QualityAustria

Certyfikaty CIS

Certyfikaty CIS uprawniają do przeprowadzania audytów zgodnie z rozporządzeniem Ministra Cyfryzacji z 12 października 2018 r.

Certyfikaty CIS uprawniają do przeprowadzania audytów zgodnie z rozporządzeniem Ministra Cyfryzacji z 12 października 2018 r.

 

 

W odpowiedzi na wzrastający poziom cyberzagrożeń rządy państw UE utworzyły listę sektorów, które mają krytyczne i kluczowe znaczenie dla ochrony danych osobowych i są w największym stopniu podatne na działania cyberprzestępców. Należą do nich m.in.: branża bankowa, energetyczna, finansowa, transportowa, a także służba zdrowia, wodociągi i dostawcy usług cyfrowych.


Co to jest cyberbezpieczeństwo?
 

Cyberbezpieczeństwo  oznacza odporność systemów informacyjnych wobec działań, które mogłyby naruszyć poufność, dostępność, integralność i autentyczność przetwarzanych danych lub usług z nimi związanych świadczonych za pośrednictwem tych systemów.

 


Polska a cyberbezpieczeństwo
 

Przeciwdziałając cyberzagrożeniom Polska wprowadziła szereg regulacji prawnych. Jedną z najważniejszych jest Ustawa o krajowym systemie cyberbezpieczeństwa  z dnia 5 lipca 2018 r. (Dz.U. 2018 poz. 1560).

System ten ma na celu zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów” (art. 3 Ustawy).

Ustawa określa również podmioty, które wchodzą w skład Krajowego systemu cyberbezpieczeństwa. Zgodnie z art. 4 system ten obejmuje:

1) operatorów usług kluczowych;

2) dostawców usług cyfrowych;

3) CSIRT MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) sektorowe zespoły cyberbezpieczeństwa;

7) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62, 1000 i 1366);

8) instytuty badawcze;

9) Narodowy Bank Polski;

10) Bank Gospodarstwa Krajowego;

11) Urząd Dozoru Technicznego;

12) Polską Agencję Żeglugi Powietrznej;

13) Polskie Centrum Akredytacji;

14) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i go-spodarki wodnej;

15) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2017 r. poz. 827 oraz z 2018 r. poz. 1496);

16) podmioty świadczące usługi z zakresu cyberbezpieczeństwa;

17) organy właściwe do spraw cyberbezpieczeństwa;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym Punktem Kontaktowym”;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;

20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.

 

Obowiązek przeprowadzania audytu bezpieczeństwa informacji
 

Zgodnie z Ustawą „Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem”.  Ustawa precyzuje również przez kogo audyt może być przeprowadzany (art. 15, pkt. 2). Jednym z warunków, którego spełnienie uprawnia do przeprowadzania audytów, jest posiadanie odpowiedniego certyfikatu.

 

 

Certyfikaty uprawniające do przeprowadzania audytów
 

Minister właściwy do spraw informatyzacji określił, w drodze rozporządzenia z dnia 12 października 2018 r., wykaz certyfikatów uprawniających do przeprowadzania audytów, uwzględniając zakres wiedzy specjalistycznej wymaganej od osób legitymujących się poszczególnymi certyfikatami.

W wykazie liczącym 11 pozycji, znajduje się certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338).

Tego typu certyfikat mogą uzyskać uczestnicy szkoleń akredytowanych Manager Bezpieczeństwa Informacji ISO 27001 i Auditor Bezpieczeństwa Informacji ISO 27001 organizowanych przez CIS – Certification & Information Security Services - bliźniaczą jednostkę certyfikacyjną i szkoleniową Quality Austria-Polska. Ministerstwo Cyfryzacji, w piśmie z dnia 4 kwietnia 2019 r., potwierdziło, iż certyfikaty CIS spełniają kryteria zawarte w rozporządzeniu z dnia 12 października 2018 r. 

   Odpowiedź Ministerstwa Cyfryzacji w sprawie certyfikatów CIS


Wartość certyfikatów CIS
 

Wartość i użyteczność certyfikatów CIS-Information Security Manager i CIS-Information Security Auditor  nie wynika tylko z faktu spełnienia wymagań zawartych w ww. rozporządzeniu. Akredytacja BMWFW oznacza, iż proces prowadzący do uzyskania certyfikatu odbywa się według ustalonych, spełniających wymagania akredytacyjne zasad, a fakt, że CIS – Certification & Information Security Services GmbH posiada przedstawicielstwa w ponad 20 krajach na całym świecie, zwiększa rozpoznawalność i globalność uzyskanych dokumentów.  Warto nadmienić, że - poprzez złożenie wniosku i dodatkową opłatę -  na bazie certyfikatów akredytowanych CIS wydawane są przez EOQ (The European Organization for Quality) również certyfikaty: EOQ Information Security Management System Manager i EOQ Information Security Management System Auditor.

EOQ to interdyscyplinarna organizacja dążąca do skutecznej poprawy w dziedzinie zarządzania jakością. Sieć EOQ składa się z przedstawicieli krajowych, stowarzyszonych, organizacji i partnerów z 40 różnych krajów, docierających do 500 000 firm powiązanych z jej członkami. Jednym z jej głównych zadań i działań jest certyfikacja kompetencji personelu w dziedzinie zawodów systemów zarządzania. Począwszy od 1993 r. ponad 70 000 profesjonalistów z systemów zarządzania zostało przeszkolonych i certyfikowanych na podstawie zharmonizowanego systemu EOQ.

 

 

Korzyści wynikające z udziału w szkoleniach akredytowanych CIS: Manager Bezpieczeństwa Informacji ISO 27001 oraz Auditor Bezpieczeństwa Informacji ISO 27001
 

Poza tym, że uczestnicy szkoleń akredytowanych CIS otrzymują cenny dokument, akredytacja oznacza przyznanie i potwierdzenie przez niezależną jednostkę akredytacyjną znaku jakości szkolenia. Wynika z tego, że szkolenie musi być prowadzone tak samo i na takim samym wysokim poziomie jakości na całym świecie. Różni się tylko ceną dostosowaną do rynku każdego kraju. Dodatkowo trenerzy CIS muszą otrzymać powołanie, aby prowadzić szkolenie akredytowane. Z tego względu są weryfikowani i sprawdzani przez jednostkę akredytacyjną pod kątem wiedzy i doświadczenia. To dlatego oceniani są przez uczestników szkoleń na poziomie 9,5 i 10 na skali 10-ciostopniowej.
 

Wartość dodana związana z udziałem w szkoleniach akredytowanych CIS:
 

kompleksowość - uwzględnienie w programie szkolenia wiedzy z 3 obszarów (normy ISO, psychologia, prawo), co pozwala na zdobycie konkretnej, aktualnej wiedzy oraz umiejętności wprowadzania jej w życie;

nastawienie na praktykę - format zajęć opiera się w przeważającej mierze na warsztatach w postaci ćwiczeń, dyskusji i analizy case studies;

zasada sprzężenia zwrotnego –  dwustronna komunikacja pozwala na ustalenie  potrzeb i problemów, z którymi uczestnicy szkoleń spotykają się na co dzień. W odpowiedzi realizowane są szkolenia, które w jak największym stopniu spełniają ich oczekiwania.

Zapraszamy do współpracy!
 

Interesują Cię akredytowane szkolenia z zakresu ISO 27001 lub certyfikacja na zgodność z tą normą? Chcesz wiedzieć więcej? 
Odpowiem na Twoje pytania, doradzę oraz zaproponuję rozwiązania dopasowane do Twoich potrzeb.

Napisz lub zadzwoń: 

Barbara Wróblewska
Koordynator usług
mail: barbara.wroblewska@qualityaustria.com.pl
tel.: 516 687 791

  

 

 



Quality Austria - Polska Sp. z o.o.

Quality Austria