Audyt bezpieczeństwa informacji jest szczegółową kontrolą, którą wykonują zewnętrzni specjaliści celem wykrycia luk w zabezpieczeniach, ewentualnych podatności na ataki oraz sprawdzenia zgodności z obowiązującymi przepisami i polityką bezpieczeństwa firmy. Audyt może, ale nie musi być wykonywany pod wymagania konkretnego standardu czy normy. Każdy audyt kończy się raportem z listą obszarów do poprawy i wskazaniem, które są najbardziej priorytetowe.

Sposób przeprowadzania audytu różni się w zależności od strategii przyjętej przez zespół wykonujący czynności sprawdzające i specyfiki firmy zlecającej. W większości przypadków audyt składa się z następujących etapów:

• Wywiad – audytorzy muszą zebrać niezbędne informacje o firmie, w tym o Systemie Zarządzania Bezpieczeństwem Informacji (SZBI), jaki w niej obowiązuje. Konieczny jest wgląd do dokumentacji technicznej i organizacyjnej oraz innych dokumentów dotyczących tego systemu. Na tym etapie ustalany jest także harmonogram poszczególnych działań.


• Badanie podatności i zbieranie informacji – certyfikowani audytorzy punkt po punkcie sprawdzają wszystkie składowe firmowej sieci pod kątem wykrycia ewentualnych luk w zabezpieczeniach. Audyty mające na celu poprawę bezpieczeństwa informacji w firmie często są przeprowadzane według wytycznych normy ISO/IEC 27001.


• Analiza – zebrane podczas kontroli informacje należy usystematyzować i sformułować w jasne wnioski. Tylko w takiej formie mają one wartość dla klienta.


• Raport i podsumowanie – czyli kluczowa część procesu. Wskazanie słabych stron i podatności to nie wszystko. Najważniejsze jest określenie obszarów do poprawy i zasugerowanie konkretnych rozwiązań.

Podmioty z niektórych sektorach gospodarki i administracji podlegają przepisom nakazującym przeprowadzanie okresowo audytów. Należą do nich m.in.:

• Operatorzy Usług Kluczowych (według ustawy o Krajowym Systemie Cyberbezpieczeństwa), których prawo zobowiązuje do przeprowadzania audytu bezpieczeństwa systemu informacyjnego raz na dwa lata,
• Banki (zgodnie z ustawą Prawo bankowe i z Rekomendacją Komisji Nadzoru Finansowego),
• Jednostki administracji publicznej – w tym urzędy gminy i powiatu, jednostki ZUS czy powiatowe urzędy pracy.

Czy firmy, które nie muszą przeprowadzać audytów bezpieczeństwa powinny je robić?

Zgodnie ze Statystykami obsługi incydentów w 2021 r. CERT Polska, zespół ds. reagowania tylko w ubiegłym roku zarejestrował prawie 30 tys. unikalnych incydentów bezpieczeństwa. Ta liczba odnosi się jedynie do zgłoszonych przypadków, więc ataków było z pewnością znacznie więcej.

Liczba sektorów gospodarki, które ucierpiały na skutek incydentów bezpieczeństwa jest długa. Najwięcej zgłoszeń pochodziło jednak z takich sektorów, jak media (social media, prasa, TV), handel hurtowy i detaliczny, energetyka oraz usługi pocztowe i kurierskie.

Dane archiwalne pokazują zdecydowany wzrost liczby incydentów rok do roku, co pozwala wyciągnąć wniosek, że w najbliższych latach liczba prób wyłudzeń, oszust i ataków zarówno na jednostki administracji publicznej, jak i prywatne firmy będzie rosła. Zapobieganie tego typu zdarzeniom jest właściwszą strategią niż późniejsze usuwanie ich skutków.

Regularny audyt bezpieczeństwa informacji jest niezbędny nie tylko tam, gdzie wymaga tego prawo. Wszystkie firmy dysponują cennymi danymi z biznesowego punktu widzenia i choćby przez wzgląd na to powinny dbać o ich bezpieczeństwo. Wiele niezobligowanych przepisami podmiotów zleca przeprowadzanie audytów bezpieczeństwa informacji z uwagi na to, że jest to dobrą praktyką rynkową lub wymagają tego partnerzy biznesowi czy wewnętrzne przepisy przedsiębiorstwa.