Audyty bezpieczeństwa – kompleksowa ocena odporności organizacji i infrastruktury

Bezpieczeństwo fizyczne
Ocena organizacji ochrony fizycznej, koncepcji zabezpieczenia obiektu, kontroli dostępu, procedur reagowania oraz praktycznej realizacji zasad bezpieczeństwa.

Audyt obejmuje w szczególności:

• analizę koncepcji ochrony oraz jej adekwatności do środowiska zagrożeń,
• organizację służby ochrony i podział odpowiedzialności,
• system posterunków stałych i obchodowych oraz sposób nadzoru nad realizacją zadań,
• procedury reagowania na incydenty, alarmy i zdarzenia nadzwyczajne,
• koordynację ochrony fizycznej z systemami zabezpieczeń technicznych i całym systemem zarządzania bezpieczeństwem,
• kwalifikacje i przygotowanie personelu ochrony.

Ocena dotyczy zarówno zgodności formalnej przyjętych rozwiązań, jak i ich rzeczywistej skuteczności operacyjnej w warunkach normalnych oraz w sytuacjach podwyższonego ryzyka.

UWAGA: W ramach audytu bezpieczeństwa fizycznego możliwa jest także analiza umowy na świadczenie usług ochrony, jaka klient zawarł z agencją ochrony i przedstawienie klientowi ryzyka z nią związanych oraz konkretnych rozwiązań wzmacniających pozycję kontraktową klienta.

Systemy zabezpieczeń technicznych (SZT) i zabezpieczenia mechaniczne
Specjalistyczny audyt zainstalowanych systemów zabezpieczeń technicznych obejmujący ocenę projektowania, doboru, instalacji/montażu, konfiguracji oraz eksploatacji systemów alarmowych, kontroli dostępu i systemów dozoru wizyjnego.
Audyt prowadzony jest w odniesieniu do właściwych norm i wytycznych ich stosowania, w szczególności:

• PN-EN 50131-1 oraz PKN-CLC/TS 50131-7 – systemy sygnalizacji włamania i napadu,
• PN-EN 60839-11-1 oraz PN-EN 60839-11-2 – elektroniczne systemy kontroli dostępu,
• PN-EN 62676-1-1 oraz PN-EN 62676-4 – systemy dozoru wizyjnego (CCTV).

Ocena obejmuje zgodność systemu z wymaganiami normatywnymi (w szczególności z deklarowanym stopniem zabezpieczenia – grade), adekwatność przyjętych stopni zabezpieczenia (grade), poprawność konfiguracji oraz integrację tych systemów z innymi systemami funkcjonującymi w obiekcie.

Audyt weryfikuje komplementarność zabezpieczeń mechanicznych i elektronicznych oraz ich łączny wpływ na osiągnięcie wymaganego poziomu odporności obiektu.

Cyberbezpieczeństwo / bezpieczeństwo teleinformatyczne i bezpieczeństwo informacji

Ocena organizacji bezpieczeństwa informacji, mechanizmów ochrony danych, kontroli dostępu do systemów IT oraz zgodności z wymaganiami regulacyjnymi – w szczególności w odniesieniu do PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 27002 (jeżeli zakres audytu tego wymaga).

Ocena może objąć zarówno klasyczne środowisko IT (systemy przetwarzania i przechowywania informacji), jak i środowisko OT (Operational Technology) – systemy sterowania przemysłowego, SCADA, sieci automatyki oraz systemy monitoringu technicznego.

Ten zakres jest szczególnie ważny dla podmiotów kluczowych i ważnych (zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa implementującą NIS2).

Bezpieczeństwo techniczne (niezawodność infrastruktury i instalacji)

Ocena odporności technicznej obiektu, instalacji i urządzeń w kontekście ich niezawodności operacyjnej oraz wpływu na ciągłość działania.

Audyt może obejmować:

• bezpieczeństwo pożarowe, ze szczególnym uwzględnieniem oceny urządzeń/systemów ochrony ppoż. (np. systemów sygnalizacji pożarowej),
• analizę ryzyka operacyjnego związanego z zawodnością instalacji i urządzeń,
• redundancję kluczowych elementów infrastruktury technicznej,
• zapewnienie zasilania rezerwowego i parametrów podtrzymania,
• monitoring stanu technicznego oraz strategię utrzymaniową (preventive / predictive maintenance),
• odporność konstrukcyjną i techniczną obiektów,
• lokalizację zapasową dla kluczowych funkcji technicznych.

Zakres ten ma szczególne znaczenie dla operatorów infrastruktury krytycznej oraz podmiotów o wysokim poziomie zależności technologicznej.

Ciągłość działania (BCM)
Analiza procesów krytycznych, planów ciągłości działania oraz zdolności organizacji do utrzymania świadczenia usług w sytuacjach zakłócających – w odniesieniu do wymagań PN-EN ISO 22301 oraz wytycznych PN-EN ISO 22313.

Audyt obejmuje w szczególności:

• identyfikację procesów kluczowych i analizę ich podatności na zakłócenia,
• Business Impact Analysis (BIA) oraz ocenę dopuszczalnych czasów przestoju (RTO) i utraty danych (RPO),
• ocenę planów ciągłości działania oraz procedur odtworzeniowych,
• testowanie i weryfikację skuteczności przyjętych scenariuszy reagowania,
• spójność planów ciągłości działania z planami ochrony oraz systemem zarządzania bezpieczeństwem.

W kontekście infrastruktury krytycznej audyt obejmuje ocenę zdolności organizacji do utrzymania funkcji krytycznych w warunkach zagrożeń antagonistycznych oraz zagrożeń hybrydowych, a także innych zdarzeń nadzwyczajnych mogących zakłócić ciągłość działania.

Ocena dotyczy w szczególności odporności na:

• celowe działania o charakterze antagonistycznym (sabotaż, dywersja, ingerencja w systemy techniczne),
• zagrożenia hybrydowe łączące oddziaływanie fizyczne, techniczne i cybernetyczne,
• incydenty cyber wpływające na systemy IT i OT,
• awarie techniczne i zakłócenia energetyczne,
• zagrożenia fizyczne i zdarzenia o charakterze kryzysowym.

Ocena uwzględnia stopień integracji BCM z systemem zarządzania ryzykiem oraz poziom przygotowania kadry kierowniczej do podejmowania decyzji w sytuacjach kryzysowych.

Bezpieczeństwo osobowe i kompetencyjne
Ocena kompetencji personelu, podziału odpowiedzialności, świadomości zagrożeń oraz adekwatności szkoleń do poziomu ryzyka.

Audyt obejmuje w szczególności:

• strukturę odpowiedzialności w obszarze bezpieczeństwa oraz jednoznaczne przypisanie ról,
• kwalifikacje i uprawnienia personelu realizującego zadania z zakresu bezpieczeństwa,
• system szkoleń wstępnych i okresowych, w tym szkoleń specjalistycznych,
• procedury dopuszczania personelu do realizacji zadań o podwyższonym poziomie ryzyka,
• mechanizmy nadzoru nad personelem realizującym zadania ochronne.

W przypadku operatorów infrastruktury krytycznej audyt obejmuje również ocenę organizacji i przygotowania personelu ds. ochrony infrastruktury krytycznej, w tym:

• zakresu odpowiedzialności osób wyznaczonych do realizacji zadań w obszarze IK,
• kompetencji w zakresie analizy ryzyka i reagowania na zagrożenia,
• gotowości do współdziałania z administracją publiczną i służbami właściwymi,
• spójności przygotowania personelu z wymaganiami planów ochrony i planów ciągłości działania.

Ocena dotyczy nie tylko formalnego spełnienia wymagań, lecz także rzeczywistej zdolności organizacji do zapewnienia ciągłości funkcjonowania w sytuacjach zakłócających.

Zgodność regulacyjna i wymagania branżowe
Weryfikacja zgodności systemu bezpieczeństwa z przepisami prawa, wymaganiami sektorowymi oraz zobowiązaniami kontraktowymi, w tym w kontekście wdrażania rozwiązań organizacyjno-technicznych.

Audyt może obejmować:

• zgodność z wymaganiami właściwych ustaw i aktów wykonawczych,
• wymagania sektorowe dotyczące operatorów infrastruktury krytycznej, podmiotów krytycznych, podmiotów kluczowych i ważnych,
• zgodność z wymaganiami kontraktowymi oraz standardami branżowymi,
• ocenę spójności dokumentacji bezpieczeństwa z praktyką operacyjną.

W kontekście ładu korporacyjnego (ESG) audyt może obejmować ocenę wpływu systemu bezpieczeństwa na zarządzanie ryzykiem operacyjnym, odporność organizacji, stabilność infrastruktury technicznej oraz zapewnienie odpowiedzialnego i długoterminowego zarządzania zasobami.

Kompleksowy raport końcowy

Raport obejmuje: streszczenie zarządcze (executive summary), opis stanu faktycznego oraz kluczowe ustalenia i wnioski – w formie użytecznej dla zarządu i zespołów operacyjnych.

Dokumentacja ustaleń

Ustalenia audytowe są dokumentowane w sposób umożliwiający wdrożenie działań i rozliczenie efektu (np. fotografie, opis lokalizacji, odniesienie do kryterium, wskazanie konsekwencji).

Analiza zagrożeń i szacowanie ryzyka

Zestawienie zagrożeń, podatności i scenariuszy oddziaływania (w tym dla środowisk IT/OT i obszarów fizycznych), wraz z oceną ryzyka w odniesieniu do procesów/funkcji kluczowych.

Rekomendacje w modelu WBS (Work Breakdown Structure)

Matryca działań obejmująca: priorytet, horyzont czasowy (natychmiastowe / krótkoterminowe / długoterminowe) oraz charakter kosztowy (bezkosztowe vs. inwestycyjne). To ułatwia szybkie uruchomienie wdrożenia i kontrolę postępu.

Wnioski operacyjne i zarządcze

Uporządkowane wnioski wynikające z ustaleń audytu (findings) i ich wpływu na bezpieczeństwo, odporność i ciągłość działania – wraz z propozycją priorytetów decyzyjnych.

Spotkanie zamykające i omówienie rekomendacji

Prezentacja wyników audytu, omówienie ryzyk i priorytetów oraz ustalenie kolejnych kroków. Spotkanie porządkuje odpowiedzialności i skraca czas przejścia od „raportu” do „wdrożenia”.

Opcjonalnie: weryfikacja wdrożenia (follow-up)

Na życzenie Klienta realizujemy przegląd wdrożenia rekomendacji po określonym czasie (np. 30/60/90 dni) – jako element kolejnego audytu, przeglądu okresowego lub wsparcia doskonalącego.

Jedyna w Polsce jednostka certyfikująca w zakresie zabezpieczeń technicznych
TECHOM jest jedyną w kraju jednostką certyfikującą:

• urządzenia do systemów zabezpieczeń technicznych – nr upoważnienia PN-024,
• usługi w zakresie ochrony przeciwpożarowej oraz systemów zabezpieczeń technicznych – nr upoważnienia PN-023.

Upoważnienia zostały nadane przez Polski Komitet Normalizacyjny. Daje to nam unikatową perspektywę oceny zgodności systemów zabezpieczeń technicznych z wymaganiami normatywnymi – nie tylko teoretycznie, lecz w praktyce certyfikacyjnej.

Rola systemowa – kompetencje i kształtowanie rynku
TECHOM pełni funkcję prowadzącego Sektorową Radę ds. Kompetencji – Ochrona i Bezpieczeństwo Mienia i Osób, współtworząc standardy kompetencyjne sektora ochrony i bezpieczeństwa. Rada realizuje zadania na rzacz sektora w oparciu o przepisu ustawy o Polskiej Agencji Rozwoju Przedsiębiorczości.

Doświadczenie w infrastrukturze krytycznej i rynkach regulowanych
Posiadamy doświadczenie w realizacji projektów dla jednostek podległych i nadzorowanych przez MON, służb mundurowych, innych instytucji państwowych, operatorów infrastruktury krytycznej, podmiotów kluczowych i ważnych oraz podmiotów działających w sektorach regulowanych (np. usługodawców). Rozumiemy specyfikę wymagań regulacyjnych, środowiska zagrożeń antagonistycznych i hybrydowych oraz konieczność zapewnienia ciągłości działania w warunkach podwyższonego ryzyka.

Ekspercka znajomość norm i regulacji
Nasze audyty odnoszą się do  norm stosowanych w systemach zarządzania bezpieczeństwem (m.in. PN-EN 50131, PN-EN 60839, PN-EN 62676, PN-EN ISO/IEC 27001, PN-EN ISO 22301) oraz wymagań sektorowych. TECHOM jest aktywnym uczestnikiem środowiska normalizacyjnego i eksperckiego, co przekłada się na praktyczne rozumienie intencji przepisów i ich realnego zastosowania.

Możliwość dofinansowania usług audytowych (BUR)
Audyty bezpieczeństwa realizowane przez TECHOM mogą być kwalifikowane jako usługi doradcze w ramach Bazy Usług Rozwojowych. Wspieramy sektor MŚP w uzyskaniu dofinansowania na realizację audytów – pomagając w procesie formalnym i dopasowaniu zakresu usługi do wymogów operatorów środków.

Niezależność i obiektywizm
Nie jesteśmy firmą instalacyjną ani agencją ochrony. Nie sprzedajemy urządzeń ani usług ochrony fizycznej w ramach audytu. Nasze rekomendacje mają charakter niezależny i oparte są wyłącznie na dowodach oraz kryteriach audytu. Co więcej, status jednostki certyfikującej gwarantuje naszą NIEZALEŻNOŚĆ i BEZSTRONNOŚĆ.