Outsourcing Pełnomocnika ds. Cyberbezpieczeństwa

Cyberbezpieczeństwo polega przede wszystkim na zapewnianiu bezpieczeństwa danych i ciągłości działania biznesu. Do najważniejszych zasobów każdej organizacji zalicza się 3 główne elementy: kapitał, infrastrukturę IT oraz informacje. Aby zapewnić ich bezpieczeństwo organizacja powinna zaimplementować szereg zabezpieczeń, do których możemy zaliczyć zarządzanie ryzykiem, uświadamianie pracowników organizacji czy opracowanie i wdrożenie skutecznych procedur reagowania na incydenty bezpieczeństwa.

Na wszystkie podmioty, których funkcjonowanie jest istotne z punktu widzenia bezpieczeństwa państwa Ustawa o Krajowym Systemie Cyberbezpieczeństwa nakłada konkretne obowiązki. Organizacje objęte tą regulacją powinny wdrożyć nowe procedury, przeprowadzić audyty wewnętrzne oraz opracować lub zaktualizować dokumentację. Dotyczy to w szczególności operatorów usług kluczowych, ale nie tylko – wraz z wejściem w życie ustawy nowe obowiązki obejmą także inne organizacje, które wykonują zadania z zakresu użyteczności publicznej.

Krajowy System Cyberbezpieczeństwa, którego celem jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i dostarczania usług cyfrowych, obejmuje m.in.:

  • podmioty publiczne;
  • operatorów usług kluczowych;
  • spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu ustawy z dnia 20 grudnia 1996 r. ustawy o gospodarce komunalnej.

Pełnimy funkcję Pełnomocnika ds. Cyberbezpieczeństwa

Przy realizacji swoich obowiązków Pełnomocnik ds. Cyberbezpieczeństwa współpracuje z przedstawicielem Klienta zapewniając prawidłową realizację funkcji nadzoru cyberbezpieczeństwa w obszarze prawnym, organizacyjnym i technicznym, w szczególności wypełniając następujące zadania:

  • Nadzór nad dokumentacją cyberbezpieczeństwa na etapie jej opracowywania, weryfikacji, aktualizacji, udostępniania i przechowywania;
  • Akceptację zmian w dokumentacji cyberbezpieczeństwa proponowanych przez Zespół ds. Cyberbezpieczeństwa,
  • Planowanie, koordynacja i nadzór nad opracowywaniem, wdrażaniem i funkcjonowaniem Systemu Zarządzania Bezpieczeństwem Informacji oraz Systemu Zarządzania Ciągłością Działania,
  • Nadzorowanie audytów wewnętrznych, nadzór nad realizacją ustaleń wynikających z audytów,
  • Nadzór nad procesem zarządzania ryzykiem,
  • Prowadzenie rejestru incydentów cyberbezpieczeństwa,
  • Współudział w akceptacji oraz wdrażaniu działań naprawczych wynikających z szacowania ryzyka oraz zaistniałych incydentów cyberbezpieczeństwa,
  • Kontakt z podmiotami Krajowego Systemu Cyberbezpieczeństwa,
  • Przedstawianie sprawozdań  dotyczących funkcjonowania systemu cyberbezpieczeństwa oraz realizacji celów, jak również informowanie o skuteczności tego systemu,
  • Dokonywanie przeglądów zarządzania Systemu Cyberbezpieczeństwa min. 1 raz w orku oraz raportowanie wyników przeglądów.

Pełnomocnik ds. Cyberbezpieczeństwa może zostać powołany na dowolnym etapie wdrożenia wymagań UoKSC: przed wdrożeniem, w jego trakcie lub po jego zakończeniu. Na każdym ze wspomnianych etapów jego rola jest bardzo istotna:

  • Przed wdrożeniem – przeprowadzenie audytu „0” (stanu obecnego) w organizacji, określenie celu i zakresu wdrożenia oraz oszacowanie czasu jego trwania;
  • W trakcie wdrożenia – przygotowanie i aktualizacja dokumentacji, szkolenia pracowników, wydawanie rekomendacji;
  • Po wdrożeniu – utrzymywanie aktualności dokumentacji i rejestrów, pełnienie funkcji Punktu Kontaktowego dla CSIRT, bieżące utrzymywanie Systemu Zarządzania Cyberbezpieczeństwem, nadzorowanie corocznych audytów.

 

Pełnomocnik ds. Cyberbezpieczeństwa w szczególności powinien znać treść norm

ISO 27001, 27002, 22301, 27005 oraz 27035

oraz

Ustawy o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 r.