Proste to RODO ochrona danych w medycynie

Audyt KRI bezpieczeństwa informacji

Audyt KRI bezpieczeństwa informacji.

Audyt KRI bezpieczeństwa informacji. Zagadnienia związane z tematem utrzymania i eksploatacji systemu bezpieczeństwa informacji opisane zostały w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [dalej KRI]

Rola podmiotu realizującego zadania publiczne.

Zgodnie z §20 ust. 1 KRI cyt.:

cyt.: „(…)Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i  eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność(…)”.

Zarządzanie bezpieczeństwem informacji.

Zgodnie z § 20 ust. 2 KRI

cyt.: „(…)Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań (…)”.

Obowiązkowe audyty wewnętrzne bezpieczeństwa.

Zgodnie z §20 ust. 2 pkt. 14) KRI

cyt.: „(…)Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań (…) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok (…)”.

Czy ktoś to kontroluje.

  1. Najwyższa Izba Kontroli (NIK) zgodnie z określonym planem kontroli,
  2. W jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych – właściwy wojewoda,
  3. W podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej – organ administracji rządowej nadzorujący dany podmiot publiczny,
  4. W podmiotach publicznych niewymienionych w lit. 1 i 2 – minister właściwy do spraw informatyzacji

Wyniki przykładowych kontroli.

Dla przykładu raport NIK dot. wdrożenia przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych z 2019r. dokonał analizy stanu faktycznego wskazując wprost na konkretne uchybienia podmiotów, określając przy tym konkretne przepisy ww. Rozporządzenia KRI, których się dopuściły, i na tej podstawie sformułował dalsze zalecenia, wnioski i wszczął adekwatne postępowania pokontrolne. W naszym serwisie Proste to RODO pisaliśmy o tym czytaj więcej >>>

W 2018r. NIK skontrolowała 31 jednostek samorządowych województwa podlaskiego (urzędy gminy lub miast, starostwa powiatowe i ośrodki pomocy społecznej), by sprawdzić w jaki sposób były chronione elektroniczne zasoby informacyjne, czytaj więcej >>>

Kto jest uprawniony do wykonania Audytu KRI.

Audytor wewnętrzny z zakresu bezpieczeństwa informacji powinien cechować się przede wszystkim: dobrą znajomością zagadnień IT; zagadnień bezpieczeństwa informacji; zagadnień związanych z ryzykiem oraz umiejętnością współpracy; wyrażania opinii, a ponadto komunikatywnością, dociekliwością i asertywnością.

Doskonale sprawdzą się w roli audytora wewnętrznego z zakresu bezpieczeństwa informacji:

  • informatycy;
  • administratorzy systemów informatycznych;
  • inspektorzy ochrony danych;
  • pracownicy działu audytu i kontroli.

Korzyści płynące z realizacji audytu wewnętrznego bezpieczeństwa informacji:

  • obiektywna ocena wdrożonych w podmiocie polityk bezpieczeństwa informacji oraz funkcjonowania systemu zarządzania bezpieczeństwem informacji,
  • poszerzanie świadomości kierownictwa podmiotu w zakresie ryzyk i podatności systemu bezpieczeństwa informacji,
  • wypełnienie obowiązku wynikającego z przepisu prawa,
  • uzyskanie wytycznych i zaleceń względem stosowanych środków technicznych
    i organizacyjnych dla ochrony danych i informacji,
  • wzmocnienie sytemu ochrony danych osobowych w zgodzie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO),
  • Przygotowanie podmiotu do kontroli organów uprawnionych do wykonywania kontroli w zakresie bezpieczeństwa informacji.

Podstawy prawne.

Szkolenie - Jak prawidłowo wykonać audyt KRI.

Wybierz interesujący tematycznie dział Sklepu RODO

IT w medycynie

Wsparcie IT dla podmiotów medycznych

Wsparcie IT

Sklep