Proste to RODO ochrona danych w medycynie

Audyt bezpieczeństwa informacji KRI

Audyt bezpieczeństwa informacji KRI

Audyt bezpieczeństwa informacji KRI. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych” [dalej rozporządzenie KRI] określa sposoby postępowania podmiotu realizującego zadania publiczne w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych dla zapewnienia bezpieczeństwa danych i informacji. 

Co grozi za brak spełniania wymogów ...

Brak spełnienia wymogu dostosowania podmiotu realizującego zadania publiczne do rozporządzenia KRI może powodować ryzyko utraty poufności, dostępności i integralności informacji. W praktyce może to przynieść skutki dla podmiotu w postaci:

  • naruszenia ochrony danych osobowych;
  • naruszenia bezpieczeństwa informacji;
  • braku utrzymania ciągłości funkcjonowania jednostki;
  • odpowiedzialności karnej;
  • utraty wizerunku i zaufania społeczeństwa do podmiotu zobowiązanego.

Czy wykonali Państwo Audyt KRI .... pytania do ADO

W ostatnich latach podmioty publiczne z całej Polski otrzymują masowo zapytania od wnioskodawców w ramach dostępu do informacji publicznej, czy wykonały audyt bezpieczeństwa informacji, o którym mowa w par. 20 ust. 2 pkt 14 rozporządzenia KRI. Okazuje się, że kierownicy jednostek często nie wiedza nawet, że taki audyt jest wymagany. Inni tłumaczą, że audyt nie jest realizowany z uwagi na brak środków budżetowych lub brak kadry, która taki audyt mogłaby wykonać. Wyniki audytu z założenia wskazują kierownictwu kierunek działań i stanowią podstawę wprowadzenia odpowiednich zabezpieczeń i sposobów postępowania w odniesieniu do danych i informacji przetwarzanych w systemach informatycznych wykorzystywanych do realizacji zadań publicznych. Audyt jest zatem niezbędny dla prawidłowego działania podmiotu publicznego.

Audyt bezpieczeństwa informacji KRI - jego zakres ...

Zgodnie z § 20 ust. 1 i 2 rozporządzenia KRI:

Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji (dalej również jako SZBI) zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:

  1. zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  3. przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności  informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  4. podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  5. bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4);
  6. zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji;
  7. zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami;
  8. ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  10. zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  11. ustalenia zasad postepowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych;
  13. bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony  i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
  14. zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Jak wykonać Audyt bezpieczeństwa informacji KRI?

Zgodnie z wymogiem podmiot publiczny zobowiązany jest do wykonania corocznego audytu bezpieczeństwa informacji w zakresie określonym w par. 20 ust 1 i 2 rozporządzenia KRI. Taki audyt wykonają podmioty zewnętrzne lub osoba z wewnątrz organizacji wytypowana przez kierownictwo. Należy jednak pamiętać, że osoba z wewnątrz powinna posiadać niezbędną wiedzę, odpowiednie cechy personalne oraz materiały do wykonania rzetelnej oceny stanu faktycznego.

Audyt bezpieczeństwa informacji KRI
Szkolenie praktyczne, wzory dokumentów.