Wrożenie SZBI i audyt KRI w podmiocie przez tego samego audytora tworzy konflikt. Czy Ustawa KSC problem rozwiązuje ?
Wchodząca niebawem Ustawa KSC, dostosowująca NIS2, której ostateczny kształt jest znany, wskazuje jak uniknąć w podmiocie konfliktu wdrożenia SZBI i audytu po wdrożeniu SZBI przez tego samego audytora.
Ustawa dla podmiotu kluczowego (podmioty publiczne) - nakazuje:
„Art. 8.
1. Podmiot kluczowy lub podmiot ważny wdraża SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot" - str.22.
i w dalszej części dotyczącej obowiązku przeprowadzenia audytu bezpieczeństwa systemu informacyjnego, po wdrożeniu SZBI - ogranicza:
„Art.15.
2a. Audyt nie może być przeprowadzony przez osobę realizującą w podmiocie audytowanym zadania, o których mowa w art. 8 oraz art. 9 - 13, lub która realizowała te zadania w podmiocie audytowanym w przeciągu roku przed rozpoczęciem audytu.” - str.35.
Można więc przyjąć, że problem rozwiązuje. Czekamy więc na wejście w życie nowej UoKSC.
Czy podmiot powinien tego unikać czy ignorować problem ?
Obiektywizm w przygotowaniu audytu bezpieczeństwa systemu informacyjnego jest istotny z punktu widzenia zaleceń poaudytowych i obiektywnej oceny spełnienia wymogów ustawy. Nie bez znaczenie jest także wydatkowanie środków publicznych na usługę, która nie spełnia swojego podstawowego celu jakim jest wskazanie działań naprawczych i tym samym pomoc w dostosowaniu do wymogów ustawy.
Co o konflikcie mówi Rozporządzenie KRI ?
Rozporządzenie KRI kwestii konfliktu nie rozwiązuje. Dobre praktyki audytorskie i obiektywizm oceny audytora powinien wziąć górę nad ignorowaniem problemu przez JST przy zleceniu. Ogłaszane konkursy na wdrożenie SZBI wraz z audytem KRI, realizowane w ramach konkursu grantowego CYBERBEZPIECZNY SAMORZĄD, niestety pokazują brak zrozumienia problematyki przez UG/UM/powiaty. Brak jest wymogu by unikać konfliktu, tak samo jak brak jest kryterium jakościowego, który CPPC zaleca wielokrotnie w prezentowanych webinariach dla uczestników.
Środowisko audytorskie preferuje już dzisiaj przy pracach związanych z wymogami Rozporządzenia KRI, oddzielenie wdrażenia SZBI od osoby wykonawcy audytu wewnętrznego w zakresie bezpieczeństwa informacji, gdyż tylko to zapewni obiektywizm i rzetelność pracy audytora. Pozostaje więc nadzieja, że podmioty swoje OPZ-y będą konsultować nie tylko z władzami, ale także ze środowiskiem audytorskim.
MEDIATOR stosuje zasadę oddzielnia prac osoby wdrożającej SZBI od osoby audytora przeprowadzającego audyt po wdrożeniu SZBI .
W załączeniu Projekt Ustawy KSC z 3.X.2024r.
Proszę o więcej informacji na temat usługi mailem lub telefonicznie:
Prośba o kontakt została wysłana