Proste to RODO ochrona danych w medycynie

Audyt bezpieczeństwa informacji KRI

Audyt bezpieczeństwa informacji KRI

Audyt bezpieczeństwa informacji KRI. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych” [dalej rozporządzenie KRI] określa sposoby postępowania podmiotu realizującego zadania publiczne w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych dla zapewnienia bezpieczeństwa danych i informacji. 

Co grozi za brak spełniania wymogów ...

Brak spełnienia wymogu dostosowania podmiotu realizującego zadania publiczne do rozporządzenia KRI może powodować ryzyko utraty poufności, dostępności i integralności informacji. W praktyce może to przynieść skutki dla podmiotu w postaci:

  • naruszenia ochrony danych osobowych;
  • naruszenia bezpieczeństwa informacji;
  • braku utrzymania ciągłości funkcjonowania jednostki;
  • odpowiedzialności karnej;
  • utraty wizerunku i zaufania społeczeństwa do podmiotu zobowiązanego.

Czy wykonali Państwo Audyt KRI .... pytania do ADO

W ostatnich latach podmioty publiczne z całej Polski otrzymują masowo zapytania od wnioskodawców w ramach dostępu do informacji publicznej, czy wykonały audyt bezpieczeństwa informacji, o którym mowa w par. 20 ust. 2 pkt 14 rozporządzenia KRI. Okazuje się, że kierownicy jednostek często nie wiedza nawet, że taki audyt jest wymagany. Inni tłumaczą, że audyt nie jest realizowany z uwagi na brak środków budżetowych lub brak kadry, która taki audyt mogłaby wykonać. Wyniki audytu z założenia wskazują kierownictwu kierunek działań i stanowią podstawę wprowadzenia odpowiednich zabezpieczeń i sposobów postępowania w odniesieniu do danych i informacji przetwarzanych w systemach informatycznych wykorzystywanych do realizacji zadań publicznych. Audyt jest zatem niezbędny dla prawidłowego działania podmiotu publicznego.

Audyt bezpieczeństwa informacji KRI - jego zakres ...

Zgodnie z § 20 ust. 1 i 2 rozporządzenia KRI:

Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji (dalej również jako SZBI) zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:

  1. zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  3. przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności  informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  4. podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  5. bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4);
  6. zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji;
  7. zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami;
  8. ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  10. zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  11. ustalenia zasad postepowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych;
  13. bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony  i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
  14. zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Jak wykonać Audyt bezpieczeństwa informacji KRI?

Zgodnie z wymogiem podmiot publiczny zobowiązany jest do wykonania corocznego audytu bezpieczeństwa informacji w zakresie określonym w par. 20 ust 1 i 2 rozporządzenia KRI. Taki audyt wykonają podmioty zewnętrzne lub osoba z wewnątrz organizacji wytypowana przez kierownictwo. Należy jednak pamiętać, że osoba z wewnątrz powinna posiadać niezbędną wiedzę, odpowiednie cechy personalne oraz materiały do wykonania rzetelnej oceny stanu faktycznego.

Audyt bezpieczeństwa informacji KRI
Szkolenie praktyczne, wzory dokumentów.

Wybierz interesujący tematycznie dział Sklepu RODO

IT w medycynie

Wsparcie IT dla podmiotów medycznych

Wsparcie IT

Sklep