Rekomendacje Centrum e-Zdrowia dotyczące realizacji audytu oceny poziomu dojrzałości cyberbezpieczeństwa | Centrum e-Zdrowia

Dla podmiotów niebędących Operatorem Usługi Kluczowej, w myśl Ustawy o Krajowym Systemie Cyberbezpieczeństwa:

Kryterium audytu:

Audyt powinien być wykonany na zgodność z Polska Normą ISO 27001 w jej aktualnej wersji.

Audyt powinien obejmować:

1. Obszary, w których przetwarzane są dane osobowe wrażliwe, w tym kluczowe systemy informacji medycznej, oraz infrastrukturę urządzeń medycznych (aparatura medyczna wraz z systemami obsługującymi).
2. Niezbędną infrastrukturę teleinformatyczną podmiotu, w tym przynajmniej bezpieczeństwo takich elementów jak:

• kanały komunikacji, takie jak np. poczta,
•  sieciowe urządzenia brzegowe wraz z zasadami segmentacji oraz przepływów,
•  kontrolery domeny,
•  platforma wirtualizacyjna,
•  system zarządzania kopiami zapasowymi.

3. W przypadku wykorzystywania usług chmurowych w powyższych zakresach, audyt powinien uwzględnić weryfikację poprawności konfiguracji tych usług pod względem bezpieczeństwa.

Zespół audytujący powinien składać się z:

1. co najmniej dwóch audytorów, którzy posiadają certyfikaty określone w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. (poz. 1999) w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu lub;
2. co najmniej dwóch audytorów, którzy posiadają co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych lub;
3. jednostki oceniającej zgodność, akredytowanej zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 1854), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych.

Dla podmiotów będących Operatorem Usługi Kluczowej w myśl Ustawy o Krajowym Systemie Cyberbezpieczeństwa:

Kryterium, zakres oraz zespół audytujący wynikają z wymagań Ustawy o KSC.