Szukaj w serwisie

Audyt KRI dla podmiotów publicznych

Audyt KRI dla podmiotów publicznych

Oferta Audytu Bezpieczeństwa Informacji (KRI)

( wymóg Rozporządzenia w sprawie Krajowych Ram Interoperacyjności )

ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. - Krajowe Ramy Interoperacyjności (KRI) nakłada obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Bezpieczeństwo informacji w samorządzie to przestrzeganie Rozporządzenia w całości. Audyt bezpieczeństwa informacji to wymóg każdego podmiotu publicznego.

 

Kogo dotyczy Rozporządzenie KRI ?

Rozporzadzenie dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Powinni się dostosowć do neigo:

  • Urzędy Miast i Gmin
  • Starostwa Powiatowe
  • jednostki organizacyjne jak np. szkoły, przedszkola, MOPS/GOPS, biblioteki, ośrodki kultury, spółki miejskie

 

Czy wymóg audytu dotyczy każdego podmiotu publicznego ?

  - kierownictwo podmiotu publicznego ma obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji ; z tego obowiązku jest zwolniony podmiot publiczny, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001 ; wymóg audytu i zapewnienie bezpieczeństwa informacji nie zwalnia nawet małych podmiotów publicznych - dostosowanie się do wymogów rozporządzenia pozostaje w gestii kierownictwa podmiotu.

 

Jaki obowiązki nakłada Rozporządzenie Krajowe Ramy Interoperacyjności?

  - podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji oraz do weryfikacji dostosowania się do rozporządzenia

 

Z czego wynika obowiązek przeprowadzenia audytu?

  - Rozporządzenie w par.20 ust.2 pkt 14 mówi o obowiązku "zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok"

 

Kto powinien przeprowadzić audyt bezpieczeństwa informacji ?

  - audyt powinien być przeprowadzony przez podmiot zewnętrzny, aby nie doszło do sytuacji naruszenia niezależności ; kontrola NIK w UM Oleśnicy z dnia 21.10.2020r wskazała, że:  "..w Urzędzie przeprowadzono audyty wewnętrzne w zakresie bezpieczeństwa informacji, niemniej jednak były wykonane przez Informatyków Urzędu, a więc osoby bezpośrednio zaangażowane w realizację zadań z zakresu bezpieczeństwa informacji. Tym samym naruszono niezależność i obiektywizm działań audytorskich..."

 

Jak MEDIATOR przeprowadza audyt ?

  - w oparciu o Zarządzanie Bezpieczeństwem Informacji wg ISO 27001 oraz Rozporządzenie RODO, w 3 płaszczyznach:

  1. prawnej,
  2. organizacyjnej,
  3. technicznej (IT)

 

W jakim zakresie jest przeprowadzany audyt ?

  - nasz audyt jest przeprowadzany w obszarach:

      • Polityki bezpieczeństwa i aspektów prawnych,
      • Organizacji bezpieczeństwa informacji,
      • Zarządzania aktywami,
      • Bezpieczeństwa fizycznego, kontroli dostępu i zarządzenia incydentami,
      • Zarządzania systemami i sieciami.
      • Utrzymania systemów informatycznych,
      • Ciągłości działania,
      • Zgodności z KRI i RODO       

                                                           

Jakie są koszty przeprowadzenia audytu w podmiocie publicznym ?

  - koszt przeprowadzenia audytu jest określony indywidualnie w zależności od warunków zapewnienia bezpieczeństwa informacji i wielkości podmiotu ; współpraca ze wskazanymi pracownikami instytucji znacząco wpływa na obniżenie kosztów

 

Jakie są wytyczne dotyczące przeprowadzenia audytu ?

  - aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania

 

Jak audyt widzi Ministerstwo Finansów ?

1. W podmiotach, w których system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, wymagania określone w § 20 ust. 1 i 2 rozporządzenia uznaje się za spełnione

2. Jednostki, które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok. decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu.

 

 

Kontrole NIK

Weryfikacja wdrożenia procedur bezpieczeństwa informacji i realizowanie wymogu audytu - kontrole NIK

NIK przeprowadził szereg kontroli. W maju 2019r kontrolę bezpieczeństwa danych w urzędach gmin, miast i starostwach. W opinii NIK, "nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych". Wnioski i wytyczne prezentuje na swojej stronie internetowej.

 

NIK przeprowadził w 2019r i 2020r szereg kontroli pod kątem ePUAP. Bezpieczeństwo informacji w oparciu o rozporządzenie KRI oraz wymóg audytu w ocenie NIK był kluczowy.

Kontroli poddano:

UM Grajewo, z dnia 18.08.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Hajnówka, z dnia 18.08.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Augustów, z dnia 31.07.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Knurów, z dnia 6.11.2020r. - dokument pokontrolny

UM Łomża, z dnia 31.07.2020r. - dokument pokontrolny

UM Myszków, z dnia 6.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UMiG Pszczyna, z dnia 12.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UMiG Czechowice-Dziedzice, z dnia 6.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UMiG Swarzędz, z dnia 24.07.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Oborniki, z dnia 13.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Śrem, z dnia 2.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Wolsztyn, z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Białogard z dnia 2.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Gryfino z dnia 2.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Wałcz z dnia z 3.09.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Police z dnia z 4.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Aleksandrów Łódzki z dnia z 19.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Opoczno z dnia 12.10.2020r. - dokument pokontrolny

UM Długołęka z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Oleśnica z dnia 21.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Zgorzelec z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Oława z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

 

Czy PAŃSTWA podmiot wypełnia co roku obowiązek przeprowadzenia audytu Bezpieczeństwa Informacji zgodnie z Rozporządzeniem KRI ? Wycena kosztów zlecenia jest u nas bezpłatna. Zachęcamy do kontaktu.

 

MEDIATOR

 

Jak możemy się z Tobą skontaktować?

Zapytanie kontaktowe zostało wysłane
Kiedy możemy zadzwonić?