Skąd wynika obowiązek przeprowadzania audytów KRI?
Obowiązek przeprowadzenia audytu KRI wynika z treści rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Rozporządzenie wydane zostało na podstawie artykułu 18 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.
Kogo dotyczy obowiązek przeprowadzania audytów KRI?
Obowiązkiem przeprowadzania audytów KRI objęte są między innymi urzędy miejskie i gminne, starostwa powiatowe, urzędy pracy, placówki oświatowe, organy administracji rządowej, sądy i prokuratury oraz organy kontroli państwowej i inne.
Jak często należy przeprowadzać audyty KRI?
Rozporządzenie nakłada obowiązek przeprowadzania audytów KRI nie rzadziej niż raz do roku. Oczywiście częstotliwość audytów zależy od wielu zmiennych i może zachodzić konieczność częstszego audytowania całej organizacji lub poszczególnych zakresów.
Co określają Krajowe Ramy Interoperacyjności?
Zgodnie z treścią rozporządzenia KRI określają sposoby postępowania podmiotu w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, utrzymania i doskonalenia systemu teleinformatycznego i procedur organizacyjnych oraz sposoby postępowania podmiotu w zakresie przejrzystego wyboru zasad postępowania z uwzględnieniem zasady neutralności technologicznej.
Co obejmuje audyt KRI?
Audyt KRI weryfikuje obszary powiązane z bezpieczeństwem informacji. Zakresem audytu zostaną zatem objęte środki techniczne i organizacyjne, z uwzględnieniem ich wpływu na kwestie utraty poufności, dostępności oraz integralności danych przetwarzanych w ramach organizacji.
Jak spełniać wymagania KRI?
Zgodnie z paragrafem 20 rozporządzenia należy opracować, wdrożyć, utrzymywać i doskonalić system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji zgodnie z wytycznymi.
Wymagania dla systemu zarządzania bezpieczeństwem informacji uznaje się za spełnione, jeżeli system został opracowany na podstawie normy ISO 27001 z uwzględnieniem ISO 27002 (w odniesieniu do ustanawiania zabezpieczeń), ISO 27005 (w odniesieniu do zarządzania ryzykiem) oraz ISO 24762 (w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania). Zatem wdrożenie i stosowanie wymagań normy jest niejako gwarancją sukcesu w budowaniu systemu, a poza tym umożliwia uzyskanie niezależnego akredytowanego certyfikatu w zakresie bezpieczeństwa informacji.
Jak przeprowadzić audyt KRI?
Uogólniając można przyjąć, że są dwa sposoby na zorganizowanie i przeprowadzenie obowiązkowego wewnętrznego audytu KRI. Pierwszy, to organizacja audytu własnymi środkami w oparciu o kompetentnych i doświadczonych audytorów wewnętrznych. Drugi, to zlecenie przeprowadzenia audytu wyspecjalizowanej firmie zewnętrznej.
Audyt przeprowadzany przez firmę zewnętrzną ma szereg zalet. Przede wszystkim daje gwarancję obiektywizmu i bezstronności. Zazwyczaj w ogólnym rozrachunku absorbuje również mniej środków finansowych, bowiem nie wymaga utrzymywania w organizacji dodatkowych specjalistów ds. bezpieczeństwa informacji. Audyt wewnętrzny nie może być przeprowadzany przez osoby na co dzień opiekujące się systemem, bowiem nie wolno audytować swojej własnej pracy.
Zapraszamy do zapoznania się z naszą ofertą audytów KRI.
Odpowiemy na wszelkie nurtujące Cię pytania dotyczące bezpieczeństwa informacji.
