Audyt bezpieczeństwa w przedsiębiorstwach
Opublikowano: 10 lipca 2020

Bezpieczeństwo pracowników oraz majątek trwały zgromadzony przez lata działalności przedsiębiorstwa są wartościami wystawionymi na niebezpieczeństwo zewnętrzne i wewnętrzne. Doskonałe wyniki handlowe, rozpoznawalna marka, przeszkolony personel, lojalność i uznanie klientów są wartościami, które trzeba chronić. Podstawą efektywnego i bezpiecznego działania przedsiębiorstw o podwyższonym stopniu ryzyka jest wiedza o stanie chroniących je systemów technicznej ochrony mienia, skuteczności działania ochrony fizycznej, bezpieczeństwa ppoż. i teleinformatycznego, danych osobowych oraz bezpieczeństwa i higieny pracy oraz tworzenie na tej podstawie polityki bezpieczeństwa.

gen. bryg. rez. dr hab. inż. Tomasz Bąk

 

Opisany w artykule audyt bezpieczeństwa jest procesem analitycznym, realizowanym przez zespół ekspertów, i ma na celu kompleksową ocenę stanu bezpieczeństwa. Jest on oparty o procedury oceny dostosowywane do specyfiki i potrzeb przedsiębiorstwa.

Współczesny świat jest pełen zagrożeń, które ze względu na ich rodzaj, skalę i miejsce występowania jeszcze niedawno przez większość z nas były uznawane za mało realne. Niezmiernie istotnym elementem działań zwiększających bezpieczeństwo jest możliwość jego zagwarantowania siłami własnymi, a fakt uzmysłowienia sobie istniejących zagrożeń jest podstawą do ich eliminacji. Filarem efektywnego i bezpiecznego działania firm o podwyższonym stopniu ryzyka jest wiedza o stanie chroniących je systemów technicznej ochrony mienia (systemy alarmowe, telewizji użytkowej, kontroli dostępu, systemy przeciwpożarowe, mechanika sejfowa i skarbcowa itp.), a także ocena skuteczności działania ochrony fizycznej. Nie mniej ważna jest kwestia ochrony danych osobowych oraz funkcjonujących systemów teleinformatycznych, jak również kreowania i przestrzegania bezpieczeństwa i higieny pracy.

Polityka bezpieczeństwa

Produktywne funkcjonowanie przedsiębiorstwa jest w znacznej mierze uzależnione od precyzyjnie zaplanowanej, przygotowanej oraz wdrożonej polityki bezpieczeństwa, szczegółowo definiującej szereg działań zabezpieczających. Do tej pory planowanie i wdrażanie polityki bezpieczeństwa w literaturze przedmiotu dotyczyło problematyki właściwego zabezpieczenia infrastruktury IT, zarówno pod kątem technicznym, jak i organizacyjnym.

Pojęcie „polityka bezpieczeństwa” użyte w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 [20.01.2017 r.]), należy rozumieć jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji. Należy zaznaczyć, że zgodnie z art. 36 ust. 2 oraz art. 39a Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. tekst jednolity: Dz. U. 2016 r. poz. 922) polityka bezpieczeństwa, o której mowa w rozporządzeniu, powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Jej celem jest wskazanie działań, które należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.

Najwyższy czas, aby politykę bezpieczeństwa przedsiębiorstwa rozumieć dużo szerzej. Jest to bardzo istotne zwłaszcza w odniesieniu do przedsiębiorstw, które są jednocześnie zakwalifikowane jako obiekty infrastruktury krytycznej. Bezpieczeństwo tego typu obiektów jest priorytetem w skali państwa, toteż budowanie właściwej, pełnej i szeroko rozumianej polityki bezpieczeństwa jest gwarantem tego bezpieczeństwa. W artykule autor przedstawia swój pogląd na tworzenie polityki bezpieczeństwa w szerszym, całościowym rozumieniu oraz własny scenariusz tworzenia polityki bezpieczeństwa i audytowania jej efektów.

Ściśle określony oraz poprawnie sporządzony zbiór procedur postępowania jest nieodzowną metodą pozwalającą na efektywne wdrożenie polityki bezpieczeństwa w firmie. W skład projektu podstawowego dokumentu wchodzą procedury podwyższające standard bezpieczeństwa organizacji, w tym rozwiązania kompatybilnego dostępu do sieci, zarządzania zasobami oraz generalne systemy zabezpieczeń. Odpowiednio dobrana i skonstruowana polityka bezpieczeństwa powinna więc kompleksowo chronić firmę zarówno od wewnątrz, jak i na zewnątrz przedsiębiorstwa.

Właściwie opracowana i wdrażana polityka bezpieczeństwa powinna uwzględniać:

• analizę wszelkich zagrożeń oraz słabych punktów infrastruktury przedsiębiorstwa;
• określenie procedur definiujących metody postępowania podczas naruszenia bezpieczeństwa;
• wdrożenie polityki bezpieczeństwa poprzez instruktaż pracowników danej firmy.

Poprzez konsekwentne oraz systematyczne realizowanie obowiązujących zasad, jak również okresowe przeprowadzanie audytów bezpieczeństwa, możliwa jest optymalizacja wszystkich procesów składających się na powodzenie danej organizacji. Ponadto istotą całego procesu jest przeszkolenie oraz zaangażowanie wszystkich pracowników w doskonalenie systemu polityki bezpieczeństwa tak, aby usprawnić i scentralizować zarządzanie jego strukturą.

Audyt bezpieczeństwa

W związku z potrzebą tworzenia polityki bezpieczeństwa nieodzowna jest potrzeba audytowania tej polityki w odpowiednich czasookresach. Autor sugeruje, aby budowanie takiej polityki rozpocząć od pełnego audytu, a następnie w regularnych odstępach, np. rocznych lub w zależności od potrzeb, przeprowadzać audyty cząstkowe jako reakcję na źle lub niedostatecznie funkcjonujące elementy polityki bezpieczeństwa. Wyniki takiego audytowania pozwalają na wprowadzanie zmian, ulepszanie i właściwe kształtowanie polityki bezpieczeństwa. Dlatego celowym wydaje się przeprowadzanie w przedsiębiorstwach, pełnych (w nowoczesnym rozumieniu prezentowanym przez autora) audytów bezpieczeństwa.

Audyt to niezależna ocena danej organizacji, systemu, procesu, projektu lub produktu. Przedmiot audytu jest badany pod względem zgodności z określonymi standardami, wzorcami, listami kontrolnymi, przepisami prawa, normami lub przepisami wewnętrznymi organizacji (polityki, procedury).

Audyt bezpieczeństwa jest procesem analitycznym, realizowanym przez zespół ekspertów. Ma on na celu kompleksową ocenę stanu bezpieczeństwa i jest oparty o procedury oceny, dostosowywane do specyfiki i potrzeb klienta. Dzięki audytowi uzyskujemy pełne i aktualne informacje o obecnym poziomie bezpieczeństwa badanej firmy.

W tym celu powołany został do działania Instytut Analizy Ryzyka Sp. z o.o., który zajął się m.in. prowadzeniem profesjonalnych, szerokich audytów bezpieczeństwa. Priorytetem Instytutu jest usługa umożliwiająca gruntowną analizę systemu bezpieczeństwa klienta w wielu aspektach, a także weryfikacja oraz eliminacja mankamentów ograniczających prawidłową działalność przedsiębiorstwa.

Doświadczeni i wykwalifikowani specjaliści pomagają stworzyć kompleksowy system bezpieczeństwa przedsiębiorstw z uwzględnieniem istniejących w nim procedur. Budowana na tej podstawie polityka bezpieczeństwa opiera się na obowiązujących regulacjach prawnych i stwarza właściwe warunki do bezpiecznego funkcjonowania przedsiębiorstwa.

Wracając do narzędzia budowania polityki bezpieczeństwa, jakim jest audyt bezpieczeństwa, należy jednoznacznie stwierdzić, że celem audytu jest zbadanie zgodności działania instytucji z aktualnie obowiązującymi przepisami w zakresie szeroko pojętego bezpieczeństwa. Ma on również za zadanie wyeliminować uchybienia mające negatywny wpływ na system bezpieczeństwa przedsiębiorstwa i budowaną politykę bezpieczeństwa.

Podstawowymi elementami profesjonalnego audytu bezpieczeństwa są:

• analiza procedur i poprawności działania ochrony fizycznej;
• ocena koncepcji systemów technicznej ochrony mienia;
• ocena ochrony sieci komputerowych;
• badania na obecność podsłuchów;
• analiza przestrzegania przepisów ppoż. i BHP.

W celu uzyskania pełnego obrazu stanu bezpieczeństwa firmy przeprowadzany jest audyt bezpieczeństwa, mający na celu:

1. dokonanie oceny stanu bezpieczeństwa przedsiębiorstwa oraz jego zgodności z obowiązującym przepisami prawa i wymaganiami własnymi firmy;
2. określenie i zdefiniowanie ryzyka mającego wpływ na poziom bezpieczeństwa przedsiębiorstwa, m.in. poprzez:

• sprawdzenie odporności obiektu na zagrożenia zewnętrzne;
• określenie zagrożeń wewnętrznych,
• sprawdzenie podsłuchów
  3. wypracowanie koncepcji polityki bezpieczeństwa w przedsiębiorstwie;
  4. tworzenie systemu zarządzania bezpieczeństwem przedsiębiorstwa, obejmującego następujące obszary:
• bezpieczeństwo fizyczne i środowiskowe;
• bezpieczeństwo informacji;
• bezpieczeństwa ppoż.;
• bezpieczeństwo i higiena pracy;
• bezpieczeństwo danych osobowych;
• bezpieczeństwo osobowe;
• bezpieczeństwo teleinformatyczne.
  5. stworzenie systemu nadzoru i kontroli;
  6. opracowanie i wdrożenie metodyki szkoleniowej z zakresu bezpieczeństwa przedsiębiorstwa.

W tym celu Instytut Analizy Ryzyka, powołany blisko 5 lat temu, opracował i realizuje w przedsiębiorstwach pełny audyt bezpieczeństwa. Oczywiście na życzenie klienta audyt może być prowadzony w wybranych obszarach. Pełny audyt bezpieczeństwa prowadzony jest w następujących zakresach:

w zakresie ochrony fizycznej i bezpieczeństwa oferowane są:

1. analiza stanu faktycznych i potencjalnych zagrożeń (zewnętrznych i wewnętrznych) obiektu;
2. ocena infrastruktury materialnej i podstawowych narzędzi systemu bezpieczeństwa obiektu;
3. ocena poziomu istniejącej ochrony fizycznej obiektu;
4. ocena stanu i zasad zabezpieczeń technicznych (mechanicznych i elektronicznych) obiektu;
5. ocena współdziałania komponentów systemu bezpieczeństwa obiektu;
6. testy penetracyjne (prowadzone w dzień i nocą);
7. analiza dokumentacji dotyczącej zasad ochrony obiektu, w tym m.in. zgodności z:

• planem ochrony z załącznikami;
• dokumentacją dotyczącą technicznego zabezpieczenia obiektu;
• planem graficznym obiektu;
• dokumentacją określającą zasady postępowania w przypadku wystąpienia sytuacji kryzysowych;
• dokumentacją dotyczącą zasad militaryzacji obiektu;
• regulaminem obiektu;
• innymi uregulowaniami;

8. badania na obecność podsłuchów.

w zakresie bezpieczeństwa informacyjnego oferowane jest sprawdzenie tego obszaru według scenariusza, który zakłada ocenę aktualnego stanu bezpieczeństwa gromadzonej, przetwarzanej i chronionej informacji na bazie udoskonalonej wersji dokumentu Information Technology Security Evaluation Crirteria (ITSEC). Audyt w tym zakresie można podzielić na:

1. przegląd procedur, dokumentów i wdrożonych zabezpieczeń bezpieczeństwa informacyjnego na zgodność z normą ISO/IEC 27001;
2. analizę krytyczną stanu zabezpieczeń, w tym polityki bezpieczeństwa informacyjnego, wraz ze wskazaniem zalecanych zmian w istniejących procedurach bezpieczeństwa oraz harmonogramu ich wprowadzania;
3. skanowanie poziomu zabezpieczeń systemu informacyjnego oprogramowaniem diagnostycznym;
4. szkolenie z zakresu bezpieczeństwa informacyjnego dla pracowników wraz z kompletem materiałów szkoleniowych w wersji elektronicznej;
5. testowanie wiedzy pracowników z zakresu bezpieczeństwa informacyjnego;
6. przygotowanie i uzgodnienie pisemnego raportu dotyczącego wyników przeprowadzonego audytu (bezpłatny dodatek do pkt. 1, 2, 3).

Wykonanie audytu w powyższym zakresie przewiduje co najmniej dwa pobyty audytorów u zleceniodawcy. Poszczególne wizyty poświęcone będą:

• przedstawieniu metodyki audytu, określeniu dokumentów niezbędnych do jego przeprowadzenia oraz uzgodnieniu harmonogramu audytu;
• przeprowadzeniu wywiadu lokalnego wraz z analizą procedur, dokumentów i wdrożonych zabezpieczeń. Skanowanie sieci z punktu widzenia bezpieczeństwa programem diagnostycznym;
• zapoznaniu kadry kierowniczej z wynikami audytu, szkoleniu pracowników z obszaru bezpieczeństwa, uzgodnieniu treści ostatecznej wersji raportu o poziomie bezpieczeństwa informacyjnego.

W przypadku testowania wiedzy pracowników przewiduje się dodatkową wizytę. Audyt nie przewiduje przekazania kopii norm (zabrania tego prawo).

w zakresie kontroli stanu bezpieczeństwa i higieny pracy (BHP) oferuje się:

• Przegląd organizacji i warunków pracy – oględziny stanowisk pracy, rozmowa z osobami odpowiedzialnymi za produkcję, jakość, magazynowanie oraz na temat procesów pracy (część produkcyjna, warsztat utrzymania ruchu, część magazynowa, część biurowa);

Przegląd dokumentacji kadrowej pracowników – na przykładzie kilku wybranych akt osobowych sprawdzana jest zgodność dokumentacji z przepisami prawa (przy tym procesie konieczna jest obecność osoby, która ma prawo dostępu do dokumentacji kadrowej zakładzie);

• szkolenie wstępne – instruktaż ogólny oraz instruktaż stanowiskowy;
• szkolenie okresowe BHP;
• oświadczenie o zapoznaniu się z regulaminem zakładowym;
• oświadczenie o zapoznaniu się z ryzykiem zawodowym;
• oświadczenie o zapoznaniu się z informacja ta temat równego traktowania;
• oświadczenie o zapoznaniu się z informacją o zakresie obowiązków na danym stanowisku;
• oświadczenie o zapoznaniu się z warunkami zatrudnienia;
• oświadczenie o zapoznaniu się z instrukcjami BHP lub równoważny dokument.

1. Przegląd pozostałej dokumentacji, którą pracodawca jest zobowiązany prowadzić zgodnie z wymogami dotyczącymi bezpieczeństwa oraz zgodnie z innymi wymogami prawa, m.in. rejestry, ocena ryzyka na stanowiskach pracy, wykazy, regulaminy itp.

• rejestr wypadków przy pracy;
• rejestr chorób zawodowych;
• ocena ryzyka zawodowego na stanowiskach pracy;
• książka obiektów budowlanych;
• poświadczenie z przeglądów kominiarskich;
• poświadczenie z przeglądów gaśnic i hydrantów;
• poświadczenie z okresowych pomiarów elektrycznych;
• regulamin pracy;
• wykaz prac wzbronionych kobietom;
• wykaz prac wykonywanych w dwie osoby;
• wykaz prac niebezpiecznych;
• instrukcje BHP do procesów pracy oraz do obsługi maszyn i urządzeń;
• instrukcja bezpieczeństwa pożarowego;
• wykaz osób wyznaczonych do udzielania pierwszej pomocy oraz ochrony przeciwpożarowej i ewakuacji;
• rejestr chemii używanej w zakładzie pracy;
• rejestr czynników szkodliwych i uciążliwych na stanowiskach pracy wraz z aktualnymi wynikami pomiarów środowiska pracy;
• regulamin przydziału odzieży roboczej;
• dokumentacja techniczna oraz okresowych przeglądów maszyn i urządzeń.

Dodatkowo działania w zakresie BHP obejmują:

• kontrolę terminowości wykonywania badań okresowych z zakresu medycyny pracy, przydziału dla pracowników okularów korygujących wzrok, odzieży i obuwia ochronnego;
• audyt poprawności dokumentacji i rozwiązań praktycznych pod kątem BHP w firmie;
• kontrolę i przygotowanie niezbędnej dokumentacji;
• ocenę ryzyka zawodowego;
• przegląd, wdrażanie, nadzór nad systemem HACCP;
• rejestr substancji niebezpiecznych;
• szkolenia, nadzór, przygotowanie próbnej ewakuacji;
• instrukcje bezpieczeństwa pożarowego;
• przegląd i konserwację podręcznego sprzętu gaśniczego;
• kontrole ppoż.;
• uzupełnianie podręcznego sprzętu ppoż.;
• uzupełnianie oznakowania ppoż. i BHP.

w zakresie ochrony przeciwpożarowej sprawdza się i ocenia:

1. kwalifikacje obiektu (jego elementów) do właściwej kategorii zagrożeń;
2. odporność pożarową i ogniową obiektu (jego elementów);
3. podział na strefy pożarowe;
4. drogi ewakuacyjne;
5. instalację przeciwpożarową;
6. instalację sygnalizacji pożaru;
7. instalację elektryczną w zakresie bezpieczeństwa pożarowego;
8. elementy wykończenia wnętrz i wyposażenia (mające wpływ na bezpieczeństwo pożarowe);
9. drogi pożarowe;
10. Sprzęt ppoż. i oznakowanie budynku;
11. instrukcje bezpieczeństwa pożarowego i innej dokumentacji z tego zakresu;
12. alarm treningowy.

w zakresie ochrony danych osobowych i administracji bezpieczeństwa informacji sprawdza się i ocenia dokumenty:

1. polityki bezpieczeństwa;
2. instrukcji zarządzania systemami informatycznymi;
3. upoważnień;
4. klauzul informacyjnych;
5. umów powierzenia;
6. klauzul zgód na przetwarzanie danych osobowych;
7. zgłoszenia zbiorów do GIODO;
8. raportów dotyczących naruszenia reguł ochrony danych itp.

Ponadto w ramach audytu:

• wykonywane są ekspertyzy określające faktyczne potrzeby klienta;
• oceniane są istniejące systemy bezpieczeństwa;
• wskazane zostają najsłabsze punkty;
• przedstawiane są propozycje działań zwiększających bezpieczeństwo obiektu.

Właściwy audyt jest podejmowany po wcześniejszym uzgodnieniu ze zleceniodawcą poniższych metod stosowanych w trakcie czynności oceniających:

1. Opracowanie projektu

Zakres:

• przygotowanie szczegółowych ankiet;
• przygotowanie planowanych testów penetracyjnych;
• opracowanie szczegółowego harmonogramu prowadzenia audytu;
• zapoznanie z osobami odpowiedzialnymi za współpracę w czasie audytu ze strony zleceniodawcy.

2. Opracowanie szczegółowego raportu na terenie obiektu (z dostępem do wymaganych, ustalonych w zakresie przeglądu urządzeń, infrastruktury i dokumentacji obiektu).

Zakres:

• analiza stanu faktycznych i potencjalnych zagrożeń (zewnętrznych i wewnętrznych) obiektu;
• ocena infrastruktury materialnej i podstawowych narzędzi systemu bezpieczeństwa obiektu;
• ocena poziomu ochrony fizycznej obiektu;
• ocena stanu i zasad zabezpieczeń technicznych (elektronicznych) obiektu;
• ocena współdziałania komponentów systemu bezpieczeństwa obiektu;
• przeprowadzenie testów penetracyjnych (prowadzonych w dzień i nocą);
• analiza dokumentacji dotycząca zasad ochrony obiektu, w tym zgodności z planem ochrony z załącznikami, dokumentacją dotyczącą technicznego zabezpieczenia obiektu, planem graficznym obiektu, dokumentacją określającą zasady postępowania w przypadku wystąpienia sytuacji kryzysowych, dokumentacją dotyczącą zasad militaryzacji obiektu, regulaminem obiektu, dokumentacją projektową potwierdzającą zgodność z wymogami ochrony przeciwpożarowej obiektów i instalacji, protokołami badań instalacji elektrycznej, odgromowej, oświetlenia awaryjnego (o ile występuje), instalacji gaśniczych, sygnalizacji pożaru, instalacji hydrantowych, podręcznego sprzętu gaśniczego, instalacji kominiarskiej, instrukcją technologiczno-ruchową, planem ochrony przeciwpożarowej, protokołem z kontroli przeprowadzonej przez PSP i decyzjami pokontrolnymi z zaleceniami oraz dokumentacją z wykonania zaleceń, zasadami organizacji szkoleń w zakresie ochrony ppoż., analizą zagrożenia wybuchem oraz zasięgami stref zagrożenia wybuchem, przepisami z zakresu BHP, analizą zagrożeń w zakresie BHP oraz zasięgami stref tych zagrożenia, protokołem z kontroli przeprowadzonej przez PIP, GIODO i decyzjami pokontrolnymi z zaleceniami oraz dokumentacją z wykonania zaleceń, zasadami organizacji szkoleń w zakresie BHP, przeprowadzenie rozmów z osobami odpowiedzialnymi za sprawy ochrony obiektu (ochrony fizycznej, przeciwpożarowej, BHP itp.).

3. Analiza zebranych materiałów i opracowanie raportu końcowego, obejmującego m.in.: ocenę dokonanych ustaleń, szczegółowe wnioski dotyczące rozwiązań systemowych w zakresie poprawy zasad funkcjonowania kompleksowego systemu bezpieczeństwa obiektu.

Po wykonaniu audytu zleceniodawca otrzymuje szczegółowy raport zawierający:

1. ocenę poziomu zagrożeń obiektu;
2. ocenę systemu zabezpieczenia obiektu oraz rozwiązań proceduralnych;
3. koncepcję zmian poprawiających stan poziomu bezpieczeństwa obiektu;
4. opracowanie procedur związanych z możliwością wystąpienia zdefiniowanych zagrożeń na terenie obiektu.

Szczegółowy raport opisuje stan faktyczny oraz rekomendacje co do działań, jakie powinny być podjęte w celu właściwego zbudowania systemu bezpieczeństwa i polityki bezpieczeństwa przedsiębiorstwa.

Instytut Analizy Ryzyka oferuje klientom więcej niż jednorazowy audyt bezpieczeństwa. Na podstawie umowy o stałą współpracę eksperci instytutu mogą sprawować nadzór nad bezpieczeństwem firm i osób prywatnych. Podczas audytu można także przeszkolić pracowników działu ochrony, przekazując im metodologię oraz podstawowe narzędzia do samodzielnej kontroli systemów zabezpieczeń. W celu zachowania aktualności audytu bezpieczeństwa, będącego pochodną przyjętych rozwiązań, proponuje się stałą współpracę w zakresie:

• szkoleń dotyczących stosowania profilaktyki przeciwbombowej i zachowania się w przypadku wystąpienia innych sytuacji kryzysowych;
• szkoleń dla kadry kierowniczej dotyczących zarządzania sytuacją kryzysową i stosowania odpowiednich procedur;
• szkoleń dla służb ochronnych w celu sprawnego prowadzenia działań zabezpieczających;
• doskonalenia procedur w reakcji na postępujący rozwój terroryzmu;
• wyposażenia specjalistycznego obiektów podlegających ochronie;
• szkoleń dotyczących ochrony informacji niejawnych;
• szkoleń dotyczących innych tajemnic chronionych prawem;
• szkoleń dotyczących ochrony danych osobowych;
• szkoleń BHP.

Zwykle przyjmowane są poniższe warunki realizacji audytu:

1. termin wykonania – zależnie od rodzaju i wielkości przedsiębiorstwa – średnio do 1 miesiąca;
2. wykonanie właściwego audytu poprzedza dokonanie wstępnych uzgodnień dotyczących jego zakresu i zasad realizacji oraz podpisanie umowy;
3. umożliwienie przez zleceniodawcę uzgodnionego dostępu do dokumentacji, osób i samego obiektu;
4. szacunkowa cena usługi może zostać skalkulowana po ustaleniu i zaakceptowaniu zakresu prac do wykonania w ramach przewidzianego audytu.

Audyt bezpieczeństwa stanowi podstawę do kreowania właściwej polityki bezpieczeństwa przedsiębiorstwa oraz właściwego funkcjonowania we współczesnym biznesie.

---

O autorze

gen. bryg. rez. dr inż. Tomasz Bąk – adiunkt na kierunku bezpieczeństwo wewnętrzne oraz dyrektor ds. bezpieczeństwa w Wyższej Szkole Informatyki i Zarządzania w Rzeszowie. Generał brygady rezerwy Wojska Polskiego, doktor nauk wojskowych. Obszary zainteresowań naukowych: operacje wsparcia pokoju i udział w nich polskich Sił Zbrojnych, współczesny terroryzm, problematyka bezpieczeństwa państwa. Od wielu lat miłośnik historii rozwoju techniki i militariów. Prezes Instytutu Analizy Ryzyka oraz dyrektor Instytutu Studiów nad Terroryzmem. Autor wielu książek, prac naukowych i naukowo-dydaktycznych.

Słowa kluczowe: bezpieczeństwo, zagrożenia, audyt, polityka bezpieczeństwa

Tagi: audyt, audyt bezpieczeństwa, Bezpieczeństwo, dane, firma, polityka bezpieczeństwa, zagrożenia