 Relacje z dostawcami

A.15.1 Bezpieczeństwo informacji w relacjach z dostawcami
Polityka BI w relacjach z
A.15.1.1
dostawcami
Uwzględnienie BI w po-
A.15.1.2 rozumieniach z dostaw-
cami.
Łańcuch dostaw technolo-
A.15.1.3 gii informacyjnych i tele-
komunikacyjnych.
A.15.2 Zarządzanie usługami świadczonymi przez dostawców
Monitorowanie i przegląd
A.15.2.1 usług świadczonych przez
dostawców.
Zarządzanie zmianami w
A.15.2.2 usługach świadczonych
przez dostawców
A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji
A.16.1 Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami
Odpowiedzialność i pro-
A.16.1.1
cedury
Zgłaszanie zdarzeń zwią-
A.16.1.2
zanych z BI
Zgłaszanie słabości zwią-
A.16.1.3
zanych z BI
Ocena i podejmowanie
A.16.1.4 decyzji w sprawie zda-
rzeń związanych z BI
Auditor: ........................................................................
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
Reagowanie na incyden-
A.16.1.5
ty związane z BI
Wyciąganie wniosków
A.16.1.6 z incydentów związanych
z BI
Gromadzenie materiału
A.16.1.7
dowodowego
A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
A.17.1 Ciągłość bezpieczeństwa informacji
Planowanie ciągłości
A.17.1.1 bezpieczeństwa Informa-
cji
Wdrożenie ciągłości
A.17.1.2 bezpieczeństwa Informa-
cji
Weryfikowanie, przegląd
A.17.1.3
i ocena ciągłości BI
A.17.2 Nadmiarowość
Dostępność środków
A.17.2.1
przetwarzania informacji
A.18 Zgodność
A.18.1 Zgodność z wymaganiami prawnymi i umownymi
Określenie stosownych wy-
A.18.1.1 magań prawnych i umow-
nych
Prawa własności intelek-
A.18.1.2
tualnej
A.18.1.3 Ochrona zapisów
Prywatność i ochrona danych
A.18.1.4
identyfikujących osobę
Regulacje dotyczące za-
A.18.1.5 bezpieczeń kryptogra-
ficznych
Auditor: ........................................................................
Edycja nr: 2
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.18.2 Przeglądy bezpieczeństwa informacji
Niezależny przegląd bez-
A.18.2.1
pieczeństwa Informacji
Zgodność z politykami
A.18.2.2 bezpieczeństwa i stan-
dardami.
Sprawdzanie zgodności
A.18.2.3
technicznej
Auditor: ........................................................................
Edycja nr: 1
Indeks: Form. 1B/PCS-01/ISMS Data edycja: 2023-02-27 Strona: 1/7
POCZĄTKOWEJ CERTYFIKACJI 2 ETAP

NADZORU
PONOWNEJ CERTYFIKACJI
SPECJALNEGO
systemu zarządzania na zgodność z wymaganiami:

ISO/IEC 27001:2022
(nazwa organizacji)
Nr organizacji/symbol auditu: NC –........... / ............
Zespół auditorów:
Auditor wiodący: ..................................
Auditor: ..................................
Auditor: ..................................
Ekspert techniczny: ..................................
Kandydat na auditora: ..................................
Kwestionariusz zawiera: 7 ponumerowanych stron.
Informacje dla auditorów:

1. W celu udokumentowania zastosowania podstawowych wymagań normy ISO/IEC 27001 (rozdziały 4 do 10) należy
stosować „Kwestionariusz auditu” (Form. 5/PCS-01/QMS), a uzupełnieniem zapisów dot. elementów związanych
z zabezpieczeniami w SZBI (Załącznik A normy ISO/IEC 27001) jest „Kwestionariusz auditu ISMS” (Form. 1B/PCS-01/ISMS).
2. Auditorzy zespołu każdorazowo dostosowują kwestionariusz auditu – wskazane zabezpieczenia do obszarów ujętych
w opracowanym przez Auditora Wiodącego planie auditu.
Biuro Certyfikacji Systemów Zarządzania, Polski Rejestr Statków S.A., al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 1
Nr
Auditowany obszar/proces: Przedstawiciel auditowanego obszaru:
p-tu
(zgodnie z planem): (imię, nazwisko, stanowisko)
planu
Uwaga:
1) Przy ocenie zabezpieczeń należy stosować oznaczenia:
W – zabezpieczenie wyłączone
A – zabezpieczenie nie było audytowane (poza planem auditu)
+ – zabezpieczenie poprawnie określone i wdrożone
Uwagi konieczne do odnotowania w „Ustaleniach z auditu” (Form. 6/PCS-01/QMS
O – obserwacja – wskazanie potencjału do doskonalenia
M – niezgodność mała wymagająca podjęcia działań doskonalących,
D – niezgodność duża wymagająca podjęcia działań doskonalących oraz wskazuje na potrzebę ponownej oceny (auditu specjalnego)
obszaru, w którym została stwierdzona.
2) Przy wypełnianiu kolumn: zabezpieczenie i rodzaj badania należy stosować oznaczenia:
X – wskazuje kwalifikację np. zabezpieczenie techniczne, badanie kontrola wzrokowa
− – nie ma zastosowania
„Zabezpieczenie techniczne”, „Zabezpieczenie organizacyjne” wynika z zastosowanych rozwiązań organizacyjnych (np. regulaminy czy
instrukcje) lub technicznych (np. system alarmowy czy monitoring). Dowody działania zabezpieczeń organizacyjnych można uzy-
skać w wyniku przeglądu zapisów z funkcjonowania zabezpieczeń, wywiadów, obserwacji i „kontroli wzrokowej”. Dowody działania
zabezpieczeń technicznych można uzyskać poprzez testowanie systemu lub zastosowanie wyspecjalizowanych narzędzi (np. opro-
gramowania do audytu systemu informatycznego czy raporty z systemu)
„Testowanie systemu” oznacza bezpośredni przegląd systemów (np. przegląd ustawień lub konfiguracji systemu). Odpowiedzi na pytania
auditora można uzyskać, wykorzystując konsolę systemową albo oceniając wyniki narzędzi testujących. Jeżeli organizacja klienta
wykorzystuje narzędzie komputerowe znane auditorowi, może być ono użyte do wsparcia auditu. Można również przeglądać wyni-
ki oceny wykonanej przez Organizację (lub jej dostawców usług)
„Kontrola wzrokowa” oznacza, że te zabezpieczenia zwykle wymagają kontroli wzrokowej na miejscu w celu oceny ich skuteczności.
Oznacza to, że nie wystarczy przejrzenie odpowiedniej dokumentacji w wersji papierowej lub wywiady – audytor powinien spraw-
dzić zabezpieczenie w miejscu, w którym jest ono zastosowane
3) Dowody z auditu
Podstawą do oceny zgodności jest „Deklaracja stosowania” audytowanej Organizacji – ocena dotyczy zgodności (poprawności w tym
skuteczności) stosowania zabezpieczeń wskazanych w deklaracji.
Najlepszej jakości dowody auditowe uzyskuje się poprzez obserwacje auditora (np. drzwi, które mają być zamknięte, są zamknięte, ludzie
podpisali umowę o zachowaniu poufności, wykaz aktywów istnieje i zawiera zaobserwowane aktywa, ustawienia systemu są odpowied-
nie itp.).
Dowody można zbierać:
- oglądając wyniki działania zabezpieczeń (np. wydruki praw dostępu nadanych ludziom podpisane przez właściwą autoryzowaną osobę,
zapisy z rozwiązywania incydentów, upoważnienia do przetwarzania podpisane przez właściwą autoryzowaną osobę, protokoły ze
spotkań kierownictwa (lub innych) itp.),
- wykonując bezpośrednie (lub powtórne) testowanie zabezpieczeń przez lub z udziałem auditora (np. próba wykonania zadań, które są
określone jako zakazane przez zabezpieczenia, ustalenie, czy oprogramowanie do ochrony przed złośliwym kodem jest zainstalowane i
uaktualniane, czy prawa dostępu są nadawane po sprawdzeniu przez zwierzchnika itp.),
- przeprowadzając wywiady z pracownikami/wykonawcami na temat procesów i zabezpieczeń oraz stwierdzając, czy rzeczywiście są
poprawne.
Auditor: ........................................................................
Edycja nr: 1
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.5 Zabezpieczenia organizacyjne
A.5.1 Polityka bezpieczeństwa in-
formacji
A.5.2 Role i obowiązki w zakresie
bezpieczeństwa informacji
A.5.3 Podział obowiązków
A.5.4 Obowiązki kierownictwa
A.5.5 Kontakt z organami
A.5.6 Kontakt z grupami szcze-

gólnego zainteresowania
A.5.7 Wywiad o zagrożeniach
A.5.8 Bezpieczeństwo informacji

w zarządzaniu projektem
A.5.9 Inwentaryzacja informacji
i innych powiązanych akty-
wów
A.5.10 Akceptowalne wykorzysta-
nie informacji i innych po-
wiązanych aktywów
A.5.11 Zwrot aktywów
A.5.13 Oznaczanie informacji
A.5.14 Przekazywanie informacji
A.5.15 Kontrola dostępu
A.5.16 Zarządzanie tożsamością
A.5.17 Informacje uwierzytelniają-

ce
A.5.18 Prawa dostępu

w relacjach z dostawcami
Auditor: ........................................................................
Edycja nr: 1
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.5.20 Uwzględnianie bezpieczeń-
stwa informacji w umowach
z dostawcami
A.5.21 Zarządzanie bezpieczeń-
stwem informacji w łańcu-
chu dostaw ICT
A.5.22 Monitorowanie, przegląd
i zarządzanie zmianami
w usługach dostawców
w zakresie korzystania
z usług w chmurze
A.5.24 Planowanie i przygotowanie
zarządzania incydentami
A.5.25 Ocena i podejmowanie de-
cyzji dotyczących zdarzeń
związanych z bezpieczeń-
stwem informacji
A.5.26 Reagowanie na incydenty
A.5.27 Wyciąganie wniosków z in-
cydentów bezpieczeństwa
informacji
A.5.28 Gromadzenie dowodów

podczas zakłóceń
A.5.30 Gotowość ICT do zapew-
nienia ciągłości działania
A.5.31 Wymagania prawne, usta-
wowe, wykonawcze i
umowne
A.5.32 Prawa własności intelektu-
alnej
A.5.33 Ochrona dokumentacji
A.5.34 Prywatność i ochrona in-

formacji osobistych
A.5.35 Niezależny przegląd bezpie-
czeństwa informacji
Auditor: ........................................................................
Edycja nr: 1
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.5.36 Zgodność z polityką, przepi-
sami i normami dotyczącymi
A.5.37 Udokumentowane procedu-
ry operacyjne
A.6 Zabezpieczenia osób
A.6.1 Postępowanie sprawdzające
A.6.2 Warunki zatrudnienia
A.6.3 Świadomość, edukacja

i szkolenie w zakresie bez-
pieczeństwa informacji
A.6.4 Proces dyscyplinarny
A.6.5 Odpowiedzialność po roz-
wiązaniu lub zmianie za-
trudnienia
A.6.6 Porozumienia o poufności
lub nieujawnianiu informacji
A.6.7 Praca zdalna
A.6.8 Zgłaszanie zdarzeń doty-
czących bezpieczeństwa in-
formacji
A.7 Zabezpieczenia fizyczna
A.7.1 Granice bezpieczeństwa fi-
zycznego
A.7.2 Wejście fizyczne
A.7.3 Zabezpieczanie biur, po-
mieszczeń i obiektów
A.7.4 Monitorowanie bezpieczeń-
stwa fizycznego
A.7.5 Ochrona przed zagrożenia-
mi fizycznymi i środowi-
skowymi
A.7.6 Praca w bezpiecznych miej-
scach
A.7.7 Czyste biurko i czysty ekran
A.7.8 Rozmieszczenie i ochrona
sprzętu
A.7.9 Ochrona zasobów poza sie-
dzibą firmy
Auditor: ........................................................................
Edycja nr: 1
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.7.10 Nośniki danych
A.7.11 Obsługa mediów
A.7.12 Zabezpieczenie okablowa-
nia
A.7.13 Konserwacja sprzętu
A.7.14 Bezpieczne usuwanie lub
ponowne wykorzystywanie
sprzętu
A.8 Zabezpieczenia technologiczne
A.8.1 Urządzenia punktów koń-
cowych użytkowników
A.8.2 Uprzywilejowane prawa do-
stępu
A.8.3 Ograniczenie dostępu do in-
formacji
A.8.4 Dostęp do kodu źródłowe-
go
A.8.5 Bezpieczne uwierzytelnia-
nie
A.8.6 Zarządzanie pojemnością
A.8.7 Ochrona przed złośliwym
oprogramowaniem
A.8.8 Zarządzanie podatnościami
technicznymi
A.8.9 Zarządzanie konfiguracją
A.8.10 Usuwanie informacji
A.8.11 Maskowanie danych
A.8.12 Zapobieganie wyciekom
danych
A.8.13 Tworzenie kopii zapaso-
wych informacji
A.8.14 Redundancja urządzeń
przetwarzających informa-
cje
A.8.15 Rejestrowanie danych
A.8.16 Monitorowanie działań
Auditor: ........................................................................
Edycja nr: 1
Rodzaj badania
Zabezpieczenie
auditowego
Uwagi związane z:
kontr. wzrokowa
rozmowa
organizacyjne
Dowody z auditu
techniczne
test
Nr Nazwa
Ocena
A.8.17 Synchronizacja zegara
A.8.18 Korzystanie z uprzywilejo-

wanych programów użyt-
kowych
A.8.19 Instalacja oprogramowania
w systemach operacyjnych
A.8.20 Bezpieczeństwo sieci
A.8.21 Bezpieczeństwo usług sie-
ciowych
A.8.22 Segregacja sieci
A.8.23 Filtrowanie stron interne-

towych
A.8.24 Stosowanie kryptografii
A.8.25 Cykl życia bezpiecznego

rozwoju
A.8.26 Wymagania dotyczące bez-
pieczeństwa aplikacji
A.8.27 Bezpieczna architektura
systemu i zasady inżynierii
A.8.28 Bezpieczne kodowanie
A.8.29 Testy bezpieczeństwa w fa-
zie rozwoju i odbioru
A.8.30 Rozwój zlecony na zewnątrz
A.8.31 Rozdzielenie środowisk
rozwojowych, testowych i
produkcyjnych
A.8.32 Zarządzanie zmianami
A.8.33 Informacje o testach
A.8.34 Ochrona systemów infor-

matycznych podczas testów
audytowych
Auditor: ........................................................................
Edycja nr: 8A
RAPORT Z AUDITU
NR NC - /
ISO 9001:2015 (PN-EN ISO 9001:2015-10)1

IATF 16949:2016
ISO 14001:2015 (PN-EN ISO 14001:2015-09)
ISO 45001:2018
ISO 22000:2018 (PN-EN ISO 22000:2018-08E)
ISO/IEC 27001:2013 (PN-EN ISO/IEC 27001:2017-06)
ISO/IEC 27001:2022
ISO 50001:2018
ISO 13485:2016 (PN-EN ISO 13485:2016)
ISO 37001:2016 (PN-ISO 37001:2017-05)
ISO 22301:2019
0 Spis treści
1 Wprowadzenie
2 Cele i zakres auditu
3 Poufność
4 Zakres certyfikacji
5 Ocena systemu zarządzania
6 Wniosek i rekomendacje
7 Załączniki
8 Rozdzielnik
1
Stosowane w treści raportu przywołanie normy ISO, np. ISO 9001 oznacza zarówno normę ISO 9001 jak i polską normę PN-EN ISO 9001.
Biuro Certyfikacji Systemów Zarządzania PRS S.A, al. gen. Józefa Hallera 126, 80-416 Gdańsk
Edycja nr: 8A
RAPORT Z AUDITU
1 Wprowadzenie
Audit został przeprowadzony zgodnie z dokumentami Biura Certyfikacji Systemów Zarządzania PRS S.A., w tym m.in.:
Zasadami certyfikacji (patrz strona internetowa www.prs.pl) oraz procedurami certyfikacji systemu zarządzania
PCS-01, na zasadzie próbkowania działań Organizacji związanych z zakresem certyfikacji i zakresem auditu.
Nie stwierdzenie niezgodności z wymaganiami kryteriów auditu nie oznacza, że niezgodności nie występują.
Niniejszy raport zawiera wyniki auditu przeprowadzonego w Organizacji:
Nazwa Organizacji:
Adres:
Przedstawiciel Organizacji:
Kryteria auditu: ISO 9001;

IATF: 16949;
ISO 14001;
ISO 45001
ISO 22000;
ISO/IEC 27001;
ISO 13485;
ISO 50001;
ISO 37001
ISO 22301
oraz wymagania Systemu Zarządzania Organizacji; inne wymagania ma-
jące zastosowanie w audicie (w tym umowy o certyfikację).
Zespół auditorów: - auditor wiodący
⎯⎯⎯⎯⎯⎯⎯⎯⎯ - auditor
⎯⎯⎯⎯⎯⎯⎯⎯⎯ - ekspert techniczny
⎯⎯⎯⎯⎯⎯⎯⎯⎯ - kandydat na auditora
Auditory zewnętrzni
/Obserwator Polskiego Centrum Akredytacji: ⎯⎯⎯⎯⎯⎯⎯⎯⎯
Opis systemu zarządzania: np. Księga Zarządzania/Jakości Edycja:

Opis SZJ (plik ……..) Data wydania: rrrr-mm-dd
Deklaracja Stosowania (tylko dla Edycja:
ISMS) Data wydania: rrrr-mm-dd
Plan auditu : Data opracowania (uzgodnionego): Forma i data uzgodnienia:
rrrr-mm-dd mail z rrrr-mm-dd
2 Cele i zakres auditu

2.1 Cele auditu
Cele auditu są zawarte w Planie auditu, stanowiącym załącznik do niniejszego raportu.
2.2 Zakres auditu

Zakres auditu obejmuje ocenę systemu zarządzania powiązanego z działalnością organizacji określoną w zakresie
certyfikacji, zgodnie z Powołaniem zespołu auditorów na audit oraz Planem auditu.
3 Poufność
Wszelkie informacje uzyskane podczas auditu i wyniki auditu nie będą ujawnione stronie trzeciej bez zgody
auditowanej Organizacji. Niniejszy Raport z auditu i związane z nim dokumenty mogą być przedstawione Jednostce
Akredytującej w trakcie okresowych auditów w Biurze Certyfikacji Systemów Zarządzania PRS S.A. Jednostka
Edycja nr: 8A
RAPORT Z AUDITU
Akredytująca jest również zobowiązana do zachowania poufności. Po wydaniu certyfikatu nazwa certyfikowanej
organizacji, jej adres i zakres certyfikacji mogą zostać opublikowane.
4 Zakres certyfikacji
4.1. Zakres certyfikowanej działalności
Treść zakresu - wg informacji dotyczącej organizacji (dla całej organizacji- oddziały i

ich zakresy są zawarte tylko w informacji)
Zakres certyfikacji jest zgodny z informacją dotyczącą organizacji.
Wymagania normy ISO 9001: 2015, które nie mają zastosowania: …………………………………………………..
Wyłączenia wymagań normy ISO 13485: ……………………………….
Wyłączenia Załącznika A ISO/IEC 27001: ……………………………
Wymagania normy IATF 16949, które nie mają zastosowania: ..............................
Wymagania normy ISO 37001:2016, które nie mają zastosowania: …………………………………………………..
Uzasadnienie: niezastosowanie wymagań/wyłączenia jest/są uzasadnione specyfiką działania Organi-
zacji.
Wymaganie w Systemie Zarządzania Energią – ISO 50001: Przywołany powyżej zakres systemu zarządza-
nia energią obejmuje następujące rodzaje energii: …………………………………………………………. (Dotyczy auditu
SZE: biorąc pod uwagę, że zgodnie z normą ISO 50003 oraz ISO 50001:2018 pkt. 4.3 organizacja nie może
wyłączyć jakiegokolwiek rodzaju energii w tym miejscu powinny znaleźć się informacje o stosowanych
przez Organizację rodzajach energii np. energia elektryczna, olej opałowy, węgiel, koks itp.)
4.2. Zakres certyfikacji ze względu na lokalizacje (adresy)
Audit był przeprowadzony w siedzibie głównej. Organizacja nie posiada oddziałów i innych lokalizacji.
Audit był przeprowadzony w siedzibie głównej oraz w lokalizacjach przywołanych w informacji dotyczącej organi-
zacji, zgodnie z Planem auditu.
Audit był przeprowadzony w siedzibie głównej oraz w oddziałach przywołanych w informacji dotyczącej organiza-
cji, zgodnie z Planem auditu.
Audit był przeprowadzony w siedzibie głównej oraz w miejscach realizacji usług dla klienta, zgodnie z Planem au-
ditu.
Uwaga: należy wybrać zdanie i/ lub dostosować do danego auditu.
5 Ocena systemu zarządzania

Badaniem wdrożenia/utrzymywania i doskonalenia systemu zarządzania objęto procesy oraz obszary działalności
Organizacji zgodnie z Planem auditu. Wyniki oceny z auditu podano poniżej.
5.1. Ocena realizacji powołania zespołu auditorów na audit oraz planu auditu
Warunki wykonania auditu określone w powołaniu zespołu auditorów na audit zostały spełnione (jeżeli nie to
proszę wyjaśnić dlaczego, np. zmiana terminu). Uzgodniony plan auditu został zrealizowany w pełni.
W czasie wykonywania auditu, w planie auditu nie nastąpiły istotne zmiany/ nastąpiły następujące zmiany,
uzgodnione z Organizacją. Zmiany zostały wprowadzone z powodu:……………
5.2. Ocena zmian wewnętrznych i zewnętrznych w Organizacji, w tym udokumentowanych infor-

macji (i ich nadzoru) systemu zarządzania Organizacji od poprzedniego auditu
W okresie od ostatniego auditu nie nastąpiły istotne zmiany wewnętrzne w Organizacji. Nie nastąpiły zmiany wy-
nikające z uwarunkowań zewnętrznych. System zarządzania (informacje udokumentowane) jest odpowiedni i
Edycja nr: 8A
RAPORT Z AUDITU
przydatny do przyjętego zakresu certyfikacji.

Wprowadzono zmiany do następujących dokumentów: (wyraźnie w zakresie obowiązkowych dokumentów, np.
wymagana KJ czy procedury systemowe, Deklaracja Stosowania, polityki itp.- nazwa i aktualna edy-
cja)........................
Zmiany wprowadzone do dokumentacji są zgodne z wymaganiami normy/norm odniesienia (lub niezgodne i wte-
dy dopisujemy komentarze).
5.3. Ocena wykonania ustaleń z poprzedniego auditu

Wykonanie działań korekcyjnych i/lub korygujących wynikających z Raportu z etapu 1 auditu: …. (ten tekst ma za-
stosowanie gdy audit poprzedzający był auditem typu W).
Ocena działań korekcyjnych i/lub korygujących z poprzedniego auditu: w poprzednim audicie nie stwierdzono
niezgodności.
Na podstawie niezgodności stwierdzonych w poprzednim audicie przeprowadzono działania korygujące - wysta-
wiono Karty działań korygujących nr ……. Obserwacje zapisane w Ustaleniach z auditu zostały poddane analizie, a
na podstawie jej wyników przeprowadzono działania doskonalące.
5.4. Ocena wyników funkcjonowania systemu zarządzania w auditach aktualnego cyklu certyfikacji
(tylko dla ponownej certyfikacji, oceniamy cykl C2 lub Ox oraz Py i Pz)
Ocena nie ma zastosowania w tym audicie.
W ostatnim cyklu certyfikacji stwierdzono:
audit P..: .. niezgodności; ..obserwacji;
audit P..: .. niezgodności; ..obserwacji;
audit O..: .. niezgodności; ..obserwacji.
Na podstawie oceny wyników auditów z ostatniego cyklu certyfikacji stwierdzono że system zarządzania Organi-
zacji działa zgodnie z wymaganiami normy/norm odniesienia. Stwierdzone w tym okresie niezgodności stanowiły
podstawę do doskonalenia systemu zarządzania Organizacji. Wyniki funkcjonowania systemu zarządzania w cyklu
certyfikacji pokazują że Organizacja stosuje skuteczny system zarządzania.
Dotyczy tylko ABMS: W 3- letnim cyklu certyfikacji nie stwierdzono żadnego przypadku korupcji w realizowanych
transakcjach, projektach, działaniach, a także w relacjach z partnerami biznesowymi oraz z personelem lub wpisać
liczbę przypadków korupcji oraz ich trend.
5.5. Ocena skuteczności systemu zarządzania, w tym ocena zdolności do realizacji ustanowionej
polityki i osiągania celów
System zarządzania Organizacji działa skutecznie, realizuje założone cele oraz zapewnia realizację założonej poli-
tyki/polityk. Dla zwiększenia skuteczności systemu zarządzania podejmowano liczne działania doskonalące.
Dowodem na to jest osiągnięcie zaplanowanych celów określonych w …………………………………
5.6. Ocena zdolności systemu zarządzania Organizacji do zapewnienia spełnienia mających

zastosowanie w jej działalności wymagań przepisów prawnych, regulacyjnych i umów
System zarządzania Organizacji zapewnia zdolność do spełnienia przez Organizację mających zastosowanie wy-
magań, przepisów prawnych, regulacyjnych i umów, z wyjątkiem obszarów gdzie stwierdzono niezgodności doty-
czące powyższych wymagań.
5.7. Ocena poziomu integracji systemu zarządzania organizacji (ma zastosowanie wyłącznie dla zintegrowa-
nych systemów zarządzania)
Określony poziom integracji systemu zarządzania organizacji w ramach przeglądu wniosku jest określony właści-
wie. W przypadku rozszerzonego podejścia: Wyniki sesji planowania są zgodne z rzeczywistością.
Edycja nr: 8A
RAPORT Z AUDITU
5.8. Ocena i ustalenia z auditu na podstawie umowy o certyfikację

Umowa o certyfikacje jest realizowana. Znaki certyfikacji są stosowane zgodnie z umową, np. na listownikach. Or-
ganizacja nie stosuje znaków certyfikacji. Organizacja przekazuje do Biura Certyfikacji Systemów Zarządzania PRS
S.A. ważne informacje dotyczące zmian w systemie zarządzania.
5.9. Ocena zgodności z wymaganiami

Do oceny zastosowano następujące symbole:
O - wymagania wyłączone z auditu (zgodnie z „Planem auditu”).
W - wyłączenie wymagań/wymagania, które nie mają zastosowania (wskazane w punkcie 4 raportu).
 - wymagania spełnione (może wystąpić obserwacja).
― - wymagania niespełnione (występuje niezgodność).
Numer niezgodności/obserwacji – wg ustaleń z auditu.
Uwaga : należy pozostawić tylko te tabele, które są związane z danymi normami odniesienia.
5.9.1 Ocena i ustalenia z auditu wg wymagań normy ISO/IEC 27001:
Nr
WYMAGANIA NORMY Numer niezgodności/obserwacji,
punktu Ocena
ISO/IEC 27001 uwagi
normy
4 Kontekst Organizacji
4.1 Zrozumienie organizacji i jej kontekstu 
4.2 Zrozumienie potrzeb i oczekiwań stron zainteresowanych 
4.3 Określenie zakresu SZBI 
4.4 System zarządzania bezpieczeństwem informacji 
5 Przywództwo
5.1 Przywództwo i zaangażowanie 
5.2 Polityka 
5.3 Role, odpowiedzialność i uprawnienia 
6 Planowanie
6.1 Działania odnoszące się do ryzyk i szans 
6.2 Cele bezpieczeństwa informacji i planowanie ich osiągnięcia 
7 Wsparcie
7.1 Zasoby 
7.2 Kompetencje 
7.3 Uświadamianie 
7.4 Komunikacja 
7.5 Udokumentowane informacje 
8 Eksploatacja
8.1 Planowanie i nadzór nad działaniami operacyjnymi 
8.2 Szacowanie ryzyka w bezpieczeństwie informacji 
8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji 
9 Ocena wyników działalności
9.1 Monitorowanie, pomiary, analiza i ocena 
9.2 Audyt wewnętrzny 
Edycja nr: 8A
RAPORT Z AUDITU
Nr
WYMAGANIA NORMY Numer niezgodności/obserwacji,
punktu Ocena
ISO/IEC 27001 uwagi
normy
9.3 Przegląd zarządzania 
10 Doskonalenie
10.1 Niezgodność i działania korygujące 
10.2 Ciągłe doskonalenie 
Załącznik A do ISO/IEC 27001: 2013 Zabezpieczenia
Nr
Numer niezgodności /
zabezpie- Nazwa zabezpieczenia Ocena
obserwacji / uwagi
czenia
A.5 Polityki bezpieczeństwa informacji
A.5.1 Kierunki bezpieczeństwa informacji określane przez kierownictwo
A.5.1.1 Polityki bezpieczeństwa informacji 
A.5.1.2 Przegląd polityk bezpieczeństwa informacji 
A.6 Organizacja bezpieczeństwa informacji
A.6.1 Organizacja wewnętrzna
A.6.1.1 Role i odpowiedzialność za bezpieczeństwo informacji 
A.6.1.2 Rozdzielanie obowiązków 
A.6.1.3 Kontakty z organami władzy 
A.6.1.4 Kontakty z grupami zainteresowanych specjalistów 
A.6.1.5 Bezpieczeństwo informacji w zarządzaniu projektami 
A.6.2 Urządzenia mobilne i telepraca
A.6.2.1 Polityka stosowania urządzeń mobilnych 
A.6.2.2 Telepraca 
A.7 Bezpieczeństwo zasobów ludzkich
A.7.1 Przed zatrudnieniem
A.7.1.1 Postępowanie sprawdzające 
A.7.1.2 Warunki zatrudnienia 
A.7.2 Podczas zatrudnienia
A.7.2.1 Odpowiedzialność kierownictwa 
A.7.2.2 Uświadamianie, kształcenie i szkolenia z zakresu BI 
A.7.2.3 Postępowanie dyscyplinarne 
A.7.3 Zakończenie i zmiana zatrudnienia
A.7.3.1 Zakończenie zatrudnienia lub zmiana zakresu obowiązków 
A.8 Zarządzanie aktywami
A.8.1 Odpowiedzialność za aktywa
A.8.1.1 Inwentaryzacja aktywów 
A.8.1.2 Własność aktywów 
A.8.1.3 Akceptowalne użycie aktywów 
A.8.1.4 Zwrot aktywów 
Edycja nr: 8A
RAPORT Z AUDITU
Nr
obserwacji / uwagi
czenia
A.8.2.1 Klasyfikowanie informacji 
A.8.2.2 Oznaczanie informacji 
A.8.2.3 Postępowanie z aktywami 
A.8.3 Postępowanie z nośnikami
A.8.3.1 Zarządzanie nośnikami wymiennymi 
A.8.3.2 Wycofywanie nośników 
A.8.3.3 Przekazywanie nośników 
A.9 Kontrola dostępu
A.9.1 Wymagania biznesowe wobec kontroli dostępu
A.9.1.1 Polityka kontroli dostępu 
A.9.1.2 Dostęp do sieci i usług sieciowych 
A.9.2 Zarządzanie dostępem użytkowników
A.9.2.1 Rejestrowanie i wyrejestrowanie użytkowników 
A.9.2.2 Przydzielenie dostępu użytkownikom 
A.9.2.3 Zarządzanie prawami uprzywilejowanego dostępu 
A.9.2.4 Zarządzanie poufnymi informacjami uwierzytelniającymi użytkowników 
A.9.2.5 Przegląd praw dostępu użytkowników 
A.9.2.6 Odbieranie lub dostosowywanie praw dostępu 
A.9.3 Odpowiedzialność użytkowników
A.9.3.1 Stosowanie poufnych informacji uwierzytelniających 
A.9.4 Kontrola dostępu do systemów i aplikacji
A.9.4.1 Ograniczanie dostępu do informacji 
A.9.4.2 Procedury bezpiecznego logowania 
A.9.4.3 System zarządzania hasłami 
A.9.4.4 Użycie uprzywilejowanych programów narzędziowych 
A.9.4.5 Kontrola dostępu do kodu źródłowego programu 
A.10 Kryptografia
A.10.1 Zabezpieczenia kryptograficzne
A.10.1.1 Polityka stosowania zabezpieczeń kryptograficznych 
A.10.1.2 Zarządzanie kluczami 
A.11 Bezpieczeństwo fizyczne i środowiskowe
A.11.1 Obszary bezpieczne
A.11.1.1 Fizyczna granica obszaru bezpiecznego 
A.11.1.2 Fizyczne zabezpieczenie wejść 
A.11.1.3 Zabezpieczenie biur, pomieszczeń i obiektów 
A.11.1.4 Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi 
A.11.1.5 Praca w obszarach bezpiecznych 
A.11.1.6 Obszary dostaw i załadunku 
Edycja nr: 8A
RAPORT Z AUDITU
Nr
obserwacji / uwagi
czenia
A.11.2 Sprzęt
A.11.2.1 Lokalizacja i ochrona sprzętu 
A.11.2.2 Systemy wspomagające 
A.11.2.3 Bezpieczeństwo okablowania 
A.11.2.4 Konserwacja sprzętu 
A.11.2.5 Wynoszenie aktywów 
A.11.2.6 Bezpieczeństwo sprzętu i aktywów poza siedzibą 
A.11.2.7 Bezpieczne zbywanie lub przekazywanie do ponownego użycia 
A.11.2.8 Pozostawianie sprzętu użytkownika bez opieki 
A.11.2.9 Polityka czystego biurka i czystego ekranu 
A.12 Bezpieczna eksploatacja
A.12.1 Procedury eksploatacyjne i odpowiedzialność
A.12.1.1 Dokumentowanie procedur eksploatacyjnych 
A.12.1.2 Zarządzanie zmianami 
A.12.1.3 Zarządzanie pojemnością 
A.12.1.4 Oddzielanie środowisk rozwojowych, testowych i produkcyjnych 
A.12.2 Ochrona przed złośliwym oprogramowaniem
A.12.2.1 Zabezpieczenie przed złośliwym oprogramowaniem 
A.12.3 Kopie zapasowe
A.12.3.1 Zapasowe kopie informacji 
A.12.4 Rejestrowanie zdarzeń i monitorowanie
A.12.4.1 Rejestrowanie zdarzeń 
A.12.4.2 Ochrona informacji w dziennikach zdarzeń 
A.12.4.3 Rejestrowanie działań administratorów i operatorów 
A.12.4.4 Synchronizacja zegarów 
A.12.5 Nadzór na oprogramowaniem produkcyjnym
A.12.5.1 Instalacja oprogramowania w systemach produkcyjnych 
A.12.6 Zarządzanie podatnościami technicznymi
A.12.6.1 Zarządzanie podatnościami technicznymi 
A.12.6.2 Ograniczenia w instalowaniu oprogramowania 
A.12.7 Rozważania dotyczące audytów systemów informacyjnych
A.12.7.1 Zabezpieczenia audytu systemów informacyjnych 
A.13 Bezpieczeństwo komunikacji
A.13.1 Zarządzanie bezpieczeństwem sieci
A.13.1.1 Zabezpieczenia sieciowe 
A.13.1.2 Bezpieczeństwo usług sieciowych 
A.13.1.3 Rozdzielanie sieci 
A.13.2 Przesyłanie informacji
A.13.2.1 Polityki i procedury przesyłania informacji 
Edycja nr: 8A
RAPORT Z AUDITU
Nr
obserwacji / uwagi
czenia
A.13.2.2 Porozumienia dotyczące przesyłania informacji 
A.13.2.3 Wiadomości elektroniczne 
A.13.2.4 Umowy o zachowaniu poufności 
A.14 Pozyskiwanie, rozwój i utrzymanie systemów
A.14.1 Wymagania związane z bezpieczeństwa systemów informacyjnych
A.14.1.1 Analiza i specyfikacja wymagań bezpieczeństwa informacji 
A.14.1.2 Zabezpieczania usług aplikacyjnych w sieciach publicznych 
A.14.1.3 Ochrona transakcji usług aplikacyjnych 
A.14.2 Bezpieczeństwo w procesach rozwoju i wsparcia
A.14.2.1 Polityka bezpieczeństwa prac rozwojowych 
A.14.2.2 Procedury kontroli zmian w systemach 
A.14.2.3 Przegląd techniczny aplikacji po zmianach w platformie produkcyjnej 
A.14.2.4 Ograniczenia dotyczące zmian w pakietach oprogramowania 
A.14.2.5 Zasady projektowania bezpiecznych systemów 
A.14.2.6 Bezpieczne środowisko rozwojowe 
A.14.2.7 Prace rozwojowe zlecane pomiotom zewnętrznym 
A.14.2.8 Testowanie bezpieczeństwa systemów 
A.14.2.9 Testy akceptacyjne systemów 
A.14.3 Dane testowe
A.14.3.1 Ochrona danych testowych 
A.15 Relacje z dostawcami
A.15.1 Bezpieczeństwo informacji w relacjach z dostawcami
A.15.1.1 Polityka bezpieczeństwa informacji w relacjach z dostawcami 
A.15.1.2 Uwzględnianie bezpieczeństwa w porozumieniach z dostawcami 
A.15.1.3 Łańcuch dostaw technologii informacyjnych i telekomunikacyjnych 
A.15.2 Zarządzanie usługami świadczonymi przez dostawców
A.15.2.1 Monitorowanie i przegląd usług świadczonych zez dostawców. 
A.15.2.2 Zarządzanie zmianami w usługach świadczonych przez dostawców 
A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji
A.16.1 Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami
A.16.1.1 Odpowiedzialność i procedury 
A.16.1.2 Zgłaszanie zdarzeń związanych z BI 
A.16.1.3 Zgłaszanie słabości związanych z BI 
A.16.1.4 Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z BI 
A.16.1.5 Reagowanie na incydenty związane z BI 
A.16.1.6 Wyciąganie wniosków z incydentów związanych z BI 
A.16.1.7 Gromadzenie materiału dowodowego 
Edycja nr: 8A
RAPORT Z AUDITU
Nr
obserwacji / uwagi
czenia
A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
A.17.1 Ciągłość bezpieczeństwa informacji
A.17.1.1 Planowanie ciągłości BI 
A.17.1.2 Wdrażanie ciągłości BI 
A.17.1.3 Weryfikowanie, przegląd i ocena ciągłości BI 
A.17.2 Nadmiarowość
A.17.2.1 Dostępność środków przetwarzania informacji 
A.18 Zgodność
A.18.1 Zgodność z wymaganiami prawnymi i umownymi
A.18.1.1 Określenie stosownych wymagań prawnych i umownych 
A.18.1.2 Prawa własności intelektualnej 
A.18.1.3 Ochrona zapisów 
A.18.1.4 Prywatnośćiochrona danych identyfikującychosobę 
A.18.1.5 Regulacje dotyczące zabezpieczeń kryptograficznych 
A.18.2 Przeglądy bezpieczeństwa informacji
A.18.2.1 Niezależny przegląd BI 
A.18.2.2 Zgodność z politykami bezpieczeństwa i standardami 
A.18.2.3 Sprawdzanie zgodności technicznej 
Załącznik A do ISO/IEC 27001: 2022 Zabezpieczenia
Nr
obserwacji / uwagi
czenia
A.5 Zabezpieczenia organizacyjne
A.5.1 Polityka BI 
A.5.2 Role i obowiązki w zakresie BI 
A.5.3 Podział obowiązków 
A.5.4 Obowiązki kierownictwa 
A.5.5 Kontakt z organami władzy 
A.5.6 Kontakt z grupami szczególnego zainteresowania 
A.5.7 Wywiad o zagrożeniach 
A.5.8 BI w zarządzaniu projektem 
A.5.9 Inwentaryzacja informacji i innych powiązanych aktywów 
A.5.10 Akceptowalne wykorzystanie informacji i innych powiązanych aktywów 
A.5.11 Zwrot aktywów 
A.5.12 Klasyfikacja informacji 
A.5.13 Oznaczanie informacji 
A.5.14 Przekazywanie informacji 
A.5.15 Kontrola dostępu 
A.5.16 Zarządzanie tożsamością 
Edycja nr: 8A
RAPORT Z AUDITU
Nr
obserwacji / uwagi
czenia
A.5.17 Informacje uwierzytelniające 
A.5.18 Prawa dostępu 
A.5.19 BI w relacjach z dostawcami 
A.5.20 Uwzględnianie BI w umowach z dostawcami 
A.5.21 Zarządzanie BI w łańcuchu dostaw ICT 
A.5.22 Monitorowanie, przegląd i zarządzanie zmianami w usługach dostawców 
A.5.23 BI w zakresie korzystania z usług w chmurze 
A.5.24 Planowanie i przygotowanie zarządzania incydentami BI 
A.5.25 Ocena i podejmowanie decyzji dotyczących zdarzeń związanych z BI 
A.5.26 Reagowanie na incydenty BI 
A.5.27 Wyciąganie wniosków z incydentów BI 
A.5.28 Gromadzenie dowodów 
A.5.29 BI podczas zakłóceń 
A.5.30 Gotowość ICT do zapewnienia ciągłości działania 
A.5.31 Wymagania prawne, ustawowe, wykonawcze i umowne 
A.5.32 Prawa własności intelektualnej 
A.5.33 Ochrona dokumentacji 
A.5.34 Prywatność i ochrona informacji osobistych 
A.5.35 Niezależny przegląd BI 
A.5.36 Zgodność z polityką, przepisami i normami dotyczącymi BI 
A.5.37 Udokumentowane procedury operacyjne 
A.6 Zabezpieczenia osób
A.6.1 Postępowanie sprawdzające 
A.6.2 Warunki zatrudnienia 
A.6.3 Świadomość, edukacja i szkolenie w zakresie BI 
A.6.4 Proces dyscyplinarny 
A.6.5 Odpowiedzialność po rozwiązaniu lub zmianie zatrudnienia 
A.6.6 Porozumienia o poufności lub nieujawnianiu informacji 
A.6.7 Praca zdalna 
A.6.8 Zgłaszanie zdarzeń dotyczących BI 
A.7 Zabezpieczenia fizyczne
A.7.1 Granice bezpieczeństwa fizycznego 
A.7.2 Wejście fizyczne 
A.7.3 Zabezpieczanie biur, pomieszczeń i obiektów 
A.7.4 Monitorowanie bezpieczeństwa fizycznego 
A.7.5 Ochrona przed zagrożeniami fizycznymi i środowiskowymi 
A.7.6 Praca w bezpiecznych miejscach 
A.7.7 Czyste biurko i czysty ekran 
A.7.8 Rozmieszczenie i ochrona sprzętu 
Edycja nr: 8A
RAPORT Z AUDITU
Nr
obserwacji / uwagi
czenia
A.7.9 Ochrona zasobów poza siedzibą firmy 
A.7.10 Nośniki danych 
A.7.11 Obsługa mediów 
A.7.12 Zabezpieczenie okablowania 
A.7.13 Konserwacja sprzętu 
A.7.14 Bezpieczne usuwanie lub ponowne wykorzystywanie sprzętu 
A.8 Zabezpieczenia technologiczne
A.8.1 Urządzenia punktów końcowych użytkowników 
A.8.2 Uprzywilejowane prawa dostępu 
A.8.3 Ograniczenie dostępu do informacji 
A.8.4 Dostęp do kodu źródłowego 
A.8.5 Bezpieczne uwierzytelnianie 
A.8.6 Zarządzanie pojemnością 
A.8.7 Ochrona przed złośliwym oprogramowaniem 
A.8.8 Zarządzanie podatnościami technicznymi 
A.8.9 Zarządzanie konfiguracją 
A.8.10 Usuwanie informacji 
A.8.11 Maskowanie danych 
A.8.12 Zapobieganie wyciekom danych 
A.8.13 Tworzenie kopii zapasowych informacji 
A.8.14 Redundancja urządzeń przetwarzających informacje 
A.8.15 Rejestrowanie danych 
A.8.16 Monitorowanie działań 
A.8.17 Synchronizacja zegara 
A.8.18 Korzystanie z uprzywilejowanych programów użytkowych 
A.8.19 Instalacja oprogramowania w systemach operacyjnych 
A.8.20 Bezpieczeństwo sieci 
A.8.21 Bezpieczeństwo usług sieciowych 
A.8.22 Segregacja sieci 
A.8.23 Filtrowanie stron internetowych 
A.8.24 Stosowanie kryptografii 
A.8.25 Cykl życia bezpiecznego rozwoju 
A.8.26 Wymagania dotyczące bezpieczeństwa aplikacji 
A.8.27 Bezpieczna architektura systemu i zasady inżynierii 
A.8.28 Bezpieczne kodowanie 
A.8.29 Testy bezpieczeństwa w fazie rozwoju i odbioru 
A.8.30 Rozwój zlecony na zewnątrz 
A.8.31 Rozdzielenie środowisk rozwojowych, testowych i produkcyjnych 
A.8.32 Zarządzanie zmianami 
Edycja nr: 8A
RAPORT Z AUDITU
Nr
obserwacji / uwagi
czenia
A.8.33 Informacje o testach 
A.8.34 Ochrona systemów informatycznych podczas testów audytowych 
6 Wnioski i rekomendacje
6.1. Wnioski ogólne:
Audit dostarczył dowodów, że System Zarządzania Organizacji jest wdrożony/utrzymywany
i doskonalony, zgodnie z wymaganiami normy/norm odniesienia oraz innymi mającymi zastosowa-
nie wymaganiami, z wyjątkiem obszarów, w których stwierdzono niezgodności. W audicie nie
stwierdzono niezgodności. Zapisane w Ustaleniach z auditu obserwacje wskazują potencjalne ob-
szary do doskonalenia systemu zarządzania. (należy dostosować w zależności od wyniku auditu).
6.2. Silne strony Organizacji:
• ..................
• ..................
• ..................
6.3. Wnioski dotyczące przebiegu auditu

W trakcie auditu nie wystąpiły żadne problemy związane z przebiegiem auditu. Organizacja nie zgłosiła żadnych
rozbieżnych z auditorami opinii, które wymagałyby rozstrzygnięcia przez Biuro Certyfikacji Systemów Zarządzania. Jeżeli
wystąpiły, to jakie? Szczególnie dotyczące braku zgody organizacji na niezgodności (do rozstrzygnięcia przez Biu-
ro).
6.4. Wnioski dotyczące potwierdzenia , że cele auditu zostały spełnione
Przebieg auditu oraz dowody uzyskane w trakcie auditu potwierdzają, że cele auditu zostały osiągnięte. W audicie
nie stosowano technologii informacyjno- komunikacyjnych (ICT). W audicie zastosowano technologie
ICT w następującym zakresie: ……………. Zastosowane technologie ICT były skuteczne w zakresie osiąga-
nia celów auditu. Zasady bezpieczeństwa informacji w audicie zdalnym zostały zachowane (np. wszelkie
pliki przekazane przez Organizację na potrzeby auditu zdalnego zostały skasowane przez audytorów po
zakończeniu auditu). Dodatkowe cele auditu wynikające z Powołania zespołu auditorów zostały osią-
gnięte: …. (dopisać jakie) Jeżeli duże niezgodności to dodatkowe wnioski, np. odnośnie konieczności wykonania
auditu specjalnego
6.5. Wnioski i ustalenia szczegółowe dotyczące ISO/IEC 27001

Najwyższe kierownictwo przyjęło i zapewniło realizację polityki bezpieczeństwa informacji. Zidentyfikowano ak-
tywa i oceniono występujące w Organizacji zagrożenia. Ustalono występujące w Organizacji ryzyka związane
z bezpieczeństwem informacji oraz określono sposób postępowania z ryzykiem. Określono Deklarację stosowania
zabezpieczeń dla ograniczenia ryzyk oraz zapewnienia działania Organizacji zgodnego z obowiązującym prawem
i innymi zobowiązaniami Organizacji, dla zapewnienia bezpieczeństwa informacji wykorzystywanej w działalności
Organizacji. Ustanowiony system zarządzania bezpieczeństwem informacji podlega doskonaleniu.
Edycja nr: 8A
RAPORT Z AUDITU
6.6. Rekomendacja podstawowa:
Wydać certyfikat:
- bo nie stwierdzono niezgodności ✓

- po zaplanowaniu i/lub wykonaniu działań korygujących i/lub korekcyjnych
- po audicie specjalnym dotyczącym oceny wykonania działań korygujących

i/lub korekcyjnych
- ze względu na potrzebę doprecyzowania zakresu certyfikacji
lub zmian formalnych dotyczących Organizacji (adresu, nazwy)
Nie wydawać certyfikatu:
Utrzymać ważność certyfikatu:
- bo nie stwierdzono niezgodności
- pod warunkiem zaplanowania i wykonania działań korygujących i/lub korekcyjnych
Inne rekomendacje odnośnie certyfikacji

(wynikające z dodatkowych celów, w tym z auditu specjalnego)
- np. zawieszenie/cofnięcie
6.7. Rekomendacje uzupełniające:

6.7.1 Warunkiem wydania certyfikatu jest przeprowadzenie analizy przyczyn i opisanie określonych korekcji
i działań korygujących, podjętych lub zaplanowanych do realizacji, w celu wyeliminowania stwierdzonych
niezgodności, w terminie do daty ważności certyfikacji lub 3 miesięcy od daty auditu.
6.7.2 Warunkiem utrzymania certyfikatu jest przeprowadzenie analizy przyczyn i opisanie określonych korekcji i
działań korygujących, podjętych lub zaplanowanych do realizacji, w celu wyeliminowania stwierdzonych
niezgodności, w terminie do 3 miesięcy od daty auditu.
6.7.3 Zapisy wynikające z własnej procedury Organizacji (formularz (-e) wynikające z pisemnej procedury działań
korygujących poświadczające przeprowadzenie analizy przyczyn i opisanie określonych korekcji i działań
korygujących, podjętych lub zaplanowanych do realizacji, w celu wyeliminowania stwierdzonych niezgod-
ności należy przesłać do Biura Certyfikacji Systemów Zarządzania PRS S.A.
6.7.4 Przeprowadzona analiza przyczyn i opisane określone korekcje i działania korygujące, podjęte lub
zaplanowane do realizacji, w celu wyeliminowania stwierdzonych niezgodności zostaną zweryfikowane
przez Biuro Certyfikacji Systemów Zarządzania PRS S.A:
- po przesłaniu zapisów poświadczających ich zaplanowanie lub wykonanie do Biura Certyfikacji Syste-
mów Zarządzania PRS S.A: oraz
- podczas następnego planowanego auditu / lub na audicie specjalnym (patrz 6.4).
6.7.5 Inne rekomendacje uzupełniające np. dotyczące wydania certyfikatu na podstawie auditu nadzoru
ze względu na potrzebę doprecyzowania (ale nie zmiany) zakresu certyfikacji, z utrzymaniem ważności
certyfikatu wg ważnego certyfikatu w trakcie auditu.
6.7.6 Zaleca się Organizacji przeanalizowanie ryzyk związanych z stwierdzonymi obserwacjami oraz na jej pod-
stawie zaproponowanie i realizację działań doskonalących.
Dokumenty certyfikacyjne w programie ISMS
• Dokumenty certyfikacyjne powinna podpisywać osoba, której powierzono takie

obowiązki.
• Dokumenty certyfikacyjne powinny obejmować wersję Deklaracji Stosowania.
Uwaga: Zmiana Deklaracji Stosowania, która nie zmienia opisu zabezpieczeń
w zakresie certyfikacji, nie wymaga wystawiania nowego dokumentu certyfikacyjnego
• Dokumenty certyfikacyjne mogą również uwzględniać normy specyficzne dla sektora.
www.prs.pl 10
Kompetencje Auditorów ISMS
Norma ISO/IEC 27006:2020 wymaga od auditorów:
a) ma wykształcenie zawodowe lub przeszedł szkolenie na poziomie równoważnym wykształceniu wyższemu,
b) co najmniej 4 lata pracował na pełnym etacie w instytucjach zajmujących się techniką informatyczną
z czego co najmniej 2 lata pełnił (wykonywał) funkcje związane z BI,
c) ukończyli 5 dniowe szkolenie, którego zakres obejmował audyt SZBI i zarzadzanie audytem,
d) ma doświadczenie w zakresie całego procesu oceny BI uzyskane poprzez udział
w co najmniej 1 dwuetapowy audit początkowej certyfikacji SZBI oraz minimum 1 audit nadzoru; czas
przeprowadzenia auditów (na miejscu) wynosi 10 audito-dni (realizacja stażu nie może przekroczyć 5 lat);
udział w audicie powinien obejmować przegląd dokumentacji i analizę (szacowanie ryzyka), ocenę
wdrożenia, kwestionariusz i raport z auditu,
e) ma odpowiednie doświadczenie
f) na bieżąco uaktualnia swoją wiedzę i umiejętności w zakresie BI i prowadzenia auditu.
www.prs.pl 11
1. Wymagania ogólne
Jednostka certyfikująca powinna zapewnić kryteria weryfikacji profesjonalnego
doświadczenia, specjalistycznych szkoleń lub instruktaży członków zespołu auditującego,
które gwarantują co najmniej:
a) wiedzę w zakresie BI,
b) wiedzę techniczną na temat działalności będącej przedmiotem auditu,
c) wiedzę na temat systemów zarzadzania,
d) wiedzę w zakresie auditowania (ISO 19011; ISO/IEC 27007),
e) wiedzę na temat monitorowania, pomiarów analizy i oceny SZBI (ISO/IEC 27002).
www.prs.pl 12
2. Terminologia, zasady, praktyki i techniki dot. ZBI
Wszyscy członkowie zespołu auditujacego powinni mieć wiedzę
w zakresie:
a) struktury, hierarchii i wzajemnego powiązania pomiędzy dokumentami specyficznymi dla
SZBI,
b) narzędzi, metod i technik ZBI oraz ich zastosowania (ISO/IEC 27004),
c) szacowania ryzyka w BI i zarzadzania ryzykiem (ISO 31000; ISO/IEC 27005),
d) procesów mających zastosowanie w SZBI (ISO/IEC 27003),
e) aktualnego stanu techniki, który może mieć związek z BI lub może stanowić dla niego
istotne zagadnienie.
www.prs.pl 13
Edycja nr: 8A
RAPORT Z AUDITU
6.7.7 Organizacja jest zobowiązana do informowania Biura Certyfikacji Systemów Zarządzania PRS S.A.
o znaczących zmianach w systemie zarządzania, w szczególności do przesyłania aktualnych wymaganych
dokumentów systemu zarządzania (np. Księgi Jakości).
7 Załączniki
Program auditów Form. 3/PCS-01/QMS (plik doc),
Plan auditu Form. 4/PCS-01/QMS (plik pdf),
Kwestionariusz auditu Form. 5/PCS-01/QMS (plik pdf - x plików),
(pliki kwestionariuszy oznaczone są inicjałami audytorów, np. kwestiona-
riusz_NC_XXXXp3_INi.pdf)
Kwestionariusz z auditu ISMS Form. 1/PCS/ISMS (plik pdf - x plików),
(pliki kwestionariuszy oznaczone są inicjałami audytorów, np. kwestiona-
riusz_NC_XXXXp3_ISMS_INi.pdf).
Załącznik 1 do kwestionariusza auditu Zał. 1 Form. 5/PCS-01/QMS (plik pdf),
Ustalenia z auditu Form. 6/PCS-01/QMS (plik pdf i kopia papierowa przekazana Organizacji w
trakcie auditu),
8 Rozdzielnik
Raport z auditu otrzymuje Organizacja (plik w formacie PDF) bez Kwestionariusza auditu oraz Programu auditów).
Raport jest własnością Biura Certyfikacji Systemów Zarządzania PRS S.A.
Auditor wiodący2: Data:

Imię Nazwisko rrrr-mm-dd
Uwagi:
1 Do niniejszego Raportu i/lub przebiegu auditu przysługuje Organizacji prawo zgłaszania uwag. Brak zgło-
szenia uwag, w terminie 10 dni od otrzymania raportu, uznane będzie za przyjęcie treści Raportu.
2 Sformułowania w rekomendacji typu „wydać certyfikat” są równorzędne pojęciu „udzielić certyfikacji”.
Uwaga dla auditora (do usunięcia): z formularza można usuwać tylko treści oznaczone kolorem zielonym. Treści
oznaczone kolorem niebieskim należy dopasować do aktualnego auditu. Opracowany raport ma zawierać wyłącz-
nie czarne czcionki (Crt + Alt + czarna czcionka) !!!
2
dokument jest autoryzowany przez auditora wiodącego w formie wpisu imienia i nazwiska.
3. Normy i dokumenty normatywne dot. SZBI
Auditorzy zaangażowani do auditowania SZBI powinni mieć wiedzę
w zakresie:
a) wszystkich wymagań zamieszczonych w ISO/IEC 27001,
b) wszystkich zabezpieczeń podanych w ISO/IEC 27002 (i jeśli uznano to za konieczne,
również w normach dotyczących danego sektora oraz ich wdrożenia).
www.prs.pl 14
4. Zasady zarządzania działalnością biznesową
Auditorzy zaangażowani w auditowania SZBI powinni mieć wiedzę
w zakresie:
a) dobrych praktyk BI w różnych sektorach i procedur BI,
b) polityki i wymagań biznesowych dot. BI,
c) ogólnych koncepcji zarzadzania działalnością biznesową, zasad
i wewnętrznych zależności między polityką, celami i wynikami,
d) procesów zarządzania i związanej z nimi terminologii.
Uwaga:
Powyższe obejmuje również zarzadzanie zasobami ludzkimi, wewnętrzną i zewnętrzną komunikację oraz inne odpowiednie procesy
www.prs.pl 15
5. Sektor działalności biznesowej Organizacji
Auditorzy zaangażowani w auditowanie SZBI powinni mieć wiedzę
w zakresie:
a) wymagań prawnych i regulacyjnych dot. poszczególnych obszarów BI, geograficznych i
prawodawstwa,
(nie implikuje to wszechstronnego wykształcenia prawniczego)
b) ryzyka BI w odniesieniu do całego sektora biznesowego,
c) ogólnej terminologii, procesów i technologii związanych
z sektorem biznesowym Organizacji,
d) zasad istotnych w tym sektorze biznesowym.
www.prs.pl 16
DZIĘKUJĘ ZA UWAGĘ!
THANK YOU FOR YOUR ATTENTION
Michał Gałecki
Telefon: +48 605228910, e-mail: Michal.Galecki@prs.pl
www.prs.pl

Nowe Rodzina 27XXX

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Nowe Rodzina 27XXX

Uploaded by

Copyright:

Available Formats

Certyfikacja ISMS

Terminologia PN-EN ISO/IEC 27000:2020-07 (E)

Zapewnia podstawę, terminy i definicje możliwe do stosowania w rodzinie norm SZBI

ISO/IEC 27001:2022-10 (E) PN-EN ISO/IEC 27006:2021-05 (E)

PN-EN ISO/IEC 27002:2023-01 (E) PN-EN ISO/IEC 27007:2022-06 (E)

ISO/IEC 27003:2017 PN-ISO 31000:2018-08 (E)

PN-ISO/IEC 27004:2017-07 (E)

Firmy telekomunikacyjne (12.2016)

PN-EN ISO/IEC 27799:2016-10(P) ISO/IEC 27019:2017

ISO/IEC 27000:2018 Information technology — Security

ISO/IEC 27001:2022 Information security, cybersecurity and

SO/IEC 27002:2022 Information security, cybersecurity and

ISO/IEC 27003:2017 Information technology — Security

ISO/IEC 27004:2016 Information technology — Security

ISO/IEC 27005:2022 Information security, cybersecurity and

ISO/IEC 27006:2015 Information technology — Security

ISO/IEC 27007:2020 Information security, cybersecurity and privacy

ISO/IEC 27011:2016 Information technology — Security techniques —

ISO/IEC 27007:2020 Information security, cybersecurity and privacy

ISO/IEC 27013:2021 Information security, cybersecurity and privacy protection

ISO/IEC 27019:2017 Information technology — Security techniques —

ISO 27799:2016 Health informatics — Information security

ISO 31000:2018 Risk management — Guidelines (2018-02-14)

W porównaniu z poprzednim wydaniem,

15. 5.15 09.1.1, 09.1.2 Kontrola dostępu

18. 5.18 09.2.2, 09.2.5, 09.2.6 Prawa dostępu

19. 5.19 15.1.1 Bezpieczeństwo informacji w relacjach z dostawcami

75. 8.16 Nowy Monitorowanie

Czerwony – nowe zabezpieczenia

Zielony – zabezpieczenia połączone

Czarny – zabezpieczenia zaktualizowane (przeredagowane)

 zmieniono kolejność dwóch podrozdziałów w rozdziale 10 – Doskonalenie

KWESTIONARIUSZ AUDITU NC -….. / …….

SYSTEMU ZARZĄDZANIA NA ZGODNOŚĆ Z WYMAGANIAMI:

Data auditu: rrrr-mm-dd

KWESTIONARIUSZ AUDITU NC -….. / …….

KRYTERIA OCENY/WERYFIKACJI MOŻLIWOŚCI PRZEPROWADZENIA AUDITU ZDALNEGO

Lp. Wymagania związane z warunkami przeprowadzenia auditu zdalnego Ocena1:

1 W audicie stosuje się następujące środki ICT: +

2 Wybrane technologie informacyjno-komunikacyjne zapewniają skuteczne przeprowadzenie auditu zdal- +

3 Organizacja i auditor posiadają sprawną i odpowiednią infrastrukturę umożliwiającą zastosowanie tech- +

4 Przedstawiciele Organizacji i zespół auditorów potrafią obsługiwać urządzenia ICT. +

1 „+”- spełniono wymagania; „-„- nie spełniono wymagania.

KWESTIONARIUSZ AUDITU NC -….. / …….

WYMAGANIA OBLIGATORYJNE DLA KAŻDEGO AUDITU

Tabela 1 Punkty planu auditu: …………....

1 Przegląd i ocena zmian w Organizacji:

3 Ocena działań podjętych w odniesieniu do ustaleń (niezgodności/obserwacji) zidentyfikowanych podczas po-

4 Weryfikacja zakresu i informacji dotyczącej organizacji

KWESTIONARIUSZ AUDITU NC -….. / …….

Tabela 1 Punkty planu auditu: …………....

7 Aktualne wymagane przez Biuro Certyfikacji Systemów Zarządzania dokumenty Organizacji:

KWESTIONARIUSZ AUDITU NC -….. / …….

WYMAGANIA OBLIGATORYJNE DLA KAŻDEGO AUDITU

Tabela 2 Punkty planu auditu: …………....

4.1 Zrozumienie organizacji i jej kontekstu:

KWESTIONARIUSZ AUDITU NC -….. / …….

Tabela 2 Punkty planu auditu: …………....

9.2 Audit wewnętrzny:

KWESTIONARIUSZ AUDITU NC -….. / …….

WYMAGANIA DODATKOWE DLA PROGRAMU ISMS

Tabela 6 Punkty planu auditu: …………....

KWESTIONARIUSZ AUDITU NC -….. / …….