Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Kto może wykonać Audyt KRI

Kto może wykonać Audyt KRI

Kto może wykonać Audyt KRI – w związku z licznymi pytaniami, jakie kierują Państwo do nas w trakcie Warsztatów Audyt KRI, przedstawiamy Państwu Wspólne Stanowisko Ministerstwa Administracji i Cyfryzacji oraz Ministerstwa Finansów, dotyczące kwestii warunków realizacji Audytu Wewnętrznego Bezpieczeństwa Informacji KRI.

Obowiązki podmiotów publicznych realizujących zadania publiczne ...

Zgodnie z §  20 ust. 1 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [dalej Rozporządzenie KRI] [System zarządzania bezpieczeństwem informacji]
 
cyt.: „Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.”

Innymi słowy obowiązkiem każdego podmiotu realizującego zadania publiczne jest:

  • opracowanie
  • ustanowienia
  • wdrożenie
  • eksploatacja
  • monitorowanie
  • przeglądanie
  • utrzymanie
  • doskonalenie

systemu zarządzania bezpieczeństwem informacji zapewniającego:

  • poufność
  • dostępność
  • integralność

informacji z uwzględnieniem takich atrybutów,jak:

  • autentyczność
  • rozliczalność
  • niezaprzeczalność 
  • niezawodność.

Obowiązek zapewnienia wykonania wewnętrznego audytu bezpieczeństwa informacji

Zgodnie z §  20 ust. 2 pkt 14)  Rozporządzenia KRI
 
cyt.: „Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań (…) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.”

Kto może wykonać Audyt KRI ...

Sposób realizacji obowiązku wykonania Audytu KRI ...

Zgodnie z §  20 ust. 3 Rozporządzenia KRI
 
cyt.: „Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:
    1. PN-ISO/IEC 27002 – w odniesieniu do ustanawiania zabezpieczeń;
    2. PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem;
    3. PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania”.

Problem realizacji audytu przez komórkę audytu wewnętrznego

Kto może wykonać audyt KRI ...

Reasumując zatem to do kierownictwa podmiotu publicznego realizującego zadania publiczne należeć będzie decyzja o tym, kto będzie realizował, wykonywał zadania w ramach wewnętrznbego audytu bezpieczeństwa informacji (Audyt KRI), czy będzie to personel komórki audytów wewnętrznych, czy też będzie to osoba spoza tego grona. Naturalnie na realizatora tego zadania można również podmiot zewnętrzny.

Kwalifikacje osoby do realizacji Audyty KRI ...

Kryteriami, jakimi należy się kierować przy wyborze osób/komórek organizacyjnych prowadzących audyt w zakresie bezpieczeństwa informacji są: odpowiednie kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego.

Audyt KRI a Kontrola ...

Należy także dostrzec różnicę, jakie ustawodawca określił w zakresie podstaw prawnych, jak i w zakresie wymagań kwalifikacyjnych, które muszą być spełnione do realizacji poszczególnych zadań audytowych – w ramach czynności realizowanych podczas audytu wewnętrznego bezpieczeństwa informacji , i zadań kontrolnych – w ramach prowadzonych postępowań kontrolnych, czyli różnice dotyczące:

  • osób, jakie uprawnione są do przeprowadzenia audytu wewnętrznego bezpieczeństwa informacji (Audyt KRI), na podstawie § 20 ust. 1 w zw. z ust. 2 pkt 14 Rozporządzenia KRI
  • osób, jakie uprawnione są do prowadzenia postępowania kontrolnego, na podstawie art. 25 Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. W tym przypadku Ustawodawca zdecydował się na wprowadzenie określonych prawem kryteriów, które muszą spełniać kontrolerzy realizujący zadania kontrolne.Wymagania te określone zostały w treści m.in. art. 28 Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz wydanym na podstawie art. 28 ust. 3 ww .Ustawy Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych. Innymi słowy, aby dana osoba mogła realizować zadania w ramach postępowania kontrolnego musi spełniać ww. kryteria formalnoprawne – w odniesieniu natomiast do osoby realizującej zadania w ramach audytu wewnętrznego bezpieczeństwa informacji, takich wymogów ustawodawca nie wprowadził, oczywiście adekwatny poziom wiedzy, i doświadczenia, musi iść za wyborem danej osoby, na realizatora Audytu KRI, o czym wspominałem powyżej wskazując proponowane kryteria wyboru.

Dokumentacja KRI + nagranie VIDEO szkolenia ...

Szkolenie w formie nagrania VIDEO

Materiały źródłowe