Szukaj w serwisie

Audyt KRI dla podmiotów publicznych

Audyt KRI dla podmiotów publicznych

Oferta Audytu Bezpieczeństwa Informacji (KRI)

 

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek zapewnienia bezpieczeństwa informacji oraz okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Rozporządzenie zawiera wytyczne w zakresie bezpieczeństwa informacji w jednostce samorządowej, zaś wymagany co roczny audyt ma być weryfikacją wdrożonych procedur i rozwiązań zapewniających bezpieczeństwo danych. Audyt powinien zawierać zalecenia i wytyczne zmian oraz modyfikacji infrastruktury, mające zapewnić właściwy poziom bezpieczeństwa danych.

 

Dla pełnej oceny audyt KRI powinien być rozszerzony o audyt bezpieczeństwa danych osobowych - wymóg art.24 pkt.1 i art.32 pkt.1 RODO. Przeprowadzenie połączonych audytów KRI i RODO daje pełen obraz bezpieczeństwa danych, w tym bezpieczeństwa danych osobowych.

 

Kogo dotyczy Rozporządzenie KRI ?

Rozporządzenie KRI dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Powinny się dostosować do niego:

  • Urzędy Miast i Gmin
  • Starostwa Powiatowe, PUP
  • jednostki organizacyjne, np. szkoły, przedszkola, MOPS/GOPS, PCPR, biblioteki, ośrodki kultury, spółki miejskie
  • podmioty publiczne, np. stowarzyszenia, kluby sportowe, organizacje rządowe, inne instytucje

 

Czy wymóg audytu dotyczy każdego podmiotu publicznego ?

Kierownictwo podmiotu publicznego ma obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Z wymogu audytu KRI nie są zwolnione nawet małe podmioty publiczne - dostosowanie się do wymogów rozporządzenia pozostaje w gestii kierownictwa podmiotu.

 

Jaki obowiązki nakłada Rozporządzenie Krajowe Ramy Interoperacyjności?

Podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji oraz do weryfikacji dostosowania się do Rozporządzenia. Więcej obowiązków zawiera par.20 pkt.1, 2, 3 i 4.

 

Z czego wynika obowiązek przeprowadzenia audytu?

Rozporządzenie w par. 20 ust.2 pkt 14 mówi o obowiązku "zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok".

 

Jak MEDIATOR przeprowadza audyt ?

Audyt bezpieczeństwa informacji obejmuje zakres wymagany Rozporządzeniem KRI w obszarach:

  • Polityki bezpieczeństwa (SZBI),
  • Organizacji bezpieczeństwa informacji,
  • Zarządzania aktywami,
  • Bezpieczeństwa fizycznego, kontroli dostępu i zarządzenia incydentami,
  • Zarządzania systemami i sieciami,
  • Utrzymania systemów informatycznych,
  • Ciągłości działania,
  • Analizy ryzyka,
  • Zgodności z KRI ( w tym analiza zaleceń poaudytowych poprzedniego audytu KRI),
  • Wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji.

 

Wynikiem przeprowadzonego audytu jest wskazanie braków i zaleceń, które pozwolą administratorowi na dostosowanie Podmiotu do wymagań Rozporządzenia KRI.

                

Jakie są koszty przeprowadzenia audytu w podmiocie publicznym

Koszt przeprowadzenia audytu wynika z jego zakresu. Zapraszamy do kontaktu i sprecyzowania dodatkowych elementów.

Wraz z audytem KRI oferujemy:

  • audyt RODO (weryfikacja wdrożonych procedur i dokumentacji, art.24 pkt.1 i art.32 pkt.1 RODO)
  • wdrożenie SZBI lub aktualizację ((par. 20 ust.1 Rozporządzenia KRI)
  • analizę ryzyka (par. 20 ust.2 pkt 3 Rozporządzenia KRI)
  • szkolenia dla pracowników z zasad cyberbepzieczeństwa (par. 20 ust.2
  • pkt 6 Rozporządzenia KRI).


Jakie są wytyczne dotyczące przeprowadzenia audytu ?

Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotował stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez trybu jego przeprowadzania.

 

Jak audyt widzi Ministerstwo Finansów ?

1. W podmiotach, w których system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, wymagania określone w § 20 ust. 1 i 2 rozporządzenia uznaje się za spełnione.

2. Jednostki, które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok. decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu.

 

Kto powinien przeprowadzić audyt bezpieczeństwa informacji ?

Audyt powinien być przeprowadzony przez podmiot zewnętrzny, aby nie doszło do sytuacji naruszenia niezależności ; przeprowadzona kontrola NIK w UM Oleśnicy z dnia 21.10.2020r wskazała, że:  "..w Urzędzie przeprowadzono audyty wewnętrzne w zakresie bezpieczeństwa informacji, niemniej jednak były wykonane przez Informatyków Urzędu, a więc osoby bezpośrednio zaangażowane w realizację zadań z zakresu bezpieczeństwa informacji. Tym samym naruszono niezależność i obiektywizm działań audytorskich..."

 

 

Kontrole NIK

W maju 2019r NIK przeprowadził szereg kontroli pod kątem bezpieczeństwa danych. Poddane zostały weryfikacji  bezpieczeństwo danych w urzędach gmin, miast i starostwach. W opinii NIK, "nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych". Wnioski i wytyczne prezentuje NIK na swojej stronie internetowej.

 

W 2019r i 2020r NIK przeprowadził w szereg kontroli pod kątem ePUAP. Bezpieczeństwo informacji w oparciu o rozporządzenie KRI oraz wymóg audytu w ocenie NIK był kluczowy.

Wyniki kontroli:

UM Grajewo, z dnia 18.08.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Hajnówka, z dnia 18.08.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Augustów, z dnia 31.07.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Knurów, z dnia 6.11.2020r. - dokument pokontrolny

UM Łomża, z dnia 31.07.2020r. - dokument pokontrolny

UM Myszków, z dnia 6.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UMiG Pszczyna, z dnia 12.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UMiG Czechowice-Dziedzice, z dnia 6.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UMiG Swarzędz, z dnia 24.07.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Oborniki, z dnia 13.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Śrem, z dnia 2.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Wolsztyn, z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Białogard z dnia 2.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Gryfino z dnia 2.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Wałcz z dnia z 3.09.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Police z dnia z 4.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Aleksandrów Łódzki z dnia z 19.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Opoczno z dnia 12.10.2020r. - dokument pokontrolny

UM Długołęka z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Oleśnica z dnia 21.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Zgorzelec z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

UM Oława z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...

 

Czy PAŃSTWA podmiot wypełnia co roku obowiązek przeprowadzenia audytu Bezpieczeństwa Informacji zgodnie z Rozporządzeniem KRI ? Zachęcamy do kontaktu. Wycena kosztów zlecenia jest u nas bezpłatna.

 

Analiza NASK Ustawy o krajowym systemie cyberbezpieczeństwa (KSC)

 

MEDIATOR. Konsultacje KRI: tel. 501 470 633

 

Proszę o więcej informacji na temat usługi mailem lub telefonicznie:

Prośba o kontakt została wysłana
Kiedy możemy zadzwonić?