Szukaj w serwisie

Audyt KRI dla podmiotów publicznych

Audyt KRI dla podmiotów publicznych

Audytu Bezpieczeństwa Informacji (KRI), a CYBERBEZPIECZNY SAMORZĄD

 

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek zapewnienia bezpieczeństwa informacji poprzez wdrożenie SZBI oraz przeprowadzenia okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Rozporządzenie zawiera wytyczne w zakresie bezpieczeństwa informacji w jednostce samorządowej, zaś wymagany co roczny audyt ma być weryfikacją wdrożonych procedur i rozwiązań zapewniających bezpieczeństwo danych. Audyt powinien zawierać zalecenia poaudytowe, mające zapewnić właściwy poziom cyberbezpieczeństwa. Obecnie audyt po wdrożonym SZBI oraz audyty KRI dla podmiotu i podległych jednostek można sfinasować w ramach konkursu CYBERBEZPIECZNY SAMORZĄD.

 

Kogo dotyczy Rozporządzenie KRI ?

Rozporządzenie KRI dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Do Rozporządzenia powinny dostosować się:

  • Urzędy Miast i Gmin
  • Starostwa Powiatowe, PUP
  • jednostki organizacyjne, np. szkoły, przedszkola, MOPS/GOPS, PCPR, biblioteki, ośrodki kultury, spółki miejskie
  • podmioty publiczne, np. stowarzyszenia, kluby sportowe, organizacje rządowe, inne instytucje

 

Czy wymóg audytu KRI dotyczy każdego podmiotu publicznego ?

Kierownictwo podmiotu publicznego ma obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Z wymogu audytu KRI nie są zwolnione nawet małe podmioty publiczne - dostosowanie się do wymogów Rozporządzenia pozostaje w gestii kierownictwa podmiotu.

 

Jaki obowiązki nakłada Rozporządzenie w sprawie Krajowych Ram Interoperacyjności?

Podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji oraz do weryfikacji dostosowania się do Rozporządzenia. Więcej obowiązków zawiera par.20 pkt.1, 2, 3 i 4.

 

Z czego wynika obowiązek przeprowadzenia audytu?

Rozporządzenie w par. 20 ust.2 pkt 14 mówi o obowiązku "zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok". Ponadto regulamin konkursu grantowego CYBERBEZPIECZNY SAMORZĄD, nakłada obowiązek przeprowadzenia audytu wdrożego SZBI w podmiocie.

 

Jak MEDIATOR przeprowadza audyt ?

Audyt bezpieczeństwa informacji obejmuje zakres wymagany Rozporządzeniem KRI w obszarach:

  • Wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji
  • Polityki bezpieczeństwa,
  • Organizacji bezpieczeństwa informacji,
  • Zarządzania aktywami,
  • Bezpieczeństwa fizycznego, kontroli dostępu i zarządzenia incydentami,
  • Zarządzania systemami i sieciami,
  • Utrzymania systemów informatycznych,
  • Ciągłości działania,
  • Analizy ryzyka,
  • Zgodności z KRI ( w tym analiza zaleceń poaudytowych poprzedniego audytu KRI).

 

Wynikiem przeprowadzonego audytu jest wskazanie braków i zaleceń, które pozwolą administratorowi na dostosowanie Podmiotu do wymagań Rozporządzenia KRI.

 

Nasze doświadczenie poparte jest referencjami: audyt KRI dla Pow.Puławy, audyt KRI dla GUNB, audyt KRI dla PUP Leszno, audyt KRI dla UG Janowiec .

                

Jakie są koszty przeprowadzenia audytu w podmiocie publicznym ?

Na koszt przeprowadzenia audytu ma wpływ kilka czynników. Zapraszamy do kontaktu i sprecyzowania warunków usługi.

 

 

Jak audyt widzi Ministerstwo Finansów ?

1. W podmiotach, w których system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, wymagania określone w § 20 ust. 1 i 2 rozporządzenia uznaje się za spełnione.

2. Jednostki, które nie wdrożyły systemu zarządzania bezpieczeństwem informacji, są zobowiązane do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok. decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu.

 

Kto powinien przeprowadzić audyt bezpieczeństwa informacji ?

Audyt powinien być przeprowadzony przez audytora posiadającego certyfikat wskazany w Rozporządzeniu Ministerstwa Cyfryzacji z dnia 12.10.2018r w sprawie wykazów certyfikatów uprawniających do przeprowadzenia audytu. Zespół MEDIATORA przeprowadzający audyt KRI to audytorzy wiodący wg ISO27001.

 

Dla pełnej oceny audyt KRI powinien być rozszerzony o audyt bezpieczeństwa danych osobowych - wymóg art.24 pkt.1 i art.32 pkt.1 RODO. Przeprowadzenie połączonych audytów KRI i RODO daje pełen obraz bezpieczeństwa danych, w tym bezpieczeństwa danych osobowych.

 

Kontrole NIK

W maju 2019r NIK przeprowadził szereg kontroli pod kątem bezpieczeństwa danych. Poddane zostały weryfikacji  bezpieczeństwo danych w urzędach gmin, miast i starostwach. W opinii NIK, "nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych". Wnioski i wytyczne prezentuje NIK na swojej stronie internetowej.

 

Czy Państwa podmiot wypełnia co roku obowiązek przeprowadzenia audytu Bezpieczeństwa Informacji zgodnie z Rozporządzeniem KRI ? Zachęcamy do kontaktu. Wycena kosztów zlecenia jest u nas bezpłatna.

 

Analiza NASK Ustawy o krajowym systemie cyberbezpieczeństwa (KSC)

 

MEDIATOR. Konsultacje KRI: tel. 505 341 555

 

Proszę o więcej informacji na temat usługi mailem lub telefonicznie:

Prośba o kontakt została wysłana
Kiedy możemy zadzwonić?